張志峰

2019年12月19日，工信部通信管理局通報了第一批侵害用戶權益行為的APP名單，QQ、新浪體育、搜狐新聞、小米金融等41款APP存在違規(guī)收集和使用個人信息、不合理索取權限等諸多侵犯用戶個人信息的問題。我國對個人信息保護主要依據(jù)《民法總則》《網絡安全法》《居民身份證法》《消費者權益保護法》等相關法律法規(guī)的分散規(guī)定。雖對于個人信息的收集、處理以及使用等行為均有規(guī)定，個人信息遭到侵犯的情況仍時有發(fā)生。這不僅是因為我國尚無統(tǒng)一的個人信息保護立法，更是因為未將個人信息在法律層面區(qū)分為個人敏感信息和個人一般信息。

一、研究進展：域內個人敏感信息保護的現(xiàn)狀

個人信息中有一類信息因其內容和性質一旦泄露，將給信息主體的人身或財產帶來嚴重影響，故稱之為個人敏感信息。對于是否應當明確將個人信息區(qū)分為個人敏感信息和個人一般信息，我國學者有不同的觀點：張新寶[1]、齊愛民[2]、蔣坡[3]等學者認同此種分類保護的法律模式;以周漢華為代表的學者則認為，僅需要對高敏感的個人信息通過單行立法的方式予以保護即可。[4]雖然學界對個人敏感信息統(tǒng)一分類的立法模式有不同的建議，但至少在是否應該對高敏感度的個人信息進行保護的問題上達成了一致意見。

目前我國高位階法律未對個人信息進行分類保護，亦無有關個人敏感信息的明確規(guī)定。然而在一些行政法規(guī)、司法解釋中存在對某些個人信息進行特殊保護的規(guī)定。2013年國務院發(fā)布《征信業(yè)管理條例》第十三條規(guī)定，收集個人信息必須征得信息主體同意;第十四條則對個人的宗教信仰、基因、指紋、血型、病史等信息作出禁止處理的規(guī)定，體現(xiàn)了該條例對個人信息的區(qū)分保護。2017年發(fā)布的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對《刑法》二百五十三條之一中“情節(jié)嚴重”的構成要件做出了詳細規(guī)定，對不同種類的個人信息，分別設置“五十條”“五百條”“五千條”作為情節(jié)嚴重的數(shù)量條件。這暗示了不同種類的個人信息被侵犯后對個人的危害后果和程度不同，需要的保護力度也應予以區(qū)分。

2012年發(fā)布的《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》（以下簡稱《個人信息保護指南》）作為我國首部關于個人信息保護的國家標準，不僅明確將個人信息分為個人敏感信息和個人一般信息，還對個人敏感信息進行定義和范圍的列舉。2017年有關個人信息保護的另一國家標準《信息安全技術個人信息安全規(guī)范》（以下簡稱《個人信息安全規(guī)范》）正式發(fā)布，《個人信息安全規(guī)范》對個人敏感信息內涵和范圍進行了更為詳細的規(guī)定：將身份證件號碼等個人身份信息，指紋、基因等個人生物識別信息，交易信息、銀行賬號在內的個人財產信息，醫(yī)療記錄等健康生理信息，通信記錄、聊天內容、行蹤軌跡、住宿信息等等內容，納入個人敏感信息范圍。

法律雖然尚未對個人敏感信息的保護加以回應，將個人敏感信息從個人信息中區(qū)分出來予以特別保護已在我國國家標準中有所體現(xiàn)。這對我國未來個人信息保護立法有著重要參考價值。

二、他山之石：域外個人敏感信息法律保護探究

（一）國際組織文件

歐洲委員會于1981年在斯特拉斯堡通過了《個人數(shù)據(jù)自動化處理中的個人保護公約》（簡稱《108公約》）?！?08公約》的問世，標志著全世界范圍內首部有關個人數(shù)據(jù)保護的國際公約的誕生。在對個人敏感信息的保護層面，《108公約》第六條“特殊類型的數(shù)據(jù)”規(guī)定，原則上不得自動處理種族起源、政治觀點、宗教或其他信仰、健康、性生活和犯罪記錄相關的個人信息。這一規(guī)定使得該公約成為首次界定個人敏感信息的國際公約，對個人敏感信息保護具有重要影響。2012年修改后的《108公約》將基因信息、生物特征信息、工會會員資格信息納入個人敏感信息的范圍。

1990年12月14日，聯(lián)合國大會第45/95號決議通過了《計算機個人數(shù)據(jù)檔案規(guī)制指南》（以下簡稱《個人數(shù)據(jù)規(guī)制指南》），第五條非歧視原則規(guī)定：“除原則六所規(guī)定的限制性例外的情況外，不應匯編可能引起非法或任意歧視的數(shù)據(jù)，包括關于種族或族裔出身、膚色、性生活、政治見解、宗教、哲學和其他信仰以及參加協(xié)會或工會的資料?！奔粗挥性诰S護國家安全、公共秩序以及他人權利自由的必要情況下，同時具備相關法律法規(guī)作為適當保障的前提下，才能對以上個人信息進行處理。

