李 黎

(北京大學(xué)國際法學(xué)院 廣東深圳 518000)

個(gè)人信息事關(guān)自然人的尊嚴(yán)與隱私，也與數(shù)字經(jīng)濟(jì)和國家安全有著密切聯(lián)系[1].個(gè)人信息概念的界定決定了個(gè)人信息保護(hù)法(1)本文中的“個(gè)人信息保護(hù)法”泛指一切與個(gè)人信息保護(hù)相關(guān)的法律、法規(guī)或其他規(guī)范性文件.的適用范圍，因此其重要性不言而喻.但究竟何為個(gè)人信息，這在學(xué)理上仍存在很多爭(zhēng)議.我國學(xué)界對(duì)其探討也絡(luò)繹不絕，不過大多從個(gè)人信息與隱私權(quán)的異同、個(gè)人信息概念的立法模式和拆解“識(shí)別”與“關(guān)聯(lián)”要件等角度進(jìn)行分析，鮮有學(xué)者深入刨析“識(shí)別”要件存在的問題.即使有少部分學(xué)者開始深入研究“識(shí)別”要件，也是在探討“識(shí)別”要件產(chǎn)生個(gè)人信息范圍無限擴(kuò)張的困境.但“識(shí)別”要件帶來的問題遠(yuǎn)不止于此.

在當(dāng)今網(wǎng)絡(luò)世界，定向廣告大行其道，其通過收集用戶與企業(yè)交互過程中的信息，進(jìn)行大數(shù)據(jù)建模，生成特定用戶的精準(zhǔn)畫像，從而有的放矢地向用戶推送符合其喜好的廣告.但是以IP地址、Cookie和IMEI號(hào)等唯一標(biāo)識(shí)符為基礎(chǔ)構(gòu)成的用戶畫像信息是否是個(gè)人信息，或者，是否能識(shí)別特定自然人存在的不同的觀點(diǎn).在著名的“朱燁訴百度案”中，一審法院與二審法院對(duì)于Cookie +“網(wǎng)絡(luò)活動(dòng)軌跡及上網(wǎng)偏好”能否識(shí)別到特定自然人產(chǎn)生了不同的觀點(diǎn)(2)參見江蘇省南京市鼓樓區(qū)人民法院(2013)鼓民初字第3031號(hào)，江蘇省南京市中級(jí)人民法院(2014)寧民終字第5028號(hào)..一審法院認(rèn)為其屬于個(gè)人信息，與之相反，二審法院認(rèn)為這些信息無法識(shí)別特定個(gè)人身份，因此不屬于個(gè)人信息.基于此，究竟何為“識(shí)別”，以及何為“識(shí)別身份”似乎并無定論.而厘清這些問題的意義，不僅僅是為司法實(shí)踐提供清晰的分析思路，更在于為我國完善個(gè)人信息保護(hù)法律體系提供理論基礎(chǔ).

1 個(gè)人信息概念立法與理論現(xiàn)狀

1.1 個(gè)人信息概念的立法現(xiàn)狀

歐盟于2016年正式通過了對(duì)成員國具有直接法律效力的《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation, GDPR).GDPR第4條第(1)款對(duì)個(gè)人信息的概念進(jìn)行了界定：“個(gè)人數(shù)據(jù)是指與已識(shí)別或可識(shí)別的自然人(“數(shù)據(jù)主體”)相關(guān)的任何信息；可識(shí)別的自然人是指可以直接或間接識(shí)別的人，特別是可以參考諸如姓名、識(shí)別號(hào)碼、位置數(shù)據(jù)、網(wǎng)絡(luò)標(biāo)識(shí)符之類的標(biāo)識(shí)符，或者是參考特定于該自然人的1個(gè)或多個(gè)身體、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會(huì)身份.”GDPR前序26條指出，是否能夠識(shí)別應(yīng)考慮所有可能合理地由控制者或任何其他人用來識(shí)別的手段.

相比歐盟，美國并沒有統(tǒng)一的個(gè)人信息保護(hù)法，而是分散在不同的具體行業(yè)立法中.傳統(tǒng)上，美國對(duì)個(gè)人信息主要有識(shí)別模式(the tautological approach)、非公開模式(the non-public approach)和列舉模式3種[2].但近年來，美國各州也逐漸轉(zhuǎn)向以識(shí)別為中心的個(gè)人信息界定模式.比如2018年公布的《加利福尼亞州消費(fèi)者隱私保護(hù)法案》(California Consumer Privacy Act of 2018，CCPA)1798.140條第(o)款規(guī)定，個(gè)人信息是指能夠識(shí)別、關(guān)聯(lián)、描述，能夠與特定消費(fèi)者或家庭直接或間接關(guān)聯(lián)或合理鏈接的信息.

中國目前同樣沒有一部獨(dú)立的個(gè)人信息保護(hù)法，對(duì)于個(gè)人信息的定義因此散落在不同的法律法規(guī)中.早在2005年，《中華人民共和國個(gè)人信息保護(hù)法(專家建議稿)》第9條就將個(gè)人信息定義為“個(gè)人姓名、住址、出生日期、身份證號(hào)碼、醫(yī)療記錄、人事記錄、照片等單獨(dú)或與其他信息對(duì)照可以識(shí)別特定的個(gè)人的信息[3].”隨后直到2016年《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)的出臺(tái)，中國才首次在法律層面正式定義個(gè)人信息，其第76條第(5)款規(guī)定：“個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等.”2020年頒布的《中華人民共和國民法典》中采取了類似的定義.

