个人信息的身份识别标准

岳林

（上海大学 法学院，上海 200444）

收稿日期：2017-06-10

基金项目：教育部人文社会科学研究规划青年基金项目（14YJC820069）

作者简介：岳林（1980-），男，湖南常德人。上海大学法学院讲师、法学博士。

摘要：在信息时代，世界各国主要通过传统的隐私法以及新兴的个人信息法来规制个人信息利益。隐私法和个人信息法承担着不同的制度功能，但都以个人信息为主要规制对象。法律适用需要明确个人信息的概念与范围，而身份识别标准被各国隐私法和个人信息法普遍采纳。但是，随着技术进步以及社会变迁，身份识别标准已不能满足司法实践需要。特别是一些通过信息化手段实施的侵扰行为，即便不涉及身份识别，也应当受到隐私法或者个人信息法的规制。

关键词：信息隐私法; 个人信息法; 身份认证; 信息隐私权; 安宁隐私权

中图分类号：DF52

文章编号：1007-6522(2017)06-0028-14

引言

如今我们生活在信息时代：这一方面是因为信息技术渗透到我们生活的每个角落，各类信息以前所未有的数量和速度被生产与传播；另一方面则是因为我们所有人都变成了信息主体，几乎时时刻刻都在生成与自己相关的个人信息或者个人数据。我们的工作、消费、交通、通讯、健身以及娱乐等活动，都能够以信息方式被记录下来；而我们的政府、单位以及企业，也都在直接或间接、积极或消极地收集、处理、使用和传播着这些个人信息。因此，应当如何配置与个人信息相关的权利义务，协调相关利益冲突，就成了当下法律必须解决的问题。

传统的隐私法和新兴的个人信息法是两个最主要的制度选项。目前许多国家都通过这两个不同的法律轨道来保护或者规制个人信息。［1］我国2017年10月1日起实施的《民法总则》，分别在第110条和第111条对隐私权和个人信息作出了保护性规定；而在此之前创设的一系列法律法规，也都把隐私和个人信息列为不同规制对象。①这意味着人们可以根据各自情况来选择诉讼策略，从不同的“请求权基础”出发来维护自己的信息利益。

①例如在《民法总则》出台之前，《刑法》第253条、《网络安全法》第22条、《消费者权益保护法》第14条和第29条等法律，都对个人信息作出了独立于隐私保护的特殊规定。

我国学界的主流观点，就是希望在隐私法之外，再另设一套自成体系的个人信息法，［2］但是，关于两套规范之间的关系则存在不小争议。因为在社会生活以及法律实践中，隐私与个人信息都互有交集，所以法律竞合或者冲突也就在所难免。学界已有不少努力试图厘清法律边界：有观点认为，个人信息权是一项与隐私权并列且独立的具体人格权，所以隐私权不应当包含对个人信息的保护；［3］也有观点主张，个人信息的人格利益应当由隐私法来保护，财产利益则应当由个人信息法来保护；［4］还有观点认为，个人信息法与民法是特别法与普通法关系，因此当两法竞合时应当优先适用个人信息法；［5］162另有学者提议，应当把大数据环境下的个人数据信息定性为公共物品，由公法例如行政法来加以规制，从而可以与私法层面的隐私权划清界限。［6］

其实，在信息时代，在隐私法之外，其他所有受到信息技术影响的法律领域，都可能与个人信息法相互重叠。例如个人的言论、肖像以及著作，在计算机网络环境中都可能被“信息化”，从而使得传统的言论自由、肖像权以及著作权也都被纳入个人信息法的管辖范围之内。而且法律竞合并非总是坏事。如果当事人拥有多个“请求权基础”，那么也就可以根据自身情况和需求，选择一条最符合自己利益的诉讼路径。［7］而中国作为一个幅员辽阔、内部结构复杂的大国，也需要多元且富有弹性的法律框架，即便这种制度形态并不利于实现“同案同判”式的普适化法治理想。［8］甚至在某些时候，法律竞合还会对法律实践以及法学研究中的智识生产和竞争起到相当程度的刺激作用。［9］因此我们很难得出结论说，存在着最佳的甚至是唯一正确的个人信息法律制度。

