彭诚信，史晓宇

（上海交通大学 凯原法学院，上海 200240）

一、个人信息识别问题探寻

（一）实践难题梳理

1.立法方面：法律与行业规范认定标准存在差异

关于个人信息范围的认定，比较权威的法律文本是《中华人民共和国网络安全法》（以下简称《网络安全法》）。该法第七十六条第五项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”该条文表明“身份识别性”是判断个人信息的重要标准。身份识别标准的出现揭示了立法者试图将个人信息的认定标准从传统的隐私标准中抽离。但是，《网络安全法》确立的身份识别标准在实际运用中存在弊端，这种认定标准存在模糊性，部分个人信息无法通过现存的立法确定其是否属于“个人信息”①。《中华人民共和国民法典》（以下简称《民法典》）“人格权编”对个人信息保护设有专门规定，其中第一千零三十四条第二款规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”该条文删去“个人身份”的限定，从而扩大了信息识别标准的内涵，但具体身份识别之外还包括何种识别并不明确。

《信息安全技术 个人信息安全规范》（以下简称《安全规范》）在实质上成为企业数据合规业务及法院司法裁判的指导规范，其中包含对个人信息的范围界定。《安全规范》的演变体现了与《民法典》一致的思路，对《网络安全法》确立的“身份识别”标准有所突破，并明确了识别标准扩充的具体内涵：2017 年发布的《安全规范》在“识别特定自然人身份”的标准外，增加“反映特定自然人活动情况”，并在附录A部分对两种判定个人信息的路径标准作出具体说明，指出反映特定自然人活动情况的“关联”标准以已知特定自然人身份为前提②。2020年发布的最新《安全规范》沿用了“识别”和“关联”的认定路径，同时明确增加规定，将个人画像或特征标签纳入个人信息的范畴③。透过以上用语变化，可以看出我国个人信息认定标准呈现不断宽松的趋势。

以上分析表明在《民法典》总括性立法框架下，如何协调未来“个人信息保护法”及现有的《安全规范》之间的关系，以及如何对个人信息的范围及其具体内容作出科学规定，是当下亟待解决的现实问题。

2.司法方面：信息与隐私等概念混用及模糊认定

虽然我国立法已经着力于将个人信息与隐私予以区分，但在司法实践中，个人信息与隐私等概念长期混用，缺乏明确的使用标准④。此外，个人用户画像是否属于个人信息，司法观点也一直存在分歧。比如对于个人进行的网络浏览、搜索及电子产品使用等行为产生的痕迹信息及经由其加工形成的用户画像信息是否属于个人信息的范畴，法院便存在不同观点⑤。司法实践暴露的上述问题说明个人信息和隐私的概念从内涵到具体外延均模糊不清。

3.产业技术实践方面：新技术及信息收集接连不断引发法律适用难题

我国企业数据合规实践目前已经领先于立法与司法，许多新型的实践问题亟待回应。在技术层面上，区块链技术方兴未艾，对传统的个人信息保护产生极大冲击。区块链不同于传统数据库，链上的信息几乎无法被修改，一旦有人将他人隐私或个人信息以附加信息的形式记载于以太坊的公链上，该条信息便难以被删除而将永恒存在，这对以个人识别为基础形成的特定个人对其信息的控制权能带来挑战⑥。在现实层面上，多种行业领域个人信息的收集和利用现象层出不穷，诸如第三方获取经处理的个人信息后再加工等商业模式的出现，导致对个人信息泄露的风险判断愈加复杂。

（二）理论症结根源

我国个人信息认定在立法、司法以及产业技术实践中出现的上述脱节、矛盾、模糊现象反映了相关法律理论的不完善，其症结在于个人信息虽然在立法上被认定为独立的概念，但是个人信息在理论上的独立性证成很不完善。

对于如何处理个人信息与传统隐私权概念的关系，理论界莫衷一是。主流说主张个人信息与隐私存在显著差异，支持个人信息与隐私相互独立⑦。少数说则认为个人信息的实质应当属于隐私⑧。在主张个人信息与隐私分立的主流说内部，对二者的具体关系，学者也有不同的观点。有学者认为个人信息与隐私在理论上可以明确界分⑨，亦有学者认为个人信息与隐私在内容上存在交叉⑩。

