信息主體同意的適用邊界

李群濤 高富平

內(nèi)容提要:在欠缺其他合法性基礎(chǔ)情形下，信息主體同意是否適用，關(guān)鍵在于處理的個(gè)人信息是否含直接標(biāo)識(shí)符。直接標(biāo)識(shí)符能單獨(dú)表征信息主體身份，從而使信息處理風(fēng)險(xiǎn)與信息主體身份精準(zhǔn)連結(jié)。因此，出于尊重陌生人社會(huì)信息主體隱匿身份的自由、尊重信息主體對(duì)處理風(fēng)險(xiǎn)的自主決策，信息主體可以通過(guò)同意控制含直接標(biāo)識(shí)符的個(gè)人信息，即“單獨(dú)識(shí)別個(gè)人信息”。但同意不適用于“結(jié)合識(shí)別個(gè)人信息”。首先，結(jié)合識(shí)別個(gè)人信息具有模糊性，個(gè)人信息處理者難以就此直接識(shí)別信息主體身份進(jìn)而征求同意。其次，《個(gè)人信息保護(hù)法》確立了處理結(jié)合識(shí)別個(gè)人信息不需告知規(guī)則，邏輯上也要求有相應(yīng)的不需同意規(guī)則。最后，結(jié)合識(shí)別個(gè)人信息不適用同意規(guī)則也是實(shí)現(xiàn)“促進(jìn)個(gè)人信息合理利用”這一立法目的的可行路徑。

一、引 言

《民法典》與《個(gè)人信息保護(hù)法》已經(jīng)相繼出臺(tái)，作為個(gè)人信息保護(hù)制度重要內(nèi)容的同意規(guī)則，其框架已經(jīng)建構(gòu)完成。無(wú)論《民法典》第1035條第1款第1項(xiàng)還是《個(gè)人信息保護(hù)法》第13條第1款第1項(xiàng)，都確認(rèn)“信息主體同意”這一合法性基礎(chǔ)的重要地位。然而在解釋上尚未明確之問(wèn)題為：當(dāng)不具備《個(gè)人信息保護(hù)法》第13條第1款第2至7項(xiàng)所列舉的合法性基礎(chǔ)時(shí)，(1)關(guān)于《個(gè)人信息保護(hù)法》第13條所列七項(xiàng)合法性基礎(chǔ)的研究，參見程嘯、王苑：《論個(gè)人信息處理中無(wú)需取得個(gè)人同意的情形》，載《人民司法》2021年第22期。信息主體同意是否適用于對(duì)各類個(gè)人信息的處理行為。此即本文嘗試回答的信息主體同意之適用邊界問(wèn)題。

針對(duì)信息主體同意之適用邊界問(wèn)題，學(xué)界已有討論，并形成四種學(xué)說(shuō)。按照各學(xué)說(shuō)主張的適用范圍從小到大排列，分別為“無(wú)適用空間說(shuō)”“敏感個(gè)人信息說(shuō)”“全部個(gè)人信息說(shuō)”和“全部個(gè)人信息+匿名信息說(shuō)”。筆者逐一簡(jiǎn)要述評(píng)。

“無(wú)適用空間說(shuō)”認(rèn)為，同意規(guī)則不能適用于任何個(gè)人信息之上，甚至不宜作為個(gè)人信息處理的合法性基礎(chǔ)。(2)參見任龍龍：《論同意不是個(gè)人信息處理的正當(dāng)性基礎(chǔ)》，載《政治與法律》2016年第1期。然而，《民法典》和《個(gè)人信息保護(hù)法》仍然堅(jiān)守同意規(guī)則，故該說(shuō)不為現(xiàn)行法所接納。

“敏感個(gè)人信息說(shuō)”認(rèn)為，同意規(guī)則僅適用于敏感個(gè)人信息。(3)參見湯敏：《論同意在個(gè)人信息處理中的作用——基于個(gè)人敏感信息和個(gè)人一般信息二維視角》，載《天府新論》2018年第2期。然而目前同意規(guī)則位于《個(gè)人信息保護(hù)法》“個(gè)人信息處理規(guī)則”章的“一般規(guī)定”中，該制度的體系位置至少表明一般個(gè)人信息并非一概不適用同意規(guī)則。故該說(shuō)亦不為現(xiàn)行法所接納。

“全部個(gè)人信息說(shuō)”認(rèn)為，同意規(guī)則適用于全部個(gè)人信息。(4)參見陸青：《個(gè)人信息保護(hù)中“同意”規(guī)則的規(guī)范構(gòu)造》，載《武漢大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2019年第5期；徐麗枝：《個(gè)人信息處理中同意原則適用的困境與破解思路》，載《圖書情報(bào)知識(shí)》2017年第1期。當(dāng)然該說(shuō)亦承認(rèn)應(yīng)當(dāng)針對(duì)不同類別個(gè)人信息建構(gòu)一套寬嚴(yán)有別的梯度保護(hù)體系。(5)參見丁曉強(qiáng)：《個(gè)人數(shù)據(jù)保護(hù)中同意規(guī)則的“揚(yáng)”與“抑”——卡-梅框架視域下的規(guī)則配置研究》，載《法學(xué)評(píng)論》2020年第4期。該說(shuō)似符合法條文義，但不利于實(shí)現(xiàn)《個(gè)人信息保護(hù)法》所確立的“促進(jìn)個(gè)人信息合理利用”的立法目的。筆者將于本文第三、四部分詳細(xì)論證，此處不贅。

“全部個(gè)人信息+匿名信息說(shuō)”認(rèn)為，同意規(guī)則適用于現(xiàn)行《個(gè)人信息保護(hù)法》中規(guī)定的個(gè)人信息與匿名信息。(6)參見林洹民：《個(gè)人信息保護(hù)中知情同意原則的困境與出路》，載《北京航空航天大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2018年第3期。有必要指出，該說(shuō)否認(rèn)存在匿名信息，因?yàn)榧夹g(shù)界人士已經(jīng)明確表示不存在絕對(duì)不可復(fù)原的匿名信息。在此基礎(chǔ)上，按照該說(shuō)，僅當(dāng)法律規(guī)定了不準(zhǔn)復(fù)原義務(wù)時(shí)，現(xiàn)行法所述的匿名信息才豁免適用同意規(guī)則。然而無(wú)論《網(wǎng)絡(luò)安全法》第42條第1款但書，還是《民法典》第1038條第1款但書，抑或《個(gè)人信息保護(hù)法》第4條第1款皆明定匿名信息不適用同意規(guī)則。因此，該說(shuō)亦不為現(xiàn)行法所采。

綜上，關(guān)于信息主體同意的適用邊界問(wèn)題，上述四說(shuō)均難謂妥當(dāng)。

個(gè)人信息是與個(gè)人有關(guān)的各種信息，同意是個(gè)人信息處理的合法性基礎(chǔ)，個(gè)人信息處理者為取得同意，在收集個(gè)人信息之前即需判斷信息主體身份。然而個(gè)人信息范圍無(wú)邊無(wú)界，大量個(gè)人信息在信息主體身份判斷方面具有模糊性，這對(duì)個(gè)人信息處理者于處理前履行“取得同意義務(wù)”造成障礙。

于是，本文提出，按照是否含直接標(biāo)識(shí)符的標(biāo)準(zhǔn)將個(gè)人信息劃分為“單獨(dú)識(shí)別個(gè)人信息”與“結(jié)合識(shí)別個(gè)人信息”，同意規(guī)則僅適用于單獨(dú)識(shí)別個(gè)人信息。事實(shí)上此種對(duì)個(gè)人信息的分類方法在學(xué)界的討論中并不少見，(7)參見陶盈：《我國(guó)網(wǎng)絡(luò)信息化進(jìn)程中新型個(gè)人信息的合理利用與法律規(guī)制》，載《山東大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2016年第2期。甚至已經(jīng)為現(xiàn)行法所接納(《民法典》第1034條第2款)，但是鮮有觀點(diǎn)將此種分類與同意規(guī)則的適用邊界相聯(lián)系并進(jìn)行證成。(8)有學(xué)者曾提及此方面，但并未展開。參見胡文華、黃道麗、孔華鋒：《個(gè)人數(shù)據(jù)保護(hù)“同意規(guī)則”的檢視及修正》，載《計(jì)算機(jī)應(yīng)用與軟件》2018年第9期。本文首先勾勒該邊界的輪廓，進(jìn)而分別論證同意適用于單獨(dú)識(shí)別個(gè)人信息，而不適用于結(jié)合識(shí)別個(gè)人信息。

二、信息主體同意規(guī)則適用的判斷標(biāo)準(zhǔn)：含直接標(biāo)識(shí)符

信息主體同意是否適用，其判斷標(biāo)準(zhǔn)就在于個(gè)人信息是否含有直接標(biāo)識(shí)符。在重視和重新界定直接標(biāo)識(shí)符概念的基礎(chǔ)上，個(gè)人信息分為單獨(dú)識(shí)別個(gè)人信息與結(jié)合識(shí)別個(gè)人信息。