至少在既有规范体系下，真正具有实践价值的问题之一，就是法官应当采用怎样的司法策略来应对个人信息。不同法律规范对同一概念，例如个人信息，可以给出不同的解释和权利义务配置，同时还因循着不同的制度逻辑。例如隐私法，其基本价值在于保护个人的信息性隐私不被披露，因此，制度效果重在阻断信息流通；而个人信息法在保护隐私利益之余，也负有促进个人信息流通和利用的任务。因此，法官在处理个人信息问题时享有较大的自由裁量空间，而相关案件也会具有较大的司法不确定性。

本文打算在标准（standard）而非规则（rule）层面，来讨论针对个人信息的法律策略。因为法律规则对个人信息或者隐私的规定，往往是笼统和模糊的，所以，法官要在规则之外来寻找更具有可操作性的规则解释方法。甚至有些时候，即便法律规则本身提供了“标准”，法官也需要通过更为具体的尺度，也即标准的标准，来进行司法裁判。我们假定“汽车时速在高速公路上不应超过120公里是一条规则，而“120公里”就是法律直接规定的超速标准。但是在操作层面，如何判断汽车时速是否超过120公里，还需要更为具体的标准。例如“区间测速法”和“固定测速法”都是实践中的常用方法，这两种方法针对同一情形却可能得出不同结论。因此法官对于标准的选择，也就至关重要。不同法律规范可能会提供不同标准，而且法官经常需要发挥能动性以及利用自由裁量权，在规则之外，例如判例和理论，来寻找和确立标准。

目前国际上的通行做法，是以身份识别（identification）为标准，来限定个人信息的保护边界。譬如说，如果行为人披露他人的私事并不包含身份信息，或者不能由此追溯到具体身份的个人，那么该披露行为人也就不应承担隐私侵权责任，或者不构成对个人信息法的违犯。这样一种标准已经得到我国的某些法律法规的承认，例如工信部的《电信和互联网用户个人信息保护规定》。而在近年来一些典型案件中，例如朱烨案和顾俊案，法官都采纳了身份识别标准。我国学界的主流意见，也是希望把身份可识标准作为个人信息的“核心法律要素”。［5］87

笔者试图通过本文证明，随着信息技术的不断发展，社会信息化程度不断深化，身份识别标准在法律实践中已经力有不逮。无论在隐私法还是个人信息法层面上，身份识别都不应成为个人信息识别的唯一标准。

信息技术在很大程度上是无国界的，其他国家特别是美国在社会信息化过程中积累的一些经验和教训，具有一定的借鉴意义。在身份识别问题上，我国学界的专门性研究还不多见。因此，本文将大量借鉴国外学界的相关讨论。当然，本文的问题意识出发点依然是中国的，而且归根结底，本文所做的工作都是为了回应我国司法实践中已经存在的困境和疑难。

一、个人信息保护：从隐私法到信息法

隐私权是晚近才提出的一种权利。19世纪欧洲经历了一场轰轰烈烈的立法运动，但无论《法国民法典》，还是《德国民法典》，都没有只言片语提及隐私概念。很长一段时间，隐私并没有专属于自己的“请求权基础”，两国法官主要是通过肖像权、名誉权、通信自由或者更宽泛意义上的人格权为由来保护相关利益。法国直到1970年才在其民法典第9条添加了对“私生活”的保护，而德国至今也没有这么去做。两国的公法，例如宪法、刑法以及新闻法，也都是隐私保护的主要法律渊源。所以从一开始，大陆法系的隐私保护制度就颇具有开放性，不仅隐私权可以与其他法律权利、利益兼容，而且隐私规范也可以跨越不同法律部门。

隐私权在普通法系国家的历史也很相似。在隐私权概念被普通法承认之前，英美法系国家早已存在大量隐私保护的法律实践，虽然并没有冠上隐私权的名义。美国的隐私权概念一般都要追溯到沃伦和布兰代斯发表于1890年的那篇名作《隐私权》，而英国直到2008年才通过判例正式承认隐私权。隐私权在普通法系国家的发展很大程度上都得益于司法实践。虽然沃伦、布兰代斯以及普罗瑟对隐私权理论作出了开创性贡献，被后人誉为隐私权的发明者，但法官在司法实践中积累的司法智慧，则对隐私权得以被名正言顺地保护起到了更为直接的作用（其实沃伦和布兰代斯也都是著名法官）。此外，来自宪法的保护，例如第四修正案规定要保护个人的“人身、住宅、文件和财产安全免受无理搜查与扣押”，也是美国隐私法的一大特色。劳伦斯·弗里德曼评述说，联邦最高法院“发现”隐私像密码一样被隐藏在美国宪法及其修正案之中。而联邦与州的大量立法和判例，至今仍在不断丰富、改造甚至重构着美国隐私法。所以，我们很难把美国隐私法视为一个独立的法律部门或者规范体系。不少美国学者都在抱怨，美国隐私法体系过于庞杂，缺乏内在统一的制度逻辑。

