楊 楠

(東南大學(xué) 法學(xué)院，江蘇 南京 211189)

公民個人信息范圍的不斷擴張雖然強化了對信息權(quán)利的保護，但法律的過分介入也對信息共享以及數(shù)據(jù)聚集效應(yīng)的產(chǎn)生形成掣肘。作為判斷公民個人信息的基本標(biāo)準(zhǔn)，“可識別性”與個人信息外延的擴張不無關(guān)系。因此，從理論和司法實踐角度反思“可識別性”標(biāo)準(zhǔn)擴張的路徑，并運用法教義學(xué)方法對之進行限縮，就成為亟待解決的現(xiàn)實問題。

一、個人信息“可識別性”標(biāo)準(zhǔn)的確立與擴張

1.“可識別性”標(biāo)準(zhǔn)的流變

在我國，個人信息的“可識別性”最早可追溯到2005年8月18日中國人民銀行《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》(以下簡稱《辦法》)第4條第2款之規(guī)定。該規(guī)定所涵蓋的個人信息范圍較寬泛，它將個人信息定義為關(guān)于自然人的所有信息，并分為身份信息、職業(yè)信息和居住信息等類型，而“識別性”僅用于對身份信息的判定中，其他信息只要與特定自然人發(fā)生關(guān)聯(lián)即可。此后，對“可識別性”標(biāo)準(zhǔn)的使用逐漸擴大至對所有類型個人信息的認(rèn)定中，相關(guān)規(guī)定也根據(jù)信息識別特定自然人的可能性，分離出更多類型。在2011年12月29日工信部《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》第11條中，“用戶個人信息”被歸納為具備“相關(guān)性”和“識別性”的信息?！跋嚓P(guān)性”是在信息主體確定的基礎(chǔ)上，對信息屬性進行判斷的依據(jù)；而“可識別性”則是確定相關(guān)信息是否能清晰指向特定主體的規(guī)則。但是，由于規(guī)定要求個人信息須同時滿足上述特征，且判斷“相關(guān)性”的先決條件是信息主體的明確性，故“相關(guān)性”也必須以信息“可識別”為前提。至此，我國認(rèn)定個人信息的標(biāo)準(zhǔn)大致確立，即以信息可否識別特定自然人為基底，以信息的“獨立識別”與“結(jié)合識別”為主要類型。

此后，全國人大常委會以法律的形式對收集和使用個人信息的活動做了規(guī)定，并對“可識別性”予以確認(rèn)。2012年12月28日全國人大常委會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第1條規(guī)定：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。”根據(jù)上述規(guī)定，個人信息分為可識別的身份信息和私密個人信息。這一分類在2013年4月23日最高人民法院、最高人民檢察院、公安部(以下簡稱“兩高一部”)《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》(以下簡稱《通知》)第2條中得以貫徹。至此，認(rèn)定個人信息的“可識別性”標(biāo)準(zhǔn)已確立于立法、行政和司法活動的各個方面。

前述規(guī)范雖然涉及個人信息，但無一例外地將其作為附帶法益保護，也通常見之于維護金融信息安全、數(shù)據(jù)庫管理以及網(wǎng)絡(luò)運營秩序的規(guī)范中。然而，隨著數(shù)據(jù)科技的發(fā)展，附帶性地保護個人信息愈見乏力，規(guī)制內(nèi)容也難成體系。因此，個人信息開始被作為獨立的法益加以保護。2013年6月28日工信部《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第4條對“用戶個人信息”做了進一步明確。這一概念在沿用《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》定義模式的基礎(chǔ)上，還對信息類型做了較為詳盡地羅列，使其界限更加明確。

2016年11月7日頒行的《網(wǎng)絡(luò)安全法》是在我國尚未制定專門法的前提下，關(guān)于個人信息保護最全面的法律?！毒W(wǎng)絡(luò)安全法》第76條規(guī)定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”此后，2017年3月20日最高人民法院、最高人民檢察院(以下簡稱“兩高”)《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《信息解釋》)也改變了“兩高一部”《通知》中的個人信息類型二分法，與《網(wǎng)絡(luò)安全法》的定義模式基本一致。為填補技術(shù)實操空白、提升國家監(jiān)管水平，2017年12月29日國家質(zhì)檢總局、國家標(biāo)準(zhǔn)化管理委員會還發(fā)布了《信息安全技術(shù)——個人信息安全規(guī)范》(以下簡稱《信息規(guī)范》)。其第三章的第一節(jié)對個人信息的“識別性”和“關(guān)聯(lián)性”做了明確規(guī)定，附錄中還對 “識別”與“關(guān)聯(lián)”的判定方式進行了闡明。

值得注意的是，2020年5月28日頒布的《民法典》是迄今為止涉及個人信息保護的位階最高的法律規(guī)范。該法第1034條第2款規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！薄睹穹ǖ洹凡粌H對“可識別性”予以確認(rèn)，還廓清了個人信息與個人隱私之間的關(guān)系。

我國對個人信息專門保護的立法進程也在加快。2020年10月21日，全國人大法工委公開就《中華人民共和國個人信息保護法(草案)》征求意見，其中第4條明確規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！辈浑y發(fā)現(xiàn)，這種“已識別”與“可識別”相結(jié)合的定義模式，與《民法典》以及《網(wǎng)絡(luò)安全法》中關(guān)于個人信息內(nèi)涵和外延的規(guī)定近乎相同。

至此，認(rèn)定個人信息的“可識別性”標(biāo)準(zhǔn)已經(jīng)被完全確立，“可識別性”標(biāo)準(zhǔn)實現(xiàn)了從與個人隱私糾纏不清到徹底擺脫其束縛、從標(biāo)準(zhǔn)的原則性和規(guī)范性向具體化和類型化的轉(zhuǎn)變。

2.個人信息外延不斷擴張

首先，根據(jù)《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》，并采用同類解釋的方法，身份識別信息與自然人的關(guān)聯(lián)程度必須與職業(yè)信息和居住信息保持一致、具備高度可識別性。由于無法滿足現(xiàn)實需要，從《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》開始，間接識別信息就被納入個人信息的范疇中。雖然“兩高一部”《通知》并未對結(jié)合識別予以明確規(guī)定，但通過其列舉的信息類型不難發(fā)現(xiàn)，僅憑學(xué)歷、年齡和婚姻狀況等無法指向特定個人，必須與其他信息結(jié)合才具有識別可能，亦即結(jié)合識別信息被實質(zhì)性地納入其中。然而，這樣的擴張仍然無法滿足實踐需要，“兩高”在《信息解釋》中又加入了“活動情況”信息。這一類型的信息也被國家質(zhì)檢總局和標(biāo)準(zhǔn)化管理委員會以規(guī)范性法律文件的形式確定下來。“活動情況”信息同樣是在已知自然人的情況下由該特定人產(chǎn)生的信息，它擺脫了“可識別性”的約束，與個人信息擴張的趨勢一致。

