李林凡｜个人信息收集和处理中“公开的谎言”——“告知同意”规则和“匿名化”规则的困境及改进建议

李林凡

华东政法大学知识产权学院硕士研究生

要目

一、“告知同意”规则的困境及出路

二、“匿名化”规则的困境及出路

三、结语

民法典和网络安全法将同意作为收集和处理个人信息的必要条件，个人信息保护法延续了这一原则，将同意作为企业获得信息收集权、处理权的前提基础，并在第13条中另行规定了“匿名化”情境下不需同意的规则。根据现有规则，在个人信息收集阶段，企业需遵循“告知同意”规则，对于敏感个人信息还需遵循“单独同意”规则；在个人信息处理阶段，除匿名化信息外，企业依然需要获得信息主体的同意。但是，我国对于个人信息保护仍处在初期阶段，不同主体间的利益冲突尚难以消解。立法规定的“告知同意”规则和“匿名化”规则，在实际适用的过程中存在诸多困境，导致立法目的无法实现，信息主体的信息权益难言保护。

数字经济下，信息成为企业的核心资源，个人信息的收集及处理成为促进企业盈利和数字产业发展的重要推动力，甚至改变了人们的消费方式和国家产业结构。仅2010年至2019年间，为了规范数字产业发展，已有62个国家出台了新的个人信息保护法律法规。我国也相继出台了网络安全法、个人信息保护法等法律，并在民法典中将公民个人信息权益界定为人格权益。赋予公民保护自身信息不受过度收集、分析、传播、交易的权利，将保护公民的人格尊严与隐私，与保护信息经济发展和信息财产价值置于并重地位，缓解了我国在数字产业发展初期因不注重个人权利保护而产生的权益侵害问题。民法典和网络安全法将同意作为收集和处理个人信息的必要条件，个人信息保护法延续了这一 原则。“告知同意”规则与“匿名化信息免同意”规则，共同构建出个人信息收集和处理的能动性边界。同意程序的设置，对信息主体提供了必要的权利保护和表意自由。但是，分析各大平台的个人信息保护政策以及民众对于信息保护的满意度，可以明显看出平台与信息主体的地位差异明显，同意机制从设置时点、标准要求等方面，尚没有达到制度设计的目的和要求。并且，个人信息保护法规定匿名化的信息不属于个人信息，企业可以自由处理、交易、共享。该规则为信息的自由流通提供了动力，但是实践中，绝对的“匿名化”并不存在，并且匿名化信息的后续流通仍然存在安全风险，没有责任主体，形成了权利义务不平衡、有风险而无人担责的局面。

一、“告知同意”规则的困境及出路

民法典第1035条第1款明确规定，平台在收集和处理个人信息时，需要事先取得信息主体的同意。“告知同意”规则，是个人信息保护中的核心原则和黄金原则。但是，由于“告知同意”的载体往往是冗长且专业的个人信息保护政策，同意程序仅依附于单次点击同意按键，以及同意程序在认定信息处理者行为是否具有正当性中的比重过重等问题，“告知同意”规则受到了民众、学术界和实务界的批评与诟病。“告知同意”规则设置的初衷，是为了保护信息主体的合法权益，但在实践中却逐渐演变为促使不合理的信息收集与处理行为合法化的有力帮手。因此，为了回归“告知同意”规则保护信息主体的本质，企业应当设置通俗易懂、篇幅适中的个人信息保护政策；针对不同场景设置多次同意环节；在设置同意原则的同时，在个人信息保护政策中设置有利于信息主体权利保护的条款，切实保护信息主体的权益。

