伴随着中国移动互联网和大数据技术的快速发展，个人信息的滥用成为日益严重的社会问题。自《民法总则》第一百一十一条“自然人的个人信息受法律保护”之后，个人信息问题成为法学界备受关注的热点问题。2019年8月22日，《民法典人格权编（三审稿）》（三审稿）通过审议，其对个人信息的范围给出了详细定义，其它法规对此亦有某些相应规定。但是，对于该定义中个人信息尤其是间接个人信息问题，与实践中存在的问题相比较还有可讨论的空间，笔者尝试对其作一阐述。

一、现行法规中的个人信息涵义

根据《网络安全法》第七十六条以及《信息安全技术个人信息安全规范（GB/T35273-2017）》的规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息相结合识别自然人个人身份的各种信息。另根据《民法典人格权编（三审稿）》第六章第八百一十三条规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。

总结上述规定，当前我国法规对个人信息的定义如下：1.通过电子记录或者其他各种方式记录的相关信息，包括在个人数据中记录的个人信息。2.该信息具有可识别性，即能够通过该信息从而识别特定自然人的身份。可以看到，在个人信息的规定中具备可识别性是重要的构成要件之一。但现有的规定对“可识别性”的描述还较为笼统，即仅仅能够单独识别的个人信息或者通过结合其他信息可以识别特定自然人的各种信息都作为个人信息，并未做进一步的区分。在如今的实践中，无论是广泛应用的大数据技术还是未来的人工智能技术，都以采集、利用大量的个人信息作为技术发展的基础。个人信息本身的内容也十分丰富，不同的个人信息中包含的信息敏感程度大相径庭，侵害信息主体权益的可能性和范围也大不一样。如果对个人信息不加区分进行统一保护，毫无疑问将会阻碍数据的流通与利用，对促进科技未来的发展产生负面作用，不利于我国在当下技术竞争激烈的环境中保持领先地位，同时也不利于对个人合法权益的有效保护。

二、直接与间接个人信息的区分

可识别性作为个人信息最重要的特征，是个人信息的实质构成要素，因为该特性，相关的信息才能与特定的主体相联系，单纯的数据信息因此而具有了人身属性，同时亦为现在法规所着重规范。

用户日常使用互联网的过程中，会产生大量的信息，其中能够识别主体身份的信息才是个人信息。其中部分信息可以符合上述个人信息的定义，即特定信息可以直接地识别出特定自然人身份的个人信息，除此之外，也有大量的个人信息虽具有识别度，但不足以识别出特定的自然人主体身份。例如我们在使用一款手机上的App应用，里面除了会记录我们的电话号码、电子邮箱地址或工作单位等敏感信息以外，还有大量的信息并不具有直接可识别度的个人信息，这些间接个人信息例如：手机设备识别码（IMEI）、浏览记录、消费记录、行为记录或手机型号等。通过这些信息的部分组成，未必可以知道特定自然人的身份信息，但商业机构可以通过这些信息，同时结合其他信息绘制“用户画像”，从而推断出用户的个人喜好、行为偏好、消费能力或年度收入等要素，这些具体的“用户画像”在具体的场景里就具有了更大的商业应用价值。

由此，对于数据中可识别度不同的信息，以是否直接辨别特定自然人身份为标准，对个人信息进行分类。对于识别度高，无需结合其他信息就可以识别出特定自然人身份的信息可以定义为直接个人信息，这种信息往往直接包含着个人隐私信息，容易引发个人合法权益直接受到侵害；对于识别度较低，可以定义为间接个人信息，这类信息不会直接反应甚至不包含个人身份信息，无法识别特定自然人的身份，通常不会直接使得个人合法权益被侵害，也因为如此，现行法规对此通常未作特别保护。但是，这些间接个人信息之安全，同样需要法律的适当保护。其原因为，通过技术处理，在特定场景下这些间接个人信息具有很大的利用价值，例如通过结合其他信息的绑定和累积，从而可以塑造一个完整的“用户画像”进行个体分析的数据。此时，“用户画像”甚至很可能直接识别出用户身份，实质上具备了可识别性。因此，即使单个的“间接个人信息”不具备可识别性，但是各种间接个人信息结合起来以后，便具备侵犯个人信息权益（比如隐私泄露）的可能。因此，从保护个人信息权益角度出发，有必要对间接个人信息进行规制和保护。

