個人信息匿名化的迷思
——以《個人信息保護法（草案）》匿名化除外條款為例

沈偉偉

隨著數(shù)字時代的到來和相關(guān)技術(shù)的推廣，個人信息的收集和使用越來越普遍，由此也引發(fā)了個人信息的非法收集、濫用、泄露等現(xiàn)實問題。如何回應(yīng)這些現(xiàn)實問題，強化個人信息的法律保護，成了學(xué)術(shù)界和實務(wù)界的共識。但這只是問題的一方面。另一方面，個人信息在數(shù)字經(jīng)濟發(fā)展過程中的重要性不斷提升，怎么樣利用好個人信息資源，直接關(guān)系到我國的數(shù)字經(jīng)濟轉(zhuǎn)型、社會治理能力和國際競爭優(yōu)勢。①參見國務(wù)院印發(fā)的《促進大數(shù)據(jù)發(fā)展行動綱要》（國發(fā)〔2015〕50 號）。正是在這樣雙重需求疊加的現(xiàn)實背景之下，《中華人民共和國個人信息保護法（草案）》（以下簡稱“《草案》”）于2020年10月正式亮相。其中，非常突出的一點在于，《草案》突破性地提出了有別于以往法律法規(guī)界定個人信息的方式，亦即將“匿名化”作為除外條款納入個人信息的定義之中。對于這一定義上的突破，學(xué)界尚未展開充分闡釋。本文的目的并非再度喚起學(xué)界對個人信息定義的興趣，或提出全新觀點，而是僅就個人信息“匿名化”這一變通性界定，從法理和技術(shù)維度做進一步考證。

寫作本文的出發(fā)點是我國個人信息保護理論與技術(shù)實踐的現(xiàn)狀，即學(xué)術(shù)界和實務(wù)界對個人信息匿名化問題的分析思路存在局限，一些技術(shù)實踐和價值平衡的問題尚未得到充分揭示。針對這一現(xiàn)狀，本文旨在揭示：在界定個人信息立法層面，各國法律所采取的進路之所以存在困境，深層原因在于個人信息保護與個人信息利用之間存在著難以調(diào)和的矛盾。從上述矛盾出發(fā)，我國的個人信息保護立法應(yīng)當(dāng)立足技術(shù)實踐和制度傳統(tǒng)，找到個人信息保護和個人信息利用之間的平衡，既回應(yīng)對于個人信息保護的現(xiàn)實需要，又能為個人信息的合理利用創(chuàng)造條件。而《草案》中個人信息匿名化這一除外條款，并不能很好地達到這個平衡的目的，反而可能造成規(guī)制失靈等諸多問題，理應(yīng)作出調(diào)整。

一、全球規(guī)制背景下的個人信息保護

互聯(lián)網(wǎng)產(chǎn)業(yè)的高速發(fā)展，給世界各國個人信息保護立法出了一道難題。一方面，在數(shù)字時代，假如采取過于嚴格的個人信息保護制度，則必將阻礙甚至摧毀互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展，不利于一國產(chǎn)業(yè)體系的數(shù)字化轉(zhuǎn)型；另一方面，如果采取純粹自由放任的監(jiān)管路徑，小到單個公民的個人信息，大到整個國家的網(wǎng)絡(luò)安全，都可能遭到威脅。后者的典型案例，便是2016年美國總統(tǒng)大選期間的“劍橋分析事件”（Cambridge Analytica）。在這一事件中，劍橋分析公司利用“臉書”涉及的8 700萬用戶的個人數(shù)據(jù)展開技術(shù)分析，進而干預(yù)美國大選。①Ben Brody & Bill Allison, Facebook Set Lobbying Record Amid Cambridge Analytica Furor, April 21, 2018, BLOOMBERG, available at https://www.bloomberg.com/news/articles/2018-04-20/facebook-set-lobbying-record-ahead-of-cambridge-analytica-furor (Last visited by April 6, 2021).這個事件顛覆了人們對個人信息保護重要性和緊迫性的固有認識，直接引發(fā)了美國立法史上最快立法之一——《云法案》（Clarifying Lawful Overseas Use of Data Act of 2018, “CLOUD Act”）的出臺。并且，其帶來的連鎖反應(yīng)也促成了2018年《加利福尼亞州消費者隱私保護法案》（California Consumer Privacy Act of 2018, “CCPA”）、2019年《國家安全與個人數(shù)據(jù)保護法（草案）》（National Security and Personal Data Protection Act of 2019）②S.2889-NationalSecurity and Personal Data Protection Act of 2019, available at https://www.congress.gov/116/bills/s2889/BILLS-116s2889is.xml.等一系列個人信息保護立法的出臺，強化了美國的部門條塊化（Sector-specific）個人信息立法模式。

與此同時，歐盟也在原本不發(fā)達的數(shù)據(jù)產(chǎn)業(yè)基礎(chǔ)上，采取了與美國截然不同的一體化立法模式，將其原有的《1995年數(shù)據(jù)保護指令》（Data Protection Directive, Dir.95/46/EC）升級為保護力度和廣度更強的《一般數(shù)據(jù)保護條例》（General Data Protection Regulation）（以下簡稱“《條例》”），試圖打造一個“內(nèi)緊外松”的數(shù)字單一市場。③參見許可：《歐盟〈一般數(shù)據(jù)保護條例〉的周年回顧與反思》，《電子知識產(chǎn)權(quán)》2019年第6期。與歐盟和美國類似，為應(yīng)對此種狀況，世界各國紛紛推出符合本國國情的數(shù)據(jù)立法。根據(jù)聯(lián)合國貿(mào)易和發(fā)展會議（UNCTAD）的統(tǒng)計數(shù)據(jù)，截至2021年3月，全球已有128個國家制定了個人信息保護法。④UNCTAD, Data Protection and Privacy Legislation Worldwide,Available at https://unctad.org/page/data-protection-and-privacy-legislation-worldwide.

