文丨天元律师事务所广州分所 常跃全、肖荣、陈蔚


“双十一”刚刚过去，你是否正在经历即使每次收到快递之后都小心谨慎地用马克笔涂掉自己的快递收件信息？还是会被“双十一今晚8点，前4小时5折秒杀，前4小时送赠品一袋，跨店满减折上折，点击xxxxx直达，回复TD退订”“双十一抢先购最后6小时！全店每满300减50！领券满999减50！点击xxxxx直达，回复TD退订”这样类似的短信轰炸?你是否也频繁接到过“喂，这里有新开的xx楼盘”“请问上次寄给你的pos机您有在继续用吗?” 类似的骚扰推销电话，不堪其扰？
大数据时代，个人信息保护显得尤为重要。2021年8月20日，《中华人民共和国个人信息保护法》经审议通过，自2021年11月1日起施行，预示着我国的个人信息保护进程前进了一大步。
为了对个人信息保护有一个全面且深入的认知，首先应当厘清什么是个人信息，   个人信息及其与隐私之间的界限在哪里。为此，本文将从民事领域法律法规规定以及相关案例延伸，初步介绍个人信息的定义与范畴，以及其与个人隐私之间的界限。

一、个人信息的法条定义

●《中华人民共和国个人信息保护法》第四条第一款规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”
●《中华人民共和国民法典》第一千零三十四条规定：“自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”
●《中华人民共和国网络安全法》第七十六条第一款第（五）项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
●《信息安全技术 个人信息安全规范》（GB/T 35273-2020）第3.1条规定：“个人信息：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注2：关于个人信息的判定方法和类型参见附录A。
注3：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，例如，用户画像或特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。”
●《信息安全技术 个人信息安全规范》（GB/T 35273-2020）附录A 个人信息举例：

二、个人信息的特性及判断路径

根据《信息安全技术 个人信息安全规范》（GB/T 35273-2020）附录A个人信息示例的规定以及北京互联网法院的（2019）京0491民初*号某自然人诉某科技有限公司隐私权、个人信息权益网络侵权责任纠纷案（案件介绍见下）的民事一审判决，个人信息的核心特点为“可识别性”，既包括对个体身份的识别，也包括对个体特征的识别；对个体身份的识别确定信息主体“是谁”，对个体特征的识别确定信息主体“是什么样的人”，即该信息能够显现个人自然痕迹或社会痕迹，勾勒出个人人格形象。
判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人；同时，识别个人的信息可以是单独的信息，也可以是信息组合。可识别性需要从信息特征以及信息处理方的角度结合具体场景进行判断。二是关联，即从个人到信息，如已知特定自然人，则在该特定自然人活动中产生的信息即为个人信息。符合上述两种情形之一的信息，即应判定为个人信息。
三、个人信息与隐私的厘清

（一）   定义与特征的辨析
《中华人民共和国民法典》第一千零三十二条第二款规定：“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”隐私的核心在于“私密性”，其定义包含两个方面的特点：一方面是自然人的私人生活安宁；另一方面是不愿为他人知晓。就私人安宁来说，在判断是否构成侵害隐私权时，应考量其个人生活状态是否有因被诉行为介入而产生变化，以及该变化是否对个人生活安宁造成一定程度的侵扰；就不愿为他人知晓的私密空间、私密活动、私密信息来说，可以综合考量社会一般合理认知以及有无采取相应保密措施等因素进行判断。

个人信息因其“可识别性”，而与隐私的“私密性”常常出现范畴的重合，比如存在不愿为他人知晓的可以识别自然人主体特征的私密信息，即为《中华人民共和国民法典》第一千零三十四条第三款提及的“私密信息”。然而，个人信息与作为隐私权客体的私密信息既有交叉亦有不同：

从权利类型看，隐私权具有绝对权属性，个人信息是受法律保护的法益，尚未上升至权利。
从立法价值取向看，隐私权与个人信息权益根本上都体现自然人的人格尊严和人格自由价值，但个人信息权益同时涉及信息利用、流通价值。
从利益内容看，隐私权主要体现精神利益，而个人信息权益可能同时包括精神利益及财产利益。
从保护客体和损害后果来看，隐私权保护具有私密性的信息，一经泄露即易导致个人人格利益受到损害；而非私密信息的个人信息，仅在被过度处理的情形下才可能使得信息主体受到人格或财产损害。
从权利特点和保护方式上看，隐私权更注重消极性、防御性，保护更为严格；而个人信息权益保护在注重预防侵害的同时，还强调信息主体积极、自决的利用权益，如选择、访问、更正、删除等。

从《中华人民共和国民法典》规定来看，个人信息分为私密信息和非私密信息；从原告主张隐私权所依据的《个人信息安全规范》来看，个人信息分为一般个人信息和个人敏感信息。
目前，对于一般个人信息、个人敏感信息、私密信息还缺乏清晰的界分，有待法律进一步明确。从上述个人信息权益与隐私权的特点来看，个人敏感信息更强调不当利用给信息主体带来的客观风险，该风险包括人身、财产风险；私密信息更强调因信息涉及人格利益而不愿为他人知晓的主观意愿。因此，《个人信息安全规范》中的个人敏感信息可能与私密信息存在交叉，但不能概括地等同为私密信息。
（二）   典型案例——司法裁判中如何判断什么是个人信息，什么是隐私？

