《个人信息保》深度解读系列一：个人信息的概念与判断

《个人信息保》深度解读系列一：个人信息的概念与判断本站　　2021年11月1日起实施的《个人信息保》，是个人信息保护领域的首部专门立法，是继2015年刑法修正案（五）开启个人信息保护以来，经历刑法修正案（七）、《全国关于加强网络信息保护的决定》、《网络安全法》等之后，在个人信息保护方面的“集大成者”和“终极版本”

　　2021年11月1日起实施的《个人信息保》，是个人信息保护领域的首部专门立法，是继2015年刑法修正案（五）开启个人信息保护以来，经历刑法修正案（七）、《全国关于加强网络信息保护的决定》、《网络安全法》等之后，在个人信息保护方面的“集大成者”和“终极版本”。该法对个人信息保护涉及的“三大主体”即权利主体、处理主体、履行保护职责主体的权利、义务、职责进行了“总结性”的明确，对个人信息处理的规则进行了“可操作性”的规定，必将成为个人信息保护大路上的“里程碑”。为了更好理解个人信息的法律保护体系，本文先讨论两个基础性问题，即个人信息的概念和个人信息的判断。

　　“个人信息”概念本身，内涵广阔、边界模糊。如何来界定？国家相关法律法规经历了一个长期的探索过程。

　　2005年2月28日公布实施的《刑法修正案（五）》增设“窃取、收买、非法提供信用卡信息罪”（第177条之一第2款），该罪规定“窃取、收买或者非法提供他人信用卡信息资料的，依照前款（即第1款）规定处罚”，罪状中的“信用卡信息资料”，显然属于个人信息。尽管这是我国法律上第一个关于侵害公民个人信息犯罪的法律规定，但是，该规定也仅仅是具有局部性质的、针对特定的一类公民个人信息进行的保护，未形成全面而清晰的个人信息概念以及全方位保护的立法态势。由此未能遏制个人信息被侵犯的泛滥之势。

　　乱象催生法律。2009年2月28日公布实施的《刑法修正案（七）》首次明确规定侵犯公民个人信息罪和出售、非法提供公民个人信罪（注：2015年11月1日施行的《刑法修正案（九）》将两罪融合为“侵犯公民个人信息罪”一罪），将窃取或以其他方式获取公民个人信息、违反国家规定向他人出售或者提供公民个人信息情节严重的行为，纳入刑事打击范围。这是对个人信息进行刑事保护的明确依据，但是，遗憾的是，刑法中仍然没有对“个人信息”概念本身进行界定。

　　2012年12月28日全国常务委员会通过《关于加强网络信息保护的决定》。该决定规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息”。从这个规定中可以看出，公民“个人信息”被明确为“能够识别公民个人身份和涉及公民个人隐私的电子信息”，即包含两方面的内容：一是个人信息是具有识别性的信息：能够识别公民个人身份；二是个人信息是具有关联性的信息：涉及公民个人隐私的电子信息。同时，要求该信息必须是“电子”的，这是对载体形式的限定。虽然这个概念是初步的，甚至较为狭隘的，但已经使得“个人信息”的完整概念前进一步，呼之欲出。

　　在法律上首次正式明确规定“个人信息”概念的是《网络安全法》。该法第76条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电线日起实施。与此同步并稍后，同时也为了明确刑事司法实践中遇到的如何执行“侵犯公民个人信息罪”的相关问题，2017年5月最高人民法院会同最高人民检察院，发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。该解释根据法律规定和立法精神，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作出了全面、系统的规定。同样定于2017年6月1日起实施。在该司法解释中，对刑法中侵犯公民个人信息罪中的“个人信息”也给出了自己的定义：是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

　　比较《网络安全法》和上述司法解释给出的定义，两者既有联系，也有差别：两者均采取抽象定义与具体列举并重的定义模式，在抽象定义中，《网络安全法》仅强调个人信息是识别自然人个人身份的信息，但在司法解释中，不仅包括识别自然人的身份信息为个人信息，而且反映特定自然人活动情况的信息，也认定为个人信息；在具体列举中，司法解释列举的项目比《网络安全法》更多，尤其包括了“行踪信息”。正是列举的“行踪信息”的存在，使得司法解释中对个人信息的定义，比《网络安全法》更多了一个内涵，即“反映特定自然人活动情况的信息”也为个人信息。为了使法律体系中对同一术语解释符合完满性的要求，将《网络安全法》对个人信息的定义，理解成广义的“个人信息”概念，而将不能随意扩大解释的刑法司法解释中的“个人信息”，理解为狭义的，更能协调两者的差异。这些差异，也正反映对“个人信息”概念的探索。实际上，在这司法解释出台后，国家质量监督检验检疫总局、国家标准化管理委员会于2017年12月29日发布、2018年5月1日实施的《信息安全技术 个人信息安全规范》（GB/T 35273-2017），完全继受了上述司法解释中对“个人信息”的定义。该标准在2020年改版中仍然保持了上述定义不变。

　　司法实践不断发展，法律概念的理解继续深化。上述对个人信息的定义，相比早期更为“精巧”，但仍然受着束缚，冲破这种制约的是2021年1月1日实施的《民法典》。《民法典》对先前“个人信息”的定义进行取舍扬弃。首先肯定了个人信息的载体性（即以电子或者其他方式记录的）、识别性（单独或者与其他信息结合识别特定自然人）等特征，同时，进一步发展了统一的“个人信息”定义。