2004年11月，亞洲太平洋經濟合作組織（簡稱APEC）的二十一個經濟體成員的部長共同簽署了《亞太經合組織隱私框架》（簡稱《APEC隱私框架》），該框架一直作為亞太地區(qū)隱私或個人信息保護的基礎性多邊協(xié)議，其所確立的個人信息保護的九大基本原則，為APEC成員國家或地區(qū)個人信息處理原則的制定提供了指導作用。雖然《APEC隱私框架》并未明確規(guī)定個人敏感信息，但在收集限制原則中首次將作為財務信息的信用卡號碼和銀行賬戶信息列入個人敏感信息的范疇，要求收集信用卡號碼、銀行賬戶信息或其他個人敏感信息時，應以合法公平的手段，不得以虛假方法收集上述信息。與前述國際公約不同的是，《APEC隱私框架》將信用卡號碼和銀行賬戶信息等財務信息列為個人敏感信息加以特殊保護，這一舉措為亞太地區(qū)個人敏感信息的保護提供了新的思路和指引。

（二）歐盟《一般數(shù)據(jù)保護條例》（GDPR）

2016年4月18日，歐盟議會和歐盟理事會通過《一般數(shù)據(jù)保護條例》（簡稱GDPR），GDPR在所有成員國內具有直接的法律約束力，被稱為“史上最嚴個人數(shù)據(jù)保護法”。在個人敏感信息保護層面，GDPR亦進行了革新。GDPR第九條通過“特殊類型的數(shù)據(jù)處理”的規(guī)定將個人敏感信息范圍予以明確。該條文規(guī)定，揭露種族或民族起源，政治觀點，宗教信仰、哲學信仰，工會會員資格的數(shù)據(jù)，以識別為目的的基因數(shù)據(jù)和生物特征數(shù)據(jù)以及健康數(shù)據(jù)，性生活、性取向等相關數(shù)據(jù)列為個人敏感信息，原則上禁止收集和處理。

原則上從法律層面禁止對個人敏感信息的處理，同時設置例外條件以應對特殊需要。這一例外條件被規(guī)定于GDPR第九條第二款，在以下十種情況下可不受第一款規(guī)定的限制：一是數(shù)據(jù)主體明確表示同意且無禁止性規(guī)定;二是適當保護措施下行使或履行就業(yè)、社會保險及社會保障法領域的基本權利或義務的需要;三是數(shù)據(jù)主體喪失同意能力時，為保障其自身及他人重大利益之必要;四是安全保障措施下非營利機構出于政治、哲學、宗教及工會等合法活動處理數(shù)據(jù)之需要;五是數(shù)據(jù)主體的個人數(shù)據(jù)已明確公開;六是數(shù)據(jù)主體訴訟活動或審判機關行使司法權之必要;七是具體適當措施下為實現(xiàn)實質公共利益之必需;八是保障措施下基于法定或約定出于醫(yī)學研究、醫(yī)療診斷、勞動評估、社會保障等服務之必要;九是措施保障下基于法定為實現(xiàn)公共衛(wèi)生領域的公共利益之需要;十是存檔、科學研究、歷史研究或統(tǒng)計等實現(xiàn)公共利益目的之必要。GDPR對個人敏感信息處理的條件作出了嚴格的限定，符合上述十種情況，可對個人敏感信息進行處理。

（三）澳門特別行政區(qū)《個人資料保護法》

2005年，澳門立法會制定的《個人資料保護法》被稱為“亞太地區(qū)最強的個人資料保護法”。[5]澳門《個人資料保護法》將個人資料分為三類：一般資料、敏感資料和與違法犯罪有關的資料。第七條“敏感資料的處理”將世界觀，政治或宗教信仰，政治社團或工會關系，種族或民族起源，遺傳信息、私人生活、健康和性生活等個人信息界定為敏感信息，原則上禁止對個人敏感信息的處理。

（四）我國臺灣地區(qū)《個人資料保護法》

我國臺灣地區(qū)個人信息保護專門立法始于1995年8月制定的“電腦處理個人資料保護法”，起初的“電腦處理個人資料保護法”在內容上并無對個人敏感信息保護的規(guī)定，直至2010年4月通過的“個人資料保護法”將醫(yī)療、基因、性生活、健康檢查及犯罪前科等個人信息，作為個人敏感信息加以特殊保護。2015年修改，新增病歷信息，與醫(yī)療信息、健康檢查信息并列為個人敏感信息。

