在把握信息利用与个人权利的边界时，可以参照两个基本标准。第一个标准是信息的可识别性。可识别性是一种信息能够成为“个人信息”的核心条件，许多国家或地区的立法都将“可识别”写入个人信息的概念。比如，法国《数据处理、数据文件及个人自由法》第2条规定：“个人数据是指与可通过身份证件号码、一项或多项个人特有因素被直接或间接识别的自然人相关的任何信息。”又如，中国台湾地区《电脑处理个人信息保护法》第3条规定，“个人信息指自然人的姓名、出生日期、身份证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等足以识别该个人的信息。”那么，无法识别到具体个人的信息不应成为法律保护的对象。日本首相官邸组织的“个人数据研讨会”6月19日提出修改《个人信息保护法》，并制定新的个人数据使用方案，以推动并规范“大数据”的利用。方案建议企业可以在未经本人同意的情况下，向第三方提供并使用无法推定具体个人的信息，如购物履历、移动情况等。日本的立法计划就是对可识别性标准的逆向适用，即如果将个人信息进行匿名化处理，使其无法直接推导出具体的个人，那么这种被处理后的信息就不再是法律意义上的个人信息，而转化成一种没有识别意义的数据。

　　第二个标准是行为的公私属性。对于个人信息来说，属于公共领域的利用行为，个人应当适当让渡部分私人利益；属于私人领域的利用行为，则构成对个人权利的侵犯。比如，在互联网领域，美国的大多数司法管辖区已经发展出一条法律原则，称为“自担风险”。该原则明确规定：如果某人自愿让他人获得自己的个人信息，或者将个人信息放在商业信息流上，那么他就放弃了对于这些个人信息的隐私权。在这里，信息主体自愿将自己的个人信息放在商业信息流上，意味着对个人信息的公开，个人信息由此进入公共领域，个人不再享有主张隐私的权利。在互联网传播环境下，信息的流动具有传播速度快、影响范围大的特点。如果允许个人不断对已经进入公共信息流上的信息主张权利，那么一方面会导致司法成本的增加难以承受，另一方面也因影响难以消除而无法提供真正的救济。所以，就互联网上的个人信息问题而言，信息主体自己才是最好的管理者，而法律只在个人能力无法到达的领域发挥作用。比如，是否将个人信息放入公共信息流从而放弃隐私主张权，由信息主体自己决定；但如果信息主体自愿提供的个人信息被恶意利用，发生其他侵权或犯罪事件时，法律仍然会依据传统的既有法律进行干预。

　　（参见《中国媒体融合发展报告（2015）》p101-102，社会科学文献出版社2015年8月）