廖 斯

(澳门科技大学 法学院， 澳门 999078)

随着人类社会进入信息时代，广泛传播的信息无疑为人们带来了大量的机会与财富，而在这些信息当中，公民的个人信息逐渐成为一项独特的资源，被商业主体所收集、分析乃至利用，甚至成为了如今“大数据”分析和预测的运作基础[1]。一般认为，个人信息与个人隐私密切相关，个人隐私信息被他人窃取，可能影响信息主体的正常生活，甚至造成严重的负面影响——如近年来发生的“徐玉玉”案、“宋振宁”案等导致被害人身亡的电信诈骗案件[2]。但是从另一个角度来看，个人信息因商业行为被收集与利用，使其具备成为商业秘密而受法律的保护与规制之可能，且目前学术界与实务界均较少对此问题予以展开。究此，笔者试在我国现有法律制度基础之上，探讨个人信息的商业秘密保护理论与法律救济。

一、学理与规范：个人信息的“可识别性”界定标准

1.对个人信息界定标准的理论探讨与法律认定

(1)对“个人信息”界定标准之学理分析

探讨对个人信息的保护问题，显然不能不对“个人信息是什么”这一问题进行讨论，换言之，对“个人信息”所作出之界定决定了对“个人信息”所采取的保护路径。目前，有关专家、学者对如何界定“个人信息”各有不同，以下试列举并分析之。

有关个人信息应采取何种界定标准之问题备受学者们的关注。譬如，有国外学者根据克林顿政府时期成立的“美国信息基础设施特别工作组”(Information Infrastructure Task Force，简称IITF)之“提供和使用个人信息原则”(Principles for Providing and Using Personal Information)中的定义，认为个人信息中的“个人”并非指代“敏感”或“隐私”，它所呈现的是该信息与特定人之间存在一种“可识别”的联系[3]。张新宝教授则根据欧盟的《一般数据保护规则》(General Data Protection Regulation，简称GDPR)将个人信息表述为“与一个身份已经被识别或者身份可以被识别的自然人相关的任何信息”，并认为个人信息与隐私“呈交叉关系”[4]；郑成思教授在论及个人信用信息制度等问题时则认为，“姓名、住址、职业、收入状况等与个人身份相关的信息”以及“个人的上网习惯、网上消费倾向等信息”等均具有隐私权属性，因而个人信息与隐私权是密切相关的[5]；齐爱民教授认为个人信息是“一切可以识别本人信息的总和”[6]，并指出个人信息应当具有实质要素和形式要素两方面，其中实质要素要求个人信息应当具有对个人的直接或间接的“识别”功能，而形式要素则要求个人信息可以被固定和处理[7]；此外，也有观点认为基于不同的场景个人信息的边界是动态的，界定个人信息应当以该信息是否能直接“识别”特定个人、以及该信息是否因与特定个人“关联”为界定标准[8]。

尽管各学者表述内容与角度不一，但上述观点大多认为，特定信息与个人之间具有一座“桥梁”即“可识别性”，“可识别性”使得个人信息的接触者能够快速且精准地寻找到该个人信息的来源者，并因此而使得个人信息的持有与利用具备现实价值。由此可见，“可识别性”是个人信息的重要性质与特征，其作为个人信息的界定标准并无太大异议，这一界定标准也事实上成为我国法律定义“个人信息”的理论基础。

(2)相关法律对个人信息的界定

基于理论研究成果以及现实需要，我国分别于2012年、2016年和2017年相继发布或出台了《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《网络信息保护决定》)、《网络安全法》与《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息刑法解释》)，上述法律文件对个人信息进行了明确的界定。

《网络信息保护决定》在第一条中明确规定个人信息为“能够识别公民个人身份和涉及公民个人隐私的电子信息”；而随后的《网络安全法》则将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”；《个人信息刑法解释》从侵犯公民个人信息罪的角度对“个人信息”进行了刑法意义上的界定，即：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”①上述可见，这三项法律文件与相关学者的观点一致，借鉴了国外相关立法的内容，均将“可识别性”作为个人信息的认定标准。