(一)直接標(biāo)識(shí)符概念的重視與重新界定

直接標(biāo)識(shí)符是指能夠單獨(dú)識(shí)別特定自然人身份的信息。(9)參見《中國(guó)互聯(lián)網(wǎng)定向廣告用戶信息保護(hù)行業(yè)框架標(biāo)準(zhǔn)》。直接標(biāo)識(shí)符的典型特征在于具有唯一性(10)參見范姜真媺：《大數(shù)據(jù)時(shí)代下個(gè)人資料范圍之再檢討——以日本為借鏡》，載《東吳法律學(xué)報(bào)》2017年第2期。和身份指向性，例如身份證號(hào)、社會(huì)保險(xiǎn)號(hào)碼、人臉信息等。需要注意的是，直接標(biāo)識(shí)符與特定自然人是單向唯一對(duì)應(yīng)關(guān)系。具言之，一直接標(biāo)識(shí)符只對(duì)應(yīng)唯一特定自然人，但一特定自然人將有許多直接標(biāo)識(shí)符。所謂身份指向性意味著存在直接標(biāo)識(shí)符即足以識(shí)別信息主體真實(shí)身份。正如學(xué)者所言，信息的人格屬性集中體現(xiàn)在其可識(shí)別特定自然人身份的性質(zhì)。(11)參見劉士國(guó)：《信息控制權(quán)法理與我國(guó)個(gè)人信息保護(hù)立法》，載《政法論壇》2021年第6期。

我國(guó)立法已經(jīng)接納了直接標(biāo)識(shí)符概念。我國(guó)個(gè)人信息概念借鑒歐美，而這一來(lái)源于歐美的概念恰恰無(wú)法脫離直接標(biāo)識(shí)符。例如，歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)第4條a項(xiàng)后半句中的身份證號(hào)等系本文所述直接標(biāo)識(shí)符。同樣地，美國(guó)立法一直強(qiáng)調(diào)直接識(shí)別符(direct-identifier)概念作為個(gè)人可識(shí)別信息(PII)的重要判斷標(biāo)準(zhǔn)。與這一國(guó)際趨勢(shì)相一致，我國(guó)實(shí)質(zhì)上已經(jīng)接受直接標(biāo)識(shí)符概念，《網(wǎng)絡(luò)安全法》第76條第5項(xiàng)以及《民法典》第1034條第2款，都具體列舉了不少直接標(biāo)識(shí)符，如身份證號(hào)碼、生物識(shí)別信息等。

直接標(biāo)識(shí)符可謂信息主體風(fēng)險(xiǎn)的重要來(lái)源。現(xiàn)代社會(huì)是風(fēng)險(xiǎn)社會(huì)，技術(shù)應(yīng)用確實(shí)會(huì)給人類帶來(lái)一定風(fēng)險(xiǎn)。同樣地，在個(gè)人信息領(lǐng)域，大數(shù)據(jù)技術(shù)應(yīng)用可能導(dǎo)致風(fēng)險(xiǎn)產(chǎn)生。然而，如果風(fēng)險(xiǎn)產(chǎn)生無(wú)法對(duì)應(yīng)特定身份、不會(huì)影響到特定自然人，那么對(duì)于該自然人而言這或許并非風(fēng)險(xiǎn)，即使是也不必過(guò)于關(guān)注和擔(dān)憂。但如前所述，直接標(biāo)識(shí)符的本質(zhì)特征在于其唯一性和身份指向性，直接標(biāo)識(shí)符恰恰使個(gè)人信息處理者可知曉特定自然人身份。直接標(biāo)識(shí)符在個(gè)人信息中具有重要地位，個(gè)人信息與個(gè)人身份的勾連往往依賴直接標(biāo)識(shí)符。個(gè)人信息處理風(fēng)險(xiǎn)主要在于風(fēng)險(xiǎn)能通過(guò)個(gè)人信息直接傳導(dǎo)至具有特定身份的自然人，此中起橋梁作用者正是直接標(biāo)識(shí)符。

隨著時(shí)代發(fā)展，直接標(biāo)識(shí)符的范圍已日漸擴(kuò)張。目前，直接標(biāo)識(shí)符包括社會(huì)身份標(biāo)識(shí)符和生物身份標(biāo)識(shí)符，后者是對(duì)傳統(tǒng)直接標(biāo)識(shí)符概念的擴(kuò)張。(12)參見《信息安全技術(shù)個(gè)人信息安全規(guī)范》(GB/T 35273—2020)，附錄A，第23頁(yè)；上海市地方標(biāo)準(zhǔn)《數(shù)據(jù)去標(biāo)識(shí)化共享指南》(DB31/T 1311—2021)。以前，直接標(biāo)識(shí)符主要指身份證號(hào)、駕照號(hào)碼、護(hù)照號(hào)碼、社會(huì)保險(xiǎn)號(hào)碼、軍官證號(hào)、工作證號(hào)、出入證號(hào)、社?？ㄌ?hào)、居住證號(hào)碼等社會(huì)身份標(biāo)識(shí)符。(13)參見《信息安全技術(shù)個(gè)人信息安全規(guī)范》(GB/T 35273—2020)之附錄。生物身份標(biāo)識(shí)符后來(lái)也成為直接標(biāo)識(shí)符的重要來(lái)源。例如，隨著人臉識(shí)別技術(shù)發(fā)展，人臉信息等與特定信息主體之間也形成了唯一對(duì)應(yīng)和身份指向關(guān)系。總之，某符號(hào)具有唯一性和身份指向性，即可被認(rèn)定為直接標(biāo)識(shí)符。

直接標(biāo)識(shí)符與間接標(biāo)識(shí)符、準(zhǔn)標(biāo)識(shí)符均非同一概念。一方面，直接標(biāo)識(shí)符與間接標(biāo)識(shí)符并非同一概念。如果僅就“唯一性”而言，手機(jī)等智能設(shè)備序列號(hào)(又稱“國(guó)際移動(dòng)設(shè)備識(shí)別碼”，簡(jiǎn)稱IMEI)也具有唯一性。僅依此雖能觸及個(gè)人但不能識(shí)別個(gè)人身份，因此不具有前述直接標(biāo)識(shí)符的“身份指向性”特征。于是，本文稱之為“間接標(biāo)識(shí)符”。另一方面，直接標(biāo)識(shí)符與準(zhǔn)標(biāo)識(shí)符亦非同一概念，兩者差異為是否具有唯一性。美歐都有實(shí)質(zhì)意義上的準(zhǔn)標(biāo)識(shí)符概念。美國(guó)的準(zhǔn)標(biāo)識(shí)符(quasi-identifier)(14)也有譯為“間接標(biāo)識(shí)符”，但須指出，此間接標(biāo)識(shí)符與本文所謂間接標(biāo)識(shí)符并非同一含義。參見劉穎、谷佳琪：《個(gè)人信息去身份化及其制度構(gòu)建》，載《學(xué)術(shù)研究》2020年第12期；程海玲：《個(gè)人信息匿名化處理法律標(biāo)準(zhǔn)探究》，載《科技與法律》2021年第3期。對(duì)應(yīng)歐盟GDPR第4條a項(xiàng)中的“個(gè)人屬性”(factors)，包括民族、種族、婚姻狀況、身體、心理、基因、精神狀態(tài)、經(jīng)濟(jì)、文化、社會(huì)因素等。準(zhǔn)標(biāo)識(shí)符中的“準(zhǔn)”(quasi)字表明其本質(zhì)上并非標(biāo)識(shí)符。一個(gè)準(zhǔn)標(biāo)識(shí)符可能會(huì)對(duì)應(yīng)多位自然人，不具有唯一性。例如，“研究生”是準(zhǔn)標(biāo)識(shí)符，能夠?qū)?yīng)千千萬(wàn)萬(wàn)研究生，無(wú)法指向特定自然人身份。

(二)基于直接標(biāo)識(shí)符對(duì)個(gè)人信息的區(qū)分

以是否含有直接標(biāo)識(shí)符為標(biāo)準(zhǔn)可將個(gè)人信息周延地分為單獨(dú)識(shí)別個(gè)人信息和結(jié)合識(shí)別個(gè)人信息。

1.單獨(dú)識(shí)別個(gè)人信息

以前對(duì)個(gè)人信息相當(dāng)部分的討論恰以單獨(dú)識(shí)別個(gè)人信息為基本思考模型。事實(shí)上20世紀(jì)即已經(jīng)產(chǎn)生個(gè)人信息保護(hù)問(wèn)題，當(dāng)時(shí)個(gè)人信息即以單獨(dú)識(shí)別個(gè)人信息為主。例如：“姓名張三，性別男，年齡65歲，身份證號(hào)123456789012345678，電話號(hào)碼12345678901，家庭住址青海省西寧市湟源縣勝利鎮(zhèn)未來(lái)街道幸福小區(qū)1棟1單元1025號(hào)，銀行卡號(hào)……”此為含有直接標(biāo)識(shí)符個(gè)人信息(即單獨(dú)識(shí)別個(gè)人信息)的典型樣態(tài)。個(gè)人信息處理者據(jù)此能直接了解此個(gè)人信息對(duì)應(yīng)的信息主體身份。單獨(dú)識(shí)別個(gè)人信息的典型特征即在于含直接標(biāo)識(shí)符。就此而言，《民法典》第1034條第2款中的“能夠單獨(dú)識(shí)別特定自然人的信息”與《個(gè)人信息保護(hù)法》第4條第1款中的“與已識(shí)別的自然人有關(guān)的各種信息”可表達(dá)同一含義。正因如此，本文一律用“單獨(dú)識(shí)別個(gè)人信息”指代含直接標(biāo)識(shí)符的個(gè)人信息。

