基于规范目的的个人信息治理规则

《个人信息保护法》的规范目的在于达致个人权益保护与个人信息利用的平衡,实现这一规范目的的关键在于:允许利用个人信息分析评估个性特征,但规制识别个人身份之行为。在这一规范目的指引下,个人信息治理规则应当根据信息识别性的不同,对含直接标识符、仅含间接标识符或者不含标识符的个人信息分别治理。含直接标识符之个人信息的治理规则,强调处理前必须经过个人同意或具备其他合法性基础,处理过程宜删除直接标识符。仅含间接标识符之个人信息的治理规则,强调处理前不需要经过个人同意,但处理过程应禁止识别身份。不含标识符之个人信息的治理规则,强调对该类信息从宽认定,既不需要事前取得个人同意,个人也没有必要进行事后拒绝。

个人信息匿名化处理法律标准探究

个人信息匿名化处理法律制度作为联通个人信息保护与个人信息流通利用的制度桥梁,能够以一种隐私友好的方式满足社会的信息需求。我国现行“无法识别特定个人且不能复原”的匿名化处理法律标准缺乏可操作性,难以有效规范匿名化处理实践。我国可以确立操作方法标准与识别风险检验标准协同的匿名化处理法律标准:关于操作方法标准,可以在技术领域确定适用于直接标识符和间接标识符的匿名化处理措施指南;关于识别风险检验标准,可以引入“蓄意侵入者检验”标准,明确规定侵入者的识别动机和识别能力。通过操作方法维度与识别风险检验维度的协同作用,最终实现“无法识别特定个人且不能复原”的匿名化处理法律效果。