1.1.2 个人信息

《中华人民共和国民法典》中定义的个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

在欧洲和北美等地，个人信息大多指个人数据或个人可识别信息（Personally Identifiable Information，PII）。欧盟的《通用数据保护条例》（General Data Protection Regulation，GDPR）[1]中定义的个人数据是指与已识别或可识别的自然人（数据主体）相关的任何信息。可识别的自然人指可以直接或间接识别的人，尤其是通过诸如姓名、识别号、位置数据、在线标识符之类的标识符，或其特定身体、生理、遗传、心理、经济、文化或社会身份等一个或多个因素确定的自然人。

美国更多使用PII一词。美国联邦贸易委员会对与自然人相关的数据进行梳理统计，将个人信息分为12类、221个属性字段，具体类别见表1-1[2]。

表1-1 美国联邦贸易委员会所做的个人信息分类

个人信息的数据记录包含不同字段，可以分为显式标识符、准标识符、敏感属性和非敏感属性。显式标识符是可以明显识别记录主体身份的属性集合，包括姓名、社会安全号、电话号码、身份证号码等信息。准标识符是组合起来可以潜在识别记录主体身份的属性集合，包括年龄、性别、邮编等信息。敏感属性则包含敏感的个人特定信息，如疾病、工资等。非敏感属性是不在上述3类中的其他所有属性。这4类字段的集合互不相交。

在信息服务的过程中，个人信息可能显式地存在于结构化的记录中，如医院的病历记录、学校的学生登记信息、公安部门的户籍信息、交通管理部门的车辆和驾驶员信息等，也可能存在于很多社交网络分享的微博、朋友圈、图片等非结构化的数据中。针对不同类型的数据记录识别、度量并保护用户的隐私信息是一个极其复杂和困难的问题。