1.2 “識(shí)別”要件的理論辨析

基于上述梳理，無論是歐盟、美國還是中國語境下的個(gè)人信息，身份識(shí)別都是核心要件.識(shí)別包括“已識(shí)別”和“可識(shí)別”2種情況.根據(jù)WP29工作小組 (Article 29 Data Protection Working Party)的觀點(diǎn)，一般而言，當(dāng)自然人在某一人群中與該群體的所有其他成員“有區(qū)別”時(shí)，可以被視為“已識(shí)別”[4].而“可識(shí)別”是指盡管該自然人尚未被識(shí)別，但是后續(xù)存在被識(shí)別的可能性[4].“可識(shí)別”往往是決定信息是否成為個(gè)人信息的爭(zhēng)議焦點(diǎn)所在.換言之，本文討論的“識(shí)別”即為成功識(shí)別一個(gè)“可識(shí)別”的自然人的過程.通說認(rèn)為，“可識(shí)別”可以分為直接識(shí)別與間接識(shí)別2種路徑[5].所謂直接識(shí)別，是指根據(jù)單個(gè)信息即可直接識(shí)別特定自然人；而間接識(shí)別是指單獨(dú)通過該信息無法識(shí)別特定自然人，但是該信息結(jié)合其他信息可以識(shí)別個(gè)人信息主體[5].

以電子方式記錄的個(gè)人信息通常存儲(chǔ)在數(shù)據(jù)庫系統(tǒng)中，其存儲(chǔ)形式類似于Excel表格.在計(jì)算機(jī)科學(xué)領(lǐng)域，每一列數(shù)據(jù)為一個(gè)屬性(attribute)，如姓名、性別和年齡等，1行數(shù)據(jù)則為1條記錄(record)，代表1個(gè)自然人，若干條記錄最終組成1個(gè)數(shù)據(jù)集(dataset).屬性又可稱為標(biāo)識(shí)符(identifier)，標(biāo)識(shí)符分為直接標(biāo)識(shí)符(direct identifier)和準(zhǔn)標(biāo)識(shí)符(quasi-identification)2類[6].直接標(biāo)識(shí)符是指能在特定場(chǎng)景下單獨(dú)識(shí)別個(gè)人信息主體標(biāo)識(shí)符[6]，比如身份證號(hào)碼、電話號(hào)碼和車牌號(hào)碼等；而準(zhǔn)標(biāo)識(shí)符需結(jié)合其他信息才能唯一識(shí)別特定個(gè)人信息主體[6]，比如性別、年齡和職業(yè)等.如僅基于上述分析，那么通過直接標(biāo)識(shí)符識(shí)別個(gè)人信息主體身份屬于直接識(shí)別，而準(zhǔn)標(biāo)識(shí)符與其他信息結(jié)合識(shí)別則屬于間接識(shí)別(下文將詳細(xì)論述該結(jié)論正確與否).

2 “識(shí)別”要件的實(shí)踐困境

2.1 定向廣告引發(fā)的問題

早在1972年，學(xué)者M(jìn)iller[7]就預(yù)言：“電子計(jì)算機(jī)將使得預(yù)測(cè)個(gè)體或群體行為的虛擬活動(dòng)成為可能.”這一預(yù)言如今已經(jīng)成真.2007年11月，美國聯(lián)邦貿(mào)易委員會(huì)(Federal Trade Commission, FTC)邀請(qǐng)消費(fèi)者代表、網(wǎng)絡(luò)廣告行業(yè)代表、技術(shù)專家和學(xué)者舉行了一場(chǎng)有關(guān)網(wǎng)絡(luò)定向廣告的研討會(huì)議[8].會(huì)上，隱私倡導(dǎo)者們認(rèn)為基于用戶信息而生成的定向廣告正在侵犯公民的隱私，而廣告行業(yè)的代表們卻聲稱他們收集的信息并不是個(gè)人信息，因此定向廣告并不違法[8].與“朱燁訴百度案”中的爭(zhēng)議類似，何為“識(shí)別”，以及定向廣告涉及的信息又能否識(shí)別特定自然人是爭(zhēng)議的核心.

在進(jìn)行下一步分析之前，首先對(duì)定向廣告的原理進(jìn)行簡(jiǎn)要介紹.中國廣告協(xié)會(huì)2014年發(fā)布的《中國互聯(lián)網(wǎng)定向廣告用戶信息保護(hù)行業(yè)框架標(biāo)準(zhǔn)》規(guī)定，定向廣告是指“通過收集一段時(shí)間內(nèi)特定計(jì)算機(jī)或移動(dòng)設(shè)備在互聯(lián)網(wǎng)上的相關(guān)行為信息，例如瀏覽網(wǎng)頁、使用在線服務(wù)或應(yīng)用等，預(yù)測(cè)用戶的偏好或興趣，再基于此種預(yù)測(cè)，通過互聯(lián)網(wǎng)對(duì)特定計(jì)算機(jī)或移動(dòng)設(shè)備投放廣告的行為[9].”在傳統(tǒng)個(gè)人電腦中，企業(yè)通常使用Cookie(3)通常企業(yè)會(huì)在設(shè)備終端上存放一個(gè)Cookie文件，文件內(nèi)存有一個(gè)企業(yè)采取一定規(guī)則生成的唯一“字符串”用以唯一標(biāo)識(shí)該設(shè)備，為了行文方便，下文統(tǒng)一用“Cookie”代替該唯一“字符串”.或者IP地址(4)IP地址分為靜態(tài)IP地址與動(dòng)態(tài)IP地址，靜態(tài)IP地址通常不會(huì)變化，而動(dòng)態(tài)IP地址則在每次連接時(shí)都會(huì)變化，本文在沒有強(qiáng)調(diào)“動(dòng)態(tài)”的情形下均指靜態(tài)IP地址.作為用戶(設(shè)備)的唯一標(biāo)識(shí)，即一個(gè)Cookie或者靜態(tài)IP地址代表一個(gè)特定用戶.在移動(dòng)設(shè)備中，企業(yè)會(huì)使用移動(dòng)設(shè)備的唯一標(biāo)識(shí)符(通常為IMEI號(hào)、IDFA號(hào)、Android_id或Mac地址等)作為標(biāo)識(shí).基于此，企業(yè)在與用戶交互的過程中將收集到的各種信息通過用戶唯一標(biāo)識(shí)符關(guān)聯(lián)起來，這些信息包括但不限于瀏覽器歷史記錄、搜索記錄、移動(dòng)應(yīng)用列表等.最后經(jīng)過算法建模生成特定用戶的個(gè)性化畫像(以用戶標(biāo)簽的形式存在，比如性別標(biāo)簽、年齡標(biāo)簽、職業(yè)標(biāo)簽等)，以實(shí)現(xiàn)定向精準(zhǔn)廣告推送.可以看出，定向廣告整個(gè)過程涉及Cookie、IP地址、移動(dòng)設(shè)備標(biāo)識(shí)符等信息(以下簡(jiǎn)稱“網(wǎng)絡(luò)唯一標(biāo)識(shí)符”)、瀏覽器歷史記錄、搜索記錄、移動(dòng)應(yīng)用列表等網(wǎng)絡(luò)行為信息和用戶畫像標(biāo)簽信息.而這些只和設(shè)備產(chǎn)生直接聯(lián)系的信息是否屬于個(gè)人信息，抑或是否能夠“識(shí)別”出特定自然人，都首先需要厘清“識(shí)別”的含義.