上述是我國《草案》制定的大背景。當(dāng)然，正如許多研究者所指出的，從內(nèi)容來看，《草案》在法律適用范圍、個人信息處理規(guī)則、個人權(quán)利和義務(wù)、處罰細則等方面，大量借鑒了《條例》，以致其中多處都可以看到《條例》的影子。⑤參見王新銳、羅為：《我國〈個人信息保護法（草案）〉與GDPR的差別點》，https://baijiahao.baidu.com/s?id=1681511555547520051&wfr=spider&for=pc, 2021年3月25日訪問。第一，《草案》對于個人信息借鑒《條例》的做法采取了特殊化處理的方式，亦即對“敏感個人信息”采取了特別規(guī)定，這與《條例》中的“特殊類型個人數(shù)據(jù)”異曲同工。⑥盡管從具體規(guī)則上看，《草案》作為后繼立法，在借鑒《條例》“特殊類型個人數(shù)據(jù)”處理的同時，還作出了更進一步的、諸如“用戶單獨同意”這類規(guī)定。第二，《草案》的處罰細則也借鑒了《條例》。《條例》的處罰標(biāo)準(zhǔn)是“兩千萬歐元或上一年全球總營業(yè)額4%的金額的罰款上限（兩者取較高者）”，而《草案》則將罰款上限規(guī)定為“五千萬元以下或者上一年度營業(yè)額5%”。①參見《草案》第62條。第三，《草案》與《條例》類似，帶有濃厚的公法色彩——規(guī)定了專門的監(jiān)管機構(gòu)，以及一系列類似行政處罰式的執(zhí)法措施，同時，也對國家機關(guān)處理個人信息、個人信息跨境規(guī)制等問題作出一系列規(guī)定，這是調(diào)整平等主體關(guān)系的私法所不具備的特色。②對于個人信息公法保護，憲法、行政法學(xué)界已有不少論述。參見王錫鋅：《個人信息國家保護義務(wù)及展開》，《中國法學(xué)》2021年第1期；余成峰：《信息隱私權(quán)的憲法時刻——規(guī)范基礎(chǔ)與體系重構(gòu)》，《中外法學(xué)》2021年第1期。

除了上述三點之外，其他借鑒亦有不少，不再贅述。這樣的大量借鑒到底是現(xiàn)實之需，還是倉促而為，還需我們仔細分辨。但有一點可以肯定，我國應(yīng)對個人信息保護這一國際性立法趨勢，所要確立的目的導(dǎo)向、遵循的立法路徑，與歐盟不盡相同，也與美國不盡相同。究其原因，主要在于我國現(xiàn)行公法和私法保護體系、特定時期的技術(shù)和產(chǎn)業(yè)發(fā)展節(jié)點，以及我國對個人信息理解的特殊法制傳統(tǒng)。在這一點上，不少研究個人信息保護的中國學(xué)者，已有相當(dāng)程度的理論自覺。③參見丁曉東：《個人信息保護：原理與實踐》，法律出版社2021年版，第159-164頁。

下文將詳細闡述的《草案》關(guān)于個人信息定義的表述，實際上借鑒了其他國家（尤其是歐盟和美國）在先立法經(jīng)驗，將“可識別性”作為《草案》所保護的個人信息的判定標(biāo)準(zhǔn)，并將“匿名化”，直接納入到《草案》個人信息定義之中。筆者將對這些借鑒和轉(zhuǎn)化展開梳理與反思。

二、《草案》個人信息定義述評：匿名化的引入

本節(jié)通過比對現(xiàn)有的其他處理個人信息的法律，對《草案》中的個人信息定義條款進行分析，并論證“匿名化”是理解《草案》個人信息定義的關(guān)節(jié)點，也是其有別于我國其他法律法規(guī)定義的特殊之處。

首先，《個人信息保護法（草案）》第1條開宗明義，為該法定下基調(diào)：“為了保護個人信息權(quán)益，規(guī)范個人信息處理活動，保障個人信息依法有序自由流動，促進個人信息合理利用，制定本法?！雹軓姆ń忉寣W(xué)角度分析，一部法律的第1條通常是整部法律的基調(diào)所在，它指明了該部法律的立法目的和立法意義。參見梁慧星：《民法解釋學(xué)》，中國政法大學(xué)出版社2003年版，第217頁。很顯然，就其立法目的而言，《草案》詳細列舉了4項，其中前兩項偏向個人信息保護，后兩項偏向個人信息利用。由此可以得出三個結(jié)論。第一，在立法者眼中，無論是個人信息保護，還是個人信息利用，都屬于《草案》立法目的。第二，盡管個人信息保護和個人信息利用在實踐中多多少少存在沖突，但這不意味著兩者直接對立，在一些情況下，至少在第1條并列式表達所體現(xiàn)出來的期望中，需做到兩者兼得。第三，無論是《草案》標(biāo)題，還是從第1條立法目的條款中列舉的次序，都可以推斷出：在個人信息保護和個人信息利用之間存在著優(yōu)先等級，即個人信息保護要高于個人信息利用。

立法者在《草案》第1條對兩種立法目的的區(qū)分確有其合理性，而這種區(qū)分也提示了二者存在交叉競合的可能性。事實上，是不是個人信息流通得越頻繁，對于個人信息的利用就越充分？是不是個人信息的流通越簡約，對于個人信息保護就越得力？都不盡然。

在如今信息爆炸的時代，對于個人而言，信息有優(yōu)劣之別，并不是越多越好。每天沉浸在信息之中，其中就有不少如同美國作家索爾·貝婁所言，“只不過是毒害我們而已”，假新聞這類信息就是典型。①參見左亦魯：《假新聞:是什么？為什么？怎么辦？》，《中外法學(xué)》2021年第2期。同樣，對于利用個人信息的主體而言——無論是政府，還是企業(yè)，個人信息也并非越多越好。在大數(shù)據(jù)的利用過程中，也存在信息太多反倒起負作用的情形，比如信息干擾和信息混淆。②Frank Pasquale, The Black Box Society6-8 (2015).因此，為了實現(xiàn)《草案》第1條所確立的立法目的，我們就必須對《草案》所保護的個人信息作出明確界定，既要“被保護”，也要“可利用”，唯有如此，才能進一步探討其他類型化和場景化的個人信息保護問題。

其次，如果說《草案》第1條為整部法律定下基調(diào)，那么《草案》第4條第1款對于“個人信息”的定義，就是《草案》的“題眼”。這是由于“個人信息”不但出現(xiàn)在《草案》名稱中，更是貫穿整部《草案》的每一個條文，總計200余次。毫不夸張地說，“個人信息”的定義哪怕只是作出細微調(diào)整，都將會直接影響整部法律的調(diào)整對象和實施效果。那么，《草案》是怎樣界定“個人信息”的呢？《草案》第4條第1款規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！?/p>

孤立地審視《草案》第4條第1款，并不能全面把握其特點及其與立法目的之關(guān)聯(lián)。而恰恰由于個人信息保護問題的普遍性，到目前為止，我國已有一系列法律法規(guī)都對其作出規(guī)定，但至今尚未能形成對“個人信息”的統(tǒng)一概念。③參見高富平：《個人信息保護：從個人控制到社會控制》，《法學(xué)研究》2018年第3期；劉洪巖、唐林：《基于“可識別性”風(fēng)險的個人信息法律分類——以歐美個人信息立法比較為視角》，《上海政法學(xué)院學(xué)報(法治論叢)》2020年第5期。如果我們將現(xiàn)有的對個人信息定義的立法作一番比較，就可以更好地厘清《草案》第4條第1款的特殊之處及其所關(guān)聯(lián)的理論意涵。

