浅析《个人信息保护法（专家建议稿）》（一）：

 对个人信息定义范畴的思考

2019-10-24

前言
日前，一份由中国人民大学法学院张新宝教授、葛鑫草拟的《个人信息保护法（专家建议稿）》（以下简称“专家建议稿”）在中国民商法律网首次发布^[1]。根据其引言介绍，这份关于个人信息保护立法的专家建议稿为张教授担任首席专家的国家社会科学基金重大项目“互联网安全主要立法问题”（14ZDC021）成果之一，目的在于为立法提供参考。

在全社会对个人信息保护的呼声日益强烈的今天，对个人信息保护的立法怎么制订和安排？这份从学者角度的专家建议稿，对个人信息保护的专门立法提出了一个体系性的、比较完整建议和可能性。我们将从个人信息保护法的基础概念、法律框架完备度和实践中对个人信息保护需求与立法的契合度等角度来简要评析这篇专家建议稿。

专家建议稿的全文分为九章共106条，较之《网络安全法》全文的79条，建议稿篇幅较长，包含的方面和内容比较详尽。按照建议稿起草者的意图，全文体现其提出的“两头强化、三方平衡”的基础理念。“两头强化”，指的是要强化个人敏感信息保护和强化个人一般信息利用。“三方平衡”，指的是信息主体、信息业者、国家机关三方主体之间的利益平衡。

一、“个人信息”的定义

专家建议稿首先提出了对“个人信息”的定义，“本法所称个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于公民的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”这个定义，与《网络安全法》中关于个人信息的定义保持了高度一致。专家建议稿在提出“个人信息”定义的同时，规定了“个人敏感信息”的定义，即“个人敏感信息，指因其性质、内容与信息主体的核心隐私相关，或一旦泄露、滥用可能危害信息主体人身和财产安全或引发对信息主体的歧视等不利后果的个人信息”。

较之2019年国家质检总局和国家标准化委员会发布的《个人信息安全规范（征求意见稿）》中对“个人信息”的定义——“个人信息，(是指)以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。专家建议稿中，没有将“反映特定自然人活动情况的各种信息”直接纳入到“个人信息”的定义之中，而是比较保守地采用了对个人信息的狭义解释，严格地将个人信息框定在核心基本信息的范畴。这点，从建议稿中对“个人信息”定义的列举当中可以看出，“个人信息…...包括但不限于公民的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。

二、如何理解两种“个人信息”定义的区别

为什么对于通信记录和内容、行踪轨迹、住宿信息、健康生理信息、交易信息等自然人活动情况信息，建议稿没有将其列入定义范畴呢？对于“个人信息”的法律定义，未来的《个人信息保护法》是如果可以明确包含反映自然人活动情况信息是否更加合适？

我国作为大陆法系国家，注重立法的统一性和综合性。这点区别于美国立法的分散性和未制定统一的个人信息保护法的特征。我国一旦通过统一立法来对个人信息进行保护，出台《个人信息保护法》，可以把个人信息保护标准明确化，避免因缺乏统一的法律规则对个人信息进行保护的困境。而目前因为缺乏《个人信息保护法》，而《网络安全法》中对个人信息提及的只有很少的几条，故只能将个人信息的收集、利用和处理等问题完全交由企业，由其与个人信息的权利人通过合同关系进行解决。因为个人和企业地位之间的地位不对等，很多情况下企业存在不当收集、使用、处理和转移行为，却因为合同中相关约定而披上了形式合法的外衣。这恰恰是现今缺乏一部成文的《个人信息保护法》的问题所在和困境，也是无论是从作为信息主体的自然人，还是涉及到作为信息使用者的网络运营者，信息控制者，乃至网络信息安全，都迫切需要制定一部成文的《个人信息保护法》。

如何理解“反映特定自然人活动情况的各种信息”呢？这背后隐藏的问题其实是个人信息权和隐私权的关联和差别。简单的讲，“特定自然人的活动情况”，一旦是该自然人不愿对外公布，或不愿他人介入或了解的，不论其是否已经通过可记录的信息形式固定下来，无论其是否真正地具有经济价值，这就是个人隐私，当其体现了一种人格权利，就构成了个人隐私权。那么，特定自然人的这种活动情况，只要其存在于一定的载体之上，且可以被记录下来，一旦并能直接或者间接指向该特定个人，就是 “反映特定自然人活动情况的各种信息”，并且很多信息可以被固化、记录、甚至是数字化。我们可以看到，“反映特定自然人活动情况的各种信息”，从“自然人活动情况”的私密性上看，或强调未公开属性的时候，反映了隐私的特征。当其一旦被记录甚至数字化，当其可能或可以被利用、甚至是反复利用，就彰显了信息权的属性，特别是信息权财产属性。

