重新定义个人身份可识别信息的概念

尽管本书第二章就已经提到界定“个人身份可识别信息”面临的诸多困境，但如果我们将此概念摈弃，我们将无法建立起统一的确立规则界限的方法。我们需要考虑的是如何科学地对“个人身份可识别信息”进行重新定义，以解决面临的诸多问题。

（一）不应摈弃个人身份可识别信息的概念

“个人身份可识别信息”这个概念让很多学者都感到沮丧，其中比较极端的是不再将“个人身份可识别信息”这一概念作为个人信息保护领域的核心概念。学者欧姆指出，“个人身份可识别信息”这一概念没多大用处，它的内容并不固定。在他看来，总会存在一些信息是定义“个人身份可识别信息”所无法涵盖的。“个人身份可识别信息”上列举的数据信息类型将会越来越多，除非所有“个人身份可识别信息”都列在清单上，这个清单才会停止增长。欧姆因此认为，想要给“个人身份可识别信息”下一个定义，就如同狂欢节上经典的“打地鼠”节目一样，永远无法打完。打下一只，另一只又冒出来，永远有打不完的地鼠。^[33]

欧姆提出的这一问题值得我们重视，但他所主张的抛弃此概念的提议则显得过于偏激。摈弃此概念，会引发诸多问题。“个人身份可识别信息”这个概念设立了信息保护的界限。如果没有此概念，个人信息保护的范围将不受规制。这可能会导致在信息泛滥的年代，个人信息保护会将所有的信息都纳入到其统辖范围之下，规制人们行为的方方面面。欧姆认为，尽管立法者意识到减少并挤压信息在社会中的流动可能会牺牲掉言论自由、技术革新、安全利益等重要价值，但他们还是试图通过这样的方法来防止隐私侵害结果的发生。^[34]他指出，与信息保护相关的条款在制定时应权衡信息的自由流动带来的价值更大，还是隐私受侵害带来的损失更大。^[35]当我们怀疑信息流通的成本可能超过信息流通可能带来的利益时，法律就应限制大型数据库的开发与信息的披露。^[36]这样的数据库可能会在知识科普、数据信息安全、医疗保健及科学研究方面扮演重要角色。与此同时，欧姆提出的成本利益分析很难做到。因为一般而言，人们很难提前分析成本利益各是多少。

当被披露或被使用的数据信息与某个具体的个人联系起来时，才可能造成对某个具体个体的侵害。须看到，这样的损害并不仅仅只针对某个单一的个体，并非仅会给个人带来信息侵害，它有可能给整个社会带来伤害。个人自我决定的能力可能因此受到信息监管的影响，而当个人的自决能力受影响时，也会相应地对民主秩序的维持带来消极的负面影响。

（二）定义个人身份可识别信息的标准

在定义“个人身份可识别信息”的概念时，首先需要明确的是，我们应当采用标准的方式还是规则的方式对其进行界定。标准的方式是开放性的，而规则的方式是硬性的，缺乏弹性。现有三种定义“个人身份可识别信息”的模式：第一种是用语反复的定义方式；第二种是非公开的定义方式，此模式下，“个人身份可识别信息”是指那些公众无法接触的个人信息；第三，特殊类型的定义方式是通过列举的方式将“个人身份可识别信息”一一列举。第一种与第二种定义方法都属于标准的定义方法，而第三种属于规则的定义方法。

标准的定义方法下，决策者有较大的自由裁量权，可以自由判断并决定“个人身份可识别信息”时应考虑的因素。决策者可以根据原来的政策识别这些因素，使政策与具体的事实更好地相互适应。需注意的是，信息政策法律中，标准的定义方法与规则的定义方法都没能很好地解决哪些信息属于“个人身份可识别信息”。标准的定义方法只是进行了一个概括性规定，而规则的定义方式会导致界定范围的僵化与狭窄。学者卡普洛夫指出，规则的定义方法需要法律体系在事前做更多的功课，而标准的定义方法则要求法律体系在事后做更多功课。^[37]总的来讲，无论采用标准的定义方式还是规则的定义方式，这两种方式都无法令人感到满意。不过，应予承认的是，标准的定义模式相对规则的定义方法而言，具有一些无法替代的优势：首先，标准的定义方法能灵活地适应时代的变化，而规则的定义方法则会滞后于社会生活的发展。当然，当社会及技术的发展已达到一个相对稳定的水平时，采用规则的定义方式能取得较好的效果。其次，对于一些需要予以特殊对待的复杂行为，如果用一般规则来规制这些特殊行为，只能将规则高度细化，但这种不断扩大法条内容的方法难以适应信息技术的发展。最后，对于那些使用规则的定义方法来界定“个人身份可识别信息”会更好的领域，仍然会有用到标准定义方法的地方。比如，当与某一数据子类别有关的社会与技术条件不变的背景下，我们可以通过构建一个硬性的规则体系来弥补标准定义方式过于概括性的不足。“个人身份可识别信息”实际上是一个标准。美国与欧盟对这一标准的理解存在不同。

