（一）个人信息的定义

《网络安全法》第七十六条第五款规定：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。同时《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条也对于个人隐私与个人信息做了列举式的规定，包括自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动。

综合以上规定，我国法律对于个人信息的定义已经较为清晰。但需要注意的是，是否认定为个人信息最关键的判断标准是能否综合起来识别特定的自然人。法律并不禁止对于不能识别特定人身份的，加以处理过的碎片式的个人信息。

（二）个人信息侵权的救济(www.daowen.com)

在对个人信息进行保护的思路上，各国有不同看法，从而形成了不同的立法例。美国将个人信息归属于隐私权进行保护，而德国则将个人信息归属于一般人格权或直接作为个人信息权进行保护。与国外的分歧一样，我国法律界对个人信息的保护思路也存在与上述情况相似的争鸣。虽然没有明确的法律法规规定将个人信息归属于隐私权进行保护，但在司法实务中法院基本都将个人信息侵权按照隐私权侵权来保护。

个人信息侵权的表现形式包括：①对自然人侵权者：窃取或者以其他非法方式获取个人信息；非法出售或者非法向他人提供个人信息；②对网络服务提供者：除了前述两种表现形式之外，还包括未经允许的搜集个人信息的行为，泄露、篡改、毁损其收集的个人信息。

实务中，是否有个人信息遭受损害的侵权结果发生往往无须论证，事实往往非常清楚。司法救济中最大的难度在于如何举证侵权损害结果与侵权主体之间的因果关系。个人信息泄露纠纷中，往往有多方主体掌握被泄露的完整信息，包括个人信息所有者自己。在有多个主体介入的情况下，如何认定侵权主体以及确定具体侵权责任的承担？实务中，首先会考量信息所有人自己是否具有泄露的可能，如果没有充分证据证明信息所有人有自身泄露的可能的话，一般推定其具有诚实、善意的主观状态，不属于自己故意泄露个人信息而进行虚假诉讼。其次，法院会结合具体的被泄露的个人信息，确定被告是否完整泄露个人信息，若该主体确实掌握信息，则认定其具有信息泄露的高度盖然性。在此基础上，法院再审查被告提供的证据是否足以推翻前述高度盖然性。若能，则由原告承担举证不能的后果；若不能，则进一步考虑被告是否对于信息的泄露具有主观过错。而一般过错的审查会考虑以下几个要素：①是否具有法律上妥善保管个人信息的义务，比如网络服务提供者对于其收集的用户个人信息具有妥善保存的义务；②企业经营规模及知名度、掌握个人信息数量，与其尽到的保护措施是否相适；③是否有足够的可能知悉信息防护漏洞，例如平台此前有无被媒体报道过信息泄露等。在前述基础之上，若认定被告具有过错，则会认定被告承担个人信息泄露的侵权责任。