2.个人信息的“可识别性”与个人隐私

由前述可见，对个人信息的利用是否与隐私权的保护存在必然联系，有关学者之观点并不一致，而有关法律也并未对这一问题给出明确认定。笔者认为，上述问题事实上涉及对个人信息利用行为的法律性质问题——即是“侵害个人财产权利”抑或“侵害个人隐私权利”，直接影响被侵权人的请求权基础以及所采取的法律救济途径，因此，对个人信息的“可识别性”与个人隐私权的关系问题应当予以厘清。

隐私权属于人格权的范畴，其保护的客体系个人隐私，包括任何与个人有关的、不愿意让他人知晓或者他人不便知晓的一切信息，由这一角度来看，个人隐私客观上是包含了部分“个人信息”的内容，甚至在个人不愿意透露其个人信息的情况下，该个人信息即符合法律之定义而被认定为“隐私”之内容；再者，含有隐私的个人信息之最终来源在于个人(自然人)，其所具有的“可识别性”亦对个人的身份具有指向性，因此，上述有关个人信息与隐私权密不可分的观点似有其道理。

然而，笔者分析认为，上述观点值得商榷：其一，就个人信息本身而言，个人信息仍然并不完全与个人隐私相等同，前者属于具有“可识别性”的身份信息，既有属于后者之范畴的、可称之为“隐私”的信息，也有不属于他人不便知晓的、可用于公之于众的信息。其二，隐私权及其有关制度是对他人利用涉及隐私的个人信息之绝对禁止，是对个人希望排除他人侵扰自己私生活领域的尊重，换言之，隐私作为一种人格上的绝对利益，并不具有可以被他人使用之可能；而不涉及隐私的个人信息本身并不被绝对地禁止使用，事实上，这类个人信息存在被合法使用的可能，譬如个人信息的来源方与使用方达成使用个人信息的一致意思表示等，这种对个人信息的使用具有财产属性，是个人为获取其他有关经济利益所交付的对价。

总结而言，“可识别性”是个人信息得以使用的前提，但这种使用绝不是对隐私信息的使用，因为隐私本身从性质上即不存在被使用的可能。此外，个人信息与个人隐私之间应当是交叉关系，对个人信息的利用行为与隐私权对个人隐私的保护不具有同一性，对个人信息及其使用的保护应当区分其使用性质上的财产权属性和人格权属性，据此，本文所探讨的对个人信息及其使用行为显然是财产权意义上的。

二、现状与困境：对个人信息使用行为的现有保护局限

1.刑事法律与行政规制之公权救济方式及其局限

个人信息在互联网时代所带来的“商机”已大大超过个人信息所应当获得的法律保护，这已成为世界性的难题与挑战。对个人信息的任意使用——如拨打骚扰电话、发送广告信息等——不仅仅对人们的日常生活带来了困扰，实际上还对整个市场的信息资讯传播造成不良影响。目前，我国对个人信息的公权力保护方式——包括刑事法保护以及与网络相关的特别法保护方式已有所完善，以下试列举之。

(1)刑事法律救济方式

我国于2009年颁布了《刑法修正案(七)》，在该修正案的第七条中明确将特定主体在公务或服务过程中收集的个人信息出售，或者非法提供给他人、窃取或者以其他方法非法获取个人信息等情节严重的行为规定为犯罪；2015年，我国出台了《刑法修正案(九)》，其中的第十七条则在《刑法修正案(七)》第七条的基础上整合成了“侵犯公民个人信息罪”，拓宽了犯罪主体之范围，也加大了对相应犯罪行为的处罚力度；此后出台的《个人信息刑法解释》则对“个人信息”作出了刑法意义上的定义。

(2)与网络有关的特别法救济方式

近年来，随着我国互联网产业的发展，与之相关的立法工作也取得了许多重要的效果。如前述提及的《网络信息保护决定》和2016年颁布的《网络安全法》。事实上，上述特别法对个人信息的保护方式主要为行政保护手段。譬如，《网络信息保护决定》为网络服务提供者设定了的诸如说明、保护和协查等义务，这些义务的设立是为了有关行政机关得以行政手段对其进行管理与规制[9]；《网络安全法》中对于网络服务提供商侵害个人信息的法律责任之规定也主要以行政责任为主，对于其所应承担的民事责任、刑事责任等则主要以指示性法律规范之形式存在。

