韓旭至

(武漢大學(xué) 法學(xué)院，湖北 武漢 430072)

個(gè)人信息類型化研究

韓旭至

(武漢大學(xué) 法學(xué)院，湖北 武漢 430072)

個(gè)人信息可依三種不同標(biāo)準(zhǔn)作類型化劃分。依能否直接識(shí)別特定自然人的標(biāo)準(zhǔn)可分為直接個(gè)人信息與間接個(gè)人信息。一切需要借助其他信息確定特定自然人身份的信息均屬間接個(gè)人信息。依敏感度的標(biāo)準(zhǔn)可分為敏感個(gè)人信息與一般個(gè)人信息。敏感個(gè)人信息應(yīng)包括醫(yī)療及健康信息、性生活及性取向信息、身份識(shí)別號(hào)碼、個(gè)人生物識(shí)別信息。依信息主體身份的標(biāo)準(zhǔn)可分為普通人的個(gè)人信息與特殊群體的個(gè)人信息。特殊群體的個(gè)人信息指的是未成年人、公眾人物、公務(wù)員、企業(yè)高級(jí)管理人員及控制人的個(gè)人信息。

個(gè)人信息；隱私；人格權(quán)；類型化

目前，我國法律法規(guī)中列舉了種類繁多的個(gè)人信息，在司法實(shí)踐中也出現(xiàn)了各種各樣的個(gè)人信息。面對(duì)如此龐雜的個(gè)人信息內(nèi)容，以類型化的思維對(duì)其進(jìn)行研究確有必要。

《網(wǎng)絡(luò)安全法》第76條第5款采取了“概括+列舉”的模式定義個(gè)人信息，然而在不同的法律法規(guī)中，列舉的個(gè)人信息內(nèi)容卻不盡相同。除了《網(wǎng)絡(luò)安全法》第76條第5款列舉的“姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼”六項(xiàng)個(gè)人信息外，健康信息、財(cái)產(chǎn)信息、犯罪記錄等也常被列舉*如《征信業(yè)管理?xiàng)l例》第14條列舉了“宗教信仰、基因、指紋、血型、疾病和病史信息”以及“個(gè)人的收入、存款、有價(jià)證券、商業(yè)保險(xiǎn)、不動(dòng)產(chǎn)的信息和納稅數(shù)額信息”；《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》(法釋[2014]11號(hào))第12條列舉了“自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動(dòng)等個(gè)人隱私和其他個(gè)人信息”；《最高人民法院關(guān)于人民法院在互聯(lián)網(wǎng)公布裁判文書的規(guī)定》(法釋[2016]19號(hào))第10條列舉了“家庭住址、通訊方式、身份證號(hào)碼、銀行賬號(hào)、健康狀況、車牌號(hào)碼、動(dòng)產(chǎn)或不動(dòng)產(chǎn)權(quán)屬證書編號(hào)”。。

一方面，法律法規(guī)中列舉的個(gè)人信息內(nèi)容繁多、雜亂，不利于司法實(shí)踐中的理解適用；另一方面，司法實(shí)踐中又出現(xiàn)了更多的個(gè)人信息內(nèi)容。通過“中國裁判文書網(wǎng)”檢索，僅以援引法釋[2014]11號(hào)第12條的判決書為分析對(duì)象，截至2017年2月6日共有19份判決書，其中涉及個(gè)人信息的有17份。這些判決書便涉及包括戶籍資料、身份證號(hào)碼、家庭住址、婚姻狀況、工作單位、IP地址、健康信息、購物信息、照片記錄等各種個(gè)人信息。

在如此繁雜的個(gè)人信息種類中，有些顯而易見而有些則難以確定，有些對(duì)人威脅極大而有些則影響甚微，有些信息還可能因?qū)儆诓煌男畔⒅黧w而適用不同的規(guī)則。根據(jù)不同的類型化標(biāo)準(zhǔn)，個(gè)人信息可分為不同的類型。

一、個(gè)人信息類型化標(biāo)準(zhǔn)

關(guān)于個(gè)人信息的類型化標(biāo)準(zhǔn)存在多種學(xué)說，主要可分為微觀與宏觀兩個(gè)尺度。所謂微觀的尺度，即從法律法規(guī)列舉以及未列舉的各種具體的個(gè)人信息出發(fā)，對(duì)這些信息本身運(yùn)用歸納法作的內(nèi)容種類描述。所謂宏觀的尺度，即從作為一個(gè)法律概念的抽象個(gè)人信息角度出發(fā)，根據(jù)特定的屬性對(duì)抽象個(gè)人信息進(jìn)行類型劃分。

(一)個(gè)人信息的微觀分類

根據(jù)各具體個(gè)人信息本身的內(nèi)容，許多學(xué)者對(duì)個(gè)人信息作出了微觀分類。如劉德良認(rèn)為，從內(nèi)容上看，個(gè)人信息可分為“通信信息、財(cái)務(wù)信息、醫(yī)療健康等身體和生理方面的信息、教育信息、信仰信息、基因信息及特定社會(huì)關(guān)系等方面的信息”[1]。郭瑜認(rèn)為，個(gè)人信息類別有“生物信息、身份識(shí)別信息、通訊聯(lián)絡(luò)方式、活動(dòng)記錄、自我表達(dá)、外在評(píng)價(jià)”[2]。劉雅琦則主張“基本身份信息、身份延伸信息、個(gè)人社會(huì)關(guān)系信息、個(gè)人財(cái)產(chǎn)信息、個(gè)人行為信息”的類型劃分[3]。