首先，我們考察民法典中的個人信息?！吨腥A人民共和國民法典》（以下簡稱“《民法典》”）先是在第四編“人格權(quán)”中，專設(shè)“隱私權(quán)和個人信息保護”一章，進而確立了我國特有的“隱私”與“個人信息”二分的法律規(guī)制架構(gòu)。④參見許可、孫銘溪：《個人私密信息的再厘清——從隱私和個人信息的關(guān)系切入》，《中國應(yīng)用法學(xué)》2021年第1期。根據(jù)《民法典》第1034條規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！睋Q言之，根據(jù)《民法典》規(guī)定，個人信息的核心特征和主要認定標(biāo)準(zhǔn)都落在學(xué)界所關(guān)注的“可識別性”——既包括“單獨”識別，也包括“與其他信息結(jié)合”識別。這與《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱“《網(wǎng)絡(luò)安全法》”）所給定的個人信息的定義基本吻合。⑤事實上，最早也是影響最廣泛的涉及個人信息保護的規(guī)范性文件是2012年全國人大常委會發(fā)布的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，該文件雖然沒有明確定義何謂個人信息，但也是以識別個人身份的可識別性作為保護的標(biāo)準(zhǔn)?！毒W(wǎng)絡(luò)安全法》第76條規(guī)定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！?/p>

除了兩部涉及個人信息的現(xiàn)行法之外，為了應(yīng)對近幾年個人信息保護實踐中遇到的問題，相關(guān)部門也出臺了一系列司法解釋、部門規(guī)章等，嘗試對個人信息這一概念作出界定，滿足現(xiàn)實司法和執(zhí)法方面的需求。例如，最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條規(guī)定：“刑法第二百五十三條之一規(guī)定的‘公民個人信息’，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等?！痹偃纾ば挪堪l(fā)布的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第4條規(guī)定：“本規(guī)定所稱用戶個人信息，是指電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務(wù)的時間、地點等信息?！雹俅送猓ば挪?012年發(fā)布的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》和全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2017年發(fā)布的《信息安全技術(shù)個人信息安全規(guī)范》中，也對“個人信息”作出了基于可識別性的定義。

通過上述比照可以看出，《草案》對于個人信息的定義，基本上承襲了我國立法層面對于個人信息的可識別性標(biāo)準(zhǔn)的導(dǎo)向——盡管《草案》的自然人識別標(biāo)準(zhǔn)與《民法典》《網(wǎng)絡(luò)安全法》的身份識別標(biāo)準(zhǔn)有一定區(qū)別——這一點有別于有些國家或地區(qū)（比如美國加利福尼亞州）法律中嘗試的、保護范圍更大的關(guān)聯(lián)性標(biāo)準(zhǔn)。但仔細考察，可以發(fā)現(xiàn)《草案》中有關(guān)“個人信息”的定義并沒有止步于此，第4條第1款創(chuàng)造性地加入了一段但書——“不包括匿名化處理后的信息”。換言之，盡管“匿名化”的個人信息仍可能受到上述其他法律法規(guī)保護，但它被徹底排除在《草案》這一個人信息保護專門立法的保護范圍之外。

為什么要把“匿名化”個人信息明文排除在外？“匿名化”個人信息被排除在外后，會帶來什么樣的立法后果？這些立法后果和第1條所規(guī)定的《草案》立法目的有什么關(guān)聯(lián)？這是下文要著重探討的幾個問題。

三、個人信息匿名化的迷思

為什么要把“匿名化”個人信息明文排除在外？要理解這一立法的意圖，就必須理解匿名化與可識別性之間的關(guān)聯(lián)。既然《草案》采取了可識別性為個人信息界定的標(biāo)準(zhǔn)，那么按字面意思，如果一種信息不能“單獨或者與其他信息結(jié)合識別自然人個人身份”，那么這種信息自然就被排除在個人信息保護之外。這一除外條款看起來有些“畫蛇添足”，但實際上該除外條款還有著隱含的意義——“匿名化處理后的信息”，如果可以完美實現(xiàn)，那它應(yīng)當(dāng)是“經(jīng)過處理無法識別特定自然人且不能復(fù)原”②參見《草案》第69條。，不能“單獨或者與其他信息結(jié)合識別自然人個人身份”。這一理想場景，既能給個人信息的處理者以合理流轉(zhuǎn)和利用個人信息的機會，又能防范不法分子利用可識別身份的個人信息侵犯公民的隱私和其他個人信息權(quán)益。

但在實踐中，這個前提并不成立。有些“匿名化處理后的信息”，在技術(shù)實踐中有可能變成“銀樣蠟槍頭”，仍然可以被“去匿名化”，仍然可以被“再識別”。為了理解這一癥結(jié)，我們有必要在技術(shù)實踐層面，對個人信息匿名化作出一番剖析，考察“什么是匿名化？”這一前置性問題。

個人信息“匿名化”這一概念出現(xiàn)在國內(nèi)外諸多個人信息保護法律法規(guī)中。①嚴格說來，《條例》第4條定義?？畈]有給匿名化（Anonymization）直接下定義，而是采用了另一個概念：假名化（Pseudonymisation）。其第4條規(guī)定：“‘假名化’指的是在采取某種方式對個人數(shù)據(jù)進行處理后，如果沒有額外的信息就不能識別數(shù)據(jù)主體的處理方式。此類額外信息應(yīng)當(dāng)單獨保存，并且已有技術(shù)與組織方式確保個人數(shù)據(jù)不能關(guān)聯(lián)到某個已識別或可識別的自然人?！倍凇稐l例》Recital 26中提到匿名化信息（Anonymous Information）時，給出了一個與《草案》類似的理想描述，亦即“不會被或者不再會被識別的信息”。而《條例》的前身——《1995年數(shù)據(jù)保護指令》，亦采取類似的方式定義匿名化信息。美國的《加利福尼亞州消費者保護法案》（CCPA）、《健康保險流通與責(zé)任法》（HIPPA）和《加利福尼亞州隱私法案》（CPRA）則采取了“去標(biāo)識化”這一近似概念。我國的《網(wǎng)絡(luò)安全法》第42條雖然沒有直接使用“匿名化”這個詞，但也出現(xiàn)了與之含義相近的“個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程”表述。而《信息安全技術(shù)個人信息安全規(guī)范》則將匿名化定義為“通過對個人信息的技術(shù)處理，使得個人信息主體無法被識別，且處理后的信息不能被復(fù)原的過程”。而有備而來的《草案》，在第69條將匿名化定義為“個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程”②《草案》第69條定義了“去標(biāo)識化”：“指個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程?！痹诖?，立法者顯然是把“去標(biāo)識化”作為較淺層的匿名化來對待。與之相對，作為“去標(biāo)識化”概念應(yīng)用更早的美國法，無論是在CCPA還是在CPRA中，都是被定義為極其嚴格的匿名化。參見CCPA Section 1798.140 (h); CPRASection 1798.140 (m)。。

