基于可识别性标准对网购消费者个人信息权益保护范围的认定
基金项目：青海民族大学研究生创新项目 
全称：基于可识别性标准对网购消费者个人信息权益保护范围的认定 编号：04M2023090

陈　悦

作者简介：
陈悦（1997—），女，湖北宜昌人，汉族，青海民族大学法学院 2021 级硕士研究生，研究方向：民商法

    【摘要】个人信息的内涵范围及其类型化问题是个人信息保护理论的关键课题，我国对于个人信息的界定在规范和理论上尚未达成统一。网购消费者个人信息属于电子商务领域中的特殊类个人信息，在数字经济时代，传统的“可识别性标准”在应用中存在一些操作上的难题，无法适应数字经济的飞速发展。为了跨越个人信息范围界定理论的局限性，有必要从识别标准入手，将传统的“可识别”标准转向动态场景化的“可识别”标准。这种转变可以帮助我们优化网购消费者个人信息的内涵、外延和分类规则，更好地界定网购消费者个人信息的范围。
    【关键词】网购消费者个人信息；个人信息保护法；可识别性标准；个人信息
一、问题的提出
    在建立个人信息保护法律制度的基础上，确立、全面且科学地界定个人信息的内涵和范围至关重要。在数字经济时代，个人信息的覆盖范围不断扩展，个人信息保护也面临着更加复杂的环境。特别是在电子商务和互联网领域，网购消费者的个人信息具有可识别性强、泄露危害大和商业价值高这些明显的特征，因此更容易受到侵犯。尽管《个人信息保护法》第 4 条采用了“定义 + 列举”的模式旨在解决个人信息适用的问题，但在具体实践中仍存在个人信息保护范畴过于广泛的操作难题，阻碍了信息的交互和流通。在规范层面，我国目前仅将个人信息作为法益对待，而这种单一的行为规制模式难以为个人信息提供有效的保护，也难以为司法裁量提供基础。
二、我国立法对个人信息含义界定之变迁
    通过对现行有效规范性文件的梳理和学者观点的综合分析，得出结论，界定个人信息含义的两个核心要素是“识别性”和“关联性”。相对于“关联性”，学界更多关注和讨论的是“识别性”，并在这一要素上存在较多争议。在这方面，齐爱民、高富平、张新宝、刘德良、叶名怡等多数学者都采用了“识别性”要素来界定个人信息的概念。具体而言，“识别性”包括两个方面，即“已识别”和“可识别”，其中，“已识别”是“可识别”的结果。“识别性”的最新规范表现在《民法典》和《个人信息保护法》中，根据《民法典》第 1034 条第 2 款的规定，该定义中对于“个人信息”内涵的核心要点是指出个人信息是通过电子或其他记录方式保存的，能够独立或与其他信息结合起来用于识别特定自然人的各种信息。2021 年 11 月 1 日颁布的《个人信息保护法》第 4 条明确了个人信息的内涵外延，第 5 条、35 条规定了适用范围。
    尽管大多数学者普遍认同将“识别性”作为个人信息认定的要素，但也有不少学者认为识别性标准在实际应用中存在问题，并寻求对识别性的合理解释。通过采用识别性标准来确定个人信息的范围，可能导致保护范围的过度扩大，因为并非所有个人信息都具备需要严格保护的价值。此外，识别性标准会排除一些新型数据信息，例如cookie、IP 地址等。为了解决传统可识别性标准所带来的法律实施困难，综合学者们主张的基本趋势是在动态场景理念下对个人信息进行保护。在这一指导理念下，我们需要对个人信息的概念进行明确定义并赋予适当的可识别性标准，以适应不断变化的技术和社会环境。
三、从单一可识别标准转向动态场景可识别标准的原因
    通过梳理我国立法对个人信息含义界定之变迁，可以发现我国采取的是可识别性方法定义个人信息，这一界定方式能够应对和解决传统时代的个人信息保护问题，然而在数字经济时代，传统个人信息界定的可识别性标准面临着诸多困境。
    1. 单一可识别性标准给网购消费者个人信息界定带来操作难题