就个人信息本身而言，我国学界基本达成一致，认为个人信息具有识别特定个人的属性，但是所谓的“识别”除具有个人身份识别和行为识别的意义外，是否可能包含第三层含义？

以上关于个人信息概念外部及其本身的理论分歧造成了我国目前个人信息认定及保护在实践中的乱象。在理论上清晰界定个人信息的范围是助力数据经济发展的基础性命题，直接影响后续数据利用的边界及针对不同数据类型采用不同处理原则和保护思路等一系列问题。本文将对个人信息识别标准展开论述，以期为上述理论难题的解决有所助益。

二、个人信息识别标准在美欧国家的实施状况考察

（一）个人信息识别标准的生成

1.美国

在美国，个人信息的识别标准来自独立的信息隐私概念，以个人对信息的控制为前提，这项标准的提出有深刻的技术与理论革新背景。20 世纪60年代，电脑技术的进步推动了信息收集与处理能力的显著提升，越来越多的个人信息开始以电子数据的方式被固定和记录下来，关于个人的信息记录甚至开始贯穿从出生到死亡的全部过程。公共和私人机构采集和存储个人信息的数量迅速增加，并以不同的方式重新筛选、排列、分类、组合，形成大量的承载个人信息的数据库，为公共服务部门搜集社会资料、加强社会管理、便利社会服务提供了物质技术支持，同时也导致信息泄露、误用甚至滥用的风险增加。隐私因技术领域的变化而不单纯具有个人决策的含义，其内涵更加丰富，关于个人的信息及信息的处理也常常涉及隐私，因此形成了信息隐私的概念。个人享有隐私意味着其可以实现对个人信息的控制，可以选择允许或拒绝他人知晓其个人信息。这种控制尤其体现为控制信息的质量，即对个人生活细节的掌控。

在美国健康教育和福利部（HEW）于1973 年发布的《记录、电脑和公民权利》报告中，正文前特别提出了“公平信息实践准则”。其中两项内容为：“个人必须有办法纠正或修改有关其可识别信息的记录。任何组织创建、维护、使用或传播个人可识别数据记录时必须确保其使用的数据的可靠性，并提供防止数据滥用的合理预防措施。”此项报告意味着，以对个人身份的识别作为个人信息的界定标准开始获得认可。

2.欧盟

德国著名的“《人口普查法》案”确立了“信息自决权”理论，信息自决权自此成为个人的一项宪法权利。在该案中，民众针对1983 年颁布的《人口普查法》提起宪法诉讼，主张该法全面调查个人的数据涉及对基本权利的侵犯，法院通过援引宪法中个人一般人格权，认为个人对其信息的独立控制权是基于宪法的基本权利，对该权利的限制必须符合合目的性、必要性的原则。自该案后，信息自决成为个人对其信息享有控制权的基石。但是，对个人信息的控制并非绝对，国家通过明确的法律授权，可以在明确的信息使用目的和范围内收集、处理个人信息。

为了满足信息处理的社会需求，在德国信息自决权被法院认可后，随之而来的是大规模的特殊领域的立法活动，在金融、电信、医疗等诸多领域均出现了大量信息保护法律和判例，并在信息自决的原则之下设立例外情形，同时严格限制信息收集和处理的范围和方式。这些对信息自决原则的限制大多以新闻出版自由、言论自由等为基础，对信息自决权在某些领域作了限缩适用。

欧盟委员会工作组发布的《95/46 指令》将个人信息识别标准表述为“任何已识别或可以识别自然人的相关信息”，对此欧盟委员会工作组的解读为“与自然人相关”指具有一定的关联性，且该种关联性应以识别自然人为前提。以上立法表明欧盟对个人信息的认定以识别性为主要标准，具体识别方式包括身份识别和行为识别。

