摘 要：民法典、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定公民个人信息认定应符合身份识别标准。“身份信息”必须具体、明确。“反映特定自然人活动情况”需要以“可识别特定自然人身份”为前提。达到匿名化程度的信息以及额外信息未泄露的去标识化信息，可认定为“经过处理无法识别特定个人且不能复原”的信息。在认定个人信息去识别化程度时，应综合考虑技术判断与基于侵害法益的现实危险性的价值判断。

关键词：侵犯公民个人信息罪 身份识别 匿名化 去识别化

一、问题的提出

新兴数字经济时代下，公民个人信息保护面临二律背反的困境。我们面临电子网络、因特网及种种平台和系统带来的隐私问题，比如移动通信系统、电邮、社交网络、云提供者和网络本身等。[1]公民危机感要求在个人信息的收集、使用中强调个人信息权作为私权加以保护。但个人信息的私权属性与经济发展对个人信息的流通要求之间往往面临艰难抉择。如芝加哥经济学派自由经济主义思想认为，商事活动应确保个人信息自决权，更不应忽视发挥个人信息在准确判断市场前景中的价值。[2]

个人信息领域个人信息去识别化技术似乎实际解决了个人信息保护与获取经济利益之间的矛盾。个人信息去识别化一般是指“识别特征已经去除或者通过加密或其他技术模糊化的个人信息”。[3]因为依据传统个人信息利用框架，个人信息的使用如果超出了个人同意所设定的“具有直接或合理关联”的使用范围，则需要再次取得个人信息主体的同意，而获得再次同意往往需付出更大的经济、时间成本，减少商业价值;而通过处理个人信息，确保在信息流转中不能识别特定个人的同时，余留部分的个体颗粒度以便商事利用，以此实现私权保护与流通要求之间的平衡。

去识别化技术已在民法典、网络安全法及刑事立法中体现。民法典第1034条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。网络安全法第76条规定：“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。” 2017年最高人民法院、最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）第3条规定：未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第253条之一“侵犯公民个人信息罪”规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。易言之，个人信息必须满足“可识别特定个人”的身份识别标准。但刑事司法实践在理解与适用身份识别标准时，却莫衷一是。一方面，“可复原”的个人信息在司法实践中被直接忽略;另一方面，将所有“有机会”复原的信息均认定为个人信息。

[案例一]2015年5月至2016年5月期间，梁某某等35名被告人通过伙同4S店工作人员安装自制外挂软件，非法盗取品牌车辆保养、维修数据，同时建立查询服务平台，以付费方式提供给他人使用，从中牟利。对外成功查询8571次，非法所得累计12万元左右。法院认为，被告人构成非法获取计算机信息系统数据罪。[4]

[案例二] 2015年10月至2016年11月期间，被告人黄某某等使用QQ出售公民个人信息用于牟利，累计出售公民个人信息8377万余条。法院认为，以姓+手机号码和单独的手机号碼形式呈现的信息属于个人信息，被告人构成侵犯公民个人信息罪。[5]

[案例三] 2015年6月至2017年6月期间，被告人石某利用“号码魔方”电脑软件生成公民手机号码，并多次将生成的手机号码向他人转卖，获利29850元，出售的手机号码被他人用以实施犯罪。法院认为，“号码魔方”软件生成手机号码属于个人信息，被告人构成侵犯公民个人信息罪。[6]

凭借感觉、偏好对个人信息是否完成去识别化进行认定，似乎成了刑事司法实践中妥协的通行做法。究其原因，个人信息的身份识别标准的认定缺乏统一的技术规范指引，生活中又没有充分的场景演绎“处理过程”，缺少实践的先验支持。基于此，本文拟对侵犯公民个人信息中个人信息身份识别标准的理解与适用作有益探讨。

二、侵犯公民个人信息罪中身份识别标准的制度框架

个人信息身份识别标准的制度框架来源于个人信息的定义。民法典第1034条、网络安全法第76条分别明确了个人信息的定义，从法律层面结束了“隐私说”[7]“身份识别说”[8]“与个人关联说”[9]等学说的争议，确定“身份识别说”作为认定个人信息的标准。《解释》也采用了“身份识别说”的标准。但三者表述存在一定差异。《解释》第1条规定：“公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”三者的主要差异为：其一，民法典表述为“识别特定自然人”，网络安全法表述为“识别自然人个人身份”，那么此处有无“身份”一词表述不同，语义是否一致？其二，网络安全法中无“特定”一词表述，个人信息的内容是否需要指向“特定”主体？其三，《解释》 增加了“反映特定自然人活动情况”的内容，应如何理解？