學(xué)者們對(duì)個(gè)人信息的這些微觀分類無疑有利于理解個(gè)人信息的內(nèi)涵和外延，但卻未能回答在個(gè)人信息保護(hù)的法律意義上這些不同類型的個(gè)人信息之間是否有區(qū)別的問題。個(gè)人信息的微觀分類實(shí)質(zhì)上僅是個(gè)人信息范疇的附屬問題。如《網(wǎng)絡(luò)安全法》第76條第5款中的“個(gè)人生物識(shí)別信息”便能包括《征信業(yè)管理?xiàng)l例》第14條中的“基因、指紋、血型”。這實(shí)際上僅僅是對(duì)具體的各種個(gè)人信息的客觀歸類的過程。因此，個(gè)人信息的微觀分類并非本文所討論的個(gè)人信息類型化問題。

(二)個(gè)人信息的宏觀分類

在宏觀層面上，根據(jù)不同標(biāo)準(zhǔn)，學(xué)者們劃分出個(gè)人信息的各種類型。齊愛民歸納得出“直接/間接”“敏感/非敏感”“電腦處理/非電腦處理”“公開/隱秘”“屬人/屬事”“專業(yè)/普通”六種類型標(biāo)準(zhǔn)[4]。謝永志主張根據(jù)“屬人/屬事”“敏感/非敏感”“直接/間接”“國家機(jī)關(guān)持有/非國家機(jī)關(guān)持有”“普通群體/特殊群體”“計(jì)算機(jī)處理/非計(jì)算機(jī)處理”劃分[5]。洪海林認(rèn)為有“自動(dòng)處理/手動(dòng)處理”“敏感/一般”“普通群體/特別群體”三種分類[6]。蔣坡主張“直接/間接”“隱私/公開”“計(jì)算機(jī)處理/非計(jì)算機(jī)處理”“自然屬性/社會(huì)屬性”四大分類[7]。另外，還有學(xué)者也提出了包括“原始/傳來”[8]181“涉及人格尊嚴(yán)/無涉人格尊嚴(yán)”[9]“主觀/客觀”[10]在內(nèi)的其他各種分類標(biāo)準(zhǔn)。

誠然，類型化的標(biāo)準(zhǔn)千差萬別，根據(jù)不同標(biāo)準(zhǔn)可以將個(gè)人信息的類型進(jìn)行不同的分類。然而，類型化研究不是為了分類而分類，而應(yīng)受分類的必要性與合理性約束。也就是說，個(gè)人信息的類型化不僅應(yīng)具有類型學(xué)上的意義，更應(yīng)具有法學(xué)上的意義。抽象分類的法學(xué)意義在于，不同類型的個(gè)人信息受保護(hù)的方式、程度有所不同。唯有符合此意義的類型劃分才是必要且合理的。

然而，許多個(gè)人信息分類并不符合此類型化標(biāo)準(zhǔn)：(1)“國家機(jī)關(guān)持有/非國家機(jī)關(guān)持有”“計(jì)算機(jī)處理/非計(jì)算機(jī)處理”的劃分實(shí)際上對(duì)應(yīng)的是早期的個(gè)人信息保護(hù)立法。以韓國為例，雖然1993年《公共機(jī)關(guān)個(gè)人信息保護(hù)法》(已失效)曾針對(duì)的是公共機(jī)關(guān)持有的個(gè)人信息，而2011年《個(gè)人信息保護(hù)法》卻取消了這一限制[11]。又如我國臺(tái)灣地區(qū)1995年《電腦處理個(gè)人資料保護(hù)法》(已失效)針對(duì)的是計(jì)算機(jī)處理的個(gè)人信息，而2010年《個(gè)人資料保護(hù)法》也取消了對(duì)該計(jì)算機(jī)處理的限制。(2)就“公開/隱秘”的分類而言，個(gè)人信息不是隱私，其不以秘密性為要件，即便是公開的信息也受保護(hù)。只是在當(dāng)信息經(jīng)合法公開時(shí)，處理者可在公共領(lǐng)域中進(jìn)行收集。該分類的法學(xué)意義有限。(3)“原始/傳來”“主觀/客觀”的劃分并不能體現(xiàn)個(gè)人信息受保護(hù)方式或程度的區(qū)別。無論個(gè)人信息是否直接來源于信息主體，都受同等的保護(hù)。即便是對(duì)個(gè)人的主觀評(píng)價(jià)，只要具有識(shí)別性都屬于個(gè)人信息，與反映客觀狀況的信息一樣受到保護(hù)[12]。(4)“涉及人格尊嚴(yán)/無涉人格尊嚴(yán)”的劃分實(shí)際上屬于對(duì)個(gè)人信息屬性的理解有誤。個(gè)人信息屬于人格權(quán)客體，沒有不涉及人格尊嚴(yán)的個(gè)人信息，即便是個(gè)人財(cái)產(chǎn)信息也與個(gè)人的存在與發(fā)展休戚相關(guān)[13]。

在此認(rèn)識(shí)上，筆者認(rèn)為個(gè)人信息可劃分為：直接個(gè)人信息與間接個(gè)人信息、敏感個(gè)人信息與一般個(gè)人信息、普通人的個(gè)人信息與特殊群體的個(gè)人信息。

二、直接個(gè)人信息與間接個(gè)人信息

根據(jù)識(shí)別性強(qiáng)弱可分為直接個(gè)人信息與間接個(gè)人信息。這一分類不僅為學(xué)界主流學(xué)說所認(rèn)可[9，14-16]，也普遍體現(xiàn)在國內(nèi)外立法之中。

(一)法律依據(jù)及劃分標(biāo)準(zhǔn)