2.2 實(shí)踐中的爭(zhēng)議

需要注意的是，很多國家的個(gè)人信息保護(hù)法已經(jīng)明確在個(gè)人信息定義中列舉了IP地址、設(shè)備標(biāo)識(shí)符等信息.例如在CCPA 第1798.140條第(o)(1)(A)明確規(guī)定了IP地址屬于個(gè)人信息，中國《個(gè)人信息安全規(guī)范》的附錄A的個(gè)人信息示例表中也列出了IP地址、設(shè)備號(hào)和上網(wǎng)記錄信息，GDPR第4條第(1)款也將網(wǎng)絡(luò)識(shí)別符列入其中.但這只是法律對(duì)于個(gè)人信息概念抽象界定的具象化舉例，而不能因此就認(rèn)定其是個(gè)人信息[10].是否屬于個(gè)人信息，仍需從個(gè)人信息的“識(shí)別”要素出發(fā)，在具體的語境下進(jìn)行個(gè)案判斷.正如CCPA條例中指出，如果企業(yè)收集了其網(wǎng)站訪問者的IP地址，但未將IP地址鏈接到任何特定的消費(fèi)者或家庭，并且無法合理地將IP地址鏈接到特定的消費(fèi)者或家庭，則該IP地址不是個(gè)人信息[11].

傳統(tǒng)上，網(wǎng)絡(luò)唯一標(biāo)識(shí)只有結(jié)合真實(shí)姓名等信息才能夠識(shí)別特定自然人.比如香港個(gè)人信息隱私委員(Privacy Commissioner for Personal Data，PCPD)在一份意見答復(fù)中提到，IP地址單獨(dú)不構(gòu)成個(gè)人信息，因?yàn)槠浼葻o法揭示終端設(shè)備的精確位置亦無法得知該設(shè)備背后用戶的身份[12].但是，PCPD認(rèn)為如果企業(yè)能夠獲得互聯(lián)網(wǎng)服務(wù)提供商(Internet Service Providers，ISPs)手中的IP地址使用時(shí)間和IP地址分配日志(包含用戶姓名、地址和聯(lián)系方式等信息)，IP地址即可以認(rèn)定為個(gè)人信息[12].歐盟WP29工作小組同樣認(rèn)為企業(yè)結(jié)合ISPs手中的IP地址分配數(shù)據(jù)可以識(shí)別出特定自然人[13].

但有人提出了不同觀點(diǎn).比如新加坡數(shù)據(jù)保護(hù)機(jī)構(gòu)(Personal Data Protection Commission，PDPC)在一份指引中同樣提到，IMEI號(hào)和IP地址雖無法單獨(dú)直接識(shí)別出特定個(gè)人，當(dāng)用戶的大量網(wǎng)絡(luò)行為信息都關(guān)聯(lián)到一個(gè)IP地址或IMEI號(hào)時(shí)，可形成該IP地址或IMEI號(hào)所指向的設(shè)備(即設(shè)備背后的用戶)的上網(wǎng)習(xí)慣或位置畫像，從而與這些畫像信息可以一起識(shí)別特定自然人，從而成為個(gè)人信息[14].英國信息委員會(huì)辦公室(Information Commissioner’s Office，ICO)持同樣觀點(diǎn)，即如果企業(yè)基于特定IP地址建立了該IP背后設(shè)備的用戶畫像，那么該IP地址與畫像信息結(jié)合起來能夠識(shí)別特定自然人，從而屬于個(gè)人信息[15].顯然，“朱燁訴百度案”中的終審法院否認(rèn)了這一觀點(diǎn)，其認(rèn)為“百度基于Cookie收集和利用的網(wǎng)絡(luò)用戶偏好信息不能與網(wǎng)絡(luò)用戶個(gè)人身份對(duì)應(yīng)識(shí)別，亦無法通過Cookie和相關(guān)信息確定該偏好信息的歸屬主體，因而不滿足個(gè)人信息的‘可識(shí)別性’要求”.

2.3 “識(shí)別”要件面臨的困境剖析

上述爭(zhēng)議的根本原因在于對(duì)“識(shí)別”的不同理解.PDPC與ICO的觀點(diǎn)認(rèn)為網(wǎng)絡(luò)標(biāo)識(shí)符加上用戶畫像即可構(gòu)成“識(shí)別”，而不用從物理世界中定位到該自然人或者得知該自然人的真實(shí)姓名.對(duì)于這一類無需關(guān)聯(lián)物理世界的識(shí)別，本文將其稱為“虛擬識(shí)別”.歐盟WP29和香港PCPD的觀點(diǎn)認(rèn)為IP地址需要結(jié)合ISPs所掌握的用戶姓名、住址和聯(lián)系方式等信息才屬于成功“識(shí)別”.即只有成功關(guān)聯(lián)到物理世界中具體的自然人才能滿足“識(shí)別”的要求.對(duì)于這一類識(shí)別，本文稱其為“物理識(shí)別”.基于此，“識(shí)別”要件的第1個(gè)爭(zhēng)議點(diǎn)在于個(gè)人信息的定義是否需要承認(rèn)“虛擬識(shí)別”.