其次，相關(guān)規(guī)范還通過增加信息載體擴張個人信息外延。如“兩高一部”《通知》中增加的“數(shù)據(jù)資料”、“兩高”《信息解釋》中載明的“賬號”“密碼”、《信息規(guī)范》附錄中的“IP地址”“游戲兌換碼”“硬件序列號”等。雖然存在對特定自然人的識別可能性，但信息和數(shù)據(jù)資料存在本質(zhì)上的區(qū)別。一般認(rèn)為，信息與數(shù)據(jù)是內(nèi)容與物化表現(xiàn)形式的關(guān)系[1]，數(shù)據(jù)本身對人沒有實際意義，但信息則指人對存在的事物經(jīng)其認(rèn)知后所解讀、傳達的訊息；描述事物的存在數(shù)據(jù)如果被人收集經(jīng)過認(rèn)知轉(zhuǎn)化為訊息予以利用或傳遞時，即成為信息[2]。數(shù)據(jù)是信息的載體，而信息是數(shù)據(jù)的實質(zhì)意涵。在此，我們不能認(rèn)同香農(nóng)所建構(gòu)的將信息與數(shù)據(jù)完全等同的形式定義模式(或者說技術(shù)定義模式)。因為，作為關(guān)系實體的數(shù)據(jù)，完全消解了信息語義層面的基本內(nèi)涵。這不僅不實用，而且在任何情況下我們都無法想象現(xiàn)實中所接收的所有信息都不具有具體的意義成分。因此，應(yīng)當(dāng)采用語境的觀點，將信息解讀為“數(shù)據(jù)”和“意義”的總成，將其作為表征了事實的數(shù)據(jù)。此外，《民法典》第111條規(guī)定了對“個人信息”收集、使用、加工、傳輸?shù)谋Ｗo，而該法第127條又對數(shù)據(jù)和網(wǎng)絡(luò)虛擬財產(chǎn)做了規(guī)制，這也表明《民法典》未將信息和數(shù)據(jù)等同視之。

最后，以“相關(guān)性”標(biāo)準(zhǔn)補充“可識別性”標(biāo)準(zhǔn)。域外國家對個人信息(數(shù)據(jù))的界定大都采取“可識別性”原則。例如，1995年歐盟通過的《數(shù)據(jù)保護指令》(95/46/EC)和2016年《歐盟信息保護通用條例》(GDPR)[3]，2010年4月美國《個人身份信息保護指南》(PII)[4]，2012年新加坡《個人信息保護法案》[5]，以及2015年日本修正的《新個人信息保護法》[6]。然而，在我國對個人信息的規(guī)定中，不但包含“識別性”信息，還用“關(guān)聯(lián)性”信息補充“可識別性”的不足。這在《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》《信息解釋》以及《信息規(guī)范》附錄中均有體現(xiàn)。事實上，“關(guān)聯(lián)性”信息的范圍遠大于“識別性”信息。以《信息規(guī)范》附錄A中的“游戲兌換碼”和“軟件列表”為例，雖然這些信息與人相關(guān)，但卻無法識別特定自然人?！坝螒騼稉Q碼”指向游戲賬戶的交易情況，“軟件列表”指向電子設(shè)備，不結(jié)合游戲賬戶的注冊信息或電子設(shè)備使用者的注冊信息無法將個人特定化。上述兩類信息與自然人的關(guān)聯(lián)性遠未及“可識別”的程度，這大大擴張了個人信息的外延。

綜上，在對公民個人信息的認(rèn)定問題上，我國主要采用“可識別性”標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)從發(fā)端到確立，歷經(jīng)了多次修正，其劃定的個人信息范圍也持續(xù)擴張?？v使這一趨勢迎合了我國現(xiàn)階段保護個人信息的需要，但其實質(zhì)合理性卻值得檢省。

二、“可識別性”的理論誤區(qū)與實踐困境

對“可識別性”標(biāo)準(zhǔn)的應(yīng)用并非一帆風(fēng)順，不僅其理論上的抵牾難消，司法實踐中也往往無所適從。正是這些誤區(qū)與困境，導(dǎo)致公民個人信息的外延不當(dāng)擴張。

1.“可識別性”標(biāo)準(zhǔn)的原生理論誤區(qū)

(1)獨立(直接)識別可能性存疑

獨立(直接)識別性信息是指，僅通過單一的信息，而不需要與其他信息結(jié)合，就可以直接指向某一特定自然人的信息。獨立識別信息因與特定自然人關(guān)聯(lián)度高，故識別度也較高。一般體現(xiàn)為信息具有獨特性、唯一性或敏感性，在客觀上幾乎不可能與其他特定自然人發(fā)生混淆。但是，某一具體信息往往對應(yīng)多個主體或一個概括的主體，通過某一單獨的信息很難(甚至無法)識別出特定自然人。

