一、个人信息匿名化规则的内在缺陷及适用障碍

（一）个人信息匿名化规则的内在缺陷

立法规定个人信息匿名化规则的目的在于免除个人信息处理者在对特定信息进行后续处理和流转时负有的合规负担，这预设了经过匿名化处理的信息仍然具有继续留存和使用的价值。然而，这一规则要求匿名化处理必须彻底消除个人信息具有的可识别性且达到无法复原的程度，其在追求彻底消除信息安全风险之同时，亦将完全抹杀信息具有的后续利用价值。此外，通过匿名化处理一刀切地斩断个人信息与信息主体间的所有关联的做法，忽视了个人信息处理实践的动态性和变化性特征，无法在信息的后续流转使用过程中实现对信息主体权益和信息安全的充分保护。

（二）个人信息匿名化规则的适用障碍

对于何种程度的处理能够使个人信息转化为匿名信息，我国立法亦未形成明确的标准。个人信息匿名化标准的模糊阻碍了这一规则的有效适用和信息处理者对这一规则的严格遵守，亦阻碍了司法实践中法院对匿名信息的准确界定。

二、个人信息匿名化规则的比较法考察

欧盟和美国立法对匿名化或去标识化标准的设定均未能够达到有效平衡信息保护和信息利用需求的效果。欧盟个人信息保护规则对匿名化处理所应达到的标准设置了过于严苛的要求，匿名化处理者不仅需要保证自身无法对匿名信息进行再识别，还需达到使任何第三方主体均无法对该信息进行再识别的程度。此种制度设计导致匿名化处理者对匿名信息的安全负有一种严格责任，进而可能造成信息处理者弃用匿名化规则，最终可能会摧毁这一制度存在的必要性基础。同时，欧盟立法中规定的匿名化标准又极为模糊而欠缺可操作性，由此进一步加剧了匿名化规则的适用障碍。

与之相反，美国立法基于确保信息资源自由流通和高效利用的价值追求，对个人信息去标识化的标准作出了较宽松的规定，其规定的去标识化操作在去除个人信息识别能力方面较为孱弱，由此导致经过处理的个人信息仍存有较为显著的剩余风险。此外，美国立法中规定的禁止再识别义务仅能约束存在合同关系的信息转让者和信息接收者，却无法预防第三方主体对信息的再识别行为。

欧美立法的上述问题表明，“匿名化迷思”的根源在于，其试图通过对理想的匿名化（去标识化）标准的事前界定以对信息性质作出“非此即彼”的判断，此种努力在信息智能时代注定难以实现。我国立法应积极寻求更为可行的替代方案，以实现《个人信息保护法（草案）》（二审稿）第1条所规定的“保护个人信息权益”和“促进个人信息合理利用”的立法目标的兼顾。

三、个人信息匿名化规则的替代方案及体系调整

（一）从“一体规制”到“区别规制”

当前，我国个人信息保护立法对所有个人信息均采取了同等程度的严格规制，此种“一体主义”的规制模式对个人信息的收集、使用和流转设置了极为严格的限制，在一定程度上违背了利益平衡和比例原则的法理，亦有违我国社会在公民信息隐私保护方面的主流价值取向。不同的个人信息所具有的识别能力不同，与信息主体的关联程度不同，当其被不当处理和流转时对信息主体个人权益产生的风险亦不相同。因此，对其相应的保护要求和信息收集、利用行为的限制程度亦应有所不同。

具有较低识别能力的个人信息应采取更加宽松的规制措施，并相应地降低甚至免除信息处理者负有的个人信息保护义务。未来我国个人信息保护立法应从当前的一体规制模式转向基于信息识别能力类型化的区别规制模式，根据不同类型的个人信息具有的不同程度识别能力构建起层次化的个人信息保护义务规则体系，形成对既有个人信息匿名化规则的替代选择。

