我国个人信息匿名化规则的检视与替代选择

个人信息匿名化规则试图通过彻底消除个人信息蕴含的可识别性以免除信息处理者负有的个人信息保护义务,但这一规则却面临着理论上的困境和适用上的障碍。"匿名化迷思"的根源在于,其试图通过对信息性质作出"非此即彼"的判定,以决定是否"一刀切"地斩断个人信息处理者所负义务。而现实情况是,个人信息具有的可识别性通常并非全有或全无,而是呈现出不同程度的识别能力,经过匿名化处理的信息仍可能残存一定的"可识别性",将其彻底排除至个人信息保护立法的规制范围之外,事实上难以有效消解匿名信息具有的"剩余风险"。未来我国个人信息保护立法应从当前的一体规制模式转向基于信息识别能力类型化的区别规制模式,根据个人信息蕴含的识别能力而构建多层次的个人信息保护义务体系,并将匿名信息作为一种具有较低识别能力的个人信息纳入规制范围,实现个人信息保护与利用间的动态平衡。