上述两种保护方式，给个人信息使用行为划定了主要的刑事与行政规制边界，其中，通过与网络有关的特别法保护方式也可以大大提高个人信息使用行为的规范性。但局限之处也较为明显：其一，上述刑事法律或特别法专注于对个人信息的刑事法律规制与行政救济措施，而对民事救济方式并未予以明确规定，这显然是不利于个体维护其私权利益的；其二，通过与网络有关的特别法对个人信息使用行为的保护虽有其特定的意义，但应当承认，个人信息终究体现的是对人的识别，从逻辑上看，这种对人的识别并不以互联网为限，因此，上述与网络有关之特别法无法适用于网络环境以外的个人信息使用行为，也不宜对该特别法的有关内容进行扩大解释而使之适用于网络之外的个人信息使用行为，否则将可能会对正在制定中的“个人信息保护法”造成影响、对其立法空间造成挤压[10]。

2.隐私权与“个人信息权”之私权救济方式及其局限

在《民法总则》颁行之前，我国对个人信息保护的民事法律救济主要限于隐私权之范围。然而，限于社会的现实与特定的发展时代，我国1986年《民法通则》以及1988年《最高人民法院关于贯彻执行<中华人民共和国民法通则>若干问题的意见》(以下简称《民通意见》)②均未明确对隐私权的保护加以规定；直至2009年出台的《侵权责任法》即在第二条的适用范围中将隐私权纳入③。

新颁布的《民法总则》在第一百一十条明确规定了“隐私权”的情况下，还在第一百一十一条明确将“自然人的个人信息”列入民法保护的对象，即将个人信息的财产利益与个人隐私的人格利益在立法上进行了分离，这是《民法总则》相较于以往的《民法通则》、《民通意见》等民事基本法律的一个重大的突破。有学者认为，《民法总则》明文禁止非法收集、使用、加工、买卖等侵犯个人信息的行为，实际上是对“个人信息权”的确认，如权利主体为自然人、内容为收集、使用、加工行为等[11]。

上述法律似乎在一定程度上为个人信息的保护提供了民事救济途径。然而笔者认为，无论是通过隐私权保护还是所谓“个人信息权”的保护，这两种保护都是有限的。一方面，如前所述，隐私权保护方式仅是对涉及隐私的个人信息予以控制，其法理特征决定了个人隐私信息属于人格利益的范畴，不存在被使用的可能，换言之，个人信息的使用涉及的是个人财产利益的保护，在隐私权框架下讨论个人信息的使用没有法律意义；另一方面，就《民法总则》第一百一十一条本身而言，其并未对侵害个人信息的行为应当承担何种民事责任作进一步的规定，受侵害的当事人显然无法单独依据该条款得到民法救济，从而成为所谓“僵尸条款”[11]，被侵权者——不能称之为“权利人”——或将只能通过《侵权责任法》的有关立法原则进行法律解释，将其作为获得侵权损害赔偿的请求权基础。

总结而言，应当承认上述现有法律规范对个人信息进行保护的规定——无论是公权保护方式抑或私权救济路径——确实为个人信息的使用行为划定了一系列比较清晰的法律边界，也为个人信息使用中遭遇侵害的人提供了一定的救济方式，但是这些救济方式均存在较大的局限性，无法对个人信息的使用行为提供有效的救济途径、特别是民事法律救济途径。

三、突破与解释：商业秘密保护制度中的个人信息

1.无形财产：个人信息保护的理论突破

如上所述，现有制度似不能为个人信息之侵害行为提供较好的法律救济途径，在此情况下，有观点认为应当尽快制定并出台“个人信息保护法”等相关法律法规对个人信息予以专门保护，这一观点确有其可取之处。但是，相比于尚未有期的立法，笔者认为在现有制度中寻找理论突破、为个人信息的保护找到新的路径似乎更具现实意义。

个人信息的“可识别性”事实上使其具备双重价值：其一为使用价值，相比于其他信息内容，个人信息因经过加工与提炼从而具备了“可识别性”之特征，使用个人信息者能因此快速地与特定的一人或多人建立联系；其二为交换价值，交换价值的形成是以使用价值为基础的，为了节省在海量信息中的搜索成本，使用者得付出有关对价而获得相关个人信息进行使用。在此逻辑之下，个人信息即是一种财产，而且是不具有物质形态的无形财产，似可在无形财产权的理论框架内找到其可适用之法律规范[12]。

