第一节　这些数据很重要：用户数据、个人信息、隐私

白晓萌萌首先需要界定数据合规管的到底是哪类数据。她对相关业务部门进行了访谈，了解到企业内部有各种各样的数据，包括：企业经营数据，如财务报表、现金流水、产品日激活人数和活跃人数；企业决策所需数据，如行业统计报告；产品收集的各类数据，包括用户的注册信息、行为信息等；企业在收集的各类数据基础上加工开发的数据，如用户画像、推荐算法模型、产品优化方向等。访谈后，白晓萌萌得出结论：数据合规管的是与用户相关的数据，具体边界并不清晰，而且用语都不同，有的人称之为用户数据，有的人称之为个人信息，大多数人称之为隐私。

白晓萌萌检索了相关的法律规定、国家标准后了解到，海外某些国家会使用“personal data”这个名词，翻译成中文即“用户数据”，而我国更多使用的是“个人信息”，这二者的所指是一致的，但是在各国的法律规定下，其边界可能不一致，需要根据各国法律的规定来界定。因本书基于国内法，故统一为“个人信息”。

1.什么是个人信息

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息[1]。如姓名、出生日期、身份证件号码、个人生物识别信息、住址、联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等[2]。

根据上述定义，个人信息能够识别出“特定”个人即可，无论是识别出该特定自然人的身份（你是谁），还是只识别出一个自然人的行为活动（做了什么）、终端设备（用的什么）等。因此，只要借由信息本身的特殊性可以将某个特定自然人与其他人区分开来，完成识别（即使不知道该自然人的姓名和社会身份），该信息就构成了“个人信息”。

通过个人信息识别出自然人既可以是直接识别，如通过身份证号、护照号码等身份硬标识符自身直接识别出特定自然人；也可以是与其他信息结合来识别出特定自然人，如通过结合移动设备识别符与网络浏览历史，区分出特定自然人，进而向其提供个性化的新闻列表等。

从现实生活的角度，一般通过身份证号、护照号码或者人脸识别、指纹识别等生物识别方式来识别人，其核心在于与自然人的唯一且密切的关联性。从通信产业的角度，识别人的方式是手机号码。但进入虚拟的网络世界后，标示一个用户的最常见方式则是虚拟账号，如微信号、淘宝账号等。互联网服务商通过账号来识别用户，再通过注册账号的手机号、邮箱等联系方式向用户发送广告等。此时，识别用户不一定要知道用户姓甚名谁，只需要唯一关联到某个人即可，因此，相比现实世界的识别符来说，这种识别方式与自然人的关系没有那么密切。

随着移动互联网的发展，相比账号和手机号码来说，移动设备识别符这一对于普通用户而言更无法感知和理解的信息在识别用户、形成用户画像、提供个性化服务等方面起到了重要的作用。用户在移动互联网时代经常会遇到此类场景：在淘宝上搜索健身器材，到今日头条上就能看到同类的广告，甚至在微信或电话中谈到旅游，在抖音中就看到了同类的广告。是App有千里眼和顺风耳吗？当然不是，上述场景实现的关键是依靠移动设备识别符以及用户画像技术。

移动设备识别符是指手机或者其他移动设备上唯一标识该设备的识别符，类似于该移动设备的身份证号码，如MAC地址、产品序列号（SN）、Android系统上的IMEI、iOS系统上的IDFA。移动设备识别符在识别用户方面比账号的作用更大，账号一般来说仅是一个公司或者一个产品内识别同一个用户的媒介，而移动设备识别符是同一个移动设备上所有服务商都认识同一个用户的媒介，广告主可以通过移动设备识别符定位出不同公司账号对应的同一个用户，于是就发生了各App之间仿佛认识同一个用户的情况。

因此移动设备识别符也是一种非常重要的个人信息，即使它本身并不能识别出该特定自然人的身份，但可识别出特定自然人使用的终端设备，从而识别出一个自然人的行为轨迹，进而完成精准的画像。

