一、文章结构

二、文章写作思路

三、文章要点

【本文旨在】从个人信息的社会功能角度分析个人信息的法律属性，检讨国际社会现有的个人信息保护立法，探寻个人信息之上法律保护的法益，以准确理解个人信息保护及其立法目的，提出我国个人信息保护应有的法律定位。

（一）个人信息及其法律属性

个人信息是指可识别具体个人（自然人）的信息，强调可识别（直接+间接）。“识别”是根据与特定人有关的信息来认识、辨识或指认该特定人，所依赖的信息通常是个人特有或描述个人属性、特征的信息。“识别”的结果是认出某人或描述出某人的基本特征。在研究个人数据保护法时必须在广义上使用识别和识别的结果——个体（identity，既有个体身份的含义又有个性特征的含义，在汉语语境中没有与之相对应的词语，一般译为“身份”）。

个体本身有两层含义：个人身份（识别身份），“你是谁”；个性特征（识别个体特征），“你是一个什么样的人”。过去的社会环境中：个人身份→个体特征；大数据时代：个体特征→个人身份。数据或信息本身一直是处于公共领域的公共素材或材料，个人最多可以控制不联系或如何联系但不能控制信息本身。

（二）个人信息保护的基本目的：保护人的尊严

欧盟立法的梳理：

个人自治是对人的行为能力（成熟的或未成熟的）一种复杂假设，该能力确保人可以发展，并进行高层次的行动规划，制定严于利己的目标，选择自己的人生及生活方式。个人自治包含选择自由和行动自由。

个人信息上存在的法益可分为三类（国际社会上重要的个人数据保护立法）：第一，个人自治（自由）：个人信息→个人事务→自我决定。第二，身份（识别）利益：法律保护身份（以姓名为核心）识别所产生的利益（精神+经济）。第三，不歧视（平等），利用个人信息产生不合理的区别对待。

（三）个人信息保护与隐私保护

美国：信息隐私，个人信息保护和隐私保护是一回事。大陆法系：隐私权是一种具体的人格权区别于个人信息保护。

我国早期是将隐私纳入名誉权进行保护；隐私的概念是以学理解释为主导，未有统一的认知。隐私可分为两种类型：不愿公开且不涉及公共利益的生活事实；刺探他人私密活动。

个人隐私和个人信息的交叉体现在：第一，个人信息中包含隐私信息；第二，个人信息的利用造成隐私侵权。

欧盟及其成员国在个人保护的立法上，基本是将个人信息的保护纳入公民基本权利（人权）法之中，非私法。隐私保护是作为人格尊严不可或缺的内容被纳入法律规范之中；在个人信息保护上，没有建立“公开个人信息就是侵权”的法律规范，更未建立“未经同意不得使用”的规范。

（四）个人信息保护与个人安全利益

个人信息的不安全因素主要来源于：第一，数据的正当适用、存储和传输过程中可能存在的泄露风险；第二，来自外部的恶意攻击、盗取。

安全保护原则（《隐私保护与个人数据跨境流通指南》）：对于已经收集到的个人数据，应当采取合理的安全措施，防止数据的灭失或者未经授权的访问，避免数据的破坏、使用、修改或披露等风险。

个人数据保护法调整的是利用目的合法的个人数据处理的行为，而不是利用目的非法的个人数据使用行为（犯罪行为的一种手段，这种行为可能触犯刑法中的诈骗罪、非法利用信息网络罪等）。将个人信息流通利用的行为认定为犯罪行为，未将非法目的作为限定条件是我国特有的对个人信息的保护方式。《网络安全法》中的“网络信息安全”针对的是网络经营者的个人信息安全保障义务。

（五）代结论：保护目的决定个人信息保护的定位

第一，个人信息非个人所有。第二，若要将个人信息放入人格权编应当以一般人格权进行保护。第三，个人信息（保护）不等于个人隐私（保护）。第四，个人信息本身不具有危害性而个人信息的非法利用具有危害性（不法和危害：个人信息利用本身是违法的；个人信息被用于不法行为）。