韩旭至

(武汉大学 法学院，湖北 武汉 430072)

个人信息类型化研究

韩旭至

(武汉大学 法学院，湖北 武汉 430072)

个人信息可依三种不同标准作类型化划分。依能否直接识别特定自然人的标准可分为直接个人信息与间接个人信息。一切需要借助其他信息确定特定自然人身份的信息均属间接个人信息。依敏感度的标准可分为敏感个人信息与一般个人信息。敏感个人信息应包括医疗及健康信息、性生活及性取向信息、身份识别号码、个人生物识别信息。依信息主体身份的标准可分为普通人的个人信息与特殊群体的个人信息。特殊群体的个人信息指的是未成年人、公众人物、公务员、企业高级管理人员及控制人的个人信息。

个人信息；隐私；人格权；类型化

目前，我国法律法规中列举了种类繁多的个人信息，在司法实践中也出现了各种各样的个人信息。面对如此庞杂的个人信息内容，以类型化的思维对其进行研究确有必要。

《网络安全法》第76条第5款采取了“概括+列举”的模式定义个人信息，然而在不同的法律法规中，列举的个人信息内容却不尽相同。除了《网络安全法》第76条第5款列举的“姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码”六项个人信息外，健康信息、财产信息、犯罪记录等也常被列举*如《征信业管理条例》第14条列举了“宗教信仰、基因、指纹、血型、疾病和病史信息”以及“个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息”；《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释[2014]11号)第12条列举了“自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息”；《最高人民法院关于人民法院在互联网公布裁判文书的规定》(法释[2016]19号)第10条列举了“家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号”。。

一方面，法律法规中列举的个人信息内容繁多、杂乱，不利于司法实践中的理解适用；另一方面，司法实践中又出现了更多的个人信息内容。通过“中国裁判文书网”检索，仅以援引法释[2014]11号第12条的判决书为分析对象，截至2017年2月6日共有19份判决书，其中涉及个人信息的有17份。这些判决书便涉及包括户籍资料、身份证号码、家庭住址、婚姻状况、工作单位、IP地址、健康信息、购物信息、照片记录等各种个人信息。

在如此繁杂的个人信息种类中，有些显而易见而有些则难以确定，有些对人威胁极大而有些则影响甚微，有些信息还可能因属于不同的信息主体而适用不同的规则。根据不同的类型化标准，个人信息可分为不同的类型。

一、个人信息类型化标准

关于个人信息的类型化标准存在多种学说，主要可分为微观与宏观两个尺度。所谓微观的尺度，即从法律法规列举以及未列举的各种具体的个人信息出发，对这些信息本身运用归纳法作的内容种类描述。所谓宏观的尺度，即从作为一个法律概念的抽象个人信息角度出发，根据特定的属性对抽象个人信息进行类型划分。

(一)个人信息的微观分类

根据各具体个人信息本身的内容，许多学者对个人信息作出了微观分类。如刘德良认为，从内容上看，个人信息可分为“通信信息、财务信息、医疗健康等身体和生理方面的信息、教育信息、信仰信息、基因信息及特定社会关系等方面的信息”[1]。郭瑜认为，个人信息类别有“生物信息、身份识别信息、通讯联络方式、活动记录、自我表达、外在评价”[2]。刘雅琦则主张“基本身份信息、身份延伸信息、个人社会关系信息、个人财产信息、个人行为信息”的类型划分[3]。

学者们对个人信息的这些微观分类无疑有利于理解个人信息的内涵和外延，但却未能回答在个人信息保护的法律意义上这些不同类型的个人信息之间是否有区别的问题。个人信息的微观分类实质上仅是个人信息范畴的附属问题。如《网络安全法》第76条第5款中的“个人生物识别信息”便能包括《征信业管理条例》第14条中的“基因、指纹、血型”。这实际上仅仅是对具体的各种个人信息的客观归类的过程。因此，个人信息的微观分类并非本文所讨论的个人信息类型化问题。