“告知同意”规则的缺陷

“告知同意”规则是信息处理者合法进行信息处理的必经之路，因此信息处理者在制定个人信息保护政策时往往事无巨细，全面描述，但由于信息处理方与广大信息主体之间在专业水平上的差距，过于专业的个人信息保护政策反而导致信息主体无法理解，或者没有耐心仔细阅读。此外，目前我国个人信息保护法仅要求数据处理者设置同意程序，但对于同意的方式、频率等细节未做具体规定，因此企业往往选择成本最低的方式，即在信息主体使用相关服务的初期，要求信息主体对后续全部信息收集和处理行为一并同意，或者对于各种情况、各种类型的信息设置同样的同意规则。“告知同意”规则虽然给数据处理者设置了一定的行为规范，但实际上并没有全过程、全方位、分层次的保护信息主体的权益，反而在某些情况下，为数据处理者侵害信息主体的权益提供了合理化的依据。长远来看，不利于信息主体权益的保护，也不利于信息合规业务的正向性发展。

1.“告知同意”规则难以体现信息主体的真实意思表示

意思表示真实是成立民事法律关系的要件之一，其前提为双方对民事法律关系的重要事项详细知悉并具有表意自由。但在数字经济背景下，由于双方主体的特殊性，信息主体对其同意的内容难以知悉并理解，并且在部分情况下仅能进行同意的意思表示，不具有表意自由空间，“告知同意”成为一个“公开的谎言”。一方面，目前大部分企业的个人信息保护政策存在篇幅过长、用语专业性过高、重点层次不清等问题。个人信息保护政策的主要阅读者是信息主体，即广大的普通网络用户，其往往不具备专业的法律知识或计算机知识，难以理解个人信息保护政策中过于冗长和专业的法律术语或技术术语。即使信息主体可以读懂个人信息保护政策的文字，也难以真正理解该政策对自身权益在当下和未来的影响。另一方面，信息主体针对个人信息保护政策，只能选择“一揽子”同意或反对，甚至不具备反对的自由。企业对信息主体个人信息的收集、利用、共享等活动，是一个复杂且长期的行为，但大部分企业将上述所有后续操作囊括在一份个人信息保护政策中，信息主体只能做出“一揽子”同意或“一揽子”拒绝。甚至有部分企业在信息主体注册账号或首次登陆时设置“告知同意”程序，信息主体为了顺利使用企业的商品或服务，必须点击同意才能进入。根据现有法律规范，企业设置晦涩、冗长的个人信息保护政策，虽不利于信息主体的实际使用，但可以成为认定信息处理行为具有正当性的依据。如个案中，原告主张自己并不理解信息共享政策的表述，但由于同意了被告的个人信息保护政策，因此法院认定被告向第三方共享原告个人信息的行为是正当的。但实际上，企业和信息主体之间由于存在信息差、技术壁垒等客观差异，双方本身已经处在不平等的关系中。而企业利用“一揽子”个人信息保护政策，并且通过限制使用等方式变相强迫信息主体同意个人信息保护政策，不仅不利于信息主体的个人权益保护，甚至会实际的侵害信息主体的权益。

2.以单次同意对抗无数信息处理行为并不合理

分析目前各大平台的个人信息保护政策，其中大多要求信息主体通过单次同意，对未来无数次的信息处理行为进行一键许可，除非信息主体主动撤回同意。个人信息保护中的同意与单次交易中的许可并不等同，在信息流动中，信息主体与当下和潜在的信息处理者的联系更加隐形。实践中，大量信息主体即使已经对个人信息保护政策进行了同意，但由于信息不对称、专业水平相差过大等问题，信息主体几乎没有能力察觉自己的个人信息经历了哪些流通环节，被哪些信息处理者处理。个人信息保护政策获取信息主体授权后越界爬取信息，并进行跨平台交易流动，侵犯信息主体权益的事件常有发生。考虑到信息主体与数据处理者在专业水平、认识能力、处理能力等方面的差异，将信息主体在几秒钟内的单次同意认定为覆盖个人信息收集和处理全流程的全面同意，将导致双方在事实上处于权利义务不对等的地位。因此，目前的立法模式虽然表面上给予信息主体在源头上的控制权利，但实际上随着信息的不断流转、交易，信息主体对个人信息的控制力已逐渐减弱甚至消失。司法实践中，法院已经注意到了这一问题，并在个案中提出了“三重授权”原则，要求第三方信息处理者获取信息主体信息时，应当取得“用户授权——平台授权——用户授权”的三重同意。虽然我国不是判例法国家，该判决并不能对数据处理者形成具有强制约束力的法律渊源，并且该原则由于过于严格，遭受到了学术界和实务界的批评。但是，本案件也恰恰反映出，目前的以单次同意对抗无数次信息交易行为的立法模式，在实践中实际上剥夺了信息主体对未来交易的知情权和发言权，并不利于信息权益的持续性保护。

