大数据时代个人信息的法释义学分析
——以《民法典》“个人信息”的概念为中心

席 斌 汪渊智

(山西大学，山西 太原 030006)

一、引言

大数据开启了重大的时代转型，对大数据的掌握程度可以转化为经济价值的来源并撼动了世界的方方面面。[1]信息作为大数据的重要因子，对产业经济、科学发展和商业利益做出巨大贡献的同时，也因其规模的快速膨胀及价值性的特征，而提高了被不当披露、盗用的风险，特别是有关信息的安全、权利、秩序等问题愈加凸显，需要对信息进行治理。[2]2020年5月28日，十三届全国人大三次会议通过了《中华人民共和国民法典》(下称“《民法典》”)，其人格权编专章规定了“隐私权与个人信息保护”，在原《民法总则》的基础上对个人信息进一步作了界定并在私法上设定了个人信息的收集、处理规则。就个人信息的概念，《民法典》第1034条第1款规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。”从形式上看，这一界定方式从内涵到外延整体上是清晰的。但是，大数据时代信息快速聚合导致个人信息的边界日渐扩大，相对性、流动性以及结合识别本身的不确定性，使得个人信息成为一种“不确定的法律概念”。个人信息保护的逻辑基础应是对个人信息准确理解并划定其范围，故如何界定个人信息既是法释义学的任务，也是法律适用的要求。依赖合理的解释路径，才能减少个人信息保护争端，增进个人信息使用效率，维护人格尊严与人格利益。

二、对《民法典》个人信息进行解释的必要性

法谚有云：“法无解释，不得适用”。在私法领域内，个人信息是一个新的概念，尚需一个逐步理解的过程。能否合理解释个人信息、平衡关联的价值冲突对于《民法典》的适用是非常必要的。

(一)民法典时代民事法律制度适用的基本前提

“个人信息”不是《民法典》原生的法律概念，它存在于我国不同的法律部门，也存在着不同的外延表述。不同法律规范对同一概念，可以给出不同的解释、配置不同的权利义务并应遵循着不同的制度逻辑。[3]为因应大数据时代的新挑战，《民法典》将个人信息作为一种新的人格利益进行保护具有重大意义。而在法律规范构成要件内，对“个人信息”这个核心概念进行解释是激活《民法典》适用的“启动键”。《民法典》对个人信息的概念界定遵循着这样一种逻辑：一般法律概念，在概念中应指出其本质特征；对于抽象的法律概念，还应当列明其典型类型；这是实现法律确定性并为社会民众提供相应预期的重要方式。[4]法律适用需要建立在以概念界定为前提的规范构成要件的确定性基础之上。裁判者通过法释义学将作为大前提的法律规范适用到具体的案件当中，当一个待决案件摆放在裁判者面前时，首先做出反应的是事实上已经融为裁判者“常识”的基本涵摄关系。[5]在处理个人信息侵害的具体案件纠纷中，演绎推理的过程必须基于裁判者对法律规范的准确认知，并洞察每一个核心概念的真义。《民法典》对个人信息采行“概要性加示例性”的概念界定方式，似为一种常见且相对周延的做法，但仍未解决其内涵及外延的模糊性问题。作为民事权利基本法，《民法典》如果对个人信息的基本构成要素界定不清、个人信息保护规则除外适用不明，恐将造成未来法律适用上的极大困扰。

(二)大数据时代消弭个人信息不确定性的必然要求

大数据时代，技术本身的不可预测性及其适用环境的复杂性导致了“个人信息”法律概念的不确定性。“不确定性”之一表现为个人信息具有流动性。得益于科技进步，特别是人工智能及其算法技术的应用，使得原先无法想象的信息均可能单独或者与其他信息结合识别出特定个人，比如人类基因、人脸、虹膜、活动轨迹等，故个人信息的范围始终是动态拓展的。[6]这种流动性使我们对个人信息的认识往往会滞后于社会现实。“不确定性”之二表现为个人信息具有相对性。每个人因其与信息主体的亲疏远近、地缘关系、所从事的职业、拥有的技术及认知能力有所差异，对个人信息的识别必然有所差异，某一笔信息对甲而言属于个人信息，而对乙而言并不当然都成个人信息，它是一个高度依赖于语境的概念。个人信息在部分条件下不具备可识别性，并不意味着在所有条件下都不具备识别能力，更何况信息业者的信息资源及识别特定个人潜在技术的可能性又是无法判断的。[7]“不确定性”之三表现为“与其他信息结合识别特定自然人”表述的含混性。鉴于部分单一信息识别出特定个人的能力有限，但若与其他信息组合、比照也可还原出特定个人，《民法典》将这种“可间接识别”的个人信息作为调整对象实有必要。但这一标准过于抽象，该种识别应当如何判断、以谁的标准判断多有争论。同时，这样的规定也难以穷尽大数据时代极大丰富的信息类型。[8]故个人信息的流动性、相对性、含混性使个人信息成为了一个不确定的法律概念。这或许是一个技术问题，但为消弥“不确定性”对法安定性的冲击，对个人信息的构成、范围及保护规则的除外适用等内容尽可能地进行解释应属必要。