三、区分间接个人信息的必要性

（一）对当前法规中个人信息保护的欠缺

根据最新的《民法典人格权编（三审稿）》对于个人信息的列举：姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码，在三审稿中又加入了电子邮箱地址和行踪地址，可以看出立法上对个人信息的定义仍旧是以识别特定自然人身份为导向，将直接个人信息即个人隐私信息作为法律保护主体，而对其他的个人信息监管还处在法律空白。但是在信息技术高速发展的新时代，现行法条难以穷尽所有个人隐私信息的枚举，难免导致法律保护不周的漏洞。我们认为，通过对个人信息种类的区分，基于类型化原则的法律规定，或可以对个人信息的范围和内容的界定更加完善。

（二）间接个人信息安全问题

一些网络平台通过对大量间接个人信息的收集，建立“用户画像”，相应企业可以以此将用户进行区分，在不同应用场景中取得不同的商业利益，导致间接个人信息安全问题日益严峻。例如，通过“用户画像”中不同人群的喜好，对不同人群投放广告实现精确营销；通过对用户某一平台的行为数据记录，在另一平台中根据其可能喜好的内容进行商品或服务的个性化推荐；甚至于有平台通过对用户消费行为的记录，判断用户的消费能力，对消费能力较高的用户制定较高的单价或者故意误导，实现精准的“大数据杀熟”行为。如果仅对直接个人信息加以法律保护，对间接个人信息不加以规制，可能使互联网企业滥用间接个人信息，也造成用户的个人不同合法权益受侵害。在2015年的“Cookie侵权第一案”中，网络用户朱烨起诉百度公司，称其擅自收集自己的网络行为数据进行跟踪并向其他网站分享，将自己的兴趣、爱好等个人特征暴露在网络中，以便其进行广告投放，侵犯其隐私权。在一审法院作出有利于朱烨的判决后，二审法院推翻了该判决，并认为朱烨在使用百度的服务浏览相关网页所产生的行为数据不属于其个人信息，基于该信息的算法分析而形成的精准投放不构成隐私权侵犯，该判决在当时引起轩然大波，加剧了一些互联网企业对间接个人信息的不正当使用。

（三）分类监管下科技创新与隐私保护的平衡

如何将间接个人信息的法律保护置于安全可控范围，此实质上涉及如何平衡个人信息隐私的保护与保障互联网企业科技创新，这也是近几年世界范围内争议较大的焦点。一方面，个人信息作为互联网时代的重要资源，对大数据产业的支撑，未来人工智能的发展都起着最基础的作用，如果对数据进行“一刀切”式的强监管，势必会阻碍未来科技的发展；另一方面，互联网企业对个人信息的采集与使用大大超出了应有的范围，对个人信息的滥用造成用户个人隐私的侵害现象已持续多年。通过对个人信息的可识别度区分，将直接个人信息纳入高强度的法律保护，对间接个人信息进行强度稍弱的行政监管，组成一个类型化、多层级的个人信息保护制度，则更有可能在个人信息保护与科技创新发展中寻找一个平衡点。

在欧盟《通用数据保护条例》（GDPR）中，对数据的分类界定十分严格，依据数据的人身敏感性将数据分为特殊个人数据和一般个人数据，特殊个人数据包括有关种族、政治倾向、宗教信仰、工会身份、基因数据、生物识别数据、涉及健康、性生活以及性取向的数据，除规定的例外情况外，特殊个人数据被完全禁止采集和使用，此外也对儿童数据的保护以进行了专门限制。而在日本的《个人信息保护法》中，虽然作出了与欧盟《通用数据保护条例》类似的区分，但与欧盟的完全禁止不同，日本的《个人信息保护法》通过对实现知情同意要求的不同程度实现区分保护，日本对知情同意原则的规定以“个人优先”和“产业优先”两种方向，规定了差异化的保护模式：将包括种族、信仰、社会身份、病历、犯罪经历、受害事实等具有个人敏感内容的特定个人信息，以“必须经过事先同意”的知情同意原则进行保护，而其他的一般个人信息则以限制滥用为原则进行保护，以此实现个人信息利益与信息产业发展的平衡，这种区分知情同意要求的保护模式也更值得我国借鉴。