其次，無論是“虛擬識(shí)別”還是“物理識(shí)別”的語境，都亟待厘清“直接識(shí)別”的含義.依據(jù)上文，直接識(shí)別是指不借助額外信息的情況下，單獨(dú)識(shí)別個(gè)人信息主體的行為，這類信息也被稱作“直接標(biāo)識(shí)符”.顯然，直接識(shí)別必須基于場(chǎng)景，在沒有給定具體場(chǎng)景的語境下討論識(shí)別沒有任何意義，因?yàn)樾畔⒃诓煌氖褂脠?chǎng)景，其性質(zhì)可能發(fā)生變化[16].譬如姓名這一最典型的直接標(biāo)識(shí)符，如果沒有給定場(chǎng)景就無法單獨(dú)識(shí)別特定個(gè)人，因?yàn)榇蟾怕嗜珖鴷?huì)有重名的人，而如果將場(chǎng)景限制在某某班級(jí)，那么姓名可以單獨(dú)識(shí)別出特定個(gè)人.但從這個(gè)角度來看似乎存在“單獨(dú)識(shí)別”的悖論.一方面我們要求單獨(dú)識(shí)別不能結(jié)合其他信息，另一方面又需要特定的場(chǎng)景信息.在上述例子中，“某某班級(jí)的某某”本質(zhì)上就可以理解為“某某”和“某某班級(jí)”2個(gè)信息，因此實(shí)質(zhì)上這里的直接標(biāo)識(shí)符姓名借助了其他信息“某某班級(jí)”.再者，即使是個(gè)人生物信息、電話號(hào)碼和身份證號(hào)碼等可以唯一對(duì)應(yīng)到特定自然人的直接標(biāo)識(shí)符，這種對(duì)應(yīng)只是一種簡(jiǎn)單且空洞的指向性，只能表明該類信息對(duì)應(yīng)著唯一一個(gè)特定自然人，但對(duì)該自然人的其他情況仍然是一無所知，更無從談起識(shí)別該自然人的身份[17].

最后，需要考慮究竟何為“身份”，如何才是識(shí)別了特定自然人的身份.在虛擬識(shí)別的路徑中，網(wǎng)絡(luò)唯一標(biāo)識(shí)符加上用戶畫像被認(rèn)定為成功識(shí)別特定個(gè)人身份.而問題在于并沒有清晰地闡述“畫像”的具體范圍，性別、年齡、愛好、住址和職業(yè)等等信息都屬于個(gè)人畫像的一部分，究竟需要達(dá)到什么程度的畫像才能被認(rèn)定為成功“識(shí)別”并沒有明確的標(biāo)準(zhǔn).同樣，在物理識(shí)別的語境下，姓名、社會(huì)安全號(hào)碼和手機(jī)號(hào)碼是否單獨(dú)滿足或者結(jié)合信息才滿足識(shí)別的要求，如果需要結(jié)合其他信息，那么其他信息又是哪些信息.比如美國有判例認(rèn)為社會(huì)安全號(hào)碼(5)社會(huì)安全號(hào)碼(social security number, SSN)是美國聯(lián)邦政府發(fā)給公民、永久居民、臨時(shí)(工作)居民的1組9位數(shù)字號(hào)碼.社會(huì)安全號(hào)碼的主要目的是為了追蹤個(gè)人的賦稅資料，但近年來已經(jīng)成為實(shí)際上的國民辨識(shí)號(hào)碼.結(jié)合相應(yīng)的姓名即可認(rèn)定為識(shí)別出特定自然人的身份.中國司法實(shí)踐對(duì)此也存在爭(zhēng)議，有的法院認(rèn)為手機(jī)號(hào)碼單獨(dú)即可識(shí)別特定自然人，如浙江省武義縣人民法院(2018)浙0723刑初377號(hào)案例和北京互聯(lián)網(wǎng)法院(2019)京0491民初16142號(hào)案例；而有的法院認(rèn)為手機(jī)號(hào)碼結(jié)合姓名才能識(shí)別特定自然人，如山東省沂南縣人民法院(2018)魯1321刑初89號(hào)案例和廣東省深圳市福田區(qū)人民法院(2017)粵0304刑初1716號(hào)案例.因此，厘清“識(shí)別”的具體含義具有急迫的理論與現(xiàn)實(shí)意義.

3 個(gè)人信息概念的反思與完善

3.1 個(gè)人信息保護(hù)的法理基礎(chǔ)及規(guī)范目的

上述問題的回答決定了個(gè)人信息的范圍，其實(shí)質(zhì)上是一個(gè)價(jià)值權(quán)衡的過程.如何科學(xué)地對(duì)個(gè)人信息保護(hù)范圍進(jìn)行取舍，或許可從個(gè)人信息立法目的出發(fā)，探尋個(gè)人信息保護(hù)立法的法理基礎(chǔ)，從根源上對(duì)問題進(jìn)行探討.個(gè)人信息保護(hù)立法的法理基礎(chǔ)主要是有歐盟的“基本人權(quán)保護(hù)”理論和美國的“隱私保護(hù)”理論[18].

