China: 浅析《个人信息保护法（专家建议稿）》（一）

日前，一份由中国人民大学法学院张新宝教授、葛鑫草拟的《个人信息保护法（专家建议稿）》（以下简称"专家建议稿"）在中国民商法律网首次发布 ¹。根据其引言介绍，这份关于个人信息保护立法的专家建议稿为张教授担任首席专家的国家社会科学基金重大项目"互联网安全主要立法问题"（14ZDC021）成果之一，目的在于为立法提供参考。

在全社会对个人信息保护的呼声日益强烈的今天，对个人信息保护的立法怎么制订和安排？这份从学者角度的专家建议稿，对个人信息保护的专门立法提出了一个体系性的、比较完整建议和可能性。我们将从个人信息保护法的基础概念、法律框架完备度和实践中对个人信息保护需求与立法的契合度等角度来简要评析这篇专家建议稿。

专家建议稿的全文分为九章共106条，较之《网络安全法》全文的79条，建议稿篇幅较长，包含的方面和内容比较详尽。按照建议稿起草者的意图，全文体现其提出的"两头强化、三方平衡"的基础理念。"两头强化"，指的是要强化个人敏感信息保护和强化个人一般信息利用。"三方平衡"，指的是信息主体、信息业者、国家机关三方主体之间的利益平衡。

一、"个人信息"的定义

专家建议稿首先提出了对"个人信息"的定义，"本法所称个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于公民的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。"这个定义，与《网络安全法》中关于个人信息的定义保持了高度一致。专家建议稿在提出"个人信息"定义的同时，规定了"个人敏感信息"的定义，即"个人敏感信息，指因其性质、内容与信息主体的核心隐私相关，或一旦泄露、滥用可能危害信息主体人身和财产安全或引发对信息主体的歧视等不利后果的个人信息"。

较之2019年国家质检总局和国家标准化委员会发布的《个人信息安全规范（征求意见稿）》中对"个人信息"的定义——"个人信息，(是指)以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息"。专家建议稿中，没有将"反映特定自然人活动情况的各种信息"直接纳入到"个人信息"的定义之中，而是比较保守地采用了对个人信息的狭义解释，严格地将个人信息框定在核心基本信息的范畴。这点，从建议稿中对"个人信息"定义的列举当中可以看出，"个人信息......包括但不限于公民的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等"。

二、如何理解两种"个人信息"定义的区别

为什么对于通信记录和内容、行踪轨迹、住宿信息、健康生理信息、交易信息等自然人活动情况信息，建议稿没有将其列入定义范畴呢？对于"个人信息"的法律定义，未来的《个人信息保护法》是如果可以明确包含反映自然人活动情况信息是否更加合适？

我国作为大陆法系国家，注重立法的统一性和综合性。这点区别于美国立法的分散性和未制定统一的个人信息保护法的特征。我国一旦通过统一立法来对个人信息进行保护，出台《个人信息保护法》，可以把个人信息保护标准明确化，避免因缺乏统一的法律规则对个人信息进行保护的困境。而目前因为缺乏《个人信息保护法》，而《网络安全法》中对个人信息提及的只有很少的几条，故只能将个人信息的收集、利用和处理等问题完全交由企业，由其与个人信息的权利人通过合同关系进行解决。因为个人和企业地位之间的地位不对等，很多情况下企业存在不当收集、使用、处理和转移行为，却因为合同中相关约定而披上了形式合法的外衣。这恰恰是现今缺乏一部成文的《个人信息保护法》的问题所在和困境，也是无论是从作为信息主体的自然人，还是涉及到作为信息使用者的网络运营者，信息控制者，乃至网络信息安全，都迫切需要制定一部成文的《个人信息保护法》。

如何理解"反映特定自然人活动情况的各种信息"呢？这背后隐藏的问题其实是个人信息权和隐私权的关联和差别。简单的讲，"特定自然人的活动情况"，一旦是该自然人不愿对外公布，或不愿他人介入或了解的，不论其是否已经通过可记录的信息形式固定下来，无论其是否真正地具有经济价值，这就是个人隐私，当其体现了一种人格权利，就构成了个人隐私权。那么，特定自然人的这种活动情况，只要其存在于一定的载体之上，且可以被记录下来，一旦并能直接或者间接指向该特定个人，就是 "反映特定自然人活动情况的各种信息"，并且很多信息可以被固化、记录、甚至是数字化。我们可以看到，"反映特定自然人活动情况的各种信息"，从"自然人活动情况"的私密性上看，或强调未公开属性的时候，反映了隐私的特征。当其一旦被记录甚至数字化，当其可能或可以被利用、甚至是反复利用，就彰显了信息权的属性，特别是信息权财产属性。

所以， 我们初步认为，专家建议稿中更狭义的对"个人信息"进行定义，即没有明确包含"反映特定自然人活动情况的各种信息"的"个人信息"的定义，其是更加看重特定自然人活动情况的隐私属性。这种活动情况、行为乃至形成的信息，如不涉及到公共利益或公共安全的部分，个人不愿意公开披露且具备私密性。狭义的定义"个人信息"，没有将"反映特定自然人活动情况的各种信息"纳入个人信息定义内的部分，更侧重于其属于民法中"隐私权"的保护范围。或者专家建议稿起草者想构建一个在狭义的"个人信息"之外，加上"个人敏感信息"的范围，从而进行监管和保护。

加入了"反映特定自然人活动情况的各种信息"的"个人信息"的定义，如果作为《个人信息保护法》的定义范畴。可以把个人信息作为一个基础的概念进行规定，并且如果作为包括更大范围的一个概念，其中再包含和可剥离出"个人敏感信息"，不失为一种清晰而顺畅的安排和逻辑编排。

To view the full article please click here.

文中引用

1 张新宝教授、葛鑫 《个人信息保护法（专家建议稿）》 中国民商法律网 2019/10/17.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.