亚洲综合图片20p,欧美一级黄片视频免费,天天干天天日天天干天天日天天日,亚洲av最新版本天堂在线,电影人妻和服诱惑之,日韩人妻一区二区三区不卡,97超碰大香蕉久久草,亚洲无码专区中文字幕专区,最近日韩av一区二区

作者：高秦偉，中山大學(xué)法學(xué)院教授、博士生導(dǎo)師

一、問題意識

在個(gè)人信息的收集、處理、利用中如何有效地保護(hù)個(gè)人信息無疑是當(dāng)前以及未來一段時(shí)間的熱點(diǎn)問題，中國雖無一部個(gè)人信息保護(hù)法，但是相關(guān)的法律規(guī)范仍然存在。不過，從全球個(gè)人信息保護(hù)立法的發(fā)展趨勢來看，中國現(xiàn)行立法無論是在立法模式、權(quán)利建構(gòu)、實(shí)施執(zhí)行等層面，均有較大的改進(jìn)空間，需要進(jìn)一步強(qiáng)化立法并加強(qiáng)實(shí)施。在這些問題之中，有關(guān)“個(gè)人信息”概念的討論構(gòu)成了立法與實(shí)踐的理論起點(diǎn)，系最為根本的議題。究其原因在于：首先，個(gè)人信息保護(hù)法的實(shí)施，以判斷某類信息是否為個(gè)人信息為前提。只有當(dāng)信息被視為個(gè)人信息時(shí)，才會受到個(gè)人信息保護(hù)法的規(guī)范與保障，信息主體方可享有法律規(guī)定的權(quán)利，信息管理者或侵權(quán)者才會承擔(dān)法律規(guī)定的義務(wù)。因此，對個(gè)人信息概念界定不同，將直接影響個(gè)人信息保護(hù)的范圍。例如，由于立法不夠清晰，有些國家的法院在解釋個(gè)人信息概念時(shí)，采取了較為寬泛的方法，將移動(dòng)電話號碼后四位視為個(gè)人信息，因?yàn)槠漭^容易與其他信息（生日、電話記錄）比對而識別出個(gè)人身份。然而，這種做法引發(fā)了學(xué)界對個(gè)人信息概念使用上的爭議。

其次，個(gè)人信息概念的界定直接反映出個(gè)人信息保護(hù)立法的價(jià)值取向，如何在個(gè)人信息保護(hù)與信息利用或數(shù)據(jù)流動(dòng)之間達(dá)致適當(dāng)?shù)钠胶�，是各國個(gè)人信息保護(hù)立法所需解決的主要矛盾。網(wǎng)絡(luò)和信息技術(shù)發(fā)展依賴于大量的信息，高科技促進(jìn)了市場發(fā)展和創(chuàng)新，甚至是民主治理的長足發(fā)展。如果無限擴(kuò)張個(gè)人信息的范圍，會對信息自由流動(dòng)、大數(shù)據(jù)發(fā)展等造成阻礙。例如，在實(shí)踐中，有關(guān)IP地址是否被視為個(gè)人信息，各國和地區(qū)立法便有所不同，西班牙和瑞典將其視為個(gè)人信息，德國、法國、英國、中國香港特區(qū)則并不視為個(gè)人信息，而美國聯(lián)邦及其各州的作法亦是迥然各異。這體現(xiàn)出各國家或地區(qū)對產(chǎn)業(yè)發(fā)展秉持的不同理念。

再次，由于網(wǎng)絡(luò)和信息技術(shù)的持續(xù)發(fā)展，個(gè)人信息概念是否有必要存在也受到質(zhì)疑。一些原本被認(rèn)為無法識別的信息在一定條件下可以轉(zhuǎn)變?yōu)閭�(gè)人信息，間接識別的信息可以轉(zhuǎn)換為直接識別的信息，技術(shù)發(fā)展對傳統(tǒng)概念和學(xué)說提出嚴(yán)峻挑戰(zhàn)。[[5]]換言之，現(xiàn)有立法的概念經(jīng)常會在實(shí)踐中面臨著適用時(shí)無法確定個(gè)人信息保護(hù)范圍的難題，一些觀點(diǎn)認(rèn)為只要相關(guān)保障機(jī)制、利用規(guī)則建構(gòu)充分，就可以有效實(shí)現(xiàn)個(gè)人信息保護(hù)的目的。然而，法學(xué)理論告訴我們：“特定法律概念是引發(fā)特定法律后果的前提，而不是相反”，“法律概念的語義構(gòu)成目的論證的界限，有時(shí)也會對目的論證施加論證負(fù)擔(dān)。認(rèn)為法律概念在法律推理中是可被對消的中項(xiàng)，完全由包含它們的法律規(guī)范來決定和窮盡的觀點(diǎn)，是站不住腳的�！比绾位�解這種認(rèn)知上的沖突，如何科學(xué)界定個(gè)人信息的概念，如何有效保護(hù)個(gè)人信息，這似乎面臨著技術(shù)與法律、道德和進(jìn)步之間的抵牾與抉擇。因此，有必要以更為清晰的理論回應(yīng)目前實(shí)踐中的難題。

二、個(gè)人信息概念的理論發(fā)展

對于個(gè)人信息概念的理論認(rèn)知，要結(jié)合個(gè)人信息保護(hù)法形成的歷史背景來探討。個(gè)人信息保護(hù)立法肇端于1970年代計(jì)算機(jī)技術(shù)應(yīng)用之時(shí)。彼時(shí)，計(jì)算機(jī)處理信息的方式給傳統(tǒng)依靠紙質(zhì)媒介人工處理信息的方式帶來極大沖擊，各種機(jī)構(gòu)均可以批量處理信息，并任意改變信息組成和利用方式，對個(gè)人信息及其權(quán)屬于產(chǎn)生了較大的影響。在此背景下，個(gè)人信息保護(hù)立法旨在通過界定個(gè)人信息概念，區(qū)分個(gè)人信息與非個(gè)人信息，進(jìn)而明確法律保護(hù)的邊界�？勺R別性成為操作傳統(tǒng)二分法的核心，由此產(chǎn)生的識別說是界定個(gè)人信息概念最早期的理論學(xué)說。

（一）識別說

按照識別說，涉人信息可以分為個(gè)人信息和非個(gè)人信息，歐美理論一般將前者稱為個(gè)人可識別信息（Personally Identifiable Information，PII）。由此可見，“可識別性”是個(gè)人信息最為重要的特征，即個(gè)人信息與信息主體存在某一客觀確定的可能性。識別說在各國個(gè)人信息保護(hù)立法中一直占據(jù)通說地位，其認(rèn)為只有當(dāng)個(gè)人信息被收集、處理或者利用時(shí)，個(gè)人隱私才會受到損害。而判斷信息是否屬于個(gè)人信息，關(guān)鍵就在于該信息是否可以識別出個(gè)人的身份。識別說存在的前提條件在于假設(shè)立法者有能力從信息的分類中評估內(nèi)在風(fēng)險(xiǎn)，從而確定需要規(guī)制的信息類型。識別說的目的在于平衡個(gè)人信息保護(hù)和信息流動(dòng)之間的張力，在于通過法律機(jī)制回應(yīng)技術(shù)的發(fā)展�；�于識別說各國展開了各自不同的立法，典型如歐盟《個(gè)人數(shù)據(jù)保護(hù)指令》，但從當(dāng)時(shí)的技術(shù)環(huán)境來看，其采取了較為開放的定義，強(qiáng)調(diào)信息可識別的可能性和合理性因素，避免個(gè)人信息保護(hù)范圍無限擴(kuò)張。而有些國家和地區(qū)的立法則略顯不足，如美國馬薩諸塞州個(gè)人信息保護(hù)法采取了較為狹窄的列舉式立法（包括姓名、社會保障號碼、駕駛證號碼、金融賬號、信用卡或借記卡號碼），在識別之時(shí)就產(chǎn)生了保護(hù)不足的問題。因?yàn)樯杏幸恍┬畔⒔Y(jié)合姓名、社會保障號碼就可以識別出個(gè)人身份。同時(shí)，該法將個(gè)人可識別信息視為靜態(tài)的，導(dǎo)致個(gè)人信息的保護(hù)缺乏靈活性。

