个人信息保护最底层的逻辑不自洽就是对个人信息定义的理解。目前，个人信息的定义主要有两种方式：（1）识别论；（2）关联论。无论采取何种方式，个人信息的定义都有过宽之嫌。笔者此前已撰文阐述。通过单一数据、统计数据和大数据的理解框架，我们可以进一步发现个人信息定义的问题所在。立法中对个人信息的定义针对的是单一数据，这是基于用户保护的角度。而数据价值的释放是以统计数据为基础，甚至是以大数据为基础的。从统计数据、大数据的视角看个人信息保护问题，对个人信息定义的理解，会发生很大的变化。前述人肉搜索的例子中，有关自然人的数据是分散、碎片化的，通过整合而具备了识别自然人身份的效果，这是通过统计数据层面实现的。前述用户画像的例子中，有关自然人的数据是“海量”的、丰富的，通过算法（大数据技术）形成了用户画像。这些数据如果分别置于单一数据层面，都是不能识别自然人身份的。放置于统计数据层面，问题就会产生，比如“步态识别”技术，就可以通过步态分析来达到身份识别的目的。^[23]按照通行个人信息定义的理解，步态也应当作为个人信息的类型予以保护。放置于大数据层面，问题更为突出，个人信息的定义强调的是因果关系，而大数据并不以因果关系为前提，通过相关关系就能分析出结果，比如微观层面的大数据——用户画像。那么个人信息的范围还将变得更宽，甚至是无穷大。程啸认为，个人信息保护的范围越来越广，甚至在许多情况下，连界定哪些信息属于个人信息都存在困难。^[24]我们可能还无法想象未来通过何种数据能够识别自然人身份。由此可以发现，问题的症结在于，我们所期待保护的是单一数据层面，以此对个人信息进行界定，同时也制约了统计数据，特别是大数据的形成，用户保护和数据价值相冲突，且难以调和。

个人信息保护的出发点是单一数据层面，防止个人身份被不当识别。但是，统计数据、大数据层面并不一定要识别自然人身份，甚至有些信息并不能识别自然人身份。比如，新冠疫情期间这一问题就十分突出。应对迅速蔓延的疫情，只有及时、准确掌握疫情相关人员信息，才能迅速采取针对性的措施，避免疫情的进一步扩散。对此，有必要采取技术手段，确定密切接触人员的范围。确定的目的是能够将密切接触的信息通知到个人，并进一步采取相关措施。这一技术手段并非要识别自然人身份，而是建立联系渠道。有可能通过技术机制取得的仅仅是某个人的手机号码，而并未获取这个人的身份。当然，如果说手机号码不是个人信息，可能不符合大众认识。更进一步来举个例子，为了确认密切接触人群，安卓系统（Android）和苹果系统（IOS）所开发的蓝牙追踪技术，也引发了个人信息保护的担忧。从法律层面看，假设用户A被确诊，通过该蓝牙技术可以追踪到用户B、C、D等，通过用户A从用户B、C、D处所收集的信息是否属于个人信息？需要用户B、C、D的同意吗？当用户A被确诊时，他所掌握的与用户B、C、D的接触信息就会被上传到疫情防控机构，此时是否构成了一项个人信息转移行为，这种转移是否需要取得用户B、C、D的同意？如果答案都是肯定的，这种机制能否覆盖平时的情况？例如当我们使用有些App时，需要上传手机通讯录，此时App所征求的是手机所有人的同意。但是，通讯录中的联系人信息并不属于手机所有人，而是对应联系人的个人信息。这实质上是一项个人信息转移的活动。实践中，我们并没有征求对应联系人的同意，也很难操作。德国WhatsAPP案中^[25]，用户E注册使用WhatsAPP时，必须同意接受其用户协议，向WhatsAPP提供其手机通讯录中联系人的信息。但用户E未从联系人处得到同意。法院裁判用户E的母亲（因E是未成年人，由其监护人承担义务）有义务取得孩子手机通讯录中所有联系人的书面同意。如果在疫情防控过程中，适用德国WhatsAPP案的思路，数据防疫的作用将大为减弱，甚至是不可实现。而在平时，如果通讯录的读取需要逐一取得联系人的同意，也不具有强操作性。这对如何确定个人信息保护的客体，以及如何进行个人信息保护提供了讨论的空间。(www.daowen.com)