李群濤 高富平

內(nèi)容提要:在欠缺其他合法性基礎(chǔ)情形下，信息主體同意是否適用，關(guān)鍵在于處理的個人信息是否含直接標(biāo)識符。直接標(biāo)識符能單獨表征信息主體身份，從而使信息處理風(fēng)險與信息主體身份精準(zhǔn)連結(jié)。因此，出于尊重陌生人社會信息主體隱匿身份的自由、尊重信息主體對處理風(fēng)險的自主決策，信息主體可以通過同意控制含直接標(biāo)識符的個人信息，即“單獨識別個人信息”。但同意不適用于“結(jié)合識別個人信息”。首先，結(jié)合識別個人信息具有模糊性，個人信息處理者難以就此直接識別信息主體身份進而征求同意。其次，《個人信息保護法》確立了處理結(jié)合識別個人信息不需告知規(guī)則，邏輯上也要求有相應(yīng)的不需同意規(guī)則。最后，結(jié)合識別個人信息不適用同意規(guī)則也是實現(xiàn)“促進個人信息合理利用”這一立法目的的可行路徑。

一、引 言

《民法典》與《個人信息保護法》已經(jīng)相繼出臺，作為個人信息保護制度重要內(nèi)容的同意規(guī)則，其框架已經(jīng)建構(gòu)完成。無論《民法典》第1035條第1款第1項還是《個人信息保護法》第13條第1款第1項，都確認(rèn)“信息主體同意”這一合法性基礎(chǔ)的重要地位。然而在解釋上尚未明確之問題為：當(dāng)不具備《個人信息保護法》第13條第1款第2至7項所列舉的合法性基礎(chǔ)時，(1)關(guān)于《個人信息保護法》第13條所列七項合法性基礎(chǔ)的研究，參見程嘯、王苑：《論個人信息處理中無需取得個人同意的情形》，載《人民司法》2021年第22期。信息主體同意是否適用于對各類個人信息的處理行為。此即本文嘗試回答的信息主體同意之適用邊界問題。

針對信息主體同意之適用邊界問題，學(xué)界已有討論，并形成四種學(xué)說。按照各學(xué)說主張的適用范圍從小到大排列，分別為“無適用空間說”“敏感個人信息說”“全部個人信息說”和“全部個人信息+匿名信息說”。筆者逐一簡要述評。

“無適用空間說”認(rèn)為，同意規(guī)則不能適用于任何個人信息之上，甚至不宜作為個人信息處理的合法性基礎(chǔ)。(2)參見任龍龍：《論同意不是個人信息處理的正當(dāng)性基礎(chǔ)》，載《政治與法律》2016年第1期。然而，《民法典》和《個人信息保護法》仍然堅守同意規(guī)則，故該說不為現(xiàn)行法所接納。

“敏感個人信息說”認(rèn)為，同意規(guī)則僅適用于敏感個人信息。(3)參見湯敏：《論同意在個人信息處理中的作用——基于個人敏感信息和個人一般信息二維視角》，載《天府新論》2018年第2期。然而目前同意規(guī)則位于《個人信息保護法》“個人信息處理規(guī)則”章的“一般規(guī)定”中，該制度的體系位置至少表明一般個人信息并非一概不適用同意規(guī)則。故該說亦不為現(xiàn)行法所接納。

“全部個人信息說”認(rèn)為，同意規(guī)則適用于全部個人信息。(4)參見陸青：《個人信息保護中“同意”規(guī)則的規(guī)范構(gòu)造》，載《武漢大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2019年第5期；徐麗枝：《個人信息處理中同意原則適用的困境與破解思路》，載《圖書情報知識》2017年第1期。當(dāng)然該說亦承認(rèn)應(yīng)當(dāng)針對不同類別個人信息建構(gòu)一套寬嚴(yán)有別的梯度保護體系。(5)參見丁曉強：《個人數(shù)據(jù)保護中同意規(guī)則的“揚”與“抑”——卡-梅框架視域下的規(guī)則配置研究》，載《法學(xué)評論》2020年第4期。該說似符合法條文義，但不利于實現(xiàn)《個人信息保護法》所確立的“促進個人信息合理利用”的立法目的。筆者將于本文第三、四部分詳細論證，此處不贅。

“全部個人信息+匿名信息說”認(rèn)為，同意規(guī)則適用于現(xiàn)行《個人信息保護法》中規(guī)定的個人信息與匿名信息。(6)參見林洹民：《個人信息保護中知情同意原則的困境與出路》，載《北京航空航天大學(xué)學(xué)報(社會科學(xué)版)》2018年第3期。有必要指出，該說否認(rèn)存在匿名信息，因為技術(shù)界人士已經(jīng)明確表示不存在絕對不可復(fù)原的匿名信息。在此基礎(chǔ)上，按照該說，僅當(dāng)法律規(guī)定了不準(zhǔn)復(fù)原義務(wù)時，現(xiàn)行法所述的匿名信息才豁免適用同意規(guī)則。然而無論《網(wǎng)絡(luò)安全法》第42條第1款但書，還是《民法典》第1038條第1款但書，抑或《個人信息保護法》第4條第1款皆明定匿名信息不適用同意規(guī)則。因此，該說亦不為現(xiàn)行法所采。

綜上，關(guān)于信息主體同意的適用邊界問題，上述四說均難謂妥當(dāng)。

個人信息是與個人有關(guān)的各種信息，同意是個人信息處理的合法性基礎(chǔ)，個人信息處理者為取得同意，在收集個人信息之前即需判斷信息主體身份。然而個人信息范圍無邊無界，大量個人信息在信息主體身份判斷方面具有模糊性，這對個人信息處理者于處理前履行“取得同意義務(wù)”造成障礙。

于是，本文提出，按照是否含直接標(biāo)識符的標(biāo)準(zhǔn)將個人信息劃分為“單獨識別個人信息”與“結(jié)合識別個人信息”，同意規(guī)則僅適用于單獨識別個人信息。事實上此種對個人信息的分類方法在學(xué)界的討論中并不少見，(7)參見陶盈：《我國網(wǎng)絡(luò)信息化進程中新型個人信息的合理利用與法律規(guī)制》，載《山東大學(xué)學(xué)報(哲學(xué)社會科學(xué)版)》2016年第2期。甚至已經(jīng)為現(xiàn)行法所接納(《民法典》第1034條第2款)，但是鮮有觀點將此種分類與同意規(guī)則的適用邊界相聯(lián)系并進行證成。(8)有學(xué)者曾提及此方面，但并未展開。參見胡文華、黃道麗、孔華鋒：《個人數(shù)據(jù)保護“同意規(guī)則”的檢視及修正》，載《計算機應(yīng)用與軟件》2018年第9期。本文首先勾勒該邊界的輪廓，進而分別論證同意適用于單獨識別個人信息，而不適用于結(jié)合識別個人信息。

二、信息主體同意規(guī)則適用的判斷標(biāo)準(zhǔn)：含直接標(biāo)識符

信息主體同意是否適用，其判斷標(biāo)準(zhǔn)就在于個人信息是否含有直接標(biāo)識符。在重視和重新界定直接標(biāo)識符概念的基礎(chǔ)上，個人信息分為單獨識別個人信息與結(jié)合識別個人信息。