所以， 我们初步认为，专家建议稿中更狭义的对“个人信息”进行定义，即没有明确包含“反映特定自然人活动情况的各种信息”的“个人信息”的定义，其是更加看重特定自然人活动情况的隐私属性。这种活动情况、行为乃至形成的信息，如不涉及到公共利益或公共安全的部分，个人不愿意公开披露且具备私密性。狭义的定义“个人信息”，没有将“反映特定自然人活动情况的各种信息”纳入个人信息定义内的部分，更侧重于其属于民法中“隐私权”的保护范围。或者专家建议稿起草者想构建一个在狭义的“个人信息”之外，加上“个人敏感信息”的范围，从而进行监管和保护。

加入了“反映特定自然人活动情况的各种信息”的“个人信息”的定义，如果作为《个人信息保护法》的定义范畴。可以把个人信息作为一个基础的概念进行规定，并且如果作为包括更大范围的一个概念，其中再包含和可剥离出“个人敏感信息”，不失为一种清晰而顺畅的安排和逻辑编排。

三、何种“个人信息”定义更有利

面对两种范围不同的“个人信息”的定义，在未来制定的《个人信息保护法》中，究竟采取何种规定，更加有利于对个人信息的保护和对数据行业的规范呢？

笔者认为，采取包括“反映特定自然人活动情况的各种信息”的定义，会更加合适《个人信息保护法》的立法目的和规范效果。原因有如下三个方面：

第一，包括“反映特定自然人活动情况的各种信息”的“个人信息”定义，扩展了个人基本信息的范围，特别是规定了可记录的活动情况可以构成个人信息，能更好的对信息主体进行保护。

我国的民法理论中，隐私权的客体是自然人的隐私，隐私权的本质在于确保个人远离公众的目光。具体而言，隐私包括私人信息、私人生活、私人空间、身体隐私、生命信息（身体基因密码）、私人通讯，等等。^[2]

“特定自然人活动情况”， 无需记录下来，即可构成隐私。当其一旦被记录下来，形成“反映特定自然人活动情况的各种信息”，可构成信息，特别是包含着个人隐私的信息。

隐私不限于信息的范畴，隐私不需要记录下来，隐私并非当然的属于个人信息。但是，以可固定化的信息方式表现出来隐私，就具备了信息的属性，如可被利用性、凸显的财产属性、可以指向并识别特定自然人，可构成一种积极权利和主动性权利。

如果将包括“反映特定自然人活动情况的各种信息”明确地纳入“个人信息”定义，则可以使这些具有隐私属性的信息，受到《个人信息保护法》对个人信息的主动性保护，也体现了个人信息权的内容十分丰富的特征。

当一种属性上比较消极、被动的隐私权向积极主动的个人信息权的转变，恰恰说明了当“反映特定自然人活动情况”的个人隐私一旦可记录化构成个人信息的时候，需要受到《个人信息保护法》的保护。也正是这个原因，目前没有《个人信息保护法》将“反映特定自然人活动情况的各种信息”纳入“个人信息”的定义，从而可适用《个人信息保护法》保护的情况下，我国通常司法实践中，法院常常只能采取隐私权的保护方法为个人信息的权利人提供精神损害赔偿救济。而纳入了“个人信息”的定义，《个人信息保护法》将可以对其保护提前到预防阶段，可增加政府监管机构对其的监管和规定。特别是在受到侵害的时候，可对权利人的保护采用行政处罚和财产救济的方法，而且并不会消除民法对个人隐私的保护和救济。

第二，“反映特定自然人活动情况的各种信息”纳入“个人信息”的定义，符合信息形态随着时代发展和经济形态、生活方式不断变化的需要。

如果我国即将颁布的民法典中明确的区分隐私权和个人信息权，隐私权和个人信息权都是民事权利。属于人格权的隐私权本身在民法历史上就是很“年轻”的人格权，隐私一个特点就是它的范围随人类社会的进步而不断变化和扩展。较之隐私权，一旦民法典将个人信息权和隐私权加以区分，则个人信息权就是个更“年轻”的（法定）权利。这是时代发展、经济形态、互联网世界和人类生活方式发生巨大变化所带来和造成的。也正是从立法者、监管者到学者和法律实务工作者共同研究和探讨的原因之一。

