得益于信息處理技術的不斷發展和成熟，個人信息的法律概念在20世紀70年代首次出現。如今，40年已經過去，個人信息保護立法在全球范圍內蓬勃發展，與此同時，信息技術也有了長足進步，人類社會逐步邁入大數據時代。在這種巨大的技術變革過程中，如何始終保持個人信息保護與信息資源優化配置之間的和諧關系，是我國當下建構個人信息保護法律規范時應重點考量的問題，而一個準確、清晰的個人信息保護范圍，將是解決問題的關鍵所在。

　　現行法對于個人信息保護范圍的界定標準

　　通過綜合對比我國網絡安全法、歐盟《一般數據保護條例》、德國《聯邦數據保護法》、英國《數據保護法》等世界主要國家的個人信息保護法律規范，可以從中提煉出三個方面具有共通性的界定標準：

　　一是與信息主體的相關性。所謂與信息主體具有相關性的信息，主要包括三類：（1）信息源自于對信息主體生物特征或社會屬性的描述，如姓名、年齡、種族、健康情況、工作履歷等均屬此類；（2）信息被主要用于對信息主體的行為或其他狀況進行評價，以財產狀況、信用記錄等為典型代表；（3）信息內容能夠使信息主體與他人相互區別，如行蹤軌跡信息，即屬此類。

　　二是對信息主體身份的識別性。個人信息保護制度的核心目的在于對信息主體權益的保護，因此只有當某項信息能夠對具體個人的利益產生實質影響時，方才具有受法律保護的價值和必要，這決定了身份的可識別性在個人信息法律概念中的基礎性地位。其中，根據特定信息是否需要與其他信息相互結合方可對信息主體身份進行識別，信息的可識別性又分為直接識別與間接識別兩類。

　　三是信息的系統化處理。所謂系統化處理，是指信息控制者采用一定方式對收集到的個人信息進行記載，并通過必要的整理和編排，使之可以通過結構化方法進行查詢、檢索或用作他途。如果某項信息只是以無規律的零散形式進行存儲，那么即使其符合個人信息的相關性和識別性標準，也不能被視為個人信息。

　　大數據技術對現行個人信息保護范圍判斷標準的挑戰

　　在信息技術環境經歷如此巨大變遷的過程中，既有個人信息范圍的界定方法面臨嚴峻挑戰，有必要作出調整。

　　一是大數據技術所引發個人信息類型膨脹。大數據技術的出現，標志著人類社會的信息化程度達到了一個新的高度，在此種技術條件下，若依然采取現行的“三要素”判斷標準，將可能使個人信息保護的范圍迅速擴張。具體來說，此種變化主要來源于以下兩方面：

　　其一，信息的數字化程度大幅提升。大數據技術的發展，使得以數字化方式收集和存儲信息的限制被一一突破，通過各類先進的傳感技術，包括語言、圖像、聲音、地理位置、行為習慣、人際關系，甚至味覺、觸覺、情緒等各種信息，都已經可以被轉化為數字形態進行存儲和使用。再加之信息存儲成本的大幅降低，對于信息隨時、全面的記錄逐漸成為一種常態，信息主體所蘊含的信息儲量正被不斷發掘?？偠灾?，在大數據時代，信息的全面數字化已成為一種現實，而其直接后果就是與個人具有相關性的信息數量大幅增加。

　　其二，大數據技術強大的信息系統化處理能力，使得信息控制者對于信息的檢索、提取和整合能力，在信息數量和類型均大幅提升的情況下不降反升，而藉由更加靈活、便利的信息整合架構，很多原本看似毫不相關的信息將可能在交叉關聯后獲得新生，信息對于個人身份的間接識別幾率因此大增。

　　二是現行個人信息保護范圍判斷標準有調整必要。根據唯物辯證法，量的持續積累將引發質的改變。當大數據技術的發展，使得符合三要素判斷標準的個人信息數量不斷激增時，既有法律規范在相關主體之間創造的權利義務平衡關系，也將可能因此受到影響，并對立法目標的實現造成阻礙。