    在数字经济时代，侵犯网购消费者个人信息的方式打破了传统的可识别性界限。网购消费者的个人信息范围广泛，包括但不限于基本信息、账户信息、社会关系信息、网络行为信息等。这些信息的深入挖掘可以揭示更丰富的内容，如个人能力、性格特征和社交范围等等。这导致个人信息中可以被识别的内容不断增加，随之个人信息保护的范围不断拓展。传统的线下消费者受限于技术条件，使经营者不太容易获取他们的个人信息。然而在大数据时代，网购消费者的个人信息被平台经营者通过信息算法秘密收集统计分析形成用户画像，之后利用此类个人信息通过广告推送、定向营销，甚至被泄露和倒卖，侵犯了网购消费者的合法权益。网购消费者个人信息的特点在于其具有动态性和场景性，而传统的界定标准已经不再适用，这对司法认定造成了困扰和挑战，同时也让平台和经营者在匿名化处理方面陷入了困境。
    2. 网购消费者个人信息分类规则单一
    分类化是对个人信息保护的重要方法，具有针对性、具体性和差异性的特点。目前在我国的现行立法中，主要采用二分法对个人信息进行分类，将其根据信息的程度分为一般信息和敏感信息两类。学术界通常采用两种方法对个人信息进行分类。首先，从识别的角度，将个人信息分为直接个人信息和间接个人信息。其次，从内容的角度，将个人信息分为个人特征信息和一般个人信息。这些分类方法对于个人信息的管理和保护提供了一定的指导和依据。在进行网购消费时，消费者可能向网络经营者或第三方平台透露多种不同类型的个人信息，例如消费偏好、身高体重、婚姻状况、健康状况等。仅仅以上分类是不够全面的，我们可以参考学者的观点，根据个人信息与网购消费者主体之间的关联程度，进一步将个人信息分为区分性信息、联络性信息和关联性信息三类，并采取不同的保护强度。这样的分类能够考虑到网购消费者个人信息的特点，有助于制定个性化的保护策略。
    3. 敏感个人信息界定标准难以应对网购领域的复杂性
    根据《个人信息保护法》第 28 条第 1 款的规定，敏感个人信息的界定采用了 " 概括加列举 " 的方式，这种表述仍然相对笼统，仅仅从 7 个静态角度来识别敏感个人信息的方法存在一些不足，无法充分反映动态条件变化的情况。因此，对于是否属于敏感个人信息需要进行具体的判断，方能更准确地确定敏感个人信息，以应对不断变化的信息泄露风险和保护需求。另外，从《个人信息保护法》第 28 条第 2 款的描述中可以明确处理敏感个人信息的前提，即必须具备“特定目的”“充分必要”以及“严格保护措施”。这表明我国在处理敏感个人信息时没有单独规定处理敏感个人信息的例外规定，而是统一适用于一般个人信息保护的例外适用条款，这种处理方式会对敏感个人信息的使用和特殊保护产生影响。
四、转向动态场景可识别性标准下网购消费者个人信息范围界定的优化
    随着信息技术的迅速发展，个人信息的价值和敏感性愈发凸显，为了优化对网购消费者个人信息的保护范围，需寻求新的理论观点和方法在个人信息概念界定方面进行突破，制定动态调节机制规范，进一步明确阐述网购消费者个人信息的内涵、外延和保护要求。
    1. 网购消费者个人信息内涵规则的优化
    第一，需对网购消费者个人信息的概念进行明确。明确的概念可以帮助我们识别何为网购消费者个人信息，以便采取适当的措施来保护其安全性。作为电子商务和互联网领域的特殊个人信息，目前法律对其概念并没有具体明确。通过分析当前相关法律对个人信息的定义，本文总结出网购消费者个人信息的概念：网购消费者个人信息是指消费者通过网络购物平台，在购物全过程中向平台、经营者及相关第三方提供具有个性化信息的内容，包括可视化数据信息和潜在的数据信息。具体表现为消费者个人基本信息、地址、联系方式等，以及购物记录、消费习惯、购物偏好、收入状况等经过平台数据化后产生的信息。