四、完善间接个人信息保护的建议

如上文所述，随着科技的不断发展，众多科技企业对个人信息采集、使用的需求量也日益增长，建立和完善个人信息的保护制度显得更加紧迫。自从《民法总则》规定个人信息受法律保护之后，我国的个人信息保护制度逐渐成型，但也存在着个人信息种类区分不明确，保护模式“一刀切”的问题，且对间接个人信息的保护存在明显不足。

针对间接个人信息的保护，首先应当在法律规定中细化对个人信息的区分，明确间接个人信息的含义与范围，我国已在《网络安全法》《民法典人格权编》中采取了识别说的定义方式，则应继续以识别说作为区分标准，通过可识别度来进一步区分个人信息，而针对科技不断高速发展的现状，相较于直接个人信息概念+列举式的规定，对于间接个人信息的定义可以采取相对开放的方式，不再以列举的方式加以限定，即虽然不能单独直接识别特定主体，但结合其他信息可以知晓主体身份的任何个人信息都属于间接个人信息。

我国对间接个人信息的保护，应当先从信息主体对其个人信息的收集、使用的授权模式入手。鉴于当下的科技快速发展现状，如果采取欧盟的严格保护模式，对于特定类型信息直接禁止采集、使用，其他一般信息使用同一标准进行保护，虽然可以有力保障个人主体的信息权益，但也会严重阻碍科技的未来发展甚至科技企业的正常运转。因此为了使我国在相关领域保持领先位置，不宜完全采取欧盟《通用数据保护条例》中的做法，相较而言日本通过知情同意的区分保护对我国更具有可操作性，即针对直接个人信息保护采取“个人优先”的态度，采取事先明示同意的模式，加重其擅自采集、利用，违背信息主体意愿使用的法律责任，制定严格的保护标准，保障个人信息权益；而对于间接个人信息的保护应当考虑“产业发展”以限制其滥用为主，因为单一的间接个人信息往往存在识别性弱、信息零散化的问题，对其采集、使用不能都以明示同意作为必要条件，否则科技企业的使用成本将急剧上升。应当允许企业在明确告知信息主体对其间接个人信息的采集途径、使用方式和目的之后，使信息主体以概括式授权或者默示同意的方式授权其在声明的范围内使用，如果科技企业超出其事先声明的目的、方式使用其间接个人信息，或者通过大量间接个人数据综合分析到足以识别特定主体，则应转为直接个人信息明示同意的授权模式，否则应当承担擅自采集、使用个人信息的法律责任。

在对间接个人信息放宽知情同意要求的同时，还应有相应的限制措施：首先信息主体应当享有选择退出（Opt-Out）的权利，即随时可以撤回之前对于其信息收集、使用的授权；其次对于信息主体收集的间接个人信息，如果要分享给第三方使用，应当保障信息主体的知情同意权，不得擅自将间接个人信息跨平台分享给他人。

结语

在现行的中国立法和司法实践中，往往强调与个人隐私密切相关的直接个人信息保护，而对间接个人信息的概念界定、立法保护与研究则略显欠缺，由此容易在实践中使得互联网科技企业对网络行为数据等间接个人数据滥用，从而仍然对信息主体的权益造成实质侵犯。事实上，在2015年的“朱烨诉百度侵权案”中，因为间接个人信息缺乏明确的法律依据，从而使得法院在判决中认定网络行为数据不属于个人信息。本文在现行《网络安全法》《民法典人格权编（三审稿）》对个人信息规定的基础上，结合实际进一步探讨了在规定范围之外的其他一般个人信息，在可识别性的基础上，以该信息是否可以单独辨别特定自然人身份为标准将个人信息区分为直接个人信息与间接个人信息，并通过间接个人的区分，对个人信息定义的完善、间接个人信息的保护以及对科技创新与信息保护平衡的意义进行了简单讨论。在个人信息可识别度分类的理论基础上，可以进一步结合算法黑箱的问题，探讨由间接个人信息滥用所导致的侵害用户个人权益的问题，例如利用行为数据的采集通过算法模型分析的“大数据杀熟”，和用户对间接个人信息使用的知情权问题等。除了在可识别性的基础上，还可以根据个人信息的敏感度不同、是否公开、信息的主体身份不同做其他的区分，对个人信息种类做更深入的探讨。最后，还可以比较和借鉴欧盟《通用数据保护条例》、日本《个人信息保护法》等外域法律，总结相关监管经验，对直接个人信息和间接个人信息的分类提出不同的监管措施和建议，达到多层次、完善的个人信息保护制度。