《网络安全法》规定公民个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”

《信息安全技术 个人安全规范》进一步解释，判定某项信息是否属于个人信息，应考虑两个路径：一是识别，即从信息到个人；二是关联，即从个人到信息。从而将个人信息识别机制确定为“识别+关联”的判断标准。

因此，能识别到具体个人（即“识别”的判断标准）的信息属于个人信息，例如采集员工的“姓名+体温”，因为“体温”信息结合“姓名”信息，能识别到具体个人，所以“体温”信息属于个人信息（详见：天衡战“疫”：企业能否采集员工“体温”数据？）；能关联到具体个人（即“关联”的判断标准）的信息也属于个人信息。例如，已知甲的身份信息，甲使用运动类 APP绕公园打卡一圈发朋友圈，运动类APP所显示的是甲的行踪轨迹，是由甲所关联的信息，因此也属于个人信息。因此，“位置”信息也属于个人信息。

“位置”信息的商业变现途径有很多种，并且随着市场的变化，还在陆续演化出新的变现场景。笔者仅举其中的两种途径（暂不考虑合法性），以供参考：

（一）精准推送广告

相信大家有过这种体验，当坐动车抵达其他地市时会接收到“欢迎来到××旅游”的短信通知；当路过商店门口或者出国旅游在朋友圈定位打卡时，会发现朋友圈推送该商店或者该国产品的广告信息等等。上述做法在于用户的位置信息被收集后，企业对数据进行使用或者通过转让、共享给其他企业进行精准广告推送，进而收取费用。

用户抵达其他地市收到广告，原因在于用户在使用手机或者网络时，发射的信号（包括手机的IMEI）被电信运营商所收集，从而能精准定位用户的“位置”信息；用户在路过商店门口或者出国后在朋友圈定位打卡收到广告，原因在于微信收集了用户位置信息后，通过程序化广告进行了精准推送。

微信的广告购买界面信息▼

（二）建构健康模型

这里所说的建构健康模型，主要针对运动类APP而言。很多运动类APP利用用户的“位置”信息，套用医学公式计算用户的心率等健康数据。经过定期追踪用户的健康数据进而建构用户的健康模型，从而判断用户当前的健康情况。此类健康数据主要用于做用户的健康分析，可与医院、生物技术公司、保险公司做信息共享。例如，当用户想投保时，保险公司通过采购用户的健康数据，对其健康情况进行判断，进而决定是否允许用户投保，以规避风险。

由上可知，“位置”数据属于个人信息，并且现实生活中已经有诸多利用“位置”信息进行商业交易的行为，“位置”信息的商业价值在逐渐凸显。在此次疫情中，有些企业或个人不以盈利为目的，自行开发“防疫”追踪地图；有些本身就做定位跟踪的企业，则主动改变用户信息的使用目的，转而为百姓提供“防疫”追踪地图服务；还有些新媒体企业专门开辟附加业务功能，在提供基础功能服务的同时，附带提供定位服务。笔者认为这几种类型的企业或个人的做法有利于当前疫情的防控，但考虑到“位置”信息具有较强的商业用途，在“位置”信息的采集中，仍需注意以下几个合规问题：

第一、突破“告知+用户同意”的判断标准须具体问题具体分析

根据《网络安全法》第41条的规定，我国对于个人信息的采集一直以执行“告知+用户同意”为判断标准。同时，《信息安全技术 个人安全规范》规定网络运营者如果需要改变信息使用目的的，需要再次征得个人信息主体的明示同意；附加业务功能是核心业务功能以外的其他功能，收集用户的附加业务功能信息须以弹窗等方式征得用户同意。

然而，由于此次疫情严重，属于突发重大卫生事件，在协助政府做好传染病的预防工作中，企业或个人在收集用户信息可突破“告知+用户同意”的判断标准；在改变信息使用目的时也可不经过用户“明示同意”；甚至在附加业务功能中也可收集用户信息，此时用户“不得隐瞒、缓报、谎报”个人信息数据（详见《天衡战“疫”：企业能否采集员工“体温”数据？》）。

但须注意的是，突破“用户同意”合法性例外的关键在于，收集或使用的目的在于协助政府做好传染病的预防工作。如果收集信息的根本目的是企业盈利，例如新媒体企业开辟附加的“防疫”追踪地图的目的在于引流，根本目的在于趁机占领市场，则在收集“位置”信息时仍需遵循“明示同意”的判断标准。

第二、明确数据收集者的身份

当前很多的“防疫”追踪地图实际上是网络运营者利用第三方软件开发包（SDK）进行数据的采集。例如，某些核心业务功能并非提供“定位”服务的企业，只是临时接入高德地图、百度地图的软件开发包，所以真正提供“防疫”追踪地图服务的是第三方软件开发包。因此，“防疫”追踪地图将会存在数据收集者身份的确认问题。如果数据的采集是由SDK运营者直接采集，而用户是跟网络运营者接触，而无法实际接触到隐藏背后的SDK运营者，将存在SDK运营者无法得到用户“明示同意”的问题，此时网络运营者须在隐私政策等协议中向用户披露SDK运营者存在，并做好数据存储、共享等方面的合规操作；如果数据的采集是由网络运营者和SDK运营者共同采集，两者则成为信息采集的共同控制者，两者均需对用户的信息做好存储、使用、共享等合规操作。

第三、满足最少够用原则

根据《信息安全技术 个人安全规范》的规定，网络运营者采集的数据除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息。“防疫”追踪地图的使用目的在于为用户尽最大可能切断感染新型冠状肺炎的风险。因此，在采集用户信息时，不应频繁收集，并且只可收集“位置”信息；等疫情结束后，网络运营者应将所采集的用户“位置”信息应及时删除。