從這一系列定義可以看出，匿名化，并不是字面上將姓名隱匿這么簡單，需要被隱匿的信息也可能包括上述法條中所列舉的出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等，并且這類信息隱匿處理的最終目的，是要做到無法識別個人身份。③更甚之，《信息安全技術(shù)個人信息安全規(guī)范》規(guī)定，個人信息控制者在超出個人信息保存期限后，或停止運營其產(chǎn)品或服務(wù)時，“應(yīng)對個人信息進行刪除或匿名化處理”。這幾乎是將“刪除”與“匿名化”視作可以互相替代的責(zé)任承擔(dān)方式。由定義不難看出，“匿名化”并非理論上的概念推演所創(chuàng)設(shè)，而是一個不折不扣的實踐產(chǎn)物，涉及很多諸如數(shù)據(jù)抽樣（Sampling）、數(shù)據(jù)聚合（Aggregation）、確定性加密（Deterministic Encryption）、同態(tài)加密（Homomorphic Encryption）、信息壓制（Suppression）、抽象化（Generalization）、隨機化（Randomization）、數(shù)據(jù)合成（Synthetic Data）等技術(shù)，并最終為理論所吸收。④參見楊建媛、鄔丹：《脫敏技術(shù)與法律效果評價可以機械對應(yīng)嗎？》，《合規(guī)科技研究》公眾號。

盡管匿名化屬于成熟的通行技術(shù)實踐，可就連對匿名化持相對樂觀態(tài)度的隱私法學(xué)者保羅·斯沃茲（Paul Schwartz）和丹尼爾·索洛夫（Daniel Solove）都承認：匿名化是暫時的，再識別是可能的。⑤Paul M. Schwartz & Daniel J. Solove, The PII Problem: Privacy and A New Concept of Personally Identifiable Information, 86 N.Y.U. L. Rev.1814, 1837 (2011).在傳統(tǒng)社會，人們可以較容易地隱匿自己身份；但是，要在網(wǎng)絡(luò)社會做到不可追蹤、不可識別，難度則要大得多。⑥Ibid.換言之，一旦某位公民的個人信息被采集，那么就存在一種潛在的可識別性，哪怕他暫時處于匿名化狀態(tài)。事實上，如果稍微迂回到個人信息保護和個人信息利用這一對立法目的上，我們就很容易發(fā)現(xiàn)，匿名化這一技術(shù)處理，也是與上述矛盾完全呼應(yīng)的——其目的是為了實現(xiàn)個人信息保護的同時，也能對個人信息進行利用。如果個人信息只需保護而無需利用，那么根本就無須匿名化，直接禁用即可。如果個人信息可以隨意利用且無需保護，也不必采取任何匿名化措施。

但在技術(shù)實踐層面，筆者在此著重強調(diào)，匿名化并不僅僅是《草案》中簡單處理的“有或無”的問題，而是一個層次豐富的“多或少”的問題。換言之，匿名化信息既可以涵蓋完全無法識別身份的用戶信息①例如，商場投幣游戲機的玩家用戶數(shù)據(jù)。，也可以涵蓋當(dāng)下完全匿名化但無法保證未來不被去匿名化的信息②參見蘇宇、高文英：《個人信息的身份識別標(biāo)準(zhǔn)：源流、實踐與反思》，《交大法學(xué)》2019年第4期。，還可以涵蓋當(dāng)下就可以結(jié)合其他數(shù)據(jù)進行識別的信息（盡管需要或高或低的成本）。而匿名化的程度，與數(shù)據(jù)利用的程度直接相關(guān)。舉例而言，在疫情期間，流調(diào)信息公布不可避免地要涉及個人信息，而各地政府在公布流調(diào)之時，也都會采取或多或少的匿名化措施。但是匿名化的程度，每個地方政府尺度不一。不乏有些地方政府匿名化做得不夠，讓社會公眾很快就能識別出公布的病例個人信息，加之社交媒體的推波助瀾，使當(dāng)事人的隱私和個人信息權(quán)益遭到嚴重的侵犯。但與此同時，我們也要考慮到另一種極端情況，假設(shè)地方政府匿名化做得太過，隱匿確診病例的居住地、發(fā)病與就診情況、密接人員、行經(jīng)暴露的場所及相應(yīng)具體時間等一些關(guān)鍵流調(diào)信息，如此一來，個人信息雖因此得到更大的保護，但相應(yīng)的個人信息利用（亦即流調(diào)防控效果）也就受到限制。③參見戴昕：《“防疫國家”的信息治理：實踐及其理念》，《文化縱橫》2020年第5期；沈偉偉：《論數(shù)字緊急狀態(tài)的恢復(fù)機制——以新冠疫情防控為例》，《清華法學(xué)》2021年第2期。

這也印證了美國隱私法學(xué)者保羅·歐姆（Paul Ohm）的一個著名論斷：個人信息保護與個人信息利用是匿名化這一情境下的一對難以調(diào)和的張力——匿名化不足，就無法很好保護隱私和個人信息權(quán)益；匿名化太過分，又影響其利用價值。④Paul Ohm, Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization, 57 UCLA L. REV. 1701, 1732 (2010).事實上，不但匿名化技術(shù)如此，加密技術(shù)也是如此。有研究者就對亞馬遜的加密技術(shù)進行分析，指出其對于數(shù)據(jù)利用和再開發(fā)所帶來的障礙。SeeHyunji Chung et al., Digital Forensic Approaches for Amazon Alexa Ecosystem, 22 Digit. Investig. 15 (2017).在高度依賴用戶畫像實現(xiàn)精準(zhǔn)服務(wù)的時代，這一現(xiàn)象越發(fā)顯著。⑤參見丁曉東：《用戶畫像、個性化推薦與個人信息保護》，《環(huán)球法律評論》2019年第5期。比如，健康碼抗疫個人信息利用領(lǐng)域中的認證環(huán)節(jié)，一旦采取高度匿名化，那么認證環(huán)節(jié)的成本就會陡增。早期尚未形成全國聯(lián)網(wǎng)、各地標(biāo)準(zhǔn)尺度不統(tǒng)一的健康碼，就常常由于信息不足，而導(dǎo)致跨區(qū)域認證困難。反之，由于進出商場需要出示健康碼實行人臉比對，自帶人臉正面照片、地理位置、行程時間等容易“被識別”的信息，一旦健康碼流出，就容易造成對公民隱私和個人信息權(quán)益的侵害，不少明星就在本次疫情期間“吃了這方面的虧”。⑥事實上，本次新冠疫情由于防控力度超出常規(guī)，參與防控過程（特別是流調(diào)過程）的人員和部門也更多，比如醫(yī)護人員、社區(qū)職工、學(xué)校商場等公共場所的工作人員，以及公安部門、疾控中心和電信部門為主的政府官員等，泄露個人信息的風(fēng)險也更大。