由此可见，即便各国社会情况和法律文化存在巨大差异，隐私权的制度发展史却存在不少共性。譬如在我国，隐私权也是一项新生权利，同样经历了一个从不被承认到“寄人篱下”再到“出人头地”的曲折历程。而且可以说，各国隐私法存在的一些问题，例如概念范畴不清晰、权利类型复杂化、隐私法与其他法律存在竞合等等，也都“环球同此凉热”。

隐私权被普遍认为是人格权。在德国司法实践中，隐私利益主要是通过“一般人格权”而获得保护。沃伦和布兰代斯把隐私权描述为“不可侵犯的人格”（inviolate personality）。但是具体到隐私权概念，研究者们历来莫衷一是。沙勒夫罗列过六种主流理论，分别把隐私权解释为独处权、限制接触权、保密权、信息控制权、人格自治权和亲密关系权。因此有人悲观地认为，为隐私给出一个精确且全面的定义，或者提供一套统一的隐私权理论，简直就是一个不可能完成的任务。

至于隐私权的类型，也同样是意见纷纭。沃伦和布兰代斯借用托马斯·库利法官的说法，笼统地把隐私权称作独处权（the right to be let alone）。在库利的原文中，独处权是指免受物理性人身损害的权利；到了沃伦和布兰代斯笔下，独处权则主要是为了保护精神性的人格利益。在他们的《隐私权》问世70年后，另一位美国隐私权理论的奠基性人物普罗瑟发表了另一篇经典论文《隐私》。在这篇文章中，作者认为隐私权的独处权定义过于含混，因此进一步提出了四种侵权行为类型：（1）侵扰他人住所、安宁或私事；（2）公开令他人尴尬的私事；（3）公开丑化他人形象；（4）擅用他人姓名或肖像。如果说沃伦和布兰代斯的贡献，是为普通法提出了一项新的权利（right），那么普罗瑟则为普通法提供了四项新的侵权行为。实际上，普罗瑟并不反对隐私权的“独处”定义。相反他认为，这四种侵权行为虽然形态各异，应当适用不同规则，但归根结底都是对独处权的侵犯。

普罗瑟的四分法不仅在学界影响深远，在司法实践中也因为操作性强而被法官广泛采纳，至今仍是美国隐私权理论的一种通说。但是有批评性观点认为，正是从普罗瑟开始，美国隐私权制度就开始走向碎片化了；四分法也不能涵盖所有隐私侵权行为，而且会限制隐私法随着社会变迁而继续发展。例如通过罗伊诉韦德案（Roe v. Wade），美国联邦最高法院就把堕胎权纳入到隐私权体系中，因此有些学者提出，自治权（autonomy）也应当是隐私权的一个重要组成部分。

实际上，不单是美国，各个国家的隐私权类型都复杂多变。因此隐私权的概念和范畴在不同国家也不尽相同。例如普罗瑟列举的后两种侵权行为，以及针对堕胎的自治型隐私权，在其他国家可以通过名誉权、姓名权、肖像权或者生育权来保护。但是总的来说，普罗瑟列举的前两种侵权行为，即侵扰（intrusion）和披露（disclosure），在其他国家被广泛接受。例如在我国学界，比较主流的观点，就是把隐私权内容分为生活安宁和保守秘密两大类型，而它们对应的侵权行为就是侵扰和披露。

随着人类社会迅速进入信息时代，一项新的隐私权类型开始进入人们视野，那就是信息隐私权。当然信息与隐私相互关联，这并不是什么稀奇事情。因为沃伦和布兰代斯所讨论的独处权，以及普罗瑟所谓私事不被公开披露的权利，都可以说成是关于私人信息的权利。而早在信息技术尚不发达的1960年代，威斯丁就已经把隐私直接定义为信息。较近一些理论观点，例如波斯纳把隐私定义为人们希望隐瞒的秘密，实际上也是把隐私权解释成一种个人控制自己私人信息的权利。但是以上这些关于信息的隐私权论述，针对的主要是披露型侵权行为。而在信息技术环境下，信息隐私权所涉及的权利内容以及侵权行为方式就要复杂得多了。

