“个人信息”定义 | 民法典与GDPR

《中华人民共和国民法典解读》这本书，对《民法典》如何界定“个人信息”，做出如下的解读：

上述文字中，提出了存在三种对个人信息界定的思路：关联型、隐私权说、识别型。公号君想就该书对这三种思路的阐释，仅仅提出一点商榷意见——GDPR到底是不是所谓的识别型？

语义分析

让我们仔细揣摩一下GDPR关于个人信息定义的英文原文。第一个分号前的句子，可作如下理解：

1. 存在一个“已识别出（identified）或可被识别（identifiable）的自然人”（假定为特定自然人A）；

   
   

2. 与A相关的任何信息（any information relating to）都应该是个人数据。

第二个分号翻译如下：

可被识别的自然人指，借助标识符，例如姓名、识别号码、位置数据、网上标识符，或借助与该个人生理、心理、基因、精神、经济、文化或社会身份特定相关的一个或多个因素，可被直接或间接识别出的个人。在此，我们用“信息集合1”来指代能够直接或间接识别自然人的个人信息，即第二个分号中，能够用于识别的信息集合。

现在的问题是——“信息集合1”是不是等于GDPR中的“any information”？

《中华人民共和国民法典解读》认为GDPR是识别型的定义，实际上是将上述两者划了一个等号。但实际上，从英文语法和文字来看，无法必然得出这两者是等同的含义。

实例适用分析

根据这两句话，并结合一个例子，可以看到：GDPR定义中第一个分号提出的“any information”>第二个分号的用于识别自然人的“信息集合1”。

假设有一个课程班，班里只有四人，且四人姓名相同，某培训机构中掌握这四人的下列数据：

对于培训机构来说，通过“性别+年龄”的方式，可以识别出不同的自然人。毫无疑问，按照识别型的说法，性别和年龄属于个人信息。因为这两个信息都对识别做出了贡献（contribution）。

在这个例子中，姓名对识别特定个人来说，完全给不出任何贡献。例如，张三+18，存在两个雷同的情况。张三+20，存在两个雷同的情况。张三+女，存在两个雷同的情况。张三+男，存在两个雷同的情况。

按照识别型的说法——“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”，姓名（即张三）不应当属于个人信息。因为其对识别特定自然人，没有做出任何贡献。

但是按照GDPR的说法，由于“女+18”有且仅有一人，因此特定自然人A被识别出来了，那由于特定自然人A的名字叫张三（属于第一个分号中所说的，any information relating to），所以张三，在GDPR里面，属于个人信息。

因此，在公号君看来，GDPR并不是所谓的识别型的定义。恰恰是识别型+关联型的定义的总和。

在《个人信息安全规范》中，个人信息的定义恰恰是识别+关联。

结合上面的例子：从信息到个人，叫做识别，即“性别+年龄”；随后，通过“性别+年龄”的方式，识别出特定个人后，其相关的信息，即张三，也应当是个人信息。

因此，在GDPR、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《个人信息安全规范》中，个人信息的界定实际上有两条路径，一为“识别”（identify），二为“关联”（link）：

• 识别（identify）路径是从信息到个人，即如前述，由信息本身的特殊性直接回溯到特定个人。

  
  

• 关联（link）路径是从个人到信息，即已知既定个人，知晓“关于”该个人的进一步信息；能够关联到特定个人的信息并不以特殊性为前提，其作用是丰富给定个人既有的人格图像（profile），使他人知晓更多关于该个人的情况。

其他国家或地区的定义

在此，公号君偷个懒，用一个数据保护方面非常强的律所所提供的在线查询工具来举例说明，实际上很多国家采取了“识别+关联”的定义模式。【https://www.dlapiperdataprotection.com/】

以下是美国的定义，是不是和欧盟的类似？CCPA中也大量使用了associated、linked之类的词。

以下是澳大利亚的定义，是不是和欧盟也很类似？

以下是香港的定义。

以下是俄罗斯的定义。

以下是巴西的定义。

总之，公号君并不是说我国的民法典一定要采用GDPR的“识别+关联”路径，而仅仅是希望厘清一个观点而已——其实GDPR、美国的法律等，已经超越了纯粹的“识别”型的定义。

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下：

人脸识别系列文章

1. 欧盟基本权利局“人脸识别技术”报告中文翻译（DPO社群出品）
   

2. 法国数据保护局（CNIL）关于人脸识别报告的中译文（DPO社群出品）
   

3. 零售门店使用人脸识别技术的主要法律问题（DPO社群成员观点）
   

4. 人脸识别技术的规制框架（PPT+讲稿）
   

5. 人脸识别技术运用的六大场景及法律规制框架的适配（DPO社群成员观点）
   

6. 解读世界首例警方使用人脸识别技术合法性判决（DPO社群成员观点）
   

7. 人脸识别技术的法律规制研究初探（DPO社群成员观点）

8. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

9. 美国华盛顿州人脸识别服务法案中文翻译（DPO社群出品）

10. PAI | 《理解人脸识别系统》全文翻译（DPO社群出品）

美国联邦隐私保护立法草案研究

1. 美国联邦隐私保护立法草案研究（一）：“行为个性化”

2. 美国联邦隐私保护立法草案研究（二）：“个人敏感信息”

3. 美国联邦隐私保护立法草案研究（三）：“个人敏感信息”的保护规则

4. 美国联邦隐私保护立法草案研究（四）：“生物识别信息”