在匿名化個人信息的成本和風(fēng)險分析中，去匿名化技術(shù)扮演著極其重要的角色。近些年，有不少隱私法學(xué)者主張用可識別個人信息（Personal Identifiable Information）和非可識別個人信息這一分類，來類型化個人信息保護措施。⑦最典型的論述，參見Paul M. Schwartz & Daniel J. Solove, The PII Problem: Privacy and A New Concept of Personally Identifiable Information,86 N.Y.U. L. Rev. 1814 (2011)。這種分類所遭遇的困難和匿名化自身所面臨的技術(shù)挑戰(zhàn)是類似的，都是去匿名化技術(shù)。簡言之，如果去匿名化技術(shù)足夠高超、成本足夠低廉，即便是非可識別個人信息或匿名化信息，也可以被準(zhǔn)確定位到公民個人。而且，去匿名化技術(shù)的發(fā)展，存在累加效應(yīng)——去匿名化技術(shù)越發(fā)達，可利用的外部關(guān)聯(lián)數(shù)據(jù)庫就越多，去匿名化的效果越強。每一次個人信息去匿名化的勝利，都可能成為下一次個人信息去匿名化的墊腳石，而整個社會的個人信息風(fēng)險也就因此越升越高。

美國兩個廣為人知的去匿名化案例，很好地呈現(xiàn)了去匿名化技術(shù)所引發(fā)的個人信息風(fēng)險。第一個案例是“AOL①AOL ,全稱American Online,即美國在線公司，是20世紀(jì)90年代以來美國最具影響力的互聯(lián)網(wǎng)服務(wù)提供商之一。事件”。2006年，AOL公開匿名化搜索記錄，供社會研究。在公開的搜索記錄中，用戶姓名被替換成了一串串匿名化的數(shù)字ID。但是《紐約時報》卻通過這些搜索記錄，識別到ID為 4417749的用戶，并對其生活造成極大困擾。AOL緊急撤下共享數(shù)據(jù)，但為時已晚，AOL遭到起訴，最終付出了總額高達500萬美元的賠償。②Michael Barbaro& Tom Zeller, A Face is Exposed for AOL Searcher No. 4417749, N.Y. TIMES (Aug. 9, 2006), http://www.nytimes.com/2006/08/09/technology/09aol.html(Last visited by Mar.5, 2021).第二個案例是“Netflix事件”。Netflix 公司于2006年對其50萬名用戶在過去6年的影評信息進行匿名化處理之后，公之于眾，并懸賞能夠提升其電影推薦功能的算法。研究者赫然發(fā)現(xiàn)，只要獲取特定用戶6 部影評發(fā)布時間與評分信息，就足以識別出該網(wǎng)站數(shù)據(jù)庫中99% 的用戶身份。③Ryan Singel, Netflix Cancels Recommendation Contest after Privacy Lawsuit, WIRED (Mar. 12, 2010), https://www.wired.com/2010/03/netflixcancels-contest; Arvind Narayanan &VitalyShmatikov, Robust Deanonymization of Large Sparse Datasets, PROC. 2008 IEEE SYMP. ON RES. IN SECURITY & PRIVACY 111 (2008).Netflix公司也因此遭受輿論風(fēng)暴。