(一)直接標(biāo)識符概念的重視與重新界定

直接標(biāo)識符是指能夠單獨識別特定自然人身份的信息。(9)參見《中國互聯(lián)網(wǎng)定向廣告用戶信息保護行業(yè)框架標(biāo)準(zhǔn)》。直接標(biāo)識符的典型特征在于具有唯一性(10)參見范姜真媺：《大數(shù)據(jù)時代下個人資料范圍之再檢討——以日本為借鏡》，載《東吳法律學(xué)報》2017年第2期。和身份指向性，例如身份證號、社會保險號碼、人臉信息等。需要注意的是，直接標(biāo)識符與特定自然人是單向唯一對應(yīng)關(guān)系。具言之，一直接標(biāo)識符只對應(yīng)唯一特定自然人，但一特定自然人將有許多直接標(biāo)識符。所謂身份指向性意味著存在直接標(biāo)識符即足以識別信息主體真實身份。正如學(xué)者所言，信息的人格屬性集中體現(xiàn)在其可識別特定自然人身份的性質(zhì)。(11)參見劉士國：《信息控制權(quán)法理與我國個人信息保護立法》，載《政法論壇》2021年第6期。

我國立法已經(jīng)接納了直接標(biāo)識符概念。我國個人信息概念借鑒歐美，而這一來源于歐美的概念恰恰無法脫離直接標(biāo)識符。例如，歐盟《一般數(shù)據(jù)保護條例》(GDPR)第4條a項后半句中的身份證號等系本文所述直接標(biāo)識符。同樣地，美國立法一直強調(diào)直接識別符(direct-identifier)概念作為個人可識別信息(PII)的重要判斷標(biāo)準(zhǔn)。與這一國際趨勢相一致，我國實質(zhì)上已經(jīng)接受直接標(biāo)識符概念，《網(wǎng)絡(luò)安全法》第76條第5項以及《民法典》第1034條第2款，都具體列舉了不少直接標(biāo)識符，如身份證號碼、生物識別信息等。

直接標(biāo)識符可謂信息主體風(fēng)險的重要來源?，F(xiàn)代社會是風(fēng)險社會，技術(shù)應(yīng)用確實會給人類帶來一定風(fēng)險。同樣地，在個人信息領(lǐng)域，大數(shù)據(jù)技術(shù)應(yīng)用可能導(dǎo)致風(fēng)險產(chǎn)生。然而，如果風(fēng)險產(chǎn)生無法對應(yīng)特定身份、不會影響到特定自然人，那么對于該自然人而言這或許并非風(fēng)險，即使是也不必過于關(guān)注和擔(dān)憂。但如前所述，直接標(biāo)識符的本質(zhì)特征在于其唯一性和身份指向性，直接標(biāo)識符恰恰使個人信息處理者可知曉特定自然人身份。直接標(biāo)識符在個人信息中具有重要地位，個人信息與個人身份的勾連往往依賴直接標(biāo)識符。個人信息處理風(fēng)險主要在于風(fēng)險能通過個人信息直接傳導(dǎo)至具有特定身份的自然人，此中起橋梁作用者正是直接標(biāo)識符。

隨著時代發(fā)展，直接標(biāo)識符的范圍已日漸擴張。目前，直接標(biāo)識符包括社會身份標(biāo)識符和生物身份標(biāo)識符，后者是對傳統(tǒng)直接標(biāo)識符概念的擴張。(12)參見《信息安全技術(shù)個人信息安全規(guī)范》(GB/T 35273—2020)，附錄A，第23頁；上海市地方標(biāo)準(zhǔn)《數(shù)據(jù)去標(biāo)識化共享指南》(DB31/T 1311—2021)。以前，直接標(biāo)識符主要指身份證號、駕照號碼、護照號碼、社會保險號碼、軍官證號、工作證號、出入證號、社?？ㄌ?、居住證號碼等社會身份標(biāo)識符。(13)參見《信息安全技術(shù)個人信息安全規(guī)范》(GB/T 35273—2020)之附錄。生物身份標(biāo)識符后來也成為直接標(biāo)識符的重要來源。例如，隨著人臉識別技術(shù)發(fā)展，人臉信息等與特定信息主體之間也形成了唯一對應(yīng)和身份指向關(guān)系?？傊?，某符號具有唯一性和身份指向性，即可被認(rèn)定為直接標(biāo)識符。

直接標(biāo)識符與間接標(biāo)識符、準(zhǔn)標(biāo)識符均非同一概念。一方面，直接標(biāo)識符與間接標(biāo)識符并非同一概念。如果僅就“唯一性”而言，手機等智能設(shè)備序列號(又稱“國際移動設(shè)備識別碼”，簡稱IMEI)也具有唯一性。僅依此雖能觸及個人但不能識別個人身份，因此不具有前述直接標(biāo)識符的“身份指向性”特征。于是，本文稱之為“間接標(biāo)識符”。另一方面，直接標(biāo)識符與準(zhǔn)標(biāo)識符亦非同一概念，兩者差異為是否具有唯一性。美歐都有實質(zhì)意義上的準(zhǔn)標(biāo)識符概念。美國的準(zhǔn)標(biāo)識符(quasi-identifier)(14)也有譯為“間接標(biāo)識符”，但須指出，此間接標(biāo)識符與本文所謂間接標(biāo)識符并非同一含義。參見劉穎、谷佳琪：《個人信息去身份化及其制度構(gòu)建》，載《學(xué)術(shù)研究》2020年第12期；程海玲：《個人信息匿名化處理法律標(biāo)準(zhǔn)探究》，載《科技與法律》2021年第3期。對應(yīng)歐盟GDPR第4條a項中的“個人屬性”(factors)，包括民族、種族、婚姻狀況、身體、心理、基因、精神狀態(tài)、經(jīng)濟、文化、社會因素等。準(zhǔn)標(biāo)識符中的“準(zhǔn)”(quasi)字表明其本質(zhì)上并非標(biāo)識符。一個準(zhǔn)標(biāo)識符可能會對應(yīng)多位自然人，不具有唯一性。例如，“研究生”是準(zhǔn)標(biāo)識符，能夠?qū)?yīng)千千萬萬研究生，無法指向特定自然人身份。

(二)基于直接標(biāo)識符對個人信息的區(qū)分

以是否含有直接標(biāo)識符為標(biāo)準(zhǔn)可將個人信息周延地分為單獨識別個人信息和結(jié)合識別個人信息。

1.單獨識別個人信息

以前對個人信息相當(dāng)部分的討論恰以單獨識別個人信息為基本思考模型。事實上20世紀(jì)即已經(jīng)產(chǎn)生個人信息保護問題，當(dāng)時個人信息即以單獨識別個人信息為主。例如：“姓名張三，性別男，年齡65歲，身份證號123456789012345678，電話號碼12345678901，家庭住址青海省西寧市湟源縣勝利鎮(zhèn)未來街道幸福小區(qū)1棟1單元1025號，銀行卡號……”此為含有直接標(biāo)識符個人信息(即單獨識別個人信息)的典型樣態(tài)。個人信息處理者據(jù)此能直接了解此個人信息對應(yīng)的信息主體身份。單獨識別個人信息的典型特征即在于含直接標(biāo)識符。就此而言，《民法典》第1034條第2款中的“能夠單獨識別特定自然人的信息”與《個人信息保護法》第4條第1款中的“與已識別的自然人有關(guān)的各種信息”可表達同一含義。正因如此，本文一律用“單獨識別個人信息”指代含直接標(biāo)識符的個人信息。

單獨識別個人信息，強調(diào)信息“含”直接標(biāo)識符，而非除直接標(biāo)識符之外沒有其他信息。換言之，一旦數(shù)據(jù)集中含有直接標(biāo)識符，直接標(biāo)識符與其后跟隨的購物記錄、行蹤軌跡等結(jié)合組成單獨識別個人信息。如上所述，隨著時代發(fā)展，直接標(biāo)識符的概念有所擴張，生物身份標(biāo)識符即為直接標(biāo)識符的最新內(nèi)容。因此，單獨識別個人信息之范圍亦相應(yīng)擴張，茲不贅述。另外，是否“含”直接標(biāo)識符，應(yīng)當(dāng)以數(shù)據(jù)集為單位全面審視，而非割裂個別數(shù)據(jù)項而單獨看待。就此而言，直接標(biāo)識符有可能是由一個數(shù)據(jù)集中多個數(shù)據(jù)項共同組成的，例如，在一個含有姓名、性別、學(xué)校、班級、行蹤軌跡等數(shù)據(jù)項的數(shù)據(jù)集中，姓名、性別、學(xué)校、班級將共同構(gòu)成直接標(biāo)識符。

