大数据背景下个人信息的内涵与特征

（一）个人信息的内涵

个人信息的概念最早源于1968年联合国“国际人权会议”提出的“资料保护”一词。^[3]到目前为止，世界上多达90个国家和地区制定了个人信息保护专项立法。^[4]但是，这些国家和地区的个人信息保护立法针对个人信息的定义则不完全相同。代表性的表述有“个人数据”“个人隐私”“个人资料”“个人信息”等。

1.个人信息的定义

在高度交往的今天，个人信息的内涵较之以往，其范围必不相同。明确现阶段个人信息的范围，是个人信息保护的根本前提。

个人信息是关于个人的一切资料、数据，是能够直接或者间接识别特定个人的所有信息，包括一个人生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等方面。这些方面包括健康情况、犯罪记录、性活动、名誉等涉及人格权的事项，也包括著作和财产等涉及财产权的事项。^[5]

英国采用“个人数据”表述，1998年《数据保护法》将个人数据定义为：“由有关一个活着的人的信息组成的数据，对于这个人，可以通过该信息（或者通过数据用户拥有的该信息的其他信息）识别出来，该信息包括对有关该个人的评价，但不包括对该个人数据用户表示的意图。”

使用“个人隐私”称谓的有1974年美国《隐私权法》，该法是美国最重要的一部保护个人信息方面的法律。该法适用于美国公民和在美国取得永久居留权的外国人。该法对政府机构应当如何收集个人信息、什么内容的个人信息能够储存、收集到的个人信息如何向公众开放及信息主体的权利等都作出了比较详细的规定，以此规范联邦政府处理个人信息的行为，平衡隐私权保护与个人信息利用之间的紧张关系。其中规定：“该法中的‘记录’，是指包含在某一记录系统中的个人记录。记录系统是指在行政机关控制之下的任何记录的集合体，其中信息的检索是以个人的姓名或某些可识别的数字、符号或其他个人标识为依据。”个人记录是指“行政机关根据公民的姓名或其他标识而记载的一项或一组信息”。其中，“其他标识”包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。

我国台湾地区2010年修订的“个人资料保护法”则使用“个人资料”来表达，其中第2条规定：“个人资料：指自然人之姓名、出生年月日、……特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之资料。”

2016年11月7日发布的《中华人民共和国网络安全法》对公民个人信息予以明确界定，第76条第（5）项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

2017年3月，全国人大代表、全国人大常委、财经委副主任委员吴晓灵，全国人大代表、中国人民银行营业管理部主任周学东以及45位全国人大代表在两会提交《关于制定〈中华人民共和国个人信息保护法〉的议案》，建议尽快制定《中华人民共和国个人信息保护法》。议案同时将《中华人民共和国个人信息保护法（草案）》作为附件提交。

随后，2017年4月26日最高人民法院、最高人民检察院通过的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定：“……‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

2017年12月29日，国家质量监督检验检疫总局、中国国家标准化管理委员会发布《信息安全技术　个人信息安全规范》，尽管这是一部推荐性的国家标准，其不具有强制力，但仍引起了学界与实务界的广泛关注。其中规定，作为个人信息保护的国家标准，明确判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人；二是关联，即从个人到信息，如已知特定自然人，则由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。

2.个人信息与个人隐私的关系

从以上个人信息的定义看，美国采用“个人隐私”表述方式，实则个人信息与隐私的关系既有联系又有区别，一方面，个人信息具有一定程度的私密性，很多个人信息都是人们不愿对外公布的私人信息，是个人不愿他人介入的私人空间，不论其是否具有经济价值，都体现了一种人格利益。^[6]但是，个人信息不完全属于隐私的范畴，不能与其混同。

个人信息除了个人隐私外还包括其他信息，数字化技术的发展使得许多隐私同时具有个人信息的特征，如个人通信隐私甚至谈话的隐私等，都可以通过技术的处理而被数字化，从而可能因具有身份识别的特征而被纳入个人信息的范畴。^[7]个人信息与个人隐私的区别主要在于：（1）个人信息在内容上更为广泛，涉及个人心理、生理、智力以及社会政治、经济、文化、教育、家庭、财产等方方面面。^[8]隐私主要是一种私密性的信息或私人活动，如个人身体状况、家庭状况、婚姻状况等，凡是个人不愿意公开披露且不涉及公共利益的部分都可以成为个人隐私，而且，单个的私密信息或者私人活动并不直接指向自然人的主体身份。^[9]隐私的私密性即决定了个人自主公开后便不属于隐私，而有些个人信息不具有私密性，个人可以自行加以公开，公开后仍属于信息的范畴。《全国人民代表大会常务委员会关于加强网络信息保护的决定》指出，个人信息是指国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，此规定即可看出二者关系。（2）个人信息的存在形式为固定化的信息方式，主要以电子化方式储存。隐私不限于信息的形态，它还可以以个人活动、个人私生活等方式体现。^[10](www.xing528.com)