1949年聯(lián)合國發(fā)布的《世界人權(quán)宣言》和1950年簽訂的《歐盟人權(quán)公約》都將私生活、家庭、住宅和通信自由視為值得法律保護(hù)的對(duì)象，這被普遍視為歐洲個(gè)人信息保護(hù)法律的淵源.1981年歐盟發(fā)布的《個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)公約》(以下簡(jiǎn)稱《公約》)前言提到，“人權(quán)和基本自由”的保護(hù)是其立法目的之一.1995年發(fā)布的《數(shù)據(jù)保護(hù)指令》和GDPR前序都有類似“基本權(quán)利和自由”的表述.基于此，高富平教授[19]將個(gè)人信息中值得保護(hù)的基本權(quán)益分為個(gè)人信息自治、身份識(shí)別利益和防止歧視3種.個(gè)人信息自治，又稱“個(gè)人信息自決權(quán)”，由德國學(xué)者泰姆勒首次提出，并先后在德國、日本和中國盛行[20].簡(jiǎn)言之，個(gè)人信息自決意味著個(gè)人信息主體有權(quán)決定何時(shí)、何地以及以何種方式處理和向何人披露關(guān)于其自身的信息.身份識(shí)別利益實(shí)質(zhì)上保護(hù)的是附著于身份上的個(gè)人利益.過去的身份評(píng)價(jià)是以姓名為核心并建立在生活交往的事實(shí)中，而在網(wǎng)絡(luò)空間中，身份是基于企業(yè)與用戶交互過程中產(chǎn)生各種記錄而產(chǎn)生的各種標(biāo)簽形成的，如果算法得出的標(biāo)簽不正確，那么會(huì)對(duì)用戶的身份產(chǎn)生錯(cuò)誤的認(rèn)知，并可能損害相應(yīng)個(gè)人的人身和財(cái)產(chǎn)權(quán)利[20].最后是防止歧視，其中防止歧視最重要的在于確保每個(gè)人被平等對(duì)待，這主要體現(xiàn)在大數(shù)據(jù)和算法價(jià)格殺熟、教育和就業(yè)歧視等[20].

保護(hù)個(gè)人隱私也是個(gè)人信息保護(hù)立法的重要目的.這一法理基礎(chǔ)盛行在美國的個(gè)人信息保護(hù)立法中.這一點(diǎn)從美國個(gè)人信息保護(hù)法律的名字也能看出，比如第1部專門規(guī)制個(gè)人信息處理的法律即名為《隱私法》，作為一部規(guī)范聯(lián)邦政府進(jìn)行個(gè)人信息收集、存儲(chǔ)、使用和傳播的法律，美國司法部明確其規(guī)范目的在于保護(hù)個(gè)人的隱私免受無端侵犯[21].雖然美國的隱私保護(hù)最早起源于沃倫和布蘭戴斯提出的“獨(dú)處權(quán)(the right to be let alone)”[22]，但目前已擴(kuò)充至包含了大陸法系中的人格權(quán)、姓名權(quán)和肖像權(quán)等具體人格權(quán)內(nèi)容[19].

事實(shí)上，歐盟和中國的個(gè)人信息保護(hù)也包含對(duì)個(gè)人隱私的保護(hù)，比如《數(shù)據(jù)保護(hù)指令》前序中提到，除了“基本權(quán)利和自由”，“隱私”也是在其中.全國人大法工委在《關(guān)于〈中華人民共和國個(gè)人信息保護(hù)法(草案)〉的說明》中明確提到，《個(gè)人信息保護(hù)法》制定目的之一就是為了回應(yīng)“侵?jǐn)_人民群眾生活安寧”等問題.王利明教授[23]認(rèn)為隱私包括生活安寧和生活秘密2部分內(nèi)容，其中生活安寧是指自然人擁有不被他人打擾而正常生活的權(quán)利，主要包括排除他人對(duì)私人正常生活的干擾、禁止非法入侵私人空間和對(duì)個(gè)人自主決定的保護(hù).

正如德國學(xué)者艾曼所述，個(gè)人信息之立法保護(hù)目的類似于道路交通法規(guī)之保護(hù)目的，違反道路交通法規(guī)不意味著一定造成交通事故及人身和財(cái)產(chǎn)損失，同樣，違反個(gè)人信息保護(hù)法規(guī)也不意味著必然對(duì)個(gè)人信息主體的權(quán)益造成損害[23].實(shí)際上，個(gè)人信息保護(hù)立法是一種事先的風(fēng)險(xiǎn)防范，而防范的風(fēng)險(xiǎn)就是個(gè)人信息濫用可能給個(gè)人信息主體帶來的財(cái)產(chǎn)和人身損害.

綜上所述，個(gè)人信息保護(hù)立法之目的在于賦予個(gè)人信息主體對(duì)于其個(gè)人信息的自治權(quán)利和防范個(gè)人信息濫用給自然人帶來的人身與財(cái)產(chǎn)權(quán)益的傷害，這些權(quán)益包括但不限于隱私中的生活安寧與生活秘密、防止歧視等等.

3.2 明晰“識(shí)別”的內(nèi)涵

3.2.1 “虛擬識(shí)別”是“識(shí)別”的應(yīng)有之義

本文認(rèn)為“識(shí)別”應(yīng)包括“虛擬識(shí)別”.個(gè)人信息保護(hù)法中的“識(shí)別”一詞濫觴于歐美個(gè)人信息保護(hù)法中的動(dòng)詞“Identify”，其名詞形式為“Identity”，這也是我們常說的“識(shí)別身份”.在英文的語境下，身份“Identity”一詞應(yīng)作廣義的理解，即除了我們中文語境下的“你是誰”或 “你是什么身份”，還應(yīng)包括生理、心理、基因、文化和社會(huì)身份等[24].通過相關(guān)信息勾勒出該個(gè)人獨(dú)一無二的“畫像”，從而可以將該特定個(gè)人從群體中分辨出來.因此，“Identify”本質(zhì)上應(yīng)該包含個(gè)人身份與個(gè)人特征2個(gè)維度，個(gè)人身份用來表示“你是誰”；而個(gè)人特征用來描述“你是什么樣”[19].