（二）个人信息识别标准的困境

1.内部缺陷

个人信息的识别标准在美欧国家最初均是以指向个人作为识别的前提，并以身份识别为基础、行为识别为补充。这种对个人信息不加筛选而进行一体性识别的方式过于粗放。

某些个人信息虽然具有指向个人的特征，但个人信息的内部法益却是多元的，并不局限于个人范畴。首先，个人信息本身即具有公共价值，是带有个人特征的社会公共产品。个人信息虽出自个人，却包含了社会整体性的共同福祉。在网络空间中，个人信息是最具活力和价值的数据产品来源，基于大数据处理技术形成的丰富产品和服务不仅为信息共享提供可能，而且为人们的生活带来了肉眼可见的便利。其次，个人信息具有个人进行社会交往所必要的身份识别功能，用以表征个人并与他人作区分，从而开展相应的社会活动。再次，即使抛开公共空间，在个人层面，识别到个人的信息中也同样包含了个人信息公开期望和个人隐私偏好两种需求，二者在不同社会背景、不同人群、不同个人中呈现动态变化的特点。具体来说，人们对隐私的认知变化反映了信息公开期望值和隐私需求量的变动，由此引发隐私认知的代际和人际变化，从而造成信息交互期望下公开信息的愿望与传统隐私的范围交叉，且该交叉范围时刻变动：同一人在一件事上有信息交互和披露的期望，同时在另一件事上可能坚持隐匿而不公开的原则，在不同时间、不同情境下亦可能作出截然不同的选择；不同人对同一件事可能坚持不同的隐私偏好而存在公开与不公开的不同态度。这种隐私偏好差异引发的信息交互和隐私保护需求的变化在日益多元的信息共享和传播媒介出现后变得更为显著，因此很难为每个人的隐私偏好设定一体性的适用标准。个人信息公开期望与隐私偏好的代际、人际和时空差异反映了单纯以身份及行为识别作为识别标准，会造成静态的指向性识别与信息流动变化的冲突。

2.外部冲击

在信息网络新技术革命的时代，脱胎于个人信息控制论的识别标准面临来自外部的冲击，原有单一的识别标准无法适应数据处理技术对个人影响实时变化的特点，即具体个人信息在收集处理过程中的动态变化导致对隐私的影响变动不居，个人信息泄露的潜在威胁时刻存在。

个人可识别信息在技术的作用下，可以去除其身份性因素，从而除去数据和数据主体之间的关联，这种技术被称为去识别化技术（de-identification）。这种技术最初为保护个人隐私和促进数据共享提供了利益平衡的可能性，奠定了以个人可识别信息为核心建构的个人数据收集、使用、披露、传播的隐私保护模式。去识别化技术并非完美无瑕，这种技术虽然种类很多，但只是在成本、技术复杂性、实用性等方面可能存在差异，其基本原理都是试图断开或削弱数据与数据主体之间的关联，即在数据共享前将数据中包含个人信息的字段删除。这种删除仍然可能有隐患，非直接的识别符可能不会被删除，第三方仍然有可能通过留存的数据结合外部数据的分析重新识别到个人，从而挖掘出被隐藏的数据主体身份。从20 世纪90 年代末开始，计算机科学技术的飞速进步促使去识别化信息出现被重新识别的可能，这意味着在技术层面，去识别化是保护隐私的牢不可破的盾牌的预设开始被击碎。由此个人信息范围的传统定义模式便面临一个困境：如果个人信息是指可以用于识别到个人的信息，那么在再识别化技术面前，几乎所有的数据都可能被识别，那么个人信息的范围将会无限扩大，隐私保护的范围也会扩大，网络时代下数据共享、数据流通的价值将会受到巨大的限制。

（三）个人信息识别标准的改良

1.美国：情景完整性和分层理论

近十年以来，美国有很多学者致力于弥合美国与欧盟各国对个人信息的概念界定差异，整体上的改革思路是将原来纯粹基于文义的概念转向宽泛的、分层的、动态的个人可识别信息图谱。

在借鉴欧盟国家经验的基础上，结合技术发展的背景，美国学者从不同角度在学理上对个人可识别信息予以进一步的概念构造。首先，将原来法案中要求个人信息必须可用于身份或行为识别的标准，扩大为无论是否可以识别身份，均属于一般的个人信息。在此宽泛的概念下，针对不同数据类型公开流通后形成的风险差异，将其划分为已识别的个人信息、可识别的个人信息和不可识别的个人信息；并对数据使用者提出不同的数据安全保护要求，当数据脱敏处理符合当前技术要求时，企业可以免除防范信息再识别风险的义务。其次，对个人信息在收集利用中的商业风险进行场景化的分析，反对将隐私作为僵化的标准，转而提出“情景完整性”理论（contextual integrity）。在该理论框架下，个人信息需结合动态的具体情景进行不同认定。比如，对个人消费活动信息，如果商家收集的目的是了解顾客的购买偏好和需求，从而为企业营销策略提供精确指导，这类个人信息虽然可以用于识别个人身份，但是企业的信息收集和处理行为合乎个人信息保护要求；如果商家收集的目的偏离了原有的情景，深度挖掘顾客其他类型的个人信息，则这类个人信息即使通过技术手段切断了与具体消费者的身份关联，商家的行为仍然被认为违反个人信息保护要求。

