◆ 条文要旨

本条是对个人信息以及个人信息的处理的界定。

◆ 理解与适用

一、个人信息的含义

（一）比较法上的界定

个人信息是个人信息保护法律制度中最核心的概念。从比较法上来看，各国的数据保护法与个人信息保护法对于个人数据或个人信息都有相应的界定。欧盟《一般数据保护条例》第4条第1款规定：“‘个人数据’是指与一个已识别或可识别的自然人（‘数据主体’）相关的任何信息。一个可识别的自然人是指能够被直接或间接地加以识别的人，尤其是通过参考诸如姓名、身份证号码、位置数据、在线身份识别码这类标识，或者通过特定于该自然人的一个或多个身体、生理、遗传、心理、经济、文化或社会身份等要素。”2017年德国《联邦数据保护法》第46条第1项规定：“个人数据指与已识别或可识别的自然人（数据主体）有关的任何信息；可识别的自然人是可以直接或间接识别的自然人，尤其是通过参考如姓名、识别号、位置数据、在线标识符或与该人的身体、审理、遗传、心理、经济、文化或社会身份有关的一个或多个因素等识别特征。”2018年巴西《通用数据保护法》第5条第1款规定：“个人数据：与已识别或可识别的自然人有关的信息。”2017年日本《个人信息保护法》第2条第1款和第2款规定：“1.本法所称的‘个人信息’是指，属于下列各项规定的情形之一的、有关生存着的个人的信息：（1）通过该信息中所含有的姓名、出生年月日及其他记述等[文字、图画或电磁记录（指以电磁方式——指电子方式、磁气方式及其他人类无法感知的方式。后一款第二项相同——制作的记录。第十八条第二款相同）中所记载或记录的或者使用声音、动作或其他方法所表示的所有事项（个人识别符号除外。以下相同）]能够识别特定个人（包括很容易与其他信息相对照，并能够以此来识别特定个人的信息）；（2）含有个人识别符号。2.本法所称的‘个人识别符号’是指，属于下列各项规定的情形之一的，由法令规定的文字、号码、记号及其他符号：（1）为了将特定个人身体的某一部分特征用于电子计算机而将其变换为文字、号码、记号及其他符号，并且能够识别该特定个人；（2）利用提供给个人的服务或购买出售给个人的商品时被分配或发行给个人的卡片及其他材料中所记载的或者以电磁方式记录的文字、号码、记号及其他符号，并且由于为区分不同利用者、购买者或接受发行者而进行了分配或者记载或记录，因而能够识别特定利用者、购买者或接受发行者。”韩国《个人信息保护法》第2条第1款规定：“1.‘个人信息’是指存活个人的相关信息。满足以下任意一项的，可以认定为个人信息：（1）通过姓名、居民身份证号码及影像等可以对个人进行识别的信息。（2）虽然仅凭该信息无法识别特定个人，但很容易将该信息与其他信息结合起来识别个人。这种情况下是否容易结合，应合理考虑获取其他信息的可能性，如所需的时间、费用、技术等。（3）将本款第一项、第二项通过本条1-2之规定进行化名处理，若没有其他信息的使用与结合，无法识别个人的信息（以下称为化名信息）；1-2.‘化名处理’是指通过删除或替代部分或全部个人信息等方法，若无其他附加信息就无法识别特定个人的处理方式。”我国台湾地区“个人资料保护法”没有使用“个人信息”或“个人数据”的概念，而是称之为“个人资料”，该法第2条第1项将个人资料界定为：“指自然人之姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之数据。”

（二）我国法律对个人信息的界定

在《个人信息保护法》颁布前，我国的法律和司法解释对于个人信息已有不少界定。《民法典》第1034条第2款规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”《网络安全法》第76条第5项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定：“刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”《最高人民法院关于人民法院在互联网公布裁判文书的规定》第10条第1款第1项规定，人民法院在互联网公布裁判文书时，应当删除“自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息”。此外，国家标准《信息安全技术 个人信息安全规范》（GB/T 35273—2020）第3.1条将个人信息界定为：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”该界定的注释1中列举了以下个人信息的具体种类——“包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。”

《个人信息保护法》第4条第1款规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”从这一界定可以看出，首先，《个人信息保护法》没有如《民法典》《网络安全法》那样逐一列举个人信息的具体类型。其次，《个人信息保护法》本条第1款对个人信息的界定与《民法典》等法律的界定有所不同。《民法典》采取的是“识别说”，即能够单独或者与其他信息结合识别特定自然人作为确定该信息是否属于个人信息的标准。但是，《个人信息保护法》第4条第1款采取的却是“相关说”，即“与已识别或者可识别的自然人有关的各种信息”（any information relating to an identified or identifiable natural person）。这个标准也是欧盟《一般数据保护条例》采取的标准。