(二)个人信息的宏观分类

在宏观层面上，根据不同标准，学者们划分出个人信息的各种类型。齐爱民归纳得出“直接/间接”“敏感/非敏感”“电脑处理/非电脑处理”“公开/隐秘”“属人/属事”“专业/普通”六种类型标准[4]。谢永志主张根据“属人/属事”“敏感/非敏感”“直接/间接”“国家机关持有/非国家机关持有”“普通群体/特殊群体”“计算机处理/非计算机处理”划分[5]。洪海林认为有“自动处理/手动处理”“敏感/一般”“普通群体/特别群体”三种分类[6]。蒋坡主张“直接/间接”“隐私/公开”“计算机处理/非计算机处理”“自然属性/社会属性”四大分类[7]。另外，还有学者也提出了包括“原始/传来”[8]181“涉及人格尊严/无涉人格尊严”[9]“主观/客观”[10]在内的其他各种分类标准。

诚然，类型化的标准千差万别，根据不同标准可以将个人信息的类型进行不同的分类。然而，类型化研究不是为了分类而分类，而应受分类的必要性与合理性约束。也就是说，个人信息的类型化不仅应具有类型学上的意义，更应具有法学上的意义。抽象分类的法学意义在于，不同类型的个人信息受保护的方式、程度有所不同。唯有符合此意义的类型划分才是必要且合理的。

然而，许多个人信息分类并不符合此类型化标准：(1)“国家机关持有/非国家机关持有”“计算机处理/非计算机处理”的划分实际上对应的是早期的个人信息保护立法。以韩国为例，虽然1993年《公共机关个人信息保护法》(已失效)曾针对的是公共机关持有的个人信息，而2011年《个人信息保护法》却取消了这一限制[11]。又如我国台湾地区1995年《电脑处理个人资料保护法》(已失效)针对的是计算机处理的个人信息，而2010年《个人资料保护法》也取消了对该计算机处理的限制。(2)就“公开/隐秘”的分类而言，个人信息不是隐私，其不以秘密性为要件，即便是公开的信息也受保护。只是在当信息经合法公开时，处理者可在公共领域中进行收集。该分类的法学意义有限。(3)“原始/传来”“主观/客观”的划分并不能体现个人信息受保护方式或程度的区别。无论个人信息是否直接来源于信息主体，都受同等的保护。即便是对个人的主观评价，只要具有识别性都属于个人信息，与反映客观状况的信息一样受到保护[12]。(4)“涉及人格尊严/无涉人格尊严”的划分实际上属于对个人信息属性的理解有误。个人信息属于人格权客体，没有不涉及人格尊严的个人信息，即便是个人财产信息也与个人的存在与发展休戚相关[13]。

在此认识上，笔者认为个人信息可划分为：直接个人信息与间接个人信息、敏感个人信息与一般个人信息、普通人的个人信息与特殊群体的个人信息。

二、直接个人信息与间接个人信息

根据识别性强弱可分为直接个人信息与间接个人信息。这一分类不仅为学界主流学说所认可[9，14-16]，也普遍体现在国内外立法之中。

(一)法律依据及划分标准

《网络安全法》第76条第5款指出：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。”其中，具有单独识别能力的信息为直接个人信息，需与其他信息结合识别自然人的信息为间接个人信息。这一分类亦普遍存在于国外个人信息立法之中。如欧盟2016年《统一数据保护条例》第4条指出，个人信息包括“通过姓名、身份证号、定位数据、网络标识符号以及特定的身体、心理、基因、精神状态、经济、文化、社会身份等识别符能够被直接或间接识别到身份”的信息[17]129。