(三)信息保护立法潮流下平衡价值冲突的重要方式

个人信息保护立法已成为普遍的国际趋势。从世界主要国家(地区)的立法目的来看，因应科技快速发展及全球化对于个人信息保护的新挑战，保障个人的基本权利并促进个人信息的自由流通已经成为立法的共识。(1)参见OECD《隐私保护与个人数据跨境流通指南》前言部分、APEC《隐私保护纲领》前言部分、欧盟《统一数据保护条例(GDPR)》鉴于条款第3段及第6段、我国台湾地区《个人资料保护法》第1条，等等。换言之，大数据应用本质上系追求信息开发的价值最大化，而个人信息保护的最终目的在于保障个人对于个人信息的自主控制，这两者价值各异，然倘若这两者价值间产生交错时，孰轻孰重就会产生价值的衡量问题。同时，公民的基本权利和自由中，多项权利和自由可能会对隐私权以及个人信息保护的权利产生冲突，例如言论和信息自由、艺术和科学自由、查阅信息的权利，以及例如保障人身自由和安全的权利，思想、良知和宗教自由、开展业务的自由、财产权、有效救济和公平审判的权利，以及无罪推定和辩护权。(2)See Article 29 - Data Protection Working Party. (2014) Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC.844/14/EN WP 217.故如何衡平权利和自由的价值冲突对于当前个人信息保护立法乃至法律解释而言也是一个不小的挑战：如果对个人信息的范围从宽解释，则人民的各项行为将被大幅度纳入到法律制度的保护网络之中，个人人格保护与前述各种价值的冲突将会白热化，更将转化为一种繁琐且不可行的规则[9]；如果从窄解释，则人民的权益又自始无法获得充分的法律保护。合理解释个人信息保护边界的目的和动机应包括平衡上述各类价值之间的利益冲突，使得最大限度发挥《民法典》作为民事权益保障基本法的功效。

三、《民法典》个人信息的解释标准及路径

《民法典》所保护的个人信息须以“特定个人识别”为解释标准，无法识别个人的信息不会产生权益保护的问题。对个人信息的概念进行解释，应在符合基本构成要素的前提下，从宽解释个人信息的范围，经特定法益权衡后对无必要受法律保护的个人信息排除法典保护规则的适用。

(一)“特定个人识别”解释标准的源流与确证

身份识别标准大约形成于上世纪六十年代，并由学者从隐私与行为研究的角度提出，认为数据如果能够识别个人身份，对其获取及研究应当征得当事人的同意并主张匿名化是数据进行处理的主要措施。受“水门”事件影响，美国日益重视自动化信息科技所带来的风险及相应的权益保障。1972年，由当时的健康、教育与福利部成立了自动化个人数据系统咨询委员会，该委员会于1973年出台了《记录、电脑与公民权利》的报告(下称《1973年报告》)。该报告标志着隐私保护领域内的“特定个人识别标准”的形成。同时，这一报告也直接促成了美国1974年《家庭教育权利和隐私法案》的出台，法案沿袭了《1973年报告》确定的识别标准并加以细化。《1973年报告》确定的“特定个人识别标准”是指“自然个体的个人隐私受到一份记录中与其相关之可识别信息的披露与运用的直接影响。一份记录如包含可识别形式之有关个人的信息，就必须受这样一种程序约束：赋予该个体参与程序以决定记录内容为何、如何披露与使用其中的可识别信息。”[7]基于上述两个文件，美国后来的理论及立法发展基本都沿着隐私权的进路来展开对个人信息的保护，将个人识别信息(Personal Identifiable Information ，简称PII)视为隐私权保护的“触发器”，并被誉为个人信息与隐私保护领域的“重大里程碑”。[9]