3.满足同意程序并不等于收集行为合理

司法实践存在这样一种审判思路，即将平台收集个人信息时是否设置了“告知同意”程序，作为认定信息收集行为正当与否的判断标准。但是，“告知同意”规则仅是平台收集个人信息时应当遵守的若干规则之一，平台还需要遵守最小必要原则、目的合法原则等。因此，并不能以平台设置了“告知同意”环节，而认定其获得个人信息收集与处理的免罚金牌。在《2018年度常用APP个人信息保护政策透明度排行榜》中，有大量企业设置不合理的个人信息保护政策条款。《2019年APP违法违规收集使用个人信息专项治理报告》中，APP违法违规收集个人信息主要表现在六个方面，其中三项是在设置了“告知同意”规则的基础上，由于个人信息保护政策本身存在不合理性，而被认定为收集行为违法违规的情形。如，没有明确告知信息收集的方式、目的和范围，没有按照法律规定提供同意后取消同意的程序，个人信息保护政策内容明确不合规等。个人信息属于人格权益，并且信息流动涉及广大网络用户的信息安全和国家安全。因此，个人信息保护应当具备跨越传统法律部门分类、公法与私法相融合的特征，不应仅用数据处理者与信息主体之间的私法约定，认定信息处理者收集和处理个人信息的正当性，而应当同时考察该信息收集和处理行为是否有利于保护群体信息权益、信息安全、信息产业发展等。因此，平台设置的个人信息政策是否合理、是否符合规定和行业惯例，也是判断平台是否合规合法的考量因素之一。

“告知同意”规则的出路

虽然“告知同意”规则存在如上缺陷，也经常被各方主体批评，但“告知同意”规则仍是目前个人信息收集与处理的标准化程序，并且被国内外数据处理者广泛应用。分析原因，是因为在网络用户数量巨大，且无法一一制定个性化政策的情况下，“告知同意”规则可以降低交易成本，促进信息流动。因此，否定“告知同意”规则并不利于信息产业的发展，但是可以根据现实中出现的问题加以改 进。对于个人信息保护政策过于冗长、专业性过强的问题，企业应当站在普通阅读者的角度，制定更具有可读性的个人信息保护政策；对于单次同意与后续批量处理不匹配的问题，可以从同意的性质入手，将同意视为持续性授权，从而给予信息主体随时终止授权和调整授权范围的权利；针对“一揽子”同意无法体现个性化需求的问题，企业应当根据具体场景的不同，制定不同的个人信息保护政策，并将变更之处以“告知同意”的方式再次获取信息主体的授权。