在美国，制定法、法官与政策制定者将“个人身份可识别信息”理解成属于某个已被识别的具体个人信息。虽然美国的数据安全与计算机专家已经意识到要对个人身份可识别信息进行分类，但已经通过的法律大部分都没能正确理解它的概念。^[38]已经识别出的信息属于某个特定的人，但信息的可识别性，则意味着信息与某个特定个体之间的联系尚未建立，这种联系有可能建立，也有可能无法建立。不过，能够确定的是，“个人身份可识别信息”中的可识别性，并非指的是已经被识别出的信息。然而，美国的大多数法律都将“个人身份可识别信息”理解为已被识别的信息。^[39]如美国1974年《隐私法》第1条将“个人身份可识别信息”定义为“记录”，它是指行政机关所保持的关于个人的信息、信息集合或信息分类，包括但不限于该个人的教育程度、财产状况、医疗记录或职业履历，以及姓名或用以识别该个人的数字、符号或其他属于个人的特别标识，例如指纹、声纹或照片。此定义的关键取决于联邦机构的记录是否涉及一个具体的“已被识别”的个人。如果一个人是“可识别”的，那么根据《隐私法》的规定，处理此人的数据信息将不会受到《隐私法》的规制。^[40]

欧盟对“个人身份可识别信息”持扩张主义态度。《通用数据保护条例》第4条将“个人数据”界定为与“已被识别的或者可被识别的与个人有关的信息”。欧盟的《通用数据保护条例》为欧盟成员国家的数据保护设立了统一的标准。欧盟的各个成员国需要在各国的立法中遵守该法的规定，这个超国家的协议中，“个人数据”的定义扩大到了可被识别的个人，这样的认识与观点已经根植在了欧盟的信息隐私保护的法律中。欧盟《通用数据保护条例》将“可被识别的个人信息”界定为“可以直接或间接地通过参考诸如姓名、身份证号码、位置数据、在线标识等标识符或者对身体、生理、遗传、精神、经济、文化或社会认同中识别出的个人的信息”。事实上，在欧盟各国，一个已经被识别出的信息与“可被识别的个人信息”具有相同的地位。以德国为例，其在1977年制定的《德国联邦数据保护法》将个人数据指向与已被识别与可被识别的个人有关的数据。^[41]学者达曼撰写的一篇与《德国联邦数据保护法》相关的论文就指出，《德国联邦数据保护法》是否适用于一个人，与这个人是已经被识别还是可以被识别没有关系。

欧盟将可被识别的个人置于数据保护法的保护范围具有先见之明。相较于美国的还原论，欧盟的扩张主义论能更好地适应信息技术的发展。欧盟的这种做法在国际上产生了巨大的影响。1980年《经济合作发展组织隐私指引》就借鉴了《德国联邦数据保护法》的相关规定。^[42]该指引将个人数据定义为“任何与一个已被识别或可被识别的个人相关的信息”。该指引中隐私保护的八大原则对可以识别个人的信息同样适用。另外，与《经济合作发展组织隐私指引》一样，《亚太经济合作发展组织隐私指引》也将“可以识别个人身份的信息”定义为“与一个已经被识别或者可以被识别的个人有关的任何信息”^[43]。