識別性依據(jù)識別程度分為直接識別和間接識別：直接識別是指通過單個(gè)信息能夠直接確認(rèn)某人身份，如姓名、身份證號碼、住址信息；間接識別是指單個(gè)信息固然不能直接分辨出個(gè)人，如性別、出生日期、電子郵箱等信息，但是同其它信息相結(jié)合或者通過信息比對分析，可能可以確定某人身份。OECD、亞太經(jīng)濟(jì)合作組織、[[10]]歐盟及其部分成員國、亞洲一些國家的立法中均規(guī)定了這兩種信息類型。歐盟1995年《個(gè)人數(shù)據(jù)保護(hù)指令》對間接識別進(jìn)行了定義，指出一個(gè)“可識別”的個(gè)人信息需要考慮諸多的因素，諸如與其身體、生理、精神、經(jīng)濟(jì)、文化或者社會身份有關(guān)的特定因素。由于操作缺少具體的指南，相關(guān)的爭議不斷產(chǎn)生。如前述IP地址是否為個(gè)人信息，贊成者認(rèn)為其可以單獨(dú)或者結(jié)全其他信息而識別出個(gè)人，反對者認(rèn)為應(yīng)該依賴語境來加以討論。對此，歐盟個(gè)人數(shù)據(jù)保護(hù)工作小組認(rèn)為間接識別須考量信息管理者或任何其他人為識別特定個(gè)人所合理、可能使用的方式，并斟酌多種因素綜合判斷；查詢所需要花費(fèi)的成本、該信息的使用目的、該信息的處理方式、信息管理者的預(yù)期利益、所涉及的個(gè)人利益、相關(guān)組織或技術(shù)上的風(fēng)險(xiǎn)，以及若將長時(shí)間儲存信息，并應(yīng)預(yù)計(jì)保存期間因科技進(jìn)步或其他原因而導(dǎo)致識別的可能性，一并納入評估。

自1970年代世界范圍內(nèi)興起個(gè)人信息保護(hù)立法，識別說一直作為界定個(gè)人信息概念的理論而長期存在，且在實(shí)踐中發(fā)揮了重要的作用。然而，該理論有時(shí)囿于立法列舉的個(gè)人信息類型，而使個(gè)人信息保護(hù)不足；有時(shí)過于強(qiáng)調(diào)技術(shù)的作用，而忽略法律意義上的“識別”之意蘊(yùn)，導(dǎo)致個(gè)人信息概念呈現(xiàn)出靜態(tài)化的特征。這兩個(gè)層面的問題，對于中國均具有借鑒意義。當(dāng)前中國個(gè)人信息保護(hù)工作剛剛起步，無論是行政機(jī)關(guān)還是企業(yè)，均可能會出現(xiàn)僅僅考慮對立法中例示或者列舉的個(gè)人信息加以保護(hù)的情況；即使是運(yùn)用間接識別方法，結(jié)合其他因素展開法律解釋之時(shí)，仍然拘泥于對信息識別與否的爭論，以至于忽略了個(gè)人信息保護(hù)事實(shí)上應(yīng)該以人為中心的初衷�；�于此，有必要關(guān)注其他的理論學(xué)說。

（二）關(guān)聯(lián)說

美國國家標(biāo)準(zhǔn)與技術(shù)研究院在“識別說”之外提出了“關(guān)聯(lián)說”。識別說主張從信息到個(gè)人的識別，一般是指可以明確直接辨識的信息；而關(guān)聯(lián)說則主張從信息到個(gè)人的識別，即已知既定個(gè)人而知曉或者收集關(guān)于該個(gè)人的其他信息。關(guān)聯(lián)說旨在突破傳統(tǒng)二分法的局限，強(qiáng)調(diào)個(gè)人信息界定的動(dòng)態(tài)性。理解這一點(diǎn)，對于信息匿名化處理時(shí)若僅移除直接辨識因子而不移除信息之間的“關(guān)聯(lián)”，仍然會因關(guān)聯(lián)而推知該信息與個(gè)人的關(guān)系便有了深刻的認(rèn)識和警惕，即依然能回溯到特定個(gè)人的信息，不得視為有效的匿名化處理。同時(shí)，能夠關(guān)聯(lián)到特定個(gè)人的信息并不以特殊性為前提，而是通過雙向度關(guān)聯(lián)個(gè)人和信息，豐富給定個(gè)人既有的畫像，使信息收集者知曉更多關(guān)于某個(gè)人的信息。關(guān)聯(lián)說告訴我們，那種為個(gè)人信息圈定一個(gè)固定范圍并以此等同于隱私保護(hù)的觀念過于抽象化、類型化，要把握信息運(yùn)作的動(dòng)態(tài)性、場景化、周期性特點(diǎn)，全面把控風(fēng)險(xiǎn)。界定是否構(gòu)成個(gè)人信息并非立法與實(shí)施的“目的”，只是界定信息運(yùn)作的“媒介手段”。在界定個(gè)人信息概念時(shí)，既保障個(gè)人隱私，又促進(jìn)信息合理使用。

應(yīng)該講，關(guān)聯(lián)說并非全面替代識別說，兩者關(guān)系密切，如有中國學(xué)者就將關(guān)聯(lián)說與識別說中的間接識別相等同，同時(shí)認(rèn)為關(guān)聯(lián)識別時(shí)需考量個(gè)人信息概念高度依賴的語境，個(gè)人信息的概念并不是一個(gè)“預(yù)先”的精準(zhǔn)界定，而是一個(gè)動(dòng)態(tài)的判斷過程。尤其是隨著信息識別技術(shù)的進(jìn)步，非個(gè)人信息也可能逐漸傾向被確定為個(gè)人信息。因此，信息的敏感度、數(shù)量、收集者、收集方式、信息接收者的狀況、信息的使用目的與后果影響、與外部信息的比對情況、科技發(fā)展水平、社會人文認(rèn)知等均構(gòu)成了關(guān)聯(lián)時(shí)應(yīng)當(dāng)考量的因素。抽象界定某些信息是否屬于個(gè)人信息并無實(shí)質(zhì)意義，臺灣地區(qū)學(xué)者更指出：“所謂個(gè)人信息，包括人之內(nèi)心、身體、身份、地位及其他關(guān)于個(gè)人之一切事項(xiàng)、判斷、評價(jià)等之所有信息在內(nèi)。換言之，有關(guān)個(gè)人之信息并不僅限于與個(gè)人之人格或私生活有關(guān)者，個(gè)人之社會文化活動(dòng)、為團(tuán)體組織中成員之活動(dòng)，及其他與個(gè)人有關(guān)聯(lián)性之信息，全部包括在內(nèi)�！标P(guān)聯(lián)說與間接識別的不同在于，一改后者過于強(qiáng)調(diào)技術(shù)的做法，關(guān)聯(lián)說不僅強(qiáng)調(diào)雙向度比對信息，而且還要考慮其他更為廣泛的因素，進(jìn)行多方面的風(fēng)險(xiǎn)評估，并在此基礎(chǔ)之上，作出價(jià)值判斷和抉擇。有學(xué)者對此的總結(jié)是：“大數(shù)據(jù)時(shí)代，個(gè)人信息的使用場景紛繁復(fù)雜，超出立法所能規(guī)范與預(yù)見的能力，以用戶為中心、結(jié)果為導(dǎo)向進(jìn)行動(dòng)態(tài)界定的思路由此日益為國際上所倡導(dǎo)，其核心在于考察個(gè)人信息的處理行為給用戶帶來的后果及隱私影響�！�

（三）廢除靜態(tài)概念說

隨著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展，傳統(tǒng)個(gè)人信息保護(hù)法的適用環(huán)境發(fā)生了很大的變化。如今信息搜集很難實(shí)現(xiàn)對用戶一一告知，信息利用的目的難以在收集時(shí)加以確定，信息使用者多元化，規(guī)制政策需要在個(gè)人權(quán)利保護(hù)與促進(jìn)創(chuàng)新之間達(dá)致平衡等，使得傳統(tǒng)的知情同意、收集限制、目的特定、利用限制、責(zé)任原則等難以找到有效的落實(shí)方案。更為重要的是，技術(shù)發(fā)展帶來的直接后果正是個(gè)人信息概念的模糊化，大量非個(gè)人信息在數(shù)據(jù)充分的前提下也可以轉(zhuǎn)換為個(gè)人信息。個(gè)人信息的屬性動(dòng)態(tài)變化，導(dǎo)致人們逐漸意識到信息具有高度的動(dòng)態(tài)性，無法脫離相應(yīng)場景和語境作抽象判斷。如美國聯(lián)邦貿(mào)易委員會指出，隱私保護(hù)的范圍已遠(yuǎn)超出嚴(yán)格定義的“個(gè)人信息”，一切有關(guān)個(gè)人或者由個(gè)人產(chǎn)生的信息均可能造成隱私風(fēng)險(xiǎn)，因此均需要得到相應(yīng)程度的保護(hù)。有學(xué)者指出傳統(tǒng)二分法已無意義，個(gè)人信息不斷擴(kuò)張，直到其涵蓋所有的信息。以往從來沒有將電影分級、搜索查詢等作為個(gè)人可識別的信息，然而現(xiàn)在的去識別化技術(shù)不斷提升，任何信息可能都會識別出個(gè)人身份，成為個(gè)人信息。立法者會不斷增加個(gè)人信息的列舉類型，但是又會出現(xiàn)新的問題。傳統(tǒng)個(gè)人信息概念容易讓規(guī)制者忽略信息處理的所有環(huán)節(jié)，而處于中間環(huán)節(jié)的信息管理者會利用去識別化技術(shù)給個(gè)人信息帶來更大的風(fēng)險(xiǎn)。基于此，其主張應(yīng)當(dāng)從法律制度體系中放棄和廢除個(gè)人信息這一概念。