2.欧盟：“领域理论”和具体识别标准的细分

德国法虽然将个人信息界定为可以识别到个人的所有信息，范围看似无所不包，但是就其内部的具体认定，特别是在一般人格权视阈的架构下如何协调与隐私法益的关系，发展出了“领域理论”。个人的人格领域基于受保护程度的强弱和信息泄露对个人造成风险和损害的高低，可以划分为个人领域、隐私领域和私密领域。私密领域是受保护强度最高、绝对不允许触及的核心领域；个人领域则是个人在社会生活交往过程中形成的涉及个人所有信息的总和，其中可能单独识别或结合识别个人的身份，也可能只是单纯涉及某一个人但不可识别至特定的个人，对其保护强度最弱；隐私领域界于个人领域和私密领域之间，进入该领域需要征得个人的同意，其具体范围受社会生活一般观念、思维习惯的影响而可能存在变化。

欧盟《95/46指令》第2款将个人信息定义为“与已识别或可识别的自然人（‘数据主体’）有关的任何信息”。可识别的自然人是指“可以直接或间接识别的自然人，特别是通过识别号码或一个或多个特定于其身体、生理、心理、经济、文化或社会身份的因素来识别的自然人”。在此定义模式下，个人信息的范围几乎无所不包。进入21世纪后，为了增强个人信息概念的适用性，欧洲的学说理论试图对个人数据的可识别性标准进一步细化，从而细分了个人数据的不同类型。比如，学者Bercic 和George提出关系型数据库设计原则，将个人数据库中的识别符分别在两个维度作了区分，以对个人身份识别能力进行高低划分，能够精确识别到某一个人的唯一识别符为完全识别符（full identifier），除此之外还有部分识别符（partial identifier）；以含有的个人信息是否直接可见划分，包括显性识别符（explicit identifier）和隐性识别符（implicit identifier）。在两个维度上的排列组合形成的四种识别符可以涵盖所有的个人数据库中的数据类型，包括完全显性、完全隐性、部分显性、部分隐性四种类型。对于如姓名、出生日期这类部分识别符，或是如居民身份证号码这类隐性识别符，一般需要在相应关系数据库中获取附加信息结合在一起才可以识别到某一特定的个人。

3.总结：美欧国家的个人信息保护在交流互动中殊途同归

美欧国家对个人信息的保护采用不同的方式，美国的个人信息保护脱胎于宽泛的隐私权救济模式，欧洲国家的个人信息保护则肇始于个人一般人格权之下的信息自决权。二者看似存在差异，实则同源，其背后的理论基础如出一辙。无论是美国的信息隐私控制论，还是德国的个人信息自决论，均强调个人对其信息的控制，由此产生的个人信息识别标准具有显著的人格性特征。之后美欧国家对识别标准的改良路径存在一定的差异，美国采用了个人信息扩大认定、内部情景细分的方式，德国则在私法上发展出领域理论，对不加区分的个人信息粗放式范围认定标准进行限缩，将隐私和私密领域独立于个人一般信息领域。虽然二者的路径存在差异，但是均对个人信息进行一定的区分，并弱化个人对某些信息的控制。

近年出现的隐私或个人信息保护法案，很多都体现了以上理论导向。比如，《加州消费者隐私法案》（CCPA）规定，个人信息是“识别、涉及、描述能够与某一特定消费者或家庭相关联或可以合理地直接或间接与该消费者或家庭相关联的信息”。通过该项规定可以发现，CCPA 已经对传统的个人身份识别标准有所突破，将凡是涉及个人的信息甚至与其家庭相关的信息均归入个人信息的范畴内。在具体列举的类别中，该法案主要区分了姓名、邮政地址、IP 地址、社会保险号码等具有显著标识符特征的个人信息以及个人生物识别信息。此外，CCPA 区分了个人信息收集和后续的数据销售、传输等情景，并分别对不同情景下的个人信息收集处理原则作出规定，体现了情景化理论思想。欧盟出台的《通用数据保护条例》（GDPR）对个人信息的定义在身份识别与行为识别的基础上，加入了基于个人生理、心理因素及社会文化因素等利益的综合考量。同时，条例特别指明在现有技术背景下的匿名信息不属于个人信息的规制范围，从而回应了技术层面的挑战。