    第二，需对网购消费者个人信息的界定采用抽象定义和不完全列举的方式。通过抽象定义，我们可以确立网购消费者个人信息的一般性特征，例如与身份识别、交易行为和消费偏好相关的信息。通过不完全列举，可以提供一些具体的示例，如姓名、电话号码、电子邮件地址、购买记录等。这种方式兼顾了概括性和具体性，既提供了对个人信息的广义理解，又给出了一些常见的具体例子，以便更好地理解和应用。此外，通过前述方式明确界定存在争议的信息可以引起相关讨论，针对新技术背景下网购消费者个人信息保护的问题得到有效解决。
    2. 网购消费者个人信息外延规则的细化
    将直接可识别个人身份和与其他信息结合后能够识别个人身份的个人信息纳入网购消费者个人信息的保护范围中。鉴于可识别的网购消费者个人信息范围不断扩大，建议通过注册登记个人信息后方可购买商品的直接可识别个人信息，以及结合网购消费者的购买喜好和频率等信息进行识别的个人信息均纳入保护范围。此外，对于那些经过匿名化和去标识化处理后无法确定网购消费者个人身份的信息，可以考虑对其实施较为宽松的法律规制，或者放宽对平台和商家收集使用该信息的限制。但考虑到当前的技术情况，单纯要求匿名化将严重阻碍信息的流通和利用。针对这一问题，可以探索采用适当的技术和控制措施，以确保经过匿名化和去标识化处理的信息在使用和处理过程中仍然能够保持较高的安全性。虽然完全的匿名化可能难以实现，但可以借助信息最小化原则和高级加密技术等手段，有效降低信息被识别和关联的风险。
    3. 网购消费者个人信息分类规则的强化
    前已述及，《个人信息保护法》应精细化地区分个人信息的不同类型，对其有针对性地制定不同保护规则，从而实现信息安全与信息利用之间的平衡。
    首先，可以通过采用“定义 + 列举”方式和增加场景因素来界定网购消费者敏感个人信息。除了法律明文列举的敏感个人信息外，结合不同的信息处理情境和目的，在具体个案中，特定机构（例如法院）可以判断某些信息是否属于敏感个人信息。针对网购消费领域，可以将消费者的地理位置信息、交易记录、消费习惯、设备和浏览器信息等列为敏感个人信息。其次，《个人信息保护法》应遵守敏感个人信息的禁止处理原则，明确例外情形。《个人信息保护法》采用了“可处理 + 特定限制条件”的方式，即个人信息处理原则上应受到禁止处理的限制，但存在个别例外情形需要得到许可，我国《个人信息保护法》可以借鉴欧盟 GDPR 中采用的“原则性禁止 + 例外情形”的方法，在其中明确列举限制个人信息处理的例外情形。
五、结语
    网购消费者个人信息属于数字经济时代加速发展下的产物，传统个人信息的“可识别性标准”存在操作难题，难以满足数字经济的高速发展。转化为动态场景化可识别标准，超越了传统固定思维模式，是一种在特定场景中综合考虑多个因素，用以全面评价网购消费者的个人信息，在一定程度上缓解了个人信息界定的不确定性。在场景融入路径的基础上对网购消费者个人信息的内涵、外延、分类提出优化建议，逐步加强对网购消费者个人信息保护范围的界定，促进个人信息有效保护与合理利用的平衡。
参考文献
[1] 王秀哲 . 大数据时代个人信息法律保护制度之重构 [J]. 法学论坛，2018,33(6):115-125.
[2] 齐爱民，张哲 . 识别与再识别：个人信息的概念界定与立法选择 [J]. 重庆大学学报（社会科学版），2018,24(2):119-131.
[3] 廖宇羿 . 我国个人信息保护范围界定——兼论个人信息与个人隐私的区分 [J]. 社会科学研究，2016(2):70-76.
[4] 高志宏 . 数字经济时代个人信息的识别标准及规范续造 [J]. 社会科学辑刊，2023(2):68-77.
[5] 丁晓东 . 用户画像、个性化推荐与个人信息保护 [J]. 环球法律评论，2019,41(5):82-96.