1.同意并非承诺而是持续性授权

针对“告知同意”中同意的性质，学术界一直存在不同观点。有学者认为同意是对信息处理者使用、收集、处理自己权益的认可，因此属于具有排他性权能的债权性用益物权；也有学者认为知情同意是数据处理者的免责事由；也有学者从信托法的角度理解个人信息收集与处理，将同意认定为信息信托权利，而信息处理者负有信息信托义务。但是笔者认为，上述表述都不能恰当的描述信 息主体和信息处理者之间的关系，也不能完整的反映出个人信息收集和处理的动态性。对于大型平台而言，收集个人信息的目的并非促成单一合同或未来有限数量合同的成立，而是为了促成潜在无数交易的成立。例如，平台通过构建用户画像，可以与无数广告商合作，投放个性化推荐；或者利用收集的个人信息，与未来无数新注册的账户建立关联、好友关系等。对于信息主体而言，在平台收集其个人信息之初，甚至信息主体注册平台账号之前，就对后续无数信息处理操作一并同意，难言对信息主体信息权益的完整保护。由于信息权益属于人格权益，其保护对象为具有较高保护水平的人格利益，应当给予信息主体随时拒绝和调整的权利。我国民法典第1022条对同属于人格权的肖像权做出特殊规定，肖像权人在具有正当理由的情况下，即使对方已经对解除权设置了限制，肖像权人也具有肖像许可使用合同的单方任意解除权。同理，同意应当被视为对信息处理者代理权的持续性授权（consent as ongoing agency），信息主体有权随时撤回同意或者修改同意的范围，从而终止代理关系或者改变代理权限。比较美国GDPR第7条的规定，信息主体有权随时撤回同意，在持续性授权的语境下即可具有法律逻辑上的合理性。此外，针对撤回同意和修改同意范围的限制条件，不应当以企业受到损害为前提，即在不造成企业过度损害或公共利益损害的情况下，不应对授权自由设置过多限制。并且，由于企业在设置个人信息保护政策时，大多已经明文规定了信息主体有撤回同意的权利，因此不应过度保护企业所谓的“信赖利益”，反而应当鼓励企业研发信息处理技术，以及时应对信息主体撤回同意或修改同意范围对信息处理的影响。

2.根据具体场景设置不同的同意标准

个人信息保护法第14条规定，当信息处理的目的、方式、种类发生变化时，应当重新获取信息主体的同意。此外，根据不同场景设置不同的同意标准，也是企业遵守最小必要原则的体现。参考欧盟，GDPR第25条第1款明确指出，对信息的处理方式应当考虑到最新的技术水平、实施成本以及具体行为的性质、目的等因素，采取最有效且适当的组织措施和技术措施，切实保护信息主体的权益。需要注意的是，设置不同的同意标准，并不等于要求企业在每个场合都清楚、单独、详尽地向信息主体告知个人信息保护政策的全部内容，其根本目的是为了提高个人信息保护政策的透明度。在网络时代，要求数据处理者与信息主体经过协议成立合同的传统缔约模式已经无法实现，并且随着告知义务的提高，信息主体使用服务的前置步骤和需耗费的时间精力也越多。为了避免信息主体因丧失耐心拒绝同意，或者因丧失耐心不阅读个人信息保护政策等负面影响，企业可以参照目前各大手机APP收集敏感个人信息时，针对具体信息进行弹窗提醒和明示同意的方法，在收集场景发生变化时，通过特定程序仅向信息主体告知个人信息保护政策修改或强调的部分即可。根据不同场景的实际需求，以及收集的个人信息的具体性质，设置不同的同意规则，有利于将个人信息保护法从平面化、一刀切式的规则，转变为具备体系性和层次性、能够满足不同程度需求的规则。一方面有助于信息主体知晓不同情境下个人信息的收集和处理情况，更好地保护自身的信息权益，同时也有利于信息处理者根据不同情景，设置更加匹配的信息保护技术和合规技术，促进行业的信息安全。

3.企业的个人信息保护政策应考虑实践有效性

目前，大多企业出于合规和规避商业风险的考虑，撰写篇幅较长、专业术语较多的个人信息保护政策。但是，个人信息保护法第5条强调，信息处理者的处理行为应当符合诚信原则。因此，企业应当遵循“以人为本”的治理原则。同时，企业还应当考虑到普通网络用户的阅读需求，以普通网络用户的理解能力和阅读精力为标准进行个人信息保护政策的撰写，避免过度冗长和专业的表达。

其中，对于普通网络用户的认定标准也不宜过低，应当以“理性信息主体”的阅读水平和理解能力为标准。并且，随着国家对个人信息保护宣传工作的展开，以及相关行政管理、司法管控力度的增强，企业可以适度认可信息主体理性思考、保护自身权利的能力。一方面可以给企业收集和处理个人信息留下足够的空间，以促进信息产业发展，另一方面可以降低企业的合规成本和社会管理成本，从而在个人权利保护和企业发展之间实现平衡。

