识别性是个人信息的核心因素。因此,通过去识别化处理之后再对信息进行利用是大数据时代个人信息保护的关键措施,即个人信息的去识别化。去识别化,又称去身份化、匿名化、去标识化,是一种通过移除可识别因素切断信息与信息主体之间关联的个人信息处理技术手段,其处于个人信息收集和利用的中间处理阶段,是通过对个人信息的可识别性的技术处理将其隐私属性与财产属性相分离,以实现个人信息的保护和信息大数据分析、运用以及价值增值之间利益衡平的过程。它既是个人信息保护机制中降低个人信息受侵害风险的至关重要的一环,同时也是实现个人信息价值的升华、促进其流通和利用不可或缺的信息保护和处理措施。目前,我国个人信息去识别化已拥有了一定的理论基础和现实基础,理论上拥有认知模式理论、信息边界理论、信息自决权理论、隐私合理期待理论等理论的支持,在网络信息领域、大数据交易领域等诸多领域中得到了一定的实践和运用,且将个人信息进行去识别化后才能进入信息利用领域的商业习惯逐渐形成。而目前我国个人信息去识别化的法律规制仍处于探索阶段,法律规制存在着法律规范零散、失调、效力有限、规范体系不完整、行政监管不力、相应自律机制缺位等诸多不足。个人信息去识别化的法律规制首先需要明确法律规制的理念和模式选择。首先,法律规制理念的明确,一方面,应当保持与个人信息保护一致的规制理念,以人格利益保护为优先位阶,在此基础上通过个人信息保护与数据保护模式共同保护的理念协调个人信息主体与信息控制、利用者以及社会公众之间的利益冲突,实现人格利益保护与信息自由的利益衡平;另一方面,应当采取激励性规制为主,约束性规制为辅的规制理念。进而,是法律规制模式的选择。宜采取在个人信息法律规范之下,由行政机构、行业组织以及以企业为代表的个人信息控制者三种规制主体进行分工明确且相互协调合作的多层级、多方面的混合规制模式。个人信息去识别化的法律规制重点在法律规制模式的具体设计。首先,采取混合规制模式的前提,是个人信息去识别化法律规范的完善。第一,就其原则而言,个人信息去识别化作为个人信息处理手段而受到知情同意原则、目的适当限制原则、数据最小化等原则的指引,同时应遵循禁止再识别原则和风险控制原则两项特殊原则。第二,就其法律标准而言,应当先明确个人信息类型的划分,以个人信息的可识别程度和敏感程度作为界定识别符和准识别符的标准。在此基础上对去识别化采取“合理可能标准”。第三,就个人信息控制者、利用者的法定义务而言,包括去识别化义务、风险防控义务和禁止再识别义务。再者,从行政规制、行业自律、企业自理三个层面进行综合的法律规制。行政规制方面,首先,要明确统一的个人信息管理机构为监管机构;其次,将个人信息的处理和利用纳入行政许可范围内,对个人信息去识别化和利用主体的资质进行审查和登记许可;再次,个人信息管理机构应对个人信息去识别化的全程进行监督和指导,对去识别化进行备案和审查管理,最后,行政责任层面应对违法、违规行政后果进行明确。行业自律层面,应完善行业自律规范,实现行业自律制度与个人信息去识别化的有效结合;建立隐私风险评估制度,实现风险的全程防控;推动有针对性的行业标准和技术标准的制定。个人信息控制者自我管理层面,一方面,应当在个人信息控制者内部建立个人信息安全管理机制,另一方面,个人信息控制者应作出去识别化和禁止再识别的承诺,并对违反承诺的行为承担相应民事责任。三种规制模式分工合作,形成多层次、多方面的体系化、全面化的混合规制体系,推动个人信息去识别化的有效运用。