通常認(rèn)為，可獨立識別的信息為自然人姓名、家庭住址、身份證件編碼、電話號碼、指紋和DNA序列等[7]。但是，上述信息是否具備獨立識別特定自然人的能力值得推敲。首先，自然人姓名很難具備唯一性，即使是在較小的社群內(nèi)，也不能完全肯定姓名的識別效果。因此，一些學(xué)者一面主張姓名屬于直接識別信息，另一面又不得不承認(rèn)“只要資料與特定個人的姓名結(jié)合，通常即屬于識別資料”[8]。那么，問題在于，對于公眾人物，其姓名(或筆名、藝名)是否具有直接識別性呢？答案同樣是否定的。通過公眾人物的姓名能直接指向特定個人，是由于公眾已經(jīng)結(jié)合性別、籍貫、職業(yè)等對其做出過識別并已將對應(yīng)結(jié)果存儲于記憶中，當(dāng)日后一旦涉及該自然人的姓名時，就會反映出其人格特征。易言之，姓名對公眾人物的識別并不是因為其具有獨立識別性，而是作為該特定人的關(guān)聯(lián)要素而提示識別主體回溯先前已被識別的特定自然人而發(fā)揮錨定作用的信息。同樣地，再詳盡的住址也對特定個人的識別無能為力。即使住址所對應(yīng)的自然人唯一且不變，那也只能確信住址信息背后存在一個模糊且抽象的主體；不通過其他信息予以框定，該主體無法被具體化。身份證編碼、電話號碼甚至指紋、DNA序列也是如此，盡管這類信息均具有唯一性，看似可以指向某一對象，但這種識別只能提供一種簡單且空洞的指向性，只表明認(rèn)識主體在信息背后存在抽象的個人，但對于其他情況亦無從知曉，這遠未達到將自然人特定化的程度。況且，身份證編碼中包含籍貫、出生日期和性別在內(nèi)的諸多信息，這很難說其具有單獨指向特定自然人的能力。即使通過在數(shù)據(jù)庫中檢索，將身份證編碼、手機號碼或DNA信息的主體特定化，那也是與其他各類信息相結(jié)合而產(chǎn)生的識別效果，而且一般公民也難以通過正常途徑獲知。

因此，獨立識別信息或許只是一種理論構(gòu)想，它在實踐中難以存在。任何信息都只能表征自然人的某方面特征或?qū)δ骋蛔匀蝗俗龀龈爬ǖ恼J(rèn)識，這種模糊的認(rèn)知無法達到可以獨立識別特定主體的程度。

(2)結(jié)合(間接)識別信息的泛化

間接識別信息，是指僅依據(jù)該資料無法識別特定個人，但將其與其他資料進行對照、組合、聯(lián)結(jié)等，始能識別該特定個人的信息類型[9]。需要結(jié)合識別的信息不僅不具有唯一性，而且與特定自然人的關(guān)聯(lián)不甚緊密，凡具有識別可能性的信息均在此列，故結(jié)合識別的信息外延極易擴張。

首先，識別主體模糊使個人信息的邊界不明。這涉及間接識別能力人判斷標(biāo)準(zhǔn)，與當(dāng)事人有親緣關(guān)系或存在地緣、工作、學(xué)習(xí)或其他交往關(guān)系的人，所掌握的信息相對充分，因而推知特定自然人的能力較強；而對于一般人，通過比對、結(jié)合而識別特定個人的能力較弱[10]。因此，在這個意義上，“可識別性”就具備相對性[11]，倘若以關(guān)系密切人為標(biāo)準(zhǔn)，則劃定的個人信息范圍較大。其次，識別方式的不確定導(dǎo)致間接識別信息界限不清。這涉及獲取信息途徑、工具以及成本等一系列客觀因素[12]。社會一般人與掌握相關(guān)數(shù)據(jù)資源和特定搜索引擎的人在識別能力上存在明顯差別，如果以特別方式為標(biāo)準(zhǔn)會大大擴張個人信息的范圍。再次，大數(shù)據(jù)應(yīng)用使個人信息范圍日趨含混?？梢哉J(rèn)為，在工業(yè)時代看似不具有識別性的信息，在大數(shù)據(jù)時代就存在識別的可能。但是，“識別性”對數(shù)據(jù)科技的依賴導(dǎo)致對個人信息范圍的劃定被科技綁架，這不僅使判斷個人信息的既定標(biāo)準(zhǔn)失去存在的價值，也導(dǎo)致對個人信息范圍的界定喪失獨立性。對此，有學(xué)者指出，“(個人信息)概念的擴張已經(jīng)不可避免。事實上，我們已經(jīng)可以將任何信息納入其中”[13]，“將間接識別性納入個人資料保護法的范圍，造成個人資料保護對象之?dāng)U張，不僅無法達到個人資料保護之目的，亦造成社會活動動輒侵犯個人資料之疑義”[14]72。同時，如果結(jié)合識別的信息范圍過于擴張，還會使得去識別化的信息重新成為可識別信息[15]，這將嚴(yán)重阻滯匿名化信息的使用，影響信息價值的發(fā)揮。

(3)可識別性的遞歸

可識別性的遞歸主要涉及是否將可識別性信息的其他信息作為個人信息的外延，以及可回溯的層級問題。詳言之，在識別特定自然人的過程中，有些可識別的信息也需要被其他一項或數(shù)項信息單獨或結(jié)合識別。如果允許可識別性的遞歸，則其識別過程中所使用的所有信息都會被納入個人信息之列；反之，如果不允許可識別性遞歸，則只有最終識別特定自然人的信息才會被認(rèn)定為個人信息。不難看出，即使是有限遞歸，前者認(rèn)定的個人信息范圍也遠超后者。

對IP地址是否能作為個人信息的判定即是其例。通常情況下，即使將同一時空中使用的IP地址指向特定的計算機，也無法將其與特定用戶直接匹配起來。因此，IP地址用以指向特定的計算機，而綜合計算機的位置、上網(wǎng)時長、訪問情況等其他一系列信息才有可能識別出特定個人。如果允許可識別性遞歸，則IP地址無疑可作為個人信息，反之則不然。個人賬戶亦是如此。互聯(lián)網(wǎng)注冊賬號無非兩類。一類是必須與相關(guān)身份信息綁定的賬號，如網(wǎng)上鐵路購票系統(tǒng)、支付寶賬號。這類賬號在注冊時需要提供包括姓名、性別、身份證號等在內(nèi)的一系列身份信息。另一類賬戶則無須與個人身份信息綁定，如電子郵箱。當(dāng)注冊賬號需要提供包括姓名、身份證號以及手機號碼在內(nèi)的一系列身份信息時，通過網(wǎng)絡(luò)服務(wù)提供商可以識別特定自然人。但是，在注冊時只綁定了手機號、郵箱號、微信號或者完全匿名登陸時，通過賬號和密碼要么只能獲得某項個人信息，要么根本無法獲得相關(guān)身份信息。在這種情況下要對特定人做出識別，還必須綜合其他信息。以匿名身份注冊的賬號為例，雖然通過網(wǎng)絡(luò)服務(wù)提供商能得知某人的賬號注冊時間、使用時長以及訪問頁面等關(guān)聯(lián)性信息，但這遠不及將自然人特定化的程度，還需借助其他信息輔助上述信息的識別能力。所以，如果允許可識別性的遞歸，則上述由賬戶直接獲得的信息也屬于個人信息，反之則不然。