虽然欧盟的扩张主义论具有很多优点，也对国际文件产生了巨大影响，但它也存在很多缺点。将已经被识别的信息与可以被识别的信息完全等同，一体保护的做法或许并不明智，因为，许多可以被识别的信息大多都是以匿名的方式出现的。我们确认不同的信息所需要做的工作并不相同，面临的风险也将会有差异。因此，不分层次地给予相同保护可能并不能达到很好的效果。比如，国际通行的保护个人信息的做法都会规定，个人享有当自己的信息被使用时得到通知的权利。如果信息仅仅与一个可以被识别的个人相关，我们不应要求信息处理的实体在处理此人信息时履行此项义务，事实上它在信息处理的初始阶段也无法完成此项义务。

我们需要避免“个人身份可识别信息”的概念向美国式的还原主义方向演进，又要避免此概念向欧盟式的扩张主义方向发展。还原主义论者认为，“个人身份可识别信息”仅指那些能够与某个具体个体联系起来的个人信息。在这个理论的指引下，信息隐私法只保护个人的身份数据，个人信息中的其他部分并不受法律的保护。扩张主义论者则认为，当某一信息已与某个具体的个人联系起来时，此信息就应得到信息隐私法的保护，他们还将已识别的数据信息与可识别的数据信息视为具有同等价值的信息，予以同等保护。但此两类信息是不同的，法律对这两类信息的保护应有所区别。(www.xing528.com)

（三）被识别的风险与信息保护基本原则适用的相关性

将“个人身份可识别信息”区分为已被识别的信息和可识别的信息是有益的。这有利于法律对这两类信息提供不同的保护。由于这两类信息之间没有明确的分界点，因此，对“个人身份可识别信息”进行界定时，宜采用标准的方式进行。

当信息很有可能用于识别某个具体的个人时，用来识别个人身份的信息很有可能转化为已被识别的个人信息，因此，我们需要对一方主体接近这些信息的可能方式及它所能利用的额外信息进行评估。这需要我们结合具体的情境进行判断。我们需要考虑，信息储存的时间、技术发展的影响及促使一方主体将可以用来识别个人身份的信息与某个具体个体间联系起来的相关因素。

应看到，计算机科学家已经在信息识别风险的计算方法领域展开研究，对身份识别的风险性进行评估已经成为一项实践性工具。学者艾玛（Khaled El Emam）研究出了一项用来评估信息可识别性风险的方法。此方法将用来识别个人身份的信息与某个具体的个体联系起来。这套方法最突出的贡献是它关注信息掌控者所拥有的控制手段，同时也关注那些想要将信息与某个具体的个体之间联系起来的主体所持有的可能动机与能力。^[44]与此同时，计算机科学家也在开发更多的软件以便为人们的信息提供保护。我们需要关注信息收集给信息保护带来的威胁，同时也要关注应对与处理此类威胁所能采取措施的有效性。

对“个人身份可识别信息”的界定，需要将信息与他人身份被识别的风险联系起来统筹考虑，将身份识别的风险进行不同等级的划分。对个人信息的保护需要人们在采集信息时做到目的明确，对信息使用的目的进行限制，遵循数据最小化的限制利用原则、数据质量原则（采集的数据信息限于那些准确的、相关的及实时更新的信息）、数据安全原则、透明处理原则（信息处理的系统要使他人有所了解与明白），同时收集他人数据时要尽到通知义务，他人有获取、修正该数据信息的权利。

当信息处于已被识别的状态时，以上要求需要全部满足才能使用他人的信息，但当能够用来识别个人身份的信息并没有指向某个具体的个人且这种指向可能从来都不会发生时，采用与保护已识别信息相同的方法去保护可识别信息则并不合适。值得注意的是，这类信息同样需要得到保护，因为它可能潜在地与某个具体的个人联系起来。问题在于，对这类信息的保护应达到哪些要求呢？

事实上，如果可以用来识别个人身份的信息被处理时，我们就赋予可能受影响的主体得到通知、有权获取及改正信息的权利，这将导致主体隐私利益的减少。因为，法律为此类信息提供保护时，首先需明确的是信息属于谁。只有明确了权利主体，该项权利才可能得到行使，而这样的操作必然导致个人身份的披露。可以识别个人身份的信息在这种情况下就转化成了已被识别的个人信息。对限制收集原则、目的特定原则、使用限制原则、取得个人同意的限制要求，不应适用于可以用来识别个人的信息。因为，对这些信息的使用与分析，并不会给具体个体的信息保护带来伤害，限制此类信息的使用反而不利于信息的自由流动，会给社会造成许多不利的后果。