1、   案例简介

北京互联网法院 （2019）京0491民初*号   某自然人与某科技有限公司（以下简称“A公司”）隐私权、个人信息权益网络侵权责任纠纷案
事实与理由：A公司系一家知名的互联网公司，旗下拥有多个社交、文化、游戏软件。原告在使用A公司旗下的读书软件时发现，在原告并未进行自愿授权的情况下，A公司将原告在A公司旗下的某款社交软件中的好友关系信息自动导入A公司旗下的读书软件，并在该款读书软件中的“关注”栏目下，出现了使用该软件的原告在社交软件中的相关好友名单。此外，在原告没有进行任何添加关注操作的情况下，原告使用的A公司读书软件账户中“我关注的”和“关注我的”页面下，均出现了大量原告在社交软件通讯录中的好友信息；并且，A公司的读书软件未经原告自愿授权，默认向“关注我的”好友公开原告的读书想法等阅读信息。另外，原告在使用读书软件的过程中还发现，即使原告与原告在A公司某社交软件中的好友在读书软件中没有互关注，但是，却能相互查看对方的书架、正在阅读的读物、读书想法等。
诉讼请求：原告认为，A公司旗下的读书软件与社交软件为两款独立的软件，社交软件中的好友关系数据和读书软件中的阅读信息，均应当属于公民的隐私和个人信息范畴，在原告并未自愿授权的情况下，A公司的以上行为均侵害了原告的个人信息权益和隐私权，A公司作为其社交软件、读书软件的开发、运营方，应当承担相应的侵权责任。故，原告请求法院判令A公司停止其侵权行为，消除其侵权行为造成的不良影响，并向原告赔礼道歉。
针对本案的主要争议焦点，法院认为：（1）好友关系、读书信息属于个人信息和隐私；（2）读书软件获取原告的好友关系、向原告共同使用该应用的好友信息公开原告读书信息、为原告在读书软件中自动关注好友并使得关注好友可以查看原告读书信息的行为，侵害了原告的个人信息权益。从隐私角度来看，因原告主张的信息本身不构成私密信息，不满足侵害隐私权的责任构成要件，故法院认定该行为不构成对原告隐私权的侵害；（3）A公司应停止旗下读书软件收集、使用原告在社交软件中的好友列表的行为，并删除这些列表信息，停止展示原告读书信息，A公司向原告书面赔礼道歉，并赔偿公证费6,600元。
2、   北京互联网法院认为，在判断某类个人信息的性质上必须把握以下几点
第一，应对个人信息进行相对合理的层级划分。划入隐私的个人信息，应强调其“私密性”，进而与其他层级的个人信息在收集、存储、使用、加工、传输、提供、公开等方面形成相区别的授权同意规范、技术安全规范、信息处理规范等。对于其他信息，信息处理者可以依法进行利用，进而可以通过加强科技研发、资金投入，为广大用户提供丰富、高质、价格低廉的互联网产品，或更好地维护公共利益。
第二，关于“不愿为他人知晓”的“私密性”，强调主观意愿，该主观意愿不完全取决于隐私诉求者的个体意志，应符合社会一般合理认知。社会一般合理认知，可能受到地域、文化传统、法律传统、习惯风俗、经济发展状况、社会普遍价值观等因素的影响。
第三，不同用户就个人信息的期待也可能存在消极防御与积极利用的差异，应当以“场景化模式”探讨该场景中是否存在侵害隐私的行为。
综上所述，判断是否构成私密信息应当兼顾三个方面的内容：（1）信息主体个人的主观意愿，及信息主体个人根据其主观感受是否不愿意披露为他人知晓；（2）社会一般合理认知，即作为一个具备一般常识和认知的人所产生的合理认知及反应；（3）具体应用场景，即在信息主体在特定的差异化场景中会产生的认知和期待。
3、   北京互联网法院认为，从合理隐私期待维度上，个人信息基本可以划分为以下几个层次
（1）   符合社会一般合理认知下共识的私密信息，如有关性取向、性生活、疾病史、未公开的违法犯罪记录等，此类信息要强化其防御性保护，非特定情形不得处理；
（2）   不具备私密性的一般信息，在征得信息主体的一般同意后，即可正当处理；
（3）   兼具防御性期待及积极利用期待的个人信息，此类信息的处理是否侵权，需要结合信息内容、处理场景、处理方式等，进行符合社会一般合理认知的判断。
四、结语

基于上述，对于涉及收集用户信息及数据的企业，为避免在收集、使用、存储、流转个人信息及数据的过程中涉及侵犯公民个人隐私，我们建议应当及时针对企业的数据合规性进行尽职调查，及时完善相关的个人信息保护内控制度，并根据最新的立法及案例相应修订、升级相关app及平台的个人信息收集同意协议的版本，从而保障企业的合法合规经营，及时规避涉诉或被处罚甚至构成刑事犯罪的风险。
本文仅从民商事领域的法律法规及司法裁判案例对个人信息保护的定义和范畴进行研究，涉及刑法中关于侵犯公民对个人信息的自主权的相关犯罪的内容，笔者将在后续的推文中详细论述。