第143页

    综上所述，虽然传统民法在个人信息保护中受到了挑战，存在需要完善改进之处，但不能因此就否定个人信息私法保护的重要意义与功能。现代法律对个人信息的保护应当采取公法与私法并重的综合性保护方法，二者不可偏废：既要从公法的角度明确各类主体从事收集、存储、分析、使用个人信息等行为应当遵守法定义务，也要从民法的角度认可自然人就个人信息享有相应的权利，如是否同意个人信息被收集的权利、在个人信息发生错误时要求删除和更正的权利等；既应当对违反公法上个人信息保护义务的违法犯罪行为给予行政处罚甚至施加刑罚，也应当允许自然人基于其个人信息上的民事权益，请求侵害个人信息的侵权人承担赔偿损失、赔礼道歉等相应的民事责任。
    
    
    二、个人信息的概念与特征
    
    《民法典》第1034条第2款对个人信息作出了界定。依据该款规定，所谓个人信息（Personal information），就是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。在《民法典》颁发之前，我国也有一些法律、司法解释和技术标准对个人信息进行了界定。例如，《网络安全法》第76条第5项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定：“刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”《最高人民法院关于人民法院在互联网公布裁判文书的规定》第10条第1项规定，人民法院在互联网公布裁判文书时，应当删除“自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息”。此外，国家标准《信息安全技术　个人信息安全规范》（GB/T 35273-2020）第3.1条将个人信息界定为：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”该界定的注释1中列举了以下个人信息的具体种类——“包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。”
    从《民法典》第1034条第2款的规定来看，个人信息具有以下两项重要特征。
    （一）个人信息是指自然人的个人信息
    个人信息中的“个人”本身指的就是自然人，显然不包括法人、非法人组织。至于法人和非法人组织，当然也存在相关的各种信息，如政府信息、企业信息、财务信息、经营信息、人员信息、技术信息等。这些信息中，有些信息本身依法就应当公开，例如，《政府信息公开条例》明确要求行政机关公开政府信息，应当坚持以公开为常态、以不公开为例外，遵循公正、公平、合法、便民的原则。《证券法》第五章“信息披露”中明确要求，发行人及法律、行政法规和国务院证券监督管理机构规定的其他信息披露义务人，应当及时依法履行信息披露义务，包括：按照国务院证券监督管理机构和证券交易场所规定的内容和格式编制定期报告并按照规定报送和公告；发生可能对上市公司、股票在国务院批准的其他全国性证券交易场所交易的公司的股票交易价格产生较大影响的重大事件，投资者尚未得知时，公司应当立即将有关该重大事件的情况向国务院证券监督管理机构和证券交易场所报送临时报告，并予公告，说明事件的起因、目前的状态和可能产生的法律后果。再如，依据《慈善法》第71条的规定，慈善组织、慈善信托的受托人应当依法履行信息公开义务。信息公开应当真实、完整、及时，其第72条规定，慈善组织应当向社会公开组织章程和决策、执行、监督机构成员信息以及国务院民政部门要求公开的其他信息。上述信息有重大变更的，慈善组织应当及时向社会公开。慈善组织应当每年向社会公开其年度工作报告和财务会计报告。具有公开募捐资格的慈善组织的财务会计报告须经审计。依据《企业信息公示暂行条例》的规定，工商行政管理部门登记的企业从事生产经营活动过程中形成的信息，以及政府部门在履行职责过程中产生的能够反映企业状况的信息依法应当公示。至于不是依法必须公开的法人或非法人组织的信息，如果属于国家秘密或商业秘密，则分别受到《保守国家秘密法》《反不正当竞争法》等法律的保护，也不存在通过个人信息保护的问题。
    个人信息作为自然人的信息，仅仅是指活着即生存着的自然人的个人信息，而不包括已故人士（a deceased person）的信息。[16]例如，欧盟《一般数据保护条例》“鉴于条款”的第27条就明确规定：“本条例不适用于已故人士的个人数据。成员国可以对已故人士个人数据的处理进行规定。”再如，我国台湾“个人资料保护法施行细则”第2条也明确规定，本“法”所称个人，指现生存之自然人。死者已经去世，不属于民事主体，关于死者的各种信息也成为历史资料，无须通过个人信息保护制度加以保护。如果侵害死者的信息的行为构成对死者的姓名、肖像、名誉、荣誉、隐私等的侵害，依据《民法典》第994条，其配偶、子女、父母有权依法请求行为人承担民事责任；死者没有配偶、子女并且父母已经死亡的，其他近亲属有权依法请求行为人承担民事责任。
    （二）个人信息是可以识别特定自然人的信息
    无论对个人信息如何界定或怎样列举，个人信息的核心特征就在于“可识别性”，即能够单独或者与其他信息相结合识别特定的自然人。因为，如果某些信息根本无法识别特定的自然人，那么对于这些信息的收集、存储、使用、共享等并不会对特定自然人权益造成侵害或产生侵害的危险，也没有必要基于维护自然人的权益的考虑而通过个人信息保护制度对这些信息的处理加以规范。例如，完全是与自然人无关的纯粹的自然界的信息，如天气变化、潮汐情况、地质演变等物理信息；再如，通过采取匿名化技术处理后无法识别特定的自然人且不能复原的信息，如抽样调查统计数据中仅仅显示被调查的人数、地域分布、年龄、男女比例等信息，这些信息无法识别出具体的被调查的人是谁，也不属于个人