国网甘肃检修公司：沙尘中坚守的电网人

国家一切权力属于人民和国家机关权力受宪法限制，是一个事情或过程的两个不可分割的方面。

也就是说, 基本权利丧失不是说当事人不能行使该权利, 而是说不能有效地行使该权利。1969年, 联邦政府再次针对《德意志国家报》的主编和发行人弗赖 (Gerhard Frey) 提出申请, 要求宣布其丧失表达自由, 尤其是出版自由, 并且要解散报社和剥夺弗赖的选举权、被选举权以及担任公职的资格。

防卫性民主针对的是旨在消灭自由民主基本秩序的积极行动。[48]对于基本权利来说, 所谓内在限制是指基本权利保护范围的界限, 滥用基本权利的行为自始就不包含在基本权利的保护范围之中。而且在民法上, 权利滥用并非独立的法律制度, 而是诚实信用原则的子集。[13]所以, 基本权利滥用存在更多的可能。宽容或者所谓客观性并不意味着我们就要放弃自己相信的东西或者说不谈生命的终极价值和目标。

[24] 二、基本权利丧失的程序 (一) 丧失哪些基本权利? 1.能不能丧失《基本法》第18条列举以外的基本权利? 根据通说, 基本权利丧失只能丧失《基本法》第18条所列举的权利, 该列举是封闭的, 不能通过类推而扩大。[57]这一制度可以追溯到19世纪早期的德意志帝国, 最初主要是为了保护君主制的国家形式, 后来随着国家形式的改变, 就成了保护民主的国家形式。美国联邦通讯委员会也指出，匿名信息的再识别通常是琐碎的。

另一方面，如WP29所指，所识别的可能性不仅与识别符有关，还与样本量有关。匿名化处理就是保护个人信息的重要手段之一。控制者在完全删除这些识别符，且并不实际知悉该信息可单独或与其他信息相结合用于识别信息主体时，信息视为已被安全地匿名。由此可见，安全港标准并不安全，并且也可能无法满足数据利用的需要。

存在违约时接收方必须通知提供方。通过匿名，可排除个人信息以发挥信息效用，亦可控制信息风险以履行法律义务。

因此，《网络安全法》42条第1款无法识别特定个人且不能复原中的无法亦应按可识别程度解释，理解为可识别程度极低，而实际上无法做到的100%不可识别。需要考虑是否存在新技术或新的可用信息以及这些技术、信息是否可以被用于再识别个人。然而，这一标准却因未能确保信息不被合理地再识别而广受批评。个人信息兼具人格利益与财产利益，个人信息权通过人格权商品化实现个人信息的财产利益{6}。

韩国规定了先行检视、移除识别符、适当评估、安全保护4个匿名化步骤。匿名化机制，即属于信息系统隐私保护机制的重要环节。《民法总则》111条应解释为个人信息权。《美国加利福尼亚州民法典》规定，个人的名、名的首字母、姓的首字母与未加密的社保号、驾照号或身份证号、金融账户访问号码、医疗信息、健康保险信息的任意组合均属个人信息。

再识别技术发展的同时，匿名技术也在不断更新。经过处理识别符、个案风险评估、反对再识别的匿名化处理，方可获取符合法律标准的匿名信息。

否定匿名，必将降低信息主体将个人信息匿名的积极性，从而不利于个人信息保护。(3)相关技术手段 《网络安全法》42条第2款规定，网络运营者应当采取技术措施和其他必要措施确保个人信息安全。