除了“公民的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”最基础和核心的个人信息，在当今社会，信用、健康、采购习惯、个人经历、社会活动、治疗经历、活动轨迹等信息都足以单独或结合地指向和清晰识别信息主体。比如，地图导航类APP、跑步健身类APP，均将使用者的位置信息和活动轨迹信息作为应用程序和用户使用的基础信息进行收集和处理，否则就不具备该等应用和服务的基础和功用。这点说明了新型的应用、服务模式和生活方式，都不仅仅局限于传统的方式，对于个人相关的信息采集和需求，也远远超过了“身份证号码、姓名和生日、指纹”等基本的个人信息范畴。

如果仅仅将狭义的“个人信息”定义应用在未来出台的《个人信息保护法》，将“反映特定自然人活动情况的各种信息”排除在定义之外的话，将会严重的缩小“个人信息”的范围，不但和“信息”这个概念本身都是持续地处于发展、扩展和变化的过程中的特征严重不符，更加与变化日益加速的新型经济模式、交易方式、生活习惯背道而驰。而且，健康、治疗经历、行为轨迹等“反映特定自然人活动情况”的信息，其中包含了大量技术性规定，这也是隐私在民法层面保护上的一个掣肘。将其纳入“个人信息”，综合统一立法，再结合一系列的技术标准和规范，将会更好的进行保护和规定。

所以，结合可预见的时代变化和发展，交易模式和生活习惯的变革，是《个人信息保护法》立法过程中必须着重考虑的。将相应可固化且记录的信息列入定义，将使《个人信息保护法》这部对个人信息保护的新法具有更大的延展性和灵活性，从而增加保护和规范的范围和力度。

第三，“反映特定自然人活动情况”的信息和一定范围的可固化并记录的隐私列入“个人信息”定义，有利于对网络安全、公共利益和国家安全的保护。

隐私一般具有个人的个体性，而信息不仅具有私人性，还具有可集合性。一定数量的信息，或多个固化并记录的隐私信息，就形成了“大数据”，这就属于公共利益和国家安全保护和监管的范畴。

我们在此列举一个真实的案例来说明这个问题。

据路透社报道，北京昆仑万维的全资子公司昆仑集团有限公司分别于2016年1月，2017年7月为投资主体出资9300万美元、1.52亿美元购买Grindr LLC 的61.53%、38.47%的股权。在2018年1月完成股权交割手续后，昆仑集团合计持有Grindr的100%股权。

Grindr是全球最大同性社交平台之一，活跃用户主要分布在欧美等发达国家和地区，其2018年度净资产和营业收入分别为1282万美元、8642万美元。在Grindr的数据库里，包含美国三四百万同性恋用户的数据，包括身份信息、位置、电话号码、邮箱、聊天记录、性取向、艾滋病毒感染情况等等。

正是因为Grindr数据库包含的自然人用户的位置、隐私信息甚至是艾滋病毒状态等个人信息，从而对美国的国家安全构成威胁。美国外国投资委员会（CFIUS）已要求昆仑万维出售Grindr。昆仑万维最终不得不做出表示，已同意按照美国外国投资委员会（CFIUS）的要求出售美国最大同性交友平台Grindr，并设定2020年6月30日为最后期限。^[3]

从真实案例中我们可以看到，即使是未公开的属于隐私的个人信息，立法者必须基于网络安全、公共利益和国家安全来考虑，特别是一定数量集合的该类个人信息可构成大数据。这也是主张将包括“反映特定自然人活动情况的各种信息”纳入“个人信息”定义，对包含隐私的信息，凸显对其信息特征及属性的划分和立法安排，以达到立体和全方位的保护和监管。

将可固化并可记录，且具有指向并识别特定自然人的隐私信息，无论其实单独的还是结合其他信息可知别特定自然人主体的，纳入“个人信息”的定义，列入《个人信息保护法》的监管范围，可以更好的通过权利赋予和保护，结合适当的行政手段对其加以保护和监管，与《网络安全法》和《国家安全法》进行更好的衔接，从而对网络安全、公共利益和国家安全进行全面的保护，同时也让对个人信息的保护方式呈现综合性和多样化的特征，以满足不同的保护和监管的需求。

文中引用：

[1]张新宝教授、葛鑫 《个人信息保护法（专家建议稿）》 中国民商法律网 2019/10/17

[2]魏振瀛主编 《民法》 北京大学出版社 高等大学出版社 2015: 638

[3]《昆仑万维同意出售美国最大同性社交应用Grindr》 新浪财经 2019/5/15

本文作者：