在我国理论界，就个人信息的界定究竟是采取识别说还是关联说，有不同的看法。[79]《个人信息保护法》的起草过程中，就个人信息的定义问题也存在争议。有观点认为，《个人信息保护法》对个人信息的界定应当与《民法典》保持一致，即采取识别说的标准。况且，关联说过于宽泛，将使得在实践中难以区分出个人信息这一类别，不论是对处理者还是监管机构都难以实施有针对性的保护与监管。本书认为，从文字表述来看，《民法典》与《个人信息保护法》对个人信息的定义确实不同，但实质差别不大，即无论是识别说还是关联说，所界定的个人信息的范围基本上是相同的。从识别说的角度来界定个人信息，只有可以直接或间接识别特定自然人的信息才是个人信息，这是从信息本身出发，看是否能够从中找到与特定自然人的关联性。然而，以关联说界定个人信息，则是从信息主体出发，认为只有与已识别或可识别的自然人相关的信息才是个人信息。那些与已识别或可识别的自然人无关的信息，本身也是无法直接或间接识别特定的自然人的，不属于个人信息。如果某个信息处理者A公司已经知道了特定的自然人张三，那么在这种情形下，对A公司而言，关于特定自然人张三的所有信息都是个人信息，而A公司处理张三的信息时都必须遵循《个人信息保护法》的要求。此时，没有必要再从张三的单个信息是否能够直接识别张三或与其他信息结合出来识别张三，来认定该等信息是否属于个人信息。因为，对于A公司而言，已经没有这个必要。例如，张三是A公司的员工，其工作证号码是A1998990126。由于该号码就是A公司分配给张三的，那么，对于A公司而言，该工作证号码就是张三的个人信息。但是，对于其他的组织或个人而言，由于它们并不知道此工作证号码是张三的。所以，依据关联说，A1998990126就不是张三的个人信息。同时，从识别说来看，仅仅凭这样一组号码，也无法直接识别出张三，除非将该号码与其他信息结合能够识别出张三。

由此可见，个人信息定义中的关联说更强调的是个人信息的相对性，即有不少信息是否属于个人信息存在相对性的，是相对而言的，对于某些处理者来说可能是个人信息，但对另外一些处理者就不是个人信息。例如，在我国发生的“朱某诉百度公司案”中，就存在这个争议，即原告朱某利用百度搜索引擎搜索相关信息而形成的检索关键词记录是否属于个人信息。该问题的关键就在于原告朱某的网络关键词检索记录本身是否属于个人信息甚至隐私。对此，法院认为：“网络用户通过使用搜索引擎形成的检索关键词记录，虽然反映了网络用户的网络活动轨迹及上网偏好，具有隐私属性，但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离，便无法确定具体的信息归属主体，不再属于个人信息范畴。经查，百度网讯公司个性化推荐服务收集和推送信息的终端是浏览器，没有定向识别使用该浏览器的网络用户身份。虽然朱某因长期固定使用同一浏览器，感觉自己的网络活动轨迹和上网偏好被百度网讯公司收集利用，但事实上百度网讯公司在提供个性化推荐服务中没有且无必要将搜索关键词记录和朱某的个人身份信息联系起来。因此，原审法院认定百度网讯公司收集和利用朱某的个人隐私进行商业活动侵犯了朱某隐私权，与事实不符。”[80]也就是说，如果百度公司已经通过技术手段知道了或者可以知道是朱某在进行涉案的关键词检索，那么这些检索记录就属于朱某的个人信息，否则，如果根本不知道是谁进行的关键词检索记录，那么就该记录本身而言，不属于与已识别或可识别的自然人有关的信息，不是个人信息。同样，仅仅依据这个信息也无法识别特定的自然人。

（三）个人信息的要素

从《个人信息保护法》第4条第1款对个人信息的界定来看，个人信息具备以下三个要素：其一，自然人；其二，已识别或者可识别的自然人；其三，有关的各种信息。下面逐一阐述。

1.自然人

个人信息是指自然人的信息。所谓自然人，原则上是指活着的自然人，至于已经死亡的自然人即死者的个人信息保护的问题，应当适用《个人信息保护法》第49条的规定，即由其近亲属行使死者在个人信息处理中的权利。胎儿虽然没有出生，不属于民事主体，但是我国《民法典》第16条规定：“涉及遗产继承、接受赠与等胎儿利益保护的，胎儿视为具有民事权利能力。但是，胎儿娩出时为死体的，其民事权利能力自始不存在。”故此，如果个人信息的保护涉及胎儿的利益，那么胎儿视为具有民事权利能力，其个人信息也受到法律保护。

从比较法来看，绝大多数的国家或地区都将个人信息限定于自然人的信息，而不包括法人等组织体的信息。例如，欧盟《一般数据保护条例》在导言部分的第14条就明确指出：“本条例提供的有关个人数据处理的自然人权利保护应当适用于所有自然人，不论其国籍和居住地。本条例不包括涉及法人特别是作为法人而成立的企业的个人数据处理，包括法人的名称、形式以及法人的详细联系信息。”少数国家的立法认为，法人的有些信息也属于个人信息，例如，南非《个信息保护法》第1条将个人信息界定为“是指可识别的、现存的自然人以及可识别的、现有法人的信息”。再如，德国法原则上将法人的信息排除在个人信息之外，但也有例外，即在一人有限公司法人或者依据德国《民法典》（BGB）成立的民法上的公司，或依据德国《商法典》（HGB）成立的无限公司或两合公司等商法上的公司中，有关公司团体的相关资料有可能对个别成员造成影响，例如，有关公司团体的财务状况的信息就是这样的情况，这些信息也被作为个人信息。[81]

在我国，无论立法还是学说，历来都认为个人信息就是指自然人的信息。之所以如此，理由在于：首先，我国《民法典》第111条和《个人信息保护法》第2条明确宣布“自然人的个人信息受法律保护”。其次，“个人信息”一词中的“个人”本身指的就是自然人，不包括法人、非法人组织。这是因为，个人信息保护是为了维护自然人的人格尊严和人格自由，只有自然人才享有人格尊严和人格自由，作为组织体的法人和非法人组织不存在需要保护的人格尊严和人格自由。最后，如果将《个人信息保护法》的适用范围扩张至法人等组织，会产生各种各样的问题，例如，当自然人本身也是个人独资企业的所有人，就很难将自然人的个人信息与个人独资企业的信息区分开。[82]

