四重困境：个人信息保护范围的界定

就个人信息保护的范围而言，起决定性作用的乃是“个人身份可识别信息”的内涵。作为个人信息保护领域的核心概念，对其进行定义，面临诸多难题，这些难题主要体现在以下四个方面：首先，网络上，许多人对匿名的认识有着误解。一些人会认为，只要他们没有在网络上使用自己的真实姓名，他们就处于匿名状态，但是，随着静态IP的广泛应用，只要电脑与互联网相连接，这个地址就是可识别的。其次，有些信息最初并不属于“个人身份可识别信息”，但可能会在之后变为“个人身份可识别信息”。比如营销人员可能会把不同类型的非“个人身份可识别信息”集合起来，对数据进行融合与交叉验证，技术的发展使得通过此种方式将一些信息与具体的个人联系起来成为可能。再次，技术本身也在不断进步，这会导致“个人身份可识别信息”与“非个人身份可识别信息”之间的界限发生变化。最后，在区分这两类信息时，应当考虑到具体的情境。以下，我们将从“个人身份可识别信息”所面临的这四重困境着手，分别予以分析阐述。

（一）身份的可追踪性与IP地址

前文已经述及，不乏有人认为，只要在上网时不使用真实姓名，或在评论他人社交网站上的内容、博客时，不留下特定的能够识别个人身份的信息，则他们在互联网上的大部分行为都将是匿名的，其他人不会知道他们的真实身份，这就是匿名幻想。表面上看，人们似乎能够隐藏身份，做很多“匿名”的事儿，但事实上，这只是一种不切实际的幻想。互联网上所谓的“匿名”，还不如一块面纱对个人信息隐私的保护。^[45]

互联网上的匿名并不意味着事实上的不可追踪性，互联网协议地址即IP地址事实上已经在技术上把可追踪性的问题解决了。IP地址是一种特定的标识物，每一台联网的电脑都会分配得到一个唯一的地址。从拨号上网到静态宽带上网的时代，网络服务商能清楚、准确地将某个具体的人与某个具体的IP地址对应起来。当互联网用户采用拨号的方式上网时，用户每一次连接互联网，系统都会随机分配一个IP地址，同时，在同一天当中，不同的用户在不同的时间中可能使用同一个IP地址，而拨号上网的互联网协议通常不会长时间保存随机分配的IP地址记录。因此，在拨号上网的模式下，用户想通过IP地址辨识相对方的身份，几乎不太可能。但是，人们现在已经不再使用拨号的方式上网，绝大部分用户都是采用宽带上网的方式，而如果用户没有改变宽带账号或者DSL，则用户每次浏览网站所使用的IP地址都将是不可改变的。当每一IP地址都和某一个具体的电脑终端相连接时，通过IP地址辨识用户身份的可能性将是非常大的。

在互联网上实现匿名只是人们的一种幻想。当用户浏览网页时，网页管理者一般知道网页浏览者的IP地址，虽然IP地址并没有与某个具体的个人相联系，但如果第三方一旦知道某个具体的IP地址所对应的用户网络协议，第三方就能知晓上网账号的用户身份。有人会认为，在公司或者家里，如果出现共用电脑的情况，会使得IP地址无法自动识别用户身份，但事实上，我们是能够通过其他方式来确定谁在某个具体的时间使用了此台电脑的。如家庭成员或公司职员在登录自己邮箱时输入的特定密码。此种方式，能够帮助我们确定谁在特定时间使用了此台电脑。

我们还应看到，当今的技术发展已经使得人们即使没有互联网服务协议的账号信息，通过IP地址也能查明网络用户的具体身份。如通过追踪看似匿名，在不同网页下留下的同源数据的方式，就可以分析出互联网用户的身份。有三位科学家在研究中发现了这种识别方式。^[46]他们举了这样的例子，当用户浏览不同网页时，不同的网页都留下了用户的IP地址信息，同时，用户可能会在某个网站留下自己准确的身份信息。如在进行网络购物时，留下自己准确的收货地址，而通过对某个具体的IP地址在不同网页中留下的身份信息进行交叉验证以及将用户的访问模式和已被识别的顾客名单对应起来的方式，用户的IP地址与用户的姓名就能对应起来。事实上，在互联网时代，要在网络上实现匿名是一件不太可能的事儿。

（二）数据信息的再识别

在数据信息的再识别方面，技术的进步已经使得“个人身份可识别信息”与“非个人身份可识别信息”的两分法面临挑战。因为，信息技术的发展已经使得将不同类别的“非个人身份可识别信息”集合起来，并将此类信息转化为“个人身份可识别信息”的技术变得成熟。计算机科学家斯维尼（Latanya Sweeney）曾作了一项研究，该项研究揭示出将出生日期、邮编、性别这三项内容结合起来，基本可以确定一个人的身份，且成功概率高达87%。然而，出生日期、邮编、性别这三项信息都不属于“个人身份可识别信息”，不属于让人感到尴尬的信息范畴，也不属于私密信息或敏感信息的范畴。^[47](www.xing528.com)

