《
个人信息保护法》第4条第1款规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
从“个人信息”的定义看,《个人信息保护法》采用“识别+关联”的方式划定了个人信息的范围,即“与已识别或者可识别的自然人有关的各种信息”。此外,本条将“匿名化处理后的信息”排除在“个人信息”的范围之外,也就意味着匿名化信息不需要受到本法的规制。需要注意的是,个人信息是否实现“匿名化”也有明确的标准,《个人信息保护法》第七十三条第四项明确规定,“匿名化”的信息不仅应当“无法识别特定自然人”,还必须确保“不能复原”。如不满足上述条件,相关信息即不属于“匿名化”的个人信息,依然需要受《个人信息保护法》的规制。
《个人信息保护法》第4条第2款规定:个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
从“个人信息的处理”的定义来看,《个人信息保护法》将个人信息的删除亦纳入个人信息处理的范畴,基本涵盖了个人信息全生命周期的各项活动,这意味着个人信息全生命周期的处理活动均受到本法的规制,处理者在每个环节的个人信息处理行为都应当遵守《个人信息保护法》的规定。