在美国著名的“Feist案”④中，原告Rural公司对大量用户的电话信息进行收集，并且在诉讼中试图提出被告Feist公司对其所收集并排版的电话信息黄页之版权构成侵权。最终，美国联邦最高法院认为仅有“额头流汗”的劳动并不能达到使之成为作品的独创性程度。实际上，该案中原告的行为即是一种获取个人信息的行为，但原告的行为结果并不被认定为是具有独创性的表达，因此，收集并获取到的个人信息或者其集合并不能成为著作权法(版权法)保护的客体。但是，从另一个角度来看，个人信息的收集者与来源者之间事实上形成一种意思表示一致之关系，质言之，双方通过合同等民事法律行为使收集者合法地获得了个人信息的使用权；进一步言之，在此前提之下，个人信息可以通过双方之一致合意而构成符合《反不正当竞争法》意义下的商业秘密。在此意义下，通过现有的商业秘密法律制度来对个人信息加以保护的思路值得探讨。

2.法律解释：个人信息可构成商业秘密

个人信息能否适用商业秘密法律制度，其关键在于“个人信息”是否能被解释为“商业秘密”。我国对商业秘密的定义在《反不正当竞争法》第九条第三款，即“不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息”，有关学者将这三点构成要件总结为“未公开性”、“有价性”与“保密性”[12]。因此，个人信息是否符合商业秘密即应结合此三点进行判断。

(1)“可识别性”：个人信息的有价性体现

根据前文的分析，个人信息具有价值，是一种具有非物质形态的无形财产；从现实来看，对个人信息的非法使用往往通过将个人信息销售给他人以牟利[13]，因此，个人信息具备商业秘密的有价性——或称之为“商业上的价值”——并不难理解。

个人信息承载的是可以识别个人身份的任何信息，根据个人信息的界定标准，这些信息有的与个人身份的识别相关，譬如姓名、身份证、联系方式等；有的体现了个人的喜好，譬如对商品的颜色、规格选择等；有的呈现了个人的活动轨迹，譬如行踪、日程安排等。这些信息因为具备对个人身份的指向性而成为不同商业主体的需求，加之信息收集者的提炼、加工乃至通过大数据技术对个人信息进行的应用性分析，进而使得个人信息具备经济利益性质。

(2)从隐私而来：个人信息的未公开性与保密性之体现

如前所述，个人信息与个人隐私具有交叉关系，甚至在来源者不愿意透露的情况下，个人信息仍属于个人隐私之范畴；那么接下来的问题便是，即便个人愿意通过订立合同等方式将其个人信息许可或透露给信息收集者，在双方没有进一步约定的情况下，能否推定信息收集者取得了将该个人信息、以及包含该个人信息在内的客户信息公之于众的权利？

首先，个人信息来源者(尤其是自然人，下同)与收集者之间成立的是一种具有相对性的债权关系，从个人信息来源者的角度看，其许可或透露给信息收集者的个人信息原本并不属于可公开的信息范畴——甚至如前所述属于隐私，因此，在没有进一步约定的情况下，个人信息来源者所许可或透露个人信息的行为属于对合同义务的履行，并且这种履行并不违反其禁止个人信息公之于众的本意，个人信息收集者也不能因合同行为而取得个人信息的使用权，就推定个人信息提供者同时也将个人信息公之于众的权利授予了自己，这一点是显而易见的，概言之，个人信息在来源者与收集者之间的透露，绝不意味着“公之于众”，这应当是收集者应当履行的合同附随义务。因此，即便个人信息处于使用之中，也在本质上具有“未公开性”。