單獨(dú)識(shí)別個(gè)人信息，強(qiáng)調(diào)信息“含”直接標(biāo)識(shí)符，而非除直接標(biāo)識(shí)符之外沒(méi)有其他信息。換言之，一旦數(shù)據(jù)集中含有直接標(biāo)識(shí)符，直接標(biāo)識(shí)符與其后跟隨的購(gòu)物記錄、行蹤軌跡等結(jié)合組成單獨(dú)識(shí)別個(gè)人信息。如上所述，隨著時(shí)代發(fā)展，直接標(biāo)識(shí)符的概念有所擴(kuò)張，生物身份標(biāo)識(shí)符即為直接標(biāo)識(shí)符的最新內(nèi)容。因此，單獨(dú)識(shí)別個(gè)人信息之范圍亦相應(yīng)擴(kuò)張，茲不贅述。另外，是否“含”直接標(biāo)識(shí)符，應(yīng)當(dāng)以數(shù)據(jù)集為單位全面審視，而非割裂個(gè)別數(shù)據(jù)項(xiàng)而單獨(dú)看待。就此而言，直接標(biāo)識(shí)符有可能是由一個(gè)數(shù)據(jù)集中多個(gè)數(shù)據(jù)項(xiàng)共同組成的，例如，在一個(gè)含有姓名、性別、學(xué)校、班級(jí)、行蹤軌跡等數(shù)據(jù)項(xiàng)的數(shù)據(jù)集中，姓名、性別、學(xué)校、班級(jí)將共同構(gòu)成直接標(biāo)識(shí)符。

2.結(jié)合識(shí)別個(gè)人信息

與單獨(dú)識(shí)別個(gè)人信息相對(duì)的是結(jié)合識(shí)別個(gè)人信息，即不含直接標(biāo)識(shí)符的個(gè)人信息?！睹穹ǖ洹返?034條第2款中“能夠與其他信息結(jié)合識(shí)別特定自然人的各種信息”以及《個(gè)人信息保護(hù)法》第4條第1款中“與可識(shí)別的自然人有關(guān)的各種信息”，描述的均為不含直接標(biāo)識(shí)符的個(gè)人信息。為表統(tǒng)一，本文一律用“結(jié)合識(shí)別個(gè)人信息”的概念。

結(jié)合識(shí)別個(gè)人信息也屬于個(gè)人信息的范疇，但在未與直接標(biāo)識(shí)符相結(jié)合的情況下，僅憑結(jié)合識(shí)別個(gè)人信息難以識(shí)別身份。換言之，信息主體以外的人僅通過(guò)結(jié)合識(shí)別個(gè)人信息來(lái)識(shí)別個(gè)人身份是需要成本的。目前個(gè)人信息定義無(wú)限擴(kuò)張，這幾乎成為國(guó)際社會(huì)的共識(shí)。歐盟第29條工作組出臺(tái)的關(guān)于個(gè)人信息概念的意見對(duì)個(gè)人信息概念明顯采廣義理解，強(qiáng)調(diào)與其他信息結(jié)合能識(shí)別自然人身份或者特征，以及綜合考慮內(nèi)容、目的和影響三因素的情況下與個(gè)人有關(guān)系。(15)See Article 29 Data Protection Working Party，Opinion 4/2007 on the Concept of Personal Data，01248/07/EN WP 136．甚至按照歐洲學(xué)者分析，天氣信息有時(shí)也能成為個(gè)人信息。(16)See Nadezhda Purtova,The Law of Everything.Broad Concept of Personal Data and Future of EU Data Protection Law,10 Law,Innovation and Technology,40(2018).經(jīng)擴(kuò)張后的個(gè)人信息概念，其判斷標(biāo)準(zhǔn)已經(jīng)從能識(shí)別身份變?yōu)橄嚓P(guān)處理行為對(duì)人(不一定為特定自然人)有風(fēng)險(xiǎn)的信息。(17)參見范為：《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的路徑重構(gòu)》，載《環(huán)球法律評(píng)論》2016年第5期。按照《個(gè)人信息保護(hù)法》第4條第1款對(duì)個(gè)人信息的定義，我國(guó)接受了此種擴(kuò)張標(biāo)準(zhǔn)。此標(biāo)準(zhǔn)非以信息當(dāng)下狀態(tài)為觀察視角，而是要求立足當(dāng)下預(yù)測(cè)充滿無(wú)限可能之未來(lái)，即以未來(lái)看現(xiàn)在，這使得個(gè)人信息邊界顯著擴(kuò)張且趨于模糊。從此角度而言，信息即使不含直接標(biāo)識(shí)符，亦不妨礙被認(rèn)定為個(gè)人信息從而適用個(gè)人信息保護(hù)相關(guān)規(guī)則。

結(jié)合識(shí)別個(gè)人信息大致有兩類來(lái)源：一是各類傳感器設(shè)備所收集的個(gè)人信息；二是從原始處理者或其他處理者處間接獲取的經(jīng)去標(biāo)識(shí)化處理的信息。一方面，隨著傳感器的廣泛布設(shè)，智能穿戴設(shè)備、網(wǎng)絡(luò)設(shè)備的普及以及物聯(lián)網(wǎng)技術(shù)的飛速發(fā)展與充分應(yīng)用，海量的個(gè)人相關(guān)信息被快速采集供給、實(shí)時(shí)加工分析。但是相應(yīng)地，部分傳感器等設(shè)備能做到的只是實(shí)時(shí)記錄個(gè)人有關(guān)情況而無(wú)法提供個(gè)人直接標(biāo)識(shí)符等信息(信息主體主動(dòng)提供的除外)。另一方面，隨著信息實(shí)踐不斷開展，部分主體所控制的信息已經(jīng)是經(jīng)去標(biāo)識(shí)化處理的信息。

需要注意結(jié)合識(shí)別個(gè)人信息與匿名信息的關(guān)系。所謂匿名信息是指經(jīng)處理無(wú)法識(shí)別個(gè)人且不能復(fù)原的信息(《個(gè)人信息保護(hù)法》第73條第4項(xiàng))。匿名信息制度通行于歐美而非我國(guó)獨(dú)創(chuàng)。歐盟GDPR“鑒于條款”(recital)第26段明確指出，匿名信息(anonymous information)不適用于該法。該段同時(shí)指出，為了確定自然人是否可識(shí)別，應(yīng)當(dāng)考慮個(gè)人信息處理者或其他人(by another person)的識(shí)別能力，因此，匿名信息意味著任何人都無(wú)法通過(guò)匿名信息識(shí)別自然人身份。簡(jiǎn)言之，歐盟規(guī)定的匿名信息客觀上不具有識(shí)別可能性。不過(guò)有專家已經(jīng)聲明，技術(shù)方面“匿名化是一種幻想”，只能達(dá)到識(shí)別可能性比較低的水平。(18)See Ohm,Paul,Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization,57 UCLA Law Review,1701(2010).當(dāng)然，由此觀之歐盟規(guī)定的匿名信息認(rèn)定標(biāo)準(zhǔn)并不合理，對(duì)此本文不再詳述。美國(guó)法學(xué)會(huì)2020年公布《數(shù)據(jù)隱私法律原則重述》，并在第2條中指出，無(wú)法識(shí)別個(gè)人的(non-identifiable)信息不適用數(shù)據(jù)隱私保護(hù)原則。(19)See The American Law Institute,Principles of the law-Data Privacy(2020),available at https://1.next.westlaw.com/Document/I0f02ee65145811eb8a02f30620293de0/View/FullText.html?ppcid=1c4fd268d6b54fc98b7f1ebff22c23f3&originationContext=documenttoc&transitionType=CategoryPageItem&contextData=%28sc.Search%29,last visited on Dec.3.2021.不同的是，歐盟匿名信息指客觀上無(wú)識(shí)別可能性，而美國(guó)“無(wú)法識(shí)別的個(gè)人信息”是指識(shí)別可能性極低。然而此種無(wú)法識(shí)別的個(gè)人信息仍具有一定的識(shí)別可能性，如果不使其受制于個(gè)人信息保護(hù)規(guī)范，那么將使該部分信息暴露于風(fēng)險(xiǎn)之中。為了彌補(bǔ)這一點(diǎn)，美國(guó)的匿名信息制度有其預(yù)設(shè)前提，即禁止再識(shí)別。(20)按照美國(guó)《數(shù)據(jù)隱私法律原則重述》(2020)的總結(jié)，其所謂不適用數(shù)據(jù)隱私法律原則的匿名信息條件有三：第一，采用合理方法去掉個(gè)人信息上的標(biāo)識(shí)符；第二，使去標(biāo)識(shí)符后的個(gè)人數(shù)據(jù)處于較低風(fēng)險(xiǎn)水平；第三，個(gè)人信息處理者不再重新識(shí)別個(gè)人?；蛟S是受歐美影響，我國(guó)《個(gè)人信息保護(hù)法》第4條第1款規(guī)定匿名信息不屬于個(gè)人信息。然而借鑒比較法的重要前提是我國(guó)與借鑒對(duì)象有相同的制度環(huán)境。(21)參見〔德〕茨威格特、克茨：《比較法總論》(上)，潘漢典等譯，中國(guó)法制出版社2014年版，第30頁(yè)。我國(guó)《個(gè)人信息保護(hù)法》第73條第4項(xiàng)沒(méi)有明確規(guī)定禁止再識(shí)別要求，且在難存此解釋空間的情況下，一旦將我國(guó)匿名信息等同于美國(guó)無(wú)法識(shí)別的個(gè)人信息，將導(dǎo)致對(duì)匿名信息的處理失去控制。而且從筆者梳理的50多個(gè)法域的法律文本來(lái)看，極少有對(duì)個(gè)人信息定義作如此限制的先例。但《個(gè)人信息保護(hù)法》既已作如此規(guī)定，只能認(rèn)為應(yīng)對(duì)匿名信息進(jìn)行嚴(yán)格把握，當(dāng)無(wú)法確定是否滿足客觀“不能復(fù)原”要件時(shí)，應(yīng)當(dāng)認(rèn)定該信息為結(jié)合識(shí)別個(gè)人信息而非匿名信息。