在沙勒夫看来，对私人信息的收集、加工和传播都应当属于隐私法规制的侵权行为。①而在传统隐私权框架下，如果行为人仅仅是收集和加工他人信息，而没有向公众披露，那么很有可能就无法构成隐私侵权。甚至即便行为人传播了他人私人信息，但只要传播范围有限，没有进入公共领域，还谈不上披露，那么也达不到承担传统隐私侵权责任的标准。显然在信息隐私权框架下，隐私权人或者说信息主体的权利范围被大幅扩张。当然信息隐私权的这种扩张主要是理论层面的，在各国立法和司法实践中尚未得到全面承认和落实。

但是信息技术促成的法律变迁，并不限于信息隐私权这一新型权利观念，还包括个人信息法这一相对独立的新兴法律规范体系。“二战”后，随着西方国家社会生活以及社会治理的信息化程度不断提高，政府和企业都开始广泛运用计算机技术来处理个人信息，因此，针对个人信息的立法也如雨后春笋一般纷纷崭露头角。例如在德国，虽然隐私权在立法和司法中迟迟得不到正式承认，个人信息却在一定程度上被青睐有加。诞生于1970年的黑森州《信息保护法》，据说就是世界上第一部关于个人信息的专门立法。而联邦德国的《联邦信息保护法》也于1978年开始生效。几乎在同时，大洋彼岸的美国也开始掀起个人信息立法的热潮，例如1970年的《公平信用报告法》，1974年的《隐私法》和《家庭教育权利与隐私法》，1984年的《电子通信隐私法》以及1988年的《视频隐私保护法》等等。据统计，今天世界上过半数的国家都已经制定了个人信息或者个人数据保护法。仅在最近二十多年间，各国创设的一般性个人信息保护法大约有五十多部。此外，国际组织，例如世界经济合作与发展组织、欧盟以及联合国，近年来也都在积极制定有关个人信息的国际规范。

无论从标题还是文本内容看，这些个人信息法似乎都无意与隐私撇清关系。有德国学者认为，个人信息法就应当包括对隐私利益的保护。②从立法以及司法技术层面看，

①实际上沙勒夫也给出了一个隐私侵权行为的四分法：即信息搜集、信息加工、信息传播、侵犯。可以说前三种行为侵犯的对象，都是所谓的信息隐私权。而最后一种侵犯行为，也就是传统隐私权体系下的侵扰行为。见Solove, Daniel J. "A taxonomy of privacy." University of Pennsylvania law review (2006): 477.

②例如克里普尔认为，个人信息法的保护对象包括但不限于隐私利益。根据他的概括，个人信息法可以保护：（1）知悉信息被处理的利益；（2）个人信息正确和完整的利益；（3）个人信息处理须符合特定目的的利益；（4）隐私利益。参见杨芳《个人信息自决权理论及其检讨：兼论个人信息保护法之保护客体》，《比较法研究》，2015年第6期，第22-33页。

像德国、英国这样一些长期不承认隐私权是一项“法权”的国家，法官需要通过援引个人信息法来保护隐私利益；而像美国这样可以在不同法律层面保护隐私利益的国家，法官也不太可能排斥个人信息法这一隐私权保护路径。甚至许多美国研究者都不愿意对信息隐私法和个人信息法进行严格区分，因为在他们看来，无论普通法、宪法还是个人信息法，都是信息隐私权的法律渊源。①当然，在大陆法系国家，隐私和个人信息一般还是被区别对待的。例如在德国就有学者提出“信息自决权”理论，主张“个人对其一切具有识别性的个人信息的收集、处理和利用享有决定权和控制权”，［10］而这种理论在我国也大有市场。

个人信息法的异军突起，与传统隐私法在信息时代受到的挑战不无关系。这里所谓的挑战，其实是一对矛盾：一方面，由于信息技术对社会生活的渗透已经无孔不入，隐私利益更容易受到侵犯，且更难获得保护，以至于有悲观者哀叹“隐私将死”或者“隐私已死”；［11］另一方面，隐私法的主要目的就是阻断个人信息的不当流通，但是在实际效果上，它又会限制信息技术的发展和应用，即便这种限制在既有规范体系中是“合法”的。所以，个人信息法的制度价值，在于弥补传统隐私法在新社会环境下存在的这两方面不足：即个人信息法一方面要为隐私法提供更加具体的规则和标准，清晰界定信息时代的隐私保护范围；另一方面则要防范隐私权保护泛化，推动个人信息的开放、利用和流通，从而为信息技术的发展保驾护航。［12］4