2.結(jié)合識別個人信息

與單獨識別個人信息相對的是結(jié)合識別個人信息，即不含直接標(biāo)識符的個人信息。《民法典》第1034條第2款中“能夠與其他信息結(jié)合識別特定自然人的各種信息”以及《個人信息保護法》第4條第1款中“與可識別的自然人有關(guān)的各種信息”，描述的均為不含直接標(biāo)識符的個人信息。為表統(tǒng)一，本文一律用“結(jié)合識別個人信息”的概念。

結(jié)合識別個人信息也屬于個人信息的范疇，但在未與直接標(biāo)識符相結(jié)合的情況下，僅憑結(jié)合識別個人信息難以識別身份。換言之，信息主體以外的人僅通過結(jié)合識別個人信息來識別個人身份是需要成本的。目前個人信息定義無限擴張，這幾乎成為國際社會的共識。歐盟第29條工作組出臺的關(guān)于個人信息概念的意見對個人信息概念明顯采廣義理解，強調(diào)與其他信息結(jié)合能識別自然人身份或者特征，以及綜合考慮內(nèi)容、目的和影響三因素的情況下與個人有關(guān)系。(15)See Article 29 Data Protection Working Party，Opinion 4/2007 on the Concept of Personal Data，01248/07/EN WP 136．甚至按照歐洲學(xué)者分析，天氣信息有時也能成為個人信息。(16)See Nadezhda Purtova,The Law of Everything.Broad Concept of Personal Data and Future of EU Data Protection Law,10 Law,Innovation and Technology,40(2018).經(jīng)擴張后的個人信息概念，其判斷標(biāo)準(zhǔn)已經(jīng)從能識別身份變?yōu)橄嚓P(guān)處理行為對人(不一定為特定自然人)有風(fēng)險的信息。(17)參見范為：《大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)》，載《環(huán)球法律評論》2016年第5期。按照《個人信息保護法》第4條第1款對個人信息的定義，我國接受了此種擴張標(biāo)準(zhǔn)。此標(biāo)準(zhǔn)非以信息當(dāng)下狀態(tài)為觀察視角，而是要求立足當(dāng)下預(yù)測充滿無限可能之未來，即以未來看現(xiàn)在，這使得個人信息邊界顯著擴張且趨于模糊。從此角度而言，信息即使不含直接標(biāo)識符，亦不妨礙被認(rèn)定為個人信息從而適用個人信息保護相關(guān)規(guī)則。

結(jié)合識別個人信息大致有兩類來源：一是各類傳感器設(shè)備所收集的個人信息；二是從原始處理者或其他處理者處間接獲取的經(jīng)去標(biāo)識化處理的信息。一方面，隨著傳感器的廣泛布設(shè)，智能穿戴設(shè)備、網(wǎng)絡(luò)設(shè)備的普及以及物聯(lián)網(wǎng)技術(shù)的飛速發(fā)展與充分應(yīng)用，海量的個人相關(guān)信息被快速采集供給、實時加工分析。但是相應(yīng)地，部分傳感器等設(shè)備能做到的只是實時記錄個人有關(guān)情況而無法提供個人直接標(biāo)識符等信息(信息主體主動提供的除外)。另一方面，隨著信息實踐不斷開展，部分主體所控制的信息已經(jīng)是經(jīng)去標(biāo)識化處理的信息。

需要注意結(jié)合識別個人信息與匿名信息的關(guān)系。所謂匿名信息是指經(jīng)處理無法識別個人且不能復(fù)原的信息(《個人信息保護法》第73條第4項)。匿名信息制度通行于歐美而非我國獨創(chuàng)。歐盟GDPR“鑒于條款”(recital)第26段明確指出，匿名信息(anonymous information)不適用于該法。該段同時指出，為了確定自然人是否可識別，應(yīng)當(dāng)考慮個人信息處理者或其他人(by another person)的識別能力，因此，匿名信息意味著任何人都無法通過匿名信息識別自然人身份。簡言之，歐盟規(guī)定的匿名信息客觀上不具有識別可能性。不過有專家已經(jīng)聲明，技術(shù)方面“匿名化是一種幻想”，只能達到識別可能性比較低的水平。(18)See Ohm,Paul,Broken Promises of Privacy: Responding to the Surprising Failure of Anonymization,57 UCLA Law Review,1701(2010).當(dāng)然，由此觀之歐盟規(guī)定的匿名信息認(rèn)定標(biāo)準(zhǔn)并不合理，對此本文不再詳述。美國法學(xué)會2020年公布《數(shù)據(jù)隱私法律原則重述》，并在第2條中指出，無法識別個人的(non-identifiable)信息不適用數(shù)據(jù)隱私保護原則。(19)See The American Law Institute,Principles of the law-Data Privacy(2020),available at https://1.next.westlaw.com/Document/I0f02ee65145811eb8a02f30620293de0/View/FullText.html?ppcid=1c4fd268d6b54fc98b7f1ebff22c23f3&originationContext=documenttoc&transitionType=CategoryPageItem&contextData=%28sc.Search%29,last visited on Dec.3.2021.不同的是，歐盟匿名信息指客觀上無識別可能性，而美國“無法識別的個人信息”是指識別可能性極低。然而此種無法識別的個人信息仍具有一定的識別可能性，如果不使其受制于個人信息保護規(guī)范，那么將使該部分信息暴露于風(fēng)險之中。為了彌補這一點，美國的匿名信息制度有其預(yù)設(shè)前提，即禁止再識別。(20)按照美國《數(shù)據(jù)隱私法律原則重述》(2020)的總結(jié)，其所謂不適用數(shù)據(jù)隱私法律原則的匿名信息條件有三：第一，采用合理方法去掉個人信息上的標(biāo)識符；第二，使去標(biāo)識符后的個人數(shù)據(jù)處于較低風(fēng)險水平；第三，個人信息處理者不再重新識別個人?；蛟S是受歐美影響，我國《個人信息保護法》第4條第1款規(guī)定匿名信息不屬于個人信息。然而借鑒比較法的重要前提是我國與借鑒對象有相同的制度環(huán)境。(21)參見〔德〕茨威格特、克茨：《比較法總論》(上)，潘漢典等譯，中國法制出版社2014年版，第30頁。我國《個人信息保護法》第73條第4項沒有明確規(guī)定禁止再識別要求，且在難存此解釋空間的情況下，一旦將我國匿名信息等同于美國無法識別的個人信息，將導(dǎo)致對匿名信息的處理失去控制。而且從筆者梳理的50多個法域的法律文本來看，極少有對個人信息定義作如此限制的先例。但《個人信息保護法》既已作如此規(guī)定，只能認(rèn)為應(yīng)對匿名信息進行嚴(yán)格把握，當(dāng)無法確定是否滿足客觀“不能復(fù)原”要件時，應(yīng)當(dāng)認(rèn)定該信息為結(jié)合識別個人信息而非匿名信息。