（一）自然人身份

“识别”的语义为区分、分辨。“身份”指“是谁”“是怎么样一个人”。识别自然人所追求的目标是：解读信息内容，确定某一自然人是谁，从而将此人与其他人区别开来。所以有无“身份”一词，“识别自然人”与“识别自然人身份”表意相同，均有“身份”的语义。

如何理解所识别的“身份”？一般而言，“身份”本质是社会生活中自然形成的各种关系，身份包括客观身份，如性别、年龄、职业，也包括主观身份，如熟人与陌生人等。现实中也引申为“与他人的关系定位”，如亲属关系、上下级关系、朋友关系。国家基于管理的便利，将部分自然形成的“身份”加以认证，例如，居民身份证上载明的姓名、身份证号等。

侵犯公民个人信息罪中个人信息所需认证的身份，是自然人的自然属性“身份”还是政府认证的“身份”？有观点认为，“身份”是指经过政府认证的身份，其他社会主体以及不代表政府的政府分支机构认证的“身份”不属于侵犯公民个人信息罪需要认证的身份。[10]本文认为，将个人身份限定在认证的居民身份证、军官证、驾驶证等国家有效证件所指向的身份，具有一定合理性：社会身份具有复杂性，重要、敏感程度也有很大差异。譬如，远房亲属关系的秘密性与识别价值较低。将不具有敏感性的社会身份均纳入侵犯公民个人信息罪的保护范围，没有必要。但本文认为，“身份”只需认出“是谁”即可，不需拘泥于国家认证的身份。将“身份”限于国家认证的身份存在弊端，无法解决例外情形，如虚假身份证明。“在当今社会，特殊的、不正常的情况或境遇越来越普遍，人们事先确立的许多规则只不过是‘笨手笨脚的规则、‘行为的粗糙指导。”[11]在具体案件之外，难以判断哪些“身份”对识别“是谁”更为重要，现实中一些亲属关系在与其他信息结合的情况下，也可以识别出“是谁”。不可人为增设解释障碍。由此，侵犯公民个人信息罪中个人信息所需认定的身份是自然属性的身份。

（二）特定自然人身份

对于“身份识别说”而言，“特定”的内涵应属必要。“特定”与“不特定”相互矛盾。所谓“不特定”是指信息内容所指向的自然人无法确定。姓名、出生日期、住址、财产状况等信息均无法与个人身份一一对应。以“姓名”为例，一般认为，姓名是区分个体的特定名称符号。然而，识别姓名不一定能识别身份，个人身份的识别也不一定依据姓名。[12]获取一条信息，譬如“王伟，月薪5000元”，由于现实中有许多叫“王伟”的人，它的内容指向不特定的自然人，实际不会对特定的王伟造成困扰。

如何区别特定自然人身份与不特定自然人身份？特定自然人身份与不特定自然人身份的区别在于，“特定自然人身份”应当是具体明确的，对应唯一的自然人。例如IP地址可对应特定人群（某家庭），也可对应不特定人群（宾馆、网吧），但难以对应唯一主体，所以不宜认定为受刑法保护的个人信息。在cookie隱私第一案朱烨诉百度侵犯隐私权案中，百度公司利用cookie技术收集用户浏览网页的信息并以此推送网络服务。Cookie信息可以确定IP地址，而由IP地址可一定程度推知特定用户。但法院认为，利用cookie技术收集浏览信息的行为，已与用户身份分离，已完成匿名化，无法确定该信息的归属，不构成隐私侵犯。[13]本文赞同法院意见。IP地址可分为动态地址与静态地址，由于IP地址资源非常稀缺，通过普通宽带上网用户或者电话拨号上网一般为动态地址，静态地址价格昂贵、接入设备多，而多为写字楼、互联网公司所购买使用。静态地址合法用户众多，指向不特定自然人。对于动态地址，每次上网电信会随机分配一个IP地址。动态地址是绝大多数互联网家庭用户的上网方式，这种实时性使得很难通过技术确定特定自然人。

