1.1.2 個人信息

《中華人民共和國民法典》中定義的個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

在歐洲和北美等地，個人信息大多指個人數據或個人可識別信息（Personally Identifiable Information，PII）。歐盟的《通用數據保護條例》（General Data Protection Regulation，GDPR）[1]中定義的個人數據是指與已識別或可識別的自然人（數據主體）相關的任何信息。可識別的自然人指可以直接或間接識別的人，尤其是通過諸如姓名、識別號、位置數據、在線標識符之類的標識符，或其特定身體、生理、遺傳、心理、經濟、文化或社會身份等一個或多個因素確定的自然人。

美國更多使用PII一詞。美國聯邦貿易委員會對與自然人相關的數據進行梳理統計，將個人信息分為12類、221個屬性字段，具體類別見表1-1[2]。

表1-1 美國聯邦貿易委員會所做的個人信息分類

個人信息的數據記錄包含不同字段，可以分為顯式標識符、準標識符、敏感屬性和非敏感屬性。顯式標識符是可以明顯識別記錄主體身份的屬性集合，包括姓名、社會安全號、電話號碼、身份證號碼等信息。準標識符是組合起來可以潛在識別記錄主體身份的屬性集合，包括年齡、性別、郵編等信息。敏感屬性則包含敏感的個人特定信息，如疾病、工資等。非敏感屬性是不在上述3類中的其他所有屬性。這4類字段的集合互不相交。

在信息服務的過程中，個人信息可能顯式地存在于結構化的記錄中，如醫院的病歷記錄、學校的學生登記信息、公安部門的戶籍信息、交通管理部門的車輛和駕駛員信息等，也可能存在于很多社交網絡分享的微博、朋友圈、圖片等非結構化的數據中。針對不同類型的數據記錄識別、度量并保護用戶的隱私信息是一個極其復雜和困難的問題。