　　在前述提及的司法解释中，将个人信息定位为两类，即识别特定自然人身份的信息和反映特定自然人活动情况的信息，但在《民法典》中归一化为只要是识别特定自然人的信息，就是个人信息，而无论是识别身份信息，还是反映特定活动的信息。实际上，作为反映特定自然人活动的最突出例证“行踪信息”，在如今的互联网时代、大数据时代，同样能够识别特定自然人。由此，在《民法典》中，将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”，省却了“身份”限定，融合了“识别特定自然人身份”和“反映特定自然人活动”的两段式定义，使得个人信息的概念，更为完善。

　　《民法典》从法律层面，首次从个人信息作为民事权益的角度，对个人信息进行了专章专节规定。尽管如此，作为基本法典，不可能也没有必要对个人信息的保护进行全方位立体式规定。这个任务要交给《个人信息保》来完成。今年11月1日实施的《个人信息保》在第4条中规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。这个定义一方面进一步精准化，另一方面作出排除性规定。在《民法典》中，“个人信息”的定义没有“例外”，但《个人信息保》中，明确“匿名化处理后的信息”不属于个人信息，这是因为匿名化处理后已不能识别出特定的个人，即不具有识别特定的自然人的功能。由此，“个人信息”的概念展现出如今的“终极版”。

　　从前述梳理个人信息概念的发展过程中，我们能够感受到实践对法律概念的影响、公民社会权利本位发展的大势，以及立法者对精巧法律概念的不懈追求。个人信息概念的发展演化过程，表现出三个特点：

　　一是个人信息概念的发展完善是信息化社会推进的缩影。早期《刑法修正案（五）》仅对个人“信用卡信息资料”进行保护，是当时信用卡犯罪居多的现实反映。个人信息的全面泛滥还未成气候，人们重视程度还不够。而在全国会作出加强网络信息保护的决定时，信息网络促进经济发展、社会进步、科技创新的同时，信息安全的问题已十分突出，由此到了不得不对“个人信息”给予定义之时。随后信息化社会更加深入的发展，调整这些领域的法律，比如网络安全法、数据安全法、电子商务法等陆续出台，就有必要寻求更精准的个人信息概念，这便于包括刑事在内的法律落地实施，有利于精准打击侵害公民个人信息的犯罪。多管齐下之下，近年个人信息保护的成效，是显著的。

　　二是个人信息概念的发展完善是公民社会权利本位觉醒的体现。早期对个人信息保护的法律，几乎全是“公法”，主要着眼社会秩序、网络安全的社会公共利益本位，处罚的手段主要是行政方式（比如，警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止从事网络服务业务）和刑事责任追究。在全国会加强网络信息保护的决定中，首次提出“被侵权人可以依法提起诉讼”的民事救济措施，由此开启个人信息权利主体的维权序幕。对此予以完全落地的是《消费者权益保》，该法第50条规定，侵害消费者个人信息依法得到保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。随后出台的《网络安全法》第74条规定：“违反本法规定，给他人造成损害的，依法承担民事责任。”到了《民法典》时代，公民社会形成，权利本位提升，以专章专节形式对个人信息进行了规定，作为人格权内容之一的个人信息，得以基本法典的清晰保护路径，固定下来。《个人信息保》甚至直接写明了自然人关于个人信息的十多项民事权利。由此，个人信息由最初公法保护为主，发展成私法保护为常态、为主要手段的态势，这是公民社会权利本位的觉醒和体现。

　　三是个人信息概念的发展完善是对法律概念精准性追求的结果。“个人信息”顾名思义的结果是，与个人有关的信息，这个概念相当广泛。法律不能在没有边界的权利中前行，由此出现了对个人信息的特征限定：由最初强调载体性，再到强调识别性，最后到《个人信息保》中对过宽“个人信息”概念的“回拉”，强调其排除性，这是对法律概念理解的深化、精巧性的追求。

　　个人信息概念的明确，有利于更充分准确的理解什么是个人信息，为从形形色色的信息中确定个人信息提供了基本标尺。实务中，如何来具体判断某项信息是否属于个人信息？《民法典》、《网络安全法》以及《个人信息保》，都没有给出可行的操作方式。但在国家标准（GB/T 35273-2020）《信息安全技术 个人信息安全规范》给出了具体操作。根据其规定，判定某项信息是否属于个人信息，有两条基本路径：

　　，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。这正是个人信息概念中的“单独或者与其他信息结合识别特定自然人”。

　　，如已知特定自然人，由该特定自然人在其活动中产生的信息。比如个人位置信息，是先有特定自然人，然后才有的个人位置信息。还比如个人通话记录、个人浏览记录等。

　　此外，在最高人民检察院2018年11月9日发布的《检察机关办理侵犯公民个人信息案件指引》中提出了对“公民个人信息”的审查认定的两种情形：

　　黄熊律师，京师律所合伙人律师、京师律所新联会常务副会长，北京互联网法院、广州互联网法院特邀调解员、中国中小企业协会调解中心调解律师、法治网优秀合作律师、北京市律师协会第十一届专利法律委员会委员、北京市朝阳区律师协会知识产权委员会委员、中央电视台CCTV公益律师、CCTV“十大人气律师”；为阿里巴巴、华为、360、腾讯、网易、搜狗、锤子科技、国家电网系统、国电能源研究院等一大批知名公司提供全项或知识产权专项法律服务；撰写理论或实务探讨文章数十篇，被国家知识产权局、专利复审委网站、各律公众号以及各类专业期刊、报纸持续登载，广受好评。