在上述案例中，匿名化個人信息被去匿名化這一過程，很難完全歸咎于工作人員的疏忽。對AOL和Netflix而言，這些公開信息的決策都是由當(dāng)時業(yè)內(nèi)頂尖的計算機工程師背書和管理人員拍板，他們并不業(yè)余。但這些業(yè)內(nèi)頂尖人員，卻確實在匿名化的判斷上犯下錯誤，本質(zhì)上還是由于個人信息利用和匿名化之間的沖突：為了保證個人信息可被利用（無論是AOL的研究需求，還是Netflix為提升自己算法精度），就必然要在匿名化程度上留有余地。然而，“開弓沒有回頭箭”，這些被去匿名化的個人信息，有可能被用來識別個人身份，再識別所引發(fā)的后果很可能是無法挽回的。但即便這些專業(yè)人員吸取教訓(xùn)，在下一次作出匿名化決策時，仍有可能為了保證數(shù)據(jù)能被利用而繼續(xù)犯錯。④“臉書”為了讓廣告商精準(zhǔn)投放并估算廣告費用，同樣在個人信息利用和匿名化之間付出了極大努力，但即便如此，依然沒有辦法完全排除去匿名化風(fēng)險。See Andrew Chin & Anne Klinefelter, Differential Privacy As A Response to the Reidentification Threat: The Facebook Advertiser Case Study, 90 N.C. L. Rev. 1417, 1433-36 (2012).這是因為去匿名化技術(shù)可能在升級，且匿名化數(shù)據(jù)所運行的環(huán)境可能被更多的可供對撞數(shù)據(jù)庫所包圍，這將使得匿名化數(shù)據(jù)面臨著更不可測的去匿名化風(fēng)險。⑤有關(guān)算法運行環(huán)境所帶來的不可測影響,參見沈偉偉：《算法透明原則的迷思——算法規(guī)制理論的批判》，《環(huán)球法律評論》2019年第6期。事實上，在實驗室環(huán)境中，不少學(xué)者已經(jīng)模擬出各類去匿名化的風(fēng)險。早年比較經(jīng)典的研究來自哈佛大學(xué)教授拉塔婭·史文妮（Latanya Sweeney），她通過美國國家統(tǒng)計數(shù)據(jù)發(fā)現(xiàn)，87% 的美國人，其郵編、生日和性別這三樣信息都不會同時和其他人共有。⑥Latanya Sweeney, Uniqueness of Simple Demographics in the U.S. Population (Laboratory for Int'l Data Privacy, Working Paper LIDAP-WP4,2000). 史文妮后來又做了一系列相關(guān)的研究。See Latanya Sweeney, K-Anonymity: A Model for Protecting Privacy, 10 INT'L J. UNCERTAINTY,FUZZINESS & KNOWLEDGE-BASED SYSS. 557 (2002); Latanya Sweeney, Simple Demographics Often Identify People Uniquely, DATA PRIVACY LAB TECHNICAL REP. (2000).許多研究者發(fā)現(xiàn)，在社交網(wǎng)絡(luò)中，通過用戶在社交網(wǎng)絡(luò)中分享的內(nèi)容、鏈接、瀏覽痕跡等信息，可以將大部分的用戶身份識別出來。⑦關(guān)于社交網(wǎng)絡(luò)個人信息去匿名化的研究，是計算機科學(xué)家的研究熱點之一，下面僅舉幾篇具有代表性的文獻。See L. Olejnik, C.Castelluccia, and A. Janc. Why Johnny can’t browse in peace: On the uniqueness of web browsing history patterns. In 5th Workshop on Hot Topics in Privacy Enhancing Technologies, 2012; Jessica Su, Ansh Shukla, Sharad Goel, and Arvind Narayanan, De-anonymizing Web Browsing Data with Social Networks. In Proceedings of the 26th International Conference on World Wide Web (2017),1261–1269, https://doi.org/10.1145/3038912.3052714; KorulaN ,Lattanzi S, An efficient reconciliation algorithm for social networks[J]. 2014; Nilizadeh, Shirin & Kapadia, Apu&Ahn, Y.-Y. (2014). Community-Enhanced De-anonymization of Online Social Networks. Proceedings of the ACM Conference on Computer and Communications Security. 537-548. 10.1145/2660267.2660324; Lars Backstrom, Cynthia Dwork& Jon Kleinberg, Wherefore Art Thou R3579X? Anonymized Social Networks, Hidden Patterns, and Structural Steganography, in 16th Int'l World Wide Web Conference Proc. 181 (2007), available at http://portal.acm.org/citation.cfm?id=1242598(Last visited by Mar.7, 2021).還有研究人員通過公開數(shù)據(jù)，推算出美國公民的社會保險號。⑧美國的社會保險證號是類似我國身份證號碼的唯一數(shù)字串標(biāo)識。See AlesandroAcquisti& Ralph Gross, Predicting Social Security Numbers from Public Data, 106 Nat'l Acad. Sci. 27, 10975 (2009).

更糟糕的是，真正實現(xiàn)身份再識別的主體，既可以是系統(tǒng)性的去匿名化專業(yè)人員，也可以是隨機性的某位好事的、碰巧與受害者相識的網(wǎng)民。在我國層出不窮的“人肉搜索”案件中，不論是公眾人物還是普通公民，在“人肉搜索”面前都可能被網(wǎng)絡(luò)上遺留的蛛絲馬跡識別出身份。①參見胡凌：《評“人肉搜索”第一案的三個初審判決》，《法律適用》2009年第7期。這讓去匿名化的風(fēng)險變得更加隨機、更加難以把控。②網(wǎng)絡(luò)傳播所帶來的“人肉搜索”，也常常在個案層面給匿名化帶來挑戰(zhàn)——常常會有某些比較熟悉被識別對象的人，通過有限的匿名化信息，推測出個人身份——盡管這種挑戰(zhàn)更具隨機性，而不像去匿名化技術(shù)那樣具系統(tǒng)性。

從以上例證我們可以看出，匿名化可以實現(xiàn)完全匿名這一前提假設(shè)，多數(shù)情況下只不過是天真的愿想。在去匿名化技術(shù)和相關(guān)數(shù)據(jù)庫越來越發(fā)達的時代，在立法中預(yù)設(shè)匿名化個人信息存在被再識別的可能，才是更為審慎的做法?；氐健恫莅浮氛Z境中，這便意味著其第69條對于“匿名化”的絕對化處理，在技術(shù)實踐中將面臨極大的現(xiàn)實困境和未來不確定性。這也將直接導(dǎo)致規(guī)范形式上理想化的“匿名化處理后的信息”，很可能在技術(shù)實踐中出現(xiàn)問題。

四、將匿名化引入個人信息定義的反思

下面將從條文邏輯、技術(shù)實踐和立法價值三個層面，反思《草案》將匿名化引入個人信息定義的合理性問題。

第一，在條文邏輯上，匿名化處理的個人信息這一除外條款，與《草案》第5條定義的前半部分存在交叉重合。如上文第三部分開篇所述，既然第69條已經(jīng)規(guī)定，匿名化是指“個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程”，那么它自然也就不符合第5條前半部分的“單獨或者與其他信息結(jié)合識別自然人個人身份”這一個人信息定義。換言之，在立法邏輯上，第5條前半部分已經(jīng)包含了第5條后半部分（除外條款）。因此，這一除外條款本身就存在著邏輯上的同義反復(fù)，而造成這一問題的根源還是在于對“匿名化”本身認識上的重大誤解。假如實現(xiàn)了第69條所規(guī)定的絕對匿名化，那么除外條款的設(shè)置就是形同虛設(shè)，而且其帶來的立法效果是強化個人信息保護，但極大弱化、甚至可能完全摧毀個人信息利用。③關(guān)于個人信息利用與匿名化的關(guān)系，參見第三部分的論證。假如立法者本意并不是真要實現(xiàn)第69條所規(guī)定的絕對匿名化，而是意圖通過除外條款，強化個人信息利用——《草案》后續(xù)若干法條似乎更傾向于這一觀點——那么其立法效果將會在強化個人信息利用的同時，極大削弱個人信息保護。這是因為以個人信息利用為導(dǎo)向的“匿名化”，已偏離了第69條所作的嚴苛界定，它將必然導(dǎo)致匿名化程度的滑坡，導(dǎo)致前文提到的形式主義匿名化的問題。④事實上，哪怕理想化的絕對匿名化，在公民日常生活與數(shù)字空間緊密結(jié)合的時代，公民的數(shù)字賬號識別（而非身份識別）也足以給其造成很大困擾。參見胡凌：《刷臉：身份制度、個人信息與法律規(guī)制》，《法學(xué)家》2021年第2期。