法人和非法人组织当然也存在相关的各种信息，如政府信息、企业信息、财务信息、经营信息、人员信息、技术信息等。但是这些信息中的有些信息本身依法就应当公开，例如，《政府信息公开条例》明确要求行政机关公开政府信息，应当坚持以公开为常态、不公开为例外，遵循公正、公平、合法、便民的原则。《证券法》第5章“信息披露”中明确要求，发行人及法律、行政法规和国务院证券监督管理机构规定的其他信息披露义务人，应当及时依法履行信息披露义务，包括：按照国务院证券监督管理机构和证券交易场所规定的内容和格式编制定期报告并按照规定报送和公告；发生可能对上市公司、股票在国务院批准的其他全国性证券交易场所交易的公司的股票交易价格产生较大影响的重大事件，投资者尚未得知时，公司应当立即将有关该重大事件的情况向国务院证券监督管理机构和证券交易场所报送临时报告，并予公告，说明事件的起因、目前的状态和可能产生的法律后果。再如，依据《慈善法》的规定，慈善组织、慈善信托的受托人应当依法履行信息公开义务。信息公开应当真实、完整、及时（第71条）。慈善组织应当向社会公开组织章程和决策、执行、监督机构成员信息以及国务院民政部门要求公开的其他信息。上述信息有重大变更的，慈善组织应当及时向社会公开。慈善组织应当每年向社会公开其年度工作报告和财务会计报告。具有公开募捐资格的慈善组织的财务会计报告须经审计（第72条）。依据《企业信息公示暂行条例》的规定，工商行政管理部门登记的企业从事生产经营活动过程中形成的信息以及政府部门在履行职责过程中产生的能够反映企业状况的信息依法应当公示。

至于不是依法必须公开的法人或非法人组织的信息，也有相应的法律制度加以保护。例如，营利法人的商业信息如果属于商业秘密的，可以受到《反不正当竞争法》的保护。我国《反不正当竞争法》第9条第4款规定：“本法所称的商业秘密，是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。”再如，机关法人的信息如果属于依法需要保密的信息，则受到《保密法》等法律的保护。总之，法人和非法人组织等组织的任何信息都不属于个人信息，不适用《个人信息保护法》。

2.已识别或者可识别的自然人

无论对个人信息如何界定或怎样列举，个人信息的核心特征就在于“可识别性”，即能够单独或者与其他信息相结合识别特定的自然人。因为，如果某些信息根本无法识别特定的自然人，那么对于这些信息的收集、存储、使用、共享等并不会对特定自然人的权益造成侵害或产生侵害的危险，也没有必要基于维护自然人的权益的考虑而通过个人信息保护制度对这些信息的处理加以规范。例如，完全是与自然人无关的纯粹的自然界的信息，如天气变化、潮汐情况、地质演变等物理信息；再如，通过采取匿名化技术处理后无法识别特定的自然人且不能复原的信息，如抽样调查统计数据中仅仅显示被调查的人数、地域分布、年龄、男女比例等信息，这些信息无法识别出具体的被调查人是谁，也不属于个人信息。

《个人信息保护法》第4条第1款中的“已识别”与“可识别”的区分不同于《民法典》第1034条第2款中的“单独识别”与“与其他信息结合识别（即间接识别）”的区分。直接识别与间接识别是从识别特定自然人的方式所进行的区分。所谓直接识别是指，某个信息本身就可以识别出特定的自然人。例如，在我国，最典型的可以直接识别出特定自然人的个人信息就是居民身份证件号码。我国《居民身份证法》第3条第2款规定：“公民身份号码是每个公民唯一的、终身不变的身份代码，由公安机关按照公民身份号码国家标准编制。”我国以往因为户籍管理中存在的问题，结果导致居民身份证号码的重号情况较为普遍，在2009年时全国曾有171万人的身份证号码重合，但是公安机关开展户口清理整顿工作以来，到2017年全国居民身份证重号人数已经减少为8人。[83]故此，仅凭居民身份证号码这一信息即可识别出特定的自然人。再如，一个人的指纹这样的生物识别信息，作为自然人独一无二的个人信息，往往也属于可以单独识别出特定自然人的信息。

间接识别就是指与其他信息结合后能够识别，即仅凭该信息本身尚无法识别出特定的自然人，但是只要将该信息与其他信息进行结合就可以识别出特定的自然人。例如，一个人的姓名绝不可能在一个国家或一个更小的行政区域（省市县）内直接识别出特定的自然人，毕竟重名的人可能非常多，所以，只有将姓名与出生日期、父母姓名、籍贯、性别等其他信息相互结合才能识别出特定的自然人。例如，仅仅凭借cookie收集的网页浏览痕迹信息是无法识别出究竟是谁浏览了相应的网页，但是只要将这些浏览痕迹与IP地址信息加以结合，就很容易识别出特定的自然人。例如，在“朱某与北京百度网讯科技有限公司隐私权纠纷案”中就涉及这一问题。[84]原告通过被告的搜索引擎进行了一些关键词检索，而被告依据这些关键词检索向原告进行了定向广告推送，原告认为被告侵害了其隐私权。这种情形就涉及被告收集和处理的原告的关键词记录是否属于原告的个人信息。应当说，单纯的关键词检索记录是无法识别出特定自然人的，但是，如果和IP地址结合起来尤其是考虑到现在的IP地址多为静态IP地址，且原告是在自己家中的个人电脑上进行检索的，因此这些信息结合起来就很容易识别出特定自然人。再如，电话号码在有些国家或地区因为没有强制要求实名登记，故此，仅仅凭借手机号码无法识别出特定自然人，但是将其与姓名结合起来，就可以识别出特定自然人。在我国，由于法律法规规定电话号码必须实名登记，故此，电话号码这一信息本身就足以识别出特定的自然人。[85]当然，直接识别与间接识别的区分也是相对的，以前述姓名而言，虽然在一个国家或一个行政区域内无法直接识别特定的自然人，但是在一个小的群体（如某个学校的一个年级或某个大学的法学院）中，就足以直接识别特定的自然人了。甚至一些辅助性的信息，如“穿黑衣服的男子”这个信息，在一个等待红绿灯的路口的人群中也足以识别特定的自然人。[86]