（三）反映特定自然人活动情况

民法典、网络安全法规定的识别对象是自然人身份，而《解释》规定的识别对象是特定自然人身份或者活动情况，识别对象存在差异。“反映特定自然人活动情况”是否需要以“可识别特定自然人身份”为前提？有观点认为，网络安全法使用的是广义的身份识别信息，包括了体现特定自然人活动情况的信息，而《解释》适用的是狭义的身份识别信息，所以在条文中加列了“活动情况信息”。[14]本文赞同该观点，“反映特定自然人活动情况”需要以“可识别特定自然人身份”为前提。一方面，依据法秩序统一性原则，那么刑事司法解释在个人信息范围的理解适用上不应当超出法律规定的范围，“识别自然人身份”应包含“识别特定自然人身份”的内涵。另一方面，由《解释》第3条第2款的规定“经过处理无法识别特定个人且不能复原的除外”推断，在个人信息认定时，“反映特定自然人活动情况的信息”以“可识别自然人”为前置条件，无法识别特定个人且仅反映特定自然人活动情况的信息不属于个人信息。[15]

综上所述，民法典、网络安全法、《解释》认定公民个人信息时，均采用了“身份识别说”的标准。身份识别标准是指，个人信息认定应遵循的标准：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份的信息，经过处理无法识别特定个人且不能复原的除外。

三、刑事司法实践中身份识别标准适用困难及判断进路

《解释》规定的“经过处理无法识别特定个人且不能复原”是一个去识别化过程。刑事司法实践难以判断一条“经过处理”的信息是否已达到无法识别特定个人身份且不能复原的程度。

（一）刑事司法实践中身份识别标准适用困难

1.身份识别标准适用困难的缘由

为保障信息的利用价值，即使“经过处理”，信息中仍需余留个体颗粒度，这意味着个人信息面临重新识别风险。随着大数据产业发展，信息处理能力增强，特别是个人信息再识别化的技术水平极大提高，利用与个人身份联系度极低的个体颗粒信息也足以实现识别特定个人的目标。如2006年8月《纽约时报》根据美国在线（AOL）公布的旧搜索查询数据库确定到某组数据的具体搜索人，而此数据库是由2006年3月1日到5月31日之间的65.7万用户的2000万搜索查询记录组成的，不包含任意个人信息。 [16]通过删除社会保障号码以及姓名的匿名化方法，保护大数据库中个人隐私的作用被逐渐削弱。[17]2016年在德国汉堡举行的Chaos Computer Club研讨会议上一位德国研究员发表标题为《建设你们自己的国家安全局》（Build your own NSA）的研究成果显示：点击流数据包括网络用户浏览过的站点信息、精确的URL细节和浏览顺序等，通常认为属于匿名化的、无害可公开的信息;研究人员向网络分析公司获取点击流数据，并根据点击流数据中的URL细节，可找出该点击流数据中3%的用户身份;研究人员研究发现基于网络用户在社交平台上公开推荐的网站数据，少于十个的不同域名足以认定其个人身份。[18]技术的发展使得彻底处理个人信息成为难题。

2.身份识别标准刑事司法适用现有观点及其缺陷

目前身份识别标准的适用主要依据经验判断，缺乏技术判断，主要通过判断个人信息再识别可能性。一种观点为：“考虑需要结合其他信息的程度，需要结合其他信息多，则认定个人信息的可能性较大;信息本身的重要程度，敏感信息可以采取相对宽松的标准;行为人主观上不需要识别特定自然人身份或者反映特定自然人活动情况，则不宜认定为公民个人信息。”[19]另一种观点为：“间接识别的节点不能过多;要根据犯罪行为人的具体识别能力来判断涉案信息的身份识别属性，因人而异。”[20]两种观点提供了有益思路，但何为“需要结合其他信息多”？何为“间接识别的节点不能过多”？过于抽象难以操作。