當(dāng)然，廢除靜態(tài)概念說并不止于完全廢除個(gè)人信息的概念界定，而是提出了個(gè)人信息概念界定的新思路。持此論的學(xué)者指出立法者不僅僅要從信息本身來考量風(fēng)險(xiǎn)的問題，還要從更為廣闊的視角來探究問題，如信息管理者對降低去識別化的風(fēng)險(xiǎn)作了什么的措施；更要從社會、心理、制度等層面去思考問題。與之相同的觀點(diǎn)是隱私權(quán)的情境脈絡(luò)完整性理論，該理論由美國學(xué)者海倫·尼森鮑姆（Helen Nissenbaum）教授提出。其主張隱私權(quán)尤其是受到新興科技影響的隱私權(quán)，不應(yīng)僅是討論對于個(gè)人信息控制與存取的問題，而且也應(yīng)考慮到隱私的期待不僅是因個(gè)人習(xí)慣或習(xí)俗，且基于道德與政治原則所產(chǎn)生的整體信任而產(chǎn)生。尼森鮑姆教授將之稱為“情境脈絡(luò)完整性”（contextual integrity），認(rèn)為必須通過社會規(guī)則或規(guī)范，當(dāng)?shù)嘏c整體的價(jià)值、目的等等而實(shí)現(xiàn)。尼森鮑姆教授提出該理論的基礎(chǔ)在于：傳統(tǒng)隱私權(quán)概念乃受限于“敏感性與非敏感性”、“公與私”、“政府與私人”等傳統(tǒng)二分法的界定，[[22]]但現(xiàn)實(shí)很難作出非此即彼的區(qū)分，因此不如去關(guān)注語境——收集者是誰？處理者是誰？利用者是誰？信息主體與收集、處理、利用信息者之間關(guān)系如何？有時(shí)也要對組織整體、社會加以觀察考量。廢除個(gè)人信息概念的問題在于，其可能導(dǎo)致個(gè)人信息保護(hù)法的范圍難以確定。學(xué)者建議要對每個(gè)信息的收集、披露進(jìn)行成本收益分析，不過許多的成本收益很難提前獲知。對此，有學(xué)者認(rèn)為必須限制此類難以展開成本收益分析的信息的收集或披露。然而此舉亦會限制信息流動(dòng)和增值。同時(shí)，廢除個(gè)人信息概念，也可能導(dǎo)致公私機(jī)構(gòu)放棄對信息采取去識別化的操作，致使信息面臨到更大的風(fēng)險(xiǎn)。

（四）新識別說

新識別說是在堅(jiān)持傳統(tǒng)識別說的基礎(chǔ)上，將有關(guān)個(gè)人的信息理解為“光譜”，一端是不可識別的信息，依次為間接識別的個(gè)人信息，再次為直接識別的個(gè)人信息。[[25]]技術(shù)的發(fā)展，使得個(gè)人信息與非個(gè)人信息的區(qū)分極為困難，許多企業(yè)對非個(gè)人信息展開收集，實(shí)際也造成了個(gè)人隱私和信息的損害或者影響，因此，必須依賴語境、情景作出判斷。實(shí)踐中這三個(gè)子信息也不存在絕對的界線。

直接識別的個(gè)人信息單獨(dú)可以確定某個(gè)個(gè)人，也就是說可以確定他或她的身份。關(guān)于這一點(diǎn)，目前各國并無差別。關(guān)于間接識別，美國聯(lián)邦貿(mào)易委員會《在急遽變化的時(shí)代保護(hù)消費(fèi)者隱私》報(bào)告中使用了“合理關(guān)聯(lián)”一詞，用以界定個(gè)人信息的概念。報(bào)告中指出企業(yè)有時(shí)會對非個(gè)人可識別信息進(jìn)行再識別技術(shù)，但如果采取以下三個(gè)步驟所處理的信息將不被視為個(gè)人信息。首先企業(yè)要采取合理的措施防止這些信息被去識別化；其次，企業(yè)必須公開對這些去識別化的信息的儲存和使用情況，并不得重新識別這些信息。如果打算重新識別的話，必須依據(jù)《聯(lián)邦貿(mào)易委員會法》第五節(jié)的規(guī)定（主要針對不不公平的競爭方法的規(guī)制）。再次，如果企業(yè)要將信息提供給其他企業(yè)使用，必須以合同方式禁止這些企業(yè)重新識別這些信息。從這一方式來看，該委員會是將信息使者的意圖、阻止重新識別的義務(wù)作為規(guī)制對象，而不是以信息是否可否被識別為標(biāo)準(zhǔn)。這種作法的益處在于，一方面保護(hù)了個(gè)人信息，另一方面促進(jìn)了信息流動(dòng)。在風(fēng)險(xiǎn)光譜的另一端，不可識別信息一般不與個(gè)人相聯(lián)結(jié)，無法確定個(gè)人的身份。例如有關(guān)各國的人口數(shù)量統(tǒng)計(jì)信息。但是由于去識別化技術(shù)的發(fā)展，使得信息所有者不得不隨時(shí)評估信息安全及其風(fēng)險(xiǎn)。

在這個(gè)理論之中，許多學(xué)者建議應(yīng)該考慮到信息潛在的識別風(fēng)險(xiǎn)，進(jìn)而打破二分法的不足。二分法運(yùn)用簡單的、非此即彼的思路來保護(hù)個(gè)人信息，但是學(xué)者的建議則是一種動(dòng)態(tài)的保護(hù)方式，于整個(gè)信息運(yùn)作過程中貫徹個(gè)人信息保護(hù)的相關(guān)原則和機(jī)制。對于諸如美國的《公正信息實(shí)踐原則》，適用于直接識別的信息；而對于間接識別的信息則不適宜于同等對待。告知、訪問獲取、更正的權(quán)利、信息使用限制、數(shù)據(jù)最小化、信息公開的限制等不得施加于這類信息。這些限制可能會不當(dāng)?shù)赜绊懶畔⒌氖褂煤驮鲋�，而事�?shí)上這些信息未必會對個(gè)人隱私產(chǎn)生明顯的損害。但是，安全原則（保護(hù)未經(jīng)授權(quán)的信息被獲取、使用、刪除、修改、公開）、透明度要求（公開信息使用情況）、信息品質(zhì)原則（要求個(gè)人信息必須與使用目的相關(guān)聯(lián)）則是間接識別的信息必須遵守的原則�？傊�，間接識別的信息也可以識別出個(gè)人身份，只不過風(fēng)險(xiǎn)不夠突出而已。信息管理者并不能夠簡單地利用或者無監(jiān)督地讓其他方獲取，而應(yīng)采取“追蹤和審計(jì)”等方式來應(yīng)對一些間接識別信息所產(chǎn)生的問題。

（五）小結(jié)