《網(wǎng)絡(luò)安全法》第76條第5款指出：“個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息。”其中，具有單獨(dú)識(shí)別能力的信息為直接個(gè)人信息，需與其他信息結(jié)合識(shí)別自然人的信息為間接個(gè)人信息。這一分類亦普遍存在于國外個(gè)人信息立法之中。如歐盟2016年《統(tǒng)一數(shù)據(jù)保護(hù)條例》第4條指出，個(gè)人信息包括“通過姓名、身份證號(hào)、定位數(shù)據(jù)、網(wǎng)絡(luò)標(biāo)識(shí)符號(hào)以及特定的身體、心理、基因、精神狀態(tài)、經(jīng)濟(jì)、文化、社會(huì)身份等識(shí)別符能夠被直接或間接識(shí)別到身份”的信息[17]129。

能否直接識(shí)別特定自然人是二者的劃分標(biāo)準(zhǔn)[14]。這也就是個(gè)人信息識(shí)別中的直接識(shí)別與間接識(shí)別。具有強(qiáng)識(shí)別性的直接個(gè)人信息能一目了然地識(shí)別出特定個(gè)人，而具有弱識(shí)別性的間接個(gè)人信息則必須經(jīng)過信息拼圖、比對(duì)的過程才能完成識(shí)別[18]。間接個(gè)人信息雖不直接指向特定個(gè)人，但通過指向與特定個(gè)人有關(guān)的事物[19]，在借助其他“輔助信息”后最終能起到識(shí)別的作用[20]。

基于二者的區(qū)別，有學(xué)者認(rèn)為直接個(gè)人信息才是傳統(tǒng)個(gè)人信息保護(hù)研究的對(duì)象[15]，也有學(xué)者認(rèn)為“人格權(quán)商品化”問題是針對(duì)直接個(gè)人信息而言的[16]。誠然，在前網(wǎng)絡(luò)時(shí)代，憑一個(gè)間接信息識(shí)別個(gè)人較為困難，對(duì)間接信息的利用也非常少見。但是在大數(shù)據(jù)時(shí)代的今天，僅憑在網(wǎng)絡(luò)上留下的蛛絲馬跡，就能輕易識(shí)別出特定個(gè)人。如消費(fèi)記錄、GPS位置信息、IP信息等更常被網(wǎng)絡(luò)服務(wù)提供商所抓取記錄，甚至用于商業(yè)活動(dòng)之中[9]。無可否認(rèn)，間接個(gè)人信息與直接個(gè)人信息一樣，均具有人格利益與商業(yè)價(jià)值。二者在保護(hù)程度上并無外觀上的差異*如在“熊文郁與楊婧瑤名譽(yù)權(quán)糾紛案”中，南京市中級(jí)人民法院確認(rèn)了被告惡意公開原告ID賬號(hào)、IP地址的行為侵權(quán)，并未因ID賬號(hào)、IP地址非直接個(gè)人信息而給予差別保護(hù)。(參見(2015)寧民終字第322號(hào)判決書)。只是在保護(hù)方式上，間接信息常需經(jīng)過識(shí)別性判斷后才能受到保護(hù)。

(二)范圍內(nèi)涵

一般認(rèn)為，姓名屬于直接個(gè)人信息。但在重名的情況下，也需要借助輔助信息進(jìn)行識(shí)別。至于身份證號(hào)、社保號(hào)、個(gè)人生物識(shí)別信息等具有唯一性的信息是否屬于直接個(gè)人信息則存在不同觀點(diǎn)。有學(xué)者認(rèn)為，由于其直接指向個(gè)人且具有唯一性，無疑屬于直接個(gè)人信息[4，14，21]。也有學(xué)者認(rèn)為，雖然身份證號(hào)、社保號(hào)也具有唯一性，但其缺乏“外顯性”，需要結(jié)合其他輔助信息，因此屬于間接個(gè)人信息[16]。

筆者認(rèn)為，唯一性信息不能等同于直接個(gè)人信息。一切需要借助其他信息才能確定特定自然人身份的信息都屬于間接個(gè)人信息。以身份證號(hào)信息為例，一串單純的數(shù)字組合若沒有結(jié)合個(gè)人姓名、肖像是無法直接將一個(gè)人認(rèn)出來的。即便是將身份證號(hào)輸入電腦系統(tǒng)進(jìn)行查詢，也必須以電腦數(shù)據(jù)庫存在與身份證號(hào)相連的特定自然人姓名等信息作為前提才能將其認(rèn)出來。

三、敏感個(gè)人信息與一般個(gè)人信息

根據(jù)敏感度高低可分為敏感個(gè)人信息與一般個(gè)人信息。關(guān)于這一類型劃分存在一定學(xué)術(shù)爭(zhēng)議，各國立法也不盡相同。

(一)法律依據(jù)及劃分標(biāo)準(zhǔn)

我國法律層面上并未對(duì)敏感個(gè)人信息與一般個(gè)人信息進(jìn)行明確區(qū)分，僅在部分指導(dǎo)性文件中采納了這一區(qū)分。如《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(以下簡(jiǎn)稱《保護(hù)指南》)第3.7條及3.8條*《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》第3.7條規(guī)定：“個(gè)人敏感信息：一旦遭到泄露或修改，會(huì)對(duì)標(biāo)識(shí)的個(gè)人信息主體造成不良影響的個(gè)人信息。各行業(yè)個(gè)人敏感信息的具體內(nèi)容根據(jù)接受服務(wù)的個(gè)人信息主體意愿和各自業(yè)務(wù)特點(diǎn)確定。例如個(gè)人敏感信息可以包括身份證號(hào)碼、手機(jī)號(hào)碼、種族、政治觀點(diǎn)、宗教信仰、基因、指紋等。”第3.8條規(guī)定：“個(gè)人一般信息：除個(gè)人敏感信息以外的個(gè)人信息?！?、《湖南保險(xiǎn)機(jī)構(gòu)客戶個(gè)人信息保護(hù)工作監(jiān)管指引》第3條第2款對(duì)二者進(jìn)行了區(qū)分*《湖南保險(xiǎn)機(jī)構(gòu)客戶個(gè)人信息保護(hù)工作監(jiān)管指引》第3條第2款規(guī)定：“保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)區(qū)分一般個(gè)人信息和敏感個(gè)人信息，實(shí)行分類區(qū)別保護(hù)。對(duì)敏感個(gè)人信息，應(yīng)實(shí)行更高的權(quán)限管理，采取更嚴(yán)格的管理措施?！?。