为了便于大家理解，《信息安全技术　个人信息安全规范》（GB/T 35273—2020）中对个人信息进行了举例，如图1-1所示。

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息[3]。值得注意的是，不同国家对于敏感个人信息的范围认定存在差异，而且可能使用类似“特殊类型的个人信息”的概念。

敏感个人信息的滥用或泄露将造成更为严重的风险，因此在合规要求上会更为严格，包括在具有特定的目的和充分的必要性，且采取严格保护措施的情形下[4]，并在额外告知处理敏感个人信息的必要性和对个人权益的影响后经过个人的单独同意等[5]。

图1-1　《信息安全技术　个人信息安全规范》附录A中对个人信息的举例

2.个人信息与隐私辨析

隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息[6]，权利主体行权的核心目的在于“不愿为人知晓”和“生活安宁”，即隐私的核心是“私密性”，即信息主体不想让外界知悉这些空间、获得的信息，即使有些信息并不属于他的个人信息，甚至只是一种物理空间（私人活动所覆盖的范围）。由于主体行权的目的多在于防御第三人获知，因此是一种相对偏主观感觉的认知。个人信息如上所述，核心是“可识别性”，即该信息可直接或结合识别出特定自然人，主体行权目的多在于想要积极管理已授权第三人处理的个人信息。但是否属于其个人信息，则是相对偏客观事实的认定。因此，针对自然人的隐私或个人信息而言，“私密性”和“可识别性”是两种重要但不同的划分维度，存在一定程度上的重合（即主观上不愿让外界知悉的、客观上可识别其个人的信息）。表1-1所示为个人信息与隐私的辨析。

表1-1　个人信息与隐私辨析表

值得注意的是，表1-1的前三种情形存在此消彼长、相互角力的有趣情况。特别是，随着大数据时代进行信息收集、追踪、匹配的能力越来越强，个人信息的边界在不断扩展，而可被归入隐私范畴的信息却越来越少，即情形2扩张为主流样态，情形1和3的空间却越来越小[7]。这才导致人们常常有一种错觉，认为个人没有隐私，甚至将个人信息与隐私混同。

如前所说，作为隐私权和个人信息重叠保护对象的“私密信息”是《中华人民共和国民法典》（以下简称《民法典》）下一个重要的新生术语，也是最难界定的人格权客体之一。只有一项信息同时具备“能够识别自然人”和“主体不愿为他人知晓”两个要件，才是构成私密信息的个人信息。

但在个人信息处理和司法实践中，对某一信息属性的认定难点往往不在于“可识别性”，而在于难以判断“私密性”，即构成个人信息的同时是否还会进一步构成私密信息。然而，是否构成私密信息不仅是一项主观认定，还需要同时兼顾考虑三重视角：信息主体个人的合理隐私期待，即作为信息主体个人的内心感觉、想法、诉求、期待、愿景；普通人的一般合理认知，即作为一个普通人通常会做出的预期判断与根据正常人的社会经历和认知水平会做出的内心反应；实际的信息收集和处理场景，即在特定情况下并结合当时的具体情境会做出的心理判断与暗示。

如果以上任一因素发生变化，对于个人信息的私密性判断都可能出现不同结果。例如，极端来讲，即使性取向系敏感个人信息，公众亦一般认知为隐私，但是否绝对属于隐私，也要看主体自身的性格、认知、理解力与抗压性，主体所在环境的包容性与开放性，是否有主动意愿公开，是否为实现特定诉求，是否因此会遭受歧视性待遇等。例如，在一些较为传统的社区环境，个人一般不愿意公开同性取向，而在开放程度大的城市，愿意公开同性伴侣关系的人越来越多，甚至一些公众人物公开表明自己的性取向，就更难以构成其隐私了。当发生隐私权与个人信息认定的争议时，法律应当同时考虑以上三点，不可偏废一端，才能保证其公平公正。