对于同意程序的具体表现形式，也应当考虑到信息主体的实际情况和便利，避免利用不同意则无法正常使用服务等手段，变相强迫信息主体同意的非正当性同意程序。应当按照个人信息保护法第18条的规定，使用显著方式告知信息主体，如使用不同字体、字号或者高亮等方式，突出显示同意按钮，避免将同意按钮设置在极易误触的位置、甚至将拒绝按钮设置在不易发现位置的情况等非正当手段。对于上述非正当做法及类似做法，监管机构应当予以提醒和处罚，以激励企业设置明确、清晰、不易产生误导的同意规则。此外，有法院指出，信息处理者负有说明义务，即信息主体如对个人信息保护政策的内容产生疑问，数据处理者应当设置相应的问询机制，并对相关条款进行进一步的解释说明。

此外，企业可以参照保险合同、个人金融账户管理合同等强专业性合同的做法，将对个人权利影响较大，可能在未来对个人造成损害的条款，以加粗显示、要求阅读、要求抄写、询问是否理解其含义等方式，向个人强调该条款的存在及对其的影响。

二、“匿名化”规则的困境及出路

我国个人信息保护法第4条、第73条第4项延续网络安全法第42条和民法典第1038条第1款的规定，将个人信息按照匿名化与否进行分类，并规定经过匿名化的信息不属于个人信息，不受个人信息保护法规制。个案中，法院明确指出，匿名化处理后的信息无法定位到个人，因此公开匿名化信息不会损害信息主体的利益，可以供其他企业使用。但实际上，绝对的匿名化信息并不存在，经过匿名化的信息可以增加外设条件重新与个人连接。并且，不同信息的价值和性质不同，其所需的匿名化标准存在很大差异。匿名化信息的后续处理存在 流通风险，但不存在责任主体的立法模式也存在一定隐患。“匿名化”规则试图达到的立法目的，在实践中往往无法实现。

“匿名化”规则的困境

“匿名化”规则通过对信息的分类，事实上免除了数据处理者对这部分信息的管理义务与保护义务。“匿名化”规则的设置，为数据处理者在同意原则的大背景下，铺设了一条不需经过信息主体的同意而自由交易信息的路径，总体上来看，“匿名化”规则为信息流通企业注入了活力，但在“匿名化”规则适用的过程中，也暴露出了明显的理论问题和实操问题。目前我国个人信息保护法、网络安全法等法律法规，对“匿名化”规则的定义及标准做出了绝对化的界定，即要求该信息不存在被识别的可能性。但这与信息本身的处理规则以及技术发展的现实相违背，从而导致立法中所谓的“匿名化”标准，在现实中往往不可能实现。并且，对各种类型和性质的信息设置相同的“匿名化”规则，也不利于企业针对信息的特点进行特殊性的匿名化操作，无意义地提高了企业的处理成本。此外，数据处理者对匿名化信息不承担义务的立法模式，忽视了匿名化信息在流通中可能产生的安全风险，导致“存在风险但无人担责”的局面。

1.绝对的匿名化存在现实上的不可能性

根据个人信息保护法的规定，“匿名化”包含两层要求，其一，该信息需经过处理无法识别特定自然人；其二，该信息与特定自然人之间的关系不能复原。但实际上，无论从时间层面还是技术层面，凡是“匿名化”的行为均可以被破解，或者根据大数据统计中的其他参数进行修复，从而将匿名化信息再次与信息主体连接，永久且不可逆转的“匿名化”并不存在。我国个人信息保护法、网络安全法和民法典构建的“匿名化信息——不保护”“非匿名化信息——保护”的二元格局难以应用于实际。此外，绝对化的匿名化标准，并没有为企业提供实际可行的行为标准，导致严格遵守个人信息保护法的企业，由于无法明确匿名化的上限而投入过高匿名化研究和使用成本。而抓住法律漏洞的企业，往往可以以较低的成本达到所谓的匿名化，并且规避数据处理者的义务。长此以往，必然导致“劣币驱逐良币”，使整个信息处理行业陷入无人严守规范而无人承担责任的境地之中。另一方面，过于严格的规定也没有为公民的信息权益提供切实保护，实践中以所谓“匿名化”规避信息管理义务和保护义务的数据处理者比比皆是。标准的难以执行性也导致司法实践的模糊性。在个案中，原告主张浏览记录、收藏记录、交易行为等记录，虽然已经进行了匿名化处理，但由于其中包含大量敏感个人信息，并且与其他来源的信息结合后存在与特定个人产生连接的风险，因此应当不被认定为匿名化信息。但由于没有具体可行的判断标准，一审法院和二审法院在认定上述信息是否尚具有识别可能性，能否被认定为匿名化信息时均比较犹豫，无法做出肯定性的准确判断，不利于信息主体的权益保护。