從域外法規(guī)定來看，包括歐盟及其成員國、經(jīng)合組織及其成員國、俄羅斯、阿根廷、我國澳門地區(qū)以及我國臺(tái)灣地區(qū)在內(nèi)的許多國家、地區(qū)及國際組織均規(guī)定了敏感個(gè)人信息與一般個(gè)人信息的區(qū)分。但也有許多國家和地區(qū)并未采取這一區(qū)分，如我國香港地區(qū)在2012年修訂《個(gè)人資料(隱私)條例》時(shí)，便曾就是否引入這一區(qū)分進(jìn)行過討論，最終也沒采納這一區(qū)分方式[22]。

對(duì)于我國在將來的個(gè)人信息立法中是否采取“敏感個(gè)人信息與一般個(gè)人信息”的分類，學(xué)界存在爭(zhēng)議。以齊愛民、蔣坡為代表的學(xué)者采取“肯定說”，認(rèn)同這一分類的立法意義[7，23]。以周漢華、洪海林為代表的學(xué)者則采取“否定說”，認(rèn)為對(duì)此無需在法律上進(jìn)行統(tǒng)一分類，僅需對(duì)高敏感度的信息保護(hù)進(jìn)行單行立法即可[5，24-25]?？梢?，對(duì)于高敏感度的敏感個(gè)人信息予以特別保護(hù)的理念學(xué)界并無爭(zhēng)議，爭(zhēng)議僅在于立法模式的問題上。

具體而言，就是否以隱私為標(biāo)準(zhǔn)劃分敏感與一般個(gè)人信息存在兩種觀點(diǎn)。以王忠、謝永志、齊愛民為代表的學(xué)者主張以隱私定義敏感個(gè)人信息。他們認(rèn)為，敏感個(gè)人信息即涉及隱私的個(gè)人信息[4-5，26-29]。范德斯洛特(B. Van Der Sloot)亦指出，“敏感個(gè)人信息關(guān)注的是隱私問題”[30]。另一方面，劉德良、郭瑜、孔令杰等學(xué)者則認(rèn)為，敏感與否并不取決于是否關(guān)涉隱私。他們認(rèn)為，即便隱私與敏感信息有重合之處也不能等同，敏感個(gè)人信息與一般個(gè)人信息的劃分標(biāo)準(zhǔn)是信息的敏感度[1-2][8]172[31-33]。這一觀點(diǎn)亦為《保護(hù)指南》第3.7條所采納。根據(jù)該條，敏感個(gè)人信息強(qiáng)調(diào)的是對(duì)“信息主體造成不良影響”的可能性。

筆者贊同后者的觀點(diǎn)。隱私與個(gè)人信息屬于兩個(gè)不同層面上的法律概念。隱私保護(hù)針對(duì)的是保密層面的內(nèi)容，其強(qiáng)調(diào)個(gè)人私生活不被刺探。而個(gè)人信息保護(hù)關(guān)注的則是個(gè)人信息處理，尤其是自動(dòng)化個(gè)人信息處理中，對(duì)信息主體造成的威脅[8]158。如個(gè)人生物識(shí)別特征普遍被認(rèn)為屬于個(gè)人敏感信息，但如虹膜特征這種外顯性的生物識(shí)別信息卻難以被認(rèn)定為具有秘密性的隱私。敏感度，即對(duì)信息主體的風(fēng)險(xiǎn)，應(yīng)是區(qū)分敏感與一般個(gè)人信息的唯一標(biāo)準(zhǔn)。誠如佛瑞德(Fred H.Cate)所指，“敏感信息，是指被認(rèn)為對(duì)個(gè)人具有特殊風(fēng)險(xiǎn)，從而通常受到特殊保護(hù)的個(gè)人數(shù)據(jù)”[34]。而不屬于敏感個(gè)人信息的其他信息則為一般個(gè)人信息*一般個(gè)人信息也被稱為“瑣碎個(gè)人信息”或“細(xì)瑣個(gè)人信息”。筆者認(rèn)為，采取一般個(gè)人信息的稱謂較為合適。“細(xì)瑣”或“瑣碎”的稱謂容易引起誤解，同間接個(gè)人信息相混淆。。

這一分類體現(xiàn)了充分保護(hù)隱私主體個(gè)人信息的理念，其意義在于，在維護(hù)一般個(gè)人信息合法處理的同時(shí)，充分保護(hù)敏感個(gè)人信息不受侵害。具體而言，二者的保護(hù)方式與程度均有所不同。較之一般個(gè)人信息，敏感個(gè)人信息的保護(hù)方式更細(xì)致，受保護(hù)程度更高[3]。在規(guī)定了敏感個(gè)人信息的立法例中，通常要求原則上禁止對(duì)敏感個(gè)人信息的自動(dòng)處理。處理該類信息需取得信息主體的明確授權(quán)，或在為了保護(hù)信息主體自身重大利益的范圍內(nèi)進(jìn)行，或基于在醫(yī)學(xué)醫(yī)療等法定的公益目的并輔之以額外的保護(hù)措施的情況下進(jìn)行。