　　信息控制者對于個人信息的收集、使用及其他處理行為，必須在信息主體的知情和同意的情況下進行，已經成為全球個人信息保護法律制度中的通行原則，同時也是對個人信息進行保護的最低要求。誠然，嚴格的同意標準能夠在理論上給予信息主體更為全面的保護，但是，隨著個人信息數量和類型的不斷增長，信息主體想要全面了解各類個人信息，并對其的合理使用作出準確判斷已非易事，為此消耗的成本甚至會促使信息主體放棄慎重考慮的機會，而草率地同意他人提出的信息收集和使用要求。事實上，在現實生活中，同意機制正在逐漸成為信息收集者豁免法律責任的工具，面對著內容日趨繁復龐雜的授權條款，信息主體作出有意義的選擇的機會正在逐漸減少。

　　總而言之，在大數據時代背景下，現行的“三要素”判斷標準如同一張網眼過密的網，將過多的信息納入到了個人信息保護的范疇之內，在此種情況下，如果不加篩選地對所有這些個人信息執行統一的保護規則，將可能大幅提高相關主體的守法成本，并對信息資源的有效使用造成不必要的阻礙。

　　對個人信息保護范圍判斷標準的改進

　　在大數據技術逐漸普及的情況下，既有個人信息范圍界定方法已經略顯粗糙，過于寬泛的保護范圍和依舊嚴格的保護規則，難以使保護個人尊嚴與優化信息資源配置這兩大價值目標達致均衡狀態。為解決這一問題，筆者認為，在判斷某項信息是否屬于應受法律保護的個人信息時，除了需要符合既有個人信息判斷的“三要素”外，還應對以下要素進行重點考量：

　　一是信息的自身屬性。（1）特定信息對于信息主體利益的影響程度。對于那些對信息主體的切身利益可能產生直接影響的信息類型，法律理應給予最為嚴密的保護。其中主要包括：涉及信息主體隱私的信息；一旦泄露就可能使信息主體的切身利益面臨重大風險的敏感個人信息等等。（2）個人信息所處之狀態。一般認為，如果某項個人信息已被信息主體主動公示，并使之處于公開可獲得狀態，那么其默示的同意表示將使法律對其的保護程度相應降低，信息控制者可以相對自由地收集和使用此等信息。（3）個人信息上附著的主體利益。在某些符合個人信息構成要件的信息之上，也可能同時存在著多方主體的正當利益需求，對于此類個人信息，應充分考量各方主體對信息的利益需求，以求實現信息主體人格保護與信息自由的平衡關系。

　　二是信息控制者對于個人信息的識別能力。在大數據技術條件下，絕對的匿名化信息已經難覓蹤影，但理論上的可行性并不代表著現實中的可操作性，不同信息控制者對于相同信息的識別能力千差萬別。有必要將特定信息控制者的信息識別能力，作為個人信息保護程度的考量要素之一。只有當信息控制者能夠以合理的成本，根據特定信息對其主體的身份進行識別時，該信息才可能真正發揮個人信息的功效，從而受到法律相應的保護。

　　三是個人信息的用途。誠如美國數據庫技術專家杰克·奧爾森所言，信息的價值在于它的用途而并不取決于其本身。因此，對于某項信息是否屬于應受法律保護的個人信息范疇，也應從“信息用途與信息主體之間的關系”這一角度出發進行考量，否則僅憑“信息”本身屬性就作出判斷，難免有些教條。例如，當對某項個人信息的收集和使用系保護公共利益所必須，那么信息主體的權利范圍理應進行必要的減讓。

　　四是信息主體的身份。信息主體的身份在特定情況下，也可能成為界定個人信息保護范圍的重要依據，其中又以未成年人的身份最為特殊。首先，對于未成年人個人信息的收集，必須獲得其監護人的明確同意；其次，監護人應有權對未成年人提供其個人信息的行為進行糾正；再次，在特定的情況下，應賦予監護人對未成年人的某些個人信息，如在學校的行為記錄、對有害信息網站的訪問歷史等進行查看。

　　不容否認，考量要素的增多會為個人信息的范圍界定增加變數，使之存在一定的不確定性。但是，在大數據時代，信息的法律屬性和使用方式時刻發生變化，個人信息保護與其他權利的行使之間時常存在交叉，想要通過立法途徑徹底消除矛盾已不現實，倒不如轉變立法功能，將其轉化為化解糾紛的分析工具，從方法論而非結論角度給予個人信息以持續性的保護。

　　作者單位：中國社會科學院法學研究所

責任編輯：韓希宇