摘要：个人信息去标识化作为《个人信息保护法》明文规定的制度，对其应如何解释适用，目前尚未有广泛共识。要实现个人信息去标识化制度旨在平衡个人信息保护和利用的目标，一套个人信息去标识化的分类分级处理规则必不可少。此外，明确去标识化个人信息流转中个人信息处理者和接收者的权利和义务边界，亦是确保上述目标的关键。个人信息去标识化是个人信息的保护与利用平衡话题下的又一生动实践，去标识化制度能够有效化解匿名化制度的诸多实践困境。

个人信息去标识化作为《个人信息保护法》明文规定的制度，对其应如何解释适用，目前尚未有广泛共识。既有讨论多聚焦于去识别化的技术面向，至于去标识化与匿名化具有何种区别，去标识化后的个人信息能否自由流转，个人信息处理者和接收者应遵循何种义务等问题，均未有清晰解答。相应问题的答案不仅对于保护个人信息至关重要，也将深刻影响企业的实践行为，不可不察。

个人信息去标识化规则的解释难题

《个人信息保护法》分列了匿名化和去标识化两组概念，根据该法第七十三条的定义，匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程；去标识化则是指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。去标识化的表述还可见于关于个人信息处理者义务的规定中，该条将去标识化定位为个人信息处理者的一项义务，是防止个人信息泄露、篡改、丢失的其中一种安全技术措施。《信息安全技术个人信息去标识化指南》（GB/T 37964—2019）将“去标识化”表述为通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程。《信息安全技术 个人信息安全规范》（GB/T 35273-2020）沿用了此种表述。学界也多将个人信息的去标识化作为与匿名化相对的概念进行解读，即个人信息去标识化处理不同于匿名化处理，在借助额外信息后仍然可以重新识别出特定自然人。[1]

实践中，在《个人信息保护法》颁布前，互联网企业就已经在使用去标识化技术手段，对包含个人信息的数据进行处理。[2]个人信息去标识化也有广泛的运用场景，比较直观的如快递、外卖等物流配送行业对快递面单中客户个人信息的处理。快递、外卖单上有个人姓名、住址、联系电话等信息，前近因面单个人信息泄露导致的恶性事件时有发生，配送公司边开始考虑对个人信息进行处理。面单完全匿名化可能大幅降低配送效率，而去标识化的面单（如在面单上用“笑脸”“星号”等替代用户名、手机号码等个人信息）既能确保相应信息不具有可识别性，也能保证配送员结合其他信息时能够有效识别个人，从而保障配送的准确性和及时性。

但是，与法律明文将匿名化处理后的信息排除在了个人信息的保护范围之外不同，《个人信息保护法》虽将去标识化单独作为一项制度进行规定，但并未对个人信息去标识化的法律效果予以明确。比如，《个人信息保护法》并未在同意之外建立个人信息流通利用的其他特殊规则，这是否意味着去标识化后的信息进行流通利用也需经过个人同意？抑或是去标识化的信息就不再属于个人信息，因此不受知情同意规则的限制？此外，匿名化与去标识化之间并非泾渭分明，从逻辑上看，去标识化如果达到极致程度就成为无法复原的匿名化状态，那么随着去标识化程度的提高，是否也可以相应降 低或豁免个人信息处理者的责任？

个人信息去标识化制度虽为个人信息保护与利用的平衡提供了一个初步指向，但此种指向下具体解释规则应如何建构，从而能够既遵循立法已经确定的价值共识，又不背离市场需求和技术实践，尚有待细致思考。

个人信息去标识化制度的价值理念

作为一种人格权益，个人信息保护无疑是信息时代所必须坚守的底线。但与此同时，数字经济的高效发展也离不开对个人信息的有效利用，这也已成为实践中的共识。《个人信息保护法》明确将匿名化和去标识化分列，并明确将匿名化处理后的信息排除在了个人信息的保护范围之外，力图通过此种机制，分层次实现个人信息利用与保护之间的有序平衡。

去标识化制度的体系意义

个人信息作为一项《民法典》明文确定的人格权益，需要通过知情同意、匿名化、去标识化等方式进行保护。需要明确的是，所谓保护个人信息并非要保护抽象的信息本身，而是保护的是信息背后的人。去标识化作为一项与匿名化共同发挥保护功能的制度，对其规范目的的探寻离不开对匿名化制度的解读。

一项信息之所以能够成为个人信息，核心在于相应信息具有可识别性，通过对信息的读取，能够识别既个体的身份特征，从而确定某个自然人是谁，有什么偏好、做过什么事、是一个怎么样的人，通过这些个人信息，自然人的人格形象得以被完整勾勒。从《民法典》和《个人信息保护法》的规定看，判定某项信息是否属于个人信息，既需要考虑直接识别性，即由信息本身的特殊性能够识别出特定自然人，也需要考虑间接识别性，即某项信息通过与其他信息结合就可以识别特定自然人，同样属于个人信息。在民事审判中界定个人信息时，也都认为个人信息既包括单独信息就能识别到特定主体的直接识别信息，也包括单独信息无法识别需要结合其他信息才能识别到特定主体的间接识别信息。[3]