(二)范圍內(nèi)涵

關(guān)于敏感個(gè)人信息的范圍主要有列舉與根據(jù)具體情形判斷兩種界定方式。其中，支持依具體情形判斷的學(xué)者認(rèn)為，個(gè)人信息的敏感度與其所在語境有關(guān)，某些信息僅在特定語境下敏感[35]27。如在保險(xiǎn)活動(dòng)中敏感的基因信息在文化活動(dòng)中并不敏感[25]?！侗Ｗo(hù)指南》第3.7條即采取了這一界定方式。

誠然，敏感度確實(shí)與語境有關(guān)，但在信息社會(huì)中，流動(dòng)性是信息的首要特性。以前述的基因信息為例，若僅因基因信息在文化活動(dòng)中不敏感便不對(duì)其進(jìn)行特別保護(hù)，那么，保險(xiǎn)業(yè)者通過其他途徑也必能輕易獲取這類信息，最終導(dǎo)致敏感個(gè)人信息保護(hù)形同虛設(shè)。因此，在大數(shù)據(jù)時(shí)代下，在信息的強(qiáng)流動(dòng)性以及信息處理者的強(qiáng)獲取能力面前，敏感確實(shí)應(yīng)是一般性的，對(duì)于敏感個(gè)人信息更適宜作列舉規(guī)定。

絕大多數(shù)規(guī)定了敏感個(gè)人信息的立法例也采取了列舉形式對(duì)其范圍內(nèi)涵進(jìn)行規(guī)定。以歐盟法為例，1981年的《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)協(xié)定》第6條列舉了原則上禁止自動(dòng)化處理的五種敏感個(gè)人信息：人種、政治主張、宗教或其他信仰、與健康或性生活有關(guān)的個(gè)人信息、與刑事判決有關(guān)的個(gè)人信息[35]3。1995年的《數(shù)據(jù)保護(hù)指令》第8條在此基礎(chǔ)上增加了“工會(huì)資格的信息”，并將“刑事判決有關(guān)的個(gè)人信息”擴(kuò)展為“涉及犯罪、宣判或安全措施的有關(guān)信息”，且規(guī)定成員國可擴(kuò)展規(guī)定至“行政制裁或民事判決信息”[35]46。2016的《統(tǒng)一數(shù)據(jù)保護(hù)條例》第9條更進(jìn)一步擴(kuò)展了敏感個(gè)人信息的范圍，增加了哲學(xué)信仰、個(gè)人基因數(shù)據(jù)、生物特征數(shù)據(jù)、性取向四類敏感個(gè)人信息*值得注意的是，歐盟法通過該規(guī)定首次對(duì)敏感個(gè)人信息進(jìn)行了遞進(jìn)式的三層次區(qū)分：(1)種族或民族起源、政治觀點(diǎn)、宗教信仰、哲學(xué)信仰、工會(huì)成員資格信息可以處理但禁止泄露；(2)個(gè)人基因數(shù)據(jù)、生物特征數(shù)據(jù)禁止以識(shí)別為目的處理；(3)健康數(shù)據(jù)、性生活、性取向信息原則上禁止處理。[17]226-227。另外，就身份識(shí)別號(hào)碼而言，《數(shù)據(jù)保護(hù)指令》第8條第7款授權(quán)各成員國自行規(guī)定相應(yīng)限制[35]46。對(duì)此，冰島、丹麥、瑞典等國家規(guī)定身份證號(hào)需用于確定身份必要的目的[35]165。法國、希臘、盧森堡和葡萄牙還規(guī)定需經(jīng)過保護(hù)機(jī)構(gòu)審批并授權(quán)[31]。

總的來說，敏感個(gè)人信息的范圍與一國特定的歷史文化背景有關(guān)[32]。在不同的文化中，信息對(duì)應(yīng)的風(fēng)險(xiǎn)，尤其是受歧視的風(fēng)險(xiǎn)并不一樣[36]。因此。各國敏感個(gè)人信息的范圍均有特殊之處，如匈牙利將國籍規(guī)定為敏感個(gè)人信息[35]186，意大利及荷蘭將商會(huì)身份規(guī)定為敏感個(gè)人信息[35]300。

筆者認(rèn)為，我國未來個(gè)人信息立法中至少應(yīng)將醫(yī)療及健康信息、性生活及性取向信息、身份識(shí)別號(hào)碼、個(gè)人生物識(shí)別信息判斷為敏感個(gè)人信息。理由如下：(1)醫(yī)療及健康信息一旦泄露將對(duì)信息主體的生活、工作、就業(yè)、家庭等各個(gè)方面產(chǎn)生不可估量的影響。在“虞桂梅與顧雪婷名譽(yù)權(quán)糾紛案”中，被告泄露原告的疾病信息便直接導(dǎo)致了原告被單位解雇*參見(2015)浦民一(民)初字第23144號(hào)判決書。。對(duì)此，歐洲法院也曾通過“倫奎斯特案”的判決對(duì)健康信息予以擴(kuò)大解釋。其指出，健康信息應(yīng)包括與個(gè)人心理及生理健康有關(guān)的各類信息，并重申保護(hù)健康敏感信息的重要性*參見Lirukvist, Case C-101/01, ECJ, [2004] 1 C.M.L.R. 20。。(2)性生活及性取向信息也就是個(gè)人的“陰私”信息，是自然人極其私密的信息，敏感性自不待言。(3)身份識(shí)別號(hào)碼不僅包括身份證號(hào)碼，還包括護(hù)照號(hào)碼、通行證號(hào)碼、駕駛證編號(hào)等一切具有身份識(shí)別性的統(tǒng)一編號(hào)。身份識(shí)別號(hào)碼的泄露將給個(gè)人帶來“身份盜竊”的重大風(fēng)險(xiǎn)。通過身份識(shí)別號(hào)碼，不法之徒可竊取銀行資金、以受害者身份借款、利用受害者身份進(jìn)行違法犯罪活動(dòng)等。(4)生物識(shí)別技術(shù)近年來發(fā)展迅速，除傳統(tǒng)的指紋信息外，基因、聲紋、虹膜、掌紋、3D臉部特征信息等已被廣泛運(yùn)用到信息加密與識(shí)別之中。生物識(shí)別信息可謂“上帝賦予的身份證”[37]，具有強(qiáng)識(shí)別性。以基因信息為例，法國、美國、奧地利等國家在法律中均特別規(guī)定了自然人的基因權(quán)利[38]。2010年，臺(tái)灣《個(gè)人資料保護(hù)法》第6條亦將基因增加為敏感個(gè)人信息。