不同于美国对个人信息的隐私权保护进路，德国以“信息自决权”为理论基础率先在世界范围内展开了个人数据保护的立法活动。(3)欧盟法固定使用个人数据(Personal Data)的表述，本文重点不在于区分数据与信息的概念，故将其作等同理解。1970年，德国黑森州颁布了世界第一部个人数据保护的法律。[10]1977年，德国又颁布了全国通行的《德国联邦数据保护法》。德国在立法层面确认了“特定个人识别”标准。1980年，OECD颁布《隐私保护与个人数据跨境流通指南》，将个人数据界定为：“任何与已识别或可识别的个人有关的信息”。[10]其将个人数据的识别标准界分为“已识别”和“可识别”两个层面，通过扩大识别范围以满足周全应对信息时代个人信息保护的要求。后续的相关立法中，不论普通法系国家抑或大陆法系国家，均无一例外地将“特定个人识别”标准奉为圭臬，只是在具体的概念表述上有别而已。需要指出的是，1995年欧盟《关于涉及个人数据处理的个人保护以及此类数据自由流通的第95/46/EC号指令》(下称《欧盟数据保护指令》)关于“个人数据”的定义进一步将“特定个人识别”标准中的“可识别”数据具体类型化为“可直接识别”数据和“可间接识别”数据，同时也对个人信息作了示例性规定。2016年，欧盟新颁布的《统一数据保护条例(GDPR)》也基本沿用了这一概念的界定，其第4条规定：“个人数据是指有关识别或可得识别自然人的任何信息；可识别自然人系指得以直接或间接地识别该自然人，特别是参考例如姓名、身份证编号、位置资料、网络识别码或一个或多个该自然人的身体、生理、基因、心理、经济、文化或社会认同等具体因素之识别工具。”截止当前，各国立法例中，“特定个人识别”标准成为立法共识。同时，由于受欧盟立法影响，“已识别”和“可识别”，特别是特定个人的“可直接识别”和“可间接识别”已成为各国界定个人信息概念的习惯性表述。

我国受欧盟法影响深远。[11]“特定个人识别”已成为网络及个人信息安全法律规范对“个人信息”界定的唯一标准。例如，2013年制定的《电信和互联网用户个人信息保护规定》第4条、2016年制定的《网络安全法》第76条以及后续的立法、司法解释、国家标准一以贯之地坚持了“特定个人识别”标准。

作为通行的国际惯例，并经过长期的理论发展、立法及司法实践，“特定个人识别”解释标准的主导地位是不可撼动的。曾有国外学者认为，基于技术的发展，匿名化技术已经打破了信息之间的边界，个人识别信息已经成为了一个无所不包的概念，主张放弃个人识别信息这一标准，重新设计更为有效的信息隐私保护工具。[12]但笔者认为，即使信息对个人身份的识别似乎因为技术的无限进步而显得其意义并不如从前那样突出，但是如果放弃这一概念将使得个人信息保护的法律失去立法根基。同时，个人信息保护的立法本以保障个人人格尊严为立法目标之一，如果信息不与特定个人相关联或者信息行为根本无碍于个人人格利益，那就没有立法保护的必要，故《民法典》的“个人信息”坚持了“特定个人识别”的解释标准。

(二)个人信息概念的解释路径

诚如上述，《民法典》沿袭了国内外主要立法例对个人信息界定的标准：“可直接识别(能够单独识别)”和“可间接识别(与其他信息结合识别)”。直接识别信息的语义是清楚的，即直接通过信息内容反映出信息主体的直观特征，如姓名、肖像、身份证号码等。[13]