对个人信息的收集和流转，需要满足知情同意原则，但为了确保信息的高效流通利用，《个人信息保护法》规定了“匿名化”制度，并将匿名化定义为“个人信息经过处理无法识别特定自然人且不能复原的过程”。在理论层面，匿名化后的信息不再属于个人信息，相应的流通利用不再需要遵循个人信息保护的相关制度，在未经个人同意的情况下便可以流通利用。但综观技术和市场实践，完全匿名化却并非想象中的那么美好。在技术层面，信息技术的高度发展，使得事实意义上的匿名化难以有效确保，即便在彼时通过信息处理技术无法实现信息的复原，但由于技术始终是不断发展进步的，在保证时间和资源投入的情况下，从匿名化的信息中总能重新识别具体个人，也即要实现完全的匿名化在技术上几乎是不可能的。[4]在市场层面，匿名化制度的价值理念在于保障信息的绝对安全，但完全匿名化的信息也基本丧失流通利用的价值。申言之，个人信息的利用价值与个人信息对自然人的可识别性存在关联，实践中，平台企业正是利用个人信息的关联性实现辅助宏观商业决策、促进具体商业营销以及流量变现等商业模式，用于前述业务的信息几乎不可能达到匿名化的状态。[5]

仅从信息安全的角度出发，个人信息的可识别性自然越低越好，达致完全的匿名化是维护信息安全的最佳状态。但信息的价值在于解决不确定性，相应价值的发挥就在于传播、共享、融合，从而产生倍增效应。《个人信息保护法》虽然称之为保护法，但对个人信息的保护并非如同对隐私的保护一般严苛。信息不是为了保护而存于世间的，相反恰恰是为了利用。数字经济的发展也离不开个人信息的有效利用，匿名化制度无法有效解决利用问题。

正是基于个人信息绝对匿名化的实践困境，去标识化制度孕育而生。相较于个人信息的绝对匿名化，去标识化制度旨在寻求个人信息的保护与利用之间更为精妙的平衡，这正是区别于匿名化的去标识化制度的独立意义所在。有别于匿名化制度保护个人信息绝对安全的价值取向，去标识化制度虽同样需要考虑信息安全价值，但能够更好地兼顾信息的流通利用面向。

去标识化制度的平衡理念

去标识化制度旨在保护个人信息同时促进信息流通利用的规范目的，引致出去标识化处理的衡平理念。去标识化处理背后关涉到个人信息主体、个人信息处理者和个人信息接收者的利益。个人作为个人信息权益主体，除非相应信息已经达到无法识别特定自然人的程度，否则有权要求个人信息处理者流转相应信息时取得本人同意。个人信息处理者作为去标识化的主体，除了依据用户协议需要履行去标识化义务外，也保留了利用去标识化个人信息进行流转从而获取商业价值的利益期待。就个人信息接收者而言，利用去标识化的个人信息，能够有效节省信息收集成本，相应信息可以用于进一步加工分析使用，从而实现商业目的。

就前述三项利益期待而言，个人信息处理者和个人信息接收者的利益期待是一致的，即在去标识化过程中保留越多的信息越能实现商业价值；如果去标识化处理程度过高，信息的商业价值贬损幅度也就越大。但站在个人的角度，去标识化的程度越高对其保护越为有利，如果去标识化的个人信息没有达到完全匿名化的程度，个人权益在理论上仍有可能受到侵害。个人利益与个人信息处理者、接收者的利益在去标识化处理的程度选择上将发生冲突。从实质价值看，个人信息保护法的核心是保护信息背后的个人，即个人利益期待的核心关切仍是要确保通过信息无法识别到个人，因此只要去标识化能够达到无法识别特定自然人的程度，个人的此种利益期待就可以得到满足。站在个人信息处理者的角度，如果仅从形式逻辑出发，认为去标识化只要没有达到匿名化程度就还应适用知情同意规则，则无法激励个人信息处理者对个人信息进行去标识化处理，因为个人信息去标识化既需要投入成本，也没有任何收益。相反，从规范的实质目的出发，只要确保个人信息去标识化后信息接收者无法重新识别特定个人，个人的利益诉求便已经得到满足，此时允许相应信息不经个人同意便可以自由流通利用，无疑能够在保护个人信息的基础上，更好地促进个人信息流通利用的有效实现。