三、同意規(guī)則適用于單獨(dú)識(shí)別個(gè)人信息

信息主體能夠以同意來(lái)控制個(gè)人信息的處理行為，其正當(dāng)性基礎(chǔ)在于由憲法上的個(gè)人尊嚴(yán)、自由以及主體地位推演而得的個(gè)人事務(wù)自決。(22)參見田野：《大數(shù)據(jù)時(shí)代知情同意原則的困境與出路——以生物資料庫(kù)的個(gè)人信息保護(hù)為例》，載《法制與社會(huì)發(fā)展》2018年第6期；王雪喬：《論歐盟GDPR中個(gè)人數(shù)據(jù)保護(hù)與“同意”細(xì)分》，載《政法論叢》2019年第4期；高富平：《同意≠授權(quán)——個(gè)人信息處理的核心問(wèn)題辨析》，載《探索與爭(zhēng)鳴》2021年第4期。筆者以下欲指出，在個(gè)人信息領(lǐng)域，個(gè)人事務(wù)自決主要體現(xiàn)為尊重陌生人社會(huì)個(gè)人隱匿身份的選擇和自由，以及尊重信息主體對(duì)處理風(fēng)險(xiǎn)的決策。此二理由均僅指向單獨(dú)識(shí)別個(gè)人信息。

(一)尊重陌生人社會(huì)個(gè)人隱匿身份的自由

現(xiàn)代社會(huì)是陌生人社會(huì)，(23)近年來(lái)已經(jīng)有相關(guān)文件關(guān)注到陌生人社會(huì)這一社會(huì)轉(zhuǎn)型現(xiàn)象。參見《東莞市人民政府辦公室關(guān)于印發(fā)〈東莞市深化“二標(biāo)四實(shí)”工作總體方案〉的通知》(東府辦〔2018〕44號(hào))；《江蘇省民政廳對(duì)省十三屆人大一次會(huì)議第5015號(hào)建議的答復(fù)》。學(xué)理上的討論，參見張清、王露：《陌生人社會(huì)與法治構(gòu)建論略》，載《法商研究》2008年第5期；龔長(zhǎng)宇、鄭杭生：《陌生人社會(huì)秩序的價(jià)值基礎(chǔ)》，載《科學(xué)社會(huì)主義》2011年第1期；何紹輝：《論陌生人社會(huì)的治理：中國(guó)經(jīng)驗(yàn)的表達(dá)》，載《求索》2012年第12期。隱匿身份是陌生人社會(huì)中的個(gè)人選擇和自由。(24)參見龔長(zhǎng)宇：《陌生人社會(huì)：價(jià)值基礎(chǔ)與社會(huì)治理》，中國(guó)人民大學(xué)出版社2021年版，第105頁(yè)。人口增加、人口流動(dòng)性增大和社會(huì)不安全因素混雜，導(dǎo)致公眾輕易不愿意暴露身份。雖然社會(huì)交往要求社會(huì)中每個(gè)人必須允許其他人了解自己，但是此種要求也應(yīng)僅限于與個(gè)人有交往關(guān)系之人。例如，一個(gè)人的親朋好友、同事、老師、同學(xué)、交易對(duì)手，甚至欲與其締結(jié)合同者。但不應(yīng)無(wú)限擴(kuò)展到千里之外與個(gè)人毫無(wú)瓜葛的陌生人。逐漸地，是否隱匿身份成為個(gè)人自主決定的事項(xiàng)，受到社會(huì)認(rèn)可和法律保護(hù)。

然而，處理單獨(dú)識(shí)別個(gè)人信息，將侵犯?jìng)€(gè)人自主決定是否隱匿身份的自由。單獨(dú)識(shí)別個(gè)人信息處理強(qiáng)調(diào)獲得個(gè)人同意，其背后價(jià)值觀與陌生人社會(huì)倫理基礎(chǔ)不可分割。有學(xué)者稱，“個(gè)體對(duì)于個(gè)人隱私和個(gè)人信息的身份識(shí)別的保護(hù)就是基于傳統(tǒng)熟人環(huán)境社會(huì)下的潛在人格尊嚴(yán)和人格自由意識(shí)，而人們對(duì)于識(shí)別性的風(fēng)險(xiǎn)和恐懼多來(lái)自于傳統(tǒng)觀念下的身份泄露”(25)蘇今：《〈民法總則〉中個(gè)人信息的“可識(shí)別性”特征及其規(guī)范路徑》，載《大連理工大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2020年第1期，第86頁(yè)。。顯然，這種保護(hù)身份意識(shí)蔓延到了陌生人社會(huì)，成為個(gè)人典型的自由。如果毫不相干的主體欲全面了解一陌生人的單獨(dú)識(shí)別個(gè)人信息(事實(shí)上就是了解身份)，那么實(shí)在無(wú)任何正當(dāng)性可言。雖然許多學(xué)者提及將分散的個(gè)人信息匯聚成大數(shù)據(jù)對(duì)于發(fā)揮數(shù)據(jù)經(jīng)濟(jì)價(jià)值、促進(jìn)公共福利具有重大意義，但是直接標(biāo)識(shí)符并非達(dá)致該目標(biāo)所利用的大數(shù)據(jù)之必需。難以想象無(wú)任何交往關(guān)系的陌生私主體為了促進(jìn)公共利益，需要利用他人之個(gè)人信息而且非含直接標(biāo)識(shí)符不可。筆者強(qiáng)調(diào)，本文討論的前提是不存在《個(gè)人信息保護(hù)法》第13條第1款第2—7項(xiàng)合法性基礎(chǔ)，故為緊急救助而處理個(gè)人信息的情形不在本文討論范圍。正因如此，有學(xué)者指出，二次利用個(gè)人信息的首要條件是脫敏，即除去直接標(biāo)識(shí)符。(26)參見姬蕾蕾：《論個(gè)人信息利用中同意要件的規(guī)范重塑》，載《圖書館》2018年第12期。簡(jiǎn)言之，陌生人可以收集他人的個(gè)人信息甚至進(jìn)行個(gè)性特征分析，但是不允許其擅自知曉該“他人”的真實(shí)身份。社會(huì)學(xué)學(xué)者將這種秩序稱為對(duì)陌生人“冷漠的尊重”。(27)參見前引〔24〕，龔長(zhǎng)宇書，第19頁(yè)。

只有獲得特定信息主體同意，才能使個(gè)人信息處理者與特定信息主體之間的顯名交往正當(dāng)化。在陌生人社會(huì)中，應(yīng)然社會(huì)秩序是尊重他人的不同觀念和不同選擇。每個(gè)人相對(duì)于他人皆為“道德異鄉(xiāng)人”，抱有不同信念、恪守不同行為規(guī)范；僅當(dāng)取得他人“允許”“同意”“包容”時(shí)才能達(dá)成雙方間新的共同行為規(guī)范。(28)參見前引〔24〕，龔長(zhǎng)宇書，第115-116頁(yè)。陌生人社會(huì)的價(jià)值觀在于每個(gè)人僅允許與其有關(guān)系的人了解其個(gè)人身份(當(dāng)然隨著關(guān)系遠(yuǎn)近了解程度會(huì)有不同)，沒(méi)有社會(huì)關(guān)系的陌生人不能了解其個(gè)人身份。與此相對(duì)應(yīng)，允許與特定個(gè)人沒(méi)有社會(huì)關(guān)系的人收集、使用該特定個(gè)人的個(gè)人信息，但僅限于收集、使用結(jié)合識(shí)別個(gè)人信息且不得在分析特征的過(guò)程中分析出真實(shí)身份。這便是個(gè)人信息領(lǐng)域陌生人的行為規(guī)范。如果處理單獨(dú)識(shí)別個(gè)人信息，則等同于突破陌生人之間行為規(guī)范，因此，只有獲得信息主體的同意以形成雙方間新共同行為規(guī)范時(shí)，處理單獨(dú)識(shí)別個(gè)人信息才被允許?；蛟S出于類似考慮，有學(xué)者也指出信息主體能夠支配自己的姓名、身份證號(hào)碼、相貌特征等等。(29)參見郭明龍：《論個(gè)人信息之商品化》，載《法學(xué)論壇》2012年第6期；韓強(qiáng)：《人格權(quán)確認(rèn)與構(gòu)造的法律依據(jù)》，載《中國(guó)法學(xué)》2015年第3期。此觀點(diǎn)值得贊同。

綜上所述，高校的人才培養(yǎng)要站在社會(huì)主義改革的浪潮上，要牢記我國(guó)的教育方針和指導(dǎo)思想，要牢記中華民族偉大復(fù)興的光榮使命，要思考國(guó)家需要什么樣的人，社會(huì)需要什么樣的人。這樣，應(yīng)用型的本科院校才能找準(zhǔn)人才培養(yǎng)的方向，才能樹立明確的人才培養(yǎng)的目標(biāo)，為中國(guó)夢(mèng)貢獻(xiàn)一份高校的強(qiáng)有力的力量！