“非个人身份可识别信息”转化成“个人身份可识别信息”的情况是常见的。两位科学家沙马提科夫（Vitaly Shmatikov）和纳拉亚南（Arvind Narayanan）对在线影视出租服务的分析揭示出，即便人们对公用网络电影的评价以匿名方式进行，具体个人的真实身份还是有可能被识别出来。^[48]如Netflix，这家有名的在线观看电影的网站，为提高该公司电影软件的预测能力，公司网站的电影评价功能向社会公众开放。两位学者指出，只要给用户在网络电影数据库中评价电影的选择，他们就能在Netflix系统中识别出此用户的电影评价，即使用户在这个评价系统中采用的是匿名评价方式，他们也能通过该方法确定“匿名”用户的身份。人们的信息被采集得越多，其身份被识别的可能性也就越大。当这些信息集合在一起时，这些信息就能创造出更多的其他信息，想要自己的数据不被识别比较困难。在Northwestern Memorial Hospital v.Ashcroft案件中^[49]，波斯纳法官已经意识到，那些没有被识别的数据信息能够重新被识别。该案中，政府要求法院颁发传票以便政府取得45名堕胎妇女的医疗记录，政府承诺对那些能识别出这些妇女身份的信息进行编辑，用于医疗科学研究，并保证这些妇女的身份不被泄露。波斯纳法官认为，政府即便这样处理，也会侵害病人的隐私。因为如果有人认识这些妇女，且此人善于利用互联网搜索工具，其将会在包含有个人病史的医疗记录中筛选出与她们相关的信息。而搜索工具只是通过数据分析将不同信息联系在一起的工具而已。经过数据分析，将不同类别的信息联系在一起，就能确定出他人的真实身份。学者Ohm指出，计算机科学家早已向我们展示出，他们能以令人惊讶的轻松方式，重新识别或去匿名化操作匿名数据中的个人信息。在人们的认知中早已存在一个错误的观念，认为自己在现实生活中拥有的隐私保护与自己想象中拥有的隐私保护一样多，而真实的情形却相去甚远，现实拥有的隐私保护比人们的认知少很多，而监管机构和法学学者对此却少有关注，令人惊讶的去匿名化技术的发展应该得到更多的关注。^[50]

（三）技术变革与信息共享带来的难题

1977年，美国隐私保护研究委员会就已指出，电脑及远程交流技术的运用与发展给个人信息的保存带来的难题，即人们无法参与并掌控自身信息在将来如何被使用的活动。^[51]事实上，“个人身份可识别信息”与“非个人身份可识别信息”之间的界限并非固定不变，它们之间的界限受技术的影响很大。一些在现阶段看起来属于非个人身份可识别的信息，在将来可能转变成个人身份可识别信息。另外，个人信息在网络中的广泛存在与离线记录系统的存在，也是导致未被识别的数据能被重新识别的重要原因。^[52]

总体来看，一项未能被识别的信息能否转变成可以重新识别的信息，取决于网络公司的行为以及技术的变化。^[53]不同的数据间有很多共同的元素，信息的获取变得越来越容易，信息比对与交叉验证等技术的更迭，将使得信息的识别变得更容易。这类网络公司将未被识别的信息与已识别的信息联系在一起，将会变得更为容易。

（四）身份识别与具体情境

判断某项信息是否属于“个人身份可识别信息”是一件复杂的事情。从抽象意义的角度来界定“个人身份可识别信息”是不恰当的。因为，同一种信息在不同的使用环境下，它的性质可能发生变化。比如，通过搜索引擎工具查询得来的信息是匿名的，从抽象层面来看，该信息就属于“非个人身份可识别信息”。然而，我们搜索查询得来的信息是否属于“个人身份可识别信息”，需要结合具体情境来考虑。如果用户启用了联合搜索，进行交叉验证，用户就极有可能识别出搜索对象的身份。网络搜索功能的提高潜移默化地使得人们更容易被识别。因此，对个人身份可识别信息的界定，需要结合该信息所使用的具体环境通盘考量。

大数据时代，随着信息技术的推进，用于个人身份识别的信息越来越多，识别的方法也愈加先进。由此，个人信息保护的边界愈发模糊，保护范围不断扩展，问题也愈发突出。^[54]以往并非属于个人信息的数据，可能通过对比与关联识别出个人身份。信息的性质是动态的，无法脱离具体场景对其做抽象界定。^[55]已有学者指出，大数据环境下，已经没有绝对意义上的非个人信息。