（二）身份识别标准司法适用的两种进路

1.以信息处理结果为主要基准的判断进路——以英国为例

再识别可能性判断的主要思路是对“经过处理”的信息进行分析，判断这一信息是否能和其他信息结合识别特定自然人身份，是以结果导向的判断进路。较成熟地适用再识别可能性判断的国家是英国。英国司法领域现已实践“有动机的攻击者测试”（a motivated intruder test）以测评个人信息再识别风险：假定一位有动机的攻击者，这位攻击者不能使用专业设备、不能诉诸入室行窃，这位攻击者具有访问互联网、图书馆及任意公开文件的能力、拥有调查技能，但并不知晓计算机黑客技术，在这种情境下，让这位攻击者对“经过处理”的信息做出再识别，从而对信息再识别风险做出测评。[21]再识别评估的具体测评因素囊括现在所有合理的再识别技术（take all reasonable steps）、信息属性（the nature of the information）引发的再识别动机（basis）等。[22]英国的监管机构信息专员办公室（The Information Commissioners Office， ICO）认可并推荐使用此测评方法，建议在司法实践中普遍使用。如2018年在英国上审法院判决的英国咨询委员会诉米勒案中就适用了该测评标准，具体案情是：英国每个地方政府向英国的社区地方政府部按季度报送了无家可归人员统计数据。数据包括无家可归的缘由、无家可归人员数量、住宿类别及包含性别、残疾、种族、暂住地、同居者等信息的家庭组成信息。2015年12月7日，米勒女士请求公示未公开的2009/10、2010/11和2011/12年度的信息。社区地方政府部援引英国的《信息自由法》第40（2）条（个人数据豁免）条款，拒绝公开该信息，认为该信息涉及五名及以下人员的个人信息。米勒女士向初级审判所起诉。初级审判所认定所涉信息并不属于《1998年资料保护法》第1（1）条所规定的“个人信息”，所以应该公开该信息。2017年9月25日，信息专员办公室提起上诉。[23]

本案的分歧在于米勒女士请求公开信息是否应认定为个人信息，如果属于个人信息则依据《信息自由法》第40（2）条不应公开此信息。上诉方认为，初级审判所未曾考虑所有可能且合理的再识别技术并列举可再识别个人的情形。该上诉法院驳回了上诉方请求，认定此信息不属于个人信息，应当公开。裁判理由是：一是如非身份特殊个人信息再识别者难以识别特定个人，根据合理推测上诉方难以准确认定身份;二是一般人缺乏再识别动机因为信息已过时效。[24]本文认为，英国法院在判断信息是否属于个人信息时，采取的策略是判断该信息在合理情形的再识别的风险，除去特殊身份等极端情况，并基于时效等因素考量信息是否具有再识别的价值。此种判断进路更具体，符合司法实践需要。

2.以信息处理过程為主要基准的判断进路——以欧盟为例

目前欧盟推行较为明确的数据匿名化技术标准，所以欧盟在判断“经过处理”的信息是否仍属于个人信息时，采用了截然不同的判断进路——以信息处理过程为主要基准的判断进路。换言之，如果个人信息的去识别化处理过程严格遵守了技术标准，则认为经过处理的信息不再属于个人信息。

在个人数据领域，欧盟成员国必须在国内贯彻执行欧盟发布的各项指令。欧盟数据保护委员会（European Data Protection Board）的前身——“第29条数据保护工作组”（Article 29 Data Protection Working Party）颁布了个人信息匿名化技术标准的建议。此工作组已于2018年5月25日解散，但此文件仍发挥重大指导性意义。

第一，确定个人信息去识别化的程度标准。由于去识别化能够达到的实际效果具有不确定性，万无一失的去识别化难以达到。何为可容许的匿名化程度则是问题的关键。就欧盟数据保护情况而言，匿名化程度应达到所有合理手段（all means “likely reasonably”）以及现有技术（current state of technology）无法认定的程度。[25] 此建议认为匿名化是一个不可逆的过程，但并非绝对，而是相对的不可逆。此建议承认个人信息经过匿名化技术处理后，仍具有联系特定个人的风险，但是如果经过处理的信息已很难或者以极低的可能性再识别特定个人的，应当认定个人信息匿名化已完成。

第二，确定个人信息去识别化的认定主体。建议中规定匿名的判断主体包括个人信息控制者以及任意第三方主体，匿名应当达到两者都无法识别个人的程度。 [26]

第三，确定详尽的去识别化技术标准。此文件对个人信息去识别化的假名化（Pseudonymisation）、技术匿名化（anonymisation techniques）做了不同规定。匿名化技术主要包括了一般化（Generalization）与随机化（Randomization）两种手段。一般化是通过稀释个人信息属性实现，如L-多样化技术（L-diversity）、聚合与K-匿名技术（Aggregation and K-anonymity）等。随机化是另一种匿名化技术，是“修改数据的真实性来移除个人与数据之间的高度联系”的技术组，如添加噪音（Noise addition）、置换法（Permutation）等。个人信息控制者应当使用或叠加使用以上匿名化技术。[27]

第四，确定了妥善的信息管理核查要求。个人信息控制者实施匿名化技术，并非一劳永逸，个人信息控制者应排查是否存在去识别化失败（Failures）、使用错误（Common mistakes）等情形，定期检查信息，增强信息的匿名度。 [28]