當(dāng)然，也有論者會將《條例》序言第26條搬出，指出《草案》參照的《條例》難道也不是把匿名化信息排除在個人信息之外嗎？這是沒錯。然而，我們必須注意到，《條例》把“匿名化信息”（Anonymous Information）框定在“合理可能的無法識別”這一標(biāo)準(zhǔn)。且不論《條例》這一合理性判斷，在變動的技術(shù)發(fā)展進程中現(xiàn)在已經(jīng)和未來可能遭遇的各種困境，縱觀《草案》，全文并未提及任何匿名化的合理性字眼，也沒有具體的合理性審查標(biāo)準(zhǔn)，而是以第69條嚴格定義處理，這顯然和《條例》的排除匿名化信息處理有很大差別。

第二，從技術(shù)實踐層面，直接將匿名化整體引入個人信息定義有待商榷。正如美國學(xué)者勞倫斯·萊斯格（Lawrence Lessig）指出的那樣，技術(shù)是數(shù)字時代極其重要、甚至在某些情況下比法律更重要的規(guī)制要素。①參見[美]勞倫斯·萊斯格：《代碼2.0》，李旭、沈偉偉譯，清華大學(xué)出版社2018版，第85頁。而就個人信息保護而言，“將隱私融入設(shè)計”（Privacy by Design）早已在理論建構(gòu)和技術(shù)實踐中發(fā)揮作用。②See Helen Nissenbaum, Privacy in Context, Stanford Law Books, 2009 pp.1-5; Ira S. Rubinstein, Regulating Privacy by Design, 26 Berkeley Tech. L.J. 1409, 1411-12 (2011).例如，在《條例》第32條，假名化和加密技術(shù)就被作為個人信息處理中的兩類關(guān)鍵技術(shù)列入條文中，但與《草案》不同的是，《條例》只是在具體場景中列舉包括假名化和加密技術(shù)等技術(shù)，而不是在個人信息定義這類核心前置性條款中引入匿名化概念?！稐l例》這樣的處理，無疑更為審慎。立法者本身對于技術(shù)發(fā)展的把握就存在很強的不確定性，而技術(shù)未來的演進迭代，也難以被立法者準(zhǔn)確預(yù)測，因此，將匿名化這類技術(shù)標(biāo)準(zhǔn)納入定義條款來處理有欠妥當(dāng)，更妥當(dāng)?shù)淖龇ㄊ菍⑵浣唤o后續(xù)具體條款③如《網(wǎng)絡(luò)安全法》第42條、《民法典》第1038條。，甚至下位階的法律法規(guī)或者行業(yè)標(biāo)準(zhǔn)。④例如，《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》《個人信息安全規(guī)范》《個人金融信息保護技術(shù)規(guī)范》等。

更重要的是，防止個人信息被識別的技術(shù)方案存在多種選擇，如數(shù)據(jù)脫敏、加密技術(shù)、差分隱私技術(shù)⑤差分隱私（Differential Privacy）技術(shù)是一項近些年來廣受矚目的隱私保護技術(shù)，其技術(shù)原理與加密技術(shù)截然不同。它通過向數(shù)據(jù)庫添加隨機的噪音數(shù)據(jù)，來降低任意個體的記錄對數(shù)據(jù)庫的統(tǒng)計特性影響，從而使攻擊者無法輕易地從數(shù)據(jù)庫中識別到個體。、假名化技術(shù)等。這些技術(shù)有些可以被匿名化技術(shù)所涵蓋，有些則不可以。如果回到個人信息保護和個人信息利用的平衡上，我們可以看到每一種技術(shù)都會給兩者帶來不同的影響。通常而言，在個人信息保護維度，強加密技術(shù)要高于差分隱私技術(shù)，差分隱私技術(shù)要高于數(shù)據(jù)脫敏技術(shù)，數(shù)據(jù)脫敏技術(shù)要高于未經(jīng)處理個人信息。在個人信息利用維度，未經(jīng)處理個人信息要高于差分隱私技術(shù)，差分隱私技術(shù)要高于數(shù)據(jù)脫敏技術(shù)，數(shù)據(jù)脫敏技術(shù)要高于強加密技術(shù)。⑥這些技術(shù)方案類型的比較，落實到具體某一項技術(shù)，可能存在誤差，但大體上整個類型化的技術(shù)可以在個人信息保護和個人信息利用的譜系中，找到自己的位置。

《草案》似乎想利用“匿名化”這個概念將諸多技術(shù)一網(wǎng)打盡。且不論其他技術(shù)概念表述上是否嚴謹，這在技術(shù)實踐中很容易造成豁免范圍過寬或者過窄的問題，也極容易造成前文所述的形式主義匿名化問題。概言之，這種立法上的籠統(tǒng)處理，一方面，對于“做做樣子”的形式主義匿名化沒有行之有效的防范措施，極容易導(dǎo)致個人信息保護法的規(guī)制失靈；另一方面，對于那些認真履行匿名化義務(wù)的數(shù)據(jù)處理者，卻依然要面臨技術(shù)實踐中的責(zé)任不確定性——在《個人信息保護法》層面是合規(guī)的，但卻依然可能承擔(dān)《民法典》或《網(wǎng)絡(luò)安全法》上的責(zé)任。

比較務(wù)實的解決方案，并不是將“匿名化處理后的信息”——抑或是“差分隱私處理后的信息”“脫敏處理后的信息”“加密處理后的信息”——直接引入個人信息的定義中，而是應(yīng)當(dāng)在具體操作場景，對相應(yīng)的匿名化技術(shù)方案作出進一步規(guī)制。假如《草案》非得保留“匿名化處理后的信息”這一除外條款，那么至少也應(yīng)當(dāng)像《條例》一樣，提出一個合理性的技術(shù)審查標(biāo)準(zhǔn)，甚至將去匿名化的難度和成本納入考量范圍①事實上，在廣州互聯(lián)網(wǎng)法院審理“酷車易美案”中，就接近這一思路。廣州互聯(lián)網(wǎng)法院雖然承認“實踐中存在通過第三方信息與車況信息結(jié)合識別到特定自然人的可能性，但一般理性人在實現(xiàn)上述目的時，會綜合考慮行為成本，比如技術(shù)門檻、第三方數(shù)據(jù)來源、經(jīng)濟成本、還原時間等，綜合上述因素后再進行結(jié)合，識別成本較高?！眳⒁姀V州互聯(lián)網(wǎng)法院（2021）粵0192民初928號民事判決書。，而不是將匿名化絕對化導(dǎo)致語義重復(fù)，更不是將“可識別”標(biāo)準(zhǔn)降格為簡單粗放的“已識別”標(biāo)準(zhǔn)。②在我國個人信息保護領(lǐng)域影響深遠的“朱某案”，曾激發(fā)了對“可識別”標(biāo)準(zhǔn)和“已識別”標(biāo)準(zhǔn)的討論，參見岳林：《個人信息的身份識別標(biāo)準(zhǔn)》，《上海大學(xué)學(xué)報(社會科學(xué)版)》2017年第6期；江蘇省南京市中級人民法院（2014）寧民終字第 5028號民事判決書。