四、普通人的個(gè)人信息與特殊群體的個(gè)人信息

根據(jù)信息主體身份區(qū)別可分為普通人的個(gè)人信息與特殊群體的個(gè)人信息。某些特殊群體的個(gè)人信息具備不同的特征，適用特殊的法律規(guī)則。這些特殊群體主要指未成年人、公眾人物、公務(wù)員、企業(yè)高級(jí)管理人員及控制人。

(一)劃分標(biāo)準(zhǔn)及法律依據(jù)

二者的劃分標(biāo)準(zhǔn)即信息主體身份的區(qū)別。身份的區(qū)別直接造成了二者屬性的區(qū)別。較普通人的個(gè)人信息而言，未成年人的個(gè)人信息內(nèi)容較少且常不為人所知，而公眾人物、公務(wù)員、企業(yè)高級(jí)管理人員及控制人的個(gè)人信息內(nèi)容較多并廣為人所知。在信息處理上，未成年人的個(gè)人信息的敏感度更高，而公眾人物、公務(wù)員、企業(yè)高級(jí)管理人員及控制人的敏感度又較低[39]。

因此，在個(gè)人信息保護(hù)的方式及程度上，不僅特殊群體與普通人有所區(qū)別，不同身份的特殊群體亦有所區(qū)別。其中，對(duì)未成年人的個(gè)人信息，法律給予專門的特殊保護(hù)；對(duì)于公眾人物、公務(wù)員、企業(yè)高級(jí)管理人員及控制人的個(gè)人信息保護(hù)，通常則需在利益平衡下進(jìn)行限縮[40]。

就未成年人個(gè)人信息而言，一方面，由于其民事行為能力缺失，獲取其敏感個(gè)人信息必須征得監(jiān)護(hù)人同意，對(duì)此，《保護(hù)指南》第5.2.7條作出了明確規(guī)定；另一方面，基于未成年人特別保護(hù)的需要，涉及未成人個(gè)人信息的處理常受到限制。如《人民檢察院案件信息公開工作規(guī)定(試行)》第20條第2款、《最高人民法院關(guān)于人民法院在互聯(lián)網(wǎng)公布裁判文書的規(guī)定》第4條第2、4款以及第8條第3款均對(duì)法律文書公開中屏蔽刪除未成年人的相關(guān)信息作了特別規(guī)定。從域外法來看，1998年美國還出臺(tái)了專門的《兒童在線隱私保護(hù)法》，對(duì)利用互聯(lián)網(wǎng)收集未成年個(gè)人信息的行為予以專門規(guī)制。

就公眾人物、公務(wù)員、企業(yè)高級(jí)管理人員及控制人的個(gè)人信息而言，法律允許在公共利益范圍內(nèi)對(duì)其個(gè)人信息進(jìn)行處理。首先，自“卡洛琳公主案”*參見Caroline von Hannover v. Germany,(2005) 40 EHRR 1。以來，涉及公眾人物的利益衡量問題在世界范圍內(nèi)得到了關(guān)注。最高人民法院通過典型案例“蔡繼明與百度公司侵害名譽(yù)權(quán)、肖像權(quán)、姓名權(quán)、隱私權(quán)糾紛案”亦指出了涉及公眾人物時(shí)利益衡量的重要性*參見“蔡繼明與百度公司侵害名譽(yù)權(quán)、肖像權(quán)、姓名權(quán)、隱私權(quán)糾紛案”,載《最高人民法院公布8起利用信息網(wǎng)絡(luò)侵害人身權(quán)益典型案例》。。通說認(rèn)為，在公共利益范圍內(nèi)可對(duì)公眾人物的個(gè)人信息進(jìn)行處理[41]。其次，基于政府信息公開的要求，公務(wù)員的某些個(gè)人信息屬于公開信息，處理這些公開信息并不涉及侵權(quán)。如在“蘇希進(jìn)與王俊山網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛”案中，被告在網(wǎng)上公開原告的警察身份及職位，但由于原告的這些信息本屬于政務(wù)公開信息，因此判決駁回原告訴訟請(qǐng)求*參見(2015)東民一終字第344號(hào)判決書。。最后，根據(jù)企業(yè)信息公開的要求，企業(yè)高級(jí)管理人員及控制人的個(gè)人信息需在不同程度上向股東、債權(quán)人以及公眾公開。對(duì)此，《企業(yè)信息公開暫行條例》《公開發(fā)行證券的公司信息披露內(nèi)容與格式準(zhǔn)則》《到境外上市公司章程必備條款》等法規(guī)作出了明確規(guī)定。