能否直接识别特定自然人是二者的划分标准[14]。这也就是个人信息识别中的直接识别与间接识别。具有强识别性的直接个人信息能一目了然地识别出特定个人，而具有弱识别性的间接个人信息则必须经过信息拼图、比对的过程才能完成识别[18]。间接个人信息虽不直接指向特定个人，但通过指向与特定个人有关的事物[19]，在借助其他“辅助信息”后最终能起到识别的作用[20]。

基于二者的区别，有学者认为直接个人信息才是传统个人信息保护研究的对象[15]，也有学者认为“人格权商品化”问题是针对直接个人信息而言的[16]。诚然，在前网络时代，凭一个间接信息识别个人较为困难，对间接信息的利用也非常少见。但是在大数据时代的今天，仅凭在网络上留下的蛛丝马迹，就能轻易识别出特定个人。如消费记录、GPS位置信息、IP信息等更常被网络服务提供商所抓取记录，甚至用于商业活动之中[9]。无可否认，间接个人信息与直接个人信息一样，均具有人格利益与商业价值。二者在保护程度上并无外观上的差异*如在“熊文郁与杨婧瑶名誉权纠纷案”中，南京市中级人民法院确认了被告恶意公开原告ID账号、IP地址的行为侵权，并未因ID账号、IP地址非直接个人信息而给予差别保护。(参见(2015)宁民终字第322号判决书)。只是在保护方式上，间接信息常需经过识别性判断后才能受到保护。

(二)范围内涵

一般认为，姓名属于直接个人信息。但在重名的情况下，也需要借助辅助信息进行识别。至于身份证号、社保号、个人生物识别信息等具有唯一性的信息是否属于直接个人信息则存在不同观点。有学者认为，由于其直接指向个人且具有唯一性，无疑属于直接个人信息[4，14，21]。也有学者认为，虽然身份证号、社保号也具有唯一性，但其缺乏“外显性”，需要结合其他辅助信息，因此属于间接个人信息[16]。

笔者认为，唯一性信息不能等同于直接个人信息。一切需要借助其他信息才能确定特定自然人身份的信息都属于间接个人信息。以身份证号信息为例，一串单纯的数字组合若没有结合个人姓名、肖像是无法直接将一个人认出来的。即便是将身份证号输入电脑系统进行查询，也必须以电脑数据库存在与身份证号相连的特定自然人姓名等信息作为前提才能将其认出来。

三、敏感个人信息与一般个人信息

根据敏感度高低可分为敏感个人信息与一般个人信息。关于这一类型划分存在一定学术争议，各国立法也不尽相同。

(一)法律依据及划分标准

我国法律层面上并未对敏感个人信息与一般个人信息进行明确区分，仅在部分指导性文件中采纳了这一区分。如《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《保护指南》)第3.7条及3.8条*《信息安全技术公共及商用服务信息系统个人信息保护指南》第3.7条规定：“个人敏感信息：一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。”第3.8条规定：“个人一般信息：除个人敏感信息以外的个人信息。”、《湖南保险机构客户个人信息保护工作监管指引》第3条第2款对二者进行了区分*《湖南保险机构客户个人信息保护工作监管指引》第3条第2款规定：“保险机构应当区分一般个人信息和敏感个人信息，实行分类区别保护。对敏感个人信息，应实行更高的权限管理，采取更严格的管理措施。”。

从域外法规定来看，包括欧盟及其成员国、经合组织及其成员国、俄罗斯、阿根廷、我国澳门地区以及我国台湾地区在内的许多国家、地区及国际组织均规定了敏感个人信息与一般个人信息的区分。但也有许多国家和地区并未采取这一区分，如我国香港地区在2012年修订《个人资料(隐私)条例》时，便曾就是否引入这一区分进行过讨论，最终也没采纳这一区分方式[22]。

