云开·全站apply体育官方平台 浅析《个人信息保护法（专家建议稿）》（一）： 对个人信息定义范畴的思考 | 德恒研究

本文共约5100字，建议阅读时间为15分钟

前言

近日，由中国人民大学法学院张新宝、葛欣教授起草的《个人信息保护法（专家稿）》（以下简称“专家稿”）在中国民商法网[1]首次公开。导言称，这份关于个人信息保护立法的专家意见稿，是张教授担任首席专家的国家社科基金重大项目“网络安全重大立法问题”（14ZDC021）的成果之一，旨在为立法提供参考。

随着社会对个人信息保护的呼声越来越高，个人信息保护立法该如何制定和安排？本专家稿从学者的视角，对个人信息保护专门立法提出了系统、比较完整的建议和可能性。我们将从个人信息保护法的基本理念、法律框架的完备性、实践中个人信息保护需求与立法的契合程度等角度，对本专家建议进行简要评述。

专家稿全文分为九章，共106条，相较于《网络安全法》全文的79条，草案篇幅更长，包含的环节和内容也更加详细。提出了“加强两头、平衡三方”的基本理念，“加强两头”是指加强个人敏感信息保护、加强个人一般信息的利用，“平衡三方”是指信息主体、信息产业、国家机关三方之间的利益平衡。

一

“个人信息”的定义

专家稿首先提出了“个人信息”的定义：“本法所称个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于公民的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。这一定义与《网络安全法》中个人信息的定义高度一致。对“个人信息”的定义在20世纪90年代也有定义，即“个人敏感信息”，是指由于其性质或者内容，涉及信息主体核心隐私权的信息，或者一旦泄露或者滥用，可能危害信息主体人身、财产安全，或者可能导致对信息主体造成歧视等不利后果的个人信息。”

相较于2019年质检总局、国家标准局发布的《个人信息安全规范（征求意见稿）》中“个人信息”的定义——“个人信息，是指以电子或者其他方式记录的，能够单独或者与其他信息结合识别特定自然人或者反映特定自然人活动情况的各种信息”。在专家稿中，“反映特定自然人活动情况的各种信息”并没有直接纳入“个人信息”的定义，而是采取了对个人信息更为保守、更为狭义的解读，将个人信息严格划入核心基础信息的范围。从征求意见稿中对“个人信息”定义的列举就可以看出，“个人信息……包括但不限于公民的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”

二

如何理解两种“个人信息”定义的区别

为什么草案没有将通讯记录和内容、行踪轨迹、住宿信息、健康生理信息、交易信息等自然人活动信息纳入定义？如果《保护法》能够明确将反映自然人活动的信息纳入定义，是不是更加合适？

我国作为大陆法系国家，注重立法的统一性和全面性，这与美国立法分散、缺乏统一的个人信息保护法不同，我国一旦对个人信息采取统一立法，就会出台《个人信息保护法》，可以明确个人信息保护的标准，避免因缺乏统一的法律规则而导致个人信息保护的困境。目前提到个人信息的条款很少，因此个人信息的收集、使用和处理只能完全交给企业，通过企业与个人信息权利人之间的合同关系来解决。很多情况下，企业存在不当收集、使用、处理和转让个人信息的行为，但这些行为却因为合同中的相关约定而被披上了正式的法律外衣。这也正是目前缺乏成文《个人信息保护法》的原因。 《个人信息保护法》的问题与困境在于，无论是从自然人作为信息主体，还是网络运营者作为信息使用者、信息控制者的角度，甚至网络信息安全的角度，都亟待制定一部成文的《个人信息保护法》。

如何理解“反映特定自然人活动的各种信息”？这背后的问题，其实就是个人信息权与隐私权的关系与区别。简单来说，“反映特定自然人活动的各种信息”是指自然人一旦有意愿向社会公开或者不希望他人介入或知晓的行为，无论其是否已经以可记录信息的形式定格，也无论其是否具有现实的经济价值，这都是个人隐私。当其体现为个人权利时，即为个人权利。因此，只要特定自然人的此类活动存在于一定的载体上，能够被记录下来，一旦能够直接或间接指向特定个人，即为“反映特定自然人活动的各种信息”。而其中很多信息都可以被固化、记录，甚至数字化。我们可以看出，“反映特定自然人活动的各种信息”，从“自然人活动”的隐私角度来看，可能强调的是信息不公开时，体现了隐私的特性。 一旦被记录甚至数字化，当其有可能被使用甚至被重复利用时，就凸显了信息权的属性，特别是信息权的财产属性。