但正如本文第一部分所言，“可间接识别”构成个人信息概念不确定性的诱因，其“内涵”并不确定，《民法典》亦缺乏说明。学界争论的焦点集中于对“可间接识别”的判断基准，即应当以“何人”的识别能力作为判断的基准。有“社会一般多数人说(一般人基准说)”认为，考虑到个人信息属于表现个人自由的材料，为保证信息的合理流通及利用，应当站在社会一般多数人的视角来判断信息之结合能否推知特定个人；(4)“社会一般多数人说(一般人基准说)”的观点参见邱忠义《谈个人资料保护法之间接识别》，载《月旦裁判时报》2014年第12 期；范姜真媺《个人资料保护法关于个人资料保护范围之检讨》，载《东海大学法学研究》2013年第41期。有“信息控制者说(个人信息处理事业基准说)”认为，个人信息是否受保护取决于信息控制者是否有能力降低信息不确定性，并有效提升身份识别。换言之，个人信息是否容易与其他信息比对、组合而具有特定的个人识别性应当依照收集、处理个人信息的业者所具备的条件、技术及处理状况等进行判断。(5)“信息控制者说(个人信息处理事业基准说)”参见梅夏英、刘明《大数据时代的个人信息范围界定》，载徐汉明主编《社会治理法治前沿年刊》，湖北人民出版社2013年版，第33-58页；日本理论及实务均采此说，参见范姜真媺《数据时代下个人资料范围之再检讨—以日本为借镜》，载《东吴法律学报》2017年第2期；另英国资料法也有主张：“只有信息管理者是信息识别机构，考虑信息是否能够被识别时，只考虑信息识别者的识别能力。”参见齐爱民《拯救信息社会的人格：个人信息保护法总论》，北京大学出版社，2009年版第86页。两种主要学说有其合理性，目的均在于限缩个人信息的保护范围，以使个人信息获得有经济效益的运用。[14]

应当说明的是，对“可间接识别”这一不确定的法律概念，原则上应通过合理的解释加以克服。但令人困惑的是，按照《民法典》所列举的个人信息种类，例如生物识别信息，如果以“社会一般多数人说(一般人基准说)”为判断基准，社会一般多数人就算掌握了生物识别信息，也无法通过其识别出特定个人，难道因此来否定诸如基因、指纹、虹膜等生物识别信息属于个人信息？如果以“信息控制者说(个人信息处理事业基准说)”为判断基准，只有特定生物医疗行业有能力通过技术手段识别到特定个人，而对于其他行业，或其他一般个人或社会组织而言根本无法做出识别，由此会出现法律中的同一生物识别信息对甲而言不是个人信息，而对乙而言又属于个人信息的窘境。上述的解释只能是让不确定的法律概念更加模糊，也会严重损害法制之安定。

《民法典》个人信息的概念的内涵及外延应当采取怎样的解释路径？笔者认为，为克服以上困难，对个人信息的概念，包括围绕这一概念所形成的保护范围和保护规则可以考虑这样一种解释路径：首先，坚持以“特定个人识别”作为个人信息概念的解释标准；其次，在明确个人信息的基本构成(概念内涵)的基础上，从宽解释个人信息的范围(概念外延)；再次，经特定法益权衡后对无必要受法律保护的个人信息排除法典保护规则的适用：

1.以“特定个人识别”作为个人信息概念的解释标准在本文第一部分已经述及。

2.“在明确个人信息的基本构成(概念内涵)的基础上，从宽解释个人信息的范围(概念外延)”是指个人信息作为一个法律概念，其内涵应当由一些特定要素组成，这些要素应当是实际的、可被理解、能够消除歧义的内容，本文将在后文具体阐述。在此基础上，只要经初步判断符合要素的信息均应被视为《民法典》中的个人信息。其实从《统一数据保护条例(GDPR)》第4条(1)项对个人数据定义“任何信息”之表述也可以得出“从宽解释”类似的思考方式。

3.“经特定法益权衡后对不受法律保护的个人信息排除法典保护规则的适用”意即，按照前述思路“从宽解释”必定会使越来越多的信息进入到《民法典》的个人信息范围之内，这些纷繁复杂的信息是否均要受法律保护？笔者认为这就必须考虑到法律的经济成本及价值衡量，其中部分个人信息实无保护必要，也就无需对其适用个人信息的保护规则。

上述解释的本质是先将符合构成要素的信息纳入到个人信息范围之内，经法益权衡后，再将不必受法律保护的个人信息排除在《民法典》的保护规则之外，否则一旦自始就认定某项信息不属于个人信息，受条件所限，恐有权益保护疏漏之虞。选择这一解释路径的原因在于：首先，大陆法系对于基本权利的考虑，基本上沿袭了德国法的对权利保护的分析方法，德国优势学说认为，就宪法基本权条款所宣示的原则，依概念分析的结果，其所涵盖的构成事项，应皆属于各基本权的保障范围，至于发生具体基本权事件是否与受保障的构成事实相当，换言之，法律对此等基本权事件所为的限制合宪与否，应从相关法益均衡保障的观点出发，予以判断，亦即运用比例原则审查其合宪性；[14]其次，不必让立法者、裁判者及其他法律工作者困扰于自始就需要准确判断某项信息是否属于个人信息，这样的判断因人、因事、因时都不可能是绝对的，也是不必要的。

