个人信息到底是什么(各家律所观点梳理)

来源:数据何规数据何规

文章摘要
小何心血来潮,打算参考目前已发布的海量推送,做一个《个保法》逐条评注。 但在读到第四条的时候,就发现自己读不懂了。

小何心血来潮,打算参考目前已发布的海量推送,做一个《个保法》逐条评注。
但在读到第四条的时候,就发现自己读不懂了。来我们一起看看法条,《个保法》第四条第一款:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
这个法条一审稿、二审稿到正式稿都没有变,但确实不是很好懂。我自己阅读完,产生了以下的问题。
01、“已识别”和“可识别”的区别是啥?
对于这个问题,我选择了请教数据合规专家史律师,得到答复如下。

看完学姐的解答,茅塞顿开。已识别信息就是,何琛的手机号是1XXXXXXXX,何琛就是已识别自然人;可识别信息就是,给你一个身份证号,虽然你不知道他是谁,但是通过一定的手段,你能够知道这个人是谁,这个人就是已识别自然人。(也有其他理解,见评论区)
02、《个保法》为什么没有沿用《民法典》《网络安全法》对个人信息的定义,定义又有何区别呢?
这个问题也不懂,我就去看文章了。
中伦的陈际红律师(全景解构《个人信息保护法》,助力企业进入中国个人信息保护新纪元)认为:关于个人信息的定义,历经《网络安全法》《个人信息安全规范》和《民法典》的多次修正,最终确立了 “识别+关联”的判断路径。总体而言,《个人信息保护法》对个人信息的定义将采取“宽进严出”的态度,凡符合识别标准或关联标准,均可能构成个人信息。同时,还明确了匿名化之后的数据不再属于个人信息。企业可使用“识别+关联”标准以认定所处理数据是否构成个人信息:(1)识别标准:从信息到个人,即由信息本身的特殊性即可识别出特定自然人。例如身份证号。(2)关联标准:从个人到信息,即已知特定自然人,由该特定自然人在其活动中产生的信息。例如已知特定自然人的位置信息、通话记录等。
我的问题进一步又来了,识别我是刚刚搞懂了,可是关联又从哪里读出来的呢?于是我决定再多读几篇文章。
锦天城的吴卫明律师(审议通过!万字解读《个人信息保护法》)认为:针对个人信息的定义,《个人信息保护法》在《网络安全法》以及《民法典》规定的“识别”的基础上,将个人信息的识别区分为“已识别”及“可识别”表述。即,凡是与“已识别”的自然人或“可识别”的自然人有关的信息,均为个人信息。这一规定,与《网络安全法》以及《民法典》最显著的区别在于,前述法律均以主观上的“识别”作为界定个人信息的基础,而《个人信息保护法》则以客观上的“关联”作为界定个人信息的基础,“已识别”或“可识别”的自然人是进行相关行判断的参照对象。但是,对于什么是“可识别”的自然人?《个人信息保护法》并没有进一步作出界定。笔者认为,对于可识别的判断,可以结合《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《司法解释》和作为推荐性国家标准的《信息安全技术个人信息安全规范》(以下简称《规范》)的规定(见下表)进行判断。在《司法解释》与《规范》中,规定了“与其他信息结合识别特定自然人身份或者反映特定自然人个人活动情况的各种信息”,信息的组合认定是否成为“可识别”的内涵,尚有待立法的进一步完善。由此可见,《个人信息保护法》在“识别”的基础上作出了“已识别”与“可识别”的区分,并将“关联”的要素融合了进来,将个人信息保护的外延进一步做了完善。

看完上述两位律师的观点,还是比较迷糊,又去问了一下史律师,她说在文章(【星来析法】《个人信息保护法》下企业不可忽视的十个要点)里面也写过了,于是我又火速跑去学习。非常感谢感谢史律师的耐心解答。