对于我国在将来的个人信息立法中是否采取“敏感个人信息与一般个人信息”的分类，学界存在争议。以齐爱民、蒋坡为代表的学者采取“肯定说”，认同这一分类的立法意义[7，23]。以周汉华、洪海林为代表的学者则采取“否定说”，认为对此无需在法律上进行统一分类，仅需对高敏感度的信息保护进行单行立法即可[5，24-25]。可见，对于高敏感度的敏感个人信息予以特别保护的理念学界并无争议，争议仅在于立法模式的问题上。

具体而言，就是否以隐私为标准划分敏感与一般个人信息存在两种观点。以王忠、谢永志、齐爱民为代表的学者主张以隐私定义敏感个人信息。他们认为，敏感个人信息即涉及隐私的个人信息[4-5，26-29]。范德斯洛特(B. Van Der Sloot)亦指出，“敏感个人信息关注的是隐私问题”[30]。另一方面，刘德良、郭瑜、孔令杰等学者则认为，敏感与否并不取决于是否关涉隐私。他们认为，即便隐私与敏感信息有重合之处也不能等同，敏感个人信息与一般个人信息的划分标准是信息的敏感度[1-2][8]172[31-33]。这一观点亦为《保护指南》第3.7条所采纳。根据该条，敏感个人信息强调的是对“信息主体造成不良影响”的可能性。

笔者赞同后者的观点。隐私与个人信息属于两个不同层面上的法律概念。隐私保护针对的是保密层面的内容，其强调个人私生活不被刺探。而个人信息保护关注的则是个人信息处理，尤其是自动化个人信息处理中，对信息主体造成的威胁[8]158。如个人生物识别特征普遍被认为属于个人敏感信息，但如虹膜特征这种外显性的生物识别信息却难以被认定为具有秘密性的隐私。敏感度，即对信息主体的风险，应是区分敏感与一般个人信息的唯一标准。诚如佛瑞德(Fred H.Cate)所指，“敏感信息，是指被认为对个人具有特殊风险，从而通常受到特殊保护的个人数据”[34]。而不属于敏感个人信息的其他信息则为一般个人信息*一般个人信息也被称为“琐碎个人信息”或“细琐个人信息”。笔者认为，采取一般个人信息的称谓较为合适。“细琐”或“琐碎”的称谓容易引起误解，同间接个人信息相混淆。。

这一分类体现了充分保护隐私主体个人信息的理念，其意义在于，在维护一般个人信息合法处理的同时，充分保护敏感个人信息不受侵害。具体而言，二者的保护方式与程度均有所不同。较之一般个人信息，敏感个人信息的保护方式更细致，受保护程度更高[3]。在规定了敏感个人信息的立法例中，通常要求原则上禁止对敏感个人信息的自动处理。处理该类信息需取得信息主体的明确授权，或在为了保护信息主体自身重大利益的范围内进行，或基于在医学医疗等法定的公益目的并辅之以额外的保护措施的情况下进行。

(二)范围内涵

关于敏感个人信息的范围主要有列举与根据具体情形判断两种界定方式。其中，支持依具体情形判断的学者认为，个人信息的敏感度与其所在语境有关，某些信息仅在特定语境下敏感[35]27。如在保险活动中敏感的基因信息在文化活动中并不敏感[25]。《保护指南》第3.7条即采取了这一界定方式。

诚然，敏感度确实与语境有关，但在信息社会中，流动性是信息的首要特性。以前述的基因信息为例，若仅因基因信息在文化活动中不敏感便不对其进行特别保护，那么，保险业者通过其他途径也必能轻易获取这类信息，最终导致敏感个人信息保护形同虚设。因此，在大数据时代下，在信息的强流动性以及信息处理者的强获取能力面前，敏感确实应是一般性的，对于敏感个人信息更适宜作列举规定。

