姜昀宜 蘇嘉懿 張尤佳

東北大學(xué)文法學(xué)院，遼寧 沈陽 110169

數(shù)據(jù)的快速傳播為我們的生活帶來了極大的變化，大數(shù)據(jù)時代為我們的生產(chǎn)生活創(chuàng)造了越來越多的便利，網(wǎng)絡(luò)越來越成為人們展現(xiàn)自我的舞臺，但是數(shù)據(jù)快速膨脹帶來的互聯(lián)網(wǎng)狂歡中，個人信息尤其是敏感個人信息不斷暴露在數(shù)據(jù)面前，指紋信息、虹膜信息、面部信息等作為敏感信息更容易被數(shù)據(jù)處理者獲取，敏感個人信息一旦泄露，將會對數(shù)據(jù)主體造成不可逆的傷害，通過立法對敏感個人信息進行保護有待進一步探索。

一、大數(shù)據(jù)時代敏感個人信息的概念界定

（一）大數(shù)據(jù)概念的界定

在這個數(shù)據(jù)不斷膨脹的時期，大數(shù)據(jù)時代已經(jīng)到來，最早提出大數(shù)據(jù)時代到來的是麥肯錫，根據(jù)他的描述可以推知，在他的觀點中，大數(shù)據(jù)時代指的是數(shù)據(jù)被廣泛滲透到人們生產(chǎn)生活的各種領(lǐng)域，成為生產(chǎn)力發(fā)展的重要因素，人們不斷對大數(shù)據(jù)進行開發(fā)和利用，推進生產(chǎn)率不斷增長的消費者盈余浪潮的到來。[1]可見，大數(shù)據(jù)時代就是一個信息快速流通、發(fā)展的時代。

（二）大數(shù)據(jù)時代敏感個人信息的界定

《中華人民共和國個人信息保護法》（下簡稱《個人信息保護法》）第二十八條對敏感信息的定義為“敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個人信息”。在大數(shù)據(jù)時代敏感個人信息正在逐步擴展，當下普遍認同的敏感個人信息分類將其分為個人財產(chǎn)信息（如銀行賬號、存款信息等）、個人身份信息（如身份證、護照等）、個人生物識別信息（如指紋、面部特征、虹膜等）、個人健康生理信息（如醫(yī)囑單、用藥記錄等）、網(wǎng)絡(luò)身份標識信息（如系統(tǒng)賬號、郵箱賬號及其地址等）、其他信息（如宗教信仰、性取向等）等六類。[2]

二、大數(shù)據(jù)時代敏感個人信息的特點

《個人信息保護法》第二十八條同時規(guī)定了：“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息?！敝詫τ谔幚砻舾袀€人信息設(shè)置了如此嚴苛的標準，正是因為敏感個人信息具有私密性、主體確定性、易傳播性和可獲利性等特點。

（一）私密性。敏感個人信息本就包括許多人們不愿意透露給外界的信息，這些信息與外界交流具有天然的屏障，它們的存在充分體現(xiàn)了每個公民的思想、認識、行為方式等方面的不同。在面對有關(guān)敏感信息的討論時，每個人都具有保持沉默的權(quán)利，人們有權(quán)保持其敏感信息不外漏。一旦敏感信息遭人泄露，會導(dǎo)致人的精神世界受到重創(chuàng)，并不利于社會的穩(wěn)定及民眾安居樂業(yè)。但大數(shù)據(jù)時代，包括網(wǎng)站瀏覽偏好等部分人視作“敏感信息”的信息已能夠為除公民本人外的其他主體所獲取，其私密性（即只可為本人所知）已受到?jīng)_擊。

（二）主體確定性。這一確定性建立在公民主體差異的基礎(chǔ)上，正是因為公民具有主體差異，因而每個人的“敏感信息”的內(nèi)容并不相同，敏感信息一旦泄露，數(shù)據(jù)處理者在通過大數(shù)據(jù)比對后很容易輕松定位到其所屬個人，進而確定主體，因此大數(shù)據(jù)時代的敏感信息更多了一層主體確定性的特點。