三、个人信息识别标准理论在我国的转进

（一）理论调整与转化

我国立法层面认可了个人信息识别标准，但是该标准在我国的具体适用和操作需要作必要的调整和转化，以适应我国的整体法律体系。首先，信息识别的最初目的是明确个人信息的范围，以厘清其与隐私的关系。透过对美欧国家个人信息识别标准制度源流的考察可以发现，隐私信息与传统隐私权虽同为隐私，但是却存在实质差异。在欧盟，隐私权与信息自决权同属于个人一般人格权，且具有基本权利的属性。针对信息自决权，欧盟发展出了删除权、更正权、数据可携权等诸多权能体系，而传统隐私权的内容仅仅包含与个人关系最为紧密的部分，因此信息自决权与传统隐私权差异显著，存在“领域”上的区分。即使在美国，信息隐私出自宽泛的隐私权，用语的表面一致只是掩盖了其背后的实质不同。最初的隐私权具有人格权的属性，并由宪法权利转化为私权中的宽泛隐私权，进而分化出隐私信息的概念，但此时的隐私信息与传统的隐私权已经出现了偏离。传统的隐私权在网络空间治理中被奉为国家强制设立的“绝对隐私”，因此其内涵是相对固定的；而隐私信息的范围控制和变化却会受到信息存在状态、技术特征及具体使用场景变化的影响。其次，识别标准滥觞于信息控制理论，但其内涵早已超越了信息控制论的原本含义，个人信息与个人数据主体的联系仅在于该信息可以识别某人或与某人存在联系，而这不足以使个人控制或支配该信息。信息关涉的内容会影响个人对其控制需求的高低，也会导致信息泄露对个人造成的风险和损害存在差异，因此，对不同识别能力的信息进行区分对待是完善个人信息识别标准的重要方面。

上述理解对我国《民法典》相关条文的解释尤为重要，其第一千零三十二条将隐私区分为私密空间、私密活动和私密信息，第一千零三十四条则将个人私密信息的保护同时纳入隐私权保护的范围。由于隐私信息不同于传统的隐私权，因此，私密信息虽然在我国立法语言上属于隐私信息的一部分并被纳入个人信息的范围，但是其实质却与美国法律语境下脱胎于隐私权的信息隐私及欧盟法律语境下的信息自决权均有显著不同。我国在个人信息范围的继受上呈现出混合性的特征，即表面上遵循欧洲国家个人信息与隐私区分的逻辑，但实际上却又受美国“宽泛隐私权”的影响而造成误导，将二者有意无意地混淆。实际上，《民法典》第一千零三十二条规定的私密信息，仅应当被作为隐私看待，并被作为类似于“绝对隐私”的国家底线存在。在我国司法实践中，对隐私权的保护范围比之于理论上的隐私权范围实则更小，因为其常常将隐私权的保护与个人名誉权的损害相联系，当私密信息涉及名誉权或荣誉权的损失时，才可能被隐私权的保护范畴容纳。

（二）理论纠偏与矫正

个人信息识别标准本身同样存在固有的缺陷，这在新技术革命时代复杂的产业实践中体现尤为突出。因此，对个人信息识别标准在我国的适用必须予以纠偏和矫正，即识别标准除原有的身份识别及行为识别之外，应当包含第三重含义，即对个人信息识别能力的识别。信息识别能力是指某项个人信息对个人的重要性程度，以及其收集使用可带来的财产价值高低及被泄露后可造成的损害大小，亦可称之为信息识别风险。对信息识别能力的识别可以在原有单一的指向性识别之外建立动态的识别框架，并设置相对稳定的可供参考的信息识别能力高低评判因素。