從以上理論梳理來觀察，技術(shù)的高速發(fā)展導(dǎo)致個(gè)人信息概念作為法律適用的“門檻”性作用將逐漸弱化，國際立法及實(shí)踐中越來越傾向基于場景中的動(dòng)態(tài)風(fēng)險(xiǎn)而非靜態(tài)的信息類型來界定相關(guān)的權(quán)利義務(wù)。許多立法認(rèn)為應(yīng)更多地轉(zhuǎn)向控制信息使用環(huán)節(jié)中的動(dòng)態(tài)“風(fēng)險(xiǎn)”來豁免義務(wù)，而非在是否構(gòu)成個(gè)人信息的界定方面耗費(fèi)過多精力。因此，傳統(tǒng)的識別說受到了一定程度地批評：首先，該理論將信息不合理地分為個(gè)人信息和非個(gè)人信息，但是由于技術(shù)發(fā)展以及其處于不同主體控制之下，兩種類型的信息轉(zhuǎn)換極為快速，如果處理不當(dāng)，將產(chǎn)生規(guī)制過度或者不足的問題，給個(gè)人以及企業(yè)均產(chǎn)生不利的影響。其次，該理論將個(gè)人信息又分別直接識別信息和間接識別信息，且在實(shí)踐將兩種信息予以同等對待。但是由于識別的程度、隱私受到損害的風(fēng)險(xiǎn)不盡相同，處理不當(dāng)之時(shí)，亦可能對個(gè)人和企業(yè)帶來不利的影響。再次，該理論僅僅基于去識別化技術(shù)來區(qū)分個(gè)人信息和非個(gè)人信息，然而再識別化技術(shù)的高速發(fā)展，致使個(gè)人信息概念的界定面臨困境。最后，該理論并沒有對行為主體加以界定，可能導(dǎo)致在界定個(gè)人信息的概念時(shí)會將識別的主體視為信息的管理者或者公眾等等。但是問題在于對于有些行為主體而言可能是個(gè)人信息，對于有些則未必是個(gè)人信息；信息性質(zhì)因不同主體而發(fā)生變化。不過，批評雖然很多，作為改進(jìn)的新學(xué)說依然基于識別說而展開討論，即使是廢除靜態(tài)概念說也并非徹底拋棄“個(gè)人信息”的概念，而是主張通過語境、風(fēng)險(xiǎn)評估的考量來識別個(gè)人。從本質(zhì)來看三種新的界定個(gè)人信息概念的學(xué)說有諸多的共通之處，如對語境、風(fēng)險(xiǎn)等的關(guān)注和強(qiáng)調(diào)，認(rèn)為個(gè)人信息概念的界定應(yīng)該是基于動(dòng)態(tài)場景而非靜態(tài)信息的活動(dòng)，這種思路與網(wǎng)絡(luò)和信息技術(shù)發(fā)展相得益彰。但是，由于各種學(xué)說側(cè)重點(diǎn)不同，導(dǎo)致理論并未形成一致的意見，這勢必影響立法和實(shí)踐的效果。如關(guān)聯(lián)說意在突出識別的路徑在于經(jīng)由個(gè)人到信息，廢除說主張語境考量的重要性，而新識別說強(qiáng)調(diào)不同信息保護(hù)強(qiáng)度的差異。中國立法和實(shí)踐需要整合這些理念，對個(gè)人信息概念的界定加以重塑。

三、中國個(gè)人信息概念的立法和實(shí)踐

目前，國內(nèi)關(guān)于個(gè)人信息的界定，最為全面的當(dāng)屬2016年頒布的《網(wǎng)絡(luò)安全法》第76條規(guī)定：“個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個(gè)人生物識別信息、住址、電話號碼等�！蓖瑫r(shí)，第42條規(guī)定：“經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原”的信息不屬于個(gè)人信息之列。最高人民法院、最高人民檢察院2017年頒布的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第1條進(jìn)一步明確“公民個(gè)人信息”包括身份識別信息和活動(dòng)情況信息，即“是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財(cái)產(chǎn)狀況、行蹤軌跡等�！边@個(gè)定義包括了能夠識別出特定自然人身份的信息，也包括了體現(xiàn)特定自然人活動(dòng)情況的信息。[[30]]此種模式構(gòu)成了中國立法的第一種模式，即概括加例示式。概括部分的語言中使用了“識別”的術(shù)語，正是個(gè)人信息概念界定時(shí)使用的關(guān)鍵詞，與國外“個(gè)人可識別信息”的相關(guān)提法內(nèi)涵基本一致。類似的立法和司法解釋還有2013年《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第4條、2014年《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條等規(guī)定，不過這些規(guī)范在例示列舉方面與前述兩個(gè)規(guī)范有一定的差異，且隨著時(shí)間的推移，新增的例示個(gè)人信息類型勢必會愈來愈多。

第二種立法模式是概括式，與第一種立法模式的差異在于并未列舉或者例示說明具體哪些信息屬于個(gè)人信息。如2012年《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》第11條即規(guī)定為：“未經(jīng)用戶同意，互聯(lián)網(wǎng)信息服務(wù)提供者不得收集與用戶相關(guān)、能夠單獨(dú)或者與其他信息結(jié)合識別用戶的信息（以下簡稱‘用戶個(gè)人信息’），不得將用戶個(gè)人信息提供給他人，但是法律、行政法規(guī)另有規(guī)定的除外。”該立法技術(shù)與第一種并無多大差別。特別需要指出的是全國人民代表大會常務(wù)委員會2012年《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第1條的規(guī)定，所采立法技術(shù)屬于概括式，但是范圍僅限于“公民個(gè)人電子信息”。

第三種立法模式是具名式，即在立法中僅僅提及“個(gè)人信息”的術(shù)語，但并未對什么是個(gè)人信息作出任何解釋，個(gè)人信息保護(hù)的范疇也無從得知。一般情況之下，需要由行政機(jī)關(guān)、司法機(jī)關(guān)在具體的執(zhí)行和適用中加以細(xì)化。比如2013年修訂的《消費(fèi)者權(quán)益保護(hù)法》第29條第1款規(guī)定，僅僅提及“個(gè)人信息”概念，內(nèi)涵未作具體規(guī)定。2015年國家工商行政管理總局頒行《侵害消費(fèi)者權(quán)益行為處罰辦法》第11條細(xì)化了個(gè)人信息的概念和范疇。特別值得關(guān)注的是2017年《民法總則》第111條引入個(gè)人信息的概念，同樣也未定義，這種立法技術(shù)似乎表明個(gè)人信息的概念和范圍尚需要依賴其他的法律規(guī)范。類似立法包括2015年修訂的《刑法》第253條、2013年《征信業(yè)管理?xiàng)l例》第13條等規(guī)定。

第四種立法模式是區(qū)分式，即在界定個(gè)人信息的概念時(shí)區(qū)分了個(gè)人一般信息和個(gè)人敏感信息。《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》指出個(gè)人信息是“可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠單獨(dú)或通過與其他信息結(jié)合識別該特定自然人的計(jì)算機(jī)數(shù)據(jù)。個(gè)人信息可以分為個(gè)人敏感信息和個(gè)人一般信息�！眰�(gè)人敏感信息是指“一旦遭到泄露或修改，會對標(biāo)識的個(gè)人信息主體造成不良影響的個(gè)人信息。各行業(yè)個(gè)人敏感信息的具體內(nèi)容根據(jù)接受服務(wù)的個(gè)人信息主體意愿和各自業(yè)務(wù)特點(diǎn)確定。例如個(gè)人敏感信息可以包括身份證號碼、手機(jī)號碼、種族、政治觀點(diǎn)、宗教信仰、基因、指紋等�！背齻�(gè)人敏感信息以外的個(gè)人信息為個(gè)人一般信息�；�于此區(qū)分，該指南指出：“處理個(gè)人信息前要征得個(gè)人信息主體的同意，包括默許同意或明示同意。收集個(gè)人一般信息時(shí)，可認(rèn)為個(gè)人信息主體默許同意，如果個(gè)人信息主體明確反對，要停止收集或刪除個(gè)人信息；收集個(gè)人敏感信息時(shí)，要得到個(gè)人信息主體的明示同意�！敝档米⒁獾氖牵�在一些地方有關(guān)征信、信用立法中，雖然未使用“個(gè)人敏感信息”的術(shù)語，但是從內(nèi)容及相關(guān)禁止性的規(guī)定可以看出意在保護(hù)敏感性信息。

以上的立法模式僅僅是為了研究方便而采取的分類。毫無疑問，這些立法模式受到了國內(nèi)學(xué)者對于個(gè)人信息保護(hù)法研究的影響，更受到域外立法技術(shù)的影響。從立法技術(shù)來看，域外關(guān)于個(gè)人信息概念的界定可以分為三種模式：概括型、列舉型和混合型。概括型是使用概括的方法描述個(gè)人信息的定義方式，與中國第二種立法模式類似，混合型與第一種立法模式類似，目前單獨(dú)使用列舉的方向來描述個(gè)人信息的定義方式已極為鮮見。在定義時(shí)，以歐盟為代表的個(gè)人信息保護(hù)立法主要基于已識別（an identified natural person）或可識別（an identifiable natural person）的術(shù)語來界定個(gè)人信息的概念和范圍�！八�謂已識別就是判斷信息是否直接能夠識別用戶個(gè)人身份；可識別是判斷信息是否與其他信息結(jié)合識別用戶個(gè)人身份。”一些國家和地區(qū)立法則使用了“直接識別和間接識別”的術(shù)語。中國使用了“能夠單獨(dú)或者與其他信息結(jié)合識別”的術(shù)語，在內(nèi)涵上與直接識別和間接識別并無二致。相較而言，美國并無統(tǒng)一的個(gè)人信息保護(hù)立法，而是在諸如金融、公共健康等部門領(lǐng)域展開立法，同時(shí)由聯(lián)邦貿(mào)易委員會（英文全稱，F(xiàn)TC）所要求的企業(yè)自愿性隱私政策也發(fā)揮了重要的作用。從美國分散的立法來看，雖然法律明確性與特定性不如歐盟及其成員國，但是可以看出“個(gè)人可識別信息”仍然是界定個(gè)人信息概念的關(guān)鍵。借鑒和移植是立法的開始，如何有效回應(yīng)中國實(shí)踐才是科學(xué)立法的關(guān)鍵。結(jié)合以上幾種立法模式以及中國個(gè)人信息保護(hù)的實(shí)踐，未來中國個(gè)人信息保護(hù)立法需要考量和解決以下幾項(xiàng)重點(diǎn)問題：