所以，信息隐私法和个人信息法的适用条件也不太一样：首先，信息隐私法保护的是尚未公开的私事，不包括已经公开的个人信息；而个人信息法则不以公私划分为保护前提，对已经公开的个人信息也能提供保护。②其次，信息隐私法不保护权利人自愿公开或者同意他人传播的个人信息；而个人信息法并不以权利主体的自愿或者同意为保护要件，甚至在某些情况下，它还会设置义务，限制信息主体的同意权。［13］再次，信息隐私法保护的是人格利益，赔偿方式也以人格利益损失为准；而个人信息法还可以保护财产利益，让信息主体获得经济利益方面的赔偿。最后，传统隐私法针对的不法行为将主要是披露行为；而个人信息法规定的不法行为，则还可以包括收集、加工、使用以及非披露性质的传播等行为。

①沙勒夫还介绍过，从19世纪开始，美国就开始创设信息隐私法或者个人信息保护法了。在这个意义上说，美国的隐私法和信息法从一开始就是同源而生的。Solove, Daniel J., "The Origins and Growth of Information Privacy Law. " PLI/PAT, Vol. 748, p. 29, 2003. Available at SSRN: https://ssrn.com/abstract=445181(last visited May. 31, 2017).

②这里所谓的“公开”是相对意义上的。因为姓名、体貌特征、工作单位、通讯方式、住址等个人信息在一个人所熟悉的生活“圈子”中都不是秘密，是已公开的信息。但是相对于“圈子”之外的陌生人来说，这些信息并未公开，依然属于秘密范畴。如果有人基于特定目的来搜集、使用或者传播这些信息，并且造成损害，那么就有可能构成隐私侵权。

二、身份识别标准及其不足

虽然制度功能各异，信息隐私法和个人信息法都需要解决保护对象的范围问题，也即对信息性隐私和个人信息的识别问题。而在司法实践中，这一对概念往往被当作同一概念混同使用，采纳同一司法识别标准。只不过在隐私法审判中，当法官对个人信息进行识别后，还需要对该信息是否具有隐私价值作进一步调查。而且，由于我国隐私法规范比较抽象、宽泛，法官有时还需要通过个人信息法规范来对信息性隐私进行司法识别。

从国际立法以及理论研究来看，个人信息的身份识别标准是更为主流的选择。当然，任何民事司法裁判，其实都需要通过身份识别来确定权利主体。沃伦和布兰代斯在《隐私权》的一个注释中也提到：“一个事物必须经过身份识别（identification）才能成为排他性的所有权对象。它的身份（identity）一经确定，个人所有权也就得以确认，但这与它是有形的（corporeal）还是无形的（incorporeal）无关。”［14］但是法律对有形财产的身份识别，主要是指对权属关系的识别，即相关财产究竟是属于谁的。而个人信息的身份识别，则主要是指能否从相关信息中获知他人的身份内容。也就是说，即便某些信息在权属关系上看并不属于我本人，但是只要信息本身包含我的身份内容，或者能够通过这些信息推导出我的身份，那么这些不属于我的信息也可以被认作信息性隐私或者个人信息。

因此，我们这里所谓的身份识别，是针对信息内容的身份识别。以欧盟在2016年通过的《一般数据保护条例》第4.1条的规定为例：

个人数据是指与一个已被识别或者可识别的自然人（数据主体，data subject）相连的任何信息。该可识别自然人能够被直接或间接识别，尤其是通过参照诸如姓名、身份证号码、定位数据、在线标识或者一个或多个这个自然人的物理、生理、基因、精神、经济、文化或者社会身份。［12］219

在美国，无论针对信息性隐私还是个人信息，法律保护的标准都是所谓的“个人身份可识别信息”（Personal Identifiable Information，往往被简称PII）。用施瓦茨和沙勒夫的话说，个人身份可识别信息就是司法权触发器（jurisdictional trigger），“有PII的地方就可以适用法律；如果PII不存在，那么隐私规制也就无从适用”。［15］而美国第一部提出PII标准的立法，是1974年的《家庭教育权和隐私法》。此后关于信息性隐私或者个人信息的一系列国会与州的立法，也都采纳了这个标准。由于PII标准在实践中被广泛认可，以至于学者们往往把它当作个人信息的代名词来使用。