不難發(fā)現(xiàn)，每回溯一個層級，個人信息的外延就成倍擴張。縱使其與特定自然人的關(guān)聯(lián)程度越來越弱，也無法否認(rèn)其具有結(jié)合其他信息進行識別的能力。在大數(shù)據(jù)科技的輔助下，可識別性的無限遞歸會將能獲取到的一切信息納入個人信息項下保護，而保護對象泛濫的窘境也將動搖個人信息保護的法治根基。

2.“可識別性”標(biāo)準(zhǔn)的實踐困境

理論上的疏漏導(dǎo)致實踐中疑竇重生?！翱勺R別性”的理論缺陷不僅未能在司法實踐中得以有效克服，反而在諸多方面被放大。

首先，界限不清致使對信息的規(guī)范屬性難于判別。案例一：在“孫某某等侵犯公民個人信息案”中，被告人違反國家有關(guān)規(guī)定，通過電子郵箱、微信等工具，向他人出售或者提供公民個人信息。對此，法院一審認(rèn)定，被告人犯侵犯公民個人信息罪[16]。庭審中，程某某辯護人辯稱，程某某發(fā)送的公民個人信息有的只是手機號，無法識別特定自然人身份。對此，合議庭指出：“雖然有的涉案表格的內(nèi)容中僅有電話號碼，但結(jié)合該表格的名稱，可以確定特定手機機主的子女就學(xué)情況、教育培訓(xùn)需求以及購買物業(yè)情況等個人隱私，本案被告人未經(jīng)被收集者同意向他人提供上述信息，屬于上述司法解釋規(guī)定的非法向他人提供能夠與其他信息結(jié)合反映特定自然人活動情況的信息?！北景笭幾h焦點是手機號能否認(rèn)定為個人信息。法官雖然主張手機號不具有對特定自然人的可識別性，但卻通過手機號衍生的其他信息屬于“活動情況”信息而將其納入個人信息中?？梢?，其論證邏輯中暗含了對可識別性的遞歸。因為，個人并不是通過手機號本身特定的，而是通過其蘊含的教育信息和物業(yè)信息特定的。而這種溯回的認(rèn)定思路正是因為個人信息的邊界模糊導(dǎo)致的。類似本案中的關(guān)聯(lián)思路會導(dǎo)致判定個人信息的“可識別性”被虛置，進一步使個人信息的外延難以捉摸，由此形成惡性循環(huán)。

其次，立場偏誤導(dǎo)致對識別能力認(rèn)定失準(zhǔn)。案例二：在“趙某某等侵犯公民個人信息案”中，被告人趙某某等人為提高公司業(yè)績，通過購買、向熟人收受等途徑，非法獲取各類公民個人信息[17]。被告人辯稱，單純的手機號碼不能認(rèn)定為公民個人信息。對此，合議庭指出，根據(jù)《電話用戶真實身份信息登記規(guī)定》，電信業(yè)務(wù)經(jīng)營者在與用戶簽訂協(xié)議時，會登記用戶真實身份。因此，“手機號碼與公民個人身份一一對應(yīng)，通過手機號碼也可以單獨識別公民個人身份，故應(yīng)當(dāng)將單純的手機號碼納入侵犯公民個人信息的數(shù)量之中”。本案的爭議焦點涉及對識別能力和識別手段的認(rèn)定，本案法官顯然是以特殊主體用專門手段可識別特定個人為標(biāo)準(zhǔn)的。但是，通常情況下，有權(quán)限的內(nèi)部人員在利用不予公開的數(shù)據(jù)庫或采用特定技術(shù)手段才能識別出特定個人的信息對于一般人并無識別可能性。亦即，該特定自然人的信息很難受到他人的窺探，其法益難以遭受損害。而這種“特定人可得識別”的立場，極易觸發(fā)“寒蟬效應(yīng)”。

最后，規(guī)范目的不明導(dǎo)致對實質(zhì)違法性判斷發(fā)生偏差。案例三：在“王某某侵犯公民個人信息案”中，被告人為謀取私利，利用工作便利，為他人查詢QQ和微信好友提取注冊信息、婚姻記錄、住宿記錄等公民個人信息，并將查詢的信息予以出售[18]。辯護人認(rèn)為，QQ和微信提取好友信息、注冊信息不屬于公民個人信息。合議庭在援引“兩高”《信息解釋》第1條之規(guī)定后直接認(rèn)定其確屬公民個人信息，卻對此未予釋明。但是，辯護人在對信息屬性提出質(zhì)疑時，法官理應(yīng)根據(jù)案情，對賬號和密碼是如何結(jié)合其他信息具體指向個人的方法進行釋明。僅援引司法解釋的規(guī)定而未做實質(zhì)上的闡明，使判決欠缺合理性?！缎畔⒁?guī)定》中列舉的賬號和密碼絕不是指一切形式上屬于網(wǎng)絡(luò)身份認(rèn)證的登陸憑證，而必須具備可識別特定自然人的特性。我們雖不敢斷言法官的判決有失偏頗，但至少可以肯定其說理存在瑕疵。法官疏于釋明當(dāng)然有其他層面的因素，但在個人信息的標(biāo)準(zhǔn)模糊、內(nèi)涵不清、外延不明而導(dǎo)致對誰來識別、怎么識別以及何為“特定人”等核心問題無章可循時，直接援引司法解釋恐怕是最“穩(wěn)妥”的選擇。

