【摘要】匿名化技术作为兼顾数据利用和数据安全的技术始终难以真正落地，原因在于《个人信息保护法》第73条对“匿名化”概念设置了“无法识别”和“不能复原”两个限定条件，这一苛刻要求使得匿名化制度处于“存而不用”的状态。虽然匿名化处理无法实现完全匿名已成共识，但是对于相对匿名的判断标准以及重新识别风险的限定范围始终存有较大争议。现阶段匿名化制度的理论探讨普遍忽视了对该项制度的理论基础探究，而将解决思路限定在个体权益保护的范畴。在数据关系理论范式下，这种信息要素关联性指向的是横向数据关系层面的群体性特征，而这种群体性特征恰恰也是数据经济价值的关键所在。因此，匿名化制度的功能定位应当从单纯地保障个体信息私密性转变为在保障数据关联经济价值的基础上降低重新识别风险。在制度建构层面，匿名化信息所要求的“不能复原”应当被解释为经由事前的风险评估，复原的技术难度和时间成本远超一般主体所能接受的范围。

【关键词】匿名化；数据关系理论；再识别风险；个人信息保护

【文章来源】《中外法学》2024年第2期