(二)尊重信息主體對(duì)處理風(fēng)險(xiǎn)的決策

直接標(biāo)識(shí)符的存在使得信息處理風(fēng)險(xiǎn)得以精準(zhǔn)傳導(dǎo)至具有特定身份的自然人?！帮L(fēng)險(xiǎn)可以被界定為系統(tǒng)地處理現(xiàn)代化自身引致的危險(xiǎn)和不安全感的方式?！?30)〔德〕烏爾里?！へ惪耍骸讹L(fēng)險(xiǎn)社會(huì)》，何博聞譯，譯林出版社2004年版，第19頁(yè)。如直接標(biāo)識(shí)符定義所闡釋，其最大特征為與特定自然人身份具有唯一對(duì)應(yīng)性。個(gè)人信息處理者通過(guò)其所控制的單獨(dú)識(shí)別個(gè)人信息便能直接識(shí)別信息主體而不需要進(jìn)行任何處理行為(識(shí)別行為)。對(duì)此類單獨(dú)識(shí)別個(gè)人信息進(jìn)行分析，其決策結(jié)果可以通過(guò)直接標(biāo)識(shí)符的橋梁作用精準(zhǔn)配置于特定自然人。此種結(jié)果對(duì)于特定自然人而言可能有好有壞。例如，銀行處理特定自然人單獨(dú)識(shí)別個(gè)人信息用以評(píng)估該特定自然人信用情況，當(dāng)處理結(jié)果符合信用要求時(shí)對(duì)該自然人而言有正向反饋，但當(dāng)處理結(jié)果不符合信貸政策所要求的信用等級(jí)時(shí)，對(duì)于該自然人而言具有不利影響，因?yàn)檫@將關(guān)系到信息主體是否能順利申請(qǐng)貸款。但算法不同以及其他因素，導(dǎo)致處理分析行為結(jié)果是好是壞無(wú)確定性甚至不可預(yù)期，這本身對(duì)于信息主體而言即為一種風(fēng)險(xiǎn)。除此之外，此類個(gè)人信息的濫用以及被篡改、毀損、丟失等都是對(duì)信息主體的風(fēng)險(xiǎn)。從《居民身份證法》《統(tǒng)計(jì)法》《刑法》等條文來(lái)看，我國(guó)個(gè)人信息立法的重要目的恰是為維護(hù)自然人人身、財(cái)產(chǎn)安全免受威脅。(31)參見高富平：《個(gè)人信息保護(hù)立法研究》，光明日?qǐng)?bào)出版社2021年版，第195頁(yè)。

既然直接標(biāo)識(shí)符的存在客觀上產(chǎn)生了個(gè)人信息處理的風(fēng)險(xiǎn)與信息主體身份連結(jié)的效果，那么出于個(gè)人事務(wù)自決，應(yīng)當(dāng)允許個(gè)人對(duì)其未來(lái)風(fēng)險(xiǎn)進(jìn)行自主判斷和決定。尤其是當(dāng)個(gè)人信息處理者從信息主體處直接收集個(gè)人信息時(shí)，雙方處于直接交互狀態(tài)，同意機(jī)制落實(shí)也較為簡(jiǎn)單。(32)參見前引〔8〕，胡文華等文。如果立法者傾向于剝奪個(gè)人判斷決策資格而一律允許個(gè)人信息處理者處理此類個(gè)人信息，那么即剝奪了個(gè)人自主決定、自主判斷空間，此為典型的法律父愛(ài)主義，(33)參見孫笑俠、郭春鎮(zhèn)：《法律父愛(ài)主義在中國(guó)的適用》，載《中國(guó)社會(huì)科學(xué)》2006年第1期。將使信息主體暴露于個(gè)人信息處理的風(fēng)險(xiǎn)之中。即使法律對(duì)個(gè)人信息處理者行為進(jìn)行規(guī)范和要求，也不能保證個(gè)人信息處理者必然嚴(yán)格遵守規(guī)則，此即禁止性規(guī)定會(huì)配套法律責(zé)任條款的重要原因。不僅如此，即便個(gè)人信息處理者遵守各類規(guī)定，也不見得處理行為不產(chǎn)生任何風(fēng)險(xiǎn)。當(dāng)然，允許信息主體自行決策，原理在于允許個(gè)人對(duì)于精準(zhǔn)連結(jié)身份的未來(lái)風(fēng)險(xiǎn)進(jìn)行判斷和決策，而非出于個(gè)人對(duì)其個(gè)人信息的完全控制。(34)關(guān)于該問(wèn)題的討論,參見前引〔22〕，王雪喬文；張勇：《APP個(gè)人信息的刑法保護(hù)：以知情同意為視角》，載《法學(xué)》2020年第8期；前引〔11〕，劉士國(guó)文。關(guān)于該點(diǎn)，有學(xué)者通過(guò)細(xì)致考究已經(jīng)指出，目前廣為流傳的個(gè)人信息自決權(quán)是對(duì)德國(guó)人口普查案的以訛傳訛，(35)參見楊芳：《個(gè)人信息自決權(quán)理論及其檢討——兼論個(gè)人信息保護(hù)法之保護(hù)客體》，載《比較法研究》2015年第6期。所以此處信息主體同意是個(gè)人自治的具體體現(xiàn)，是個(gè)人事務(wù)自決的應(yīng)有之義。

事實(shí)上，避免存在直接標(biāo)識(shí)符而導(dǎo)致信息處理風(fēng)險(xiǎn)精準(zhǔn)傳導(dǎo)至個(gè)人，亦符合國(guó)際個(gè)人信息保護(hù)制度的基本邏輯。以下以具有代表性的美國(guó)和歐盟的制度分別說(shuō)明。

美國(guó)的信息主體同意規(guī)則重點(diǎn)關(guān)注可識(shí)別個(gè)人信息(personally identifiable information，簡(jiǎn)稱PII)，即本文所述單獨(dú)識(shí)別個(gè)人信息。起初按照美國(guó)的隱私控制理論，信息主體有資格決定個(gè)人信息在何時(shí)、以何種程度和方式進(jìn)行流動(dòng)。(36)See Alan F.Westin,Privacy and Freedom,25 Washington and Lee Law Review,166 (1968).但是隱私控制理論與美國(guó)人的信息自由信仰背道而馳。此種情況下，為了緩和信息控制和流動(dòng)之間的張力，美國(guó)通過(guò)《兒童網(wǎng)絡(luò)隱私法》等一系列法案將信息主體對(duì)個(gè)人信息的控制限制在PII范圍內(nèi)，即處理PII要經(jīng)過(guò)信息主體同意，而PII恰恰相當(dāng)于本文的單獨(dú)識(shí)別個(gè)人信息。雖然美國(guó)分散式個(gè)人信息保護(hù)立法使PII的邊界動(dòng)態(tài)變化，但美國(guó)人的信息主體僅控制PII的立場(chǎng)卻始終堅(jiān)定。甚至根據(jù)美國(guó)最新出臺(tái)的《統(tǒng)一個(gè)人數(shù)據(jù)保護(hù)法》(The Uniform Personal Data Protection Act，簡(jiǎn)稱UPDPA)(37)《統(tǒng)一個(gè)人數(shù)據(jù)保護(hù)法》系由美國(guó)統(tǒng)一法律委員會(huì)制定，于2021年7月通過(guò)的示范法案，擬于2022年1月前后實(shí)施，該法案載于https://uniformlaws.org/committees/community-home/librarydocuments/viewdocument?DocumentKey=afdb7812-a7c6-4468-92f6-fac09416c0ac。第7條第b款第5項(xiàng)結(jié)合同條第a款第1句，可以得出結(jié)論：針對(duì)去直接標(biāo)識(shí)符的個(gè)人信息進(jìn)行處理不需要獲得信息主體的同意。(38)根據(jù)UPDPA第7條第b款第5項(xiàng)，對(duì)于創(chuàng)建假名或匿名化數(shù)據(jù)具有合理必要性的處理行為，是兼容的數(shù)據(jù)處理行為。根據(jù)UPDPA第7條第a款第1句，控制者或處理者可以在未經(jīng)數(shù)據(jù)主體同意的情況下從事兼容的數(shù)據(jù)處理行為。因此，根據(jù)UPDPA第7條第b款第5項(xiàng)結(jié)合同條第a款第1句，對(duì)于創(chuàng)建假名或匿名化數(shù)據(jù)具有合理必要性的處理行為，不需要取得數(shù)據(jù)主體的同意。以舉重以明輕的法學(xué)原理對(duì)該項(xiàng)規(guī)定深入研究可得出以下結(jié)論：創(chuàng)建假名化數(shù)據(jù)的行為針對(duì)的是能單獨(dú)、直接識(shí)別數(shù)據(jù)主體的個(gè)人數(shù)據(jù)，該行為尚且不需要取得數(shù)據(jù)主體的同意，則假名化完成后的數(shù)據(jù)不能單獨(dú)、直接識(shí)別數(shù)據(jù)主體，對(duì)該類數(shù)據(jù)的處理行為更不需要獲得數(shù)據(jù)主體的同意。UPDPA中的假名化數(shù)據(jù)為去除直接標(biāo)識(shí)符的個(gè)人數(shù)據(jù)，大致相當(dāng)于本文所指“結(jié)合識(shí)別個(gè)人信息”。例如，在針對(duì)群體的醫(yī)學(xué)研究中，為了研究某種疾病的地域分布關(guān)系，在收集各地患者數(shù)據(jù)時(shí)，至多同時(shí)收集患者所在省、市、縣即可，沒(méi)有必要得知患者姓名、身份證號(hào)等數(shù)據(jù)項(xiàng)，甚至患者的精確地址亦不具有必要性。此時(shí)個(gè)人信息處理者便不需要取得信息主體的同意。由是觀之，美國(guó)人基本認(rèn)為若無(wú)PII則不存在權(quán)益威脅。

歐盟的制度也體現(xiàn)了類似的思路。歐盟2016年制定了GDPR，2018年正式生效執(zhí)行。部分關(guān)于GDPR的研究表明同意規(guī)則將賦予信息主體對(duì)其個(gè)人信息的超強(qiáng)控制力。(39)參見王成：《個(gè)人信息民法保護(hù)的模式選擇》，載《中國(guó)社會(huì)科學(xué)》2019年第6期。但在GDPR尚未生效執(zhí)行的2017年，歐盟第108號(hào)公約協(xié)商委員會(huì)就出臺(tái)了《大數(shù)據(jù)社會(huì)個(gè)人數(shù)據(jù)處理中的個(gè)人保護(hù)指南》。(40)Guidelines on the Protection of Individuals With Regard to the Processing of Personal Data in a World of Big Data,available at https://ccdcoe.org/uploads/2019/09/CoE-170123_Guidelines-on-protection-of-individuals-with-regard-to-processing-of-personal-data-in-a-world-f-big-data.pd，last visited on Dec.3,2021.其中指出，“大數(shù)據(jù)應(yīng)用的復(fù)雜性和模糊性應(yīng)該促使規(guī)則制定者不再將控制概念局限于個(gè)人控制(個(gè)人信息)。他們應(yīng)該(將控制個(gè)人信息概念)理解為更廣義的控制個(gè)人信息使用”(41)《大數(shù)據(jù)社會(huì)個(gè)人數(shù)據(jù)處理中的個(gè)人保護(hù)指南》，李群濤譯，高富平校，載http://www.dataprotection.cn/news/126.html，最后訪問(wèn)時(shí)間：2021年8月30日。。顯然歐盟欲澄清，信息主體同意對(duì)其個(gè)人信息的控制范圍遠(yuǎn)不及研究者所言之廣泛。

