不同概念的内涵略有差别,但目前个人信息保对于个人信息的定义,一般以“识别”为核心标准,即指与个人相关的,能够直接或间接识别特定自然人的信息。
2.个人信息的商业使用
个人信息商业使用的核心特征是信息使用服务于商业目的。尽管公司、企业是个人信息商业使用的主体,但判定是否属于商业使用个人信息并不能以使用主体为标准。依托信息通信技术及网络,、事业单位甚至个人同样可以实现对个人信息的收集汇聚并加以商业利用。
同时,商业目的不仅包括通过使用个人信息直接获得经济收益,也包括使用个人信息帮助设计产品或服务,提高用户体验,从而间接获取经济收益。在实践中,服务于商业目的包括对用户个人信息的收集、整理、更新、分析、挖掘、统计,以服务于企业设计产品、市场营销、客户开发、渠道拓展等,直接或间接取得商业利润和其他商业回报。
关于个人信息“使用”的概念界定,立法不同。
第一种是狭义界定,将个人信息使用行为作为一种具体的处理行为。欧盟《个人数据指令》引入了“处理”概念,将其作为个人信息保调整的大类行为,吸收合并了几乎有关个人信息的所有行为。该指令第2条(b)项,个人数据处理,是指对个人数据所作的任何操作或一组操作,操作可以通过自动或非自动的方式进行,如收集、记录、组织、储存、改变或变更、检索、咨询、使用或通过传输进行公开,以及或使其能够被使用、排列或组合、组块、删除或。日本、韩国以及阿根廷都采用了这一做法。
第二种是较为广义的界定,将使用与搜集、处理行为并列。如我国地区的《个人资料保》,调整的行为包括搜集、处理、利用。其中,处理是指为建立或利用个人数据文件所为数据之记录、输入、储存、编辑、更正、复制、检索、删除、输出、连结或内部传送。利用是指将搜集之个人数据为处理以外之使用。
第三种是广义界定,认为使用包括处理和转移行为。如奥地利《联邦个人数据保》第四条第(8),数据使用是对数据应用程序中的数据进行的各种操作,既包括数据处理,也包括数据传递。
目前,我国关于个人信息商业使用的主流观点主要是广义界定,即指服务于商业目的,在取得个人信息的基础上,对个人信息所作出的录入、存储、修改、复制、检索、整理、标注、比对、挖掘、传输、披露、公开等处理和利用行为。