其次，个人信息收集者既具有的“不公开个人信息”的合同义务，对于该义务的轻重程度问题也需要进行考察。进一步言之，这种“不公开个人信息”是仅仅要求个人信息收集者不主动公开即可，还是要达到积极排除合同外的其他人接触到该个人信息的程度？笔者认为后者才是上述附随义务的准确表述。个人信息收集者合法、合约地取得个人信息之时，即已有效地控制了该个人信息，其应当以不低于个人信息提供者的注意来保护这类个人信息，换言之，个人信息的收集者有义务采取足够的保密措施排除他人接触到这些信息之可能，而非简单地“不主动公开”；此外，在客观上，为了保持收集者的商业利益或竞争优势，采取保密措施保护合法知悉的个人信息亦是收集者的主要任务。在此意义上，个人信息也具有保密性。

(3)利益交结：个人信息的竞争法属性

商业秘密规定于《反不正当竞争法》中，那么对商业秘密的探讨是否仅仅局限于存在“竞争关系”的双方之中呢？答案显然是否定的。作为规范竞争行为的法律，《反不正当竞争法》除了要规范经营者的行为之外，其最重要的任务就是维持市场竞争、防止市场失灵，这不仅是《反不正当竞争法》明确的立法目的，也是规制市场竞争行为的必然宗旨。个人信息的提供与收集行为已然成为市场行为中不可忽视的重点，而对个人信息的使用无疑会带来有利的竞争结果，相反，在个人信息的价值日益增加的当代社会，无视对个人信息使用行为的规范将导致市场失灵之状态。在此情况下，以“个人信息即双方的商业秘密”而对个人信息的滥用行为加以限制，是有利于市场竞争、保护市场良好竞争秩序的[14]。

综上可见，个人信息可在来源者与收集者之间进行合法授权而客观上可形成一种商业行为，并且个人信息符合商业秘密的有价性、未公开性与保密性等三项构成要件，因此，个人信息可在上述条件下被认定为商业秘密，从而受到商业秘密法律制度的规制与保护。

四、规范与救济：个人信息使用行为的商业秘密保护路径

从逻辑上看，个人信息被非法利用的前提是个人信息为他人获取，而获取个人信息的方式以“个人主动提供”与“他人非法获取”两种方式。显然，获取个人信息最为直接、最为频繁的方式显然来自于若干个人(即个人信息的来源者)与日常的相关商业主体(亦即个人信息的收集者)所形成的法律关系。

有调查表明，仅16.5%的受访者会主动采取防范措施以避免提供个人的隐私信息，高达66.9%的受访者并不知道其个人信息会被有关企业应用；此外，有66.1%的受访者对于企业应用其个人信息的行为表示“很介意”，但是只有5.7%的受访者会采取诉讼等法律途径来维护自己的权益，在这其中，“诉讼成本大”、“即便有胜算，也很难获得相应的补偿”等问题是绝大部分受访者不选择诉讼维权的原因[15]。笔者认为，以上的数据带来了两个问题：其一，将个人信息“交付”给企业的行为，这种“交付”的实质是什么？其二，根据现行商业秘密保护制度，应当如何合理而有效地对个人信息的使用行为进行保护、提供救济？以下，笔者试对其分别论述。

1.授权许可：规范个人信息使用行为的必要前提

从“高达66.9%的受访者并不知道其个人信息会被有关企业应用”这一点来看，人们在将个人信息交付于有关企业时，如无特别提示或约定，其在主观上仅会认为这种“提供个人信息”的行为只会产生有关企业“接触”或“收集”其个人信息的后果；相反，对个人信息的使用则意味着有关企业所获得的个人信息不仅限于“接触”，而是在于对个人信息进行“二次利用”(如作定点宣传、推广甚至销售给他人)[16]。

从现实情况来看，企业等相关信息收集者对个人信息的“收集”显然是出于“二次利用”或“商业利用”的目的。但是，人们主动提供个人信息在本质上是希望获得更好的服务或产品待遇[15]⑤，而非受到他人对其造成的干扰或对其造成经济损失。郑成思教授在论及个人信用信息的保护时认为，对个人信息的保护不仅应保障个人信息本身不受非法利用等的侵害，更应包括个人“自行决定在何时、何地、以何种方式与外界沟通个人信息”的支配性权利[5]。这种“权利”之说进一步表明，个人信息应当受到个人的控制，这种控制手段便是让个人享有排除他人未经许可地“使用”自己个人信息的权利。

