第二节
大数据时代的个人信息概述

即使没有大数据，个人信息本身也是一直存在的，也必须进行保护。之所以研究大数据时代的个人信息保护，是因为大数据的特点导致个人信息更容易被泄露和侵犯，且往往会带来更为严重的社会问题。

一、“个人信息”概念的由来

20世纪60年代，日本就有学者提出“信息社会”的概念，此概念的提出与日本当时经济发展、科技发展、国家建设的社会背景密切相关。“个人信息”的概念发端于1968年联合国国际人权会议提出的“数据保护”（data protection）。1970年，联邦德国黑森州制定《黑森州数据保护法》，该法是全球最早的地区性个人信息保护立法，同时也是全世界范围内第一部直接以“数据保护法”命名的法律。1973年，瑞典颁布了世界上第一部国家级个人信息保护法即瑞典《个人数据法》。[18]随后，个人信息保护立法活动在全世界范围内展开。比如，美国1974年通过《隐私权法案》，联邦德国于1977年统一规范了《联邦数据保护法》，1984年英国颁布《自动化处理个人信息的利用与将其提供于公务规范法》。[19]从个人信息保护相关立法情况看，各国家和地区多采用“个人资料”这一术语，但亦存在“个人信息”“个人数据”“个人隐私”等多种用法。日韩等国家主要使用“个人信息”概念，以美国为代表的普通法系国家多采用“个人隐私”说法，我国台湾地区采用“个人资料”这一表达，而欧盟使用“个人数据”这一概念。各国家和地区法律对上述法律术语的定义基本相同，但由于各国家和地区语言习惯不同及翻译标准的原因，出现了多种说法。为了讨论问题的方便，本书将采用“个人信息”的说法，并对上述不同说法的差别进行一定辨析。

首先，“个人资料”是“个人信息”的客观表现形式。众多国际组织、国家和地区将“个人资料”与“个人信息”作为一对通用概念。[20]例如，《俄罗斯个人资料法》第3条规定：“个人资料属于直接或间接确定或可以确定之自然人的任何信息。”[21]我国台湾地区“个人资料保护法”规定，“个人资料”是指可以“直接或间接方式识别该个人之数据”。但是，从字面含义来看，“个人资料”为“个人信息”的符号载体，是经过处理前的“个人信息”，较之后者缺少主观性。[22]因此，“个人信息”的说法与自然人的人格属性更为贴合，也为我国立法者所采纳。

其次，“个人数据”与“个人信息”存在区别。从网络安全与大数据安全的角度来看，“个人数据”是“个人信息”的一个下位概念。虽然我国《数据安全法》第3条第1款规定：“本法所称数据，是指任何以电子或者其他方式对信息的记录。”但是，在该法颁布以前，在我国有关数据安全和数据权的研究中，“个人数据”多指用以识别个体的电子数据。例如，王春晖认为：“以上国家立法和欧盟GDPR中所谓的‘个人数据’，实质上是个人的‘网络信息’或‘电子信息’。”[23]所以，“个人数据”并不包括以非电子形式存在的“个人信息”。此外，在《民法典》就个人信息保护进行立法研究时，全国人大法工委的报告中指出，数据一般是指信息的电磁记录。[24]因此，为方便探讨，本书将“个人数据”定义成“个人信息”的下位概念，即以电子形式存在的“个人信息”。

最后，“个人隐私”与“个人信息”是存在交叉关系的不同概念。“个人隐私”包括公民个人生活中一切不愿为一定范围外的人公开或知悉的秘密，且该秘密与他人或社会公共利益一般不存在任何关联。“个人隐私”除了一般的秘密信息外，还包括公民私生活安宁、行为保密、私人空间秘密等不属于信息的内容；而“个人信息”除了“个人隐私”外，还包括其他信息，如电话号码、姓名等，而且这些信息往往可以为企业经营发展、决策分析提供支持。[25]笔者认为，考虑到“个人信息”在技术与载体上的中立性，以及突显我国立法对个人权利的关注与重视，采用“个人信息”这一称谓更为适宜。[26]

二、“个人信息”概念的界定

对于公民“个人信息”的界定，主要存在“识别型”“隐私型”“关联型”三种观点。其中，“识别型”是将识别作为核心要素界定个人信息，该界定是从个人信息所能实现的功能角度对个人信息进行的定义。比如，德国《联邦数据保护法》即采用“识别型”界定方式。[27]“隐私型”是从信息的内容角度对个人信息进行的界定，具体是将个人信息界定为敏感的、隐秘的、不愿意被他人所知的信息。“关联型”是从个人信息与信息主体的关联性角度对个人信息进行的界定，将包括但不限于公民人格、私生活、社交活动及其他与个人相关联的信息界定为个人信息。此外，针对“个人信息”的概念界定，理论界还存在“概括型”与“概括混合型”两种界定方式。[28]其中，“概括型”是就个人信息一般特征进行一定的限定与描述，如欧盟1995年《个人数据保护指令》第2条关于个人数据的定义即采用“概括型”界定方式。[29]而“概括混合型”是在表征个人信息一般特征的基础上，对常见的个人信息类型进行部分列举的一种界定方式，比如我国台湾地区“个人资料保护法”第2条即采用“概括混合型”界定方式。[30]