在傳統(tǒng)物理世界，人與人之間的交往都必須通過有形的接觸才能發(fā)生.在這一場(chǎng)景下，要達(dá)到了解或識(shí)別某一個(gè)人的目的，首先通常需要通過姓名或身體特征(面容、身高等)來標(biāo)識(shí)該個(gè)體，再在互動(dòng)的過程逐漸獲取特征信息形成該個(gè)體的畫像.可以說，物理世界中個(gè)人利益與傳統(tǒng)的個(gè)人身份直接掛鉤.而在網(wǎng)絡(luò)空間中，身份識(shí)別遠(yuǎn)不及特征識(shí)別重要.企業(yè)感興趣的是基于你過去的行為與特征，從而預(yù)測(cè)你未來的行動(dòng)與偏好，這也是大數(shù)據(jù)時(shí)代數(shù)字經(jīng)濟(jì)的價(jià)值所在.在網(wǎng)絡(luò)空間中，將特定個(gè)人的歷史行為、偏好和其他特征關(guān)聯(lián)起來的正是IP地址、Mac地址和IMEI號(hào)等唯一標(biāo)識(shí)符.這些唯一標(biāo)識(shí)符在網(wǎng)絡(luò)空間的作用與姓名在物理世界中起著相同作用，甚至更加重要(姓名可能重名，但網(wǎng)絡(luò)唯一標(biāo)識(shí)符是唯一的).

從某種意義上來說，基于網(wǎng)絡(luò)唯一標(biāo)識(shí)符而形成的個(gè)人特征就是與物理世界中“現(xiàn)實(shí)身份”相對(duì)應(yīng)的“數(shù)字身份”.其次，將對(duì)數(shù)字身份的虛擬識(shí)別納入“識(shí)別”的含義中也與個(gè)人信息保護(hù)立法的目的相契合.如上文所述，個(gè)人信息保護(hù)法是防止個(gè)人信息主體因個(gè)人信息濫用而遭受人身與財(cái)產(chǎn)損失的前置規(guī)范.而基于網(wǎng)絡(luò)標(biāo)識(shí)符生成的虛擬身份的確會(huì)給個(gè)人信息主體帶來傷害，譬如算法依據(jù)數(shù)字身份的消費(fèi)水平產(chǎn)生價(jià)格歧視(同樣的服務(wù)或產(chǎn)品，不同人不同的價(jià)格)、基于數(shù)字身份的偏好進(jìn)行精準(zhǔn)推送導(dǎo)致并加劇“信息繭房效應(yīng)(information cocoons)”(6)“信息繭房”的概念最早由凱斯·桑斯坦在其著作《信息烏托邦——眾人如何生產(chǎn)知識(shí)》提出的.他認(rèn)為，隨著計(jì)算技術(shù)的高速發(fā)展，未來人們可以在網(wǎng)絡(luò)上選擇閱讀并關(guān)注自己感興趣的話題，久而久之，人們最終因這種“選擇”被困在“信息繭房”之中.精準(zhǔn)推送技術(shù)的出現(xiàn)，會(huì)進(jìn)一步加劇這一情況，并形成一個(gè)死循環(huán).關(guān)于“信息繭房”的相關(guān)內(nèi)容可參見王妍：《警惕網(wǎng)絡(luò)“信息繭房”效應(yīng)》(載《人民論壇》2020年第11期，第126-127頁).和錯(cuò)誤推算自然人的“畫像”帶來的人格損害等等.此外，自個(gè)人信息保護(hù)立法之初，其主要規(guī)制范圍即為網(wǎng)絡(luò)空間(7)德國1983年“人口普查案”中，法院提出“沒有不重要的個(gè)人信息”的觀點(diǎn)正是基于個(gè)人信息自動(dòng)化處理的背景之下.本案的詳細(xì)內(nèi)容可以參見 楊芳：“個(gè)人信息自決權(quán)理論及其檢討——兼論個(gè)人信息保護(hù)法之保護(hù)客體”(《比較法研究》2015年第6期，第28頁).經(jīng)合組織(OECD)在1981年發(fā)布的《關(guān)于保護(hù)個(gè)人數(shù)據(jù)隱私和跨境流動(dòng)的指導(dǎo)方針》同樣在前言中提到，該指導(dǎo)方針正是基于計(jì)算機(jī)通信技術(shù)的迅速發(fā)展(參見 OECD：《OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data》，http://www.oecd.org/digital/ieconomy/oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm).中國《關(guān)于〈中華人民共和國個(gè)人信息保護(hù)法(草案)〉的說明》中也多次提到，本法的制定目的在于保障網(wǎng)絡(luò)時(shí)代的個(gè)人信息合法權(quán)益(參見全國人大法工委：《關(guān)于〈中華人民共和國個(gè)人信息保護(hù)法(草案)〉的說明》，http://www.weic.gov.cn/html/xywc/zcfg/202011/57278.html)..在網(wǎng)絡(luò)空間中，自然人的大多活動(dòng)都是基于“數(shù)字身份”開展，比如社交網(wǎng)站、購物網(wǎng)站和游戲用戶賬號(hào)，至于用戶賬號(hào)背后對(duì)應(yīng)著現(xiàn)實(shí)世界的誰，大多數(shù)企業(yè)并無興趣.綜上，本文認(rèn)為“虛擬識(shí)別”是“識(shí)別”的應(yīng)有之義.