绝大多数规定了敏感个人信息的立法例也采取了列举形式对其范围内涵进行规定。以欧盟法为例，1981年的《有关个人数据自动化处理的个人保护协定》第6条列举了原则上禁止自动化处理的五种敏感个人信息：人种、政治主张、宗教或其他信仰、与健康或性生活有关的个人信息、与刑事判决有关的个人信息[35]3。1995年的《数据保护指令》第8条在此基础上增加了“工会资格的信息”，并将“刑事判决有关的个人信息”扩展为“涉及犯罪、宣判或安全措施的有关信息”，且规定成员国可扩展规定至“行政制裁或民事判决信息”[35]46。2016的《统一数据保护条例》第9条更进一步扩展了敏感个人信息的范围，增加了哲学信仰、个人基因数据、生物特征数据、性取向四类敏感个人信息*值得注意的是，欧盟法通过该规定首次对敏感个人信息进行了递进式的三层次区分：(1)种族或民族起源、政治观点、宗教信仰、哲学信仰、工会成员资格信息可以处理但禁止泄露；(2)个人基因数据、生物特征数据禁止以识别为目的处理；(3)健康数据、性生活、性取向信息原则上禁止处理。[17]226-227。另外，就身份识别号码而言，《数据保护指令》第8条第7款授权各成员国自行规定相应限制[35]46。对此，冰岛、丹麦、瑞典等国家规定身份证号需用于确定身份必要的目的[35]165。法国、希腊、卢森堡和葡萄牙还规定需经过保护机构审批并授权[31]。

总的来说，敏感个人信息的范围与一国特定的历史文化背景有关[32]。在不同的文化中，信息对应的风险，尤其是受歧视的风险并不一样[36]。因此。各国敏感个人信息的范围均有特殊之处，如匈牙利将国籍规定为敏感个人信息[35]186，意大利及荷兰将商会身份规定为敏感个人信息[35]300。

笔者认为，我国未来个人信息立法中至少应将医疗及健康信息、性生活及性取向信息、身份识别号码、个人生物识别信息判断为敏感个人信息。理由如下：(1)医疗及健康信息一旦泄露将对信息主体的生活、工作、就业、家庭等各个方面产生不可估量的影响。在“虞桂梅与顾雪婷名誉权纠纷案”中，被告泄露原告的疾病信息便直接导致了原告被单位解雇*参见(2015)浦民一(民)初字第23144号判决书。。对此，欧洲法院也曾通过“伦奎斯特案”的判决对健康信息予以扩大解释。其指出，健康信息应包括与个人心理及生理健康有关的各类信息，并重申保护健康敏感信息的重要性*参见Lirukvist, Case C-101/01, ECJ, [2004] 1 C.M.L.R. 20。。(2)性生活及性取向信息也就是个人的“阴私”信息，是自然人极其私密的信息，敏感性自不待言。(3)身份识别号码不仅包括身份证号码，还包括护照号码、通行证号码、驾驶证编号等一切具有身份识别性的统一编号。身份识别号码的泄露将给个人带来“身份盗窃”的重大风险。通过身份识别号码，不法之徒可窃取银行资金、以受害者身份借款、利用受害者身份进行违法犯罪活动等。(4)生物识别技术近年来发展迅速，除传统的指纹信息外，基因、声纹、虹膜、掌纹、3D脸部特征信息等已被广泛运用到信息加密与识别之中。生物识别信息可谓“上帝赋予的身份证”[37]，具有强识别性。以基因信息为例，法国、美国、奥地利等国家在法律中均特别规定了自然人的基因权利[38]。2010年，台湾《个人资料保护法》第6条亦将基因增加为敏感个人信息。

四、普通人的个人信息与特殊群体的个人信息

根据信息主体身份区别可分为普通人的个人信息与特殊群体的个人信息。某些特殊群体的个人信息具备不同的特征，适用特殊的法律规则。这些特殊群体主要指未成年人、公众人物、公务员、企业高级管理人员及控制人。

(一)划分标准及法律依据

二者的划分标准即信息主体身份的区别。身份的区别直接造成了二者属性的区别。较普通人的个人信息而言，未成年人的个人信息内容较少且常不为人所知，而公众人物、公务员、企业高级管理人员及控制人的个人信息内容较多并广为人所知。在信息处理上，未成年人的个人信息的敏感度更高，而公众人物、公务员、企业高级管理人员及控制人的敏感度又较低[39]。

