何　波　中國信息通信研究院互聯(lián)網(wǎng)法律研究中心工程師

1　引言

法理學(xué)認(rèn)為，特定法律概念是引發(fā)特定法律后果的前提，法律概念的語義構(gòu)成目的論證的界限；法律概念是法律規(guī)范的基礎(chǔ),也是進行法律思維和推理的根本環(huán)節(jié)。因此，在個人信息保護法領(lǐng)域，討論“個人信息”的概念及其界定有著非常重要的意義，是作為法律規(guī)范的個人信息保護法律的基礎(chǔ)和核心，也是研究相關(guān)問題的起點。一方面，個人信息保護法律規(guī)則的實施需要以確定該信息是否屬于個人信息為前提，即，只有當(dāng)這些信息明確符合個人信息的概念或?qū)儆趥€人信息的范圍時，才會受到個人信息保護法律的保護和規(guī)范。另一方面，由于概念是對象的屬性在觀念中的呈現(xiàn)，是思維的工具，因此也體現(xiàn)了立法者的價值取向。個人信息保護立法與產(chǎn)業(yè)發(fā)展密切相關(guān)，對個人信息概念和范圍界定的寬泛與否，將嚴(yán)重影響相關(guān)產(chǎn)業(yè)的發(fā)展。

2　個人信息界定理論

傳統(tǒng)上來看，對個人信息的界定主要是基于“識別說”和“關(guān)聯(lián)說”理論。但隨著科技的發(fā)展，新技術(shù)、新應(yīng)用層出不窮，個人信息保護面臨新的環(huán)境和挑戰(zhàn)，出現(xiàn)了以“場景理論”為代表的新觀點。

2.1　識別說

所謂識別說，是指將“是否可以識別個人身份”作為界定個人信息和非個人信息的標(biāo)準(zhǔn)。根據(jù)識別說的理論，能夠識別出個人身份的信息才屬于個人信息，在此種語境下，個人信息也被稱為“個人可識別信息（Personally Identifiable Information,PII）”。由此可見，“可識別性”是判斷個人信息的核心要素，其包含著個人信息與信息主體存在某一客觀確定的可能性，通過盡其合理的方式以識別出該特定自然人?？勺R別性根據(jù)識別的程度又可以分為兩種方式，即直接識別和間接識別。直接識別是指通過單個信息就能夠直接確認(rèn)某人身份，如姓名、身份證號碼、電話號碼、個人照片等。間接識別是指單個信息雖然不能直接指向特定個人，但是同其他信息相結(jié)合或者通過信息對比分析，可以達到確定某一特定主體的效果，因此，該信息仍然具有可識別性。

隨著技術(shù)的發(fā)展和應(yīng)用的普及，信息的總量越來越大，種類越來越多，部分信息雖然不屬于現(xiàn)行法律“個人可識別信息”的定義范圍，但也可以精準(zhǔn)識別到個人，這給識別說理論帶來了挑戰(zhàn)。PaulM.Schwartz與Daniel J.Solove教授在“ThePIIProblem,Privacy and a New Concept of Personally Identifiable Information”一文中對此作了深入分析，他們指出：首先，由于IP地址可以精準(zhǔn)定位到個人，原有的通過匿名化處理的效果已不再明顯。其次，盡管可以采取技術(shù)手段對個人可識別信息進行處理，但處理后的信息與其他信息結(jié)合之后，還可以重新識別到個人。再次，由于信息與信息之間的關(guān)聯(lián)性越來越強，讓可識別信息和非可識別信息之間的界限正在變得模糊。最后，對于某一類信息是否屬于個人可識別信息的范圍，需要結(jié)合實際情況綜合判斷。

2.2　關(guān)聯(lián)說

關(guān)聯(lián)說也即相關(guān)性。與識別不同，關(guān)聯(lián)是在已知特定個人的情況下，知曉該特定主體進一步的相關(guān)信息。例如，美國《消費者隱私權(quán)利法案（草案）》將個人信息定義為“能夠連結(jié)到特定個人或設(shè)備的信息”，指出個人信息“關(guān)聯(lián)性”的特征，并將范圍擴展到“設(shè)備”的規(guī)定，進而列舉構(gòu)成個人信息的具體類型，如姓名、郵箱地址、電話號碼、身份證號、指紋等，并指明能夠以合理方式連結(jié)到前述類型的信息均屬個人信息。根據(jù)關(guān)聯(lián)說的理論，個人信息必須要與信息主體存在某種程度上的相關(guān)性，這種相關(guān)性是構(gòu)成個人信息的關(guān)鍵要素，它有助于準(zhǔn)確判斷個人與信息之間存在何種聯(lián)系以及如何辨識個人的身份。這也從某種程度上說明，關(guān)聯(lián)說與識別說并非是相互排斥或相互取代的關(guān)系，二者在個人信息界定方法上并行不悖。

2.3　場景理論

進入數(shù)字經(jīng)濟時代，數(shù)據(jù)進一步海量增長，個人信息的潛在范圍也隨之無限擴大，加之識別說面臨的挑戰(zhàn)，在傳統(tǒng)個人信息界定理論之外，有學(xué)者提出了“基于場景的風(fēng)險評估”方法，即場景理論。該理論認(rèn)為，個人信息的界定是基于動態(tài)場景，而非靜態(tài)的信息類型；個人信息尤其是相關(guān)性信息的邊界是動態(tài)的，是否構(gòu)成個人信息應(yīng)視具體的場景而定。與此同時，即便在特定的場景中，一筆信息能否識別或關(guān)聯(lián)到特定個人，仍無法做“是或非”的二元界定，而只能做程度化的考量，即評估構(gòu)成個人信息的“可能性”，而對于何時具備辨識或關(guān)聯(lián)到個人的可能性，需要基于場景進行風(fēng)險評估。場景理論的提出有其特定的背景與合理性，雖然目前尚無立法進行明確規(guī)定，但具體實踐業(yè)務(wù)中對個人信息界定的效果是非常明顯的，也在識別說和關(guān)聯(lián)說之外提供了一種新的思路。

