《决定》第1条规定，国家保护公民身份和隐私的电子信息，反对非法利用公民个人电子信息的行为。在理论上，隐私、身份信息和个人信息并不是同一概念。

隐私是针对隐私权来说的，其基础在于公民的自我决定权，从这个意义上说，隐私权是公民自己决定个人信息是否被使用，或者如何被使用的权利。

身份信息属于广义上的敏感信息，是隐私的组成部分。身份信息、注册信息和行为信息组成了网络个人信息的全部。在网络实名制背景下，身份信息因其可能造成网民电子信息被特定化，所以各国大都规定保有者不是网络公司，而是政府或中立组织机构。

个人信息的概念是网络隐私的上位概念，既包含身份信息、注册信息，又包括网络行为信息。隐私权则是权利行使范围的界限问题。隐私权作为一种以自我决定权为基础的人格权，当然可以通过各种方式予以让渡。

所以，在具体落实细化《决定》的时候，必须要对个人信息和隐私进行划分，即哪些属于可以被让渡的权利，该如何让渡使用，哪些信息是不能以任何方式让渡的，也不能被使用。

（一）只有被特定化的个人信息才是法律保护范围

欧盟的《个人数据处理保护与自由流动指令》（Directive 95/46/EC）中对个人数据的规定是指，任何与已识别的或可以识别的自然人有关的信息。可以识别的自然人是指直接或间接地，特别是通过参考他的识别号码或通过他所特有的身体、生理、精神、经济、文化或社会身份等众多因素中的一个或几个可以对其进行确认的人。

英国《数据保护法》规定，个人数据是指与可被识别的生存的个人相关的数据：（1）依据这些数据可识别个人，或者（2）依据这些数据以及数据控制者获取或可能获取的其他信息可识别个人。

美国《隐私权法》规定，法律保护的个人记录是指：行政机关根据公民的姓名或其他标识而记载在的一项或一组信息。“其他标识”包括别名、照片、指纹、音纹、社会保障号码、护照号码、汽车执照号码，以及其他一切能够用于识别某一特定个人的标识。(www.daowen.com)

日本《个人信息保护法》规定，个人信息是指与生存的个体相关的信息，该个体可以通过姓名、出生日期以及其他包含在信息中的内容所识别。包括通过与其他信息简单比照就可以识别特定个体的信息。

通过比较可以发现，各国对个人信息保护的范围虽然不尽相同，但是，这些数据和信息被法律保护的主要特点都是一致的，那就是信息的特定化。换句话来说，广义上的个人信息并不都是法律保护的范围，只有当信息有可能被特定化，即特定到具体可识别的人之时，这些信息才可能会涉及隐私权的问题。

（二）敏感信息应该予以明确

《决定》没有做出类似德国法和我国台湾地区“个人信息保护法”中敏感信息的划分。所谓“敏感”就是禁区的意思，即便是出于公共利益之目的，任何人在没有得到授权之前，都不得随意公开或者非法获取。“敏感”包括五个方面：基因、性生活、犯罪前科、医疗健康、健康检查。这些方面都涉及个人尊严和社会评价，如果随意查询或者公开，势必造成受害人难以用金钱衡量的损害。“敏感”的规定源于德国等欧盟国家类似法律，这与美国等其他国家规定并不一致，在后者看来，“敏感”是否存在的必要并不是建立在个人权利基础上，而是在公共利益之上的。比如，美、韩等国支持对未成年人性侵犯罪记录的公开，并不认为这样做侵害当事人隐私，反倒是保护更多人权益的必要手段。台湾地区将“敏感”列入保护法之中，其实也是一个对利益平衡的选择问题。

之所以对敏感信息进行额外保护，是因为其一旦遭到泄露或修改，就会对个人信息主体造成无法挽回的影响。由于各国政治制度和社会文化的不同，对于敏感信息的理解也有所不同。其所包含的范围也比较广泛，只要是事关个人尊严以及当事人认为公开会对其造成心理上的困扰等，都构成个人敏感信息，如包括健康信息、医疗信息、婚姻家庭信息、身体信息等。

英国1998年《数据保护法》将敏感的个人信息定义为“数据主体的种族、政治观点、宗教信仰或与此类似的信仰、工会成员关系、身体或精神健康状况、性生活、所犯或被指控的罪行，或与此有关的诉讼等个人数据。”

我国台湾地区2010年“个人资料保护法”第6条明确规定了敏感信息的类型：“有关医疗、基因、性生活、健康检查及犯罪前科之个人数据，不得搜集、处理或利用。”

我国于2013年2月1日起实施的首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》中也对敏感信息做出了规定，其3.7部分：“各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。”