综上，个人信息去识别化过程，包括技术、管理应符合工作组出台的指导意见：第一，认真实施去识别技术标准，避免过失，判断是否存在明显的技术上的错误;第二，从具体的再识别技术以及成本因素出发，测评个人信息再识别风险;第三，个人信息控制者妥善保管好额外个人信息，避免去标识化个人信息被重新识别。 [29]

四、侵犯公民个人信息罪中身份识别标准的适用

（一）刑法中个人信息去识别化的程度标准选择

《解释》所规定的“经过处理无法识别特定个人且不能复原”目前有两种解释思路。第一种思路是，经过处理的信息应达到匿名化程度。根据《个人信息安全规范》第3.14条，匿名化是指：“通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程”，匿名化的信息不属于个人信息。欧盟采用了此种标准。第二种思路是，经过处理的信息只需达到去标识化的程度，并应辅以必要举措如对额外信息的妥善管理、合同约定不再识别等。《个人信息安全规范》第3.15条规定，去标识化是指：“通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程”，去标识化信息仍属于个人信息。例如，美国《消费者隐私权利法案》（草案）（Consumer Privacy Bill of Right Act of 2015）第4章第（a）节第（2）条第（A）款的四项条文规定了两方面的匿名化标准：第一，通过更改个人信息，使得基于合理认知也无法将该数据联系至特定的个人或设备;第二，采取相关控制措施防止识别或个人信息控制者基于公开承诺、合同约定不再识别个人信息。两种思路的分歧在于：匿名化是客观上仅从该信息本身无法指向特定的个人，而去标识化是基于“必要的举措”而无法从该信息本身指向特定的个人。

本文认为，侵犯公民个人信息罪中个人信息去识别化的程度标准，选择第二种思路较为妥当。其一，现实中，匿名化的理想状态难以企及，更多的是处于中间状态的、经过去标识化处理但仍能间接识别个人身份的可识别自然人身份的信息。目前中国数据产业发展水平呈现参差不齐的局面。当前国内互联网产品与服务的个人信息保护工作尚处“提倡”阶段而《网络安全法》的规定也未能普遍落实。[30]仅以匿名化标准认定侵犯公民个人信息罪中的个人信息范围，则当下大部分妥善管理经过去标识化处理的信息一旦泄露都将被认为是个人信息，《解释》第3条的但书条款几近无法适用。而且考虑到企业对个人信息去识别化，是降低了风险的行为，不宜过分苛责，绝大多数企业因为资金、技术原因无法达到匿名化标准，则会承担相较有成熟技术的公司更大的合规风险。其二，效果具有相似性。在未出现管理漏洞，额外信息未泄露的情况下，第三人无法仅根据泄露的去标识化的信息识别特定自然人身份，可达到匿名化的效果。而且妥善管理、合同约定、公开承诺等形式约束了个人信息控制者个人信息再识别的动机。所以个人信息控制者及第三人都难以实现个人信息的再识别。

因此，达到匿名化程度的信息以及额外信息未泄露的去标识化信息，可认定属于《解释》规定的“经过处理无法识别特定个人且不能复原”的信息。

（二）以信息处理结果为基准的判断进路更符合刑事司法实践

以信息处理过程为基准的判断进路是对技术完成度的判断。因为国家标准《信息安全技术 信息安全风险评估规范》尚未实施，所以目前无法将第三方提供的技术判断作为刑事审判的依据。此外，刑法意义上的“个人信息”作为规范的构成要件要素，必然离不开刑法保护价值判断的内涵，譬如主动公开的个人信息虽然属于个人信息国家标准所列举的个人信息，但由于个人对个人法益的支配，这种个人信息不宜由侵犯公民个人信息罪保护。[31]所以单一的技术判断可能会得出偏离刑法规范目的的结论。因此，以信息处理过程为主要基准的判断进路可作为参考，但需增加价值因素的考虑。

以信息处理结果为基准的判断进路更偏向价值判断，更符合刑事司法实践。无论是以信息处理过程为基准的判断进路，还是以信息处理结果为基准的判断进路，都解决了个人信息技术认定问题。但相较而言，一方面，前者需要专业技术人员加以判断，后者则可从一般人的常识、常理、常情加以判断，后者技术要求较低，司法操作性更强;另一方面，后者增加价值判断的因素，即增加了任意第三人再识别动机、识别时效等因素的考虑。由此，后者在判断是不是个人信息的基础上，进一步增添侵犯公民个人信息罪所保护的法益易受侵害性的考虑，更具有合理性，将仍存在个体颗粒度、但无再识别动机、不具有易受侵害性信息排除在外。