第三，從個人信息保護法立法的價值訴求的角度看，我國前期在數(shù)據(jù)、信息、隱私領(lǐng)域的相關(guān)立法，并沒有完全復(fù)制歐盟的側(cè)重個人尊嚴保護進路或者美國的側(cè)重財產(chǎn)自由保護進路，而往往是突出網(wǎng)絡(luò)安全作為我國網(wǎng)絡(luò)規(guī)制相關(guān)建制的重要關(guān)切。③例如，從個人信息保護角度，在先的法律對于個人信息規(guī)定最為嚴苛的，并不是調(diào)整平等主體的《民法典》，而是側(cè)重保護網(wǎng)絡(luò)安全的《網(wǎng)絡(luò)安全法》。

自黨的十八大以來，我國開始系統(tǒng)部署和全面推進網(wǎng)絡(luò)安全和信息化工作，網(wǎng)絡(luò)安全逐漸演變成我國信息法治的重要價值理念，《網(wǎng)絡(luò)安全法》也早早明確相關(guān)立法方向，并在后續(xù)的《網(wǎng)絡(luò)安全審查辦法》等法律法規(guī)中得到細化。而在《草案》中，緊接著第一章“總則”之后，就在第二章“個人信息處理規(guī)則”第三節(jié)和第三章“個人信息跨境提供的規(guī)則”中處理網(wǎng)絡(luò)安全問題，這在比較法視野中獨具特色。網(wǎng)絡(luò)安全包含的層次很復(fù)雜，既包括了物理環(huán)境、服務(wù)器等硬件系統(tǒng)，也包括了操作系統(tǒng)、應(yīng)用軟件、底層數(shù)據(jù)等軟件系統(tǒng)。而個人信息作為數(shù)字時代極其重要的底層數(shù)據(jù)，自然也在國家網(wǎng)絡(luò)安全戰(zhàn)略中占有極其重要的地位。如果帶入網(wǎng)絡(luò)安全視角，個人信息保護和利用之間的平衡會更加復(fù)雜④網(wǎng)絡(luò)安全這一視角，也貫穿在整部《草案》中。參見《草案》第9條、第10條、第38條、第40條、第42條、第50條、第60條。，而這種復(fù)雜性也要求天平需要向個人信息保護方向傾斜，進而也為匿名化除外條款的設(shè)置本身帶來了更大挑戰(zhàn)。換言之，如果匿名化被納入個人信息的定義，這將不可避免地引起《個人信息保護法》與《網(wǎng)絡(luò)安全法》之間的沖突。因為一旦匿名化信息不被作為個人信息對待，《網(wǎng)絡(luò)安全法》規(guī)定的個人數(shù)據(jù)跨境、個人數(shù)據(jù)本地化等要求，將很容易帶來實踐中的沖突，甚至被規(guī)避。而這可能有違我國個人信息相關(guān)立法的特殊價值訴求。

五、結(jié) 語

與西方國家一樣，我國個人信息相關(guān)立法也面臨著多重困境。一方面，隨著信息技術(shù)的發(fā)展和應(yīng)用，當(dāng)前傳統(tǒng)的民法和刑法的隱私保護制度難以應(yīng)對數(shù)字時代的新挑戰(zhàn)，這是保護不足、利用過度的問題；另一方面，過度依賴權(quán)利范式來保護個人信息，會給政府、企業(yè)甚至個人利用信息帶來更高的成本，這是保護過度、利用不足的問題。而這兩個問題并不會完全對沖，完全可能并行存在。而與域外國家不一樣的是，我國在個人信息保護方面，所尋求的背后立法目的有其自身的側(cè)重和不同，具體體現(xiàn)在兩方面：其一，我國作為全球數(shù)一數(shù)二的互聯(lián)網(wǎng)大國，對于個人信息的利用及其所涉及的產(chǎn)業(yè)發(fā)展和國際博弈，有著不同于西方國家（尤其歐盟）的訴求；其二，我國的個人信息保護傳統(tǒng)本身與強調(diào)個人尊嚴和信息自決權(quán)的歐盟以及強調(diào)信息的財產(chǎn)屬性的美國不同，有著自身的特色①See James Q. Whitman, The two Western Cultures of Privacy: Dignity Versus Liberty, 113 Yale L. J. 1151 (2004); Alan Westin, "The Origins of Modern Claims to Privacy", in Philosophical Dimensions of Privacy: An Anthology (Ferdinand D.Schoeman,ed.),Cambridge University Press, 1984,pp.56, 62-63.，這一點尤其體現(xiàn)在網(wǎng)絡(luò)安全層面。②參見周漢華:《探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向》，《法學(xué)研究》2018年第 2 期。

當(dāng)前，《草案》中將匿名化作為除外條款引入“個人信息”定義中，其本意是激勵信息處理者采取匿名化措施，減輕其在數(shù)據(jù)利用過程中的合規(guī)和法律風(fēng)險。這本身與《草案》第69條對于“匿名化”的嚴苛定義存在很大的矛盾，甚至同義反復(fù)。而且如此定義，意味著匿名化處理后的信息，就不再屬于《草案》的保護范圍。在核心概念定義這個前置性環(huán)節(jié)就作出如此激進的、技術(shù)化的處理，其帶來的立法效果——尤其針對形式主義匿名化問題——極有可能挑戰(zhàn)個人信息保護的立法初衷，使個人信息保護和個人信息利用的天平向后者過度傾斜，這也有悖于我國有別于其他國家重視個人信息安全方面的制度傳統(tǒng)。因此，無論是從《草案》對于“個人信息”的定義，還是從《草案》其他具體規(guī)制條文角度分析，都應(yīng)當(dāng)在充分考慮技術(shù)實踐的前提下，努力做到個人信息保護和個人信息利用之間的平衡，并且在技術(shù)還存在大量發(fā)展空間及其附隨的不確定性基礎(chǔ)上，謹慎將類似“匿名化”這樣的技術(shù)細節(jié)帶入到上位法定義條款中，把技術(shù)細節(jié)問題留給后續(xù)具體條款③比如《網(wǎng)絡(luò)安全法》第42條、《民法典》第1038條。、甚至下位階的法律法規(guī)或者行業(yè)標(biāo)準(zhǔn)。