四、《民法典》个人信息的基本构成要素

尽管《民法典》明确了定义本身的“特定个人识别”标准，但是针对个人信息的构成要素仍不明晰。2007年，欧盟第29条数据保护工作小组(Article 29 Data Protection Working Party)专门就如何理解《欧盟数据保护指令中》的“个人数据”概念发布了《关于个人数据概念的第4/2007号意见书》(下称《意见书》)，该文件专门就个人数据的基本构成要素作了详尽的梳理。(6)欧盟第29条数据保护工作小组系依据《欧盟数据保护指令》第29条所设立，作为欧盟个人数据保护咨询的独立机关，其职责在于提升成员国对于指令的遵循程度、给予成员国个人数据保护相关专业建议及提供欧盟委员会资料保护指令修订意见等，依指令第 30 条规定，工作组应将意见书或建议书提交给委员会及欧盟委员会，后者则须依工作组要求采取相关措施、作成报告书提交至欧洲议会及理事会并予以公开。因GDPR正式生效，该工作组自2018年5月25日起，已改制为欧洲数据保护委员会。既然我国互联网与信息安全立法与欧盟个人数据保护立法有着深厚的历史渊源，故欧盟立法之立法解释可予参考。

(一)生存自然人的信息

环顾个人数据保护法制，促进个人人格发展、维护人格尊严同时发挥数据利用的价值是各国数据保护共同的立法旨意。在民事主体中，只有生存自然人才能对其隐私被不当刺探、侵扰、泄露或对信息被不当收集、处理、使用、加工、传输、提供、公开产生不安的心理情绪并根据《民法典》第1036条依法享有查阅、抄录、复制、更正、删除等权利。因法人或非法人组织不存在人格利益且上述权利或人格尊严只有生存的自然人才可真正享有和行使，故个人信息当以生存自然人的信息为准，特定个人即为生存的自然人。

关于法人或非法人组织信息的保护问题。按通说及《民法典》的规定，法人或非法人组织的信息因不具备人格属性而不能被纳入到个人信息范围之内。(7)参见王利明《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》，2013年第4期；刘定基《个人资料的定义、保护原则与个人资料保护法适用的例外——以监视录像为例(上)》，载《月旦法学教室》2012年第5期。然而，法人或非法人组织的信息尚包括法人或非法人组织控制的、并与特定个人相关联的信息，换言之，在法人或非法人组织的信息中，可以根据信息本身的特性而视为与自然人“有关”，例如法人的名称可以反映某个自然人的名字。又或者关于小型企业的信息(法律上称之为“客体”，而不是“法人”)，可能会展现出企业主的行为。(8)See Article 29 - Data Protection Working Party. (2007) Opinion 4/2007 on the concept of personal data. 01248/07/EN WP 136.只要能够识别出特定个人，有关法人或非法人组织的信息可以视为与自然人“相关”，则该信息应视为《民法典》中的个人信息，并适用个人信息保护制度。

关于胎儿信息的保护问题。原则上，与胎儿相关的信息是否应受保护及受到何种程度的保护应当依照各国的法制情况来确定。要判定信息保护制度是否涵盖与胎儿有关的信息，应结合信息保护制度的立法目的，与本国法律体系的一般原则一并作出考虑。(9)See Article 29 - Data Protection Working Party. (2007) Opinion 4/2007 on the concept of personal data. 01248/07/EN WP 136.我国《民法典》第16条对胎儿的保护系采取“个别保护主义”，即胎儿原则上无权利能力，但于特定情况下，视为有权利能力，即在遗产继承、接受赠予等情况下胎儿权利受保护。[15]笔者认为，胎儿在孕育期间，医院出具的胎儿超声检查报告单上的影像等信息往往能够反映胎儿的健康、发育等情况，其与个人人格紧密相关。胎儿若出生非死体，就有权自主控制这些信息，故应当对本条的“等”进行扩大解释，包含个人信息保护的权利。同时，应当将胎儿孕育期间与个人人格相关的信息视为《民法典》中的个人信息。