上述案例是法官忽略了規(guī)范目的，而下面的案件則是對規(guī)范目的的誤讀。案例四：在“吳某某等侵犯公民個人信息案”中，被告人利用職務(wù)之便，長期向他人提供H省工商企業(yè)注冊信息中的相關(guān)公民個人信息，并從中獲利。法院一審判處吳某某等人侵犯公民個人信息罪[19]。庭審中，被告人辯稱，提供的可通過計算機公共網(wǎng)絡(luò)查詢到的部分信息，不應(yīng)被認(rèn)定為公民個人信息。合議庭指出：“本案各被告人獲取的信息無論是否合法收集，其未經(jīng)被收集者同意將獲取的公民個人信息進行交換、出售，都屬于侵犯公民個人信息的情形?！卑咐澹涸凇靶夏车惹址腹駛€人信息案”中，被告人邢某將收集到的開房記錄、QQ號碼及郵箱賬號密碼等個人信息打包出售。法院一審判處被告人犯侵犯公民個人信息罪[20]。庭審過程中，辯護人辯稱QQ和電子郵箱等網(wǎng)絡(luò)虛擬賬號密碼不屬于公民個人信息，應(yīng)予剔除。合議庭指出：“網(wǎng)絡(luò)虛擬賬號密碼往往綁定身份證號碼、手機號碼等特定自然人信息，與特定自然人相關(guān)聯(lián)，通過網(wǎng)絡(luò)虛擬賬號密碼可以識別特定自然人身份，即使未綁定，網(wǎng)絡(luò)虛擬賬號密碼被他人非法獲取后也可能發(fā)生危及自然人財產(chǎn)、人身安全等情形，故QQ、電子郵箱等賬號密碼屬于公民個人信息中賬號密碼范疇?！?/p>

上述兩個案例的爭論點雖有差異，但本質(zhì)相同。案例四是關(guān)于可公開查詢信息是否可以作為個人信息的問題，這主要源于對侵犯公民個人信息罪的規(guī)范保護目的認(rèn)識存在分歧。如果認(rèn)為本罪保護公民的隱私權(quán)，則公開可查詢的信息不存在對公民的私生活的干預(yù)；如果本罪是為了保障公民的個人信息控制權(quán)，則關(guān)于自然人的任何信息，無論是否公開，均需保護。可遺憾的是，合議庭雖做了有罪判決，其釋明卻存在瑕疵。被告人是針對信息屬性進行的辯護，而法官卻忽略了對公開信息性質(zhì)的判定，直接肯定獲取、出售和交換行為的刑事違法性，這一論證邏輯并不周延。案例五中，對于被告人主張的，QQ以及郵箱的賬號與密碼不屬于個人信息的抗辯，合議庭認(rèn)為即使未綁定身份信息，賬號密碼也存在危及他人人身和財產(chǎn)安全的可能，所以也應(yīng)被視為個人信息。用規(guī)范保護目的解讀法律并無不妥，但如果存在認(rèn)識上的偏差，則必然導(dǎo)致對條文解釋失準(zhǔn)?！叭松砗拓敭a(chǎn)安全”并非本罪的直接法益，強調(diào)這一規(guī)范目的不僅使侵犯公民個人信息罪失去獨立的規(guī)范意義，而且極易擴張本罪處罰范圍，還存在類推解釋的嫌疑。

綜上，“可識別性”標(biāo)準(zhǔn)不僅存在類型化的疏漏，識別的遞歸和結(jié)合識別的開放性也透射出該理論潛藏著擴張個人信息范圍的基因。實踐中，個人信息界限不明致使司法人員對某項信息性質(zhì)的判定莫衷一是，立場錯位導(dǎo)致控辯雙方對識別能力的判斷各執(zhí)一端，而規(guī)范目的含混則引發(fā)對實質(zhì)違法性的認(rèn)識聚訟難休。因此，對上述困境的求解勢在必行。

三、規(guī)范目的對“可識別性”的限縮

上述諸多問題導(dǎo)致判斷個人信息的“可識別性”標(biāo)準(zhǔn)越來越受到質(zhì)疑。但是，在規(guī)范業(yè)已確認(rèn)“可識別性”標(biāo)準(zhǔn)的前提下，對其斷然舍去未免更加危險。因此，如何通過解釋進行合理地定界才是解決關(guān)鍵。

1.修正的“可識別性”標(biāo)準(zhǔn)

為了化解上述矛盾，許多學(xué)者對“可識別性”標(biāo)準(zhǔn)做出了相應(yīng)的修正。其路徑有二，要么在結(jié)構(gòu)上重新劃歸個人信息的類型，以期用更詳盡的類型化克制個人信息的擴張；要么加入具有限縮功能的原則，強化實質(zhì)判斷。

(1)重新類型化

由于“可識別性”標(biāo)準(zhǔn)忽略了對“已識別信息”與“可識別信息”的區(qū)別保護，而且“可識別”與否會因科技的發(fā)展和識別主體的變化而變化，因此，有學(xué)者主張以識別特定個人風(fēng)險的層級為標(biāo)準(zhǔn)，將個人信息分為“已識別信息”“可識別信息”和“不可識別信息”[21]1876?！耙炎R別信息”具有高識別風(fēng)險，這一類信息可以直接將特定個人從某一人群里中分離出來；“不可識別信息”具有低識別風(fēng)險，這些信息無法通過合理手段識別出特定個人；而“可識別信息”的風(fēng)險正是介于上述二者之間。

雖然上述分類使得個人信息的種類更加明細，但未對科技干擾可識別性做出有效回應(yīng)?！靶畔⒖萍颊趯ふ腋袆?chuàng)意的方法，將各種不具有識別性的信息碎片組合起來，將其制作成可識別信息，而在將去識別化信息又重新識別的示例中被充分證明。”[21]1876-1877而且，界限越多，則難以界定的情況愈多；難以界定的情況愈多，則爭論的問題愈多。它不僅無法防止“不可識別信息”闖入“可識別信息”的領(lǐng)域、“可識別信息”升格為“已識別信息”的可能，而且會催生有關(guān)界分標(biāo)準(zhǔn)的諸多疑問。傳統(tǒng)的二分法也是根據(jù)可識別風(fēng)險的高低確立的，其被詬病的原因正是風(fēng)險的屬性和程度難于把握，因此，這一路徑難免重蹈覆轍。

(2)識別重要性原則

確定識別的重要性是為界定信息與特定人之間具有足以連結(jié)的相關(guān)性，由此保障因公共利益而對信息收集和利用行為的過度干預(yù)。識別的重要性原則主要是針對結(jié)合識別信息提出的，它是指用識別特定自然人的關(guān)鍵性或重要性的多少來確定結(jié)合識別信息對特定的個人是否關(guān)鍵或重要。如果經(jīng)由判斷，該特定個人欠缺關(guān)鍵或重要價值時則是無用的個人資料，因而不屬于適格的保護對象[14]70。