在我国现有的制定法中，个人一般信息与敏感信息的区分是一种对信息识别能力的区分。在这一区分模式下，信息识别能力即指信息的敏感度，其考量因素在《安全规范》中是从后果主义的角度进行设计的，即信息泄露后对个人造成的影响，包括对个人人身、财产安全的影响程度，对个人名誉、身心健康的损害程度，以及对个人造成歧视性待遇的可能程度三个方面。这一规定模式仅仅涉及信息识别能力认定的一种考量因素，尚不完全。实际上，如前文所述，个人信息的人格价值仅仅是其诸多法益中的一种，在更为广阔的信息收集、处理领域，个人信息的法益会呈现更加多元且复杂的状况。首先，不同信息的识别能力会存在固有的区别，受场景变化的影响程度不同。比如，身份证号信息可以单独识别个人的身份并关联个人的银行记录、财产活动状况等诸多相关信息，其识别能力在一般情形下均呈现很高的状态而不易受信息处理场景的影响。个人网络活动记录可以在被分析后反映用户的兴趣、行为习惯等内容，但是仅仅指向用户使用的机器IP地址，且对个人的影响程度深受信息处理场景、信息收集者使用方式的影响，因此其识别能力会呈现一定范围的动态变化。性别信息仅仅能反映某一自然人一个方面的状况，既不能进行身份的识别，也不能掌握该自然人的行为习惯，因此其单独的识别能力在多种不同场景下均十分有限。其次，个人信息的数量也会影响信息识别能力的差异。比如，单一的性别信息可能识别能力有限，但是当众多的性别信息经组合分析后可能会基于不同性别人群出现频率的差异而得出男性和女性不同的行为习惯，从而提高信息的识别能力。再次，当涉及多方主体，比如个人、数据处理者（数据企业）、国家时，信息识别能力会在不同主体之间呈现高低差异。对个人而言，某一条无关紧要的个别信息无论是否具有指向个人的识别特征，均对个人生活影响不大；但对于数据处理者而言，这些个别信息的聚合会被认为具有更高的信息识别能力，可以帮助企业开发下游数据产品、分析消费者行为习惯、制定针对性营销策略，甚至可能在经二次分析后由一般信息上升为敏感度更高、识别能力更强的信息。对国家而言，信息的识别能力会与信息的公共价值紧密相关。一项信息的识别能力虽然很高，但是如果其大规模传播和共享是基于社会新闻传播、公共政策研究的需要，则信息识别能力的考量会让位于公共利益，只要满足一定的匿名化要求即可进行信息的共享和传播。个人、企业乃至国家对同一信息识别能力的不同认识，反映了不同主体的数据处理技术能力差异对信息识别能力的影响。

以上对信息识别能力及其相关影响因素的考量，在未来个人信息保护立法及具体的行业特殊立法中应当有所体现，以丰富《网络安全法》和《民法典》中指向性信息识别标准的内涵，克服传统的信息识别标准的固有缺陷。

（三）具体的转进建议

1.《民法典》立法体系下协调个人信息与隐私的关系

网络信息时代，个人信息保护与隐私保护难以界分，这是由个人信息的范围认定出自个人人格权下的信息控制论决定的。这种特殊的历史演变背景在我国体现得并不突出。首先，我国的隐私权保护起步较晚，经历了因立法缺位而仅在司法实践中通过一般人格权、名誉权及独立的人格利益保护等进行保护的不同保护路径并存的阶段，最初仅在一些部门立法中对隐私权保护有宣示性的规定，最终2009 年出台的《侵权责任法》才将其作为一项独立的民事权利予以确认。其次，我国对个人信息的保护长期处于刑法和行政法规制的状态，相反在民法领域相关立法较为落后。2014 年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》对指导民事侵权案件审判具有指导作用，但关于个人信息保护范围的界定仍然十分模糊，个人信息与隐私呈现混同状态。《民法典》对个人信息保护作单独规定，由此个人信息保护才彻底从公法和刑法领域进入私法视野，与隐私权保护并立。由于我国隐私权保护和个人信息保护在私法领域发展都相对迟滞，因此个人信息与隐私的保护在民事制度层面几乎是并行发展的，这在我国2020 年《安全规范》中体现得更为明显，其中将原文本中的“隐私政策”用语修正为“个人信息保护政策”，彰显了个人信息保护制度的独立价值。