所谓已识别（identified）与可识别（identifiable），是从特定自然人是否已经被识别进行的区分。已识别指的是特定的自然人已经被识别出来，而可识别是指识别出特定的自然人的可能性，至于究竟是通过直接识别还是间接识别而产生的此种可能性，在所不问。欧盟第29条工作组[87]认为：“一般来说，当一个自然人在一群人中被视为有别于该群体中的其他自然人时，便可以认为是‘已识别’。同理，当一个自然人的身份虽然没有被识别，但是识别其身份是可能的，那么该自然人就属于‘可识别’。”“识别身份通常是通过我们称之为‘标识符’（identifiers）的具体信息来实现的，该数据与具体个人之间存在专属和密切的联系，如该人的外貌，如身高、毛发颜色、服装等，或该人无法被直接察觉出的某项特质，如职业、能力、称谓等。”[88]欧盟《一般数据保护条例》第4条第1款规定：“一个可识别的自然人是指能够被直接或间接地加以识别的人，尤其是通过参考诸如姓名、身份证号码、位置数据、在线身份识别码这类标识，或者通过特定于该自然人的一个或多个身体、生理、遗传、心理、经济、文化或社会身份等要素。”至于如何判断自然人的身份是否可识别，《一般数据保护条例》导言部分的第26条指出：“需要考虑所有可能使用的手段，比如利用控制者或其他人来直接或间接地确认自然人身份。为判断所使用的手段是否可能用于识别自然人，需要考虑所有客观因素，包括对身份进行确认需要花费的金钱和时间，考虑现有处理技术以及科技发展。”由此可见，信息是否可以识别特定自然人本身并不是固定不变的，不仅在不同的国家或地区是不同的，而且还会随着技术的发展及由此产生的识别成本、识别时间等因素的变化而发生改变，即以往无法识别特定自然人的信息可能在未来就具有可识别性。总之，无论是采取可识别说还是关联说，凡是那些无法单独识别或者与其他信息结合不能识别特定的自然人的信息或者与已识别或可识别的自然人无关的信息，都不属于个人信息。

3.有关的各种信息

个人信息包括与已识别或者可识别的自然人有关的各种信息。第一，所谓“有关的”是指，当信息涉及一个人的身份、特征或行为，或被用于确定或影响该人的地位或评价方式的时候，该信息就是与已识别或可识别的自然人有关的信息。换言之，确定信息是否与自然人有关时，应当考虑该信息的内容、目的和效果，即该信息具有内容要素、目的要素或者结果要素。[89]

第二，从《个人信息保护法》第4条第1款采取的“各种信息”的表述可以看出，其范围非常广泛，不限于敏感的、私人的信息，还可能包括其他各种信息，无论这些信息是客观的信息，如自然人的基因信息、疾病信息，还是主观的信息，如对该人的看法或信用、工作表现的评价；无论该信息是个人的生活信息、经济信息，还是职业信息等各个方面。换言之，只要是涉及已识别或可识别的自然人的各种信息都属于个人信息，至于该等信息的内容如何，无关紧要。这些信息可能是自然人的工作条件与兴趣爱好、个人收入和税收的数据、护照的细节、指纹、摄像机记录的人物图像、考试试卷和考官对这些试卷的评论、电子通信数据，等等。[90]例如，在我国司法实践中，曾发生关于车辆相关信息是否属于个人信息的案件。该案原告余某认为被告未经同意而处理其案涉车辆的行驶数据、维保数据等信息，构成对其个人信息权益的侵害。但是，法院认为，原告的案涉车辆的历史车况信息不属于原告的个人信息，理由在于：案涉历史车况信息无法单独或间接识别特定自然人。首先，从内容上看，案涉历史车况报告中的信息包括了车架号、车辆基本行驶数据、维保数据、碰撞数据、评分项目及具体评分等，未出现自然人身份信息、行踪信息、通信通讯联系方式等能直接识别特定自然人的信息。其中，车架号显示在汽车车身外观，车架号仅为识别特定车辆的编码，无法识别到特定自然人。车辆基本行驶数据仅记录已行驶里程数，而维保数据和碰撞数据中也未显示车辆维修保养机构的位置信息和维修保养的具体日期，不能以此识别出自然人的行踪轨迹。故此，原告余某主张车况信息体现自然人维保行踪，理据不足，法院不予采纳。而基于前述数据形成的评分项目及具体评分，系被告通过自主算法解析生成的结论，无法与特定自然人进行关联。其次，从特征上看，案涉历史车况信息能综合反映所查车辆的日常损耗程度、未来发生故障可能性、未来使用寿命、损坏程度、安全系数等。原告余某认为案涉历史车况信息综合反映了其驾驶习惯、驾驶特征、消费能力、消费习惯等。但是，法院认为，余某作为车辆所有人，其对于自有车辆车况数据的敏感度更高，但从社会公众的一般认知来看，案涉历史车况信息仅能反映所查车辆的使用情况，其内容既不涉及具体个人，也不用于评价具体个人的行为或状态，无法关联到车辆所有人等特定自然人，故对于余某的上述主张，法院不予采纳。再次，从来源上看，根据法院查明的《补充协议》，由数据提供方及其关联方公司负责对汽车维修保养数据中涉及自然人隐私的敏感信息进行脱敏处理，并将脱敏后的信息发送给酷车易美公司用于商业用途，数据提供方及其关联公司向被告承诺其提供的所有汽车维修保养数据来源合法。证据显示，案涉历史车况报告所呈现的信息确与上述约定一致，未包括涉及自然人隐私的敏感信息，社会公众也无法通过应用软件查询车辆所有人的身份信息。同时，产生车况信息的主体，不一定是特定自然人。根据日常生活经验，多个自然人使用同一车辆的情况较为常见，如代驾司机、维修工勤人员、近亲朋友等。这种情况会进一步模糊特定自然人的行踪信息等细节，无法通过车况信息精准识别到车辆的实际使用人是否为原告余某本人。因此，案涉历史车况信息无法单独识别特定自然人。最后，案涉历史车况信息无法与其他信息结合识别特定自然人。法院认为，虽然实践中存在通过第三方信息与车况信息结合识别到特定自然人的可能性，但一般理性人在实现上述目的时会综合考虑行为成本，比如技术门槛、第三方数据来源、经济成本、还原时间等，综合上述因素后再进行结合识别成本较高。经查，被告与数据提供方采用脱敏化技术传输数据，数据提供方的主体与协议细节均为商业秘密，且不对外披露，降低了一般公众将车况信息与第三方信息结合重新识别特定自然人的可能性。因此，在车辆交易场景下，案涉车况信息与其他信息结合进行关联识别的可能性较低，不能以此认定为个人信息。[91]