传染病疫情防控与个人信息保护系列文章

1. 传染病疫情防控与个人信息保护初探之一：个人信息的性质
   

2. 传染病疫情防控与个人信息保护初探之二：同意的例外

3. 传染病疫情防控与个人信息保护初探之三：数据技术的应用路径

4. 传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范

5. 传染病疫情防控与个人信息保护初探之五：电信数据的安全规范

6. 传染病疫情防控与个人信息保护初探之六：GDPR框架下的公共卫生数据共享

7. 传染病疫情防控与个人信息保护初探之七：美国公共卫生机构的数据调取权力

8. 传染病疫情防控与个人信息保护初探之完结篇：解读中央网信办通知

9. 欧盟国家和英国的数据保护部门对疫情防控的官方意见汇总（DPO社群出品）

10. 美国疫情防控中的关键基础设施的识别和认定（DPO社群出品）

11. 意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见（DPO社群出品）

12. 欧委会关于新冠疫情中利用移动数据和应用官方建议的全文翻译（DPO沙龙出品） 

13. 漫画图解苹果和谷歌联手开发的接触追踪应用的基本原理  

14. 澳门关于疫情防控中进出场所人员个人资料保护的通告

15. 疫情防控常态化中的接触追踪：中国方案

16. 欧委会“支持抗击新冠疫情的APP的数据保护指引”全文翻译（DPO社群出品）

17. 来自欧洲的接触追踪协议（ROBERT Protocol）的基本原理：漫画图解

18. 英国信息专员对苹果谷歌接触追踪项目的官方意见：全文翻译（DPO社群出品）

19. 三百名学者关于接触追踪APP的联合声明

20. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

21. 新冠疫情防控常态化下的个人信息保护工作的思考和建议 

22. 韩国利用ICT抗疫经验总结：接触追踪部分（中文翻译）

23. 全文翻译 | 欧盟新冠肺炎“接触追踪”APP 共同工具箱（DPO沙龙出品）

个人数据与域外国家安全审查系列文章

1. 个人数据与域外国家安全审查初探（一）：美欧概览

2. 个人数据与域外国家安全审查初探（二）：CFIUS实施条例详解

3. 个人数据与域外国家安全审查初探（三）：从美国《确保ICT技术与服务供应链安全》        

4. 个人数据与域外国家安全审查初探（四）：从美国《2019年安全与可信通信网络法案》看

5. 个人数据与域外国家安全审查初探（五）：禁止中国公司对StayNTouch的收购

6. 个人数据与域外国家安全审查初探（六）：《2019国家安全和个人数据保护法案》

7. 个人数据与域外国家安全审查初探（七）：美国众议院荒唐的决议草案

8. 个人数据与域外国家安全审查初探（八）：《2020安全的5G和未来通信》法案

9. 个人数据与域外国家安全审查初探（九）：澳大利亚《协助和访问法》

10. 美国司法部狙击中国内幕（Inside DOJ's nationwide effort to take on China）

11. 美国司法部“中国计划”的概况介绍

美国电信行业涉及外国参与的安全审查系列文章

1. 美国电信行业涉及外国参与的安全审查（一）：基本制度介绍

2. 美国电信行业涉及外国参与的安全审查（二）：国际性的第214节授权

3. 美国电信行业涉及外国参与的安全审查（三）：建立外国参与安全审查的行政令

4. 美国电信行业涉及外国参与的安全审查（四）：FCC对中国企业的陈述理由令

中国的网络安全审查系列文章：

1. 网络安全审查制度利刃出鞘

2. 对《网络安全审查办法（征求意见稿）》的几点观察

3. 网络安全审查制度吹响了向网络安全强国迈进的号角

4. 我国网络安全审查制度走向前台

5. 网络安全审查的中欧比较：以5G为例

美国的出口管制制度系列文章：

1. 美国出口管制制度系列文章之一：对“外国生产的产品”的相关规则

2. 美国出口管制制度系列文章之二：适用EAR的步骤

3. 美国出口管制制度系列文章之三：苏联油气管道的“华为”事件

4. 《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈

5. 美国出口管制制度 | 允许华为和美国公司共同制定5G标准
   

自动驾驶系列文章：

1. 自动驾驶数据共享：效用与障碍

2. 自动驾驶数据共享：效用与障碍（附文字实录）

3. 北京市关于自动驾驶车辆道路测试的立法综述及动态（DPO社群成员观点）

4. 自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡（DPO社群成员观点）

5. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

欧盟“技术主权”进展跟踪系列文章：

1. 技术主权视野下的欧盟数字化转型战略探析（DPO社群出品）
   

2. 欧盟委员会主席首提“技术主权”概念

3. 推进欧洲可持续和数字化转型：《欧洲新工业战略》解读（DPO社群成员观点）
   

4. 欧盟“技术主权”进展 | 德国和法国推出欧盟自主可控的Gaia-X云平台计划

5. 欧盟“技术主权”进展 | 欧盟如何在科技领域能主导下一个十年

6. 欧盟“技术主权”进展 | 关于数字平台监管的建议
   

第29条工作组/EDPB关于GDPR的指导意见：

1. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)
   

2. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）
   

3. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

4. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

5. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

6. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

7. EDPB《关于GDPR适用地域范围（第3条）的解释指南》全文翻译（DPO沙龙出品）

8. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

9. EDPB《车联网个人数据保护指南》全文翻译（DPO社群出品）

10. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）
    

11. EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南：全文翻译（DPO沙龙出品）

12. EDPB | 《对第2016/679号条例（GDPR）下同意的解释指南v1》中文翻译（DPO社群出品）

13. 第29条工作组 | 《关于匿名化技术的意见》中文全文翻译（DPO社群出品）

14. 欧盟委员会关于GDPR实施两周年评估报告中文翻译（DPO社群出品）