因此，為尊重陌生人社會(huì)個(gè)人隱匿身份的自由，尊重信息主體對(duì)處理風(fēng)險(xiǎn)的決策，信息主體同意適用于單獨(dú)識(shí)別個(gè)人信息。

四、同意規(guī)則不適用于結(jié)合識(shí)別個(gè)人信息

基于尊重信息主體對(duì)處理風(fēng)險(xiǎn)的決策，以及尊重陌生人社會(huì)個(gè)人隱匿身份的自由，可以得出同意適用于單獨(dú)識(shí)別個(gè)人信息的結(jié)論。基于此二者，同樣能夠從反面佐證同意不適用于結(jié)合識(shí)別個(gè)人信息。不僅如此，本部分另從避免《個(gè)人信息保護(hù)法》兩套識(shí)別標(biāo)準(zhǔn)的“基因缺陷”、避免同意規(guī)則與不需告知規(guī)則銜接不暢，以及避免“促進(jìn)個(gè)人信息合理利用”的立法目的不達(dá)三個(gè)角度證明，同意規(guī)則不適用于結(jié)合識(shí)別個(gè)人信息。

(一)避免個(gè)保法兩套識(shí)別標(biāo)準(zhǔn)的“基因缺陷”

認(rèn)定個(gè)人信息時(shí)，采較為寬松的識(shí)別可能性標(biāo)準(zhǔn)，個(gè)人信息處理者本身是否具有直接識(shí)別能力，在所不問(wèn)；然而取得同意卻恰以個(gè)人信息處理者本身具有直接識(shí)別能力為前提。兩者所持標(biāo)準(zhǔn)差異導(dǎo)致同意規(guī)則不能及于全部個(gè)人信息，特別是不適用于結(jié)合識(shí)別個(gè)人信息。(42)See Christopher Kuner,Lee A.Bygrave,Christopher Docksey,The EU General Data Protection Regulation (GDPR)A Commentary,Oxford University Press,2020,p.395.

個(gè)人信息認(rèn)定環(huán)節(jié)的判斷標(biāo)準(zhǔn)是客觀識(shí)別標(biāo)準(zhǔn)，其要求“個(gè)人信息處理者或者其他任何人”有能力根據(jù)信息識(shí)別信息主體身份，不僅限于個(gè)人信息處理者自身有此識(shí)別能力。單獨(dú)識(shí)別個(gè)人信息是個(gè)人信息中最為典型的一類。然而，隨著世界各國(guó)認(rèn)識(shí)到個(gè)人信息處理活動(dòng)涉及信息主體利益甚巨，出于加強(qiáng)信息主體權(quán)益保護(hù)目的，個(gè)人信息保護(hù)法適用范圍相應(yīng)擴(kuò)張。(43)兩份個(gè)人信息保護(hù)領(lǐng)域的重要文件引領(lǐng)了對(duì)信息主體的強(qiáng)保護(hù)，分別是世界經(jīng)濟(jì)合作與發(fā)展組織發(fā)布的《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流通指南》和歐洲理事會(huì)發(fā)布的《個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)公約》。此二文件成為之后各國(guó)立法的重要參照文件。作為個(gè)人信息保護(hù)法適用門檻，個(gè)人信息范圍也需隨之?dāng)U張。于是國(guó)際上普遍認(rèn)可，若個(gè)人信息處理者不能通過(guò)信息單獨(dú)識(shí)別信息主體，而是結(jié)合其他信息可以間接識(shí)別，那么該信息(結(jié)合識(shí)別個(gè)人信息)亦屬于個(gè)人信息。不僅如此，在歐盟GDPR影響下，國(guó)際社會(huì)進(jìn)一步認(rèn)同：即使個(gè)人信息處理者不能通過(guò)信息識(shí)別個(gè)人，而其他任何人(by another person)具有此種識(shí)別能力，那么該信息也屬于個(gè)人信息。至此，作為個(gè)人信息判斷重要標(biāo)準(zhǔn)的識(shí)別，已經(jīng)從特定個(gè)人信息處理者能夠識(shí)別，擴(kuò)張到世界上(至少是個(gè)人信息處理者活動(dòng)范圍內(nèi))任何其他人能夠識(shí)別。此觀點(diǎn)被歐盟第29條工作組嚴(yán)格貫徹，(44)參見前引〔15〕，Article 29 Data Protection Working Party文。歐洲法院也在相應(yīng)判決中落實(shí)這一標(biāo)準(zhǔn)。(45)See Case T-670/16,Digital Rights Ireland v.European Commission,GC,order of 22 November 2017(ECLI:EU:T:2017:838);Case C-434/16,Peter Nowak v.Data Protection Commissioner,judgment of 20 December 2017(ECLI:EU:C:2017:994);Case C-345/17,Proceedings brought by Sergejs Buivids,judgment of 14 February 2019(ECLI:EU:C:2019:122);Case C-40/17,Fashion ID GmbH & Co.KG v.Verbraucherzentrale NRW eV.,judgment of 29 July 2019(ECLI:EU:C:2019:629).以至于歐洲學(xué)者嗟嘆，個(gè)人信息保護(hù)法某種程度上已成為“萬(wàn)物之法”。(46)參見前引〔16〕,Nadezhda Purtova文，第78頁(yè)。簡(jiǎn)言之，為了保護(hù)個(gè)人權(quán)益，已經(jīng)以當(dāng)前世界上先進(jìn)識(shí)別技術(shù)和豐富信息量為標(biāo)準(zhǔn)(客觀識(shí)別標(biāo)準(zhǔn))判斷特定信息是否為個(gè)人信息。

然而就同意規(guī)則而言，履行“取得同意”義務(wù)必然以主觀識(shí)別標(biāo)準(zhǔn)——特定個(gè)人信息處理者的實(shí)際識(shí)別能力(甚至是直接識(shí)別能力)——為限。取得同意義務(wù)是個(gè)人信息處理者自身需要履行的義務(wù)，依照“法律不強(qiáng)人所難”的基本法理，個(gè)人信息處理者履行某義務(wù)必然要以有履行此義務(wù)的能力為限。個(gè)人信息處理者履行取得同意義務(wù)要以信息中含有直接標(biāo)識(shí)符為限，此系同意的時(shí)間要求所致。按照《個(gè)人信息保護(hù)法》第13條第1款第1項(xiàng)規(guī)定，取得信息主體同意的，個(gè)人信息處理者方可處理個(gè)人信息。易言之，原則上取得同意應(yīng)當(dāng)先于處理行為進(jìn)行方為合法。而結(jié)合其他信息進(jìn)行間接身份識(shí)別也是處理行為，因此，同意也應(yīng)當(dāng)先于間接識(shí)別行為而進(jìn)行，否則違法。同意這一時(shí)間要求，迫使個(gè)人信息處理者在取得同意之前不得以處理的方式進(jìn)行識(shí)別。因此，同意方面的合規(guī)，要求個(gè)人信息處理者必須在取得同意之前能單獨(dú)、直接識(shí)別信息主體的身份。個(gè)人信息認(rèn)定環(huán)節(jié)的客觀識(shí)別標(biāo)準(zhǔn)與同意規(guī)則中的主觀識(shí)別標(biāo)準(zhǔn)間的差距，使得同意控制范圍注定無(wú)法及于各類個(gè)人信息上的處理行為。有學(xué)者將客觀標(biāo)準(zhǔn)概括為“識(shí)別可能性”(identifiability)，而將主觀識(shí)別標(biāo)準(zhǔn)概括為“識(shí)別本身”(identification)，并指出同意規(guī)則僅關(guān)注后者，即識(shí)別本身。(47)參見前引〔42〕,Christopher Kuner等書，第395頁(yè)。兩種識(shí)別標(biāo)準(zhǔn)只有在面對(duì)單獨(dú)識(shí)別個(gè)人信息時(shí)才重合。揣測(cè)普遍漠視這一差距的原因，或許是個(gè)人信息保護(hù)制度研究基本以APP從信息主體處直接采集個(gè)人信息的場(chǎng)景作為典型思考模型。于是，收集、存儲(chǔ)、分析個(gè)人信息，當(dāng)然不存在不知信息主體身份的情形。此亦從側(cè)面說(shuō)明，同意規(guī)則適用范圍的限縮，往往起因于個(gè)人信息處理者非從信息主體處直接收集個(gè)人信息情形(即俗稱的“個(gè)人信息二手利用”)的廣泛存在?？傊?，個(gè)人信息的外延比同意規(guī)則所能適用的個(gè)人信息外延大得多，超出的部分包括特定個(gè)人信息處理者能夠結(jié)合識(shí)別出身份的個(gè)人信息以及特定個(gè)人信息處理者本身不能結(jié)合識(shí)別出身份的個(gè)人信息。