这回看懂了,原来“关联”是从“有关”二字中读出来的。原来这一个小小的法条中有这么多奥秘。我这两天读过个人信息保护法的文章里,其他律师好像就没有对此发表观点了。但一二审稿草案,也是相同的表述,于是我决定把时间线拉长一些,看看其他律师们是怎么说的。
通力的潘永建律师在解读一审稿时(
《个人信息保护法(草案)》的明惑之思)则认为:个人信息:采用“关联”(relating to)标准, 外延有所限缩。《民法典》《网络安全法》《个人信息国标》等与个人信息相关的多部法律和政策对个人信息做出较为一致的定义, 即“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”, 而对于个人信息的列举多参考《个人信息国标》的附录A。草案作为个人信息的专门法对个人信息亦作出定义: “个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息, 不包括匿名化处理后的信息”。对比可知, 草案对于个人信息的描述与先前不同, 草案的定义方式与欧盟GDPR中对于个人数据(personal data)的定义极为相似 。参考欧盟法律的解读, 我们认为相较于此前的定义, 草案中个人信息的外延有所限缩。根据英国数据保护监管机构信息专员办公室(Information Commissioner’s Office, ICO)对于GDPR下个人数据的定义进行拆解, 个人数据仅包括下述与自然人有关的信息: 1)从该等信息中能够直接识别出自然人或者仅凭该等信息自然人是可识别的; 或2)该信息与其他信息结合能够间接识别出自然人。“与自然人有关”的表述要求个人数据不仅仅能识别自然人, 更重要的是, 它必须在某种程度上与自然人相关联, 换言之, 能够指向可识别自然人的数据可能不是该自然人的“个人数据”, 因为该等数据不与自然人相关联。
中伦的刘新宇律师在解读一审稿时(《个人信息保护法(草案)》全文逐条解读)认为:从“个人信息”的定义看,与《网络安全法》第七十六条第一款第五项和《民法典》第一千零三十四条第二款规定的“能够单独或者与其他信息结合识别特定(注:《网络安全法》未规定此处的‘特定’)自然人的各种信息”不同,《个人信息保护法(草案)》采取了与欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)第4条相类似的界定标准,即“与已识别或者可识别的自然人有关的各种信息”。换句话说,《网络安全法》和《民法典》采取了“识别”的路径,《个人信息保护法(草案)》采取了“识别+关联”的路径,一定程度上拓宽了个人信息的范围。此外,本条将“匿名化处理后的信息”排除在“个人信息”的范围之外,也就意味着匿名化信息不需要受到本法的规制。需要强调的是,《个人信息保护法(草案)》第六十九条第一款第四项对“匿名化”进行了定义,满足“无法识别且无法复原”标准的信息才不属于个人信息,否则还是需要受到本法的规制。可能有些人会问,对于“已识别”和“可识别”,该如何理解?我们以身份证上的信息为例,身份证反面包含身份证号、姓名、出生年月日、民族、家庭地址等信息。这些信息里面,身份证号码具有唯一性,单独的身份证号码就是特定自然人的个人信息,这就属于“已识别”的自然人的个人信息;对于“可识别”,只有姓名或者只有家庭住址都无法识别到指定的自然人,因为单独来看,姓名有重名的,一个家庭住址一般来说会有一家好几口人,但是这二者都能够在一定程度上将某些人与其他人区分开,对于识别到特定自然人来说都发挥着一定的作用而非毫无关联。因此,单独来看,姓名和家庭住址均属于“与可识别自然人有关的”个人信息,二者一旦结合就指向了特定的自然人,也就转化成了“已识别”自然人的个人信息。
环球的王筱东律师(环球合规与风控 | 《个人信息保护法(草案)》—— 跨境业务实务视角的些许思考)认为:个人信息:“识别”+“关联”标准。值得注意的是,草案和《民法典》、《网络安全法》中所定义的“个人信息”范围不完全一致。草案第四条定义的“个人信息”,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。我们理解,草案区分“可识别”及“已识别”自然人的信息,并采用“识别+关联”标准。从文义上理解,这一定义并未沿用《网络安全法》及《民法典》确立的“识别”标准,也并未在概括性定义后进行列举式规定,更加抽象,并可能使个人信息的外延更加宽泛。但这并不是我国第一次采用“识别+关联”之定义,一般认为,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》实质上即采取了该标准界定个人信息。《信息安全技术个人信息安全规范》(GB/T 35273-2020)中对何为“识别”(identify)与“关联”(link)进行了进一步说明。同样地,GDPR也采用这一双重认定标准。根据该标准,我们理解,对于一般信息,以“可识别性”为核心认定其是否属于个人信息;而对于已识别到自然人的个人信息,则以“关联性”将与该自然人相关联的所有信息纳入其个人信息范畴。事实上,“识别”与“关联”路径是针对“个人信息界定”这一问题的两个方面。随着新技术不断出现,清晰地界定个人信息的范围将变得越来越复杂和困难,而根据国际立法经验及从监管效率等角度考量,对个人信息进行明确列举不仅无先例,也无必要。相比之下,草案提出的概念更为全面、更具包容性,有利于最大限度地将现在以及将来可能被归入个人信息的内容纳入法律对个人信息权益的保护范围内。
总结一下,除了通力的潘律师持相反观点外,大部分律师都认为:《个保法》下的个人信息的范围比《民法典》和《网络安全法》所定义的个人信息所调整的范围要更大一些。
潘律师的文章还提到了《个人信息技术安全规范》的附录A,我去看了一下,觉得说得比较清楚。这边也截图给大家分享一下。

最后,一本满足地在word文档中敲下:

有些法条,只有当你逐字扣的时候,你才会发现你看不懂。个保法可真难学呀。

技术驱动法律,专业成就未来