此外，从权利内容上看，有关制度对于商业秘密权的设置并非在于使有关权利人能够使用其商业秘密，而在于排除他人擅自使用其商业秘密。在这一点上，对个人信息的保护首先恰恰在于排除他人的非法使用——无论是使用个人信息获利还是对个人造成侵扰。

2.救济路径：商业秘密保护与举证责任分担

需要强调的是，笔者认同在本文第二部分中分析过的、对个人信息的刑事、行政及专门法保护的相关制度，这些制度为个人信息设置了不同性质的规制路径，而且从长远来看都是必要的，只是需要进一步论述的是个人信息的民事保护。

如前所述，《民法总则》只是对个人信息的法律地位予以认可，但尚未见其对个人信息的非法利用行为设定有效的救济措施；与之相对，《侵权责任法》的相关法律原则仅将隐私权纳入保护范围，因个人信息受到侵害而诉诸《侵权责任法》的方式并非最好的救济途径。根据以上的分析可见，个人信息——无论是单项个人信息、还是由多项个人信息构成的经营信息⑥——客观上均符合商业秘密的构成要件，并且，对个人信息使用的前提是个人信息的来源者通过授权许可的方式许可收集者使用，这种使用以不公开特定个人信息为限，因此，当信息来源者有足够的证据证明，该个人信息系因收集者原因而使得任意第三人接触或获得的，即应当允许相关个人依法向信息的收集者以及接触到该个人信息的任意第三人主张侵害商业秘密的民事责任。

值得一提的是，在实践当中，由于人们在生活中存在大量的运用个人信息的情形，因此该个体的个人信息可能同时为若干收集者所掌握，而且接触或获得该个人信息的任意第三人往往不会透露其获取个人信息的来源，要求相关个人举证证明该第三人所掌握的个人信息之来源未免难度过大。因此，相关司法实践中，在不违反民事诉讼法强制性规定的情况下，适当地要求涉嫌侵害他人个人信息者负担个人信息合法来源的举证责任，既有利于个体对个人信息权益的维权行为，也有利于加重侵害个人信息权益者的侵权成本，易于遏制时下严峻的个人信息侵害问题。

综上，笔者认为，对个人信息的侵害均可以适用《反不正当竞争法》保护商业秘密的有关规定，有关当事人可循此思路通过《反不正当竞争法》寻找民事救济之途径，并且在司法实践中，有意提高涉嫌侵害个人信息行为人的举证责任，达到增加侵权违法成本、遏制非法个人信息交易之目的。当然，实践中也有部分个人信息同时涉及隐私权、人格权的内容，具言之，擅自使用个人信息除了构成对商业秘密的侵犯外，还可能对个人的隐私权、人格权等造成侵害，因此，当事人在寻求商业秘密救济路径的同时，也可通过《侵权责任法》等制度向侵权者主张隐私权、人格权的民事侵权责任。

注 释：

① 《个人信息刑法解释》把“反映特定人的活动情况”涵盖在个人信息的范围之内，但显然，这一内容仍属于“可识别性”之范围。

② 尽管提及了“隐私”，但是该条款所保护的应当是名誉权而非真正的隐私权。

③ 与个人信息、个人隐私相关的法律还包括2006年修订的《未成年人保护法》与2013年修订的《消费者权益保护法》等，其中，2006年《未成年人保护法》中涉及对未成年人隐私保护的法条包括该法第三十九条和第六十九条；2013年《消费者权益保护法》中涉及保护消费者个人信息的法条包括该法第十四条、第二十九条、第五十条和第五十六条第一款第(九)项。但是，上述相关规定均未对侵犯个人信息或对个人信息的非法利用问题提供较为完备的民事救济途径。

④ 详见Feist Publication, Inc. V. Rural Telephone Service Co, Inc. 499 U.S. (1991)。

⑤ 譬如，为获得快递送货上门的便利，很多人还是会倾向于将自己的真实地址(个人信息)“交付”于对方。

⑥ 前者是个人信息来源者(自然人等)与收集者(企业、经营者等)因民事法律关系而形成的商业秘密，后者则是经收集者对大量的个人信息汇集而成的、企业自身所应当注重保护的商业秘密。二者在对个人信息的收集与占有上没有本质差别。