(二)范圍內(nèi)涵

特殊群體的個(gè)人信息范圍應(yīng)作如下理解。(1)未成年人的個(gè)人信息應(yīng)包括一切與未成年人相關(guān)的，能直接或間接識(shí)別未成年人的信息。因此，在涉及未成年人的事項(xiàng)時(shí)，未成年人的監(jiān)護(hù)人、法定代理人的信息也應(yīng)屬于未成年人個(gè)人信息的范疇*正是在這個(gè)意義上，《最高人民法院關(guān)于人民法院在互聯(lián)網(wǎng)公布裁判文書的規(guī)定》第4條第4款規(guī)定涉及未成年子女撫養(yǎng)、監(jiān)護(hù)的文書不公布，第8條第3款規(guī)定對(duì)未成年人及其法定代理人作隱名處理。。(2)公眾人物主要包括政府及社會(huì)政治組織的高級(jí)官員、歷史名人受公眾關(guān)注的后代、明星、由于參與或卷入某一事件而為公眾所關(guān)注的人物(也就是通常意義上的政治型公眾人物)、歷史型公眾人物、娛樂型公眾人物以及事件型公眾人物。值得注意的是，尤其對(duì)于事件型公眾人物而言，隨著時(shí)間的流逝，公眾關(guān)注度與社會(huì)影響力逐漸降低，其個(gè)人信息所涉及的公共利益也逐漸減弱，最終受保護(hù)程度回復(fù)至普通人個(gè)人信息的狀態(tài)[42]。(3)公務(wù)員可分為一般公務(wù)員與高級(jí)官員。高級(jí)官員應(yīng)屬于政治型公眾人物，其個(gè)人信息涉及公共利益較大。而一般公務(wù)員的個(gè)人信息僅在政府信息公開的范疇內(nèi)受到限制。(4)根據(jù)《公司法》第216條的規(guī)定，企業(yè)高級(jí)管理人員及控制人應(yīng)包括“公司的經(jīng)理、副經(jīng)理、財(cái)務(wù)負(fù)責(zé)人，上市公司董事會(huì)秘書和公司章程規(guī)定的其他人員”以及控股的自然人股東、作為自然人的實(shí)際控制人。

五、結(jié) 語

當(dāng)前，我國的個(gè)人信息保護(hù)法律規(guī)范正逐步建立。《網(wǎng)絡(luò)安全法》第76條第5款更是首次在我國法律上界定了個(gè)人信息概念及類型。然而，個(gè)人信息的類型仍有進(jìn)一步解釋的必要。一方面，個(gè)人信息安全面臨諸多威脅，個(gè)人信息泄露問題層出不窮；另一方面，包括基因、GPS信息、動(dòng)態(tài)IP信息等在內(nèi)的新型個(gè)人信息又不斷產(chǎn)生。面對(duì)各種各樣的個(gè)人信息，以科學(xué)合理的類型化思維對(duì)其進(jìn)行研究極為重要。

本文分別根據(jù)識(shí)別性、敏感度、信息主體三個(gè)標(biāo)準(zhǔn)，將個(gè)人信息分為直接個(gè)人信息與間接個(gè)人信息、敏感個(gè)人信息與一般個(gè)人信息、普通人的個(gè)人信息與特殊群體的個(gè)人信息。其中，每個(gè)分類之中的個(gè)人信息在保護(hù)方式與程度上又皆有所區(qū)別。最后，望該類型化研究成果能在回應(yīng)個(gè)人信息類型解釋問題的基礎(chǔ)上，為個(gè)人信息保護(hù)司法實(shí)踐提供有益參考。

[1] 劉德良.個(gè)人信息保護(hù)與中國立法的選擇[M]//陳海帆，趙國強(qiáng).個(gè)人資料的法律保護(hù)——放眼中國內(nèi)地、香港、澳門及臺(tái)灣.北京:社會(huì)科學(xué)文獻(xiàn)出版社,2014:26.

[2] 郭瑜.個(gè)人數(shù)據(jù)保護(hù)法研究[M].北京:北京大學(xué)出版社,2012:125.

[3] 劉雅琦.基于敏感度分級(jí)的個(gè)人信息開發(fā)利用保障體系研究[M].武漢:武漢大學(xué)出版社,2015:80-83,183.

[4] 齊愛民.大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)法國際比較研究[M].北京:法律出版社,2015:136-144.

[5] 謝永志.個(gè)人數(shù)據(jù)保護(hù)法立法研究[M].北京:人民法院出版社,2013:12-17.

[6] 洪海林.個(gè)人信息的民法保護(hù)研究[M].北京:法律出版社,2010:137-142.

[7] 蔣坡.個(gè)人數(shù)據(jù)信息的法律保護(hù)[M].北京:中國政法大學(xué)出版社,2008:7-9.

[8] 楊詠婕.個(gè)人信息的私法保護(hù)研究[D].長(zhǎng)春:吉林大學(xué),2013.

[9] 劉德良.論個(gè)人信息的財(cái)產(chǎn)權(quán)保護(hù)[M].北京:人民法院出版社,2008:25-27.

[10] 張才琴，齊愛民，李儀.大數(shù)據(jù)時(shí)代個(gè)人信息開發(fā)利用法律制度研究[M].北京:法律出版社,2015:18.

[11] 康貞花.韓國《個(gè)人信息保護(hù)法》的主要特色及對(duì)中國的立法啟示[J].延邊大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2012(4)：67.

[12] Article 29 Data Protection Working Party. Opinion 4/2007 on the concept of personal data, 01248/07/EN WP 136[EB/OL].[2017- 02-10].http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf.

[13] 張里安，韓旭至.大數(shù)據(jù)時(shí)代下個(gè)人信息權(quán)的私法屬性[J].法學(xué)論壇,2016(3):119-129.

[14] 齊愛民.論個(gè)人信息的法律保護(hù)[J].蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2005(2):30-35.