這一觀點也存在疏漏。首先，信息與人之間關(guān)聯(lián)性的強弱是一種客觀實在，而信息的重要程度則是主觀判斷，用主觀決定客觀并不符合存在論的一般規(guī)律。其次，重要性和關(guān)鍵性是對信息價值的描述，而價值并不是恒定的，它會因受用主體的改變而改變，若個人信息的范圍因人而異的話更顯荒誕。另外，這一理論既未闡明判別“重要性”的方法，也未確定重要性的對應(yīng)主體，可操作性較弱。

(3)合理識別原則

美國聯(lián)邦貿(mào)易委員會在《快速變化時代的消費者隱私保護》中提出“合理鏈接原則”，這一框架應(yīng)用于能夠合理鏈接到特定客戶、計算機或者設(shè)備的數(shù)據(jù)。據(jù)此，如果不能通過合理手段鏈接到特定客戶的信息則不被這一框架保護，亦即只有通過合理手段可識別的信息才屬于個人信息。對于此處的“合理性”，有學(xué)者認(rèn)為，一般應(yīng)由識別的合規(guī)性、時耗以及花費綜合評價[8]49，而GDPR也要求判斷間接識別所使用的方法是否合理，考慮諸如時間和成本，所使用的技術(shù)以及未來科技的發(fā)展。

合理性原則為識別能力的判定提供了依據(jù)，也能在一定程度上防范個人信息的泛化，但這一標(biāo)準(zhǔn)也值得商榷。首先，并非能合理獲得的可識別的信息都應(yīng)納入個人信息進行保護，例如，計算機硬盤編碼易于獲得，但能否作為個人信息尚存疑問。另外，合理性與否同樣會因時、因事而易，這種變動性也會對個人信息的認(rèn)定帶來較大的不確定性。

此外，上述3種路徑存在共通的缺陷。重新類型化是為了堵截傳統(tǒng)分類的漏洞，以期將不同識別風(fēng)險的信息區(qū)別對待；識別重要性是為了扎緊結(jié)合識別信息的藩籬，防止關(guān)聯(lián)程度不強且沒有保護價值的信息被納入規(guī)制范圍；識別合理性則是為了回應(yīng)識別主體和識別方法的問題，為不同主體的識別結(jié)果差異化提供思路。雖然上述3種觀點均有其合理性，但均未觸及問題的本質(zhì)，因此也未能消弭其固有缺陷。本文認(rèn)為，借助規(guī)范的保護目的匡正“可識別性”標(biāo)準(zhǔn)或許是一條合理的進路。在明確規(guī)范目的的基礎(chǔ)上，既可以通過目的性解釋明確個人信息的法律屬性，又能判定識別方式與結(jié)果是否為法規(guī)范所不容，還可為法官的實質(zhì)判斷提供理論依據(jù)。因此，厘清規(guī)范保護目的不僅可以避免治絲益棼，而且能將可識別性中存在的問題一一解決。

2.個人信息規(guī)范保護目的廓清

對個人信息的權(quán)屬存在不同的學(xué)說，而且即使在同一觀點內(nèi)部也不無分歧。主要存在基本人權(quán)說、財產(chǎn)權(quán)(所有權(quán))說以及人格權(quán)說3類觀點。

基本人權(quán)說主張，國際上許多國家的個人信息保護都源于憲法上的人權(quán)保護要求，因此我國的個人信息權(quán)也應(yīng)是憲法上的基本人權(quán)[22]。但是有學(xué)者并不贊同，認(rèn)為我國憲法中的通信自由權(quán)并不可能衍生出個人信息權(quán)利保護的內(nèi)涵。財產(chǎn)權(quán)(所有權(quán))說主張，個人信息權(quán)是所有權(quán)的一種新形式，即公民對自己信息所享有的占有、使用、收益和處分的權(quán)利[23]；信息數(shù)據(jù)“作為一種重要的財產(chǎn)，符合權(quán)利客體的規(guī)范要求，具有法律上的特定性和獨立性”[24]。我們雖不否認(rèn)個人信息的財產(chǎn)價值，但對財產(chǎn)權(quán)保護模式加速個人信息交易的后果表示擔(dān)憂。這不僅不能使侵犯個人信息的行為得以遏制，反而會使其持續(xù)惡化。另外，信息是關(guān)于人的信息，其價值伴生于人的尊嚴(yán)。在財產(chǎn)權(quán)保護模式下，除非對信息的價值做出統(tǒng)一的認(rèn)定，否則有損人格。但是，由于信息主體和使用場域的差異，不同人的信息、甚至同一人的信息的價值都會發(fā)生變化，無法實現(xiàn)一應(yīng)均等地保護。人格權(quán)說內(nèi)部又存在隱私權(quán)說和獨立人格權(quán)說的爭論。隱私權(quán)說將個人信息作為隱私權(quán)的一部分加以保護，但這不無問題。首先，隱私信息與個人信息的范圍并不重合，雖然對二者的范圍存在交叉與包含的爭議，但至少可以肯定，有一部分個人信息無法作為隱私信息進行保護，這會導(dǎo)致規(guī)范漏洞。其次，在大數(shù)據(jù)的助推下，信息的來源、類型以及價值會大大增加，固守個人私生活不受干擾的保護路徑不僅不利于對信息資源的充分保護，而且會導(dǎo)致信息的收集和利用行為失范。同時，信息的財產(chǎn)價值已經(jīng)體現(xiàn)出來，其財產(chǎn)權(quán)屬性也漸露端倪，隱私權(quán)保護模式無法保障信息經(jīng)濟價值的發(fā)揮。最后，被遺忘權(quán)的興起必然帶來公民對網(wǎng)絡(luò)上個人信息的刪除權(quán)，而這也無法被隱私權(quán)概括[25]。獨立人格權(quán)主張，個人信息權(quán)是自然人依法對本人的個人身份信息所享有的支配并排除他人侵害的人格權(quán)，詳言之，它是自然人以自我決定為基礎(chǔ)，對自己的個人信息自我占有、控制、支配，他人不得非法干涉的權(quán)利，是一種排他的支配權(quán)，是絕對權(quán)[26]。根據(jù)獨立人格說的立場，個人信息權(quán)包含精神性人格利益和財產(chǎn)性人格利益兩個層面，前者旨在消除個人的信息化形象被他人操縱的恐慌，而后者保障個人信息在市場中的商業(yè)利益。精神性人格利益居于主導(dǎo)地位，而財產(chǎn)性人格利益處于從屬地位。例如，有學(xué)者認(rèn)為：“個人信息權(quán)是一項含有隱私權(quán)內(nèi)容但又超越隱私權(quán)的權(quán)利，它是兼有精神性權(quán)利與物質(zhì)性權(quán)利的綜合權(quán)利?！盵27]可以認(rèn)為，這一觀點較之其他論說更為合理。將個人信息權(quán)作為獨立的人格權(quán)有規(guī)范依據(jù)。我國《刑法》第253條之一規(guī)定了侵犯公民個人信息罪，本罪歸于“侵犯公民人身權(quán)利、民主權(quán)利罪”一章，因此，本罪的保護法益為人格權(quán)。雖然本罪被安排在第252條“侵犯通信自由罪”和第253條“私自開拆、隱匿、毀棄郵件、電報罪”之后，但也不必然能解釋出本罪的規(guī)范保護目的為隱私權(quán)。在人身權(quán)利和民主權(quán)利的框架下，以人格權(quán)為具體權(quán)屬進行解釋，都具有可行性，還不至于重新調(diào)整罪名體例。況且，“刑法典中并不存在所謂的‘以同類法益排列’的基本原理，同類法益的結(jié)構(gòu)化只是相對的”[28]。此外，從《民法典》的體例來看，“隱私權(quán)和個人信息保護”被列入人格權(quán)編；《民法典》總則編第五章“民事權(quán)利”遵循從人身權(quán)益到財產(chǎn)權(quán)益的順序?qū)λ械拿袷聶?quán)利類型進行羅列，其中雖沒有明確提出個人信息權(quán)，但可以肯定其并非財產(chǎn)權(quán)益，而屬于人身權(quán)益。同時，認(rèn)定公民個人信息的“可識別性”標(biāo)準(zhǔn)直接表明了自然人的人格特征。個人發(fā)展離不開社交活動，這便涉及在必要的情況下披露自己個人信息的問題。如果人不能決定自己的信息是否被收集和處理，也無權(quán)禁止他人在未經(jīng)同意的情況下使用自己信息，那么獨立人格也將無從體現(xiàn)?？傊?，將個人信息權(quán)作為一項獨立的人格權(quán)不僅擺脫了傳統(tǒng)隱私權(quán)保護模式的束縛，而且兼顧了個人信息的財產(chǎn)價值。

