第四条 【概念界定】

【条文主旨】

本条是关于“个人信息”和“个人信息的处理”的定义和范围的规定。

【条文理解】

个人信息和个人信息的处理是个人信息保护法中两个最基本的概念，个人信息保护法整体的制度原则构建都是围绕这两个概念展开的。

从世界范围来看，对于个人信息的定义，也即如何判断某一信息是否构成个人信息，各国规定有所不同。从界定模式上来说，可以分为两种：一种为“定义+列举”的方式，比如欧盟GDPR是先给出基本定义，再对主要的个人信息类型进行列举；另一种为单纯的定义方式，比如《英国数据保护法案》和《新加坡个人数据保护法》都只是对个人信息（数据）进行了文字抽象定义，没有通过进一步的具体列举来进行明确和范围限缩。从定义内涵上来说，可以分为三种：第一种为隐私型定义，这种定义是通过隐私权的角度来对个人信息进行界定，即认为个人信息是个人不愿意向外透露或者较为敏感不愿为他人所知道的信息；第二种为关联型定义，根据这种定义，所有与个人相关联的信息都是个人信息；第三种为识别型定义，这种定义强调的是信息和信息主体之间直接或间接被识别的可能性，信息不仅需要与个人关联，最关键的是要能够凭借信息识别到具体个人，因为如果信息无法用于识别到特定自然人，那么，对于该信息的收集、存储、使用、共享、删除等就不会对特定自然人的利益产生损害或威胁，也就没有必要对该信息的处理行为进行规制。隐私型定义因为混淆了个人信息与个人隐私，导致一些不属于隐私的个人信息无法得到保护，因此并没有被广泛适用，或者说只是以此理论为基础进行了立法。关联型定义语义边界不明晰，使得个人信息的范围较为宽泛，目前北欧和东欧的一些国家使用这种定义模式，比如《瑞典个人数据法》第三条规定，个人数据是指“各种可直接或间接地与某一活着的自然人相关联的信息”；《保加利亚个人数据保护法》规定，“个人数据是指涉及自然人的身体状况、心理状况、精神状况、家庭状况、文化教育状况与社会背景的信息”。识别型定义是目前受到理论界和实务界广泛认可的模式，应用较为广泛，比如日本修改后的个人信息保护法中个人信息被定义为“包括容易与其他信息相互核对，从而能够识别特定个人的信息（以容易识别可能性判断）”，韩国的个人信息保护法也采用了识别型定义，欧盟的GDPR也是以识别型为核心，结合了一些关联型的定义。[9]

从我国目前与个人信息相关的法律法规来看，虽然个人信息保护法是第一部个人信息保护领域的单行法，但在此之前，在很多法律规范中，已经对个人信息进行过定义。网络安全法第七十六条第五项规定，“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定，公民个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。《信息安全技术 个人信息安全规范》中第3.1条将个人信息定义为：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”并且通过注释对个人信息的具体类型加以列举：“个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。”民法典第一千零三十四条第二款规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”可以看出，从定义模式上来看，我国在本法出台之前大部分对个人信息的定义采用的是“抽象定义+列举”的方式，透过抽象定义表现个人信息概念的本质特征，同时通过列举典型内容来指导司法实践。从定义内涵上来看，“识别型”定义是应用最广泛的，比如网络安全法和民法典中对于个人信息的定义就是纯粹的“识别型”定义，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》和《信息安全技术 个人信息安全规范》中的定义在此基础上增加了“关联型”的因素，采用识别型和关联型相结合的定义方式。

个人信息保护法在定义模式上有所不同——只是通过个人信息核心的“识别性”特点进行抽象定义，同时对匿名化后的信息加以排除，并未再多加列举；在定义内涵方面，个人信息保护法没有与民法典完全一致，而是采用了识别型与关联型相结合的定义方式。综合来看，关联型定义的外延一般会比识别型定义的外延更大，识别型定义和关联型定义相结合，与单纯识别型定义相比扩张了个人信息的边界范围，同时也没有通过举例加以限定，为个人信息的保护留下了较为广阔的空间。