兩標(biāo)準(zhǔn)范圍的不完全重合，恰恰是由于個(gè)人信息認(rèn)定環(huán)節(jié)“識(shí)別”標(biāo)準(zhǔn)的極大擴(kuò)張為個(gè)人信息保護(hù)制度創(chuàng)設(shè)的“基因缺陷”。由此觀之，對(duì)個(gè)人信息范圍采廣義理解的國(guó)家，只要其采選進(jìn)機(jī)制(opt-in)，即取得同意應(yīng)先于處理行為進(jìn)行，則其個(gè)人信息保護(hù)體系中的同意規(guī)則亦需限縮于單獨(dú)識(shí)別個(gè)人信息。歐盟發(fā)現(xiàn)了這一基因缺陷，并通過(guò)設(shè)置GDPR第11條試圖進(jìn)行解決。根據(jù)該條，個(gè)人信息處理者(48)GDPR與我國(guó)《個(gè)人信息保護(hù)法》在術(shù)語(yǔ)使用上略有不同。GDPR的數(shù)據(jù)控制者對(duì)應(yīng)我國(guó)的個(gè)人信息處理者。GDPR的數(shù)據(jù)主體，對(duì)應(yīng)我國(guó)的個(gè)人，即本文所謂信息主體。術(shù)語(yǔ)上的不統(tǒng)一將導(dǎo)致文本閱讀上的障礙，為避免這一問(wèn)題，本文在介紹GDPR條文時(shí)一律使用我國(guó)的術(shù)語(yǔ)。有時(shí)不必僅為了合規(guī)而獲取信息主體同意。也正因如此，歐洲學(xué)者贊揚(yáng)GDPR第11條稱，該條“彌合了(至少是試圖彌合)由個(gè)人信息概念引發(fā)的鴻溝”(49)前引〔42〕,Christopher Kuner等書，第395頁(yè)。。

(二)避免同意規(guī)則與不需告知規(guī)則銜接不暢

同意不適用于結(jié)合識(shí)別個(gè)人信息，即要求針對(duì)結(jié)合識(shí)別個(gè)人信息建立“不需同意”制度。此系對(duì)《個(gè)人信息保護(hù)法》“不需告知”制度的必要呼應(yīng)。

《個(gè)人信息保護(hù)法》設(shè)立了不需告知規(guī)則?！秱€(gè)人信息保護(hù)法》第18條第1款為“不需告知”制度提供了依據(jù)?！安恍韪嬷敝贫戎饕m用于三種情形：第一，信息主體已經(jīng)知情，不再需要告知；第二，已經(jīng)公開的個(gè)人信息，不再需要告知；(50)參見程嘯：《論個(gè)人信息處理者的告知義務(wù)》，載《上海政法學(xué)院學(xué)報(bào)(法治論叢)》2021年第5期。第三，當(dāng)個(gè)人信息處理者客觀不識(shí)別身份或基于合規(guī)要求不被允許識(shí)別身份時(shí)，基于法律不強(qiáng)人所難的基本法理，也應(yīng)當(dāng)作為前述不需要告知情形之一。GDPR有類似制度，其第13、14條分別針對(duì)從信息主體處收集個(gè)人信息、非從信息主體處收集個(gè)人信息兩種情形規(guī)定了告知義務(wù)的例外情形。尤其是第14條第5款b項(xiàng)提出，個(gè)人信息處理者提供相應(yīng)信息被證明是不可能或者需要投入過(guò)多不必要精力時(shí)，個(gè)人信息處理者不需要告知。不過(guò)，GDPR亦非完美：根據(jù)GDPR第11條第2款，當(dāng)個(gè)人信息處理者的處理目的不要求識(shí)別信息主體身份，且個(gè)人信息處理者能夠證明自己無(wú)法識(shí)別信息主體時(shí)，如果個(gè)人信息處理者可以(if possible)，則需要履行告知義務(wù)。然而當(dāng)個(gè)人信息處理者不能識(shí)別信息主體時(shí)，個(gè)人信息處理者如何能夠履行告知義務(wù)。于是，歐洲學(xué)者亦無(wú)奈表示，只能依賴“如果可能的話”(if possible)這一條件彌補(bǔ)第11條第2款的缺憾。(51)參見前引〔42〕,Christopher Kuner等書，第396頁(yè)。換言之，一般宜認(rèn)為此種情況下告知義務(wù)無(wú)履行可能。

因?yàn)楦嬷侨〉猛獾那疤岷鸵螅圆恍韪嬷?guī)則應(yīng)配以不需同意制度。按照《個(gè)人信息保護(hù)法》第14條第1款第1句，同意應(yīng)當(dāng)在信息主體充分知情的前提下作出。但當(dāng)信息主體不知情時(shí)(此為常態(tài))，個(gè)人信息處理者必然需通過(guò)告知使其充分知情。是故，在邏輯上告知、知情、同意依次發(fā)生，通常情況下告知是同意的邏輯前提?！案嬷狻被蛘摺爸橥狻边@一學(xué)界和實(shí)務(wù)界通用且公認(rèn)的提法事實(shí)上已經(jīng)表明告知是同意的邏輯前提。(52)參見前引〔17〕，范為文；葉名怡：《論個(gè)人信息權(quán)的基本范疇》，載《清華法學(xué)》2018年第5期；前引〔22〕，田野文；王利明：《數(shù)據(jù)共享與個(gè)人信息保護(hù)》，載《現(xiàn)代法學(xué)》2019年第1期；張新寶：《個(gè)人信息收集：告知同意原則適用的限制》，載《比較法研究》2019年第6期；萬(wàn)方：《隱私政策中的告知同意原則及其異化》，載《法律科學(xué)(西北政法大學(xué)學(xué)報(bào))》2019年第2期；呂炳斌：《個(gè)人信息保護(hù)的“同意”困境及其出路》，載《法商研究》2021年第2期。既然如此，那么由于客觀或者合規(guī)等原因不能告知信息主體時(shí)，當(dāng)然也就無(wú)法取得信息主體的同意。這就要求《個(gè)人信息保護(hù)法》有對(duì)應(yīng)不需告知規(guī)則的不需同意制度。

然而《個(gè)人信息保護(hù)法》沒(méi)有同步設(shè)計(jì)不需同意制度。我國(guó)雖然設(shè)計(jì)了不需告知規(guī)則，但顯然同意規(guī)則與此不相適應(yīng)，因?yàn)榘凑盏?3條規(guī)定的文義，當(dāng)無(wú)其他合法性基礎(chǔ)時(shí)，各類個(gè)人信息的處理都需要以獲得信息主體同意為前提，其他因素在所不問(wèn)(此亦為本文引言中“全部個(gè)人信息說(shuō)”的依據(jù))。從全國(guó)人大相關(guān)機(jī)構(gòu)在立法過(guò)程中形成的一系列有關(guān)歐盟個(gè)人信息保護(hù)制度和美國(guó)隱私保護(hù)制度的研究材料，以及《個(gè)人信息保護(hù)法》眾多條文的表述觀之，我國(guó)《個(gè)人信息保護(hù)法》立法明顯有參考GDPR的現(xiàn)象。然而僅就告知同意規(guī)則來(lái)看，我國(guó)并未做到全面、完整、正確地進(jìn)行制度參考。上文已經(jīng)提及，我國(guó)不需告知規(guī)則學(xué)習(xí)了GDPR第13、14條，但對(duì)應(yīng)此種情形，GDPR配套設(shè)置了第11條第1款不需同意規(guī)則，即如果個(gè)人信息處理者處理個(gè)人信息的目的不要求或不再要求識(shí)別信息主體身份，則不應(yīng)強(qiáng)制個(gè)人信息處理者僅為合規(guī)而保留、獲取或處理額外信息以識(shí)別信息主體身份。言下之意，當(dāng)個(gè)人信息處理者不需識(shí)別身份時(shí)，其處理不需要取得同意。但是我國(guó)只吸收了不需告知規(guī)則，沒(méi)有同步建立作為其邏輯后果的不需同意制度。

當(dāng)然，GDPR第11條第1款并非我國(guó)不需同意制度的最佳選擇。相反，GDPR第11條第1款本身存在嚴(yán)重的邏輯漏洞，此處簡(jiǎn)要分析。根據(jù)歐盟GDPR第11條第1款可推知，若處理之目的不要求識(shí)別信息主體身份，則以識(shí)別身份為前提的同意也不需要獲得。簡(jiǎn)言之，根據(jù)該條，是否要求獲得同意系以“是否需要識(shí)別身份”為根本判斷標(biāo)準(zhǔn)。需要識(shí)別信息主體身份，則需要獲得同意，反之則不需要?？此浦苎拥慕Y(jié)論掩蓋了邏輯上的漏洞，此處邏輯上的漏洞主要是指遺漏考慮一種情形，即處理結(jié)合識(shí)別個(gè)人信息(即不含直接標(biāo)識(shí)符的個(gè)人信息)且處理目的要求識(shí)別信息主體身份。根據(jù)GDPR第11條第1款，此種情形，由于“需要識(shí)別”所以需要獲得同意。然而只有通過(guò)“識(shí)別身份”這一處理行為識(shí)別出信息主體身份才能得到其同意，而同意只能為同意之后的處理行為提供合法性基礎(chǔ)，不能為同意之前的識(shí)別身份行為及其之前行為提供合法性基礎(chǔ)。因此筆者指出的這種情況，根據(jù)GDPR第11條第1款，識(shí)別出身份之前階段的處理行為必然將因無(wú)合法性基礎(chǔ)而違法。法律不強(qiáng)人所難，所以識(shí)別身份及其之前的行為也不應(yīng)當(dāng)要求獲得個(gè)人同意。因此，GDPR以“是否需要識(shí)別”作為劃分同意適用邊界的標(biāo)準(zhǔn)并不合理，應(yīng)當(dāng)以是否含有直接標(biāo)識(shí)符(無(wú)需進(jìn)行處理即可識(shí)別身份)作為劃分標(biāo)準(zhǔn)。我國(guó)沒(méi)有移植GDPR第11條第1款，一定意義上避免了陷入前述邏輯漏洞，但這不能表明我國(guó)不應(yīng)該設(shè)立不需同意制度。