或許有人質(zhì)疑，不同的法規(guī)范存在不同的保護目的，這是否導(dǎo)致“可識別性”存在不同的認(rèn)定標(biāo)準(zhǔn)，這樣一來，個人信息的范圍也因法而異？我們認(rèn)為，這種擔(dān)憂是多余的。首先，在劃定個人信息范圍時，應(yīng)保證法秩序的統(tǒng)一，即任何具體法律規(guī)范都必須被理解為是整個法律制度的一部分，都必須在這個統(tǒng)一的法律體系中來規(guī)定。而法律概念是法律體系的基石，如果某一法律概念，特別是相對確定性的法律概念在不同法律部門之間來回?fù)u擺，很難使法的安定性不受影響，這也有悖于公民樸素的正義觀。同時，法秩序統(tǒng)一性要求任何規(guī)范都應(yīng)根據(jù)其調(diào)整目的來解釋[29]。雖然各個法律領(lǐng)域的目的并不相同，其法律效果也存在差異，但這種差異主要是行為違法性上的差異，與保護客體無關(guān)。其次，雖然我國尚未頒布專門的個人信息保護法，主要依靠《刑法》《民法典》《網(wǎng)絡(luò)安全法》的相關(guān)條規(guī)定加以保護，但不同法律部門規(guī)范保護目的的差異也不會影響對個人信息的認(rèn)定。民法學(xué)者主張個人信息權(quán)是一項獨立人格權(quán)[30]，刑法學(xué)者對此存在不同的認(rèn)識。信息自決權(quán)說主張，公民有決定是否揭露其個人信息，以及在何種范圍內(nèi)、于何時、以何種方式、向何人揭露個人信息的決定權(quán)；同時，法律應(yīng)當(dāng)保障公民對其個人資料之使用有知悉與控制權(quán)，并對記載錯誤的信息有更正權(quán)[31]。信息專有權(quán)說作為保護個人信息自決權(quán)的間接保護和中間進路，是指法定主體對個人信息的積極處分權(quán)限[32]。還有觀點主張，侵犯公民個人信息罪的保護法益為個人信息決定權(quán)、保密權(quán)和報酬請求權(quán)[33]?？梢姡畔⒆詻Q權(quán)與作為獨立人格權(quán)的個人信息權(quán)在內(nèi)容上并無太大差異，而其他兩種觀點也都是關(guān)于信息主體對信息收集、交易以及使用的同意權(quán)限及效力，是對信息自決權(quán)權(quán)能的拆分。所以，至少可以形成的共識是，無論民法抑或刑法對個人信息的規(guī)制，均是為了保護公民不限于隱私權(quán)的人格利益免遭不法侵害。同時，信息能否識別自然人，是在考察信息所構(gòu)建的虛擬人格可否與現(xiàn)實中特定自然人的人格相對應(yīng)，而信息主體只有對信息所構(gòu)建的虛擬人格與特定自然人人格相符的個人信息享有法定權(quán)利。在此過程中，需要用整體的人格利益做出判斷，無涉權(quán)能的拆分問題，也無涉違法性程度。即使將信息自決權(quán)限縮至信息專有權(quán)或處分權(quán)會影響刑法對侵犯公民個人信息行為的處罰范圍，但這種犯罪圈的縮小并不是因為收緊保護對象的范圍實現(xiàn)的。

3.規(guī)范目的的限縮路徑

由于個人信息權(quán)是一種獨立的人格權(quán)，因此，個人信息也必須是有關(guān)自然人人格利益的信息。無論是何種識別類型的信息，都必須將刻畫特定自然人的具體人格奉為圭臬。