（三）易傳播性。網(wǎng)絡(luò)信息化時代，在數(shù)據(jù)處理者獲取到敏感個人信息后，能夠通過極為便捷的互聯(lián)網(wǎng)將其運用、傳播乃至販賣到非法的數(shù)據(jù)使用者手中，相較于非大數(shù)據(jù)時代，這些信息更容易被檢索和傳播，互聯(lián)網(wǎng)使信息流通的速度大大加快并超出人們能夠認識的速度，因此私人命案信息一旦被泄露，所面臨的易傳播性是難以估量的。

（四）可獲利性。無論是電商平臺還是社交軟件，對于敏感信息的獲取都是出于營利的角度考量。以人們經(jīng)常使用的某網(wǎng)購平臺為例，在它們?yōu)閺V大人民的生活消費帶來無限便利的同時，也在檢測著人們的購物偏好，更有甚者利用手機監(jiān)聽著人們?nèi)粘Ｉ钪械慕涣?、談話，這聽來令人毛骨悚然的事件正切實發(fā)生在人們的生活中。同時它們還能通過監(jiān)視人們的搜索、查詢信息和竊取公民社交關(guān)系網(wǎng)，以推送廣告等方式牟利，乃至通過販賣信息而獲得更高昂的收益。

三、敏感個人信息保護的立法現(xiàn)狀梳理

（一）《憲法》

我國《憲法》中并未明確表示對于公民隱私權(quán)及敏感信息的保護，但《憲法》在對于公民的權(quán)利和義務(wù)進行規(guī)范時，第四十條指出：“中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關(guān)或者檢察機關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。”這在一定程度上體現(xiàn)了國家公權(quán)力對于公民隱私權(quán)及敏感信息的保護，是公法對人權(quán)的保護在隱私權(quán)上的展現(xiàn)。

（二）其他法律

1．《消費者權(quán)益保護法》

于1993年頒布并分別于2009年、2013年兩次修正的《消費者權(quán)益保護法》中也明確規(guī)定了在進行消費時存在的消費者個人信息保護的相關(guān)義務(wù)和規(guī)范，該法于第二十九條明確指出了對于生產(chǎn)經(jīng)營方收集使用消費者個人信息的一些必須要遵守的原則和程序，同時也闡述了允許收集的適用目的以及收集使用的范圍。最后，直接強調(diào)了經(jīng)營者在收集使用過程中需遵守相關(guān)的法律法規(guī)和雙方約定，具有合意的色彩；并以“必須”“禁止”等字眼明確規(guī)定了經(jīng)營者必須對信息進行嚴格的保密、采取一定的技術(shù)措施進行保護，并預(yù)設(shè)了可能出現(xiàn)的個人信息泄露和丟失時的補救措施。此條規(guī)定明確了進行網(wǎng)絡(luò)合法經(jīng)營的經(jīng)營者必須要注重對于消費者敏感的個人信息的保護，不得使用非法的手段對其進行傳播和處理，有效降低了消費者在進行網(wǎng)上購物時所遇到的敏感信息泄露等風(fēng)險，但未明確懲治力度，稍顯不足。

