《个人信息安全规范》中个人信息收集规则及侵权救济初探

龙源期刊网 https://www.wendangku.net/doc/8f10755518.html, 《个人信息安全规范》中个人信息收集规则及侵权救济初探

作者：陈思

来源：《法制与社会》2020年第02期

关键词个人信息个人信息控制者个人信息主体授权侵权救济

作者简介：陈思，北京大成（杭州）律师事务所专职律师。

中图分类号：D922.1; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; ; 文献标识码：A ; ; ; ; ; ; ; ; ; ; ; ; ; DOI：10.19387/https://www.wendangku.net/doc/8f10755518.html,ki.1009-0592.2020.01.134

“个人信息”一般是指通过某种信息可以直接或者间接识别到特定的自然人，该类信息合称为个人信息。

《网络安全法》第76条第5款的相关规定解释了个人信息，在网络环境中就个人信息来讲，一般是指通过电子或者其他的方式记录下来的信息，该种信息可以单独或者通过与其他信息结合起来，达到识别到特定自然人个人身份的效果，因此个人信息包括但不限于自然人的姓名、生日、身份证号码、住址、通讯方式以及个人生物识别信息等。而在《电信和互联网用户个人信息保护规定》第4条中也对“用户个人信息”作出了规定：电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的信息，包含但不限于用户姓名、生日、身份证号码、住址、通讯方式、账号和密码等全部信息，该种信息可以单独或者通过与其他信息结合起来，达到识别到特定用户个人身份以及用户使用服务的相关信息的效果。

而欧盟于2018年5月25日颁布的《一般数据保护条例》（以下简称“GDPR”）第4条中定义了个人数据：“个人数据”是指任何已识别或可识别的自然人（“数据主体”）的相关信息;一个可识别的自然人是可以通过姓名、身份编号、地址、网上标识或者其所持有的一项或多项身体性、生理性、经济性、文化性或者社会性身份而能够被直接或者间接识别的个体。

从以上国内外的立法中可以看出，对个人信息一般都采用识别定义方式，即个人信息这一概念的显著特征即为“可识别性”。“可识别性”即是收集的信息可以确定指向某一具体的信息主体，具有确定可能性，通俗来讲即是可以通过这些收集信息将信息主体（用户）对应起来，如无法与用户对应起来则只能称之为数据。同时，在上述立法规定中可以看出，国内的个人信息可以分为单独识别用户的信息与结合其他信息识别用户的信息两种，GDPR中直接定义为“直接识别”与“间接识别”。因此，在个人信息“可识别性”的特点下，又可将个人信息区分为“直接识别”信息和“间接识别”信息。例如在用户的互联网使用留存记录中，如果记录的是用户姓名、电话号码、家庭住址此类信息，即可以作为用户身份的直接识别信息;但如果通过时间的