據(jù)此，我們首先反對可識別性的遞歸。這是因為，用來識別可識別性信息的信息一般不會與特定自然人的人格利益相關(guān)，若非如此，這類信息毫無疑問會被直接歸入結(jié)合識別信息項下。而且，對于此類信息，權(quán)利主體很難實現(xiàn)有效地控制和處分。以上文述及的IP地址為例。IP地址所指向的是正在使用互聯(lián)網(wǎng)的設(shè)備，并不針對具體的個人。而且，《網(wǎng)絡(luò)安全法》第34條和第36條第1款均要求對用戶信息嚴(yán)格保密，故未經(jīng)許可一般人無權(quán)查閱網(wǎng)絡(luò)使用人的具體信息。此外，電子設(shè)備每次被分配的IP地址都是隨機的、浮動的，即IP地址與設(shè)備之間不存在恒定對應(yīng)性，更遑論指向賬戶持有者或設(shè)備使用者了。同時，這種浮動性也決定了用戶不能對其進行支配或處分。所以，IP地址不宜作為個人信息予以保護[34]。此外，在案例一中，僅憑借電話號碼不僅不能識別出特定個人，也無法與自然人的現(xiàn)實人格相關(guān)聯(lián)；而對于本案的“活動情況”信息，也必須具備識別特定自然人的機能。我們既不認(rèn)同司法解釋超越《民法典》《網(wǎng)絡(luò)安全法》對個人信息范圍做擴大解釋，也不贊成對個人信息的保護游離于規(guī)范目的之外。

由于個人信息權(quán)是一種絕對權(quán)，其義務(wù)主體是不特定的任何人，因此，對于識別主體和識別方法，應(yīng)采取第三人標(biāo)準(zhǔn)。詳言之，一般情況下，對認(rèn)識能力的判斷，以普通多數(shù)人能采取的、合法且通常的方法為限。而且通常情況下，需要通過特殊主體或特殊手段才能做出識別的信息與特定個人的關(guān)聯(lián)程度較弱，也難以反映特定自然人的人格特征。在案例二中，根據(jù)工信部的行政規(guī)章規(guī)定，只有電信服務(wù)提供商根據(jù)特定需要才能對服務(wù)使用者的信息進行查閱。正因為如此，一般人無法采用合理手段將手機號與特定自然人相匹配，故本案中的手機號碼不能作為個人信息。需要特別說明的是，對第三人標(biāo)準(zhǔn)的使用也存在例外。對于自然人的指紋、虹膜、DNA序列等生物特征信息，不能因為一般人無法識別就否定其屬于個人信息。此類信息與上述應(yīng)予剔除的信息在本質(zhì)上存在差別。一方面，生物特征信息能直接指向特定自然人，其難以被一般人識別的原因并非與個人的關(guān)聯(lián)度微弱，而是理解這類信息需要較高的專業(yè)知識和認(rèn)知能力；但是，對于學(xué)號和電話號碼，則需要通過其他強關(guān)聯(lián)信息，如姓名、性別和住址等，才能將自然人特定化。另一方面，生物特征信息不僅屬于個人信息的保護客體，也是隱私權(quán)的保護對象；而學(xué)界對于學(xué)號和電話號碼是否能作為個人信息保護尚存爭議?？傊?，在通常情況下，對識別能力的判定采第三人標(biāo)準(zhǔn)說；但對諸如指紋、DNA序列、病例、犯罪記錄等有關(guān)個人隱私的身份信息，也應(yīng)作為個人信息保護。

個人信息關(guān)涉人格利益，因此，侵犯個人信息行為的實質(zhì)是對他人人格利益的損害。對個人信息的認(rèn)定，不僅應(yīng)明確其是否屬于法定的信息類型，而且必須具體考察對這一信息的收集、使用和出售是否會侵犯他人人格利益。在案例三中，將QQ和微信的注冊信息作為個人信息缺乏實質(zhì)合理性。司法解釋中規(guī)定的賬號和密碼以能識別到特定自然人為前提，而并非所有符合賬號和密碼這一外在形式的信息均屬之。在通常情況下，不以身份信息作為賬號的注冊信息很難與特定自然人發(fā)生關(guān)聯(lián)，縱使在注冊時提供相關(guān)信息的情況下，一般人也無法獲取。因此，上述信息無法識別特定自然人，也自始不存在對公民人格利益損害的可能，故不能認(rèn)定為個人信息。據(jù)此，案例五中“即使未綁定(身份信息)，網(wǎng)絡(luò)虛擬賬號密碼被他人非法獲取后可能發(fā)生危及自然人財產(chǎn)、人身安全等情形”的裁判也有失公允。這不僅誤讀了侵犯公民個人信息罪的保護法益，而且不當(dāng)擴張了本罪的處罰范圍。最后，案例四中關(guān)于已公開信息是否屬于個人信息的爭論，同樣是未準(zhǔn)確理解侵犯公民個人信息罪的規(guī)范保護目的；而在獨立人格權(quán)保護的視閾中，上述爭論被完全消弭，因為公開與否并不影響公民關(guān)于自己信息權(quán)的享有。法官以行為的違法性反駁保護客體不適格的論證并不妥當(dāng)。

綜上，將規(guī)范目的作為基調(diào)用以校準(zhǔn)“可識別性”并由此控制個人信息的范圍，是一條可行的進路。個人信息權(quán)是一項獨立人格權(quán)，識別性則意味著虛擬人格與現(xiàn)實人格的對應(yīng)性。據(jù)此，用來識別“可識別性”信息的下位信息一般不會與特定自然人的人格利益相關(guān)，故否認(rèn)可識別的遞歸；個人信息權(quán)是一項對世權(quán)，其義務(wù)主體是不特定的任何人，故對于識別能力的判斷一般采取第三人標(biāo)準(zhǔn)；個人信息關(guān)涉人格利益，故侵犯個人信息行為的實質(zhì)違法性是對他人人格的損害。

四、結(jié) 論

個人信息范圍的不當(dāng)擴張既根源于“可識別性”標(biāo)準(zhǔn)固有的理論缺陷，也歸因于司法實踐中對該標(biāo)準(zhǔn)的誤讀。在信息科技的助推下，這一標(biāo)準(zhǔn)恐更加形骸化，對個人信息的判斷也會愈發(fā)困難。個人信息擴張化的趨勢雖然符合社會治理需求，但法律的過度介入也必然壓縮數(shù)據(jù)科技的發(fā)展空間。為了消弭沖突，使信息安全與信息使用之間保持足夠張力，應(yīng)根據(jù)規(guī)范保護目的對“可識別性”標(biāo)準(zhǔn)進行限縮。也只有通過實質(zhì)解釋的路徑，將“識別性”定義為特定自然人虛擬人格與現(xiàn)實人格的對應(yīng)，才能準(zhǔn)確把握個人信息的基本意涵，保證對侵犯公民個人信息行為的法律規(guī)制具備合理性。