3.3.2 “識(shí)別”含義之厘清

究竟何謂“識(shí)別”.有學(xué)者指出，“識(shí)別”即只需要標(biāo)識(shí)符單獨(dú)或者結(jié)合其他信息可唯一指向特定個(gè)人即可，例如身份證號(hào)碼、手機(jī)號(hào)碼和姓名(沒有重名的場(chǎng)景下)等[25].也有學(xué)者反對(duì)這一觀點(diǎn)，認(rèn)為唯一指向與識(shí)別是2個(gè)不同的概念，雖然身份證號(hào)碼和手機(jī)號(hào)具有唯一性，但其缺乏“外顯性”，因而無法直接識(shí)別特定自然人[26].換言之，身份證號(hào)碼和手機(jī)號(hào)碼，雖都能唯一標(biāo)識(shí)一個(gè)自然人，但是這些信息本身只是一串無意義的字符，在沒有與其他信息結(jié)合的情況下，不具有任何身份信息.顯然，從上文提到的案例來看，司法實(shí)踐更加支持第2種觀點(diǎn).但筆者認(rèn)為第1種觀點(diǎn)更加恰當(dāng)，理由如下：

首先，觀點(diǎn)1給出了清晰明確且易于操作的標(biāo)準(zhǔn).第2種觀點(diǎn)要求信息能夠透露出個(gè)人信息主體的身份信息(外顯性)，而不應(yīng)該僅僅是一串無意義的字符.基于該邏輯，那么姓名似乎也無法透露出個(gè)人信息主體的身份信息，因?yàn)槠浔旧硪仓皇且粋€(gè)標(biāo)識(shí)符，無法透露出更多關(guān)于個(gè)人信息主體的信息，但該結(jié)論顯然與我們的常識(shí)相悖.其次，“身份”概念非常模糊，而模糊必定導(dǎo)致法律適用的不確定性增加，如上文所提到的，網(wǎng)絡(luò)唯一標(biāo)識(shí)符需要結(jié)合多少信息才能算作識(shí)別并無定論.而反觀觀點(diǎn)1，只要能唯一標(biāo)識(shí)一個(gè)數(shù)據(jù)主體，將其從群體中區(qū)分出來，即滿足要求，從而避免陷入“究竟何為識(shí)別身份信息”的困境.

其次，觀點(diǎn)1可與匿名化制度完美銜接.匿名化制度基本上在所有個(gè)人信息保護(hù)法中都有規(guī)定，雖然不同法律中存在些許差異，但總體來說差異不大.以《網(wǎng)絡(luò)安全法》為例，第42條將匿名化信息規(guī)定為“經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的信息”.換言之，個(gè)人信息與匿名化信息的界限在于能否識(shí)別特定自然人，因此在判斷信息是否屬于個(gè)人信息的同時(shí)，實(shí)質(zhì)上也是在判斷是否屬于匿名化信息.目前匿名化技術(shù)方案與標(biāo)準(zhǔn)都是基于直接標(biāo)識(shí)符與間接標(biāo)識(shí)符的基礎(chǔ)而展開的(8)國內(nèi)和國際上相關(guān)匿名化技術(shù)標(biāo)準(zhǔn)中都以直接標(biāo)識(shí)符和間接(準(zhǔn))標(biāo)識(shí)符作為處理的最小顆粒(相關(guān)匿名化標(biāo)準(zhǔn)文件參見 GB/T 37964—2019《信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化指南》；PDPC, GUIDE TO BASIC DATA ANONYMISATION TECHNIQUES, https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Anonymisation_v1-(250118).pdf； NIST, De-Identification of Personal Information, https://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf; ICO, Anonymisation: managing data protection risk code of practice, https://ico.org.uk/media/for-organisations/documents/1061/anonymisation-code.pdf; IPCO, De-identification Guidelines for Structured Data, https://www.ipc.on.ca/wp-content/uploads/2016/08/Deidentification-Guidelines-for-Structured-Data.pdf)..因此，個(gè)人信息概念中“識(shí)別”的含義如能與計(jì)算機(jī)技術(shù)中的“識(shí)別”保持一致，這對(duì)促進(jìn)匿名化制度的規(guī)范化有著重要意義.如上文所述，直接標(biāo)識(shí)符是指能夠單獨(dú)識(shí)別特定自然人的信息，而準(zhǔn)標(biāo)識(shí)符為結(jié)合其他信息可以識(shí)別特定個(gè)人的信息.基于此，匿名化處理中首先需要去除數(shù)據(jù)集中的所有直接標(biāo)識(shí)符[27]，再綜合考慮對(duì)準(zhǔn)標(biāo)識(shí)符的處理方案，以達(dá)到防止重識(shí)別的目的.在匿名化技術(shù)語境下，“識(shí)別”的含義可以從直接與間接標(biāo)識(shí)符的定義一窺究竟.如《ISO/IEC 20889:2018》規(guī)定，直接或間接標(biāo)識(shí)符是指可以單獨(dú)或與其他信息結(jié)合“唯一標(biāo)識(shí)(unique identification)”或從群體中“單獨(dú)挑出(single out)”個(gè)人信息主體的信息[28].該標(biāo)準(zhǔn)進(jìn)一步指出，“單獨(dú)挑出”是指通過觀察一系列可以單獨(dú)標(biāo)識(shí)一個(gè)數(shù)據(jù)主體的屬性，將該特定個(gè)人的記錄從數(shù)據(jù)集中區(qū)別開來[29].可以看出，在計(jì)算機(jī)科學(xué)領(lǐng)域，或匿名化的語境下，識(shí)別并不要求獲知數(shù)據(jù)主體的特征信息，其核心在于能夠?qū)⑻囟▊€(gè)人與其他人區(qū)分開來，而這一目的在信息系統(tǒng)中正是通過唯一標(biāo)識(shí)符達(dá)到.

最后，觀點(diǎn)1可以解決“直接識(shí)別”的困境.如采取第2種觀點(diǎn)，單個(gè)姓名、身份證號(hào)碼等信息似乎也無法透露該自然人的任何身份特征，從而，無法直接識(shí)別特定個(gè)人.那么到底是否存在能夠直接識(shí)別的信息都將存疑，直接識(shí)別與間接識(shí)別的二分模式似乎并無意義.如采取“唯一指向”的觀點(diǎn)，那么直接與間接識(shí)別區(qū)分的困境將迎刃而解.簡(jiǎn)言之，能單獨(dú)唯一指向特定自然人即為直接識(shí)別，諸如身份證號(hào)碼、手機(jī)號(hào)碼和網(wǎng)絡(luò)唯一標(biāo)識(shí)符等；而需要結(jié)合其他信息才能唯一指向特定個(gè)人則是間接識(shí)別，如性別無法單獨(dú)唯一指向特定個(gè)人，因?yàn)樵谝粋€(gè)數(shù)據(jù)集中可能存在數(shù)個(gè)相同性別的個(gè)體，但假如該數(shù)據(jù)集中只有一個(gè)25歲的男性，那么該性別加上年齡即可唯一指向該特定自然人.

