何　波　中国信息通信研究院互联网法律研究中心工程师

1　引言

法理学认为，特定法律概念是引发特定法律后果的前提，法律概念的语义构成目的论证的界限；法律概念是法律规范的基础,也是进行法律思维和推理的根本环节。因此，在个人信息保护法领域，讨论“个人信息”的概念及其界定有着非常重要的意义，是作为法律规范的个人信息保护法律的基础和核心，也是研究相关问题的起点。一方面，个人信息保护法律规则的实施需要以确定该信息是否属于个人信息为前提，即，只有当这些信息明确符合个人信息的概念或属于个人信息的范围时，才会受到个人信息保护法律的保护和规范。另一方面，由于概念是对象的属性在观念中的呈现，是思维的工具，因此也体现了立法者的价值取向。个人信息保护立法与产业发展密切相关，对个人信息概念和范围界定的宽泛与否，将严重影响相关产业的发展。

2　个人信息界定理论

传统上来看，对个人信息的界定主要是基于“识别说”和“关联说”理论。但随着科技的发展，新技术、新应用层出不穷，个人信息保护面临新的环境和挑战，出现了以“场景理论”为代表的新观点。

2.1　识别说

所谓识别说，是指将“是否可以识别个人身份”作为界定个人信息和非个人信息的标准。根据识别说的理论，能够识别出个人身份的信息才属于个人信息，在此种语境下，个人信息也被称为“个人可识别信息（Personally Identifiable Information,PII）”。由此可见，“可识别性”是判断个人信息的核心要素，其包含着个人信息与信息主体存在某一客观确定的可能性，通过尽其合理的方式以识别出该特定自然人。可识别性根据识别的程度又可以分为两种方式，即直接识别和间接识别。直接识别是指通过单个信息就能够直接确认某人身份，如姓名、身份证号码、电话号码、个人照片等。间接识别是指单个信息虽然不能直接指向特定个人，但是同其他信息相结合或者通过信息对比分析，可以达到确定某一特定主体的效果，因此，该信息仍然具有可识别性。

随着技术的发展和应用的普及，信息的总量越来越大，种类越来越多，部分信息虽然不属于现行法律“个人可识别信息”的定义范围，但也可以精准识别到个人，这给识别说理论带来了挑战。PaulM.Schwartz与Daniel J.Solove教授在“ThePIIProblem,Privacy and a New Concept of Personally Identifiable Information”一文中对此作了深入分析，他们指出：首先，由于IP地址可以精准定位到个人，原有的通过匿名化处理的效果已不再明显。其次，尽管可以采取技术手段对个人可识别信息进行处理，但处理后的信息与其他信息结合之后，还可以重新识别到个人。再次，由于信息与信息之间的关联性越来越强，让可识别信息和非可识别信息之间的界限正在变得模糊。最后，对于某一类信息是否属于个人可识别信息的范围，需要结合实际情况综合判断。

2.2　关联说

关联说也即相关性。与识别不同，关联是在已知特定个人的情况下，知晓该特定主体进一步的相关信息。例如，美国《消费者隐私权利法案（草案）》将个人信息定义为“能够连结到特定个人或设备的信息”，指出个人信息“关联性”的特征，并将范围扩展到“设备”的规定，进而列举构成个人信息的具体类型，如姓名、邮箱地址、电话号码、身份证号、指纹等，并指明能够以合理方式连结到前述类型的信息均属个人信息。根据关联说的理论，个人信息必须要与信息主体存在某种程度上的相关性，这种相关性是构成个人信息的关键要素，它有助于准确判断个人与信息之间存在何种联系以及如何辨识个人的身份。这也从某种程度上说明，关联说与识别说并非是相互排斥或相互取代的关系，二者在个人信息界定方法上并行不悖。

2.3　场景理论

进入数字经济时代，数据进一步海量增长，个人信息的潜在范围也随之无限扩大，加之识别说面临的挑战，在传统个人信息界定理论之外，有学者提出了“基于场景的风险评估”方法，即场景理论。该理论认为，个人信息的界定是基于动态场景，而非静态的信息类型；个人信息尤其是相关性信息的边界是动态的，是否构成个人信息应视具体的场景而定。与此同时，即便在特定的场景中，一笔信息能否识别或关联到特定个人，仍无法做“是或非”的二元界定，而只能做程度化的考量，即评估构成个人信息的“可能性”，而对于何时具备辨识或关联到个人的可能性，需要基于场景进行风险评估。场景理论的提出有其特定的背景与合理性，虽然目前尚无立法进行明确规定，但具体实践业务中对个人信息界定的效果是非常明显的，也在识别说和关联说之外提供了一种新的思路。