关于已死亡自然人生前信息的保护问题。死亡自然人生前的信息可能存在以下四种情况：首先，对信息业者而言将存活自然人和已死亡自然人的信息一视同仁地加以处理，也许更为方便容易。其次，已死亡自然人的信息也许与某个生存自然人有关，例如，已故的甲患有某种严重的基因遗传性疾病，往往可以说明其子乙亦患有该种疾病。(10)See Article 29 - Data Protection Working Party. (2007) Opinion 4/2007 on the concept of personal data. 01248/07/EN WP 136.再次，部分已死亡自然人生前信息可能关乎抚养义务的履行、继承制度的需要或因侵权死亡为便于亲属行使侵权损害赔偿请求权，依社会普遍观念，其亲属在必要时可以进行处理或利用。[16]故笔者认为，已死亡自然人生前信息在上述特定条件下，经过合理解释，可以依据《民法典》中的个人信息保护规定予以保护，因为其确有保护必要。

(二)关联性的个人信息

信息只有与特定个人相关才会落入“特定个人识别”的范围，才会有法律保护的问题。按欧盟第29条数据保护工作小组的意见，要确认某一信息是否与特定个人有关，该信息必须具有三类要素之一：“内容”要素、“目的”要素及“结果”要素。具体而言，行政处罚决定书、疾病诊断报告等材料上所体现内容可以直接反应个人数据；若无法直接从数据内容中直接辨明与个人相关，可以考虑信息的使用目的，如汽车维修数据用于评定维修人员工作效率，则该数据与维修人员相关；若既无法从信息内容，也无法通过信息使用目的来辨明是否与个人相关，则可以通过对该信息进行利用、处理的结果来判断是否会对特定个人产生影响。(11)See Article 29 - Data Protection Working Party. (2007) Opinion 4/2007 on the concept of personal data. 01248/07/EN WP 136.例如，网约车公司为获得该公司运营的某车辆的实时具体位置而设置卫星定位系统，通过调派与距离客户最近的网约车前往，以提供更为快捷的服务，并节约燃油。从严格的意义上来说，定位系统所需的信息与车辆相关，而不是与驾驶员相关，信息处理的目的也不是评核驾驶员的工作效率，而是优化驾驶路线。然而，鉴于定位系统的智能化，的确可以用于核查的驾驶员的工作效率，了解他们是否遵守车速限制，是否选择合适的路线，甚至是正在行驶还是正在休息等等，因而对驾驶员构成一定程度的影响。这样的信息也可视为与驾驶员本人相关，因此有关的信息也属于个人信息。这三个要素(内容、目的和结果)必须视为具有相互代替性，而不是要求同时成立。

(三)特定个人识别的信息

前文已经论及，界定个人信息范围应采“特定个人识别”的解释标准。判断标准其本身也应成为最核心的构成要素，二者并不发生矛盾。关于特定个人识别的方法，《欧盟数据保护指令》鉴于条款第26段、《统一欧盟数据保护条例(GDPR)》鉴于条款第26段均规定，为决定当事人是否可被识别，应考虑到所有可合理使用的方法，例如由信息管理者自己或通过他人指认以直接或间接地识别该信息主体。为确认何为可合理使用识别特定当事人的方法，应考虑所有客观因素，例如，识别所需之成本与时间，并考虑到信息处理当时现有的技术及科技发展。其他域外立法，例如，日本《个人信息保护法》第2条(1)项，我国香港特别行政区《个人资料 (私隐) 条例》第1部第2条C项也均有“容易与其他信息相对照”、“在形式令予以查阅及处理均是切实可行”等规定。为了不使个人信息的范围被无限放大，如果经信息业者或其他人为识别该人的而可能采取的一切可行、合理方法后，识别的可能性不存在或可被忽略时，则不应理解为“可被识别”，因而也不应认为有关信息属于《民法典》中的“个人信息”。(12)See Article 29 - Data Protection Working Party. (2007) Opinion 4/2007 on the concept of personal data. 01248/07/EN WP 136.