三、同意規(guī)則適用于單獨識別個人信息

信息主體能夠以同意來控制個人信息的處理行為，其正當(dāng)性基礎(chǔ)在于由憲法上的個人尊嚴(yán)、自由以及主體地位推演而得的個人事務(wù)自決。(22)參見田野：《大數(shù)據(jù)時代知情同意原則的困境與出路——以生物資料庫的個人信息保護為例》，載《法制與社會發(fā)展》2018年第6期；王雪喬：《論歐盟GDPR中個人數(shù)據(jù)保護與“同意”細分》，載《政法論叢》2019年第4期；高富平：《同意≠授權(quán)——個人信息處理的核心問題辨析》，載《探索與爭鳴》2021年第4期。筆者以下欲指出，在個人信息領(lǐng)域，個人事務(wù)自決主要體現(xiàn)為尊重陌生人社會個人隱匿身份的選擇和自由，以及尊重信息主體對處理風(fēng)險的決策。此二理由均僅指向單獨識別個人信息。

(一)尊重陌生人社會個人隱匿身份的自由

現(xiàn)代社會是陌生人社會，(23)近年來已經(jīng)有相關(guān)文件關(guān)注到陌生人社會這一社會轉(zhuǎn)型現(xiàn)象。參見《東莞市人民政府辦公室關(guān)于印發(fā)〈東莞市深化“二標(biāo)四實”工作總體方案〉的通知》(東府辦〔2018〕44號)；《江蘇省民政廳對省十三屆人大一次會議第5015號建議的答復(fù)》。學(xué)理上的討論，參見張清、王露：《陌生人社會與法治構(gòu)建論略》，載《法商研究》2008年第5期；龔長宇、鄭杭生：《陌生人社會秩序的價值基礎(chǔ)》，載《科學(xué)社會主義》2011年第1期；何紹輝：《論陌生人社會的治理：中國經(jīng)驗的表達》，載《求索》2012年第12期。隱匿身份是陌生人社會中的個人選擇和自由。(24)參見龔長宇：《陌生人社會：價值基礎(chǔ)與社會治理》，中國人民大學(xué)出版社2021年版，第105頁。人口增加、人口流動性增大和社會不安全因素混雜，導(dǎo)致公眾輕易不愿意暴露身份。雖然社會交往要求社會中每個人必須允許其他人了解自己，但是此種要求也應(yīng)僅限于與個人有交往關(guān)系之人。例如，一個人的親朋好友、同事、老師、同學(xué)、交易對手，甚至欲與其締結(jié)合同者。但不應(yīng)無限擴展到千里之外與個人毫無瓜葛的陌生人。逐漸地，是否隱匿身份成為個人自主決定的事項，受到社會認(rèn)可和法律保護。

然而，處理單獨識別個人信息，將侵犯個人自主決定是否隱匿身份的自由。單獨識別個人信息處理強調(diào)獲得個人同意，其背后價值觀與陌生人社會倫理基礎(chǔ)不可分割。有學(xué)者稱，“個體對于個人隱私和個人信息的身份識別的保護就是基于傳統(tǒng)熟人環(huán)境社會下的潛在人格尊嚴(yán)和人格自由意識，而人們對于識別性的風(fēng)險和恐懼多來自于傳統(tǒng)觀念下的身份泄露”(25)蘇今：《〈民法總則〉中個人信息的“可識別性”特征及其規(guī)范路徑》，載《大連理工大學(xué)學(xué)報(社會科學(xué)版)》2020年第1期，第86頁。。顯然，這種保護身份意識蔓延到了陌生人社會，成為個人典型的自由。如果毫不相干的主體欲全面了解一陌生人的單獨識別個人信息(事實上就是了解身份)，那么實在無任何正當(dāng)性可言。雖然許多學(xué)者提及將分散的個人信息匯聚成大數(shù)據(jù)對于發(fā)揮數(shù)據(jù)經(jīng)濟價值、促進公共福利具有重大意義，但是直接標(biāo)識符并非達致該目標(biāo)所利用的大數(shù)據(jù)之必需。難以想象無任何交往關(guān)系的陌生私主體為了促進公共利益，需要利用他人之個人信息而且非含直接標(biāo)識符不可。筆者強調(diào)，本文討論的前提是不存在《個人信息保護法》第13條第1款第2—7項合法性基礎(chǔ)，故為緊急救助而處理個人信息的情形不在本文討論范圍。正因如此，有學(xué)者指出，二次利用個人信息的首要條件是脫敏，即除去直接標(biāo)識符。(26)參見姬蕾蕾：《論個人信息利用中同意要件的規(guī)范重塑》，載《圖書館》2018年第12期。簡言之，陌生人可以收集他人的個人信息甚至進行個性特征分析，但是不允許其擅自知曉該“他人”的真實身份。社會學(xué)學(xué)者將這種秩序稱為對陌生人“冷漠的尊重”。(27)參見前引〔24〕，龔長宇書，第19頁。

只有獲得特定信息主體同意，才能使個人信息處理者與特定信息主體之間的顯名交往正當(dāng)化。在陌生人社會中，應(yīng)然社會秩序是尊重他人的不同觀念和不同選擇。每個人相對于他人皆為“道德異鄉(xiāng)人”，抱有不同信念、恪守不同行為規(guī)范；僅當(dāng)取得他人“允許”“同意”“包容”時才能達成雙方間新的共同行為規(guī)范。(28)參見前引〔24〕，龔長宇書，第115-116頁。陌生人社會的價值觀在于每個人僅允許與其有關(guān)系的人了解其個人身份(當(dāng)然隨著關(guān)系遠近了解程度會有不同)，沒有社會關(guān)系的陌生人不能了解其個人身份。與此相對應(yīng)，允許與特定個人沒有社會關(guān)系的人收集、使用該特定個人的個人信息，但僅限于收集、使用結(jié)合識別個人信息且不得在分析特征的過程中分析出真實身份。這便是個人信息領(lǐng)域陌生人的行為規(guī)范。如果處理單獨識別個人信息，則等同于突破陌生人之間行為規(guī)范，因此，只有獲得信息主體的同意以形成雙方間新共同行為規(guī)范時，處理單獨識別個人信息才被允許。或許出于類似考慮，有學(xué)者也指出信息主體能夠支配自己的姓名、身份證號碼、相貌特征等等。(29)參見郭明龍：《論個人信息之商品化》，載《法學(xué)論壇》2012年第6期；韓強：《人格權(quán)確認(rèn)與構(gòu)造的法律依據(jù)》，載《中國法學(xué)》2015年第3期。此觀點值得贊同。

綜上所述，高校的人才培養(yǎng)要站在社會主義改革的浪潮上，要牢記我國的教育方針和指導(dǎo)思想，要牢記中華民族偉大復(fù)興的光榮使命，要思考國家需要什么樣的人，社會需要什么樣的人。這樣，應(yīng)用型的本科院校才能找準(zhǔn)人才培養(yǎng)的方向，才能樹立明確的人才培養(yǎng)的目標(biāo)，為中國夢貢獻一份高校的強有力的力量！

(二)尊重信息主體對處理風(fēng)險的決策

直接標(biāo)識符的存在使得信息處理風(fēng)險得以精準(zhǔn)傳導(dǎo)至具有特定身份的自然人?！帮L(fēng)險可以被界定為系統(tǒng)地處理現(xiàn)代化自身引致的危險和不安全感的方式。”(30)〔德〕烏爾里?！へ惪耍骸讹L(fēng)險社會》，何博聞譯，譯林出版社2004年版，第19頁。如直接標(biāo)識符定義所闡釋，其最大特征為與特定自然人身份具有唯一對應(yīng)性。個人信息處理者通過其所控制的單獨識別個人信息便能直接識別信息主體而不需要進行任何處理行為(識別行為)。對此類單獨識別個人信息進行分析，其決策結(jié)果可以通過直接標(biāo)識符的橋梁作用精準(zhǔn)配置于特定自然人。此種結(jié)果對于特定自然人而言可能有好有壞。例如，銀行處理特定自然人單獨識別個人信息用以評估該特定自然人信用情況，當(dāng)處理結(jié)果符合信用要求時對該自然人而言有正向反饋，但當(dāng)處理結(jié)果不符合信貸政策所要求的信用等級時，對于該自然人而言具有不利影響，因為這將關(guān)系到信息主體是否能順利申請貸款。但算法不同以及其他因素，導(dǎo)致處理分析行為結(jié)果是好是壞無確定性甚至不可預(yù)期，這本身對于信息主體而言即為一種風(fēng)險。除此之外，此類個人信息的濫用以及被篡改、毀損、丟失等都是對信息主體的風(fēng)險。從《居民身份證法》《統(tǒng)計法》《刑法》等條文來看，我國個人信息立法的重要目的恰是為維護自然人人身、財產(chǎn)安全免受威脅。(31)參見高富平：《個人信息保護立法研究》，光明日報出版社2021年版，第195頁。

