个人信息的分类

四、个人信息的分类

根据不同的标准，笔者将个人信息可以划分为以下不同的类别。

(一)直接个人信息和间接个人信息

根据能否直接识别自然人为标准，个人信息可以分为直接个人信息和间接个人信息。所谓直接个人信息，是指可以单独识别本人的个人信息。间接个人信息，是指不能单独识别本人但和其他信息结合可以识别本人的个人信息。在立法上，有国家和地区并不主张对间接个人信息进行保护。我国台湾地区“法务部”曾认为:关于电话号码、电子邮件地址等信息，由于尚不足以识别个人，因此不属于受保护的个人信息。但是由于电话号码或电子邮件地址与其他信息相互联结后，往往成为足以识别特定个人之信息(如电子邮件之地址中可能有本人姓名)，因此将适用个人资料保护法。^[7]挪威资料法明确地将间接个人信息纳入保护法的范围。其第1条规定:“能间接地确认本人的资料构成个人资料。”划分直接个人信息和间接个人信息的目的在于:第一，法律保护的不仅是直接个人信息，还保护间接个人信息。第二，对直接个人信息的侵害可能导致更为严重的后果。第三，对于不能构成间接个人信息，更不可能构成直接个人信息的那些信息，法律不予纳入个人信息保护法予以保护。

(二)敏感个人信息和琐细个人信息

以是否涉及个人隐私为标准，个人信息可以分为敏感个人信息和琐细个人信息(TrivialData)。敏感个人信息，指涉及隐私的个人信息。在社会生活中，判断一个信息是否构成敏感个人信息并不容易。有时候，由于这些信息和个人的关系过于“松散”而使得人们对它能否构成个人信息产生争议。如果一个人购买性生活用品的信息被泄露，就可能导致两种判断结果:一种争论说产品主题(性)和购买者人身(性格和倾向)的联系过于“松散”，并不必然意味着购买者本人使用这种产品，因此此信息不构成购买者的敏感信息;另一种意见则认为购买者的“品味”和“倾向”是由他的生活反映出来的，他购买的商品是他本身个性和倾向的最好的例证，因为一般情况下，我们只看到他人购买商品，而不可能看到商品的使用。因此，该信息属于购买者的敏感信息。笔者认为，仅仅一次的交易记录或许不能说明购买者的个人喜好，但并不是说不构成敏感信息，如果这个信息的确指向了该购买者，那么它就是购买者的敏感个人信息，如果购买者的购买行为的确是出于偶然的，也就是说交易记录的敏感内容并不指向购买者本人，那么它就不是购买者的敏感个人信息。

根据英国法的规定，敏感个人信息，是指有关种族或道德起源，政治观点，宗教信仰或与此类似的其他信仰，工会所属关系，生理或心理状况，性生活，罪行以及与此有关的诉讼等诸如此类的个人信息。

《英国资料法》第2条是关于敏感个人信息的规定。根据该条的规定，敏感个人信息包括:

(1)信息主体的种族起源;

(2)信息主体的政治观点;

(3)信息主体的宗教信仰或者其他类似信仰;

(4)信息主体是否为工会成员;

(5)信息主体的身体或精神健康状况;

(6)信息主体的性生活;

(7)信息主体的罪行或被指称的罪行;

(8)针对信息主体进行的刑事诉讼以及法院的判决。

2003年《爱尔兰资料(修正)法》第2条规定，敏感性个人资料，是指关于如下的个人资料:

(1)资料主体的人种或种族起源、政治观点或宗教或哲学信仰;

(2)资料主体是否为工会成员;

(3)资料主体的身体、精神健康状态或其性生活;

(4)资料主体的犯罪行为或者受指控的犯罪行为;或

(5)资料主体的犯罪行为或者受指控犯罪的任何诉讼，诉讼的处理过程以及就此过程法院作出的判决。

而不同的文明和不同的法律渊源导致各国立法对敏感个人信息的规定并不相同。英国法和爱尔兰法均将信息主体的罪行或被指称的罪行以及针对信息主体进行的刑事诉讼以及法院的判决列为敏感个人信息，而一些国家并不把这些列为敏感个人信息，如美国。美国法关于敏感个人信息保护的一个显著特征是更加注重对个人经济关系的保护，特别把“贸易组织的成员资格”列为敏感个人信息。