3.3 個(gè)人信息分級(jí)分類保護(hù)的進(jìn)路

建立個(gè)人信息分級(jí)分類制度，并分別予以不同的法律保護(hù)是一個(gè)老生常談的話題.比如依據(jù)能否單獨(dú)識(shí)別特定個(gè)人劃分為直接個(gè)人信息與間接個(gè)人信息，依據(jù)信息敏感度將個(gè)人信息劃分為一般個(gè)人信息與敏感個(gè)人信息.此外，在理論上，個(gè)人信息的分級(jí)分類也被很多學(xué)者提出，譬如：美國學(xué)者Schwartz等人[29]根據(jù)數(shù)據(jù)的識(shí)別程度將數(shù)據(jù)劃分為已識(shí)別數(shù)據(jù)、可識(shí)別數(shù)據(jù)和不可識(shí)別數(shù)據(jù)3種；荷蘭數(shù)據(jù)科學(xué)家Leenes[30]將個(gè)人信息分為“查找型標(biāo)識(shí)符”和“認(rèn)知型標(biāo)識(shí)符”.

然而上述分類方式?jīng)]有考慮到個(gè)人信息的濫用能否影響到現(xiàn)實(shí)世界中特定自然人的問題.比如，基于敏感度的分類方式將個(gè)人信息劃分為一般與敏感個(gè)人信息，因?yàn)槊舾袀€(gè)人信息泄露通常會(huì)嚴(yán)重?fù)p害個(gè)人信息主體的人身或財(cái)產(chǎn)安全.然而在虛擬識(shí)別的語境下，即使收集、處理醫(yī)療健康、宗教信仰和精確位置等敏感個(gè)人信息，對(duì)個(gè)人信息主體似乎并無過分影響.我們懼怕醫(yī)療或者宗教等信息泄露的根本原因在于我們周圍的人因此而對(duì)我們產(chǎn)生歧視.因此如果僅僅將這些信息與虛擬的唯一標(biāo)識(shí)符連接(數(shù)字身份)，而無法影響到物理世界的特定個(gè)人，那么在法律上區(qū)別對(duì)待的意義并不大.反之，如果能關(guān)聯(lián)到真實(shí)姓名、住址等物理身份信息，那么可能對(duì)個(gè)人信息主體產(chǎn)生重大的人身與財(cái)產(chǎn)損失，如位置信息被用于暴力催收致人傷亡和電話號(hào)碼被用于電信詐騙等.

基于此，在上述分類基礎(chǔ)上，本文主張基于信息能否“現(xiàn)實(shí)識(shí)別”進(jìn)行區(qū)分.首先，依據(jù)上文劃分的身份識(shí)別與特征識(shí)別，個(gè)人信息可劃分為“身份識(shí)別信息”與“特征識(shí)別信息”.身份識(shí)別信息是指能夠單獨(dú)或者結(jié)合其他信息唯一標(biāo)識(shí)一個(gè)特定個(gè)體的信息，但其無法外顯該自然人的任何特征，該類信息有姓名、學(xué)號(hào)和網(wǎng)絡(luò)唯一標(biāo)識(shí)符等；而“特征識(shí)別信息”則是描述個(gè)人信息主體特征的信息，如年齡、性別和愛好等.在這一基礎(chǔ)上，“身份識(shí)別信息”可劃分為“現(xiàn)實(shí)身份信息”與“數(shù)字身份信息”.現(xiàn)實(shí)身份信息是指可與現(xiàn)實(shí)身份直接關(guān)聯(lián)，從而識(shí)別出物理世界中特定自然人的信息，該類信息的典型有姓名、精確位置信息、身份證號(hào)碼等等；數(shù)字身份信息則無法關(guān)聯(lián)到現(xiàn)實(shí)世界的自然人，除非與現(xiàn)實(shí)身份信息結(jié)合，譬如IP地址本身只能識(shí)別出特定電腦，但是一旦與姓名或者住址等信息結(jié)合，可以識(shí)別出現(xiàn)實(shí)身份.基于該分類方法，法律應(yīng)該給予現(xiàn)實(shí)身份信息更多的重視，同時(shí)減輕企業(yè)處理數(shù)字身份信息.從而在確保個(gè)人信息主體權(quán)益的情況下，促進(jìn)數(shù)據(jù)自由流動(dòng).

4 結(jié) 語

定向廣告中相關(guān)個(gè)人信息爭(zhēng)議的根源在于“識(shí)別”含義的模糊.本文主張將虛擬識(shí)別納入識(shí)別的含義之內(nèi)，從而解決網(wǎng)絡(luò)世界中個(gè)人信息濫用可能損害個(gè)人數(shù)字身份的問題.其次，“識(shí)別”有“識(shí)別身份”和“唯一標(biāo)識(shí)區(qū)分”2種解釋，采取“唯一標(biāo)識(shí)”的解釋路徑不但可以簡(jiǎn)化法律適用，與匿名化制度保持銜接，亦可解決直接識(shí)別的理論困境.最后，本文提出現(xiàn)實(shí)身份信息與數(shù)字身份信息的分類方案，給與不同的保護(hù)力度，在保護(hù)個(gè)人信息主體合法權(quán)益的同時(shí)，以確保數(shù)字經(jīng)濟(jì)的繁榮發(fā)展.