既然直接標(biāo)識符的存在客觀上產(chǎn)生了個人信息處理的風(fēng)險與信息主體身份連結(jié)的效果，那么出于個人事務(wù)自決，應(yīng)當(dāng)允許個人對其未來風(fēng)險進行自主判斷和決定。尤其是當(dāng)個人信息處理者從信息主體處直接收集個人信息時，雙方處于直接交互狀態(tài)，同意機制落實也較為簡單。(32)參見前引〔8〕，胡文華等文。如果立法者傾向于剝奪個人判斷決策資格而一律允許個人信息處理者處理此類個人信息，那么即剝奪了個人自主決定、自主判斷空間，此為典型的法律父愛主義，(33)參見孫笑俠、郭春鎮(zhèn)：《法律父愛主義在中國的適用》，載《中國社會科學(xué)》2006年第1期。將使信息主體暴露于個人信息處理的風(fēng)險之中。即使法律對個人信息處理者行為進行規(guī)范和要求，也不能保證個人信息處理者必然嚴(yán)格遵守規(guī)則，此即禁止性規(guī)定會配套法律責(zé)任條款的重要原因。不僅如此，即便個人信息處理者遵守各類規(guī)定，也不見得處理行為不產(chǎn)生任何風(fēng)險。當(dāng)然，允許信息主體自行決策，原理在于允許個人對于精準(zhǔn)連結(jié)身份的未來風(fēng)險進行判斷和決策，而非出于個人對其個人信息的完全控制。(34)關(guān)于該問題的討論,參見前引〔22〕，王雪喬文；張勇：《APP個人信息的刑法保護：以知情同意為視角》，載《法學(xué)》2020年第8期；前引〔11〕，劉士國文。關(guān)于該點，有學(xué)者通過細致考究已經(jīng)指出，目前廣為流傳的個人信息自決權(quán)是對德國人口普查案的以訛傳訛，(35)參見楊芳：《個人信息自決權(quán)理論及其檢討——兼論個人信息保護法之保護客體》，載《比較法研究》2015年第6期。所以此處信息主體同意是個人自治的具體體現(xiàn)，是個人事務(wù)自決的應(yīng)有之義。

事實上，避免存在直接標(biāo)識符而導(dǎo)致信息處理風(fēng)險精準(zhǔn)傳導(dǎo)至個人，亦符合國際個人信息保護制度的基本邏輯。以下以具有代表性的美國和歐盟的制度分別說明。

美國的信息主體同意規(guī)則重點關(guān)注可識別個人信息(personally identifiable information，簡稱PII)，即本文所述單獨識別個人信息。起初按照美國的隱私控制理論，信息主體有資格決定個人信息在何時、以何種程度和方式進行流動。(36)See Alan F.Westin,Privacy and Freedom,25 Washington and Lee Law Review,166 (1968).但是隱私控制理論與美國人的信息自由信仰背道而馳。此種情況下，為了緩和信息控制和流動之間的張力，美國通過《兒童網(wǎng)絡(luò)隱私法》等一系列法案將信息主體對個人信息的控制限制在PII范圍內(nèi)，即處理PII要經(jīng)過信息主體同意，而PII恰恰相當(dāng)于本文的單獨識別個人信息。雖然美國分散式個人信息保護立法使PII的邊界動態(tài)變化，但美國人的信息主體僅控制PII的立場卻始終堅定。甚至根據(jù)美國最新出臺的《統(tǒng)一個人數(shù)據(jù)保護法》(The Uniform Personal Data Protection Act，簡稱UPDPA)(37)《統(tǒng)一個人數(shù)據(jù)保護法》系由美國統(tǒng)一法律委員會制定，于2021年7月通過的示范法案，擬于2022年1月前后實施，該法案載于https://uniformlaws.org/committees/community-home/librarydocuments/viewdocument?DocumentKey=afdb7812-a7c6-4468-92f6-fac09416c0ac。第7條第b款第5項結(jié)合同條第a款第1句，可以得出結(jié)論：針對去直接標(biāo)識符的個人信息進行處理不需要獲得信息主體的同意。(38)根據(jù)UPDPA第7條第b款第5項，對于創(chuàng)建假名或匿名化數(shù)據(jù)具有合理必要性的處理行為，是兼容的數(shù)據(jù)處理行為。根據(jù)UPDPA第7條第a款第1句，控制者或處理者可以在未經(jīng)數(shù)據(jù)主體同意的情況下從事兼容的數(shù)據(jù)處理行為。因此，根據(jù)UPDPA第7條第b款第5項結(jié)合同條第a款第1句，對于創(chuàng)建假名或匿名化數(shù)據(jù)具有合理必要性的處理行為，不需要取得數(shù)據(jù)主體的同意。以舉重以明輕的法學(xué)原理對該項規(guī)定深入研究可得出以下結(jié)論：創(chuàng)建假名化數(shù)據(jù)的行為針對的是能單獨、直接識別數(shù)據(jù)主體的個人數(shù)據(jù)，該行為尚且不需要取得數(shù)據(jù)主體的同意，則假名化完成后的數(shù)據(jù)不能單獨、直接識別數(shù)據(jù)主體，對該類數(shù)據(jù)的處理行為更不需要獲得數(shù)據(jù)主體的同意。UPDPA中的假名化數(shù)據(jù)為去除直接標(biāo)識符的個人數(shù)據(jù)，大致相當(dāng)于本文所指“結(jié)合識別個人信息”。例如，在針對群體的醫(yī)學(xué)研究中，為了研究某種疾病的地域分布關(guān)系，在收集各地患者數(shù)據(jù)時，至多同時收集患者所在省、市、縣即可，沒有必要得知患者姓名、身份證號等數(shù)據(jù)項，甚至患者的精確地址亦不具有必要性。此時個人信息處理者便不需要取得信息主體的同意。由是觀之，美國人基本認(rèn)為若無PII則不存在權(quán)益威脅。

歐盟的制度也體現(xiàn)了類似的思路。歐盟2016年制定了GDPR，2018年正式生效執(zhí)行。部分關(guān)于GDPR的研究表明同意規(guī)則將賦予信息主體對其個人信息的超強控制力。(39)參見王成：《個人信息民法保護的模式選擇》，載《中國社會科學(xué)》2019年第6期。但在GDPR尚未生效執(zhí)行的2017年，歐盟第108號公約協(xié)商委員會就出臺了《大數(shù)據(jù)社會個人數(shù)據(jù)處理中的個人保護指南》。(40)Guidelines on the Protection of Individuals With Regard to the Processing of Personal Data in a World of Big Data,available at https://ccdcoe.org/uploads/2019/09/CoE-170123_Guidelines-on-protection-of-individuals-with-regard-to-processing-of-personal-data-in-a-world-f-big-data.pd，last visited on Dec.3,2021.其中指出，“大數(shù)據(jù)應(yīng)用的復(fù)雜性和模糊性應(yīng)該促使規(guī)則制定者不再將控制概念局限于個人控制(個人信息)。他們應(yīng)該(將控制個人信息概念)理解為更廣義的控制個人信息使用”(41)《大數(shù)據(jù)社會個人數(shù)據(jù)處理中的個人保護指南》，李群濤譯，高富平校，載http://www.dataprotection.cn/news/126.html，最后訪問時間：2021年8月30日。。顯然歐盟欲澄清，信息主體同意對其個人信息的控制范圍遠不及研究者所言之廣泛。