域外法中，影响最为深远的是欧盟在数据保护指令鉴于条款第26条的基础上发展出了所有合理可能性标准，以及美国在《健康保险流通与责任法案》(以下简称HIPAA)隐私规则中确立了专家标准与安全港标准。根据法律规定，尤其是数据最小化原则的要求，匿名化处理是控制者必须履行的法律义务。笔者认为，匿名在个人信息保护制度中发挥着独特的功能与价值，一方面使得充分发挥信息效用，另一方面又恰当地控制了信息风险。(1)专家标准 根据HIPAA第164.514条第b款第1项规定，判断主体信息是否可识别的主体是具有一定知识和经验的专业人员，这些人需掌握统计科学相关知识和方法。2018年生效并替代《数据保护指令》的《统一数据保护条例》(以下简称GDPR)鉴于条款第26条进一步指出，匿名信息即与识别或可识别自然人无关的信息或以数据主体不能或不再可识别的方式匿名提供的个人信息。2016年欧盟法院通过布瑞耶尔案进一步指出，即便是动态IP地址也构成个人信息。

Paul M. Schwartz与Daniel J. Solove亦认为，数据再识别技术将使得个人可识别信息的概念走向消亡{18}。对处理个人敏感信息尤其有利。

为便于理解，本文将统一采取匿名的表述。此外，匿名化机制更是自设计保护隐私(privacy by design)的重要组成部分{19}12。

且当匿名信息通过再识别(re-identification)手段被恢复识别可能性时，这些数据即成为了个人信息，控制者无法再主张财产权。在美国法中，去身份(或译去标识)意味着所有可能与特定个人的身份相关联的信息已被从相关的报告、数据或其他信息中移除。

换句话说，存在两种匿名信息类型，一种为完全不能揭示原始识别信息的匿名信息，另一种为需要不合理的努力(unreasonable effort)方能实现识别的匿名信息{23}。不具识别性的匿名信息并不符合个人信息的概念构成。虽然HIPAA的安全港标准事无巨细地列出了18种识别符，但与其说这是一个标准(standard)不如说是一个规则(rule){18}。(2)识别方式标准：所有合理可能性 具体而言，于控制者和任何其他人而言均不具识别的合理可能性的信息方为匿名信息。

2014年WP29提出了更严格的标准，控制者若没有删除原始数据而将数据集的一部分提供给第三方，其所提供的信息也属于个人信息{12}9。该测试下，试图识别个人信息的主体被假设为一个没有任何先前的知识，但希望实现再识别的个人(一个积极侵权人)。

又如某些特殊的职业或罕见的疾病信息，就可能与其他信息相结合揭示出特定个人的身份{8}。在此基础上，2012年英国信息专员公署进一步提出了积极侵权人测试(the motivated intruder test)用以衡量除控制者外任何其他人的识别能力。

在最低可接受效用之上，将再识别的风险控制在通过不合理的努力方能实现的阀值之内。一些怵目惊心的再识别个案只能说明，大数据背景下匿名无法做到100%安全，并不能说明相关风险已超出匿名信息的法律标准。

即便是删除特定识别符，通过结合额外的辅助信息，堕胎妇女的身份仍有可能被识别。匿名化处理的概念被用于2010年《电子病历系统功能规范(试行)》与2011年《中医医院信息化建设基本规范》之中。以识别符种类为例， Latanya Sweeney研究指出，通过邮政编码、出生日期、性别的结合，能识别61%~63%的美国人。据此， Hrynaszkiewicz指出，3种或以上的准识别符即呈现足够的识别风险。

在我国法中，为履行《网络安全法》42条第2款所规定了信息安全保障义务，控制者有必要采取匿名化处理的方式控制信息风险。该条同时指出，对个人信息进行匿名有助于这一原则的实现。

然而，从我国刑法关于侵犯公民个人信息罪的规定可见，个人信息交易在我国被绝对禁止。除出生日期外，《网络安全法》76条第5款所列举的姓名、身份证件号码、个人生物识别信息、住址、电话号码都可在特定场景中直接识别特定个人。

如英国信息专员公署指出，有效的匿名应建立在对个人信息构成的全面理解之上，并保障不被不恰当的再识别所损害{22}1。定向广告行业标准第3条第1款亦规定，匿名化处理是控制者应履行的义务。