浅谈个人信息的范围与分类

　　随着科技的发展，个人信息已逐渐成为一项独立权利。但并非所有与个人有关的信息均属于法律所保护的个人信息。目前，我国有关法律对此进行了明确，正在制定的个人信息保护法草案将其分为敏感个人信息与一般个人信息。

　　近日，一份庞某与某网络订票平台及某航空公司隐私权纠纷二审民事判决书引发社会关注。该案中，庞某通过第三人鲁某在某网络平台购买一张机票，该网络平台订单详情页面显示该订单登记的乘机人信息（庞某的姓名和身份证号码），但订单中的联系人信息、报销信息填写的是鲁某及其手机号。两日后，庞某手机号收到非订票网络平台指定售后服务电话发来短信提醒：您预订的航班由于机械故障已取消，请收到短信后及时联系客服办理改签业务，以免耽误您的行程（注：改签乘客需要先支付20元改签手续费，改签成功后每位乘客额外得到补偿200元）。鲁某并未收到这些信息。鲁某跟航空公司确认后，航空公司提示该短信可能为诈骗短信，且可能是订票点泄露了庞某手机号码。庞某认为航空公司和订票网络平台侵犯其隐私权，故向法院起诉要求追究其法律责任。该案双方争议的其中一个问题是，姓名、身份信息及行程安排是否属于个人信息？笔者认为，该案中的个人姓名、身份信息及行程安排等信息属于个人信息的范畴。

　　首先，个人信息逐渐从隐私权中独立出来成为一项新的权利。随着科学技术的发展，个人信息在社会生活中的应用场景日益多元化，甚至在很大程度上取代了实体身份证件的作用。当人们出入商场、医院等公共场所以及乘坐飞机、火车等交通工具时，往往需要向其提供姓名、电话号码、住址、身份证号码、行程信息等诸多信息。个人实体身份证件的信息化使得相应机构收集了海量的个人信息，由此也出现侵犯个人信息安全的问题。司法实践中，过去将个人信息放在隐私权中予以保护。该案中法院认为，因为个人行程信息中包含有个人隐私信息，所以认定姓名等信息属于个人信息。不可否认，个人信息与隐私权关系密切，但随着科技的发展，个人信息已经逐渐超越隐私权的范围而成为一项独立的权利。如民法典中将隐私权和个人信息予以并列，在第一千零三十四条第2款规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”《中华人民共和国个人信息保护法（草案）》第一条也提出了“个人信息权益”概念。可见，个人信息权正逐渐成为一项独立的新兴权利。

　　其次，个人信息以可单独或结合其他信息以识别特定自然人为标准。人们在社会生活中会产生大量的个人信息，但并非是所有的与个人有关的信息均属于法律所保护的个人信息。哪些个人信息属于法律保护的个人信息？在大数据时代，算法和数据挖掘可将每个人进行数字化。人类信息的数字化本身并无问题，也符合科技和社会发展的需求。但如果把数字化与特定个人联系起来，那么这个具体的个人将会成为“透明人”。因此，法律保护个人信息的目的在于防止特定个人被数字化。在此基础上，《中华人民共和国网络安全法》第七十六条第5项，将个人信息界定为，“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。当然，随着国家对个人信息保护的重视，个人信息的范围也在不断扩充。如民法典将网络安全法中“自然人个人身份”替换为“特定自然人”，其范围要有所扩充；个人信息保护法（草案）将可识别标准升级为与识别有关标准，即“与已识别或者可识别的自然人有关的各种信息”，进一步扩大个人信息的范围。当然，个人信息的范围也不是无限扩大的，这需要平衡个人信息合理利用与个人信息保护之间的关系。适度的范围扩张有利于个人信息保护，但如果过度扩张则不利于个人信息的合理利用。

　　最后，个人信息内部应分等级，并采用不同的保护措施。虽然可用于识别自然人的信息都属于个人信息，但个人信息与识别特定自然人间的密切程度存在显著差异。如身份证信息可直接识别个人，但单纯的姓名（或昵称）、电子邮箱等则需要与其他特定信息结合才可用于识别特定自然人。此外，还有些信息涉及个人的生物特征、个人行踪等。不同的个人信息的泄露或非法使用，带来的危害程度也不一样。因此，其保护程度也应当不一样。对此，个人信息保护法（草案）将其区分为敏感个人信息与一般个人信息，对敏感个人信息设定了更严格的保护规则。

　　（作者分别为南开大学法学院副教授、硕士研究生）