3.个人信息与个人数据的关系

英国和欧盟采用“个人数据”表述方式，有关个人信息与个人数据的联系，学界对此尚未有明确的界定，有些国家亦称为“个人资料”。个人信息是具有属性特征的个人数据和经过加工的个人数据的总和。而个人数据是能通过计算机识别、储存、加工和处理的个人信息。^[11]简而言之，个人数据是有关个人的初始序列符号，而个人信息则是经过二次转换后直接可被读取的内容。个人数据同个人信息的关系为交叉关系，如果个人数据是与一个身份已被识别或者可被识别的自然人相关的任何数据，经过转化即为个人信息；无法识别个人的数据则不属于个人信息。

4.小结

通过比较各国对个人信息的定义，个人信息的内涵既不同于数据亦不同于隐私，因此需要明确其独立的含义。

综上所述，虽然上述各地区定义名称、内容表达及立法模式都不尽相同，包含的个人信息范围之限度亦有差异，但其核心内容是一致的，即可识别性。个人信息的界定具有时代特征，其随着社会的变动内涵亦随之改变。各国针对大数据时代的趋势，都在不断针对立法中“个人信息”的内涵进行扩大。因此，准确界定个人信息的内涵是无法实现的，但以概括结合列举的模式，辅之以个人信息的特点予以对应，即可判断该“个人信息”是否在保护之列。

（二）个人信息的特征

1.可识别性

可识别性是个人信息的实质性特征，其是指通过一条或多条个人信息识别信息主体。以信息与特定自然人之间的关联密切程度为标准，可分为直接个人信息与间接个人信息。可直接识别特定个人的信息即包括身份证号、声音、肖像、DNA等；间接识别特定个人的信息是指须结合两个及两个以上信息才能确定特定个人的信息，即身高及姓名、通信地址及年龄等数种个人信息的排列组合。德国、挪威及丹麦等大多数国家在界定个人信息的范围时，明确将直接或间接信息作为构成个人信息内容的要素，在立法条文中予以体现。

2.共享性

不同于隐私的“私密性”，大数据背景下的个人信息不具有独占性，又称其具有可复制性、共享性。传统个人隐私具有对世效力，除隐私权主体自行支配外，任何人不得窥探、窃取、处理或使用他人隐私。一旦非法获取他人隐私，侵权人将承担相应的法律责任。单个信息无法实现社会效用，信息的价值必须通过流通、共享形成链条，再通过科技处理才能最大限度地发挥出来。个人信息固定于一定的载体上，如文字、声音、图像等记录媒体。因记录方式的特殊性，通过大数据其他主体可以迅速获取、处理、分析信息，且可多次利用。

3.人格性

如前所述，个人信息与个人隐私的关系密不可分，一部分个人信息反映信息主体不愿公开的私生活秘密，同个人隐私的内容相重合，故具有人格性。就隐私而言，其产生的价值基础就是人格尊严和人格自由发展的保护。^[12]而个人信息常常被称为“信息自决权（informational self-determination right）”，同样体现了对个人自决等人格利益的保护。^[13]我国台湾地区“个人资料保护法”的立法目的即为“避免人格权受侵害”。其所列举的各项个人信息，均是有关人格利益等方面的信息。

4.财产性

《中华人民共和国刑法》第253条之一规定了“侵犯公民个人信息罪”，第1款规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”信息的牟利行为即体现了其财产性，以个人信息的交换换取一定的“利益”。当前，在公民日常使用网络服务时，以个人信息的授权使用换取网络服务。公权力机关因公共利益目的获取、收集、管理、使用公民个人信息，通过挖掘这些信息的潜在价值，其能够全面提升服务质量，帮助政府的各个部门流通数据，从而促进各部门的协同合作，提高政府的行政效率。从企业角度来讲，其以营利为目的，通过海量信息的处理，大数据反馈的政策走向、市场发展、客户需求等信息能够为企业带来更大的经济价值。