案例讲述

2020年疫情爆发后，元女士担心医疗资源挤兑，自购了一台制氧机。2022年8月，该制氧机出现故障，元女士找商家处理，商家表示需要送交专业的医疗器械维修单位维修。元女士要求商家不得向维修单位提供其个人身份信息，并对其制氧机的序列号加密处理后，再将制氧机提供给维修单位维修。商家同意不向维修单位提供元女士个人身份信息，但认为制氧机序列号不属于受法律保护的“个人信息”，无需加密处理，拒绝了对制氧机序列号加密处理的要求。

律师分析

《民法典》第一千零三十四条第二款规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”个人信息的核心特点为“可识别性”，既包括对个体身份的识别，也包括对个体特征的识别；对个体身份的识别确定信息主体“是谁”，对个体特征的识别确定信息主体“是什么样的人”，即该信息能够显现个体自然痕迹或社会痕迹，勾勒出个人人格形象。

《信息安全技术个人信息安全规范》（GB/T 35273-2020）附录A中明确，判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。识别个人的信息可以是单独的信息，也可以是信息组合。可识别性需要从信息特征以及信息处理方的角度结合具体场景进行判断。二是关联，即从个人到信息，如已知特定自然人，则该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，即应判定为个人信息。

同时，《信息安全技术个人信息安全规范》（GB/T 35273-2020）附录A表A.1给出了个人信息举例，其中第十一行“个人常用设备信息”的描述如下：“指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码（如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI信息等）等在内的描述个人常用设备基本情况的信息”。

制氧机的序列号是制氧机的设备识别码，而若序列号与特定个人形成一一对应的关系，则符合前述“个人常用设备信息”的描述，因此，销售给特定个人的制氧机的序列号属于受中国法律法规保护的个人信息。前述案例中，元女士有权要求商家对其制氧机的序列号进行加密处理后，再提供给维修单位维修。