因此，在个人信息保护的方式及程度上，不仅特殊群体与普通人有所区别，不同身份的特殊群体亦有所区别。其中，对未成年人的个人信息，法律给予专门的特殊保护；对于公众人物、公务员、企业高级管理人员及控制人的个人信息保护，通常则需在利益平衡下进行限缩[40]。

就未成年人个人信息而言，一方面，由于其民事行为能力缺失，获取其敏感个人信息必须征得监护人同意，对此，《保护指南》第5.2.7条作出了明确规定；另一方面，基于未成年人特别保护的需要，涉及未成人个人信息的处理常受到限制。如《人民检察院案件信息公开工作规定(试行)》第20条第2款、《最高人民法院关于人民法院在互联网公布裁判文书的规定》第4条第2、4款以及第8条第3款均对法律文书公开中屏蔽删除未成年人的相关信息作了特别规定。从域外法来看，1998年美国还出台了专门的《儿童在线隐私保护法》，对利用互联网收集未成年个人信息的行为予以专门规制。

就公众人物、公务员、企业高级管理人员及控制人的个人信息而言，法律允许在公共利益范围内对其个人信息进行处理。首先，自“卡洛琳公主案”*参见Caroline von Hannover v. Germany,(2005) 40 EHRR 1。以来，涉及公众人物的利益衡量问题在世界范围内得到了关注。最高人民法院通过典型案例“蔡继明与百度公司侵害名誉权、肖像权、姓名权、隐私权纠纷案”亦指出了涉及公众人物时利益衡量的重要性*参见“蔡继明与百度公司侵害名誉权、肖像权、姓名权、隐私权纠纷案”,载《最高人民法院公布8起利用信息网络侵害人身权益典型案例》。。通说认为，在公共利益范围内可对公众人物的个人信息进行处理[41]。其次，基于政府信息公开的要求，公务员的某些个人信息属于公开信息，处理这些公开信息并不涉及侵权。如在“苏希进与王俊山网络侵权责任纠纷”案中，被告在网上公开原告的警察身份及职位，但由于原告的这些信息本属于政务公开信息，因此判决驳回原告诉讼请求*参见(2015)东民一终字第344号判决书。。最后，根据企业信息公开的要求，企业高级管理人员及控制人的个人信息需在不同程度上向股东、债权人以及公众公开。对此，《企业信息公开暂行条例》《公开发行证券的公司信息披露内容与格式准则》《到境外上市公司章程必备条款》等法规作出了明确规定。

(二)范围内涵

特殊群体的个人信息范围应作如下理解。(1)未成年人的个人信息应包括一切与未成年人相关的，能直接或间接识别未成年人的信息。因此，在涉及未成年人的事项时，未成年人的监护人、法定代理人的信息也应属于未成年人个人信息的范畴*正是在这个意义上，《最高人民法院关于人民法院在互联网公布裁判文书的规定》第4条第4款规定涉及未成年子女抚养、监护的文书不公布，第8条第3款规定对未成年人及其法定代理人作隐名处理。。(2)公众人物主要包括政府及社会政治组织的高级官员、历史名人受公众关注的后代、明星、由于参与或卷入某一事件而为公众所关注的人物(也就是通常意义上的政治型公众人物)、历史型公众人物、娱乐型公众人物以及事件型公众人物。值得注意的是，尤其对于事件型公众人物而言，随着时间的流逝，公众关注度与社会影响力逐渐降低，其个人信息所涉及的公共利益也逐渐减弱，最终受保护程度回复至普通人个人信息的状态[42]。(3)公务员可分为一般公务员与高级官员。高级官员应属于政治型公众人物，其个人信息涉及公共利益较大。而一般公务员的个人信息仅在政府信息公开的范畴内受到限制。(4)根据《公司法》第216条的规定，企业高级管理人员及控制人应包括“公司的经理、副经理、财务负责人，上市公司董事会秘书和公司章程规定的其他人员”以及控股的自然人股东、作为自然人的实际控制人。