我国个人信息保护立法可在一定程度上吸纳《个人信息去标识化效果分级评估规范》（征求意见稿）中确定的个人信息识别标准类型化的思路，根据个人信息具有的识别能力将其划分为直接识别性个人信息和间接识别性个人信息，并根据间接识别性个人信息具有的识别能力是否超过特定阈值将其进一步划分为识别能力高于阈值的间接识别性个人信息和识别能力低于阈值的间接识别性个人信息。在此基础上，采取“区别规制”的立法策略，针对不同类型个人信息蕴含的识别能力和安全风险，分别为其设置不同程度的个人信息保护义务，从而构建起层次化的个人信息保护义务体系。

（二）以信息识别能力为核心构建起层次化的个人信息保护义务体系

根据区别规制的立法策略，应对不同类型个人信息对应的个人信息保护义务作出差异化安排。其中，对于直接识别性个人信息，因其与信息主体间存在直接对应关系，立法仍应严格约束对此种信息的收集、分析、使用及流转，要求信息处理者全面履行各项个人信息保护义务。而对于已消除直接标识符的间接识别性个人信息，则应降低并部分免除信息处理者对其负有的义务以及其在处理此类信息时受到的约束。同时，个人信息处理者虽然仍需对间接识别性个人信息承担其他法律规定的个人信息保护义务，但其在履行此种义务的过程中需要采取的具体技术措施和组织措施，以及应达到的审慎程度相比于直接识别性个人信息均应适度降低。

对于识别能力低于一定阈值的间接识别性个人信息，应允许信息处理者在未征得信息主体同意的情况下对其进行转让，同时为此种场合下的个人信息处理者设置持续性的个人信息保护义务和责任，以消弭此类信息在流转过程中对信息主体造成的潜在风险。对于经过去标识化处理已达到使其识别能力低于阈值的个人信息，信息处理者仍应履行必要的程序性保护义务。个人信息处理者应建立相应的个人信息安全影响评估机制以评估对此类信息进行处理所存在的安全风险。同时，其应对此类信息的流转情况进行记录，包括处理个人信息的具体类型、数量、来源，具体的信息处理操作，以确保当发生信息泄露或恶意攻击等情况时能够及时采取相应的应对措施，并对信息主体进行风险提示。此外，信息处理者还应对信息接收方存储、使用、流转个人信息的情况进行适当监督，并要求其提供不低于自身同等水平的个人信息保护措施。

（三）引入不得从事再识别行为的法律义务

再识别是指将经过去标识化处理的个人信息与其他信息相结合以重新识别信息主体的过程，这一过程因涉及对间接识别性个人信息的处理而当然构成个人信息处理行为，从而应当受到个人信息保护立法的规制。个人信息保护立法应当明确在未经信息主体和信息处理者同意的情况下，下游信息使用者不得将经过去标识化处理的间接识别性个人信息用于对信息主体身份进行再识别，否则即构成对直接识别性个人信息的处理，并仍需遵循个人信息保护法对直接识别性个人信息的规制规定。当第三方主体以恶意攻击、窃取等手段所从事的再识别行为时，其行为的目的往往在于破解自然人的相关信息以用于非法交易或从事违法犯罪活动等，对此，可通过刑法手段对此类行为予以制裁。

四、结语

未来的个人信息保护立法应区分不同个人信息在识别能力上的差异而对其采取区别规制的策略，激励信息处理者尽可能采取降低个人信息识别能力的措施以换取信息流通效率；同时，其应规定个人信息处理者应承担持续性的个人信息保护义务，并根据个人信息处理者是否履行了与信息风险相适应的信息保护义务决定其责任承担。相比于个人信息匿名化规则，此种过程导向的个人信息保护制度更加契合个人信息处理实践的动态性特征，且能为调控各方主体间的利益冲突提供更加富有弹性的制度空间，有望真正实现信息主体、信息处理者和下游信息使用者的利益平衡与合作共赢。

以上内容来源于网络，如有侵权请联系删除。