具体来说，二位学者认为可以将可识别个人信息分为三类：已识别个人的信息（identified information）、可识别个人的信息（identifiable information）、不可识别个人的信息（non-identifiable information）。已识别个人的信息是指已经确定能从人群中识别出某个人的信息；可识别个人的信息是指可能根据这些信息或结合其他信息而识别某个人的信息；不可识别的信息则是不可能识别到某个人的信息。⑥ 二位学者认为，对于已识别个人的信息，应当要求信息的收集者与处理者严格遵守相关信息隐私法所规定的一系列责任，不允许有例外；而对于可识别个人信息，则应当根据可识别个人信息可能带来的风险，对信息收集者与处理者施加不同程度的责任。⑦ 

以信息隐私法的基石“公平信息实践” （Fair Information Practices）为例，二位学者认为，如果相关信息属于已识别个人信息，那么个体应当有一系列完整的信息权利，信息收集者与处理者应当承担一系列责任：第一，个人信息使用限制；第二，个人信息收集限制；第三，个人信息披露限制；第四，个人信息质量原则；第五，个人的被通知权，访问权和更正权；第六，透明性；第七，个人信息安全保护。⑧ 但如果相关信息属于可识别的个人信息，那么信息收集者与处理者应当承担公平信息实践中的部分责任，例如第四点的保障个人信息质量安全的责任、第六点的透明性责任和第七点的个人信息安全保护责任。而对于有的责任，例如第五点中用户的被通知权、访问权与更正权，则不应当作为信息收集者与处理者的责任。

对于责任要求，二位学者给出的理由是，个人可识别信息首先可能给个人带来风险，因此，对个人可识别信息的收集与使用不能放任自流，必须要求信息的收集者与处理者承担个人信息质量保证与个人信息安全保护的责任。个人可识别信息的收集者与处理者应当评估被收集信息的潜在风险，建立起一套“跟踪-审查”的模型，对信息收集、储存、处理与流转建立全流程跟踪与保障的机制。⑨ 其次，二位学者指出，透明性的责任有利于加强消费者、信息收集者与处理者的个人信息保护意识，同时赋予消费者以一定的选择权。

对于豁免的责任，二位学者给出的理由是，赋予个体以被通知权、访问权、更正权等权利首先会造成用户隐私泄露的风险。为了保障个体的此类权利，信息的收集者与处理者必须在个人与相关信息之间建立直接联系，以确保个体能够行使此类权利。但悖论的是，这种直接联系反而会造成个体被直接识别，从而对个体的信息隐私造成直接威胁。此外，由于此类信息并不能直接识别个体，为了满足此类权利要求，信息的收集者与处理者也需要付出较大的成本与努力，这与此类信息可能带来的风险并不相称。?

总之，施瓦茨与索洛夫给出了较为中道的解决方案。这一解决方案既没有采取美国较为狭隘的个人信息定义，将匿名化的行为信息等信息排除在个人信息的范围之外，也没有采取欧洲较为宽泛的个人信息定义，将匿名化的行为信息和其他已识别个人的信息同等对待。施瓦茨与索洛夫将可识别个人信息视为一个单独类型的个人信息种类，并且提出了区别于已识别个人信息的特殊规制方式。

文章来源自网络，若有侵权，请联系删除。