2.匿名化信息流通同样存在信息安全风险

我国个人信息保护法将匿名化信息排除在了个人信息之外，因此匿名化信息无法获得个人信息保护法的规范和保护。立法者制定这样的规则，其逻辑基础在于，当个人信息中被删去或替换的内容增多，以至于个人信息与个人的连接无法实现时，个人信息事实上的个体分析价值已经消灭。匿名化市场需求较低，因此价值性较低，并且不会对个人信息安全和整体信息安全造成严重的负面影 响，信息的交易和流通不会造成的对信息安全的侵害，因此不必进行保护。然而现实中，即使是经过匿名化处理的信息，依然存在流转和使用的需求，并且通常信息主体无法知晓这类信息的流通情况和具体去向，其权利保护处于流变而无法监督的状态。并且随着其他来源信息的不断叠加，匿名化信息被添加标识。并与特定个人相连的可能性大大上升。如果对匿名化信息的流转过程不加任何限制，等待匿名化信息产生识别性时再进行监管，则为时已晚，并且很难进行公平合理的责任分担。“匿名化”标准的绝对性，与“匿名化”规则对信息处理者义务的彻底免除，反映出我国立法对信息安全风险所持有的一刀切管理模式和静态审视模式。但实际上，信息流通是多主体、多形式的动态过程，所谓绝对的信息安全状态不可实现，如果通过“匿名化”规则免除信息处理者的长期监管和保护义务，将会造成信息流通的无序性，从而导致信息主体的利益收到严重损害。

3.统一的“匿名化”标准不利于信息的多层次保护

目前，我国个人信息保护法对各种类型的信息设置了同样的匿名化标准，即无法与特定自然人产生联系且匿名性不可逆转。但是实践中，不同类型的信息具有的价值性差异较大，对信息主体可能造成损害的程度差异也较大。基于成本收益分析的视角，信息处理者对个人信息负有的管理义务和保护义务，应当与该部分个人信息对信息主体可能造成的损害程度相适应。因此，针对商业价值较低，对信息主体的人格利益和财产利益侵害较小的信息，应当对其自由流动和交易设置宽松化的规定，使得信息处理者在匿名化上需要投入的成本适当降低，达到成本收益的平衡，反之亦然。设置相同的“匿名化”规则标准，对于价值性较低的信息而言，将导致企业付出过高的匿名化成本，不利于对企业形成正面激励，反而会促进企业敷衍匿名化，或者拒绝匿名化。而对于本身价值性较高的信息，企业仅达到统一的匿名化要求，不一定可以消除信息存在的安全风险。带有安全风险且不存在责任主体的信息在竞争市场中自由流通，对于信息主体的信息权益以及信息交易市场的信息安全，都会产生长远的安全隐患。纵观世界主要国家对信息匿名化标准的规定，大多都对信息进行了分类管理， 并进行多层次保护。例如，欧盟在一般数据保护条例中规定，当信息处理者无意识别匿名化信息身份，或者没有足够的识别能力时，该类信息可免受一般数据保护条例部分条款的规制，该类信息的收集方和储存方也将承担更少的义务。美国学者在“PII2.0计划”中指出，应当根据信息面临的数据处理者的识别能力，设置不同水平的法律限制。其主要思路都是避免对信息进行统一性的管理和责任分配，而对信息进行分类并设置不同层次的“匿名化”规则和相应的责任承担体系，从而更高效的处理信息的“剩余风险”，更好的平衡数据处理者的保护义务与信息自由流通之间的冲突。