在数字经济时代，法律无法再单纯强调对个人信息的绝对保护，而是在充分保护的基础上不断挖掘其利用价值。保护与利用并重的理念贯穿于《个人信息保护法》的立法意旨和具体制度之中。《个人信息保护法》无论在立法目的、基本原则还是知情同意等具体制度部分，都体现出保护与利用平衡的内在价值追求。[6]去标识化作为保护个人信息安全的一项制度，正是建立在此种信息安全保护与信息的经济价值利用平衡的基础上。去标识化并非为了信息的流通利用而置个人利益于不顾，更非为了个人信息的绝对安全舍弃信息的利用价值，而是在充分保障个人权益的基础上，实现个人信息保护价值与利用价值的动态平衡。此种平衡理念引致出两方面的解释结论：其一，在去标识化处理时，只要去除相应标识符能够实现对信息安全的保护，其他标识符就应当保留，以保证数据信息的经济价值；其二，对于去除相应标识符后无法识别到的具体个人的信息，应允许个人信息处理者对其进行流通，其他信息处理者也可以对其进行开发利用，即在法律允许的范围内实现个人数据信息经济效益的最大化利用。新近中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》，能够对相应个人数据的有序利用提供指引。

不过，此种保护与利用平衡理念，还需要落实到个人信息去标识化制度的具体适用中。一方面，需要对去标识化处理行为进行更精细的类型区分，只有在具体场景中把握相应的衡平尺度，才能真正实现个人信息保护和利用的共赢。另一方面，需要对去标识化后信息的流通利用行为进行相应规制，以确保去标识化个人信息流通利用不仅能最大化发挥信息价值，也能避免个人权益受到损害。

个人信息去标识化制度的实践适用

要实现个人信息去标识化制度旨在平衡个人信息保护和利用的目标，一套个人信息去标识化的分类分级处理规则必不可少。此外，明确去标识化个人信息流转中个人信息处理者和接收者的权利和义务边界，亦是确保上述目标的关键。

个人信息分类分级去标识化处理

对于需要去标识化的个人信息，司法实践倾向于不在个人信息本身的定义之外施加过多限制，即包含可以直接或间接识别特定自然人的信息，包括：“姓名、电话号码、订单信息等可以直接识别到特定自然人的身份和财产状况的基本信息，也应当包括设备信息、位置信息、浏览记录等与其他信息进行结合就可以识别出特定自然人的信息。”[7]在网络环境下，包括昵称、头像、ID等在内的信息与用户主体身份具有强对应关系，在特定场景下结合其他数据仍可还原到相对应用户的具体主体身份信息，以上信息也属于需要去标识化处理的个人信息。[8]由于前述信息的敏感程度、公开程度均有所不同，因此去标识化制度在适用时应秉承分级分类策略，对不同类型的个人信息进行不同级别的去标识化处理。

首先，应对需要去标识化的个人信息进行分类。《个人信息保护法》赋予了敏感个人信息独特地位。敏感个人信息的重点在于保护而非利用，因此不适用去标识化处理，而应进行匿名化处理。对于非敏感个人信息而言，部分公开程度高的信息，信息接受主体更有可能通过其他信息实现对去标识化信息的重标识化。实践中，不乏去标识化程度不足导致信息泄露进而使个人信息权益受损的案例。如在付某某与某科技公司网络侵权纠纷案中，某科技公司认为其已经将可识别的信息去标识化处理，包括对用户姓名、手机号和证件信息都进行了部分隐藏等。但由于此项信息处于公开状态，与其他系统平台上的信息结合后容易识别到特定自然人，因此，法院认为某科技公司未采取必要措施保证信息安全。[9]可见，去标识化的个人信息如果公开性程度高，在去标识化时应采用更为有力的措施。相较之下，对于公开程度低的非敏感个人信息而言，相应信息的重识别风险较低，除非别有用心的第三人通过特殊手段获取其他信息，否则个人信息权益被侵害的可能性将远低于原始信息。

在对个人信息进行分类后，还应对去标识化技术进行分级。对于去标识化分级处理的讨论离不开技术语境。作为计算机语言，标识符作为标识变量、函数或属性的字符序列，能够关联或结合相关信息，形成关于某对象的文档或数据集。标识符分为直接标识符和间接标识符。直接标识符是指在特定环境下可以唯一识别个人的识别号码、特征或代码，如身份证号、指纹等，在一个数据集中区分出标识符和非标识符性质信息。间接标识符实际上只是发挥实现信息关联或链接的作用，需要额外的信息进行交互才可用于识别个人。其中，带有直接标识符的个人信息属于信息安全风险最高的个人信息，去标识化处理时应严格消除直接识别符，如此可以相当程度上降低个人信息的可识别性，能够防止非基于特殊目的的第三方重新识别信息主体。但对于部分公开信息而言，去除直接标识符的处理，不足以确保个人信息不再具有可识别性，因为此时信息接收者仍然可以通过大量的其他信息进行融合检验，并利用反向识别等技术手段再识别个人信息。对于此类公开信息而言，再去除直接标识符后，还应当依据特定场景去除部分间接标识符，此时个人信息处理者便具有更高的去标识化义务。