五、《民法典》个人信息保护规则的除外适用

“从宽解释”不意味着所有个人信息都必须受到法律保护。经过法益权衡后，同时兼顾法律的经济成本，对于不值得、无必要保护的个人信息在特定情形下应予排除法典个人信息保护规则的适用，以阻却信息业者未予告知便进行个人信息处理所可能产生的民事责任、减轻信息业者的合规负担并促进个人信息的合理流动。

(一)基于公共利益或信息主体合法权益之除外适用

《民法典》第1036条(3)项规定，为维护公共利益或者自然人合法权益，合理实施的其他行为，行为人不承担民事责任。该项是指行为人收集、处理自然人的个人信息，如为公共利益或者该自然人合法权益，经由法益权衡后，行为人可免除“告知同意、公开、明示”的义务，即便因为信息处理适度侵害了自然人的人格利益，但只要实施行为合理，这种损害也应让位于公共利益和自然人的其他合法权益，行为人即可免责。此处的“公共利益”及“合法权益”应如何理解？笔者认为，当行为人收集、处理个人信息，将使不特定人或者社会明显地受有比未收集、处理个人信息前处于客观上更为优势的状态时，则此时进行收集、处理，即符合“公共利益”。对于“合法权益”，欧盟在理论和实践过程中曾产生过“严格解释说”与“宽泛解释说”两种解释的争议。前者主要坚持“合法权益”仅限于法定权利，后者认为“合法权益”不应仅限于法定权利，上至公共利益，下至私人利益，只要不违反法律规定即可。[17]笔者认为，利益具有多元性并不是每一项利益均能及时上升为法定其权利，“宽泛解释论”恰能平衡信息保护与信息活用之间的矛盾，本文采该解释。但必须另加说明的是需充分考虑有无过度侵害信息主体利益的问题。即使基于公共利益或者自然人合法权益而收集、处理个人信息，但这些行为如果过度侵害个人权益，在权益衡量上仍有法律规制必要。这也应当是立法者明定“合理实施”条件的考量之一。

(二)基于个人信息处于公开领域之除外适用

《民法典》第1036条(2)项规定，处理自然人自行公开或其他已经合法公开的信息，行为人不承担民事责任，但该自然人明确拒绝或者处理该信息侵害其重大利益的除外。本条是指个人信息公开状态下的信息保护规则除外适用，笔者认为应当区分两类情形。

1.信息主体自行披露或者依法公开的个人信息

信息主体自己将可以直接或间接识别的个人信息对外披露，本人应当预知其所产生的信害风险与后果，法律不需再予保护。此外，有些信息需依法公开，例如，按《企业信息公示暂行条例》的规定，法人应依法通过“国家企业信用信息公示系统”对外公示的有关股东或者发起人的姓名、认缴和实缴的出资额、出资时间、出资方式等信息。这些信息已属于公共领域的信息，信息业者可以收集、处理，而无需再行获得信息主体的同意。

2.一般皆可获得的个人信息

按《德国个人数据保护法》第28条(3)的规定，如果个人信息属于一般皆可获得的，则可以被收集、储存、修改、传输[18]，而无需获得信息主体的同意。我国台湾地区《个人资料保护法》第19条亦有类似规定。任何人都可以从平面、网络、电视、移动及广播等媒体上刊载、披露、报道、传播的信息中获取个人信息，这些信息也存在于公开领域。同时，这些信息的来源是否合法，经常无法求证或者求证需要耗费大量的精力，为避免信息管理者或信息处理者动辄触法或者求证费时，收集、利用、处理此类信息时无需要征得信息主体的同意。[19]

当然信息业者对于公开领域个人信息的收集、处理并不是没有限制的，如果信息主体在公开时已经明确拒绝信息被收集、处理或者经过权益衡量后，处理该公开信息将侵害信息主体重大利益，已为公开的个人信息仍应受法律保护。

六、结 语

《民法典》回应了大数据时代对隐私和个人信息保护的挑战。个人信息保护的逻辑基础应是对个人信息这一概念进行准确地理解和把握，故如何界定个人信息既是法律解释学的任务，也是法律适用的要求。对个人信息概念的解释，应当始终坚持“特定个人识别”的标准。同时，参考欧盟立法，应当明确个人信息的构成应以生存自然人为主体，存在关联性及可识别特定个人为基本要素，法人或非法人组织、胎儿、已死亡自然人在特定条件下所形成的信息亦可以被解释为法典中的个人信息。为真正实现民事权利之保护，在从宽解释个人信息范围的基础上，经特定法益权衡后认为，凡可认定存在公共利益或信息主体合法权益和个人信息处于公开领域的情形，即便属于法典中个人信息，亦可排除法典保护规则的适用。以上解释路径，期能对《民法典》的理解与适用有所助益。