目前国内外对个人信息保护法的保护客体称谓，包括“个人数据或个人资料（personal data）”“个人信息或个人资讯（personal information）”“隐私（privacy）”。这些称谓其实并无本质区别，是可以通用互换的。实际上，它们只是对personal data和personal information的不同译法，如英国《个人数据保护法》的法律名称为data protection，但该法绪言将之解释为对个人信息的监管（the regulation of the information relating to individuals）［15］。美国采用的是“隐私”概念，这主要是因为隐私权（The Right to Privacy）的概念起源于美国，最早是由S.沃伦（Samuel Warren）和L.布兰代斯（Lousi Brandeis）提出的。隐私权是基于人格权所衍生的，而非一种财产权。在美国现有的法律体系中，隐私权是内涵和外延非常广泛的概念，涵盖了个人、个人生活，乃至社会生活中的所有领域。个人信息和个人隐私是两种相关联的不同概念，二者交集于涉及隐私的个人信息。

纵观世界上主要国家、地区和国际组织的个人信息保护法律或规定，主要采用“概括式定义”和“概括式＋列举式定义”两种方式，例如，欧盟《个人数据保护指令》就采用了前者，规定“个人数据是指任何与已确认的或可以确认的自然人有关的信息”；而美国、中国台湾在概括式定义的基础上进一步列举了某些典型的个人信息类型来加以说明。美国《隐私法》规定，个人信息是指由任何机关保有的有关个人情况的单项、集合或组合，包括但不限于其教育背景、金融交易、医疗病史、犯罪前科、工作履历或其他特属于该个人的身份标记，如指纹、声纹或照片等。中国台湾所谓的“个人资料保护法”规定，个人信息是指包括自然人的姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人的信息。不过随着新兴信息技术的发展，传统的个人信息保护的客体内涵将进一步扩展至生物特征识别信息、位置地理信息、智慧电表中的有关信息等。

根据个人信息处理手段不同，可将个人信息分为自动处理的个人信息与手动处理的个人信息。前者是指通过计算机或其他自动化处理设备输入、储存、编辑、更正、删除、传输的个人信息，后者是指自动化处理机器之外的通过手工方式处理的个人信息。这种分类与全球个人信息保护法的变迁有关。较早出台的法律主要是先关注自动处理的个人信息，后来才同时关注手动处理的个人信息，如德国《个人数据保护法》在1977年颁布之初仅调整自动处理的个人信息，1990年修订后才改为同时处理自动处理与手动处理的个人信息。

根据收集个人信息的机构不同，可将个人信息分为公共机构个人信息和非公共机构个人信息，前者是基于职责之需，通过对个人信息的适当收集、处理与利用，可提高公共机构的效率，增进社会福利，后者则有利于提高经济效率、促进竞争。这种分类方式也与个人信息保护法的模式变迁紧密相关，即存在“单一式”与“分散式”两种立法模式。前者是以一部单一的法律对公共机关和非公共机关的个人信息进行保护，这主要出现在欧盟成员国，后者是分别针对公共机关和非公共机关各自出台个人信息保护法律，比如新加坡《个人信息保护法》只是针对非公共机关的个人信息进行全方位保护，而公共机关的个人信息则通过其他法律加以保护。美国则对公共机关制定有专门法律，而对非公共机关仅根据需要在某些行业制定相关的法律。(www.daowen.com)

还有就是根据个人信息的敏感程度不同，可将个人信息分为一般个人信息和敏感个人信息。1981年，欧盟理事会（the Council of the European Union）为保护经自动化处理的个人信息，出台了《保护个人关于自动化处理个人资料公约》（Convention For The Protection of Individuals With Regard to Automatic Processing of Personal Data，European Treaty Series－No.108），（以下简称《欧盟个人数据保护公约》）。《欧盟个人数据保护公约》是第一个对敏感个人数据作出定义的国际公约，其中第6条规定：除国内法已提供适当的安全措施外，各缔约国不得对显示下列内容的个人数据进行自动化处理，包括种族、政治主张、宗教或其他信仰以及与健康、性生活与刑事判决有关的个人数据。《欧盟个人数据保护公约》并未使用“敏感数据”（sensitive data）一词，而是使用“特种数据”（special categories of data）。1995年欧盟《个人数据保护指令》（Directive 95／46／EC）仿照《欧盟个人数据保护公约》以“特种资料”（Special categories of data）称呼“敏感个人数据”，其第8条第1款规定：只要能揭示种族血缘、政治观点、宗教信仰、工会会员资格的个人数据及涉及个人健康或性生活等个人数据，会员国皆不能加以处理。第5款就刑事记录作了特别规定：关于犯罪、刑事判决或处分等数据的处理，须由公共机关加以监管，或国家法律已提供适当特定的安全维护措施者，会员国必须制定例外条款。欧盟《条例》也增设了敏感个人信息的保护条款，且原则上禁止收集和处理。欧盟各国的个人数据保护立法皆受欧盟《个人数据保护指令》约束，各国对敏感个人信息的定义均与欧盟《个人数据保护指令》大致相符。

美国1974年制定的《隐私法》（Privacy Act）将敏感个人信息一并纳入个人信息的范畴中，并没有特别加以区分定义。美国对于敏感个人信息的保护，缺乏统一的立法规范。不同类别的敏感个人信息则适用不同法规，比如《健康保险携带与责任法》（Health Insurance Portability and Accountability Act，HIPAA），虽然专门对医疗信息处理进行规范，但如那些不受HIPAA规范的机构所搜集的医疗信息，即不受到任何保护。不过鉴于美国和欧盟之间存在的《安全港协定》（U.S.－EU Safe Harbor Agreements），美国对那些需要跟欧盟进行跨境数据流通的敏感个人信息进行了定义，具体内容与欧盟《个人数据保护指令》相一致。加拿大的个人数据保护法，可分为《隐私法》（Privacy Act）和《个人信息保护与电子文件法》（Personal Information Protection and Electronic Documents Act 2000，PIPEDA，下称《个人信息保护法》）。前者适用于国家政府机关，后者适用于私人机构。加拿大的《隐私法》并没有对个人敏感信息进行特别定义，而《个人信息保护法》则授权机构可根据场景自行认定该信息是否具备敏感性。澳大利亚在1988年制定的《隐私法》并没有对一般个人信息与个人敏感信息加以区别。不过受欧盟《个人数据保护指令》的影响，澳大利亚在2001年发布了《国家隐私原则》（National Privacy Principles，NPPs）。澳大利亚《隐私法》将种族或人种根源，政治意见，政治性社团的会员资格，宗教信仰，哲学信仰，专业性或商会会员资格，工会会员资格，性取向与性行为，刑事记录，个人健康信息，个人基因信息均列为个人敏感信息。近年来，澳大利亚还将指纹、DNA、虹膜、面部特征与声音等生物识别信息列为个人敏感信息［16］。