“匿名化”规则的改进建议

虽然“匿名化”规则的设定存在现实上的不可能性，但是将“匿名化”与“非匿名化”作为判断信息是否属于个人信息的标准，对于指引企业进行信息保护、便利监管仍然具有重要意义，并且极大地促进了信息的自由流通、交易与共享。目前，大多数国家也对信息保护做出了类似“匿名化”“可识别性”的要求，足以见得“匿名化”规则的存在，对信息产业的发展存在积极意义。因此，“匿名化” 规则仍然有保留的必要性，上文所述的困境主要来自立法思路的绝对性和静态 性。针对信息收集、交易、流通的法律法规，应当更加注重对过程的监管，其规范重点应当从静态、封闭、绝对的结果转变为动态、开放、相对的过程，从而在避开“匿名化”规则现有缺陷的基础上，保留“匿名化”规则本身的价值。

1.设置相对且可行的匿名化标准

“匿名化”规则的困境，根源在于目前立法采取了绝对化标准，将匿名与非匿名设置为非黑即白的概念，并且一刀切的免去了信息处理者的管理义务和保护义务。即使将绝对性的“匿名化”标准理解为宣誓性规则，也应当在其之下设置可行的具体判断标准，以避免各大企业付出过高的匿名化成本，或者使立法规则流于理想状态，而不存在实际实施的空间。因此，笔者认为，应当对“匿名化”规则设置一个切实可行的标准，即对“可识别性”做出具体、明确、可行的解释。“可识别性”作为“匿名化”规则中的核心概念，来源于我国网络安全法第76条的规定，是指“能够独自或者与其他信息结合识别自然人个人身份”。追根溯源，个人信息保护法与网络安全法中的“可识别性”，主要参考了欧盟一般数据保护条例的规定。一般数据保护条例在序言中提到，在判断信息是否达到“可识别性”的标准时，需要参考所有具有可能性的方法以及所有相关的客观因素。此外，欧盟“第29条数据保护工作组”在《关于个人数据概念的意见》中指出，“可识别性”的判定，应当以“合理识别可能性”为标准。由此可见，所谓“可识别性”和“匿名性”应当是一个相对的概念，以当下合理、可能的方法及其他客观因素无法识别的信息，即可以成为“不可识别性”信息或“匿名性”信息。在实践中，“合理识别可能性”的具体考量因素，可以参考识别成本、信息处理的目的与具体方式、现有识别技术及其可能的发展，以及信息处理者所采取的技术保护措施失灵的潜在风险等。

2.设置动态且持续的匿名化标准

将信息分类为“匿名化”信息和“非匿名化”信息，本质是一种结果导向的立法模式，但信息的价值性，恰恰主要来自信息处理的过程，因此信息保护立法应当将重点放在处理过程中的程序性设定以及风险防控。个人信息的匿名化水平，在科技迭代的背景下呈现出相对性和流动性的趋势，无法用绝对的标准进行界分，因此应当对个人信息的流通过程进行持续性、动态性的监督和管控。参考欧盟，欧盟立法为数据处理者设置了持续性的风险评估义务与匿名化加强义务。一方面，对于未来可能具有流通和利用价值的匿名化信息，数据处理者应当经常性地对信息面临的再识别风险进行评估，并且根据评估结果积极采取相应的再匿名化措施。另一方面，对于未来可能不再具有利用价值的匿名化信息，数据处理者也不得进行“释放和遗忘”，而同样应当进行实时的风险评估和监控，从而保证信息始终处于匿名状态。此外，欧盟立法要求数据处理者将有可能对匿名化信息进行分析、收集、处理的其他数据处理者，都视为具有侵权意图的“积极侵权人”，并建立长期、动态的积极防御管理，将潜在风险视为有可能的侵权损害进行主动识别和应对。信息的无体性导致其可以被多人重复利用、永续利用，并且不产生信息的实际损耗，导致信息即使已经被上游数据处理者处理完毕，依然具有价值并可以参与市场流通。因此，设置动态且持续的匿名化标准，使得数据处理者不能通过“匿名化”规则，一劳永逸的规避管理义务和监督义务，使得选择“匿名化”规则的数据处理者达到了权利和义务的平衡状态，有助于数据处理者谨慎选择“匿名化”规则，并且严肃对待已经匿名化的信息。我国立法虽然在民法典第1167条及个人信息保护法第51条中规定，信息处理者应当制定内部管理制度和应急预案，并采取技术性防范措施，保护信息不被泄露、篡改或丢失，但未明确指出该义务的持续性。因此，我国立法也可以参考欧盟模式，对数据处理者施加明确具体的长期义务，减轻数据处理者在匿名化信息初期的义务负担，加重匿名化完成后的后期义务负担，并要求不履行安全管理义务的数据处理者承担侵权责任。从而保障匿名化信息在长期的动态流变过程中，始终保持被监督的状态，保障信息主体对信息处理过程的控制权，从而防止匿名化信息的肆意交易对信息安全和信息主体权益的侵害。