于是，我國(guó)應(yīng)建立的不需同意制度，不能盲目追隨GDPR，而是應(yīng)基于《個(gè)人信息保護(hù)法》條文，在解釋上將單獨(dú)識(shí)別個(gè)人信息作為同意規(guī)則的適用范圍，而將結(jié)合識(shí)別個(gè)人信息排除于同意規(guī)則適用范圍之外。如前所述，我國(guó)應(yīng)當(dāng)存在不需同意制度。但顯然，我國(guó)法缺失這一制度，導(dǎo)致同意規(guī)則與告知規(guī)則銜接不暢。而《個(gè)人信息保護(hù)法》生效后，必須從解釋論層面尋找新出路。此即需在現(xiàn)行法框架下基于解釋論提出具有相同功能的替代方案。而本文所提出的同意適用邊界限縮恰恰是解釋論下的一種有效解決方案。同意適用邊界限于單獨(dú)識(shí)別個(gè)人信息，并非意味著結(jié)合識(shí)別個(gè)人信息將不受控制，只是說(shuō)明結(jié)合識(shí)別個(gè)人信息將不受信息主體的事前控制。但基于法律規(guī)定產(chǎn)生的個(gè)人信息處理者義務(wù)仍然繼續(xù)適用，《個(gè)人信息保護(hù)法》規(guī)定的事前個(gè)人信息保護(hù)影響評(píng)估等措施仍然應(yīng)當(dāng)落實(shí)，以保護(hù)信息主體權(quán)益。并且，此時(shí)應(yīng)當(dāng)對(duì)個(gè)人信息處理者課以更高要求。(53)參見前引〔42〕,Christopher Kuner等書，第447頁(yè)。

(三)避免個(gè)人信息流通利用的立法目的不達(dá)

確認(rèn)結(jié)合識(shí)別個(gè)人信息的處理不需要同意，恰恰能激勵(lì)個(gè)人信息處理者將個(gè)人信息處理活動(dòng)維持于低風(fēng)險(xiǎn)狀態(tài)。個(gè)人信息保護(hù)的本意是平衡個(gè)人信息處理利用與個(gè)人信息處理利用過(guò)程中信息主體權(quán)益維護(hù)。當(dāng)個(gè)人信息已經(jīng)為結(jié)合識(shí)別個(gè)人信息時(shí)，已經(jīng)使個(gè)人信息處理活動(dòng)處于低風(fēng)險(xiǎn)水平。如果仍然認(rèn)為結(jié)合識(shí)別個(gè)人信息之處理亦須取得信息主體的同意，那么必然以重新識(shí)別信息主體身份為前提，則反而因?yàn)楹弦?guī)要求使得個(gè)人信息重新被暴露于高風(fēng)險(xiǎn)環(huán)境。(54)See Paul M.Schwartz,Daniel J.Solove,The PII Problem: Privacy and a New Concept of Personally Identifiable Information,86 New York University Law Review,1814(2011).最終與個(gè)人信息保護(hù)法立法目的相悖。正是因?yàn)閱为?dú)識(shí)別個(gè)人信息與結(jié)合識(shí)別個(gè)人信息的風(fēng)險(xiǎn)水平有異，所以對(duì)兩者不應(yīng)采相同保護(hù)水平。結(jié)合識(shí)別個(gè)人信息之處理不需要個(gè)人同意，是對(duì)此類信息處理的制度激勵(lì)，有利于鼓勵(lì)個(gè)人信息處理者積極主動(dòng)地對(duì)個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理。事實(shí)上，《個(gè)人信息保護(hù)法》本身也將去標(biāo)識(shí)化作為安全技術(shù)措施(第51條第3項(xiàng))。

《個(gè)人信息保護(hù)法》的重要目的之一在于“促進(jìn)個(gè)人信息合理利用”。信息是自由的，個(gè)人信息亦未完全脫離自由的本質(zhì)，只是因?yàn)閭€(gè)人信息以個(gè)人為主題，所以屬于特殊信息類型，需要一定程度的特殊對(duì)待。而結(jié)合識(shí)別個(gè)人信息，多屬于用以分析個(gè)性特征的信息，這些信息只有與特定個(gè)人身份關(guān)聯(lián)起來(lái)，可以直接通過(guò)該信息識(shí)別信息主體身份時(shí)，才涉及隱私等人格利益問(wèn)題，這意味著鼓勵(lì)在不危及信息主體權(quán)益情形下對(duì)結(jié)合識(shí)別個(gè)人信息進(jìn)行分析利用。當(dāng)然，若導(dǎo)致不利后果，那么可以通過(guò)民事侵權(quán)救濟(jì)而非事前控制機(jī)制，保證信息主體權(quán)益得到保護(hù)?，F(xiàn)行法已經(jīng)建立起這樣的事后救濟(jì)機(jī)制。當(dāng)信息主體權(quán)益遭受侵害或有受侵害之虞但尚未造成損害時(shí)，《民法典》第1037條等已經(jīng)提供了各類防御性人格權(quán)益請(qǐng)求權(quán)。(55)參見高富平、李群濤：《個(gè)人信息主體權(quán)利的性質(zhì)和行使規(guī)范——〈民法典〉第1037條的解釋論展開》，載《上海政法學(xué)院學(xué)報(bào)(法治論叢)》2020年第6期。當(dāng)信息主體權(quán)益遭受侵害并造成損害時(shí)，《個(gè)人信息保護(hù)法》第69條第1款確立了專門的損害賠償制度。

不過(guò)，需要強(qiáng)調(diào)，結(jié)合識(shí)別個(gè)人信息與單獨(dú)識(shí)別個(gè)人信息可能互相轉(zhuǎn)換，一旦結(jié)合識(shí)別個(gè)人信息轉(zhuǎn)化為單獨(dú)識(shí)別個(gè)人信息，則又需要適用同意規(guī)則。處理結(jié)合識(shí)別個(gè)人信息不必獲得同意，甚至連分析行為也不必獲得同意。但是一旦通過(guò)處理行為識(shí)別到信息主體身份，結(jié)合識(shí)別個(gè)人信息瞬間轉(zhuǎn)換為單獨(dú)識(shí)別個(gè)人信息，于是應(yīng)當(dāng)立即尋求信息主體的同意。此時(shí)一旦同意沒(méi)有取得，那么根據(jù)《個(gè)人信息保護(hù)法》第47條第1款，個(gè)人信息處理者應(yīng)當(dāng)刪除所涉?zhèn)€人信息。某種意義上，結(jié)合識(shí)別個(gè)人信息轉(zhuǎn)換為單獨(dú)識(shí)別個(gè)人信息的時(shí)刻，很可能是個(gè)人信息處理者刪除個(gè)人信息的時(shí)刻。

五、結(jié) 語(yǔ)

“保護(hù)個(gè)人信息權(quán)益”與“促進(jìn)個(gè)人信息合理利用”是《個(gè)人信息保護(hù)法》第1條確立的同等重要的立法目的。該法給法律解釋適用者提出的艱巨任務(wù)是實(shí)現(xiàn)兩個(gè)目的的和諧與平衡。然而，若認(rèn)為缺失《個(gè)人信息保護(hù)法》第13條第1款第2至7項(xiàng)的合法性基礎(chǔ)時(shí)，對(duì)各類個(gè)人信息的處理都要經(jīng)過(guò)同意，那么天平上的砝碼已經(jīng)過(guò)于向保護(hù)個(gè)人信息權(quán)益一側(cè)傾斜。劃定同意規(guī)則的適用范圍正是“瞻前顧后”地通盤考慮兩種目標(biāo)的平衡之后在同意規(guī)則上的體現(xiàn)。本文主張信息主體的同意只能適用于對(duì)單獨(dú)識(shí)別個(gè)人信息的處理行為。此結(jié)論在法律解釋上體現(xiàn)為應(yīng)當(dāng)對(duì)《民法典》第1035條第1款第1項(xiàng)主文中的“自然人”以及《個(gè)人信息保護(hù)法》第13條第1款第1項(xiàng)中“個(gè)人”概念進(jìn)行限縮，限縮至“個(gè)人信息中以直接標(biāo)識(shí)符直接體現(xiàn)其身份的個(gè)人”。當(dāng)然，個(gè)人信息處理的合法性須從目的合法、具有合法性基礎(chǔ)，以及處理行為規(guī)范三個(gè)方面綜合甄別。本文討論的同意邊界問(wèn)題僅是合法性基礎(chǔ)方面判斷的問(wèn)題，不涉及目的是否合法和處理行為是否規(guī)范兩方面。

使結(jié)合識(shí)別個(gè)人信息擺脫信息主體同意的控制，也正是在法律上為目前國(guó)家提倡的數(shù)據(jù)流通機(jī)制提供法律基礎(chǔ)。2020年3月公布的《中共中央 國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》提出加快數(shù)據(jù)要素市場(chǎng)建設(shè)，其內(nèi)含的要求便是為數(shù)據(jù)流通創(chuàng)造法律上的途徑。個(gè)人信息是數(shù)據(jù)中的重要類別，當(dāng)然應(yīng)該考慮其流通利用的合法性問(wèn)題。但目前個(gè)人信息流通機(jī)制于法律方面的困境在于逐一獲取信息主體的同意，合規(guī)成本極大。本文試圖為結(jié)合識(shí)別個(gè)人信息未經(jīng)信息主體同意而流通利用的可行性提供法理支撐，以便在一定程度上為個(gè)人信息的流通利用松綁。