3　域內(nèi)外立法實踐

一般認(rèn)為，法律概念與法律規(guī)范并列為“法的要素”之一。因此，一部法律的制定與運行離不開對基本概念的界定，個人信息保護立法亦是如此，無論是國際社會個人信息保護專門立法，還是近年來我國相關(guān)法律的制定，無一例外都對個人信息的概念作了界定。

3.1　國際社會對個人信息的界定

由于法律傳統(tǒng)以及立法價值取向不同，個人信息在不同的國家和地區(qū)，其稱謂也有所不同。例如，歐盟及其成員國普遍使用“個人數(shù)據(jù)（PersonalData）”的表達，美國則傾向于使用“隱私（Privacy）”的概念，我國香港和澳門地區(qū)采用了“個人資料”的表述，而亞洲的日本、韓國和我國《網(wǎng)絡(luò)安全法》一樣使用的是“個人信息（Personal Information）”。雖然稱謂不同，但其所要表達的概念的指向其實是相似的。主要國家和地區(qū)立法對個人信息的界定見表1。

從國際社會立法對個人信息概念的界定來看，有兩個方面的特點或者趨勢：一是“可識別性”一直都是界定個人信息的基礎(chǔ)，從歐盟1995年指令到2016年《通用數(shù)據(jù)保護條例》，對個人數(shù)據(jù)范圍的界定仍然離不開識別的標(biāo)準(zhǔn)。二是受關(guān)聯(lián)說的影響，個人信息的范圍在不斷擴大。例如，美國《消費者隱私權(quán)利法案（草案）》提出關(guān)聯(lián)性標(biāo)準(zhǔn)，將范圍擴展到“設(shè)備”；日本2015年修訂的《個人信息保護法》在個人信息的列舉范圍中增加了包含個人識別代碼的信息。

3.2　國內(nèi)立法對個人信息的界定

目前，我國還沒有制定專門的個人信息保護立法，但在《網(wǎng)絡(luò)安全法》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等法律法規(guī)中已經(jīng)對個人信息保護作了相關(guān)制度安排，并對個人信息的概念和范圍作了界定。我國現(xiàn)有立法中對個人信息的界定主要是采取概括加列舉的方式，本質(zhì)上還是屬于“識別說”的方法。例如，2012年全國人大常委會發(fā)布的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》中就以識別說的方式作了概括性的規(guī)定，其中第1條指出：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”。再如，2013年工業(yè)和信息化部發(fā)布的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》（工業(yè)和信息化部令第24號）首次在立法中明確以“概括加列舉”的方式對“用戶個人信息”做了界定；其中第4條規(guī)定：“本規(guī)定所稱用戶個人信息，是指電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者，在提供服務(wù)的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等，能夠單獨或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務(wù)的時間、地點等信息。”此后頒布的《寄遞服務(wù)用戶個人信息安全管理規(guī)定》等個人信息保護相關(guān)規(guī)定基本上沿用了工信部24號令的界定方式，并在2016年的《網(wǎng)絡(luò)安全法》中以更高層級的法律形式予以了固定和升華。我國主要法律文件中對個人信息的界定見表2。

4　結(jié)束語

在各界的廣泛關(guān)注下，國家有關(guān)部門高度重視并不斷加快個人信息保護的相關(guān)立法工作，也取得了積極進展。全國人大常委會法工委負(fù)責(zé)人在接受采訪時表示，目前，我國正在積極研究制定個人信息保護立法?！秱€人信息保護法》即將提上立法日程，個人信息概念的界定是立法首先需要解決的問題?！毒W(wǎng)絡(luò)安全法》采取“概括加列舉”的方式，在識別說的基礎(chǔ)上，對個人信息作了界定。但具有“身份識別性”的信息是有限的，加之個人信息的屬性動態(tài)變化，利用大數(shù)據(jù)技術(shù)，可以將非個人信息轉(zhuǎn)化為個人信息，難以采用“一刀切”的保護方式，如何重新界定“個人信息”成為立法中的值得思考的重要問題。盡管以“識別”特征的個人信息定義面臨著許多缺陷，部分國家開始采用“關(guān)聯(lián)性標(biāo)準(zhǔn)”，但這種界定方式空前擴展了個人信息的邊界，不利于大數(shù)據(jù)資源開發(fā)利用，還有可能限制我國數(shù)字經(jīng)濟的發(fā)展。因此，在未來的個人信息保護法中，我們?nèi)越ㄗh采用以“識別說”為主的界定方式，但為彌補這一開放性界定的不足，需要結(jié)合我國數(shù)字經(jīng)濟發(fā)展的具體國情制定相關(guān)細(xì)則和指南，對個人信息的范圍予以進一步明確，特別是對IP地址、cookie、搜索記錄等在實踐中存在爭議的問題，做出更為明確的解釋和回應(yīng)。

表1　主要國際組織、國家和地區(qū)立法對個人信息的界定

表2　我國主要法律文件中關(guān)于個人信息界定的規(guī)定