文章总结： 《个人信息保护法》保护的个人信息需满足四项核心要件：以电子或纸质方式记录、与特定自然人相关、具备可识别性（含已识别或可识别）、排除匿名化信息。文档解析了手机号、人脸信息等常见场景的判定逻辑，强调可识别性是关键标准，并区分匿名化与去标识化的法律差异。合规指引包括定期自查信息关联性、规范处理去标识化数据、杜绝口头收集等规避行为。 综合评分： 85 文章分类： 政策法规,数据安全,应用安全,安全建设

《个人信息保护法》保护的个人信息是什么？

合规社

2026年5月23日 23:35 上海

在小说阅读器读本章

去阅读

以下文章来源于数法观澜 ，作者Ethan Mr

数法观澜 .

数法观澜，专注数据法治与数字经济观察。立足法律视角，洞察数据浪潮、AI治理与合规前沿。

Q1：《个人信息保护法》保护的个人信息是什么？ 生活中，我们总会不经意间接触各类信息收集场景：手机APP弹出的位置信息授权、企业登记客户时索要的姓名手机号、小区门禁采集的人脸影像、职场中留存的员工身份证复印件…… 面对这些常见信息，很多人都会产生一个疑问： “这些我们日常收集、处理的信息，到底算不算《个人信息保护法》里所保护的‘个人信息’？”  这个问题的答案，核心在于明确“个人信息”的法定定义及构成要件，避免因认知偏差引发不必要的合规隐患。 结合《个人信息保护法》相关条文，本文将阐释“个人信息”的法定定义、核心要件，帮助大家快速厘清认知、规避基础合规风险。

“个人信息”的具体界定？

法律依据：根据《个人信息保护法》第4条规定，个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

同时《个人信息保护法》第73条第（四）项明确：匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。

该法条是判断“个人信息是否需合规保护”的核心依据，部分认知偏差主要集中在“已识别、可识别”的判断上。比如有人会疑惑，手机MAC地址、IP地址这类信息，到底算不算个人信息？以下将明确该定义的四项核心要件，帮大家厘清认知、精准判断。

构成个人信息的核心要件解析

要件一：以一定方式记录

法条核心：信息须被记录于电子系统（如CRM系统、APP后台）或纸质载体（如客户登记表）等媒介，记录形式不限，文本、图像等均可。

仅口头表达而未以任何方式记录的信息，不满足《个人信息保护法》关于“以一定方式记录”的形式要件，因此不在该法的直接保护范围之内。但这并不意味着可以随意使用该口头信息，若擅自传播或用于商业目的，仍可能构成《民法典》规定的隐私权侵权或个人信息权益侵权。

结合开篇场景来看，手机APP收集的位置信息、企业登记的客户姓名手机号、小区门禁采集的人脸影像，均被记录于电子系统或纸质载体，满足这一要件；而员工口头得知的客户联系方式，若未记录在任何载体上，则不满足该要件，不受《个人信息保护法》保护。

重点注意两点即可：

1.若口头信息被后续记录，例如企业员工在履行工作职责过程中将其记录于工作笔记、电脑文档等载体，则该信息满足“以一定方式记录”要件，成为受《个人信息保护法》保护的个人信息，相关处理者需履行基础保护义务。

2.刻意要求“口头收集不记录”以规避合规要求，本质仍属不合规行为，需避免此类操作。

要件二：与自然人有关

法条核心：信息需指向或关联特定自然人，如身份信息、行为轨迹、生理特征等。死者本人的权利主体地位已终止，不直接适用《个人信息保护法》关于个人信息主体权利的规定，但该法第49条赋予其近亲属在一定条件下行使查阅、复制、更正、删除等权利，因此处理死者信息仍需注意相关法律要求。法人及非法人组织的信息，如企业名称、统一社会信用代码，则不适用《个人信息保护法》。开篇中提到的员工身份证复印件、客户姓名手机号、人脸影像，均明确指向特定自然人，符合该要件；而企业的营业执照信息、行业公开的统计数据，因指向法人或不特定群体，不适用《个人信息保护法》。

处理相关信息需注意两点：

1.员工离职后，其在职期间的个人信息仍受《个人信息保护法》保护，不得随意泄露、删除，需按规定留存.