我国《民法典》第一千零三十四条第三款明确规定对私密信息的保护应适用隐私权保护的规定，并将个人信息保护作为备位规则。透过对美欧国家个人信息制度的历史考察，我们可以发现个人信息虽与隐私保护息息相关，但后期经历了由信息控制论向情景理论、分层理论和领域理论的转型，二者存在显著差异，且范围的表面交叉可以借助在识别标准中纳入隐私内容控制而实现分离。对《民法典》关于个人信息包含私密信息的规定应作合目的性的限缩解释，将其解释为仅仅在范围层面的有限交叉，该规定不应适用于个人信息的保护而仅适用于隐私保护。这样的法律解释方式也符合司法实践中大多数涉及私密信息的侵害最终都以隐私侵权诉讼解决，且以出现个人隐私、名誉等次生损害为必要的客观情况。在我国《民法典》的立法框架下，法律文本对个人信息的内容控制仍然是必要的，特别是对私密内容的限定，即作为底线的私密信息范围控制，因此需要在未来司法实践和法律解释中不断明确私密信息的具体范围。

2.个人信息认定标准需要适度宽松

个人可识别信息制度在21 世纪初的转型反映了传统身份识别和行为识别标准的松动，并在立法上对原有标准有显著突破。值得注意的是，囿于我国目前《网络安全法》确立的“身份识别”标准，《民法典》对个人信息“身份识别”标准之外的其他内涵语焉不详等因素，目前行业实践对个人信息的宽泛认定仍然是在原标准基础上通过有限的扩大解释实现的。在未来个人信息保护立法中，应当适度汲取《安全规范》中提出的个人信息宽泛认定标准，在“识别标准”之外，纳入“活动关联”甚至“描述关涉”标准。

3.个人信息的类别在不同法律文件中应当科学化

我国《安全规范》对个人信息在基于可识别性进行一般化定义的同时，又特别列明了隐私风险较高的个人敏感信息清单，并特别对多种个人间接识别信息汇总聚合、用户画像等数据处理技术带来的个人身份识别风险作出了数据使用的特别限制，这与美欧国家学理上的构建思路基本相似。美国与欧盟国家并没有完全放弃传统的可识别性标准，但是针对再识别化技术、网络精准营销等新情况的出现导致的个人可识别信息定义与功能的双重困境，对个人信息的信息识别能力基于隐私风险进行了从低到高的分类，并分别赋予数据处理者以不同程度的风险防控义务，从而使得个人可识别信息的范围在特定领域有所扩张或缩小。存在再识别化可能的信息如果满足一定的匿名化处理要求，可以认为不会触发隐私保护；而对间接识别信息甚至传统个人信息概念范畴之外的网页活动记录互相结合导致的身份被识别，即使数据收集者没有取用个人可识别信息，也仍然要求其在传播、流通、公开数据前进行技术脱敏处理。个人信息分层化、动态化考量的前提应是在立法层面建立科学严谨的个人信息类别清单，从而为司法实践和企业数据合规业务提供稳定的规范指引。基于不同效力层级的法律规范文件，对个人信息的类别清单内容，应当有不同的规定路径。具体包括三个层面：

首先，对于“个人信息保护法”这类具有总括意义的法律，立法文本中在一般的认定标准之外，应当尽可能全面地涵盖个人信息类别，并对其中的具体个人信息进行有代表性的例示。个人信息的类别至少应当包括以下八类，即姓名、称号等称谓性信息，出生日期、工作年限等时间性信息，身份证号码、护照号码等识别码类信息，电子邮箱、电话号码等联系方式类信息，家庭住址、IP 地址等地址类信息，基因、指纹、虹膜等生物识别类信息，精确地理位置、活动轨迹等个人行踪类信息，网络页面浏览记录等网页活动类信息。通过这种立法语言，可以避免目前我国对个人信息范围的例示性规定存在类别信息与具体信息混用、层级交织、例示内容片面且混乱的问题，同时保证个人信息内涵的适度开放性。