3　域内外立法实践

一般认为，法律概念与法律规范并列为“法的要素”之一。因此，一部法律的制定与运行离不开对基本概念的界定，个人信息保护立法亦是如此，无论是国际社会个人信息保护专门立法，还是近年来我国相关法律的制定，无一例外都对个人信息的概念作了界定。

3.1　国际社会对个人信息的界定

由于法律传统以及立法价值取向不同，个人信息在不同的国家和地区，其称谓也有所不同。例如，欧盟及其成员国普遍使用“个人数据（PersonalData）”的表达，美国则倾向于使用“隐私（Privacy）”的概念，我国香港和澳门地区采用了“个人资料”的表述，而亚洲的日本、韩国和我国《网络安全法》一样使用的是“个人信息（Personal Information）”。虽然称谓不同，但其所要表达的概念的指向其实是相似的。主要国家和地区立法对个人信息的界定见表1。

从国际社会立法对个人信息概念的界定来看，有两个方面的特点或者趋势：一是“可识别性”一直都是界定个人信息的基础，从欧盟1995年指令到2016年《通用数据保护条例》，对个人数据范围的界定仍然离不开识别的标准。二是受关联说的影响，个人信息的范围在不断扩大。例如，美国《消费者隐私权利法案（草案）》提出关联性标准，将范围扩展到“设备”；日本2015年修订的《个人信息保护法》在个人信息的列举范围中增加了包含个人识别代码的信息。

3.2　国内立法对个人信息的界定

目前，我国还没有制定专门的个人信息保护立法，但在《网络安全法》、《电信和互联网用户个人信息保护规定》等法律法规中已经对个人信息保护作了相关制度安排，并对个人信息的概念和范围作了界定。我国现有立法中对个人信息的界定主要是采取概括加列举的方式，本质上还是属于“识别说”的方法。例如，2012年全国人大常委会发布的《关于加强网络信息保护的决定》中就以识别说的方式作了概括性的规定，其中第1条指出：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。再如，2013年工业和信息化部发布的《电信和互联网用户个人信息保护规定》（工业和信息化部令第24号）首次在立法中明确以“概括加列举”的方式对“用户个人信息”做了界定；其中第4条规定：“本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者，在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等，能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”此后颁布的《寄递服务用户个人信息安全管理规定》等个人信息保护相关规定基本上沿用了工信部24号令的界定方式，并在2016年的《网络安全法》中以更高层级的法律形式予以了固定和升华。我国主要法律文件中对个人信息的界定见表2。

4　结束语

在各界的广泛关注下，国家有关部门高度重视并不断加快个人信息保护的相关立法工作，也取得了积极进展。全国人大常委会法工委负责人在接受采访时表示，目前，我国正在积极研究制定个人信息保护立法。《个人信息保护法》即将提上立法日程，个人信息概念的界定是立法首先需要解决的问题。《网络安全法》采取“概括加列举”的方式，在识别说的基础上，对个人信息作了界定。但具有“身份识别性”的信息是有限的，加之个人信息的属性动态变化，利用大数据技术，可以将非个人信息转化为个人信息，难以采用“一刀切”的保护方式，如何重新界定“个人信息”成为立法中的值得思考的重要问题。尽管以“识别”特征的个人信息定义面临着许多缺陷，部分国家开始采用“关联性标准”，但这种界定方式空前扩展了个人信息的边界，不利于大数据资源开发利用，还有可能限制我国数字经济的发展。因此，在未来的个人信息保护法中，我们仍建议采用以“识别说”为主的界定方式，但为弥补这一开放性界定的不足，需要结合我国数字经济发展的具体国情制定相关细则和指南，对个人信息的范围予以进一步明确，特别是对IP地址、cookie、搜索记录等在实践中存在争议的问题，做出更为明确的解释和回应。

表1　主要国际组织、国家和地区立法对个人信息的界定

表2　我国主要法律文件中关于个人信息界定的规定