信息安全保障原则、透明性原则、资料品质原则应当适用于可以用来识别个人身份的信息。信息安全保障原则是指对个人信息的保护应采取合理的安全保护措施，以防止信息丢失、非法访问、损毁、利用、修改、披露等风险。^[45]未经授权，行为人不得接触、使用、修改、披露、损毁他人的信息。虽然，可以用来识别个人身份的信息与某个具体的个人联系起来的几率并不是很大，但还是存在联系起来的可能。因此，信息安全原则应当适用于可以用来识别个人身份的信息。当然，适用也应考虑信息的性质以及信息披露可能带来的风险。

而透明性原则要求数据处理系统体现开放性，受影响的个人应当能够理解数据处理系统的运作过程。与此同时，透明性原则还要求对信息主体的行动、思想、话语的追踪或监控不能在秘密状态下进行。^[46]事实上，个人信息的开发、运用及相关政策都应公开，信息控制者应提供简便的查询手段，方便信息主体对其自身信息的存在、性质、信息利用的目的、信息控制者的身份、地址等信息进行查询或以其他方式公开。^[47]正如学者布兰代斯（Louis Brandeis）曾说过的那样，“阳光是最好的消毒剂”^[48]。而信息使用的公开能够提高个人信息保护的水平。该原则应当适用于可以用来识别个人身份的信息。

而资料品质原则要求信息控制者保障个人信息在其处理目的的范围内完整、准确并能得到及时更新。当某项信息属于已被识别的个人信息时，信息主体遭受潜在伤害的可能性就越大，他人不仅可能依据某一特定信息做出影响到信息主体的重大决定，也可能不恰当地利用、公开、披露信息主体的信息。因此，对信息控制者、信息处理者收集、处理数据信息准确性的要求就应提高。另外，对于那些可以用来识别个人身份的信息，因为其具有能识别出个人身份信息的可能性，因此，掌握此类信息的公司、机构也不能随意披露或使第三方接触此类信息。有学者指出，对某些潜在的，可以用来识别个人身份的信息，公司、机构应采用“追踪与审查”的保护模式。比如，对于医疗卫生保健信息，相关机构应制定明确的信息保护规则，而能够接触此类信息的主体也应负有相应的信息保护的责任。^[49]

现阶段，在个人信息保护领域并没有对“个人身份可识别信息”下一个统一的定义，而现有的三种定义方法又不能令人满意。我们将“个人身份可识别信息”的概念界定为已经被识别的个人信息与可以用来识别个人身份的信息，并根据这两类信息的不同特质适用不同的信息保护的原则是明智的做法。事实上，我们在采用标准的定义方式对“个人身份可识别信息”进行界定时，可以融入规则定义的方式，对属于个人信息的数据类别进行列举。比如，中国台湾地区2012年通过的所谓“个人资料保护法”规定，个人资料是指“自然人之姓名、出生年月日、身份统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情況、社会活动及其他得以直接或间接方式识別该个人之资料”^[50]。再如我国《网络安全法（草案）》规定，公民个人信息是指以电子或者其他方式记录的公民姓名、出生日期、身份证件号码、个人生物识别信息、职业、住址、电话号码等个人身份信息，以及其他能够单独或者与其他信息结合能够识别公民个人身份的各种信息。^[51]

“个人身份可识别信息”是个人信息保护中的核心概念。只有当信息归属于“个人身份可识别信息”的范畴时，法律才会为其提供相应的保护。此概念能保护那些已经被识别和可能被识别的个人。它不仅能以一种弹性的方式为不同类别的信息提供不同类别的保护，还能有效地阻止营销机构与营销公司用可以用来识别个人身份的信息代替已被识别的个人信息规避与逃脱法律的制裁。“个人身份可识别信息”的概念是不能摈弃的，因为，这个概念有利于界定个人信息保护的规制范围。我们需要看到的是，对个人信息的保护，还缺少具体的政策规则手段，我们需要利用其他能与“个人身份可识别信息”相互配合的政策手段来规制诸如网络跟踪及市场营销等行为对个人信息保护产生的影响。