因此，我们初步认为，专家意见稿对“个人信息”的定义较为狭隘，即在“个人信息”的定义中并未明确包含“反映特定自然人活动的各种信息”的隐私属性。此类活动、行为，乃至所产生的信息，如果不涉及公共利益或者公共安全，则不是个人所公开的，属于隐私范围。狭义的“个人信息”定义并未包含“反映特定自然人活动的各种信息”纳入个人信息定义，更多的是着眼于其属于民法上“隐私权”的保护范围。又或许，专家意见稿的起草者们是想建构一个狭义的“个人信息”定义，除此之外，增加“个人敏感信息”的范围，是为了进行监管和保护。

此次增加“个人信息”的定义，为“反映特定自然人活动情况的各种信息”，若作为《个人信息保护法》的定义范围，可以将个人信息规定为一个基础概念，而若作为更为全面的定义，将个人信息作为一个宽泛的概念，既包括又可以与“个人敏感信息”区分开来，这才是清晰顺畅的安排和逻辑上的安排。

三

哪种“个人信息”定义更有利？

面对两种范围不同的“个人信息”定义，未来即将制定的《个人信息保护法》应该采取怎样的规定kaiyun官方网app下载app，才能更有利于个人信息保护和数据产业规范？

笔者认为，采用纳入“反映特定自然人活动情况的各种信息”的定义，将更符合个人信息保护法的立法目的和规制效果。其理由有三：

首先，“个人信息”定义包括“反映特定自然人活动情况的各种信息”，扩大了个人基本信息的范围，并特别规定了能够记录的活动等才可以构成个人信息，这样可以更好地识别和保护信息主体。

在我国民法理论中，隐私的客体是自然人的隐私，隐私的本质是保证个人远离公众视线。具体来说，隐私包括私人信息、私人生活、私人空间、身体隐私、生命信息（身体基因、密码）、私人通信等。[2]

“特定自然人的活动情况”即使没有被记录下来，也可以构成隐私，一旦被记录下来，就形成“反映特定自然人活动情况的各种信息”，这些信息可以构成信息，特别是包含个人隐私的信息。

隐私并不局限于信息的范围，隐私无需被记录，隐私也不一定属于个人信息，但当隐私以固定信息的形式表达时，它具备信息的属性，如可用性、显著性等，能够指向和识别特定自然人的属性，可以构成积极权利和主动权利。

如果将“反映特定自然人活动情况的各种信息”明确纳入“个人信息”定义，这类具有隐私属性的信息都可以受到个人信息保护法的保护，个人信息权的内容十分丰富。

相对被动的隐私权转变为主动的个人信息权，恰恰表明当“反映特定自然人活动情况”的个人隐私能够被记录下来并构成个人信息时，就需要受到个人信息保护法的保护。正因为如此，目前还没有一部《个人信息保护法》将“反映特定自然人活动情况的各种信息”纳入“个人信息”的定义，从而使得《个人信息保护法》无法得到保护，在我国通常的司法实践中，法院只能采取隐私保护的方式，对个人信息权利人进行精神损害赔偿救济。保护可以推进到预防阶段，加大政府监管机构的监督和规制力度，特别是在权利人受到侵害时，可以采取行政处罚、财产救济等手段对权利人进行保护，而不会取消民法对个人隐私的保护和救济。

其次，将“反映特定自然人活动情况的各种信息”纳入“个人信息”定义，符合信息形态随着时代的发展、经济形态和生活方式不断变化而变化的需要。

如果我国即将颁布的民法典明确区分隐私权与个人信息权，隐私权与个人信息权均属于民事权利。隐私权属于人格权，是民法史上一项非常“年轻”的人格权，特点是其范围随着人类社会的进步而不断变化和扩大。相较于隐私权，一旦民法典区分个人信息权与隐私权，个人信息权将是一项更年轻的（法定）权利。这是时代发展、经济形态发展、网络世界发展和人类生活方式的巨大变化所导致的，也是立法者、监管者、学者、法律实务界共同研究、探讨这一问题的原因之一。