本书认为，车况信息表面上看似乎只是与车辆这一有体物有关，而与特定的自然人无关，但是，由于车辆是属于某个人的，在本案中是属于原告余某的，因此，车况信息也完全有可能成为个人信息，因为车况信息中包含了车架号，车架号表面上看似乎仅为识别特定车辆的编码，无法识别到特定自然人。但由于车架号是唯一的，与唯一的车辆相对应，而车辆又与车主相联系，所以车架号信息就可能成为与车主相关的信息即个人信息。为了规范汽车数据处理中的个人信息保护，国家互联网信息办公室等部门联合颁布了《汽车数据安全管理若干规定（试行）》，该规定第3条规定，本规定所称汽车数据，包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。汽车数据处理，包括汽车数据的收集、存储、使用、加工、传输、提供、公开等。汽车数据处理者，是指开展汽车数据处理活动的组织，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。个人信息，是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息，不包括匿名化处理后的信息。敏感个人信息，是指一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。

（四）匿名化处理后的信息不属于个人信息

依据《个人信息保护法》第4条第1款后半句，个人信息不包括“匿名化处理后的信息”。依据《个人信息保护法》第73条第4项，所谓匿名化（Anonymisation），是指个人信息经过处理无法识别特定自然人且不能复原的过程。由此可见，匿名化是一种修改个人信息的方法，其结果是使得信息与个人没有关联。匿名化处理后的信息必须是无法识别特定自然人并且不能复原。[92]对个人信息进行匿名化处理，往往是在统计和科学研究中。匿名化的方法主要有两种：一是随机化（Randomization）。所谓随机化是指一系列改变数据准确性的技术，旨在消除数据和个体之间的紧密联系。如果数据已经足够不确定，那么它们就无法指向特定的个人。随机化本身不会减少每条记录的独特性，每条记录仍将来自单个的数据主体，但是随机化可以防止推理攻击（inference attacks），并且可以结合一般化技术来提供更强的隐私保证。[93]二是泛化（Generalization），这是第二类匿名化技术，其方法包括通过修改相应的规模或数量级（如使用一个地区而非一个城市，一个月而非一周）来概括或稀释数据主体的属性。虽然泛化可以有效地防止挑出（single out），但它不能保证在所有的情况下都可以进行有效的匿名化，尤其是它需要具体和复杂的定量方法来防止连接与推断（prevent linkability and inference）。[94]

考虑到匿名化处理后的信息已经无法识别特定的自然人，故此，欧盟《一般数据保护条例》导言部分的第26条指出：“数据保护原则不适用于匿名信息，即不适用于已识别的或可识别的自然人或者个人数据是匿名的并且不再能对所属自然人的身份进行确认的信息。所以，本条例不考虑对类似匿名信息的处理，包括基于数据统计或研究目的。”我国《个人信息保护法》第4条第1款也作出了相同的规定。此外，《汽车数据安全管理若干规定（试行）》第8条第2款还规定了一种必须进行匿名化处理的情形，即因保证行车安全需要，无法征得个人同意采集到车外个人信息且向车外提供的，应当进行匿名化处理，包括删除含有能够识别自然人的画面，或者对画面中的人脸信息等进行局部轮廓化处理等。

需要注意的是，个人信息或个人数据的匿名化只是相对的，在可获得的数据来源越来越丰富以及算法越来越强大的大数据时代，无法识别出个人的数据也存在重新具有可识别特定个人的可能。例如，将大量的匿名化数据重新整合在一起进行相关性分析，就完全有可能导致特定个人的身份信息被识别从而泄露隐私。美国学者Paul Ohm教授认为，随着大数据、云计算等新技术的兴起，传统的仅仅删除姓名和社保号码的匿名化技术已经失败了，技术专家可以通过再识别（Re-identify） 或者去匿名化（De-anonymize）的方法来实现个人身份的再识别。[95]例如，2006年8月，美国在线公布了大量旧的搜索查询数据供研究者分析，尽管整个数据库进行过精心的匿名化处理，但《纽约时报》的两名记者Michael Barbaro 与 Tom Zeller依然在几天内就通过对搜索记录综合分析后，识别出了该数据库中代号4417749的用户是来自佐治亚州利尔本的一位名叫赛尔亚·阿诺德的62岁寡妇。[96]总之，匿名化不是绝对的，只是相对的，是在特定的时空和技术背景下来认定的。随着技术的发展和普及如云计算、量子计算机等，以及可能出现的其他附加信息的泄露，匿名化的信息被还原成为个人信息的可能性会逐渐发生变化。