因此，為尊重陌生人社會個人隱匿身份的自由，尊重信息主體對處理風(fēng)險的決策，信息主體同意適用于單獨識別個人信息。

四、同意規(guī)則不適用于結(jié)合識別個人信息

基于尊重信息主體對處理風(fēng)險的決策，以及尊重陌生人社會個人隱匿身份的自由，可以得出同意適用于單獨識別個人信息的結(jié)論?；诖硕撸瑯幽軌驈姆疵孀糇C同意不適用于結(jié)合識別個人信息。不僅如此，本部分另從避免《個人信息保護法》兩套識別標(biāo)準(zhǔn)的“基因缺陷”、避免同意規(guī)則與不需告知規(guī)則銜接不暢，以及避免“促進個人信息合理利用”的立法目的不達三個角度證明，同意規(guī)則不適用于結(jié)合識別個人信息。

(一)避免個保法兩套識別標(biāo)準(zhǔn)的“基因缺陷”

認(rèn)定個人信息時，采較為寬松的識別可能性標(biāo)準(zhǔn)，個人信息處理者本身是否具有直接識別能力，在所不問；然而取得同意卻恰以個人信息處理者本身具有直接識別能力為前提。兩者所持標(biāo)準(zhǔn)差異導(dǎo)致同意規(guī)則不能及于全部個人信息，特別是不適用于結(jié)合識別個人信息。(42)See Christopher Kuner,Lee A.Bygrave,Christopher Docksey,The EU General Data Protection Regulation (GDPR)A Commentary,Oxford University Press,2020,p.395.

個人信息認(rèn)定環(huán)節(jié)的判斷標(biāo)準(zhǔn)是客觀識別標(biāo)準(zhǔn)，其要求“個人信息處理者或者其他任何人”有能力根據(jù)信息識別信息主體身份，不僅限于個人信息處理者自身有此識別能力。單獨識別個人信息是個人信息中最為典型的一類。然而，隨著世界各國認(rèn)識到個人信息處理活動涉及信息主體利益甚巨，出于加強信息主體權(quán)益保護目的，個人信息保護法適用范圍相應(yīng)擴張。(43)兩份個人信息保護領(lǐng)域的重要文件引領(lǐng)了對信息主體的強保護，分別是世界經(jīng)濟合作與發(fā)展組織發(fā)布的《隱私保護與個人數(shù)據(jù)跨境流通指南》和歐洲理事會發(fā)布的《個人數(shù)據(jù)自動化處理中的個人保護公約》。此二文件成為之后各國立法的重要參照文件。作為個人信息保護法適用門檻，個人信息范圍也需隨之?dāng)U張。于是國際上普遍認(rèn)可，若個人信息處理者不能通過信息單獨識別信息主體，而是結(jié)合其他信息可以間接識別，那么該信息(結(jié)合識別個人信息)亦屬于個人信息。不僅如此，在歐盟GDPR影響下，國際社會進一步認(rèn)同：即使個人信息處理者不能通過信息識別個人，而其他任何人(by another person)具有此種識別能力，那么該信息也屬于個人信息。至此，作為個人信息判斷重要標(biāo)準(zhǔn)的識別，已經(jīng)從特定個人信息處理者能夠識別，擴張到世界上(至少是個人信息處理者活動范圍內(nèi))任何其他人能夠識別。此觀點被歐盟第29條工作組嚴(yán)格貫徹，(44)參見前引〔15〕，Article 29 Data Protection Working Party文。歐洲法院也在相應(yīng)判決中落實這一標(biāo)準(zhǔn)。(45)See Case T-670/16,Digital Rights Ireland v.European Commission,GC,order of 22 November 2017(ECLI:EU:T:2017:838);Case C-434/16,Peter Nowak v.Data Protection Commissioner,judgment of 20 December 2017(ECLI:EU:C:2017:994);Case C-345/17,Proceedings brought by Sergejs Buivids,judgment of 14 February 2019(ECLI:EU:C:2019:122);Case C-40/17,Fashion ID GmbH & Co.KG v.Verbraucherzentrale NRW eV.,judgment of 29 July 2019(ECLI:EU:C:2019:629).以至于歐洲學(xué)者嗟嘆，個人信息保護法某種程度上已成為“萬物之法”。(46)參見前引〔16〕,Nadezhda Purtova文，第78頁。簡言之，為了保護個人權(quán)益，已經(jīng)以當(dāng)前世界上先進識別技術(shù)和豐富信息量為標(biāo)準(zhǔn)(客觀識別標(biāo)準(zhǔn))判斷特定信息是否為個人信息。

然而就同意規(guī)則而言，履行“取得同意”義務(wù)必然以主觀識別標(biāo)準(zhǔn)——特定個人信息處理者的實際識別能力(甚至是直接識別能力)——為限。取得同意義務(wù)是個人信息處理者自身需要履行的義務(wù)，依照“法律不強人所難”的基本法理，個人信息處理者履行某義務(wù)必然要以有履行此義務(wù)的能力為限。個人信息處理者履行取得同意義務(wù)要以信息中含有直接標(biāo)識符為限，此系同意的時間要求所致。按照《個人信息保護法》第13條第1款第1項規(guī)定，取得信息主體同意的，個人信息處理者方可處理個人信息。易言之，原則上取得同意應(yīng)當(dāng)先于處理行為進行方為合法。而結(jié)合其他信息進行間接身份識別也是處理行為，因此，同意也應(yīng)當(dāng)先于間接識別行為而進行，否則違法。同意這一時間要求，迫使個人信息處理者在取得同意之前不得以處理的方式進行識別。因此，同意方面的合規(guī)，要求個人信息處理者必須在取得同意之前能單獨、直接識別信息主體的身份。個人信息認(rèn)定環(huán)節(jié)的客觀識別標(biāo)準(zhǔn)與同意規(guī)則中的主觀識別標(biāo)準(zhǔn)間的差距，使得同意控制范圍注定無法及于各類個人信息上的處理行為。有學(xué)者將客觀標(biāo)準(zhǔn)概括為“識別可能性”(identifiability)，而將主觀識別標(biāo)準(zhǔn)概括為“識別本身”(identification)，并指出同意規(guī)則僅關(guān)注后者，即識別本身。(47)參見前引〔42〕,Christopher Kuner等書，第395頁。兩種識別標(biāo)準(zhǔn)只有在面對單獨識別個人信息時才重合。揣測普遍漠視這一差距的原因，或許是個人信息保護制度研究基本以APP從信息主體處直接采集個人信息的場景作為典型思考模型。于是，收集、存儲、分析個人信息，當(dāng)然不存在不知信息主體身份的情形。此亦從側(cè)面說明，同意規(guī)則適用范圍的限縮，往往起因于個人信息處理者非從信息主體處直接收集個人信息情形(即俗稱的“個人信息二手利用”)的廣泛存在?？傊?，個人信息的外延比同意規(guī)則所能適用的個人信息外延大得多，超出的部分包括特定個人信息處理者能夠結(jié)合識別出身份的個人信息以及特定個人信息處理者本身不能結(jié)合識別出身份的個人信息。

