浅析我国个人信息定义与欧盟个人数据定义的不同

信息时代，如何在保障个人信息安全的前提下，利用信息技术带来的流转便捷、分析精准的优势大幅提高生产力，不仅关系到每个人的切身利益和安全，也关系到一国未来的竞争力。为此，各国一方面在加快制定大数据发展战略，另一方面也在寻求强化对个人信息的保护，力求在个人信息安全与发展生产力之间寻求新的平衡。作为互联网大国，我国的个人信息保护近年来也愈发得到重视，本届人大已将个人信息保护法列入立法规划。

“概念乃是解决法律问题所必需的和必不可少的工具。没有精确界定的专门概念，我们便不能清楚而理性地思考法律问题，也无法将我们对法律的思考转变为语言，同时也无法以一种可理解的方式将这些思想传递给他人”。就法律名称使用的概念而言，当前世界各国和地区，主要有“个人数据”“个人资料”“个人信息”和“隐私”四种称谓。欧盟成员国多使用个人数据。美国、加拿大则使用隐私。日本、韩国、俄罗斯等国使用个人信息。中国港澳台地区均使用“个人资料”。随着《民法典》中个人信息定义的出台，中国大陆地区已确定使用“个人信息”这一法律概念。

2017年施行的《网络安全法》第76条首次对个人信息作出了法律上的定义：个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。该定义采取了概括列举式加识别型定义方法，对指向个人的信息采取了识别型的单一路径。识别的客体“自然人个人身份”依据其后列举的范围来看，是一种仅包含核心身份信息，而不包含广义社会特征的狭义身份概念。《民法典》第1034条中关于个人信息的定义基本延续了《网安法》中的定义方法，仅是列举的范围有所增加。

《信息安全技术——个人信息安全规范》（以下简称《安全规范》）中个人信息的定义方法与《网安法》相同，但列举的范围更广。其以资料性附录的形式给出了个人信息、个人敏感信息的范围和类型，并将网络身份标识信息、个人上网记录、个人常用设备等信息均纳入个人信息范围，可谓我国现阶段最为全面的个人信息标准。

欧盟地区将个人信息称为个人数据(personal data)。在《通用数据保护条例》（以下简称GDPR）中， “个人数据”是指与一个已识别或者可识别的自然人相关联的任何信息。可识别的自然人指借助标识符，例如姓名、识别号码、位置数据、网上标识符，或借助与该个人生理、心理、基因、精神、经济、文化或社会特征相关的一个或多个因素，可被直接或间接识别出的自然人。其范围包括：（1）姓名；（2）家庭地址；（3）电子邮件地址；（4）各种身份识别号码；（5）位置信息；（6）IP地址；（7）cookie ID；（8）移动电话的广告应用标识符；（9）特定场景下可以识别个人的识别符等。

该定义延续了欧盟95指令中关于个人数据的定义。欧盟第29条工作组曾对95指令中的个人数据定义发布过一份解释(Opinion 4/2007 on the concept of personal data)，也可看作对于GDPR中个人数据定义的补充。与我国《网安法》中的个人信息相比，欧盟关于个人数据的定义有三个不同：

（一）识别客体的路径不同

GDPR中指向个人数据的路径有两种，一是识别，二是关联。个人数据既包括已识别和可识别的数据，也包括关联到已识别和可识别的数据。但不论在哪种路径下，数据是否属于个人数据，并非仅是一个客观事实，而是须结合数据处理者是否有识别的目的而定，对于可识别数据与关联路径数据尤为如此。这些数据更多地是一种主客观交织的法律事实，并非仅是客观存在的数据。描述客观物体的、与数据主体无关的数据，如因某种语境、某个目的或某种结果与数据主体发生了关联，即可被视为个人数据。如房屋价格，当被用作统计地方房屋均价时不属于个人数据，但当被用作财产税的计税依据时即是纳税人的个人数据。因此GDPR指向个人数据的识别/关联两种路径均采取了一种主客观交织的认定方法。相较之下，我国《网安法》和《安全规范》中的识别仅采用客观主义标准，即客观存在的信息是否可能通过技术手段聚合识别特定自然人，并未似欧盟以数据处理者是否具有识别目的的主观主义标准来认定个人信范围息。

（二）识别的客体不同

GDPR中的social identity一般译为社会身份，澳门地区个人资料定义中将其译为社会特征。从该句句式看，social identity与physical, physiological, genetic, mental, economic, cultural等并列，此时译为社会特征更为妥当。由此可见，GDPR中识别的客体，是特定自然人广泛意义上的社会特征，包括生理、心理、基因、精神、经济、文化等各领域。《网安法》中虽未阐释个人身份包含哪些维度的信息，但在我国司法实务中，个人身份“主要是指那些经过国家认证的’核心身份’，例如姓名、身份证号码、护照号码等等”，香港地区即将识别的客体主要限定在香港身份证号及其他可以唯一确定个人的编号。因此《网安法》中的个人身份概念所包含的特征范围比GDPR中的自然人所包含的特征范围要小，如心理、精神、文化方面的特征均未在《网安法》列举范围内。由此进一步导致可识别到《网安法》中“个人身份”的信息范围相较识别到GDPR中特定自然人的信息范围要小。此外，GDPR中指向个人信息的路径还包括关联，使得GDPR项下已识别的客体范围、可识别到已识别的客体的范围、可关联到已识别的客体的范围均大于《网安法》。

（三）识别的主体不同

因为GDPR是为欧盟地区各成员国的政府与非政府组织在各种应用场景下对个人数据的收集、使用制定规则，所以需考虑各种不同情况下，自然人被识别的可能。第29条工作组据此提出95指令中个人数据的识别主体为“either by the controller or by any other person”。 《网安法》中涉及个人信息部分的调整主体主要是网络运营者、网络产品或者服务的提供者，因此识别主体也仅限于前述主体。《安全规范》中则是针对主要业务涉及个人信息处理，且规模大于200人的企业而制定的标准，因此识别主体仅限大于200人且主业涉及个人信息的企业。因此GDPR中的识别主体远较《网安法》和《安全规范》中的识别主体宽泛。

欧盟成员国注重保护个人数据与隐私，并将其视为一种个人尊严，任何人都有享有在罗尔斯的“无知之幕”后被平等对待的权利。但这并非意味着欧盟地区只重视个人数据保护，不顾对其开发与利用。实务中，借助于各种豁免情形以及数据主体的同意，欧洲公司收集和处理的个人数据实则并不比世界其他地方的竞争者少。

现阶段我国个人信息的外延小于欧盟成员国。个人信息保护事关国家的经济发展潜力和信息安全。我国的保护水准如落后于他国，将影响我国的国际竞争力和国际地位，也不利于大数据产业的发展。

因此笔者建议：首先，尽快出台《个人信息保护法》，对个人信息保护机制进行顶层设计。其次，鉴于《个人信息保护法》可能仍较为原则，如无法指引各利益相关方实务操作，可通过修订《安全规范》以扩展个人信息涵盖的范围，同时在条件成熟时将《安全规范》上升为国家强制性标准，使其具有在实务中规范各利益相关方的强制效力。最后，在《个人信息保护法》出台后制定与其配套的实施条例或细则，同时加快制定金融、医疗等特定行业的保护个人信息的单行法律法规。

胡智俊

上海申蕴和律师事务所律师，上海律协互联网与信息技术业务研究委员会委员

业务方向：竞争法、信息法、保险法