二、个人信息处理的含义

（一）我国法律规定的演变

“个人信息处理”（processing of personal information）也称“个人数据处理”，该词来源于欧盟指令和相关立法。1995年《个人数据保护指令》第2条第2款规定：“个人数据处理（简称处理），是指不管是否以自动方式对个人数据进行的任何操作，如收集、录制、组织、存储、改变或修改、检索、查阅、使用、通过传送使数据公开、传播或者使数据可被他人获取、排列或组合、冻结、删除或销毁。”欧盟《一般数据保护条例》总体上延续了这一规定，其第4条第2款规定：“‘处理’是指针对个人数据或个人数据集合的任何一个或一系列操作，如收集、记录、组织、建构、存储、修改、检索、咨询、使用、披露、传播或以其他方式利用、排列或组合、限制、删除或销毁，无论该等操作是否采用自动化方式。”[97]不少国家的个人信息保护法或个人数据保护法都接受了欧盟使用的“个人信息处理”这一概念，如日本《个人信息保护法》、菲律宾《数据隐私法》、南非《个人信息保护法》、韩国《个人信息保护法》等。

我国《民法典》之前的法律均未采取“个人信息处理”的概念。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》采用的是“收集、使用”公民个人电子信息的表述，此后的《网络安全法》《电子商务法》也都延续了这一概念。[98]在我国编纂《民法典》的过程中，就如何表述与个人信息相关的各种活动经历了一个变化的过程。2018年9月《民法典各分编（草案）》与2019年4月《民法典人格权编草案（第二次审议稿）》采取的仍是“收集、使用”个人信息的表述。2019年8月《民法典人格权编草案（第三次审议稿）》首次使用了“处理”一词，但将其与收集并列，即使用的是“收集、处理”个人信息的表述，该草案第814条第2款将“个人信息的处理”界定为“包括个人信息的使用、加工、传输、提供、公开等”。[99]正式颁布的《民法典》不再区分“收集”与“处理”，而是使用“个人信息的处理”统称围绕着个人信息展开的各种行为、活动。《民法典》第1035条第2款规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”这一规定的理由在于：一方面，个人信息处理的内涵极为丰富，包括种类众多，收集当然也属于处理的一种方式，无须单列；另一方面，统一采取个人信息处理的表述很方便，也与国际上通行的做法基本保持一致。[100]《草案一审稿》第4条第2款规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。”但是，《草案二审稿》就删除了《草案一审稿》第4条第2款中的“活动”一词，从而与《民法典》第1035条第2款完全一致。但是，最终颁布的《个人信息保护法》在列举出来的个人信息处理的类型中增加了“删除”这一处理活动。这是因为，我国《个人信息保护法》规定了个人在个人信息处理活动中的权利就包括请求处理者删除的权利，也明确了处理者在符合一定条件时负有主动删除个人信息的义务。故此，删除是非常重要、非常典型的个人信息处理活动，应当列举出来。

（二）个人信息处理行为的类型

虽然在《个人信息保护法》的审议过程中，一些委员、代表和专家提出应当增加对个人信息处理活动的列举，如增加“记录”“删除”“检索”等。最终本条第2款只是增加了“删除”这一类处理活动，没有增加其他的类型。这主要是考虑到个人信息处理活动的类型很多，对于不是特别典型和重要的处理活动，可以用“等”字涵盖，无须一一列举。

我国《个人信息保护法》并未限定个人信息处理的具体方式，也就是说，并不需要考虑到个人信息处理的媒介和方式，无论是以自动方式（通过计算机以电子介质）处理个人信息，还是以其他方式（通过人工以纸介质）处理个人信息，都属于个人信息的处理。这一点上，我国个人信息处理的界定与欧盟《一般数据保护条例》是相同的。不过，需要注意的是，对于以人工处理个人信息而言，依据欧盟《一般数据保护条例》的规定，必须满足以下两个条件，才适用该条：（1）依据第2条第1款，个人数据必须包含（拟包含在）“档案系统”（filing system）当中；（2）依据第4条第6款，包含该数据的“档案系统”必须根据特定的标准，以功能化或地域化为基准，集中、分散或分布式存取个人数据的结构化集合。[101]《个人信息保护法》第4条第2款列举了以下八类典型的个人信息处理行为：

1.收集（collection）

收集就是指个人信息处理者获取或取得自然人的个人信息的行为。[102]收集个人信息的行为方式很多，既包括自然人主动提供其个人信息给处理者的情形，也包括处理者向自然人索取其个人信息的情形，如以纸质或电子形式要求自然人填写姓名、身份证号码、地址、电子邮箱、联系电话、家庭住址等，还包括在自然人上网或使用应用软件等互动过程中自动记录其个人信息的情形，如通过cookie技术记录网络用户的身份识别号码ID、密码、浏览过的网页、停留的时间、用户在Web站点购物的方式或用户访问该站点的次数等。再如，通过设置在汽车、家用电器上的传感器记录用户使用的次数、频率和地址位置信息等。