兩標(biāo)準(zhǔn)范圍的不完全重合，恰恰是由于個人信息認(rèn)定環(huán)節(jié)“識別”標(biāo)準(zhǔn)的極大擴張為個人信息保護制度創(chuàng)設(shè)的“基因缺陷”。由此觀之，對個人信息范圍采廣義理解的國家，只要其采選進機制(opt-in)，即取得同意應(yīng)先于處理行為進行，則其個人信息保護體系中的同意規(guī)則亦需限縮于單獨識別個人信息。歐盟發(fā)現(xiàn)了這一基因缺陷，并通過設(shè)置GDPR第11條試圖進行解決。根據(jù)該條，個人信息處理者(48)GDPR與我國《個人信息保護法》在術(shù)語使用上略有不同。GDPR的數(shù)據(jù)控制者對應(yīng)我國的個人信息處理者。GDPR的數(shù)據(jù)主體，對應(yīng)我國的個人，即本文所謂信息主體。術(shù)語上的不統(tǒng)一將導(dǎo)致文本閱讀上的障礙，為避免這一問題，本文在介紹GDPR條文時一律使用我國的術(shù)語。有時不必僅為了合規(guī)而獲取信息主體同意。也正因如此，歐洲學(xué)者贊揚GDPR第11條稱，該條“彌合了(至少是試圖彌合)由個人信息概念引發(fā)的鴻溝”(49)前引〔42〕,Christopher Kuner等書，第395頁。。

(二)避免同意規(guī)則與不需告知規(guī)則銜接不暢

同意不適用于結(jié)合識別個人信息，即要求針對結(jié)合識別個人信息建立“不需同意”制度。此系對《個人信息保護法》“不需告知”制度的必要呼應(yīng)。

《個人信息保護法》設(shè)立了不需告知規(guī)則?！秱€人信息保護法》第18條第1款為“不需告知”制度提供了依據(jù)?！安恍韪嬷敝贫戎饕m用于三種情形：第一，信息主體已經(jīng)知情，不再需要告知；第二，已經(jīng)公開的個人信息，不再需要告知；(50)參見程嘯：《論個人信息處理者的告知義務(wù)》，載《上海政法學(xué)院學(xué)報(法治論叢)》2021年第5期。第三，當(dāng)個人信息處理者客觀不識別身份或基于合規(guī)要求不被允許識別身份時，基于法律不強人所難的基本法理，也應(yīng)當(dāng)作為前述不需要告知情形之一。GDPR有類似制度，其第13、14條分別針對從信息主體處收集個人信息、非從信息主體處收集個人信息兩種情形規(guī)定了告知義務(wù)的例外情形。尤其是第14條第5款b項提出，個人信息處理者提供相應(yīng)信息被證明是不可能或者需要投入過多不必要精力時，個人信息處理者不需要告知。不過，GDPR亦非完美：根據(jù)GDPR第11條第2款，當(dāng)個人信息處理者的處理目的不要求識別信息主體身份，且個人信息處理者能夠證明自己無法識別信息主體時，如果個人信息處理者可以(if possible)，則需要履行告知義務(wù)。然而當(dāng)個人信息處理者不能識別信息主體時，個人信息處理者如何能夠履行告知義務(wù)。于是，歐洲學(xué)者亦無奈表示，只能依賴“如果可能的話”(if possible)這一條件彌補第11條第2款的缺憾。(51)參見前引〔42〕,Christopher Kuner等書，第396頁。換言之，一般宜認(rèn)為此種情況下告知義務(wù)無履行可能。

因為告知是取得同意的前提和要求，所以不需告知規(guī)則應(yīng)配以不需同意制度。按照《個人信息保護法》第14條第1款第1句，同意應(yīng)當(dāng)在信息主體充分知情的前提下作出。但當(dāng)信息主體不知情時(此為常態(tài))，個人信息處理者必然需通過告知使其充分知情。是故，在邏輯上告知、知情、同意依次發(fā)生，通常情況下告知是同意的邏輯前提?！案嬷狻被蛘摺爸橥狻边@一學(xué)界和實務(wù)界通用且公認(rèn)的提法事實上已經(jīng)表明告知是同意的邏輯前提。(52)參見前引〔17〕，范為文；葉名怡：《論個人信息權(quán)的基本范疇》，載《清華法學(xué)》2018年第5期；前引〔22〕，田野文；王利明：《數(shù)據(jù)共享與個人信息保護》，載《現(xiàn)代法學(xué)》2019年第1期；張新寶：《個人信息收集：告知同意原則適用的限制》，載《比較法研究》2019年第6期；萬方：《隱私政策中的告知同意原則及其異化》，載《法律科學(xué)(西北政法大學(xué)學(xué)報)》2019年第2期；呂炳斌：《個人信息保護的“同意”困境及其出路》，載《法商研究》2021年第2期。既然如此，那么由于客觀或者合規(guī)等原因不能告知信息主體時，當(dāng)然也就無法取得信息主體的同意。這就要求《個人信息保護法》有對應(yīng)不需告知規(guī)則的不需同意制度。

然而《個人信息保護法》沒有同步設(shè)計不需同意制度。我國雖然設(shè)計了不需告知規(guī)則，但顯然同意規(guī)則與此不相適應(yīng)，因為按照第13條規(guī)定的文義，當(dāng)無其他合法性基礎(chǔ)時，各類個人信息的處理都需要以獲得信息主體同意為前提，其他因素在所不問(此亦為本文引言中“全部個人信息說”的依據(jù))。從全國人大相關(guān)機構(gòu)在立法過程中形成的一系列有關(guān)歐盟個人信息保護制度和美國隱私保護制度的研究材料，以及《個人信息保護法》眾多條文的表述觀之，我國《個人信息保護法》立法明顯有參考GDPR的現(xiàn)象。然而僅就告知同意規(guī)則來看，我國并未做到全面、完整、正確地進行制度參考。上文已經(jīng)提及，我國不需告知規(guī)則學(xué)習(xí)了GDPR第13、14條，但對應(yīng)此種情形，GDPR配套設(shè)置了第11條第1款不需同意規(guī)則，即如果個人信息處理者處理個人信息的目的不要求或不再要求識別信息主體身份，則不應(yīng)強制個人信息處理者僅為合規(guī)而保留、獲取或處理額外信息以識別信息主體身份。言下之意，當(dāng)個人信息處理者不需識別身份時，其處理不需要取得同意。但是我國只吸收了不需告知規(guī)則，沒有同步建立作為其邏輯后果的不需同意制度。

當(dāng)然，GDPR第11條第1款并非我國不需同意制度的最佳選擇。相反，GDPR第11條第1款本身存在嚴(yán)重的邏輯漏洞，此處簡要分析。根據(jù)歐盟GDPR第11條第1款可推知，若處理之目的不要求識別信息主體身份，則以識別身份為前提的同意也不需要獲得。簡言之，根據(jù)該條，是否要求獲得同意系以“是否需要識別身份”為根本判斷標(biāo)準(zhǔn)。需要識別信息主體身份，則需要獲得同意，反之則不需要?？此浦苎拥慕Y(jié)論掩蓋了邏輯上的漏洞，此處邏輯上的漏洞主要是指遺漏考慮一種情形，即處理結(jié)合識別個人信息(即不含直接標(biāo)識符的個人信息)且處理目的要求識別信息主體身份。根據(jù)GDPR第11條第1款，此種情形，由于“需要識別”所以需要獲得同意。然而只有通過“識別身份”這一處理行為識別出信息主體身份才能得到其同意，而同意只能為同意之后的處理行為提供合法性基礎(chǔ)，不能為同意之前的識別身份行為及其之前行為提供合法性基礎(chǔ)。因此筆者指出的這種情況，根據(jù)GDPR第11條第1款，識別出身份之前階段的處理行為必然將因無合法性基礎(chǔ)而違法。法律不強人所難，所以識別身份及其之前的行為也不應(yīng)當(dāng)要求獲得個人同意。因此，GDPR以“是否需要識別”作為劃分同意適用邊界的標(biāo)準(zhǔn)并不合理，應(yīng)當(dāng)以是否含有直接標(biāo)識符(無需進行處理即可識別身份)作為劃分標(biāo)準(zhǔn)。我國沒有移植GDPR第11條第1款，一定意義上避免了陷入前述邏輯漏洞，但這不能表明我國不應(yīng)該設(shè)立不需同意制度。