从本条的定义来看，个人信息的构成有三个要素：第一，“以电子或者其他方式记录”，这是形式要件，即受保护的个人信息需要附着在某种载体上，并且能够被记录下来。虽然当前很多信息是以电子数据形式存在和流通，但是电子形式并不是个人信息的唯一构成形式。第二，与“自然人”有关的信息，即个人信息中所谓“个人”是指自然人，不包括法人、非法人组织等。需要注意的是，结合个人信息保护法第四十九条的规定，这里的自然人除了包括活着的人，也包括去世的人，自然人可以通过遗嘱对其个人信息进行安排，其个人信息的相关权益也依然受到法律保护，这是个人信息保护法相对于民法典等法律规范所进行的创新。第三，“与已识别或者可识别的自然人有关”，明确了“识别”这一认定个人信息核心要点。所谓“已识别”意味着在特定人群中，某个人可与该群组内的其他人区别开来，而“可识别”则是指虽然某个人现在还未被识别，但有可能做到这一点。[10]根据前文的分类，个人信息保护法采用的是“识别+关联”的定义方式，所以对于“与已识别或者可识别的自然人有关”可以分为两个层面理解：第一个层面是从信息到特定自然人的识别路径，如果某信息已经识别出或者辅助其他方式可以识别出特定自然人，那么该信息就构成个人信息。这一路径与民法典中对个人信息的定义是一致的，根据民法典的定义，可以将信息的识别性分为两类，第一类是直接识别，即凭借该信息本身能够单独识别特定自然人，比如居民的身份证号码、指纹信息等；第二类是间接识别，对应的是“可识别”，即虽然仅凭该信息本身还无法识别特定自然人，但是只要将其与其他信息相结合，也可以识别特定自然人，比如仅凭网上购物地址可能无法识别到具体个人，因为同一个地址可能对应多个自然人，但是将网上购物地址与电话号码相结合，就可以识别出特定自然人。需要注意的是，对信息识别性的判断并不是固定的，随着新信息的产生和识别技术的发展，一些既往无法识别的信息也可能在未来有识别性。直接识别和间接识别可以与个人信息保护法定义中的“已识别”和“可识别”分别对应，都是从信息到个人的识别路径。第二个层面是从特定自然人到信息的关联路径，如果存在一个已经被识别或者可以被识别出的特定自然人，那么与此自然人相关的一切信息都属于个人信息，比如在使用某App的过程中，单纯的点赞记录是不足以识别到个人的，不构成个人信息，但实名登录个人账户再进行点赞留下的点赞记录，因为与已识别的自然人相关，就构成个人信息。在两种路径中，只要满足其中一种就可以被认定为个人信息，而在网络安全法和民法典中都没有对第二种关联路径进行规范，所以个人信息保护法的定义进一步扩张了个人信息的范围，对个人信息提供更强的保护。

此外，个人信息保护法将匿名化处理后的信息排除在个人信息范畴之外。根据个人信息保护法第七十三条第四款的定义，匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程，这一定义中有两个关键要素，一是无法被识别，二是不能被复原，这两个要素确保了匿名化处理后的信息与个人完全无关。但是就目前匿名化处理的技术手段而言，客观上无法彻底消除任何一种再识别的风险，“不能被复原”的标准在技术上是无法达到的，所以这里的“匿名化”不是一种绝对的标准，而是法律上一种程度性的判定，需要在之后的规范中进一步细化。

对个人信息的处理，是指与个人信息相关的一切行为，但对其具体表述，有一个演变过程。在民法典颁布之前的法律中，比如网络安全法和电子商务法中采取的主要是“收集、使用个人信息”的表述，在民法典第三次审议稿中，采取的是“收集、处理”个人信息的表述，将收集与处理并列，并将处理定义为“个人信息的使用、加工、传输、提供、公开等”。在正式颁布的民法典中，将“收集”也纳入“处理”的范畴，用“处理”来统称对个人信息的收集、存储、加工、使用、提供、公开等活动，基本上涵盖了整个数据生命周期。在个人信息保护法草案二审稿中，个人信息处理的定义与民法典中的定义相同，不过在正式颁布的个人信息保护法中，在个人信息处理活动中增加了“删除”，体现了对个人信息全生命周期保护的进一步强化，也有利于将个人信息处理者对个人信息的销毁、删除等纳入本法关于数据处理的规制范围。

【适用指南】

一、“已识别”和“可识别”