个人信息处理者可以直接从个人信息主体即个人处收集个人信息，也可以不从个人信息主体处收集个人信息，如从第三人处收集个人信息，通过网络检索等方式收集自然人自行公开或以其他合法方式公开的个人信息的情形等。这种不是直接从信息主体处收集个人信息的情形，被欧盟《一般数据保护条例》称为“并非从数据主体处获取个人数据”（personal data have not been obtained from the data subject）。在我国法上，并没有对收集个人信息作此区分，如果个人信息处理者不是直接从个人信息主体处收集个人信息，而是由其他的个人信息处理者提供个人信息给它，那么此时应当由提供方而非接收方来告知并取得个人的单独同意（《个人信息保护法》第23条）。这一点与欧盟《一般数据保护条例》的规定有所不同。

2.存储（storage）

信息处理者对收集的个人信息需要进行存储，才能便于后续的加工、使用等其他处理行为。个人信息存储的方式很多，可能是以纸介质的形式进行存储，但在现代信息社会更多的是以电子方式存储在计算机或者云服务器当中。储存的时间可能是长期的，也可能是短期的；被存储的个人信息既包括被收集的原始的个人信息，也包括进行分析加工后的个人信息。

3.使用（use）

个人信息的使用有广义和狭义之分。广义的个人信息的使用包含的范围很广，如《互联网个人信息安全保护指南》[103]第3.6条就将此种广义上的个人信息的使用界定为：通过自动或非自动方式对个人信息进行操作，例如记录、组织、排列、存储、改编或变更、检索、咨询、披露、传播或以其他方式提供、调整或组合、限制、删除等。收集个人信息的主要目的就是使用个人信息。狭义的个人信息的使用不包括个人信息的存储、加工、传输、提供以及公开，而仅指个人信息处理者对个人信息进行的分析和利用。

基于不同的个人信息处理目的，个人信息处理者使用个人信息的方式也各不相同。对于作为营利法人的企业而言，基本上是出于商业目的而使用这些个人信息，例如，通过对收集的用户的交易信息（如订购的商品、下单的时间、支付的方式等）进行分析，了解该用户的购物偏好、支付能力、信用状况等，从而进行精准的广告推送，从而推销商品或服务。政府机关使用个人信息是为了履行法定职责，如疫情期间通过对自然人的行踪信息进行分析而追踪可能被病毒感染或者与感染者存在密切接触的人，以便进行疫情防控。

4.加工（process）

加工是指个人信息处理者对所收集、存储的个人信息进行筛选、分类、排序、加密、标注、去标识化等活动。现代网络信息科技高速发展，对个人信息的加工规模和能力是以往所无法比拟的，这一点尤其体现在个人信息处理者对大量的非结构化个人数据进行标注、清洗、建模和计算等方面。

5.传输（transmission）

传输是指处理者传送所收集的个人信息的行为，个人信息的传输可以是在处理者内部的各个部门或者不同的存储器之间进行，如将本地存储的个人信息数据上传到云存储中，也可以是因为委托他人处理信息而传送个人信息的行为或者将个人信息从境内传输到境外。它与处理者将个人信息提供给他人的情形不同。需要注意的是，个人信息的传输不同于“个人信息的转移”（transfer）。我国《个人信息保护法》没有在个人信息处理活动的类型中列举“转移”，而是分别使用了“传输”“提供”。只在一处使用了“转移”一词，即第22条规定的个人信息处理者因合并、分立等原因需要转移个人信息的。理论上个人信息的传输、提供，都会在客观上导致个人信息的转移，由此也会使得除了原有的个人信息处理者之外，其他人也可能获取了该个人信息。但是，由于传输、提供等情形下，各方的权利义务关系和法律责任有所不同，故此，我国《个人信息保护法》第21条至第23条区分了委托处理个人信息时个人信息处理者将个人信息提供给受托人处理的情形、因个人信息处理者合并或分立等原因导致个人信息的转移以及个人信息处理者向其他个人信息处理者提供个人信息三种不同的情形。何为个人信息的转移，判断并不容易。当个人信息存储在硬盘或者纸介质上，那么只要按照动产的交付规则即可判断个人信息是否转移。但是，在互联网时代，个人信息以数据的形式可以通过网络进行传输而为他人获取，故此，认定何为个人信息的转移就比较复杂了。比如，将个人信息在网页上公开而为他人所获取，是否构成个人信息的转移，值得研究。

6.提供（provision）

提供是指处理者将个人信息提供给他人，即提供给处理者与信息主体之外的组织或个人。提供个人信息可以是在境内的不同的个人信息处理者之间，也可以是在境内与境外的个人信息处理者之间即个人信息的跨境提供。《个人信息保护法》第23条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。该法第3章对个人信息跨境提供的规则作出了详细的规定。

7.公开（public disclosure）

公开个人信息是指将个人信息公之于众，从而使得社会公众或不特定的人可以获取该信息。《信息安全技术 个人信息安全规范》（GB/T 35273—2020）第3.11条将之称为“公开披露”，并界定为“向社会或不特定人群发布信息的行为”。由于公开个人信息是一种对于信息主体的个人信息权益影响很大的信息处理方式，故此，我国法律对之作出了更为严格的规范。例如，《个人信息保护法》第25条规定：“个人信息处理者不得公开其处理的个人信息，取得个人单独同意的除外。”再如，依据《个人信息保护法》第55条第3项的规定，个人信息处理者公开个人信息的，应当在公开前进行个人信息保护影响评估，并对处理情况进行记录。