第一，現(xiàn)行立法技術(shù)導(dǎo)致“個(gè)人信息”概念過于模糊，導(dǎo)致概念的統(tǒng)一性、適用的一致性層面明顯存在不足。

目前中國沒有統(tǒng)一的個(gè)人信息保護(hù)法，各領(lǐng)域的立法中對于個(gè)人信息概念的理解不同，導(dǎo)致個(gè)人信息保護(hù)的范圍、落實(shí)的程度也不同�！毒W(wǎng)絡(luò)安全法》主要針對自然人個(gè)人身份來界定個(gè)人信息的概念，然而《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》明顯突破了這一框架，將行為活動(dòng)（行蹤軌跡）、財(cái)產(chǎn)狀況等納入到個(gè)人信息范圍之內(nèi)。這種情況在前述第一種模式中有所體現(xiàn)，多種法律規(guī)范之間就列舉內(nèi)容存在著一定的差異。之所以會出現(xiàn)如此的情況，與法律位階不同而導(dǎo)致的規(guī)范詳細(xì)程度差異有關(guān)，也與行業(yè)特殊需求不同有關(guān)。更為重要的是，中國相關(guān)立法雖然在技術(shù)層面借鑒了國外的“識別”術(shù)語，但是既沒有充分地回應(yīng)中國實(shí)踐的需求，更沒有提供法律解釋上的方法，導(dǎo)致實(shí)踐中引發(fā)了許多的爭議，這為有效保護(hù)個(gè)人信息帶來了不必要的障礙。雖然立法從以往通過保護(hù)人格和隱私轉(zhuǎn)向直接針對個(gè)人信息提供保護(hù)，但是依然沒有厘清中國語境下隱私與個(gè)人信息概念之間關(guān)系。從前述立法對個(gè)人信息概念的界定來看，概念的不統(tǒng)一性還體現(xiàn)在：有些概念針對個(gè)人身份，而有些概念則會考慮財(cái)產(chǎn)、行為等信息。這也使得適用者不僅會產(chǎn)生疑問：個(gè)人信息究意是與個(gè)人身份相關(guān)，還是與個(gè)人行為相關(guān)，抑或是與行為結(jié)果相關(guān)？進(jìn)一步分析，可以發(fā)現(xiàn)各種法律規(guī)范在界定個(gè)人信息概念之時(shí)，并沒有充分考量是否可以在民法、刑法、行政法規(guī)范上達(dá)致法律概念的統(tǒng)一性要求，這為適用的銜接也帶來問題。這些可能是未來中國進(jìn)行統(tǒng)一的個(gè)人信息保護(hù)立法時(shí)必須注意的問題。同時(shí)，前述有三種模式中提及“識別”一詞，但究竟如何合理地識別？相關(guān)的理論論據(jù)是什么？究竟是能夠和頭腦中的某個(gè)“既定”的人物形象對應(yīng)，還是知道其屬于特定的“某一個(gè)人”，即使并不“認(rèn)識”他是誰、不知曉其“身份”？特別是間接識別時(shí)，需要考量什么樣的因素？實(shí)踐中爭議不少，如網(wǎng)絡(luò)識別號和密碼、電子郵箱和密碼、手機(jī)定位信息究竟是否為個(gè)人信息，觀點(diǎn)差異較大。概念的不一致性，導(dǎo)致在解釋和適用之時(shí)也出現(xiàn)了較多的不一致性，結(jié)果會影響到相關(guān)規(guī)范的整體實(shí)施效果。

第二，現(xiàn)行立法對“個(gè)人信息”概念的界定時(shí)使用的分類，影響了概念邏輯的自洽性和法的安定性。

從“個(gè)人信息”概念出發(fā)，一般可以分為個(gè)人信息和非個(gè)人信息，而個(gè)人信息又進(jìn)而可分為直接識別信息和間接識別信息。應(yīng)該講如此分類在邏輯上具有一定的自洽性。然而，第四種模式則又從個(gè)人信息中區(qū)分出個(gè)人敏感信息，原因在于其與個(gè)人具有絕對密切關(guān)系，必須受到重點(diǎn)保護(hù)。從其內(nèi)容來看，與“個(gè)人信息”有重疊之處，容易使人產(chǎn)生疑問。當(dāng)然，在立法中規(guī)定敏感性信息的做法在國外是存在的，但問題在于這種信息與前述的直接識別信息、間接識別信息是何種關(guān)系？如何處理其與個(gè)人信息的關(guān)系呢？進(jìn)一步，敏感信息的內(nèi)容如何確定也是問題。從各國的情況來看，各國對于特殊敏感性信息范圍的認(rèn)定大致可分為七大類，分別為種族或血緣、政治意向、宗教或哲學(xué)信仰、性生活、工會會員身份、犯罪記錄、健康信息。但是關(guān)于敏感信息是否存在以及是否需要獨(dú)立列舉的問題，立法界一直就有兩種不同的觀點(diǎn)：一是直接定義敏感性個(gè)人信息，并將其與收集限制原則連結(jié)，認(rèn)為應(yīng)禁止收集特別敏感的個(gè)人信息。二是將信息視為中性，即信息本質(zhì)上都不具有敏感性，只有在信息處于特定的語境或使用時(shí)，方具備隱私或敏感性，方可定義為敏感性個(gè)人信息。第一種觀點(diǎn)較為直觀，無須判斷信息使用情形，只要該信息顯示或記載的信息，符合所列種類，即加以限制，此見解影響多國的立法，可謂通說。此類立法模式以列舉方式規(guī)定敏感性個(gè)人信息，認(rèn)為基于某些信息的特性，一旦公開后，可能對個(gè)人隱私產(chǎn)生極大傷害，包括引起恣意歧視。一般情況下，信息處理會對人產(chǎn)生傷害，并非基于該信息的內(nèi)容，而是使用方式。但是某些特殊類型信息，其本質(zhì)很可能傷害個(gè)人的權(quán)利與權(quán)益。

歐盟、英國、德國、澳大利亞、臺灣地區(qū)采取第一種方法定義敏感信息。此模式優(yōu)點(diǎn)在于使信息控制人或信息主體得以迅速自信息內(nèi)容具體判斷，何者須禁止收集、處理或利用，須遵循不同的信息保護(hù)原則，有益于個(gè)人信息保護(hù)的落實(shí)。缺點(diǎn)在于信息內(nèi)容與形式會隨著社會、歷史與文化有所變動(dòng)，且無須考量信息主體的意見。結(jié)果可能產(chǎn)生過度保護(hù)的現(xiàn)象，也有可能保護(hù)不足。對此困境，各國或者修改法律，增加敏感性個(gè)人信息的種類，并就特殊事項(xiàng)如醫(yī)療信息制定特別法；或者授權(quán)行政機(jī)關(guān)制定相關(guān)細(xì)則。這里要討論的仍然與個(gè)人信息概念界定系同樣的問題，例示會因社會發(fā)展而受到限制，不斷修法又會產(chǎn)生法安定性不足的質(zhì)疑。第二種觀點(diǎn)是對個(gè)人敏感性信息立法的否定，一些國家和地區(qū)如部分歐盟成員國、澳大利亞、新西蘭、香港特區(qū)等均未加以規(guī)定。中國也有反對的意見，認(rèn)為加以規(guī)定會導(dǎo)致個(gè)人信息保護(hù)法與中國憲法和根本政治制度的沖突，可通過單行立法的方式加以解決。