笔者认为，以往的“隐私型”定义不可避免地缩小了个人信息的范围，因为诸如IP地址、电子邮件地址等信息是否属于隐私问题尚存争议；而“关联型”定义过宽地将有关信息划入公民个人信息范畴，阻碍了对个人信息数据的合理使用。在大数据时代背景下，“识别型”与“概括列举型”相结合的个人信息界定方式是最优选择。其原因在于：第一，从界定范围来看，“识别型”界定方式比“隐私型”和“关联型”定义更为合理。在大数据时代背景下，海量的个人信息被收集和处理，过宽或者过窄限定个人信息的范围都会导致个人信息保护与个人信息合理使用之间天平的失衡，而“识别型”定义对受保护的个人信息的范围划定介于“隐私型”和“关联型”之间，更有利于平衡个人信息保护与信息自由之间的冲突。第二，从界定方式来看，“概括列举型”是比“概括型”更优的选择。在大数据时代技术更新升级迅速，各个应用场景所产生的个人信息类型日趋复杂、繁多，采用“概括列举型”界定方式一方面能够概括个人信息的一般特征，另一方面可以列举出常见的一些个人信息类型以较为准确地反映个人信息的法律保护范围，在避免概念范围过于空洞、模糊的同时提高了司法实践的可操作性，避免司法人员判断纠纷标的是否为个人信息时出现争议，同时又不至于无限扩大司法人员解释个人信息范畴的自由裁量权，从而促进司法活动的正常开展。采用“识别型”与“概括混合型”相结合的界定方式是我国当前立法背景、产业背景、技术背景下最为适宜的，也是我国近些年来个人信息相关立法所采用的一种界定方式。比如，《网络安全法》第76条第5项[31]、《电信和互联网用户个人信息保护规定》第4条[32]、《民法典》第1034条[33]均采用上述界定方式。但是，我国2021年11月1日正式实施的《个人信息保护法》第4条第1款对个人信息采取了“概括型+关联型”的界定方式，[34]规定较为模糊，导致个人信息范围过大，一方面容易引起争议，影响法律适用和执行的效率；另一方面容易导致司法和执法实践中，法院、执法机关将不属于个人信息的客体认定为个人信息，造成利益失衡。此外，该条规定也与我国其他法律中所规定的“个人信息”概念存在冲突，影响我国法律体系的统一性。综上所述，对“个人信息”概念的界定宜采取“概括列举型+识别型”的方式，即大数据时代的“个人信息”是指以任何方式所记录的，能够单独或者与其他个人相关信息结合以识别信息主体身份的各类信息的总称，包括但不限于自然人的姓名、出生日期、身份证号码等基本信息，网银账号及密码、第三方支付账号及密码等账户密码信息，好友信息、家庭成员信息等社会关系信息，以及网络消费记录、网络评论、网页浏览信息等网络行为信息，等等。

三、个人信息的类型划分

综合考虑大数据时代个人信息的属性和类型特征，大数据时代个人信息可分为以下三类：

（一）用户身份和鉴权信息

用户身份和鉴权信息是指能够单独或与其他信息结合，对用户自然人身份进行识别，或代替用户自然人身份属性的虚拟身份信息，也包括用于验证身份的鉴权相关信息。具体包括用户自然人身份和标识信息、用户虚拟身份和鉴权信息两个子类。（具体描述见表1-1）

（二）用户数据和服务内容信息

在大数据时代背景下，用户数据和服务内容信息是有可能被他人收集的具有用户隐私属性的数据和内容信息。具体包括用户服务内容和资料数据、用户社交内容信息两个子类。（具体描述见表1-2）

（三）用户服务相关信息

在大数据时代背景下，用户服务相关信息是可能被他人收集的服务使用情况及服务相关辅助类信息。具体包括用户服务使用信息、用户设备信息两个子类。（具体描述见表1-3）

四、个人信息的价值实现

个人信息价值实现的传统方式是通过个人信息主体的自主使用参与社会交往以实现人格自由的发展，或通过公开个人信息并使其流转以获得经济利益及良好社会评价，[35]个人信息的价值主要通过信息主体的行为得以实现。但在大数据时代，个人信息的价值实现方式不再主要依赖个人信息主体，信息处理者也能通过信息收集、处理、利用的流程使个人信息发挥价值。以较为常见的“大数据杀熟”为例：个人信息收集主要为信息处理者收集用户在使用网络服务过程中上传或留下的订单信息、位置信息等个人信息；个人信息处理主要为信息处理者根据收集到的信息，利用数据分析技术分析用户的消费偏好、收入水平等信息；个人信息利用主要是信息处理者在其分析得出的个人信息的基础上，生成用户画像，就同一商品向不同特征消费者推送并收取不同的价格。例如，点同一种外卖，高档住宅区消费者可能要比其他区域消费者支付更多对价。

正因为个人信息的价值可以不再依赖信息主体而实现，个人信息安全危机也可能由此爆发。在大数据时代，信息处理者拥有技术上的优势，可能在未经信息主体同意的情况下以隐秘的方式收集个人信息，也就是实施个人信息盗窃行为。窃取个人信息后，违法犯罪分子就能够通过处理和利用个人信息实现不正当目的，给个人信息主体带来损害，引发人们对个人信息安全的担忧。