第四条 【个人信息的概念】

个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

【释义】

本条第1款是关于“个人信息”的界定，此款规定对此前我国相关立法规范中[12]的“个人信息”概念进行了重大改良，将个人信息的认定标准从“识别说”转向“关联说”。

我国此前主要采取“识别说”理论来界定“个人信息”，即只有相关信息能够直接或间接（与其他信息相结合）识别特定自然人，才被认定为个人信息。但我国《个人信息保护法》则采取了“关联说”理论，即只要相关信息与已识别或者可识别的自然人相关，就被认定为个人信息。其二者之间的认定逻辑存在本质区别：在此前的“识别说”规定中，是由信息“推至”个人，“识别”是对信息的限定，即只有通过目标信息能够识别出特定个人，才被认定为个人信息。而在本条规定的“关联说”中，则是由个人“推至”信息，“识别”是对个人的限定，即只要个人是明确而特定的——并不一定是通过目标信息识别的——则该目标信息如果与该个人相关，仍然会被认定为个人信息。

举个简单的例子，在“识别说”的场景下，即便同其他信息相结合，仅通过个人所使用的设备标识符（尽管其具有唯一性）也很难识别出该个人（简单来说就是不知道这个设备的使用者是谁），那么该设备标识符实际上就不可能称为个人信息。但在“关联说”的场景下，即便设备标识符本身并不能识别出（包括直接和间接）使用者，但如果该使用者是明确而特定的（具有特定的社会身份属性），则该设备标识符因与使用者存在关联性（曾经使用过），也会被认定为个人信息。

可见，本条确立的“关联说”远比此前沿用的“识别说”具有更广泛的个人信息保护范围。在理论上，现代社会的任何个人都是“已识别”或“可识别的”（如通过身份管理制度），那么所有与该个人相关的信息都将被认定为个人信息。这是个人信息处理者需要特别注意的一点，《个人信息保护法》语境下的个人信息不再仅仅强调信息本身的“识别性”，而是关注与个人之间的“关联性”。

此次我国《个人信息保护法》对于“个人信息”概念的调整无疑扩大了以往个人信息保护的范围，强化了个人信息保护力度。这一举措也与国际个人信息保护的实践趋势保持一致[13]，更有利于保障我国公民的个人信息相关合法权益。

此外，个人信息处理者还需要关注个人信息的法定表现形式，本条基本沿用了我国此前相关立法规范中的规定，明确个人信息包括“电子或者其他方式”，这意味着个人信息的范围不仅仅局限于以二进制代码为表征的数据电文等形式，还囊括了传统资料文档等非电子形式。对于各种形式的个人信息，信息处理者都需要附加必要的保护注意义务，采取对应相关信息形式的保护措施（例如封装）。

同时，本条对“个人信息”的范围也进行了除外规定，明确“匿名化处理后的信息”不属于个人信息[14]。根据《个人信息保护法》附则第73条第4项的规定，匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。据此，我国的“匿名化”强调两个关键要素：一是“无法识别”；二是“不能复原”。所谓“无法识别”，是指采取特定的技术措施“割裂”信息与个人之间的关联性，使其不再具有法定的个人信息认定属性，不再属于个人信息，并“豁免”适用相关保护规则。而所谓“不能复原”，是指匿名化信息需要维持这种“不可识别”的状态，并无法逆转地改变这种状态。

需要注意的是，尽管本条中没有进行特别说明，但匿名化信息的“不可识别性”和“不可复原性”应被理解为针对不特定的个人信息处理者，即成功的匿名化过程应保证任何人都不能借助匿名化信息识别该特定个人。

本条第2款是关于“个人信息处理”的界定，这一定义是对所有涉及个人信息“利用活动”的概括式规定，包括对个人信息的“收集、存储、使用、加工、传输、提供、公开、删除等”，涵盖了个人信息的整个生命周期[15]。可以认为，我国《个人信息保护法》规范下的个人信息处理是一种“行为”或“活动”的集合。这种概括式的界定增加了概念本身的“弹性”，使个人信息保护规则在表述更为精练的同时，提升了可适用性和可解释性。同此前的二审稿相比，本条增加了关于“删除”的明确规定，使个人信息处理活动的范围更为周延，对于在个人信息保护实践中广泛出现的“不当删除”、“不便删除”、“怠于删除”和“无效删除”等侵犯个人信息权益的行为，将起到更为有效的规制效果。

【关联规定】

《中华人民共和国民法典》第1034条，《中华人民共和国网络安全法》第76条，《电信和互联网用户个人信息保护规定》第4条，《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第1条，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条

（撰稿人：马宁）