第三，支撐現(xiàn)行立法的理論討論不夠充分，導(dǎo)致個(gè)人信息概念的界定在保護(hù)強(qiáng)度的合比例性、保障的有效性層面有所欠缺。

從現(xiàn)行立法來看，個(gè)人直接識別信息和間接識別信息保護(hù)強(qiáng)度基本相同，即有些需要重點(diǎn)保護(hù)的信息與不需要點(diǎn)保護(hù)的信息同樣對待，這在一定程度上會導(dǎo)致個(gè)人信息保護(hù)范圍層面呈現(xiàn)出不合比例的情形。這也是中國只有在出現(xiàn)極端個(gè)人信息侵害案件后才會受到執(zhí)法者高度關(guān)注的主要原因，因?yàn)閳?zhí)法資源有限，所有個(gè)人信息全面且同等保護(hù)既不現(xiàn)實(shí)也不可能。在國外，將利用已識別和可識別的方法確定的個(gè)人信息并同等對待的立法實(shí)踐也受到了學(xué)者的批評。對于前者，已識別的個(gè)人信息可以確定某個(gè)特定的人，面臨最高的風(fēng)險(xiǎn)，因此個(gè)人信息保護(hù)的公正信息原則與實(shí)踐應(yīng)該完全適用于這些信息。與之相對的“非可識別”的信息無法確定特定的個(gè)人，即使后來技術(shù)發(fā)展有可能識別也是風(fēng)險(xiǎn)較低的信息，因此個(gè)人信息保護(hù)法并不適用于此類信息。而對于后者，可識別時(shí)需要考慮語境、信息的類型、信息收集的難易程度等因素，遠(yuǎn)比已識別的方法要復(fù)雜，因此不得統(tǒng)一對待。因?yàn)楸Ｗo(hù)強(qiáng)度不合比例，各方主體無從把握個(gè)人信息保護(hù)的范圍、強(qiáng)度，立法實(shí)效性也是大打折扣。這個(gè)問題隨著中國網(wǎng)絡(luò)和信息技術(shù)產(chǎn)業(yè)的高速發(fā)展而日益突出，因此未來立法必須予以回應(yīng)。

第四，技術(shù)發(fā)展導(dǎo)致“個(gè)人信息”概念的界定和適用無限擴(kuò)張，致使個(gè)人信息保護(hù)和信息流動(dòng)之間不再具有均衡性的特征。

由于信息分析技術(shù)的發(fā)展，再識別技術(shù)不斷提升，實(shí)踐中就可能會存在無限擴(kuò)大個(gè)人信息范疇的可能性，如Cookie、IP地址被納入個(gè)人信息的場景越來越多。當(dāng)然，相反的情況也可能出現(xiàn)，由于個(gè)人信息保護(hù)的范圍增大，而政府資源有限、企業(yè)則因過分限制信息流動(dòng)減少投入，個(gè)人信息與隱私保護(hù)亦將成為一紙空文。如有學(xué)者認(rèn)為前述《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》擴(kuò)大了個(gè)人信息的范疇，“尤其是它把反映自然人活動(dòng)情況的各種信息也納入個(gè)人信息范疇，混淆‘個(gè)人信息’和‘個(gè)人有關(guān)的信息’，不當(dāng)?shù)財(cái)U(kuò)大了個(gè)人的范圍。”該學(xué)者進(jìn)一步分析認(rèn)為身份的可識別性是個(gè)人信息概念的核心，而“反映自然人活動(dòng)情況的各種信息”屬于“與人有關(guān)的信息”，并不強(qiáng)調(diào)可識別性，而是強(qiáng)調(diào)“關(guān)聯(lián)性”。重要的是，隨著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展，如大數(shù)據(jù)背景下，界定個(gè)人信息僅僅具有理論意義，現(xiàn)實(shí)意義已所剩無幾。所以未來關(guān)注點(diǎn)應(yīng)該是個(gè)人信息利用的環(huán)節(jié)，而不是收集和加工的開始環(huán)節(jié)。這種觀點(diǎn)與前述廢除靜態(tài)概念說有類似的之處，均主張隱私法要放棄對個(gè)人可識別信息的依賴，而應(yīng)該尋找一種全新的、規(guī)制信息隱私的方式。但是，問題在于當(dāng)一部立法沒有了規(guī)制對象時(shí)，之后的規(guī)范框架結(jié)構(gòu)又有何意義呢？

四、個(gè)人信息概念的重塑及立法建議

諸多涉及個(gè)人信息泄露、濫用的事件及其不良影響，使得中國迫切需要制定一部統(tǒng)一的個(gè)人信息保護(hù)法。當(dāng)然這部法律的立法目的要在個(gè)人權(quán)利保障、信息增值和自由流動(dòng)之間實(shí)現(xiàn)利益平衡。立法之時(shí)，界定個(gè)人信息的概念成為首要任務(wù)，其既影響到立法目的的全面實(shí)現(xiàn)，又影響到個(gè)人信息保護(hù)的具體機(jī)制的順利運(yùn)行。實(shí)踐中，個(gè)人信息概念的清晰界定亦有助于各方主體合理展開信息的收集、處理和利用工作，有利于法律解釋方法的合理適用，更有利于建立多元的利益協(xié)調(diào)和規(guī)制機(jī)制。基于上述立法、實(shí)踐以及理論的梳理和分析，未來中國立法時(shí)應(yīng)重塑個(gè)人信息的概念。

（一）理論學(xué)說的重塑

中國目前有關(guān)個(gè)人信息概念界定的立法中，如前述第一、二種立法模式，堅(jiān)持了以識別說為主要的理論基礎(chǔ)�？紤]到中國行政、司法實(shí)踐現(xiàn)狀，未來應(yīng)該首先繼承這一立法思路。對于直接識別的問題，可以例示方式列舉個(gè)人信息的范疇，從而體現(xiàn)法律概念的明確性要求。例如姓名、身份證號碼、手機(jī)號碼等，在收集可以直接識別個(gè)人的信息時(shí)，必須經(jīng)過信息主體的同意，而在信息處理、利用等環(huán)節(jié)必須予以移除，其后則再依托信息利用的后續(xù)環(huán)節(jié)，進(jìn)行基于風(fēng)險(xiǎn)評估的動(dòng)態(tài)控制和保護(hù)。其次，對于間接識別的問題，應(yīng)借鑒關(guān)聯(lián)說的某些內(nèi)容對傳統(tǒng)識別說加以修正和重塑，要考量一個(gè)或多個(gè)與其身體、生理、精神、經(jīng)濟(jì)、文化或社會身份有關(guān)的特殊因素，動(dòng)態(tài)評估信息所處的語境，進(jìn)而界定個(gè)人信息的概念。歐盟將這些因素歸結(jié)為三類，即應(yīng)該從信息的內(nèi)容、目的或者結(jié)果因素加以考慮。內(nèi)容因素是指信息是“關(guān)于”某個(gè)特定人的信息，即使是條形碼，但如果是與個(gè)人相關(guān)就構(gòu)成個(gè)人信息，無論公開、隱秘與否，只要其能夠識別出某個(gè)特定人的身份內(nèi)容。目的因素是指信息加以使用能夠了解特定個(gè)人的行為或者影響個(gè)人的地位、行為。例如電話記錄，使用后可以確定電話使用者的信息。結(jié)果因素信息是指影響到特定個(gè)人的權(quán)利或利益的信息，如GPS信息，能夠了解到司機(jī)的駕駛速度和路徑。相關(guān)的國際組織則將認(rèn)為有七項(xiàng)因素可能會影響到個(gè)人對使用其信息的態(tài)度和敏感性，均構(gòu)成了關(guān)聯(lián)說主要的考量因素�？傊�，應(yīng)基于識別說和關(guān)聯(lián)說的結(jié)合，借鑒相關(guān)立法經(jīng)驗(yàn)，展開立法工作。

當(dāng)然，適用關(guān)聯(lián)說之時(shí)應(yīng)注意：第一，雖然關(guān)聯(lián)說主張抽象界定某些信息是否屬于個(gè)人信息并無實(shí)質(zhì)意義，但這并不意味著關(guān)聯(lián)說放棄了傳統(tǒng)個(gè)人信息的概念，而是在堅(jiān)持識別說基礎(chǔ)之上，探討個(gè)人信息的可識別性。第二，關(guān)聯(lián)說的主要方法和路徑是從個(gè)人到信息，即知道某特定個(gè)人而收集“關(guān)于”該人進(jìn)一步的信息。這些信息有些涉及到個(gè)人身份的信息，有些則涉及個(gè)人行為的信息，有些則可能是與行為的結(jié)果相關(guān)的信息。不同語境有關(guān)不同的結(jié)果，導(dǎo)致相關(guān)的裁量權(quán)較大，這是特別需要注意的問題。以歐盟和美國在適用關(guān)聯(lián)說呈現(xiàn)出的差異就足以說明問題，那么中國即使在立法明確的前提下，依然存在一個(gè)實(shí)踐中的價(jià)值取舍問題。對于關(guān)聯(lián)或者間接識別所產(chǎn)生的問題，學(xué)說重塑之時(shí)應(yīng)考慮信息管理者主觀上有無獲取足以識別個(gè)人信息的其他信息、信息管理者本身技術(shù)上或經(jīng)濟(jì)上能否通過其他信息的對照、組合、聯(lián)結(jié)而識別個(gè)人的要件。之所以如此理解，仍然在于強(qiáng)調(diào)其他信息（特別是信息碎片）的識別性，進(jìn)而展開法律層面的規(guī)范。而這類信息是否具有識別性的考量，須以信息管理者的立場作為出發(fā)，判斷其是否會帶來識別個(gè)人信息的可能性。因此建議立法時(shí)要對“間接識別”作出進(jìn)一步明確，指出以間接方式識別個(gè)人的信息是僅以該信息不能識別，須與其他信息對照、組合、聯(lián)結(jié)等，方能識別該特定個(gè)人的信息。同時(shí)，也應(yīng)對行為人無法取得此類其他信息，或有查詢困難，或行為人在間接方式下成本過高予以排除適用。如此才能平衡立法原意、社會需求和現(xiàn)實(shí)生活的不同取向。