3.根据具体场景设置不同的“匿名化”标准

目前，我国立法对于不同情景和用途的个人信息均设置了同样的匿名化标准，即采取了“一体主义”的立法模式。但是，信息处理者对匿名化信息的处理能力并非全有或全无，而是一个连续的频谱。笔者认为，对个人信息匿名化的要求，不应以绝对性的规则为标准，而应设置相对性、情景性的判断规则。匿名化标准的具体要求应结合信息使用的具体情境判断，例如在信息复原成本较高，但信息复原后所带来的收益较低的情境中，即使对信息设定较低的匿名化标准，企业在经济上也没有动力对复原匿名化信息，此时放低匿名化标准，可以减少企业的匿名化成本，也不会造成严重的信息安全问题，反之亦然。我国的《个人信息去标识化效果分析评估规范》（征求意见稿），针对不同的个人信息制定了不同的匿名化标准，这是对匿名化标准进行细致动态管理的有益尝试。该规范将信息分为能够直接识别信息主体的信息；已经进行匿名化处理，但仍具有较高再识别风险的信息；已经进行匿名化处理，且再识别风险较小并可控的信息；以及对个人信息进行大数据分析，得出整体性结论的聚合信息。该四类信息对信息主体的损害程度依次降低，因此对其赋予的匿名化标准也依次降低。我国个人信息保护法可以吸收这样的分类管理模式，对不同性质的信息结合其重要程度、再识别可能性、再识别风险等因素，设置不同的匿名化标准。此外，接受匿名化信息者的身份，也应当成为判断匿名化水平的重要依据，即根据接受匿名化信息者的信息识别能力，设置多层次、多维度的个人信息保护体系。当匿名化信息向指定第三方开放时，其匿名化水平达到可以避免该指定第三方进行重新标识即可；当匿名化信息向社会开放时，其匿名化水平应当达到避免潜在信息处理者进行重新标识的水平。有学者认为，匿名化信息向社会开放时，匿名化水平达到“社会一般人”依据现有知识无法重新标识即可，但笔者认为，向社会开放的信息面临更多的潜在数据处理者，有更高的重新标识风险，因此应当设置更高的匿名化水平，以避免不特定潜在数据处理者对信息权益造成侵害。

结语

海量信息时代，对信息的收集、交易、流通建立理论自洽、实践可行的监管规则，是立法者必须完成的工作。从近年来我国陆续出台的各项有关个人信息保护、信息流通监管的文件来看，我国已经逐渐重视与信息相关的法律法规建设。但是，目前的立法文件存在着体系性不明、理论基础未夯实等显著问题，在实践中也出现了大量法律规范无法切实落实的情况。信息的收集与处理是一项具有较强实践性的工作，涉及个人信息的信息更应该谨慎对待。我国立法应当针对个人信息保护不力的现状，及时调研实践中出现的问题，通过制定规范调整对数据处理者的义务安排和责任分配，切实保护信息主体的信息权益和信息安全。以实践倒推监管规范，对于实践中暴露出的安全风险及时填补，并逐步建立具有中国特色的体系性、多层次、全覆盖的信息保护体系。