其次，对于《安全规范》这类互联网行业中广泛存在的行业标准，应当以信息识别能力作为信息清单设计的主要考量因素。目前《安全规范》中附录部分对个人信息与个人敏感信息的举例清单是有益的尝试，反映了不同场景下信息敏感度的差异会影响数据企业的义务要求。同时，对信息识别能力较高的个人信息的使用，由于在实践中出现较多争议，可以设专门的规定，对企业收集、处理这些个人信息的行为应当进行差异化的规制。比如，对个人生物识别信息，《安全规范》规定个人生物识别信息应与个人身份信息分开存储，且不应存储原始个人生物识别信息。对用户画像信息提出更多的使用限制，使用个人信息时应消除身份指向性，避免精确定位到特定个人。同时，针对用户画像数据分析的不同目的，对企业可以收集的个人信息范围基于情景变化作出不同的规定：为准确评价个人信用状况，可以收集能够确定自然人身份的信息；为进行产品营销而推送商业广告，则只能使用一般的不可确定自然人身份的群体信息。对儿童信息，要求企业在其个人信息保护政策中专门单独向用户明确声明儿童信息处理原则。

再次，对于金融、医疗、教育等不同行业的部门法律，财产信息、健康生理信息、教育信息这些信息类别应当在这些部门法中予以细化，而不必在一般通行的法律和国家标准中作为个人信息类别出现，从而实现不同法律规范间内容的协调。

四、结语

个人信息具有个人和社会的双重属性，其一端连着对个人隐私的保护和尊重，一端连着数据的大规模商业开发和应用，是数据经济发展的基石，个人信息保护制度的建构因此涉及复杂的利益平衡。在《民法典》刚出台的背景下，我国需要对相关下位法进行体系性调整，在认识到个人信息内涵具有复杂多元性的同时，对个人信息的认定标准和具体内涵在调整和矫正的基础上进行适度的扩充、明晰，有助于为数据收集和处理中知情同意及例外规则的制度搭建提供必要框架，并对未来我国信息强国的建设起到重要的奠基作用。

注释：

①范为：《大数据时代个人信息定义的再审视》，《信息安全与通信保密》2016年第10期。

②参见2017 年《信息安全技术 个人信息安全规范》附录A。

③参见2020 年《信息安全技术 个人信息安全规范》第3.1条注3项规定。

④比如在“刘某兴与王某香、李某香等隐私权纠纷案”中，法院认定实名制统计表中包含的身份证号为个人信息，认为银行卡号具有隐私性，并将姓名、身份证号、银行卡号结合的整体信息认定为“个人隐私信息”。虽然将个人信息与隐私分开讨论，但最终仍然通过所谓“个人隐私信息”的概念将个人信息划入隐私的范围予以保护。参见北京市门头沟区人民法院（2017）京0109 民初4482号民事判决书。

⑤比如在“朱某诉百度网讯公司案”中，二审法院认为，网络用户通过使用搜索引擎形成的检索关键词记录，虽然反映了网络用户的网络活动轨迹及上网偏好，具有隐私属性，但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离，便无法确定具体的信息归属主体，故不再属于个人信息范畴。参见江苏省南京市中级人民法院（2014）宁民终字5028号民事判决书。在“淘宝（中国）软件有限公司诉安徽美景信息科技有限公司案”中，法院认为，“生意参谋”数据产品所涉及的网络用户信息表现为根据网络用户的浏览、搜索、交易等行为痕迹信息推测出的个人行为偏好等标签信息，并不能用于识别个人身份，因此是网络用户非个人信息。参见杭州铁路运输法院（2017）浙8601 民初4034 号民事判决书。在“郑州盈讯通信技术有限公司诉中国移动通信集团河南有限公司案”中，二审法院认为，被叫用户的开机行为反映了被叫用户的生活状态或工作状态的变化，该行为时间信息在性质上是被叫用户的个人信息。参见河南省高级人民法院（2015）豫法民二终字第305号民事判决书。

⑥华为区块链技术开发团队：《区块链技术及应用》，清华大学出版社2019 年版，第90 页；程啸：《区块链技术视野下的数据权属问题》，《现代法学》2020年第2期。

⑦王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期。

⑧房绍坤、曹相见：《论个人信息人格利益的隐私本质》，《法制与社会发展》2019年第4期。

⑨彭诚信：《数据利用的根本矛盾何以消除——基于隐私、信息与数据的法理厘清》，《探索与争鸣》2020年第2期。

⑩张新宝：《个人信息收集：告知同意原则适用的限制》，《比较法研究》2019年第6期。