我国隐私法规范虽然没有确立身份可识别标准，但是在司法实践中，特别是涉及披露型隐私权时，作为原告的权利人也需要证明恰好是因为自己身份被披露所以才导致隐私利益受到侵犯。我国一些个人信息法规范，也已经做到了与国际做法接轨。例如最高人民法院《关于全面推进以审判为中心的刑事诉讼制度改革的实施意见》第16条，直接把“真实姓名、住址、工作单位和联系方式”等身份信息列举为个人信息；工信部《电信和互联网用户个人信息保护规定》第4条，在列举了部分个人信息之后，明确规定个人信息就是“能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。

一般来说，只要相关信息通过了身份识别检测，那么该信息就会被法官认定为个人信息，从而可以直接适用个人信息法规范。而隐私法的司法裁判过程则要复杂一些。因为判断相关个人信息是否具有身份可识别性，只是信息隐私权保护的第一步。法官还需要继续探明，该信息是否具有隐私价值（例如是否已经公开，或者披露是否有利于公共利益），以及哪些主体应当承担相应的注意义务（例如已经知晓权利人真实身份并承担特定保密义务的主体，或者虽然不承担特定保密义务但具有较强身份识别能力的主体）。

无论对于隐私法还是个人信息法，身份识别标准的制度功能都非常相似：其一，为司法识别提供相对精确的标准；其二，弥补传统隐私权框架的不足，把许多过去不被视为隐私的个人信息都纳入到保护范围之内；其三，在强调对身份可识别或者身份已识别信息保护的同时，也保障并且促进了其他信息符合社会发展需要的流通。

在不同国家或者法域，关于身份可识别标准的具体操作依然存在不同的做法，也即不同的关于标准的标准。例如在欧洲，法律主要是通过概括式的定义来界定个人信息，因此身份可识别信息的范围较为宽泛；而美国主要是通过各个领域的特别立法来表述PII标准，因此个人信息的保护范围要相对狭窄。这也能反映出欧美不同的社会文化和法律技术。我们经常可以看到这样一种说法：即欧洲人比美国人更加重视隐私；美国人虽然也热衷于隐私保护，但当隐私权与一些对抗性权利例如言论自由发生冲突时，美国的政治法律制度会更倾向于让隐私利益作出牺牲。不过我们也需要留意，在不同社会和法律环境中，权利内容以及保护措施是很难作出精确的量化比较的。与其说不同国家存在着不同的隐私权保护力度，还不如说它们存在着不同的隐私权保护框架。因为隐私权制度归根结底是一种社会规范，取决于不同国家的社会实践习惯以及政治利益结构。就如波斯特所言，隐私法的功能其实是在“界定社群的本质和边界”。［16］所以，即便具体到个人身份可识别标准，我们也很难建立起一套在全世界都可以普遍适用的操作细则。

但是麻烦在于，法律规范及其理论的发展，似乎总是相对落后于技术的进步，所以个人身份可识别标准在司法实践中已经逐渐有些捉襟见肘了。自从进入信息时代，我们个人生活的点点滴滴，几乎都可以被政府、企业或者陌生人通过各种技术手段来收集、分析和使用。但对此我们往往后知后觉，甚至有时还毫不知情。有许多信息，连我们自己都认为无关紧要，却也可以被他人利用来识别我们的身份，进而侵犯我们的隐私或者其他利益。这些令人防不胜防的信息技术，几乎让我们生活在一个“透明社会”，毫无隐私可言。因此，身份可识别信息与身份不可识别信息之间的界限也就越来越模糊，从而加大了司法裁判的不确定性。

保罗·欧姆就指出，过去人们普遍相信，只要保持自己的匿名身份，那么就可以在最大程度上保障自己的隐私和信息安全。但是在今天，信息技术特别是“身份再识别”（reidentification）技术的发展，已经使得人们无处可匿。许多过去认为与个人信息无关，不太可能从中识别出个人身份的信息，现在也都具有身份可识别性了。他举例说，87%的美国人，都没有和其他人同时分享同样的邮编、生日和性别。这就意味着，即便这三个信息单独看来都不具备充分的身份可识别性，但只要对它们进行整合，就有很大的成功率来定位到具体身份的个体。实际上，几乎任何信息都可以用来识别个人身份，具有身份可识别性。如果法律把所有身份可识别信息都纳入保护范围，那么，不仅会极大加重诉讼负担，而且也会阻碍信息技术以及信息产业的发展。因此，欧姆建议，不是所有身份可识别信息都值得法律保护；我们应当放弃PII这一标准，转而去发掘更有效的信息隐私权保护工具。