除了最基本、最核心的“公民姓名、出生日期、身份证号、个人生物特征信息、住址、电话号码等个人信息外，当今社会，信用、健康、购买习惯、个人经历、社交活动、就医体验、活动轨迹等信息单独或组合就足以指向并明确识别信息主体。例如，地图导航类APP、跑步健身类APP等均以用户的位置信息和活动轨迹信息作为应用和用户使用的基础。由此可见，新的应用、服务模式和生活方式已不局限于传统方式kaiyun体育，也已不局限于个人信息的收集和处理，诉求已远远超出“身份证号、姓名、生日、指纹”等个人信息的范畴。

如果未来即将出台的《个人信息保护法》仅仅适用“个人信息”的狭义定义，而将“反映特定自然人活动的各种信息”排除在定义之外，将严重缩小“个人信息”的范围。信息范围的扩大不仅与“信息”本身处于不断发展、扩大和变化过程中的概念严重不符，而且与日益加速变化的新经济模式、交易方式和生活习惯背道而驰。治疗历史、行为轨迹等“反映特定自然人活动”的信息包含了大量技术规制，这也是民法层面隐私保护的制约，将其纳入“个人信息”并全面统一立法，结合一系列技术标准和规范，将提供更好的保护和规制。

因此，结合可预见的时代变化与发展，交易模式与生活习惯的变化必须被《个人信息保护法》的立法过程优先考虑，将相应的可固化、可记录信息纳入定义之中，将使得《个人信息保护法》这一关于个人信息保护的新法律——《信息保护法》具有更大的延展性和灵活性，从而加大保护与规制的范围与力度。

第三，将“反映特定自然人活动情况”的信息和能够固化、记录的一定范围的隐私信息纳入“个人信息”定义，有利于维护网络安全、公共利益和国家安全。

隐私一般是个人的，而信息则不仅是私人的，而且是汇总性的，一定数量的信息，或者多个固化、记录的私人信息，就形成了“大数据”，属于公共利益和国家安全保护、监管的范围。

这里我们举一个真实的案例来说明这个问题。

据路透社报道，北京昆仑万维的全资子公司昆仑集团有限公司于2016年1月和2017年7月分别投资9300万美元和1.52亿美元，收购Grindr LLC 61.53%和38.47%的股权。2018年1月完成股权转让手续后，昆仑集团共计持有Grindr 100%的股权。

Grindr是全球最大的同性恋社交平台之一，活跃用户主要分布在欧美等发达国家和地区，2018年净资产和营业收入分别为1282万美元和8642万美元，拥有数百万同性恋用户的数据，包括身份信息、位置、电话号码、电子邮件地址、聊天记录、性取向、HIV感染情况等。

正是由于Grindr数据库包含了自然人用户所在地点、隐私信息甚至HIV状况等个人信息，对美国国家安全构成了威胁。美国外国投资委员会（CFIUS）已要求昆仑万维出售Grindr。昆仑万维最终不得不宣布，同意按照美国外国投资委员会（CFIUS）的要求，出售美国最大的同性恋交友平台Grindr，并将2020年6月30日定为最后期限。[3]

我们从现实案例中可以看出，个人信息即便没有被公开，被视为隐私，立法者也必须基于网络安全、公共利益和国家安全来考虑，特别是当此类个人信息达到一定数量即可构成大数据时。这也是主张将“反映特定自然人活动的各种信息”纳入“个人信息”定义，并凸显隐私相关信息的信息特征和属性的划分与立法安排，从而实现立体、全面的保护与规制。

“个人信息”的定义包括一切可固化、可记录云开·全站apply体育官方平台，且能够指向、识别特定自然人的隐私信息，不论其是否单独或结合其他信息实际能够识别特定自然人，均纳入《个人信息保护法》的监管范围，可通过权利的授予与保护，结合适当的行政手段，更好地进行保护与监督，并与《网络安全法》和《国家安全法》更好地衔接，从而对网络安全与公共利益产生积极影响。不仅对信息与国家安全提供全面的保护，也使个人信息的保护呈现全面性、多元化，满足不同的保护与监管需求。

参考：

[1] 张新宝、葛欣教授，《个人信息保护法（专家稿）》，中国民商法网，2019/10/17

[2]魏振英主编，《民法学》，北京大学出版社、高等教育出版社，2015：638

[3] 《昆仑万维同意出售美国最大同性恋社交应用Grindr》新浪财经 2019/5/15