琐细个人信息，是指不涉及隐私的个人信息。琐细资料同样应该受到个人信息保护法的保护。许多看上去是并不重要的个人信息，如果经过用心收集整理，也能够组成一副人格图，就如同利用万花筒拼图一样。因此不应该简单以个人的某种利益(如隐私)为保护法确定范围，而应该对个人信息给予全面保护。

根据《瑞典资料法》的规定，“很明显的没有导致被记录者的隐私权受到不当侵害的资料”，为琐细资料。德国联邦法院在1983年的《人口普查法》判决中宣称，“在自动化资料处理的条件下，不再有所谓不重要的资料”。《挪威资料法》规定，收集和处理不需要经过国王许可的资料为琐细资料。《瑞典资料法》在1979年修正后规定(第2条)，琐细资料的处理不需要经过检察院的许可。

法律划分琐细个人信息和敏感个人信息的目的在于二者的保护方式与程度不同。一般而言，对琐细资料的收集和处理可以不经过许可制度。与此相反，法律对敏感个人信息的收集和处理，一般需要给予特殊保护。

法律区分敏感个人信息与琐细个人信息另一目的在于法律可能对收集、处理和利用敏感个人信息强加某些特殊的限制条件，从而对敏感个人信息给予更高的注意以及特殊保护。许多国家和国际立法文件禁止处理敏感个人信息，或者是对敏感个人信息的处理规定了十分严格的处理条件。

(三)电脑处理个人信息与手工处理个人信息

以个人信息的处理技术为标准将个人信息划分为电脑处理个人信息与手工处理个人信息。电脑处理，是指使用电脑或自动化机器为信息输入、储存、编辑、更正、检索、删除、输出、传输或其他处理。手工处理个人信息，是指不适合电脑处理和尚未进行电脑处理的个人信息。

将个人信息划分为电脑处理的个人信息和手工处理的法律意义在于，电脑处理的个人信息更容易受到侵害。有很多国际组织和国家的个人信息保护法仅适用于电脑处理的个人信息，将手工处理的个人信息排除在保护法的范围之外，尤其是在个人信息保护的初期阶段。欧洲议会公约所下的定义:“(资料保护)是指对于个人在面临关于其个人信息之自动化处理时，所给予之法律上的保护。”我国台湾地区的立法更直接以“电脑处理个人资料保护法”命名。从全球范围看，最初制定个人资料保护法的国家和国际组织在保护的资料范围上均倾向于技术特定主张，而随着人们对个人资料保护认识的加深，越来越多的国家和国际组织转而采用技术中立的主张。所谓技术特定，是指在个人资料保护范围问题上，以特定技术作为标准而对个人资料进行划分，并区别对待。这种主张认为，在资料自动化处理情况下，人格遭受到前所未有的威胁，于是产生了对个人资料加以专门保护的法律。因此，个人资料保护的对象应该限于自动化处理的个人资料，对非自动化处理的个人资料不应给予专门保护。1977年修正的《德国资料法》是技术特定立场的反映，其对“个人资料”的保护仅限于自动化处理。与技术特定相反，技术中立主张对个人信息进行同等保护，不因处理技术不同而对个人信息作区别对待，主张将采用一切技术手段的个人信息均纳入个人信息保护法的保护范围。经过1990年的修正，《德国资料法》放弃了以自动化技术作为标准加以限制的规定，采纳了技术中立的主张，对个人信息给予全面保护。

(四)公开个人信息和隐秘个人信息

以个人信息是否公开为标准，可以分为公开个人信息和隐秘个人信息。公开个人信息，是指通过特定、合法的途径可以了解和掌握的个人信息。我国台湾地区“资料法施行细则”第32条第3项规定:“电脑处理个人信息保护法第18条第3款所称已公开之资料，指不特定之第三人得合法取得或知悉之个人信息。”