施瓦茨和沙勒夫大体同意欧姆对现状的判断，但他们不认为PII标准已经完全失去实践价值。他们指出，PII标准的模糊化会在两个极端带来不同的问题：要么，PII标准泛化，让绝大部分个人信息都能受到隐私法保护，从而限制个人信息的合理流通，而隐私法也会因此变得臃肿不堪；要么，PII标准被限定得过窄，以至于个人隐私无法获得有效保护，隐私法也会因此失去实际效用。所以，他们希望通过对PII标准进行改造，来提出所谓的PII2.0标准，以此来避免隐私法走向这两个极端。

具体来说，施瓦茨和沙勒夫把隐私法或者信息法需要保护的个人信息分为三类：（1）已识别身份的（identified）；（2）可识别身份的（identifiable）；（3）不可识别身份的（non-identifiable）。按照他们的建议，法官应该根据身份被识别的风险，对不同信息给予不同程度的保护：所谓已识别身份信息，是指该信息已经能够直接联系到特定身份个人，因此要给予最高程度的保护；所谓可识别身份，是指该信息可以但尚未直接联系到特定身份个人，因此存在一定的被识别风险；所谓不可识别身份信息，虽然也是个人信息，但因为不能直接或者间接联系到特定身份个人，因此并无太多法律保护价值。对个人信息作出这样区分的好处在于：一方面为法官提供更加精确的身份识别标准；另一方面也可以督促信息管理者（无论政府还是企业）根据身份识别风险对个人信息作出分类管理，从而在加强个人信息保护的同时，也能促进个人信息的合理使用以及流通。［17］相较于PII标准，PII 2.0标准显然更加具体，实际上是在PII基础上又进一步提出了一系列“关于标准的标准”，因此在司法实践中的可操作性也就更强了。

但是PII 2.0也依然需要进一步的改进或者澄清：首先，无论是身份可识别信息还是身份已识别信息，都具有相对性。同样一个信息，例如经过实名认证而注册的网络游戏账号，对服务商而言就是已识别身份信息，但是对其他普通玩家而言，则只是存在识别身份的可能，因而是可识别身份信息。换言之，法律不仅需要考虑信息本身的身份识别风险，还需要对行为人的信息识别能力作出区分，从而施加不同的注意义务。其次，不可识别身份信息也应当是一个相对的概念。所谓不可识别，可能也只能对一部分识别能力不强的主体而言。今天的不可识别身份信息，或许随着技术进步，在将来就能转换成为可识别或者已识别身份信息了。再次，“身份”本身也是一个需要具体标准来界定的概念。不是所有身份，例如网络匿名身份或者社团会员身份，都具有同样的保护价值。而且在美国，并不存在中国式的统一身份证制度，人们在社会生活中更常用的社会保险号码（Social Security Number），也被注明“不用作身份识别”（Not for Identification）。因此，在我国的司法实践中，所谓“身份”应当主要是指那些经过国家认证的“核心身份”，例如姓名、身份证号码、护照号码等等。

其实，无论我们如何对身份识别标准进行升级或者打补丁，它都只是一种司法技术，而非信息技术。信息如何生成和使用，能否识别个人身份或者影响个人隐私，归根结底还是得由信息技术来决定。因此，无论PII 还是PII 2.0都不能直接帮助法官了解相关信息在生活实践中的应用价值。更重要的是，不是所有与个人信息相关的法律问题都可以通过身份识别标准来解决。

三、与身份识别无涉的信息侵扰行为

在信息隐私法和个人信息法兴起之前，早期隐私权理论并没有把身份识别标准置于如此重要的地位。例如沃伦和布兰代斯讨论的独处权，在今天看来主要针对的是披露行为，就不以身份识别作为保护前提。因为在传统社会中，信息性隐私或者个人信息往往与身份内容结合得较为紧密。而且由于过去的信息传播和利用技术水平相对较低，所以对与身份内容没有直接关联的信息的收集、加工、使用和传播，并不存在太大的隐私损害风险。