概而言之，敏感个人信息的保护程度更高，其在价值判断上更偏重于保护而非利用，非敏感个人信息应根据信息的公开程度进一步区分，对于公开程度高的个人信息需要去除直接标识符后依照具体场景进一步去除间接标识符，以降低通过公开信息对相应信息进行重标识的风险；对于非公开个人信息，原则上去除直接标识符后可以直接流转。构建分级分类的个人信息去标识化体系，能够在坚守个人信息保护底线的同时，最大程度发挥个人信息的流通利用价值。

去标识化个人信息的流通利用

在对个人信息进行分级分类去标识化后，应重点发挥信息的利用面向。个人信息处理者可以将相应信息通过转让、共享的形式流通利用，无需再次取得信息主体的同意，信息接收者也可以使用相应信息进行分析、加工并形成相应数据产品，从而最大化发挥信息的经济效益。

与此同时，去标识化个人信息的流转过程中，个人信息处理者和接收者仍应遵循一定的义务，以保障个人利益不受损害。首先，对于去标识化个人信息处理者而言，除了通过技术手段去除标识符外，还应负有将附加信息单独存储的义务。所谓“附加信息”指去除的标识符，为了避免信息被重新识别，个人信息处理者需要将附加信息单独存储。此种单独存储义务要求个人信息处理者确保相应附加信息不会被任何一方尤其是信息接收者使用，从而确保相应信息没有重识别风险。不过也有例外情形：在特定场景下，存储附加信息的个人信息处理者为了保护公共利益需要提供附加信息，如在涉及刑事侦查、司法协助的场合，个人信息处理者应提供附加信息，确保相应信息具有重识别性。个人利益在面对公共利益时也应退居其次，个人不得以个人信息保护为由阻碍个人信息处理者提供相应附加信息，也不得因此请求个人信息处理者承担相应的侵权责任。

其次，对于个人信息接收者而言，在处理去识别化个人信息时仍应遵循目的限定原则，若处理目的发生变化，则须重新取得个人同意。目的限定原则作为《个人信息保护法》规定的原则之一，贯穿于个人信息处理活动全过程，能够约束个人信息保护的收集行为和流转行为。个人信息接收者仅有在原有的处理目的范围内处理去标识化个人信息才无需取得个人同意，若超出相应目的则可能对个人利益造成额外的损害，此时必须重新取得个人同意。

个人信息去标识化是个人信息的保护利用平衡话题下的又一生动实践，去标识化制度能够有效化解匿名化制度的诸多实践困境。通过妥当的分级分类去标识化模式，辅之以个人信息处理者和接收者相应义务安排，可以在妥当保护个人信息权益的同时，促进信息的流通利用，服务数字经济行稳致远。从发展的角度看，当前针对个人信息去标识化的指引性规范尚付阙如，去标识化处理程度本身又因行业和场景的不同而存在较大差异，建议相关主管部门、标准化协会等适时出台符合本行业实际的规范或标准，以服务个人信息去标识化制度更好发挥其应有作用。

注释：

[1]参见高富平：《个人信息流通利用的制度基础——以信息识别性为视角》，载《环球法律评论》2022年第1期。

[2]参见张勇：《个人信息去标识化的刑法应对》，载《国家检察官学院学报》2018年第4期。

[3]郭锋、陈龙业、贾玉慧 ：《<个人信息保护法>具体适用中的若干问题探讨——基于<民法典>与<个人信息保护法>关联的视角》，载《法律适用》2022年第1期。

[4]参见齐英程：《我国个人信息匿名化规则的检视与替代选择》，《环球法律评论》2021年第3期。

[5]沈健州：《数据财产的权利架构与规则展开》，载《中国法学》2022年第4期，第100页。

[6]参见申卫星：《论个人信息保护与利用的平衡》，载《中国法律评论》2021年第5期。

[7]参见广州唯品会电子商务有限公司与周彦聪网络侵权责任纠纷案，广东省广州市中级人民法院(2022)粤01民终3937号民事判决书。

[8]参见北京互联网法院(2019)京0491民初16142号民事判决书。

[9]北京互联网法院(2018)京0491民初1905号民事判决书。

 

 

 

 

 

免责声明：凡本网注明"来源：XXX（非中国知识产权杂志出品）"的作品，均转载自其它媒体，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件，意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布，可与本网联系，本网视情况可立即将其撤除。新闻纠错：13621279650 13621252760，邮箱：chinaip@chinaipmagazine.com