隐秘个人信息和公开个人信息对应，是指未向社会公开的个人信息。将个人信息划分为公开个人信息和隐秘个人信息的法律意义在于公开个人信息，无论是否属于敏感个人信息，都已经丧失了隐私利益，不能取得敏感个人信息的特殊保护。

1998年《英国资料法》第59条关于“信息的机密性”条款中规定:现任或曾任委员、委员助理或委员代理人的人不得披露在披露时还没有从其他来源公开，或还没有从其他来源公开的信息。

《德国资料法》关于“资料的储存、变更和利用”条款规定，自一般公众可以获得的个人信息或已公开的个人信息，可以进行目的外的储存、变更或利用，除非信息主体显然享有值得保护的重大利益。

我国台湾地区“资料法”第18条规定，非公务机关对于“已公开之资料且无害于当事人之重大利益者”，可不适用目的特定原则。也就是可以进行目的外处理。

《荷兰资料法》也对已经公开的个人信息作出了规定，依照此规定，该法对个人敏感信息的特殊保护不适用于已经公开的个人敏感信息。

(五)属人的个人信息和属事的个人信息

以个人信息的内容为标准，个人信息可以分为属人的个人信息和属事的个人信息。属人的个人信息反映的是个人信息本人的自然属性和自然关系，它主要包括本人的生物信息。属事的个人信息反映的是本人的社会属性和社会关系，它是信息主体在社会中所处的地位和扮演的角色的反映。

(六)客观个人信息和主观个人信息

以个人信息的主观属性和客观属性为标准，个人信息可以分为客观个人信息和主观个人信息。客观个人信息是反映信息主体的客观方面的个人信息;主观个人信息是反映信息主体思想的个人信息，具体说就是思想的表达和意图的表达。联合国1966年批准的《公民权利和政治权利国际公约》第18条规定，“表示自己的宗教或信仰的自由，仅只受法律所规定的以及为保障公共安全、秩序、卫生或道德，或他人的基本权利和自由所必需的限制”。《世界人权宣言》第18条规定，“人人有思想、良心和宗教自由的权利;此项权利包括改变他的宗教或信仰的自由，以及单独或集体、公开或秘密地以教义、实践、礼拜和戒律表示他的宗教或信仰的自由”。第19条规定，“人人有权享有主张和发表意见的自由;此项权利包括持有主张而不受干涉的自由，和通过任何媒介和不论国界寻求、接受和传递消息和思想的自由”。因此，在基本人权意义上说，反映信息主体思想表达和意图的主观个人信息，其重要性远远大于客观个人信息。尤为注意的是，主观个人信息，既包括信息主体的主观表达，也包括他人对信息主体的评价。无论是正确的评价还是错误的评价都可能构成个人信息的一部分。

区分客观个人信息和主观个人信息的法律意义在于，法律对个人信息进行全面保护，不仅仅应该保护客观个人信息，还应该保护主观个人信息。《英国资料法》第1条规定，“个人资料”，是指可以直接或者间接识别一个活着的人的所有资料，包括个人观点的表达、个人意图的表达等。

另外，按照不同专业领域，个人信息还可以分为纳税信息、福利信息、医疗信息、刑事信息、人事信息和户籍信息等，不同的领域具体的保护方式不同，并且在立法方面呈专业化的发展方式。欧洲议会公约颁布后，部长委员会针对不同的专业领域的个人信息保护提出了许多建议案，例如:《自动化医疗资料库建议案》、《为科学研究与统计用之个人资料保护建议案》、《为直销用之个人资料保护建议案》、《为社会安全之个人资料保护建议案》、《警察部门使用个人资料保护建议案》、《就学个人资料建议案》，等等。我国台湾地区各大专业领域在“资料法”的基础上针对自身专业领域以及处理个人信息的特点，纷纷出台了各类规则。其中有:《医院计算机处理个人资料登记管理办法》、《征信业电脑处理个人资料办法》、《金融业申请电脑处理个人资料登记程序许可要件及收费标准》、《证券业暨期货业申请电脑处理个人资料登记程序及收费标准办法》、《大众传播业电脑处理个人资料管理办法》，等等。