对于“已识别”和“可识别”，该如何理解？以身份证上的信息为例，身份证反面包含身份证号、姓名、出生年月日、民族、家庭地址等信息。这些信息里面，身份证号码具有唯一性，单独的身份证号码就是特定自然人的个人信息，这就属于“已识别”的自然人的个人信息；对于“可识别”，只有姓名或者只有家庭住址都无法识别到指定的自然人，因为单独来看，姓名有重名的，一个家庭住址一般来说会有一家好几口人，但是这二者都能够在一定程度上将某些人与其他人区分开，对于识别到特定自然人来说都发挥着一定的作用而非毫无关联。因此，单独来看，姓名和家庭住址均属于“与可识别自然人有关的”个人信息，二者一旦结合就指向了特定的自然人，也就转化成了“已识别”自然人的个人信息。

二、去标识化、匿名化、假名化

“去标识化”（de-identification）、“匿名化”（anonymization）与“假名化”（pseudonymization）都是数据脱敏处理中的重要手段，用来削弱个人信息（个人数据）的可识别性。

我国主要使用的是去标识化和匿名化两个概念。去标识化是指通过个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程；匿名化是指通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。无论是匿名化还是去标识化，其主要作用对象都是个人数据中的标识符，其直接目的都是降低个人数据与数据主体之间的关联程度，使得经匿名化或去标识化处理后的数据不能再直接识别到数据主体，从而实现在保护数据主体基本权益的前提下保有数据有用性，以便于数据合法使用。

欧盟主要使用匿名化和假名化这两个概念。根据GDPR，匿名化是基于“合理可能”（reasonably likely）标准而言的——综合考虑技术、成本、时间等因素，如果数据控制者或其他人采用了所有合理可能的方法，仍无法直接或间接识别数据主体，则数据是匿名化的。假名化是指通过对个人信息的技术处理，使其在不结合额外信息的情况下，无法识别特定数据主体，且额外信息被分开存储并受技术、管理措施的保护。《欧盟数据保护工作组关于匿名化技术的意见》明确指出假名化不属于匿名化，并承认了泛化、随机化这两种匿名化技术，而这两种技术均属于我国《信息安全技术 个人信息去标识化指南》中列举的去标识化技术。

美国主要使用去标识化和假名化这两个概念。根据《加利福尼亚州消费者隐私法案》（CCPA），假名化与我国的去标识化内涵类似，是指不使用额外信息无法识别个人，且额外信息被分开存储并受技术、管理措施的保护。但去标识化是指信息无法合理地、直接或间接地识别、关联到特定的个人，并且信息处理者通过技术措施、业务流程、自我承诺等方式确保其不会进行重识别（re-identification）。将于2023年生效的《加利福尼亚州隐私法案》（CPRA）则将去标识化定义为无法合理地用于推断或关联特定个人，同时强调信息处理者应公开承诺自己不进行重识别，并通过合同约束信息接收方也不进行重识别。[11]

可以看出，虽然使用术语名称相同，但是不同法域下其内涵和外延并不一致，要求严格程度也不同，在中国和欧盟，匿名化脱敏标准很高，要求达到不可复原的程度（不可复原的判断标准有所不同）。

三、“匿名化”的判断

匿名化要求经匿名化处理后的数据彻底丧失与数据主体的关联度和可识别性，并且无论在何种条件（包括借助额外信息或采取额外措施）下都不可恢复。“在何种条件下都不可逆”的标准在技术上实际是无法达到的，所以这里的标准应该是法律层面上的标准，各国对于此的规定不完全相同。

《美国健康保险流通与责任法案》（HIPAA）中对健康数据的去标识化提出了专家测定标准（Expert Determination），即经过具备统计知识与科学方法的专家的测定，考虑到数据接收者合理可得的数据和合理可用的技术，从脱敏后的健康信息中识别出个人的风险非常小。

欧盟GDPR依据的是“合理可能标准”，认为可以着重考虑两点：（1）数据控制者要关注反匿名化的技术，考虑成本和方法，评估其关联性和严重性；（2）数据控制者包括其他任何人可能使用的一般合理方法以判断个人是否是可识别的。

在此基础上，2012年英国信息专员办公室（Information Commissioners Office）在《匿名化：管理数据保护风险的实践准则》中进一步提出了有动机的入侵者测试（Motivated Intruder Test），即对于并非内幕人士或专业黑客的一般第三人而言，通过公开检索、询问、调查等方式，匿名信息能否被重识别。

我国的《信息安全技术 个人信息去标识化指南》中提出： （1）可以进行有动机的入侵者测试，看看是否有具备合格能力的外部人员可以使用公开的数据集执行重标识；（2）可以让团队利用内部数据进行有针对性的入侵者测试，模拟违规者或敌对内幕人士可能发生的情况。

