论个人信息的界定、分类及流通体系——兼评《民法总则》第111条

《民法总则》第111条规定了个人信息,但是如何进行法律保护并没有具体展开。"可识别性"界定个人信息更主要是从宏观上厘清个人信息,很难从微观上具体甄别出个人信息。因此根据个人信息不同阶段评估其存在的风险来界定个人信息具有一定的合理性,只有存在主观伤害风险或者客观伤害风险的个人信息才是法律上界定的个人信息。信息主体具有多元性,保护也不限于排他性的方式。数据与信息既有联系又有区别,个人信息与隐私存在交叉也存在不同,数据、个人信息、隐私的客体分别体现为利益、法定利益、权利。敏感信息与非敏感信息的区分是典型对极思考的方法,能穷尽所有个人信息,但是判断"敏感性"的标准却不够具体。因为是否具有敏感性本身还要再进一步判断,该种判断主要是价值判断,缺乏明确的衡量依据。清晰的分类可以直观地发现个人信息流通的路径,以个人信息形成为标准的志愿者信息、政府强制采集的个人信息、测量信息、推测信息更易于实现该目的。对个人信息的保护不能只强调事后救济,要防止个人信息不当利用的重点还应规范个人信息的流通。