于是，我國應(yīng)建立的不需同意制度，不能盲目追隨GDPR，而是應(yīng)基于《個人信息保護法》條文，在解釋上將單獨識別個人信息作為同意規(guī)則的適用范圍，而將結(jié)合識別個人信息排除于同意規(guī)則適用范圍之外。如前所述，我國應(yīng)當(dāng)存在不需同意制度。但顯然，我國法缺失這一制度，導(dǎo)致同意規(guī)則與告知規(guī)則銜接不暢。而《個人信息保護法》生效后，必須從解釋論層面尋找新出路。此即需在現(xiàn)行法框架下基于解釋論提出具有相同功能的替代方案。而本文所提出的同意適用邊界限縮恰恰是解釋論下的一種有效解決方案。同意適用邊界限于單獨識別個人信息，并非意味著結(jié)合識別個人信息將不受控制，只是說明結(jié)合識別個人信息將不受信息主體的事前控制。但基于法律規(guī)定產(chǎn)生的個人信息處理者義務(wù)仍然繼續(xù)適用，《個人信息保護法》規(guī)定的事前個人信息保護影響評估等措施仍然應(yīng)當(dāng)落實，以保護信息主體權(quán)益。并且，此時應(yīng)當(dāng)對個人信息處理者課以更高要求。(53)參見前引〔42〕,Christopher Kuner等書，第447頁。

(三)避免個人信息流通利用的立法目的不達

確認(rèn)結(jié)合識別個人信息的處理不需要同意，恰恰能激勵個人信息處理者將個人信息處理活動維持于低風(fēng)險狀態(tài)。個人信息保護的本意是平衡個人信息處理利用與個人信息處理利用過程中信息主體權(quán)益維護。當(dāng)個人信息已經(jīng)為結(jié)合識別個人信息時，已經(jīng)使個人信息處理活動處于低風(fēng)險水平。如果仍然認(rèn)為結(jié)合識別個人信息之處理亦須取得信息主體的同意，那么必然以重新識別信息主體身份為前提，則反而因為合規(guī)要求使得個人信息重新被暴露于高風(fēng)險環(huán)境。(54)See Paul M.Schwartz,Daniel J.Solove,The PII Problem: Privacy and a New Concept of Personally Identifiable Information,86 New York University Law Review,1814(2011).最終與個人信息保護法立法目的相悖。正是因為單獨識別個人信息與結(jié)合識別個人信息的風(fēng)險水平有異，所以對兩者不應(yīng)采相同保護水平。結(jié)合識別個人信息之處理不需要個人同意，是對此類信息處理的制度激勵，有利于鼓勵個人信息處理者積極主動地對個人信息進行去標(biāo)識化處理。事實上，《個人信息保護法》本身也將去標(biāo)識化作為安全技術(shù)措施(第51條第3項)。

《個人信息保護法》的重要目的之一在于“促進個人信息合理利用”。信息是自由的，個人信息亦未完全脫離自由的本質(zhì)，只是因為個人信息以個人為主題，所以屬于特殊信息類型，需要一定程度的特殊對待。而結(jié)合識別個人信息，多屬于用以分析個性特征的信息，這些信息只有與特定個人身份關(guān)聯(lián)起來，可以直接通過該信息識別信息主體身份時，才涉及隱私等人格利益問題，這意味著鼓勵在不危及信息主體權(quán)益情形下對結(jié)合識別個人信息進行分析利用。當(dāng)然，若導(dǎo)致不利后果，那么可以通過民事侵權(quán)救濟而非事前控制機制，保證信息主體權(quán)益得到保護?，F(xiàn)行法已經(jīng)建立起這樣的事后救濟機制。當(dāng)信息主體權(quán)益遭受侵害或有受侵害之虞但尚未造成損害時，《民法典》第1037條等已經(jīng)提供了各類防御性人格權(quán)益請求權(quán)。(55)參見高富平、李群濤：《個人信息主體權(quán)利的性質(zhì)和行使規(guī)范——〈民法典〉第1037條的解釋論展開》，載《上海政法學(xué)院學(xué)報(法治論叢)》2020年第6期。當(dāng)信息主體權(quán)益遭受侵害并造成損害時，《個人信息保護法》第69條第1款確立了專門的損害賠償制度。

不過，需要強調(diào)，結(jié)合識別個人信息與單獨識別個人信息可能互相轉(zhuǎn)換，一旦結(jié)合識別個人信息轉(zhuǎn)化為單獨識別個人信息，則又需要適用同意規(guī)則。處理結(jié)合識別個人信息不必獲得同意，甚至連分析行為也不必獲得同意。但是一旦通過處理行為識別到信息主體身份，結(jié)合識別個人信息瞬間轉(zhuǎn)換為單獨識別個人信息，于是應(yīng)當(dāng)立即尋求信息主體的同意。此時一旦同意沒有取得，那么根據(jù)《個人信息保護法》第47條第1款，個人信息處理者應(yīng)當(dāng)刪除所涉?zhèn)€人信息。某種意義上，結(jié)合識別個人信息轉(zhuǎn)換為單獨識別個人信息的時刻，很可能是個人信息處理者刪除個人信息的時刻。

五、結(jié) 語

“保護個人信息權(quán)益”與“促進個人信息合理利用”是《個人信息保護法》第1條確立的同等重要的立法目的。該法給法律解釋適用者提出的艱巨任務(wù)是實現(xiàn)兩個目的的和諧與平衡。然而，若認(rèn)為缺失《個人信息保護法》第13條第1款第2至7項的合法性基礎(chǔ)時，對各類個人信息的處理都要經(jīng)過同意，那么天平上的砝碼已經(jīng)過于向保護個人信息權(quán)益一側(cè)傾斜。劃定同意規(guī)則的適用范圍正是“瞻前顧后”地通盤考慮兩種目標(biāo)的平衡之后在同意規(guī)則上的體現(xiàn)。本文主張信息主體的同意只能適用于對單獨識別個人信息的處理行為。此結(jié)論在法律解釋上體現(xiàn)為應(yīng)當(dāng)對《民法典》第1035條第1款第1項主文中的“自然人”以及《個人信息保護法》第13條第1款第1項中“個人”概念進行限縮，限縮至“個人信息中以直接標(biāo)識符直接體現(xiàn)其身份的個人”。當(dāng)然，個人信息處理的合法性須從目的合法、具有合法性基礎(chǔ)，以及處理行為規(guī)范三個方面綜合甄別。本文討論的同意邊界問題僅是合法性基礎(chǔ)方面判斷的問題，不涉及目的是否合法和處理行為是否規(guī)范兩方面。

使結(jié)合識別個人信息擺脫信息主體同意的控制，也正是在法律上為目前國家提倡的數(shù)據(jù)流通機制提供法律基礎(chǔ)。2020年3月公布的《中共中央 國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》提出加快數(shù)據(jù)要素市場建設(shè)，其內(nèi)含的要求便是為數(shù)據(jù)流通創(chuàng)造法律上的途徑。個人信息是數(shù)據(jù)中的重要類別，當(dāng)然應(yīng)該考慮其流通利用的合法性問題。但目前個人信息流通機制于法律方面的困境在于逐一獲取信息主體的同意，合規(guī)成本極大。本文試圖為結(jié)合識別個人信息未經(jīng)信息主體同意而流通利用的可行性提供法理支撐，以便在一定程度上為個人信息的流通利用松綁。