4月13日，为协同多方共同推动金融个人信息保护与网络黑灰产治理工作，由中国社会科学院大学互联网法治研究中心主办的“金融个人信息保护与黑灰产治理”研讨会在北京举办。

360数科信息安全专家吴业超指出，互联网金融行业的信息是共通的，这也导致一旦某第三方机构用户信息泄露，整个行业的企业都将受其影响。而反诈信息预警平台的建立将帮助行业更好的解决信息泄露的问题。他呼吁行业共建信息分享平台，互通最新和典型反诈案例，共同维护安全的网络信息环境。

未来个保法对个人信息的定义或将采取“宽进严出”的态度

当前，传统犯罪加速向网络空间蔓延，公民因购物记录泄露遭遇的退款诈骗、软件非法收集个人信息的情况普遍发生。随着《网络安全法》《民法典》的实施，以及《个人信息保护法》草案的公布，个人信息保护的体系正在逐渐完善和加强。

值得注意的是，关于个人信息的含义，不同的法规标准中存在不同的定义。这引起法学界、实务界的关注和讨论。

在《民法典》中，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证号、生物识别信息、电话号码、健康信息、行踪信息等。

在《网络安全法》中，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证号、个人生物识别信息、电话号码等。

在上述两种定义中，“身份”和“特定自然人”是一个概念吗？

北京互联网法院综合审判三庭庭长孙铭溪表示，一般来讲，《网络安全法》中定义的个人信息要求能够达到对个人一定程度上社会身份的识别，比如某个手机号背后的使用者是张三；而按照《民法典》的理解，只需要确认手机号背后是一个自然人即可。

此外，有观点认为，个人信息的认定是动态可调节的，并不是说只要信息可关联或可识别身份或自然人，就能认定为个人信息。

3月19日，国家互联网信息办副主任杨小伟透露《个人信息保护法》正在加紧制定出台中。在此前公开的草案中规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

在孙铭溪看来，未来《个人信息保护法》对个人信息的定义将采取“宽进严出”的态度，对个人信息范围限定得比较大。这意味着判定信息是否属于个人信息，可能在不同的场景中得到不同的认定结果。

隐私是动态变化的，就像“流动的水”

除了对个人信息的定义存在争论，“隐私信息”与“敏感个人信息”之间的关系也引起广泛讨论。

通常，大家认为个人活动轨迹、活动情况属于隐私范围，而有人认为，这些信息同时属于个人信息的范畴。“这就涉及到个人信息和隐私的交叉包含关系的问题，也是司法实践中需要解决的问题。”孙铭溪强调。

《民法典》中规定，隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。在《个人信息保护法》草案中并没有隐私信息或私密信息的概念，而是引入了个人信息、敏感个人信息的概念。

值得思考的是，私密信息和敏感个人信息是一个概念吗？

孙铭溪认为，隐私信息的动态性更强，就像“流动的水”。有时候一般的个人信息在特定情况下会构成隐私，而有时候，被公开的个人信息虽然属于敏感信息的范畴，却不再构成隐私。所以在司法判例中，隐私的侵权认定基本上是结合具体使用场景来判断的。

敏感个人信息主要是从国家安全、规范（使用）的角度来衡量。从收集、使用到存储、共享等需要采取高于一般信息的保护标准的信息，就需要纳入到敏感信息中。

对于如何区分隐私信息，孙铭溪建议，在互联网场景下，首先是大家具有共识的一些信息如性取向、基因信息、疾病史、未公开的违法犯罪记录等属于隐私信息。

其次，人们对隐私保护的意识和期待不同，有的喜欢互联网的便利，对隐私的期待更开放，倾向于分享更多的信息；而有的隐私意识则较强。所以，不能“一刀切”将信息划入隐私的范畴，而需根据具体产品使用个人信息的情况，以及个人的意愿，在个案中判断是否构成隐私信息。

文/南都个人信息保护课题组 尤一炜

编辑：蒋琳