（三）具体案件分析

案例一中，被告人对4S店的计算机系统设置外挂，可以远程查询系统内车主的姓名、车牌号、维修记录等相关信息。这意味着被告人可获得去标识化信息（车牌号等）与额外信息（车主的姓名）等。所以案件中的数据属于个人信息，本案应按侵犯公民个人信息罪、非法获取计算机信息系统数据罪的想象竞合处理。

案例二、三中将姓+手机号码、单独的手机号码、电脑软件组合生成的、在现实中确也客观存在的手机号码认定为个人信息较为妥当。犯罪者不需要准确知道电话号码所有者具体名字，不需要额外信息进一步确定姓名，只需要对应到特定个人从而实行非法活动。此外，也无法达到匿名化及再识别化判断的技术标准，所以可认定该信息属于个人信息。

注释：

[1]参见 Helen Nissenbaum， Respecting Context to Protect Privacy： Why Meaning Matters，  SCIENCE & ENGINEERING ETHICS， 5（2015）.

[2]参见 Chris Jay Hoofnagle， US Regulatory Values and Privacy Consequences， EUR. DATA PROT. L. REV.， 2（2016）.

[3] [美]Fred H. Cate：《常用术语定义》，苏苗罕译，转引自周汉华主编：《个人信息保护前沿问题研究》，法律出版社2006年版，第418页。

[4] 参见江苏省盐城市中级人民法院（2020）苏09刑终205号刑事裁定书。

[5] 参见江苏省高邮市人民法院（2017）苏1084刑初364号刑事判决书。

[6] 参见安徽省淮南市潘集区人民法院（2018）皖0406刑初91号刑事判决书。

[7] 参见陈起行：《资讯隐私权法力探讨——以美国法为中心》，《政大法学评论》2000年第64期。

[8] 参见周汉华：《中华人民共和国个人信息保护法及立法研究报告》，北京大学出版社2006年版，第32页。

[9] 参见国家标准《个人信息安全规范》（GB/T 35273—2020）附录A。

[10] 参见岳林：《超越身份识别标准——从侵犯公民个人信息罪出发》，《法律适用》2018年第7期。

[11] 张明楷：《犯罪论的基本问题》，法律出版社2017年版，第137页。

[12] 参见金耀：《个人信息匿名化法律标准明晰——以〈网络安全法〉第42条为中心》，《网络法律评论》（第20卷），北京大学出版社2018年版，第83页。

[13] 参见江苏省南京市中级人民法院（2014）宁民终字第5028号民事判决书。

[14] 周加海、邹涛、喻海松：《〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉的理解与使用》，《人民司法》2017年第19期。

[15] 参见雷澜珺：《论侵犯公民个人信息罪中行踪轨迹信息的认定》，《中国检察官》2020年第2期。

[16] 参见[英]维克托·迈尔-舍恩伯格、肯尼斯·库克耶：《大数据时代：生活、工作与思维的大变革》，盛杨燕、周涛译，浙江人民出版社2013年版，第198-199页。

[17]参见Paul Ohm， Broken promises of privacy： Responding to the surprising failure of anonymization， UCLA LAW REVIEW， 57（2010）.

[18] 参见《个人隐私保护之殇：所谓的匿名化数据，十足可以演变成“Dark Data”》，搜狐网 http：//www.sohu.com/a/161723833_804262，最后访问日期：2020年3月1日。

[19] 喻海松：《侵犯公民个人信息罪司法适用探微》，《中国应用法学》2017年第4期。

[20] 同前注[10]。

[21] 參见UK. Information Commissioner's Office： Anonymisation： managing data protection risk code of practice， https：//www.ihsn.org/node/137， 最后访问日期：2021年1月18日。

[22] 参见The Information Commissioner v Miller [2018] UKUT 229 （AAC）.

[23] 同前注[22]。

[24] 同前注[22]。

[25] 参见Article 29 Working Party， Opinion No.05/2014 on Anonymization Techniques， http：//ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf， 最后访问日期：2020年3月25日。

[26]同前注[25]。

[27]同前注[25]。

[28]同前注[25]。

[29]同前注[25]。

[30]参见中共中央网络安全和信息化领导小组办公室：《个人信息保护倡议书签署仪式举行 公布隐私条款专项工作评审结果》，国家互联网信息办公室网http：//www.cac.gov.cn/2017-09/25/c_1121715816.htm，最后访问

日期：2020年3月25日。

[31]同前注[19]。