[15] 陶盈.我國網(wǎng)絡(luò)信息化進(jìn)程中新型個(gè)人信息的合理利用與法律規(guī)制[J].山東大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2016(2):156.

[16] 郭明龍.個(gè)人信息權(quán)利的侵權(quán)法保護(hù)[M].北京:中國法制出版社,2012:41-42.

[17] 高富平.個(gè)人數(shù)據(jù)保護(hù)和利用國際規(guī)則：源流與趨勢(shì)[M].北京:法律出版社,2016.

[18] 葉良芳，應(yīng)家赟.非法獲取公民個(gè)人信息罪之“公民個(gè)人信息”的教義學(xué)闡釋——以《刑事審判參考》第 1009 號(hào)案例為樣本[J].浙江社會(huì)科學(xué),2016(4):76.

[19] ALDHOUSE F. Data protection in Europe—Some thoughts on reading the academic manifesto[J]. Computer Law & Security Review,2013(29):289.

[20] 齊愛民.拯救信息社會(huì)中的人格——個(gè)人信息保護(hù)法總論[M].北京:北京大學(xué)出版社,2009:87.

[21] 井慧寶，常秀嬌.個(gè)人信息概念的厘定[J].法律適用,2011(3):90-93.

[22] 香港個(gè)人資料隱私專員公署.2012年條例修訂[EB/OL].[2017- 02-10].https://www.pcpd.org.hk/sc_chi/data_privacy_law/amendments_2012/amendment_2012.html.

[23] 齊愛民.信息法原論——信息法的產(chǎn)生與體系化[M].武漢:武漢大學(xué)出版社,2010:61.

[24] 周漢華.個(gè)人信息保護(hù)法(專家意見稿)及立法研究報(bào)告[R].北京:法律出版社,2006:79.

[25] 張鵬.論敏感個(gè)人信息在個(gè)人征信中的運(yùn)用[J].蘇州大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版),2012(6):99.

[26] 王忠.大數(shù)據(jù)時(shí)代個(gè)人數(shù)據(jù)隱私規(guī)制[M].北京:社會(huì)科學(xué)文獻(xiàn)出版社,2014:25.

[27] 吳萇弘.個(gè)人信息的刑法保護(hù)[M].上海:上海社會(huì)科學(xué)院出版社,2014:25.

[28] 郎慶斌，孫毅，楊莉.個(gè)人信息保護(hù)概論[M].北京:人民出版社,2008:26.

[29] 廖宇羿.我國個(gè)人信息保護(hù)范圍界定——兼論個(gè)人信息與個(gè)人隱私的區(qū)分[J].社會(huì)科學(xué)研究,2016(2):70-76.

[30] VAN DER SLOOT B. Do privacy and data protection rules apply to legal persons and should they? A proposal for a two-tiered system[J].Computer Law & Security Review,2015(31):28.

[31] 孔令杰.個(gè)人資料隱私的法律保護(hù)[M].武漢:武漢大學(xué)出版社,2009:203,215.

[32] 邱映曦.個(gè)人資料保護(hù)法制與組織內(nèi)管理及資安思維之探討[J].(中國臺(tái)灣)資訊安全通訊,2013(1):119-132.

[33] 肖少啟，韓登池.論我國個(gè)人信息法律保護(hù)的制度構(gòu)建[J].中南大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),2013(4):75-80.

[34] CATE F H.常用術(shù)語定義[M]//周漢華.個(gè)人信息保護(hù)前沿問題研究.北京:法律出版社,2006:418.

[35] 周漢華.域外個(gè)人數(shù)據(jù)保護(hù)法匯編[G].北京:法律出版社,2006.

[36] 范姜真媺.他律與自律共構(gòu)之個(gè)人資料保護(hù)法制——以日本有關(guān)民間法制為主[J].(中國臺(tái)灣)東吳法律學(xué)報(bào),2009(1):163-200.

[37] 張紅.指紋隱私保護(hù)：公、私法二元維度[J].法學(xué)評(píng)論,2015(1):87-88.

[38] 王康.基因隱私權(quán)的司法創(chuàng)設(shè)、法理闡釋及未來期待[J].理論月刊,2015(8)：165.

[39] 齊愛民.個(gè)人資料保護(hù)法原理及其跨國流通法律問題研究[M].武漢:武漢大學(xué)出版社,2004:8.

[40] 王楠.個(gè)人信息跨境轉(zhuǎn)移的法律保護(hù)——以公司隱私規(guī)則為視角[J].重慶工商大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)，2016(1)：68-74.

[41] 楊立新.人格權(quán)法[M].北京:法律出版社,2015:269.

[42] 五十嵐清.人格權(quán)法[M].鈴木賢，葛敏,譯.北京:北京大學(xué)出版社,2009:179.

(編輯：劉仲秋)

On the Categories of Personal Data

HAN Xuzhi

(School of Law, Wuhan University, Wuhan 430072, China)

According to three different criteria, personal data can be classified in three different groups. According to whether directly identifying specific natural persons or not, personal data can be divided into direct personal data and indirect personal data. Any data that needs additional data to identify specific natural persons is an indirect personal data. According to the standard of sensitivity， personal data can be divided into sensitive personal data and general personal data. Sensitive personal data should include medical and health data, sexuality data, identification number and personal biometric data. According to the difference of data subject, personal data can be divided into ordinary people’s personal data and special groups’ personal data, special groups refers to minors, public figures, civil servants, senior managers and the controller of enterprises.

personal data; privacy; right of personality; categorization

2017- 03- 08

韓旭至(1987-)，男，廣東廣州人，民商法學(xué)博士研究生，主要從事民法學(xué)研究。

10.3969/j.issn.1673- 8268.2017.04.010

D923

A

1673- 8268(2017)04- 0064- 07