（二）界定個(gè)人信息概念的立法原則

按照廢除靜態(tài)概念說的理論，學(xué)者認(rèn)為大數(shù)據(jù)背景下，所有的信息都可能是個(gè)人可識別的信息。但問題在于，無限擴(kuò)張個(gè)人可識別信息的概念可能導(dǎo)致個(gè)人信息保護(hù)因?yàn)槌杀具^高而不具有可操作性。為此，在立法原則上：一方面，應(yīng)該對于目前一些中國立法中試圖為個(gè)人信息劃定基于類型的固定范圍的思路予以反思和揚(yáng)棄；另一方面則應(yīng)意識到如果不對個(gè)人信息類型化、例示化的話，可能會對行政機(jī)關(guān)執(zhí)法和法院的法律適用的確定性產(chǎn)生影響，更有可能因?yàn)榱⒎ú挥杞缍▊�(gè)人信息而導(dǎo)致信息收集環(huán)節(jié)出現(xiàn)失控的局面。為此，未來中國的個(gè)人信息保護(hù)立法仍然要對個(gè)人信息的概念加以規(guī)定。在界定之時(shí)，應(yīng)貫徹法律概念界定的一般原理，使“個(gè)人信息”這一概念既具規(guī)范價(jià)值又兼敘事價(jià)值，既有確定性又有開放性的特征。在界定時(shí)要考量個(gè)人信息的權(quán)利保障和數(shù)據(jù)流動(dòng)兩大價(jià)值之間的平衡；要與當(dāng)下所處的時(shí)代經(jīng)濟(jì)、政治、社會、文化以及法學(xué)研究等敘事背景相契合。既要有確定的識別標(biāo)準(zhǔn)，又要具有一定的開放性，可使法律方法有適用的空間。

從立法技術(shù)層面來看，這里還需要回應(yīng)幾個(gè)問題：第一，如果統(tǒng)一的《個(gè)人信息保護(hù)法》中對個(gè)人信息概念進(jìn)行了界定，其與既有的《網(wǎng)絡(luò)安全法》中的定義是什么關(guān)系？《網(wǎng)絡(luò)安全法》的立法目的在于“保障網(wǎng)絡(luò)安全，維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護(hù)公民、法人和其他組織的合法權(quán)益，促進(jìn)經(jīng)濟(jì)社會信息化健康發(fā)展”，雖然有學(xué)者將之視為網(wǎng)絡(luò)安全領(lǐng)域的“基本法”，認(rèn)為可以指導(dǎo)其他法律法規(guī)及其實(shí)施，然而，個(gè)人信息保護(hù)法及其制度設(shè)計(jì)是否完全屬于《網(wǎng)絡(luò)安全法》的調(diào)整范疇仍然值得商榷的，因?yàn)閮煞ǖ牧⒎�目�?biāo)具有一定的差異�；�于此，未來個(gè)人信息保護(hù)立法可以在充分借鑒前述幾種模式的基礎(chǔ)之上，提出更有針對性的個(gè)人信息的概念，并建議以概括加例示方式為宜。第二，未來統(tǒng)一的個(gè)人信息保護(hù)法中的個(gè)人信息概念，可否適用于民法、行政法甚至刑法規(guī)范之中？中國在立法時(shí)很少探討這個(gè)問題，但是實(shí)踐中相關(guān)的爭議大量存在，如行政法和刑法銜接時(shí)，因?yàn)閭�(gè)人信息概念并不明確，導(dǎo)致與刑法介入社會生活的“最后性”或者“迫不得已性”相違背。為了確保法制統(tǒng)一性，充分發(fā)揮民法、行政法、刑法各自不同的保障方式，建議統(tǒng)一的個(gè)人信息保護(hù)法中的個(gè)人信息概念能夠貫穿于中國所有的法律規(guī)范體系當(dāng)中，從而確保法律概念明確性、規(guī)范性和統(tǒng)一性的要求。當(dāng)然，這也為立法提出了更高的要求。第三，中國還需要處理好一些基本的問題，才能夠在展開語境考量或者風(fēng)險(xiǎn)評估時(shí)得出適當(dāng)?shù)拇鸢浮＿@些問題有些是基本理論的問題，如中國保護(hù)個(gè)人信息的權(quán)利基礎(chǔ)究意是什么？有些則是立法之后具體實(shí)踐的問題，如怎么樣在市場、行政和司法實(shí)踐中正確處理“個(gè)人隱私”與“個(gè)人信息”的關(guān)系，如何使其保障更為有效？如何發(fā)揮各種主體的作用等。

（三）與個(gè)人信息概念相適的制度構(gòu)建

如今，因?yàn)榫W(wǎng)絡(luò)和信息技術(shù)的快速發(fā)展，導(dǎo)致個(gè)人信息成為一個(gè)動(dòng)態(tài)的概念，不再僅僅與網(wǎng)絡(luò)服務(wù)提供者居于直接、單一的聯(lián)系，而是會經(jīng)過多方流轉(zhuǎn)、比對、再識別、再利用等方式實(shí)現(xiàn)價(jià)值重造，實(shí)現(xiàn)了與數(shù)據(jù)中間商、數(shù)據(jù)后續(xù)利用者等主體之間的多重主體的關(guān)聯(lián)。無所不在的信息收集，對個(gè)人形成密集追蹤；個(gè)人信息的海量累積、分析、比對將可能構(gòu)建出清晰無比的人格圖像，挖掘出個(gè)人不愿為他人知曉的敏感信息。關(guān)聯(lián)說雖然在理論上可以應(yīng)對這些新的發(fā)展，但是可以預(yù)料到的是實(shí)踐中對于某類信息是否屬于個(gè)人信息的爭議仍然持續(xù)存在。換言之，除包含一定的內(nèi)容之外，信息本身還應(yīng)當(dāng)被視為是一個(gè)過程，不僅涉及信息從信息主體到信息管理者的傳遞過程，而且包括了信息處理和利用的過程。因此有必要考慮個(gè)人信息全程的界定以及保護(hù)問題，而這些機(jī)制運(yùn)行中所考慮的因素均可以構(gòu)成關(guān)聯(lián)說所考慮的因素，也有益于將傳統(tǒng)的事后救濟(jì)轉(zhuǎn)向事前預(yù)防層面，更有利于發(fā)揮信息管理者的自我規(guī)制作用。