8.删除（erase）

删除个人信息的根本目的就是要使得个人信息不可用，即处理者或者其他人不可能取得、读取与使用个人信息，故此只要通过某种措施使得个人信息无法或者除非花费巨额的成本否则不可能再被处理者或其他人取得、读取与使用即可。具体的删除方式是多种多样的，可以是物理上毁掉存储个人信息的硬盘，也可以是其他的技术手段。如果仅仅是无法在线访问或者删掉回收站，显然不构成删除，因为处理者可以很轻易地再次取得和使用该个人信息。《个人信息保护法》第47条明确规定了个人信息处理者应当主动删除个人信息的五类情形。同时，也明确了如果删除个人信息从技术上难以实现的，则个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。

◆ 疑点与难点

一、数据与信息、个人数据与个人信息的关系

“数据”（data）和“信息”（information）经常被人们混用，但严格来说，二者确实有区别。数据侧重的是对信息的记录，而信息则是有意义的数据，是把数据放到一定背景下，对数字进行解释和赋予意义。这一点从我国《现代汉语词典（第七版）》中对数据和信息的定义即可看出。该词典将数据定义为：“进行各种统计、计算、科学研究或技术设计等所依据的数值。”将信息界定为：“1.音信；消息。2.信息论中指用符号传送的报道，报道的内容是接收符号者预先不知道的。”我国《数据安全法》对于数据的定义，突出了这一区分。该法第3条第1款规定：“本法所称数据，是指任何以电子或者其他方式对信息的记录。”事实上，在网络信息时代，数据主要的形式就是电子化或数字化的记录，即数据表现为存在于计算机及网络上流通的在二进制的基础上由0和1组合的比特形式。

就个人数据（personal data）和个人信息（personal information）的关系而言，二者的区分没有什么实质意义。因为无论是个人数据还是个人信息，都必须强调其意义，即信息是数据的内容，数据是信息的形式，无非侧重点不同。当我们使用个人信息的表述时，侧重的是内容，而并不在乎其是否通过数据加以呈现，而使用个人数据时，当然包括了个人信息的意思，但更侧重的是数据化。[104]例如，数据库中所记载的个人信息和便于检索而整理成文件的个人信息可以成为个人数据。但是，为了向数据库输入数据而进行的书面申请，在申请书上填写的个人信息或者备忘笔记中记载的个人信息，一般不称为个人数据。[105]

但是，无论如何个人数据和个人信息是密切联系的。就个人数据而言，其之所以具有经济利益或者涉及人格利益，就是因为其包含个人信息。没有个人信息的数据不是个人数据，而只是以二进制代码表现出来的比特形式，对于收集与使用这些数据的人即处理者而言，没有意义，法律上也无须加以调整。这就如同作为所有权客体的动产和不动产当然是由各种化学元素组成的，但法律上绝不会讨论元素能否成为民事权利客体的问题，更不会认为某个特定的民事主体可以享有某一元素的所有权。需要讨论的只是该民事主体对由元素组成的特定动产或不动产上的民事权利。任何民事主体如果仅仅获取或复制二进制代码的数据而未能在“信息”的意义上加以呈现和利用，该行为既不会为获取者带来任何经济利益，也不会损害被复制者的经济利益或人格利益。只有数据被信息化呈现，关于数据归属的争议才会产生或者说资源的稀缺性才会出现，进而才有必要讨论数据应否被私人控制以及公共执法机构对该数据上的民事权利如何保护的问题。因此，讨论自然人对个人数据的民事权利，当然就是在讨论自然人对于数据形式呈现的个人信息的民事权利或者说包含了个人信息的数据的权利问题。无论是我国《民法典》《网络安全法》对个人信息的定义，还是欧盟《一般数据保护条例》等对个人数据的界定，基本上都是相同的。

二、大数据与个人信息的处理

大数据（big data）并非一种特定的技术，而是指特殊的数据处理方法。大数据这个概念最初是指需要处理的数据量非常大，已经超出了一般电脑处理数据时所能使用的内存量。今天人们所说的大数据，是指人们在大规模数据的基础上可以做到的事情，即可以通过对海量的数据进行处理来获取新知识，创造新价值。[106]因此，大数据可以界定为：将大量不同来源的信息结合起来并对之加以分析，使用更复杂的算法为决策提供信息的做法。大数据不仅依赖于用于收集和存储大量数据的技术能力的增强，还依赖于其分析、理解和利用数据的全部价值的能力（特别是使用分析应用程序）。信息时代的今天，海量的数据来源包括以下四类：一是传统信息系统产生的数据，如商务过程的数据；二是环境状态的数据，即由传感器产生的数据；[107]三是社会行为的数据，即人类在社交媒体上进行交际而产生的数据；四是物理实体数据，即数字化制造如3D打印而产生的数据。[108]一方面，大数据可以提供更好和更明智的决策，例如，大数据可以为科学与医学研究提供更好的见解，增加人们对自身的了解，提高产品和服务的个性化特点，自动化的决策也极大地提高了决策的效率。另一方面，大数据也被用来理解、预测和塑造人们的行为，从而侵害隐私、人格尊严和其他个人权益。个人数据的处理缺乏透明度，掌握数据的主体与个人之间的信息不平衡进一步加剧，造成信息污染和数据独裁，加剧社会不公、歧视以及文化隔离和排斥等，都是大数据对于个人信息保护的挑战。[109]

为了解决大数据对个人信息保护产生的威胁，我国《个人信息保护法》第24条专门对利用个人信息进行自动化决策作出了规范，要求处理者必须保证决策的透明和结果的公平、公正，不得实行不合理的差别待遇。同时，对于完全通过自动化决策而作出对个人权益有重大影响的决定时，个人享有要求解释说明并予以拒绝的权利。

◆ 相关规定

《民法典》第1034条；《网络安全法》第76条；《数据安全法》第3条；《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条；《最高人民法院关于人民法院在互联网公布裁判文书的规定》第10条；《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第1条