在北京互联网法院的“微信读书”案中，判决从用户合理隐私期待的维度将个人信息兼具的隐私属性划分为三个层次：一是符合社会一般合理认知下共识的私密信息；二是不具备私密性的一般信息；三是兼具防御性期待及积极利用期待的个人信息。是否侵权需要结合信息内容、处理场景、处理方式等进行符合社会一般合理认知的判断[8]。另一民事判决从场景化角度来分析，指出社交应用的好友关系在一定范围内已公开，并非不愿为他人知晓的私密信息。当然，这些诉争标的兼具个人信息与隐私权争议的案件还比较零星，尚未形成普遍共识。虽然对于社交软件中的虚拟社交关系、电话通讯录等构成个人信息的分歧不大，但这些信息是否同时仍然具有“私密性”的属性，则在企业和用户之间产生很大分歧。不同社交软件对社交关系的公开模式多有差异，因此用户的合理隐私期待也应该场景化识别，即不应脱离具体软件的适用场景概括出过于抽象的论断。

3.个人信息与匿名化、去标识化的辨析

此外需要辨析的概念是：部分信息确定是个人信息，但是可能进行一定的加工处理，对其识别性产生了影响，那么处理后的个人信息是否仍然属于个人信息呢？还有一个需要辨析的概念是匿名化，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）规定，“匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程”[9]。如果认定为符合匿名化的要求，则匿名化处理后的信息不再适用个人信息处理的法律要求，因为其已经不再具备可识别性。但是，需要注意的是，对个人信息匿名化的处理要求是比较高的，需要无法从处理后的结果复原、识别特定自然人，而且应持续采取相应的机制来防范随着技术发展或者数据融合而从中重新识别出特定自然人的风险。

随着快递物流、外卖等场景下手机号码被泄露情况的频繁发生，日常生活中出现了以“微笑面单”方式（将用户手机号码中间四位数隐藏为笑脸符号或星号），及外卖平台或者网约车平台提供“隐私号”等对手机号进行“脱敏”的处理方式。但是这是否意味着隐藏中间四位号码的手机号码或者替换为唯一值等处理后的信息就不属于个人信息了呢？事实上，在绝大部分情况下，这样简单脱敏处理的手机号并没有匿名化，仍然是个人信息。

手机号码经过简单隐藏四位数或者替换为唯一值的隐私号等处理后的信息通常并不能构成上述匿名化要求。对于进行上述处理的企业而言，仍会保留处理前后信息的映射表，以持续识别用户以及提供相应服务。因此，此类简单脱敏处理的手机号不属于无法识别特定自然人且不能复原；对于接收该等手机号的主体而言，通过将不同渠道获取的手机号或其他信息进行“撞库”匹配，也存在再次还原出原始手机号的可能性。

所以，简单隐藏手机号码的几位数或替换为唯一值的隐私号等处理方式，其实仅仅是去标识化而已——去标识化是“个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程”[10]。借助隐藏的位数或者数据映射表，还是能够从隐藏四位数的手机号或隐私号识别特定自然人的。这样去标识化的信息并不意味着不再属于个人信息，无须按照个人信息保护相关规则加以处理，而仅是个人信息处理的安全保障措施之一，用以避免在类似快递单、外卖订单等个人信息展示环节泄露个人信息，以及违法人员在接收到个人信息后可以快速、便利地定位到特定的自然人而进行诈骗等。

[1] 《个人信息保护法》第4条第1款。

[2] 《信息安全技术　个人信息安全规范》（GB/T 35273—2020）第3.1条以及附录A。

[3] 《个人信息保护法》第28条第1款。

[4] 《个人信息保护法》第28条第2款。

[5] 《个人信息保护法》第29条和第30条。

[6] 《民法典》第1032条。

[7] 在“庞先生诉某航空公司”一案中，二审法院明确指出：“在当今的大数据时代，信息的收集和匹配成本越来越低，原来单个的、孤立的、可以公示的个人信息一旦被收集、提取和综合，就完全可以与特定的个人相匹配，从而形成某一特定个人的详细而准确的整体信息。这些整体信息一旦被泄露扩散，任何人都将没有自己的私人空间，个人的隐私将遭到巨大威胁，任何他人未经权利人的允许，都不得扩散和不当利用能够指向特定个人的整体信息。”

[8] 北京互联网法院（2019）京0491民初16142号判决书。

[9] 《个人信息保护法》第4条、第73条第（四）项。

[10] 《个人信息保护法》第73条第（三）项。