个人信息的身份识别标准:源流、实践与反思

我国现行立法对个人信息的认定标准是能够识别特定自然人身份的“身份识别标准”。这种标准涵盖范围甚广,但却存在着以下问题:“可识别性”概念边界模糊、信息的识别区分度未被有效考虑、信息的结合性识别无法预判。在建立个人信息分类保护制度的前提下,针对不同的信息类型,单一的身份识别标准亦应当发展成一个差异化、动态调整的标准体系。应当建立个人信息分类保护制度,对不同类别的个人信息实行不同强度的外延式保护。对于目录内不同类型的个人信息,应当建立有一定差异性的认定程序,最终由主管部门发布个人信息分类目录,并定期进行动态调整;应当结合外延式保护及内涵式保护的进路,对不同类型的个人信息提供有层次的界定方式;应当通过执法和司法实践的不断归纳总结,结合技术专家的意见,形成更具操作性的界定标准,或者进一步形成临时性的参考清单。

超越身份识别标准——从侵犯公民个人信息罪出发

"身份识别"是界定个人信息范畴的一项主要标准。单纯依靠身份识别标准并不能解决与个人信息相关的所有法律问题。在刑事司法实践过程中,多数法官没有拘泥于身份识别标准,对《刑法》253条之一规定的"个人信息"给予了较为灵活的理解和适用。最高人民法院和最高人民检察院在2017年联合发布的司法解释,也同时承认了"身份识别"与"自活动情况"两项个人信息认定标准。但是身份识别标准在理论中很容易被泛化理解,在实践中亦有可能因为过于宽泛而失去实用价值。因此,身份识别标准需要司法部门予以进一步限定,从信息载体/内容、身份属性以及识别主体等角度作出细化规定。

论个人信息和个人隐私的界分——基于丁某玲与汪某奎隐私权纠纷案

《民法总则》将隐私权和个人信息规定为两种独立的法律客体。应当首先根据身份识别标准对个人信息进行界定,然后才能对隐私和个人信息进行区分。个人信息与数据并非同一事物,数据是个人信息的一种表现形式。文章认为个人信息与隐私权的区别需要结合具体案情具体分析。信息一旦公开便不再属于隐私权的保护范围。"社会容忍度"和"敏感信息"标准需要根据不同情境界定,二者内涵基本一致。