第144页

    我国《民法典》第1034条第2款将个人信息的可识别性区分为两类，即单独识别与间接识别。
    1.单独识别，也称直接识别，是指仅凭该信息本身就完全可以识别出特定的自然人，在我国，最典型的此类个人信息是居民身份证件号码。《居民身份证法》第3条第2款规定：“公民身份号码是每个公民唯一的、终身不变的身份代码，由公安机关按照公民身份号码国家标准编制。”我国以往因为户籍管理中存在的问题，导致居民身份证号码的重号情况较为普遍，2009年全国曾有171万人的身份证号码重合，但是自公安机关开展户口清理整顿工作以来，到2017年，全国居民身份证重号人数已经减少为8人。[17]故此，仅凭居民身份证号码这一信息即可识别出特定的自然人。此外，个人生物识别信息作为自然人独一无二的个人信息，也是属于可以单独或直接识别出特定自然人的信息。
    2.间接识别，是指与其他信息结合后能够识别，即仅凭该信息本身尚无法识别出特定的自然人，但是只要将该信息与其他信息结合就可以识别出特定的自然人。例如，仅仅凭借Cookie收集的网页浏览痕迹信息是无法识别出究竟是谁浏览了相应的网页，但是只要将这些浏览痕迹与IP地址信息加以结合，就很容易识别出特定的自然人。例如，在“朱某与北京百度网讯科技有限公司隐私权纠纷案”中就涉及这一问题。[18]原告通过被告的搜索引擎进行了一些关键词检索，而被告依据这些关键词检索向原告进行了定向广告推送，原告认为被告侵害了其隐私权。这种情形就涉及被告收集和处理的原告的关键词记录是否属于原告的个人信息。应当说，单纯的关键词检索记录是无法识别出特定自然人的，但是，如果和IP地址结合起来，尤其是考虑到现在的IP地址多为静态IP地址，且原告是在自己家中的个人电脑上进行检索的，因此这些信息结合起来就很容易识别出特定自然人。再如，电话号码在有些国家或地区因为没有强制要求实名登记，故此，仅仅凭借手机号码无法识别出特定自然人，但是将其与姓名结合起来，就可以识别出特定自然人。在我国，由于法律法规规定电话号码必须实名登记，故此，仅凭电话号码这一信息本身就足以识别出特定的自然人。[19]
    由此可见，信息是否可以识别特定自然人本身并不是固定不变的，不仅在不同的国家或地区是不同的，而且还会随着技术的发展及由此产生的识别成本、识别时间等因素的变化而发生改变，即以往无法识别特定自然人的信息可能在未来就具有可识别性。
    
    
    三、个人信息与个人数据
    
    关于个人信息与个人数据之间究竟是什么关系，一直存在争论。从国外立法来看，有些国家使用个人信息保护法、个人资料保护法的名称，有些国家则使用个人数据保护法、数据保护法的名称。我国《民法典》《网络安全法》《电子商务法》《刑法》等都使用“个人信息”的称谓，尚无法律使用“个人数据”这一表述。
    就个人信息与个人数据的关系，本书认为，信息是数据的内容，数据是信息的形式。姓名、性别等个人信息，自古就有，但是，只有随着网络信息科技的发展，信息才被数据化，以数据的形式体现，尤其是在大数据时代，无法将数据与信息加以分离。就个人数据而言，其之所以具有经济利益或者涉及人格利益，就是因为包含着个人信息。没有承载个人信息或者其他信息的数据只是以二进制代码表现出来的比特形式，对于收集与使用这些数据的人没有意义，法律上自然无须也无法加以规范调整。这就如同作为所有权客体的动产和不动产当然是由各种化学元素组成的，但法律上绝不会讨论元素能否成为民事权利客体的问题，更不会认为某个特定的民事主体可以享有某一元素的所有权。需要讨论的只是该民事主体对由元素组成的特定动产或不动产所享有的民事权利。任何民事主体如果仅仅获取或复制二进制代码的数据而未能在“信息”的意义上加以呈现和利用，则该行为既不会为获取者带来任何经济利益，也不会损害被复制者的经济利益或人格利益。只有数据被信息化呈现，关于数据归属的争议才会产生或者说资源的稀缺性才会出现，进而才有必要讨论数据应否被私人控制以及公共执法机构对该数据上的民事权利如何保护的问题。因此，当我们使用个人信息的表述时，更侧重的是内容，而并不在乎其是否通过数据加以呈现，而使用个人数据的表述时，则当然包括个人信息的意思，但更侧重的是数据化。[20]例如，数据库中所记载的个人信息和便于检索而整理成文件的个人信息，可以成为个人数据。但是，为了向数据库输入数据而进行的书面申请，在申请书上填写的个人信息或者备忘笔记中记载的个人信息，都不属于个人数据。[21]
    
    
    四、个人信息的类型
    
    个人信息的种类很多，《民法典》第1034条第2款只是对个人信息作出了列举，即自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等，却没有将个人信息进行分类。个人信息有不同的分类，例如根据是否数据化，可以分为数据化的个人信息和非数据化的个人信息，前者就是所谓的个人数据，而后者是指那些记录在纸张等数据载体上的个人信息。在个人信息分类中，最为重要的分类有三种：其一，依据个人信息是否属于隐私权所保护的范畴，可将之分为私密的个人信息和非私密的个人信息；其二，依据个人信息对自然人人身财产安全的敏感程度，可将之分为敏感的个人信息与非敏感的个人信息；其三，依据个人信息是否已经合法公开，可以分为公开的个人信息与非公开的个人信息。
    （一）私密的个人信息与非私密的个人信息
    现代社会是信息社会，要维护自然人的私生活安宁和私生活秘密不受侵害，就必须保护自然人的私密信息不被随意收集、公开或者被滥用。现代隐私权的一项重要功能就是保护自然人的私密信息。[22]我国《民法典》第1032条第2款规定：“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”自然人的私密信息的范围十分广泛，凡是自然人不愿意为他人知晓的信息，如婚姻信息、财产信息、健康信息、家庭住址、病历资料、犯罪记录、个人人生经历、嗜好、性取向、日记、私人信件以及其他个人不愿公开的信息等，都可以被纳入私密信息。例如，《民法典》第1226条规定：“医疗机构及其医务人员应当对患者的隐私和个人信息保