四、个人信息的处理行为的类型

（一）收集

对信息的收集是信息生命周期的开端，也是数据处理的起点。收集个人信息的方式有很多种，可以是要求自然人主动填写，比如在使用物流服务时，要求用户填写姓名、电话号码、地址、身份证号等；也可以是通过计算机信息系统自动记录自然人的使用信息，比如网页浏览记录、观看记录、点赞记录、聊天记录等；还可以是从公开渠道获取对于个人信息的收集，比如通过“网络爬虫”“爬取”公开的个人信息；还有一种获取方式是从特定的信息处理者处间接获取，比如很多应用软件可能会出于特定目的向关联第三方提供个人信息，这种情况下，信息的收集和信息的提供是一体两面的。获得个人信息需要有一定的合法性基础，比如：取得个人信息主体同意、为履行法定职责或法定义务所必需、为公共利益等。

（二）存储

被收集的信息需要进行存储才能够进行后续的利用。个人信息的存储可以通过纸面记录的方式，也可以通过电子记录的方式存储，比如硬盘存储或者云存储。被存储的信息包括被收集的信息，也包括经过加工处理后的信息。对个人信息的存储，需要根据其性质进行分级分类，根据收集目的确认存储期限，在现代技术条件下，很多对信息的分析是即采即用（分析），不需要存储或者需要存储的时间非常短暂，而一些分析工具甚至可以实现仅运算分析而不获取和存储信息，这些都会改变对个人信息存储的传统认知，从而改变个人信息存储行为的规范。[12]

（三）使用

收集、存储个人信息的主要目的就是使用。对于企业来说，使用个人信息主要是为了商业目的，比如通过对用户的浏览记录、购物信息等进行分析，对用户进行“数据画像”，从而向用户进行精准推送；对于政府等公共机构来说，收集使用个人信息，则往往是为了进行相应的行政管理和提供公共服务。个人信息的收集和使用不能完全割裂开来，因为个人信息的收集与使用的方式、使用的目的、使用的范围密切相关。

（四）加工

对个人信息的加工是指对收集的个人信息进行分类、整理、融合、分析、计算等活动。对个人信息的加工往往是使用个人信息的前置条件，通过对个人信息进行加工，可以更进一步地发掘信息中的价值，更好地提供相关服务。同时通过加工也可以完成对个人信息的去标识化和匿名化，有助于相关信息的后续利用和流通。

（五）传输

传输是指处理者内部进行的个人信息的传输活动，如将本地存储的个人信息数据上传到云存储中，或者在处理者内部不同单位之间进行的个人数据传送，它与处理者将个人信息提供给其他民事主体不同。[13]

（六）提供

提供个人信息是指个人信息处理者将个人信息向外部第三方提供。提供的内容可以是原始收集的个人信息，也可以是对初始个人信息加工后的信息；提供的路径既包括政府之间的信息共享，也包括不同企业之间的信息交换和共享，还包括企业基于配合调查等义务向政府提供个人信息等。在初始收集目的以外向第三方提供个人信息，需要获得个人信息主体同意，提供经过处理无法识别到个人且不能复原的信息则不需要；向境外机构或个人提供个人信息，需要履行额外的注意和安全审查义务。

（七）公开

是指依法将个人信息向特定或者不特定主体公开的情形。比如个人信息主体基于自主意愿主动将自己的个人信息公开，或者政府机关依据个人信息保护法的规定，为了维护公共利益公开包含个人信息的政府信息。

（八）删除

在收集个人信息的目的达成所需最短期限期满，或者法律规定的留存期限期满之后，企业应当删除个人信息。删除的方式一般有两种，除了传统的物理性删除，将个人信息进行匿名化处理也可以作为删除的一种形式。在个人信息保护法将“删除”纳入个人信息处理行为类型之前，删除仅仅作为个人信息主体权利的配套机制存在，在实践中，之前一般只有个人信息主体提出要求后企业才配合删除，但在个人信息保护法生效后，企业应当主动明确个人信息的留存期限和删除方式，制定相应的删除规则。此外，在对个人信息进行删除时，企业也应当对删除内容、删除理由、删除时间等留存相应的记录，以备应对后续可能的用户投诉和监管机构检查。

【相关规定】

《中华人民共和国网络安全法》第七十六条第五项；《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条；《中华人民共和国民法典》第一千零三十四条；《中华人民共和国个人信息保护法》第四十九条、第七十三条。