與其他信息一樣，個(gè)人信息具有生命周期，涉及到個(gè)人信息的收集、處理、利用等各個(gè)環(huán)節(jié)，每個(gè)階段應(yīng)該有著不同的保護(hù)機(jī)制。按照這一理論的要求，不僅僅要求在收集階段，實(shí)現(xiàn)對“個(gè)人信息”概念的界定，以及設(shè)計(jì)收集限制、知情同意等機(jī)制之外，還要在處理、利用等各個(gè)環(huán)節(jié)加強(qiáng)對“個(gè)人信息”的識別，設(shè)計(jì)確保公開透明、信息質(zhì)量、處理限制、安全責(zé)任等方面的運(yùn)行機(jī)制。對此，未來中國個(gè)人信息保護(hù)立法應(yīng)予以重視：第一，從目前的相關(guān)立法來看，個(gè)人信息的識別問題并沒有完全貫穿于信息生命周期的所有環(huán)節(jié)，實(shí)踐中亦是如此。以“新浪微博訴脈脈不正當(dāng)競爭案”為例，二審法院除判決“脈脈”違法之外，進(jìn)一步指出新浪微博在保護(hù)用戶信息方面也存在不足，要求網(wǎng)絡(luò)運(yùn)營者在采集運(yùn)用用戶信息時(shí)應(yīng)履行相應(yīng)的管理義務(wù)。然而，對于信息銷毀等環(huán)節(jié)的問題并沒有提及，未來應(yīng)該考慮建立相應(yīng)的制度甚至是權(quán)利來加以回應(yīng)。第二，OECD、歐盟、美國等均在立法中對信息管理者施加了“通過設(shè)計(jì)保護(hù)隱私”（Privacy by Design）的義務(wù)，要求其在信息生命周期的最開始就去思考個(gè)人信息和隱私保護(hù)的問題，而不是在事件發(fā)生之后。[[66]]其主要作法是將個(gè)人信息保護(hù)嵌入技術(shù)、商業(yè)準(zhǔn)則和物理的基礎(chǔ)設(shè)施的設(shè)計(jì)標(biāo)準(zhǔn)中加以保護(hù)。于是，信息管理者設(shè)計(jì)隱私保護(hù)機(jī)制時(shí)所考慮的業(yè)務(wù)結(jié)構(gòu)、規(guī)模、數(shù)量和敏感度均構(gòu)成個(gè)人信息概念界定時(shí)的關(guān)聯(lián)因素。這種風(fēng)險(xiǎn)預(yù)防、技術(shù)與法律互動(dòng)的思路克服了過去僅在信息收集時(shí)依賴個(gè)人信息概念界定的不足，讓信息管理者甚至信息主體參與到企業(yè)運(yùn)作和個(gè)人信息保護(hù)的全過程，有利于提升產(chǎn)業(yè)自身個(gè)人信息保護(hù)的能力和主動(dòng)性，未來中國立法應(yīng)予以關(guān)注。

（四）個(gè)人信息概念的類型化及保護(hù)強(qiáng)度

準(zhǔn)確認(rèn)知和把握個(gè)人信息概念的內(nèi)涵，較為可行的辦法還在于從分類上予以觀察、對比，用以揭示概念的外延，進(jìn)而在保護(hù)強(qiáng)度的分配上能夠成比例性。域外立法從識別或關(guān)聯(lián)方式上將個(gè)人信息分為直接識別信息和間接識別信息，但并沒有就保護(hù)強(qiáng)度作出區(qū)分。前述新識別說認(rèn)為要根據(jù)不同類型的信息成比例地匹配相應(yīng)程度的保護(hù)機(jī)制。保護(hù)強(qiáng)度與保護(hù)機(jī)制相關(guān)聯(lián)，一般可表現(xiàn)為禁止收集、禁止識別或者禁止處理、禁止披露等。以知情同意的保護(hù)機(jī)制而言，一方面因?yàn)榇髷?shù)據(jù)背景下知情同意很難完全做到，另一方面不同類型的信息均要求做到知情同意也不符合成本收益原則。因此，立法可以根據(jù)不同的信息類型或者要求信息主體同意或者由信息管理者提供法律規(guī)定的理由，進(jìn)而展開不同層次的保護(hù)。后者是個(gè)人信息處理的“合法性原則”在立法中的體現(xiàn)，要求信息處理的目的必須合法，而且所使用的個(gè)人信息應(yīng)當(dāng)為實(shí)現(xiàn)該目的所必需、相適應(yīng)，其范圍、數(shù)量應(yīng)當(dāng)與該目的相匹配或成比例。進(jìn)而，行政和司法實(shí)踐可依據(jù)不同類型的信息，建構(gòu)不同梯次的保護(hù)強(qiáng)度。

另外值得討論的問題是，未來中國在界定個(gè)人信息概念之時(shí)，是否要規(guī)定敏感信息？如前所述，有學(xué)者建議在未來中國個(gè)人信息保護(hù)立法時(shí)不予規(guī)定，而在專門立法中加以規(guī)定。當(dāng)然，亦有學(xué)者持贊成意見，認(rèn)為雖然難以定義“敏感信息”，但作為個(gè)人信息中最為重要、與信息主體權(quán)利最相關(guān)的一類，不僅需要明示，而且需要特殊保護(hù)。在個(gè)人信息保護(hù)法中加以明確規(guī)定，不僅意在特殊保護(hù)，而且也會為其他相關(guān)單行立法提供保護(hù)的立法依據(jù)。“根本不設(shè)立敏感數(shù)據(jù)的概念，難以體現(xiàn)對特殊類型數(shù)據(jù)進(jìn)行特殊保護(hù)的基本原則，難以完成個(gè)人數(shù)據(jù)保護(hù)法的基本職能�！睆牧⒎�技術(shù)以及中國立法實(shí)踐情況來看，如果要全面、體系性地保護(hù)個(gè)人信息，就有必要對敏感信息加以規(guī)定。至于名稱，建議使用“特殊類型的個(gè)人信息”，既可以防止個(gè)人信息分類在邏輯上的不足，又避免對“敏感”內(nèi)涵產(chǎn)生不同認(rèn)識，同時(shí)結(jié)合中國國情考慮將有關(guān)個(gè)人的隱秘信息，如身體特征、健康信息或個(gè)人信念以及極可能用以作出歧視性決定的信息作為主要構(gòu)成加以例示性規(guī)定。此外，還有必要規(guī)定14歲以下（含）兒童的個(gè)人信息和自然人的隱私信息屬于特殊信息，在保護(hù)機(jī)制上可設(shè)計(jì)對此類信息的處理行為只有或至少在獲得該兒童監(jiān)護(hù)人的同意或授權(quán)時(shí)才是合法的。

五、結(jié)語

現(xiàn)代社會無不受到網(wǎng)絡(luò)和信息技術(shù)的影響，每個(gè)人瀏覽網(wǎng)頁的時(shí)間、登錄時(shí)的IP地址、曾經(jīng)搜索的關(guān)鍵詞、信用卡消費(fèi)情形等，甚至每天的一舉一動(dòng)，所有發(fā)生或正在發(fā)生的事情都持續(xù)地被記錄與更新。同時(shí)，企業(yè)無不進(jìn)行收集、處理、利用信息的工作，進(jìn)行分析和統(tǒng)計(jì)行為，進(jìn)而策劃商業(yè)模式，進(jìn)行商業(yè)行為與利潤謀取工作。而我們現(xiàn)代人漸漸習(xí)慣并且融入，也將網(wǎng)絡(luò)和信息技術(shù)的優(yōu)勢內(nèi)化到我們的生活之中。在此便利下所帶來的最大挑戰(zhàn)莫過于對原應(yīng)保有為個(gè)人領(lǐng)域的侵犯。即使有些個(gè)人信息可以采用去識別化技術(shù)加以處理，但是在現(xiàn)代技術(shù)之下，任何信息碎片均有可能經(jīng)由連結(jié)、組合、比對而再次成為可識別的個(gè)人信息。網(wǎng)絡(luò)和信息技術(shù)的不斷發(fā)展導(dǎo)致個(gè)人信息保護(hù)面臨著諸多的挑戰(zhàn)：收集環(huán)節(jié)，移動(dòng)互聯(lián)網(wǎng)和物聯(lián)網(wǎng)的廣泛應(yīng)用使個(gè)人信息的收集日益密集、隱蔽；處理環(huán)節(jié)，不同來源的個(gè)人信息多維組合，畫像、實(shí)時(shí)追蹤、數(shù)據(jù)挖掘等加劇了個(gè)人信息和隱私受損的風(fēng)險(xiǎn)；利用環(huán)節(jié)，多元主體參與、數(shù)據(jù)流轉(zhuǎn)方式復(fù)雜。這一切均給個(gè)人信息保護(hù)及其立法帶來了巨大的挑戰(zhàn)。從目前各國的立法及實(shí)踐來看，個(gè)人信息的概念是個(gè)人信息保護(hù)和信息隱私規(guī)制的起點(diǎn)，但目前的定義均不令人滿意。完全放棄這個(gè)概念則意味著無法界定規(guī)制的邊界，因此理論界提出了許多的建議，尤其主張應(yīng)動(dòng)態(tài)、彈性地理解個(gè)人信息的概念，這給立法和實(shí)踐帶來了一定的困難。中國的個(gè)人信息保護(hù)立法目前已經(jīng)啟動(dòng)，研究認(rèn)為應(yīng)該堅(jiān)持使用個(gè)人信息的概念，以識別說和關(guān)聯(lián)說相結(jié)合為基礎(chǔ)，將個(gè)人信息的識別貫穿整個(gè)信息生命周期，利用產(chǎn)業(yè)技術(shù)優(yōu)勢保護(hù)個(gè)人信息，利用類型化方法成比例地分配保護(hù)強(qiáng)度。希望這些相關(guān)的理論爭議能夠?yàn)榱⒎�及其�?shí)施帶來智識。