五、结 语

当前，我国的个人信息保护法律规范正逐步建立。《网络安全法》第76条第5款更是首次在我国法律上界定了个人信息概念及类型。然而，个人信息的类型仍有进一步解释的必要。一方面，个人信息安全面临诸多威胁，个人信息泄露问题层出不穷；另一方面，包括基因、GPS信息、动态IP信息等在内的新型个人信息又不断产生。面对各种各样的个人信息，以科学合理的类型化思维对其进行研究极为重要。

本文分别根据识别性、敏感度、信息主体三个标准，将个人信息分为直接个人信息与间接个人信息、敏感个人信息与一般个人信息、普通人的个人信息与特殊群体的个人信息。其中，每个分类之中的个人信息在保护方式与程度上又皆有所区别。最后，望该类型化研究成果能在回应个人信息类型解释问题的基础上，为个人信息保护司法实践提供有益参考。

[1] 刘德良.个人信息保护与中国立法的选择[M]//陈海帆，赵国强.个人资料的法律保护——放眼中国内地、香港、澳门及台湾.北京:社会科学文献出版社,2014:26.

[2] 郭瑜.个人数据保护法研究[M].北京:北京大学出版社,2012:125.

[3] 刘雅琦.基于敏感度分级的个人信息开发利用保障体系研究[M].武汉:武汉大学出版社,2015:80-83,183.

[4] 齐爱民.大数据时代个人信息保护法国际比较研究[M].北京:法律出版社,2015:136-144.

[5] 谢永志.个人数据保护法立法研究[M].北京:人民法院出版社,2013:12-17.

[6] 洪海林.个人信息的民法保护研究[M].北京:法律出版社,2010:137-142.

[7] 蒋坡.个人数据信息的法律保护[M].北京:中国政法大学出版社,2008:7-9.

[8] 杨咏婕.个人信息的私法保护研究[D].长春:吉林大学,2013.

[9] 刘德良.论个人信息的财产权保护[M].北京:人民法院出版社,2008:25-27.

[10] 张才琴，齐爱民，李仪.大数据时代个人信息开发利用法律制度研究[M].北京:法律出版社,2015:18.

[11] 康贞花.韩国《个人信息保护法》的主要特色及对中国的立法启示[J].延边大学学报(社会科学版),2012(4)：67.

[12] Article 29 Data Protection Working Party. Opinion 4/2007 on the concept of personal data, 01248/07/EN WP 136[EB/OL].[2017- 02-10].http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf.

[13] 张里安，韩旭至.大数据时代下个人信息权的私法属性[J].法学论坛,2016(3):119-129.

[14] 齐爱民.论个人信息的法律保护[J].苏州大学学报(哲学社会科学版),2005(2):30-35.

[15] 陶盈.我国网络信息化进程中新型个人信息的合理利用与法律规制[J].山东大学学报(哲学社会科学版),2016(2):156.

[16] 郭明龙.个人信息权利的侵权法保护[M].北京:中国法制出版社,2012:41-42.

[17] 高富平.个人数据保护和利用国际规则：源流与趋势[M].北京:法律出版社,2016.

[18] 叶良芳，应家赟.非法获取公民个人信息罪之“公民个人信息”的教义学阐释——以《刑事审判参考》第 1009 号案例为样本[J].浙江社会科学,2016(4):76.

[19] ALDHOUSE F. Data protection in Europe—Some thoughts on reading the academic manifesto[J]. Computer Law & Security Review,2013(29):289.

[20] 齐爱民.拯救信息社会中的人格——个人信息保护法总论[M].北京:北京大学出版社,2009:87.