三、制度構建：個人敏感信息法律保護規(guī)范

歐盟成員國在內的歐洲大多數(shù)國家都對個人敏感信息作了明確規(guī)定，亞太地區(qū)澳大利亞、韓國、日本以及與我國澳門、臺灣地區(qū)也對個人敏感信息加以特殊保護。將個人信息分為個人一般信息和個人敏感信息，并對后者加強保護已成為當今世界個人信息保護立法的趨勢。注重個人敏感信息的保護本就是達到個人信息處理中的自然人保護和信息自由流通相平衡的應有之義，信息化和智能化的時代下這一議題尤為重要。

（一）明確個人敏感信息的范圍

參考國際組織、歐盟以及我國澳門和臺灣地區(qū)對個人敏感信息的規(guī)定并結合我國法律法規(guī)及規(guī)范性文件和國情，在未來個人信息保護立法中，應將如下信息列為個人敏感信息。

1.個人財產信息。個人的財產信息雖無關乎人格利益，但財產信息一旦被濫用、非法處理或泄露極有可能會給信息主體帶來財產利益上的巨大損失，由此導致的傷害后果不可小覷。近年來，個人財產信息泄露所引發(fā)的信息主體財產損失的情形時有發(fā)生，由此導致社會大眾對財產信息的敏感度較高，因此將財產信息列為個人敏感信息不僅符合我國現(xiàn)階段的國情，亦能彰顯國家對公民私有財產的保護態(tài)度。

2.個人健康生理信息。健康生理信息主要指信息主體因疾病治療等產生的相關記錄以及個人身體健康狀況的相關信息。健康生理信息對信息主體的學習、生活、工作、家庭等方面都有影響，一旦泄露將會給信息主體帶來不可預估的危害后果，極有可能因健康生理信息引發(fā)對信息主體的歧視風險。諸如有關艾滋病感染等高敏感度健康信息保護的必要性，在早期的《個人信息保護法（專家建議稿）及立法研究報告》已有體現(xiàn)。如今因健康信息而導致的非法且不必要的工作歧視亦時有發(fā)生。我國對個人健康生理信息的重視，可見于2018年4月國務院辦公廳發(fā)布的《關于促進“互聯(lián)網+醫(yī)療健康”發(fā)展的意見》，提出也應在未來個人信息保護立法中將個人健康生理信息列為個人敏感信息加以特殊保護。

3.個人生物識別信息。因個人生物識別信息生而不同、歷久不變且難以改變的特性，加之指紋處處留痕，面部時刻暴露在外，若要收集輕而易舉，一旦非法處理并識別，信息主體將被迫面臨嚴重風險。將生物識別信息列為個人敏感信息不僅僅是為了符合國際保護標準，更是由于其獨特又強大的識別屬性的必須[6]，例如從面部特征能挖掘出居民身份證號碼、金融貸款、家庭住址、消費習慣、征信等諸多內容。此外，自然人的基因信息不僅能顯示該人獨特的個人疾病、缺陷等生理或健康信息，更重要的是，基因具有解釋個人的品格、智力等與家族或種族的相關性，一旦泄露可能導致對其個人乃至其家族的歧視。[7]由此可見，生物識別信息的濫用或泄露不僅可能造成信息主體財產上的巨大損失，而且也會引發(fā)人格尊嚴等方面的危害和歧視。

4.性生活和性取向。中國古代對“性”這一話題的態(tài)度是相當保守的，受傳統(tǒng)思想文化的影響，即便是現(xiàn)代社會，相對于歐美對于“性”方面較為開放的國家而言，我國仍屬于內斂型的，社會大眾對與性生活有關的個人信息仍較為敏感。即便是較為開放的西方也將性生活和性取向納入個人敏感信息保護范圍，其敏感性之于我國民眾自不必多言。況且與性生活和性取向相關的信息是涉及信息主體極為私密的信息，已然涉及自然人的人格尊嚴的核心方面，一旦泄露會對信息主體人格造成巨大的傷害，進而導致更為嚴重后果。

5.身份識別號碼。自然人的姓名信息時常會有不可避免的重復現(xiàn)象，但居民身份證號碼、護照號碼、駕駛證號碼、社?？ㄌ柎a等是由特殊形式對數(shù)字和字母排列形成的獨特的身份識別特性的統(tǒng)一編號。這不會重復且能夠更為精準識別信息主體。收集、處理及使用身份識別號碼應當特別謹慎，身份識別號碼的泄露將給信息主體帶來“身份盜竊”的重大風險。[8]不法之徒可以通過身份識別號碼竊取信息主體的銀行資金，甚至能夠以信息主體的身份進行借貸、違法犯罪等。以身份證號碼為例，身份證號碼不僅可以輕易識別到信息主體的身份，甚至信息主體的房產信息、銀行存貸款相關信息、基金股票賬戶信息、納稅信息、醫(yī)療信息、出行信息、住宿信息等敏感和非敏感信息連接起來，可以全方位展現(xiàn)信息主體生活，極易嚴重侵害個人隱私。[9]將身份識別號碼納入個人敏感信息，旨在通過對可識別到身份的號碼高標準保護，減少信息主體因此類信息的泄露而面臨人身財產受到損害的事件發(fā)生。

