第四条 【个人信息及个人信息处理的定义】
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
重点解读
本条规定了“个人信息”和“个人信息的处理”的定义。
从“个人信息”的定义看, 《个人信息保护法》延续了《网络安全法》第七十六条第一款第五项和《民法典》第一千零三十四条的思路,并借鉴了欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)第4条的界定标准,采用“识别+关联”的方式划定了个人信息的范围,即“与已识别或者可识别的自然人有关的各种信息”。此外,本条将“匿名化处理后的信息”排除在“个人信息”的范围之外,也就意味着匿名化信息不需要受到本法的规制。需要注意的是,个人信息是否实现“匿名化”也有明确的标准,《个人信息保护法》第七十三条第四项明确规定,“匿名化”的信息不仅应当“无法识别特定自然人”,还必须确保“不能复原”。如不满足上述条件,相关信息即不属于“匿名化”的个人信息,依然需要受《个人信息保护法》的规制。
从“个人信息的处理”的定义来看,《个人信息保护法》在沿用了《民法典》第一千零三十五条第二款以及《数据安全法》第三条规定的基础上,将个人信息的删除亦纳入个人信息处理的范畴,基本涵盖了个人信息全生命周期的各项活动,这意味着个人信息全生命周期的处理活动均受到本法的规制,处理者在每个环节的个人信息处理行为都应当遵守《个人信息保护法》的规定。
实务要点
对于个人信息处理者而言,本条明确了个人信息的定义,有助于确定哪些信息需要按照《个人信息保护法》的标准采取保护措施。如前所述,个人信息既包括与已识别自然人有关的信息,也包括与可识别自然人有关的信息。因此,即使个别信息无法单独用于识别特定自然人,处理者也应当评估该信息能否在与其他信息结合后被用于识别特定自然人,如果存在此类可能性,则也应当按照“个人信息”的要求和标准对此类信息进行处理。
实务中一个常见的问题是,“已识别”与“可识别”之间有什么区别。对此,可以用身份证上的信息为例进行说明。身份证包含身份证号、姓名、出生年月日、民族、家庭地址等信息。这些信息里面,身份证号码具有唯一性,单独的身份证号码就是特定自然人的个人信息,这就属于“已识别”的自然人的个人信息。就“可识别”而言,只有姓名或者只有家庭住址都无法识别到指定的自然人,因为单独来看,姓名存在重名的可能性,而一个家庭住址一般来说会有一家好几口人同时居住,但是这二者都能够在一定程度上将某些人与其他人区分开,对于识别到特定自然人来说都发挥着一定的作用而非毫无关联。因此,单独来看,姓名和家庭住址均属于“与可识别自然人有关的”个人信息,二者一旦结合就指向了特定的自然人,也就转化成了“已识别”自然人的个人信息。
案例解析
*案情介绍
某二手车公司A开发、运营某App,为不特定公众提供有偿二手车历史车况信息查询、车辆检测、汽车保修、二手车估价等服务。
余某诉称,2020年12月,其在与车辆意向购买人磋商过程中,得知对方用其提供的机动车行驶证上所载的车架号,在该App付费查询了车辆的历史车况信息,并获得了详细记录车辆行驶数据、维保数据等信息的《历史车况报告》。余某认为《历史车况报告》综合反映了其本人驾驶特征、维保行踪、消费能力、消费习惯等,可间接识别余某身份,属于余某的个人信息及个人隐私。A公司未经其同意,擅自有偿向他人提供上述信息,侵犯其个人信息。余某遂诉至法院请求判令A公司立即删除App中的车况信息并赔偿其经济损失3000元。
*法律解析
本案中,法院认为案涉历史车况信息是否为个人信息,关键在于该信息能否单独或者与其他信息结合识别特定自然人。据此,法院指出:
1.从信息内容看,案涉历史车况信息的内容未出现身份信息、通信联系方式等能直接识别特定自然人的信息。其中的行驶数据、维保数据也未显示车辆维修保养机构的位置信息和维修保养的具体年月日,不能以此识别出自然人的行踪轨迹。
2.从信息特征看,案涉历史车况信息仅能反映所查车辆的使用情况,其内容既不涉及具体个人,也不被用于评价具体个人的行为或状态,无法关联到车辆所有人等特定的自然人。
3.从信息来源看,根据日常车辆使用经验,产生车况信息的主体除车主外,亦可能为亲友、维修人员、保险人员等,无法通过车况信息精准识别到车辆的实际使用人是否为余某本人。
4.从信息重新结合识别特定自然人的成本看,将车况信息与其他信息结合识别所需的技术门槛、经济成本、耗费时间等都较高。同时,各数据提供方将其所持有的数据采用脱敏化技术传输给A公司汇集整理并出具相关报告,在一定程度上降低了一般公众将车况信息与第三方信息结合重新识别特定自然人的可能性。
综上,法院认为案涉车况信息无法被认定为个人信息。基于此,法院判决驳回原告余某的全部诉讼请求。判决现已生效。
个人信息最显著的特征是“可识别性”,即通过个人信息可以直接或结合其他信息关联到特定自然人。本案中,双方诉争的车况信息、行驶数据、维保数据等信息仅能够用于识别到特定车辆,而无法通过相关信息精准识别到特定的自然人,故而相关信息不宜被认定为个人信息。
关联法条
《民法典》第一千零三十四条、第一千零三十五条;《网络安全法》第七十六条;《数据安全法》第三条。