[21] 井慧宝，常秀娇.个人信息概念的厘定[J].法律适用,2011(3):90-93.

[22] 香港个人资料隐私专员公署.2012年条例修订[EB/OL].[2017- 02-10].https://www.pcpd.org.hk/sc_chi/data_privacy_law/amendments_2012/amendment_2012.html.

[23] 齐爱民.信息法原论——信息法的产生与体系化[M].武汉:武汉大学出版社,2010:61.

[24] 周汉华.个人信息保护法(专家意见稿)及立法研究报告[R].北京:法律出版社,2006:79.

[25] 张鹏.论敏感个人信息在个人征信中的运用[J].苏州大学学报(哲学社会科学版),2012(6):99.

[26] 王忠.大数据时代个人数据隐私规制[M].北京:社会科学文献出版社,2014:25.

[27] 吴苌弘.个人信息的刑法保护[M].上海:上海社会科学院出版社,2014:25.

[28] 郎庆斌，孙毅，杨莉.个人信息保护概论[M].北京:人民出版社,2008:26.

[29] 廖宇羿.我国个人信息保护范围界定——兼论个人信息与个人隐私的区分[J].社会科学研究,2016(2):70-76.

[30] VAN DER SLOOT B. Do privacy and data protection rules apply to legal persons and should they? A proposal for a two-tiered system[J].Computer Law & Security Review,2015(31):28.

[31] 孔令杰.个人资料隐私的法律保护[M].武汉:武汉大学出版社,2009:203,215.

[32] 邱映曦.个人资料保护法制与组织内管理及资安思维之探讨[J].(中国台湾)资讯安全通讯,2013(1):119-132.

[33] 肖少启，韩登池.论我国个人信息法律保护的制度构建[J].中南大学学报(社会科学版),2013(4):75-80.

[34] CATE F H.常用术语定义[M]//周汉华.个人信息保护前沿问题研究.北京:法律出版社,2006:418.

[35] 周汉华.域外个人数据保护法汇编[G].北京:法律出版社,2006.

[36] 范姜真媺.他律与自律共构之个人资料保护法制——以日本有关民间法制为主[J].(中国台湾)东吴法律学报,2009(1):163-200.

[37] 张红.指纹隐私保护：公、私法二元维度[J].法学评论,2015(1):87-88.

[38] 王康.基因隐私权的司法创设、法理阐释及未来期待[J].理论月刊,2015(8)：165.

[39] 齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉:武汉大学出版社,2004:8.

[40] 王楠.个人信息跨境转移的法律保护——以公司隐私规则为视角[J].重庆工商大学学报(社会科学版)，2016(1)：68-74.

[41] 杨立新.人格权法[M].北京:法律出版社,2015:269.

[42] 五十岚清.人格权法[M].铃木贤，葛敏,译.北京:北京大学出版社,2009:179.

(编辑：刘仲秋)

On the Categories of Personal Data

HAN Xuzhi

(School of Law, Wuhan University, Wuhan 430072, China)

According to three different criteria, personal data can be classified in three different groups. According to whether directly identifying specific natural persons or not, personal data can be divided into direct personal data and indirect personal data. Any data that needs additional data to identify specific natural persons is an indirect personal data. According to the standard of sensitivity， personal data can be divided into sensitive personal data and general personal data. Sensitive personal data should include medical and health data, sexuality data, identification number and personal biometric data. According to the difference of data subject, personal data can be divided into ordinary people’s personal data and special groups’ personal data, special groups refers to minors, public figures, civil servants, senior managers and the controller of enterprises.

personal data; privacy; right of personality; categorization

2017- 03- 08

韩旭至(1987-)，男，广东广州人，民商法学博士研究生，主要从事民法学研究。

10.3969/j.issn.1673- 8268.2017.04.010

D923

A

1673- 8268(2017)04- 0064- 07