2.已故人员的个人信息，其本人虽不再是个人信息主体权利的直接享有者，但《个人信息保护法》第49条赋予了其近亲属在一定条件下行使查阅、复制、更正、删除等权利，因此处理已故人员信息仍需遵循该法及相关法律要求，不得随意泄露。

要件三：具备可识别性

法条核心：这是判断是否为“个人信息”的最核心标准。“已识别”指信息本身可直接确定特定自然人，如身份证号、人脸；“可识别”指信息本身不能直接定位个人，但结合其他信息可锁定自然人。结合开篇场景，客户姓名手机号、员工身份证复印件、人脸影像，均能直接识别特定自然人，属于“已识别”信息；手机APP收集的位置信息，单独来看无法定位个人，但结合用户账号信息，即可锁定具体用户，属于“可识别”信息，均符合该要件。

判断“可识别性”，需结合信息处理者的技术条件、持有的其他数据综合判断，以下是3类高频场景的简洁解答，帮助快速厘清：

1.设备标识符：若能关联用户账号等信息锁定个人，即属于个人信息，需规范收集范围；若仅作为设备管理使用，不关联任何个人信息，则不属于个人信息；需要注意的是，同一类信息在不同处理场景下可能得出不同结论。是否属于个人信息，关键取决于信息处理者是否具备将之与其他信息结合进而识别特定自然人的技术能力和数据资源，实践中应结合具体场景综合判断。

2.网络行为日志：单独的IP地址可能无法识别个人，但结合持有的“IP地址对应账号”“浏览轨迹关联的用户偏好”，即可锁定特定自然人，属于个人信息，后台信息收集需把控必要性；

3.生物识别信息：此类信息具有唯一性、不可更改性，无需结合其他信息即可直接识别特定自然人，属于高敏感个人信息，相关处理流程需严格规范，开篇中小区门禁采集的人脸影像即属于此类。

要件四：排除匿名化信息

法条核心：经匿名化处理后的信息，因无法识别特定自然人且不能复原，不再属于个人信息，不适用《个人信息保护法》的合规要求。

易混淆点在于“匿名化”与“去标识化”，二者的核心区别是“是否可复原”，用通俗的语言拆解：

1.匿名化：在合理技术手段和当前技术水平下，无法识别特定自然人且不能复原。例如将“姓名+手机号+消费记录”中的所有个人标识删除，且无法通过合理方式重新识别个人，此类数据不属于个人信息，可自由处理。

2.去标识化：仅删除直接标识符，如姓名、身份证号，但保留间接标识符，如MAC地址、浏览轨迹，通过技术手段或结合其他信息，仍可复原并识别特定自然人，此类信息仍属于个人信息，需严格履行《个人信息保护法》规定的收集、存储、使用、删除等全流程合规义务，不可随意处置。

合规指引

结合前文个人信息的核心要件解析及日常高频信息处理场景，针对实践中易出现的认知偏差和合规漏洞，给出3点合规指引，帮助相关主体规范个人信息处理行为，从源头规避因定义误判、操作不当引发的合规风险，具体如下：

1.定期自查，找准判断核心：

日常需定期对自身收集、存储、使用的各类信息进行自查，判断核心始终围绕“能否锁定具体某一自然人”，无需机械认定“仅姓名、身份证号才是个人信息”。开篇中提到的手机APP位置信息、小区人脸影像、客户姓名手机号等，均需按个人信息规范履行保护义务，自查时需重点排查此类易被忽视的信息，避免遗漏。

2.分清“匿名化”与“去标识化”，规避核心误区：

实践中多数合规风险源于二者混淆，需明确区分并规范操作：匿名化处理后的信息因无法识别且不可复原，可自由使用；而去标识化仅删除直接标识符，仍可通过间接标识符关联个人，仍属于个人信息，不可随意处置。例如企业处理客户数据时，仅隐藏姓名、手机号，却保留客户收货地址、消费习惯的，仍需严格履行收集、存储、删除等全流程保护义务。

3.杜绝规避合规的不当行为：

不得通过“口头收集不记录”“仅收集间接标识符不收集直接标识符”等方式规避《个人信息保护法》义务。需明确，口头信息一旦被记录于工作笔记、电脑文档等载体，即成为受保护的个人信息；间接标识符若能关联特定自然人，也需按个人信息规范处理，不可心存侥幸。

小结

综上，合规指引的核心是围绕个人信息的四项核心要件，规范日常信息处理行为，而判断某一信息是否属于《个人信息保护法》所保护的“个人信息”，本质仍是紧扣这四项核心要件，结合具体处理场景综合判断，而非机械套用法条。

开篇提及的手机APP位置信息、客户姓名手机号、小区人脸影像、员工身份证复印件等，均符合上述四项核心要件，属于《个人信息保护法》所保护的个人信息，相关主体在收集、存储、使用过程中，需严格恪守合规要求。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：合规社 《《个人信息保护法》保护的个人信息是什么？》