（二）確立個人敏感信息的保護機制

1.以禁止處理為原則。歐盟、我國澳門和臺灣地區(qū)都禁止對個人敏感信息進行處理。因為個人敏感信息一旦被非法處理或泄露的后果十分嚴重，所造成的傷害可能是信息主體難以承受的。因此我國也應以禁止處理個人敏感信息為原則?！疤幚怼笔侵笇€人敏感信息的收集、處理、存儲、傳輸?shù)热啃袨?。禁止對個人敏感信息的全部處理行為是禁止處理的應有之意。但并非絕對的禁止處理，只有符合在法律規(guī)定的例外條件下才可以對個人敏感信息進行處理。

2.禁止處理的例外。盡管域外對個人敏感信息的特別保護都是通過原則上禁止處理來實現(xiàn)的，但在禁止處理的同時會設定例外條件，只要符合法律所創(chuàng)設的條件，處理個人敏感信息是被允許的。一是信息主體明確同意。信息主體明確同意作為個人敏感信息禁止處理的例外情形是法域外的普遍做法。不管基于信息主體對個人敏感信息所享有的個人信息權亦或是個人信息保護權，只要信息主體明確作出同意個人敏感信息被處理的意思，且沒有與之相反的禁止性規(guī)定，則個人敏感信息的處理應當是被允許的。需要注意的有兩點，“明確同意”應當貫穿信息處理的全過程，在收集、處理、存儲、傳輸?shù)雀鱾€階段都應征得信息主體的明確同意;應當允許信息主體隨時撤回同意處理個人敏感信息的意思表示。二是維護重大公共利益而處理個人敏感信息應為法定例外情形。維護重大公共利益不僅要求維護國家安全、國家利益，而且還包括醫(yī)療健康、衛(wèi)生保健、社會保障、研究統(tǒng)計為等基于公共利益為目的的數(shù)據(jù)處理行為。這并非單純衡量個人利益與公共利益的輕重后放棄對個人敏感信息的保護。只是當個人利益與重大公共利益發(fā)生沖突時，優(yōu)先保護大多數(shù)人的合法且重大的公共利益，只是放棄對其的特別保護，允許處理個人敏感信息。為社會公共利益而允許對個人敏感信息處理時，仍應遵循對個人信息處理的一般規(guī)則。通過收集限制原則、目的限制原則、透明度原則等個人信息處理的一般原則規(guī)制重大公共利益下個人敏感信息的處理，以期達到個人敏感信息保護和重大公共利益維護的平衡。

2003年我國已提出要制定專門的個人信息保護法，但至今尚未落實。在此期間我國個人信息的保護主要靠分散的部門法、行政法規(guī)、司法解釋等規(guī)范文件來實現(xiàn)。然而當今科技發(fā)展速度一日千里，尚未統(tǒng)一的個人信息規(guī)制原則既不利于個人信息的保護，亦阻礙有賴信息得以生存的信息產業(yè)和互聯(lián)網行業(yè)的蓬勃發(fā)展。信息產業(yè)和互聯(lián)網行業(yè)絕對不能以犧牲個人信息為代價進而發(fā)展。加強對個人敏感信息的保護不是為了限制信息流通，而是希望在保障個人基本權利與自由的前提下，促進信息的合法流通和利用。

基金項目：重慶市研究生科研創(chuàng)新項目“個人敏感信息保護制度研究”階段性成果（項目編號：CYB19138）。

參考文獻：

[1]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015（3）：50.

[2]齊愛民.信息法原論——信息法的產生與體系化[M].武漢：武漢大學出版社，2010：61.

[3]蔣坡.個人數(shù)據(jù)信息的法律保護[M].北京：中國政法大學出版社，2008.

[4]周漢華.個人信息保護法（專家建議稿）及立法研究報告[M].北京：法律出版社，2006：79.

[5]楊翱宇.個人信息保護的特別機制研究——以澳門《個人資料保護法》為考察樣本[J].圖書館，2018（3）：68.

[6]張紅.指紋隱私保護：公、私法二元維度[J].法學評論，2015（1）：87.

[7]劉仁忠，代薇.基因隱私的倫理和法律規(guī)范[J].自然辯證法研究，2004（9）.

[8]韓旭志.個人信息類型化研究[J].重慶郵電大學學報（社會科學版），2017（4）：67.

[9]胡文濤.我國個人敏感信息界定之構想[J].中國法學，2018（5）：254.

作者單位：西南政法大學民商法學院

責任編輯：劉小僑