2．《民法典》侵權(quán)責任編

我國《民法典》侵權(quán)責任編中同樣對于網(wǎng)絡(luò)侵害民事權(quán)益的行為進行了規(guī)定。首先，原《侵權(quán)責任法》在第二條中劃定了其所管轄的侵害民事權(quán)益并需承擔侵權(quán)責任的范圍，這些民事權(quán)益包括生命權(quán)、名譽權(quán)、隱私權(quán)和繼承權(quán)等在內(nèi)的多項權(quán)益，正屬于開宗明義的規(guī)定?！睹穹ǖ洹非謾?quán)責任編第一千一百六十四條繼承了原《侵權(quán)責任法》第二條的規(guī)定，證明了隱私權(quán)屬于侵權(quán)責任法所規(guī)范的范疇，而大數(shù)據(jù)時代下私人敏感信息的保護，正與對于隱私權(quán)的保護如出一轍。其次，《民法典》侵權(quán)責任編在第一千一百九十四條至一千一百九十七條，即有關(guān)網(wǎng)絡(luò)侵權(quán)案件的侵權(quán)責任承擔，作了具體的規(guī)定，其內(nèi)容大致為利用網(wǎng)絡(luò)侵害其他用戶民事權(quán)益的，應(yīng)受到侵權(quán)責任編的規(guī)范，被侵權(quán)人可以通過本編的相關(guān)規(guī)定要求網(wǎng)絡(luò)服務(wù)提供者（即俗稱的平臺運營者）采取一定的措施以保護其合法權(quán)益。該條不僅細化了作為網(wǎng)絡(luò)用戶之一的數(shù)據(jù)處理者的侵權(quán)責任，更是在此基礎(chǔ)上明晰了網(wǎng)絡(luò)服務(wù)提供者，即平臺運營者的第三方的連帶責任，使二者的行為都置于法律的規(guī)范下，擴大了約束主體的范圍，有利于更好地保障敏感信息主體的權(quán)益。

3．《個人信息保護法》

大數(shù)據(jù)時代為保護公民私人信息的安全，迫切需要一部法律對數(shù)據(jù)傳輸過程中各主體的行為加以規(guī)范。《個人信息保護法》的頒布不僅是我國加強法制建設(shè)，建設(shè)社會主義法治國家的重大進展，也是社會實踐中保障公民私人信息，特別是敏感信息的重大突破。相較此前公民個人信息保護相關(guān)的法律、法規(guī)以及行為規(guī)范，《個人信息保護法》具有明顯的進步性與創(chuàng)新性。

在立法原則上，《個人信息保護法》規(guī)范了數(shù)據(jù)處理者對數(shù)據(jù)的收集行為以及安全保障義務(wù)。在第五章個人信息處理者的義務(wù)中，第五十六條規(guī)定了“信息處理者應(yīng)當對個人信息保護影響進行評估，其說明信息處理者收集信息的行為，必須建立在一定的合理性與必要性的基礎(chǔ)之上，準確衡量信息收集的效益與損害，才能進行獲取行為”。而第五十一條又明確規(guī)定了個人信息處理者在防止信息泄露上應(yīng)當承擔的義務(wù)，五十八條規(guī)定了用戶體量較大的信息平臺應(yīng)當承擔的保護義務(wù)。義務(wù)的設(shè)定將信息處理者約束在法律規(guī)范的框架下，在得到用戶同意的情形下，獲取公民的私人信息。同時，該法在數(shù)據(jù)的使用限制上規(guī)定，持有并使用數(shù)據(jù)方的行為必須具有法律的支撐，不能超出法律許可的范圍。

相較之前的法律規(guī)范，《個人信息保護法》在進一步明確權(quán)利主體即用戶享有的告知、同意的權(quán)利的同時，也闡述了有關(guān)敏感個人信息的約束規(guī)則。[3]在大數(shù)據(jù)條件下，個人信息不斷暴露在數(shù)據(jù)面前，敏感信息隨著數(shù)據(jù)的傳輸而不斷細化，指紋信息、虹膜信息、面部信息等作為敏感信息更容易被數(shù)據(jù)處理者獲取、使用。但是敏感信息一經(jīng)泄露或非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害、人身財產(chǎn)安全受到危害，對其專列一節(jié)進行規(guī)范可以強調(diào)敏感信息保護的重要地位，進而規(guī)范數(shù)據(jù)傳輸過程中各方的行為。[4]

四、大數(shù)據(jù)時代敏感個人信息法律保護存在的弊端

（一）敏感個人信息的范圍界定存在空白

大數(shù)據(jù)飛速發(fā)展的影響下，敏感個人信息的邊界正在逐漸擴大。以虹膜識別技術(shù)為例，虹膜識別技術(shù)的發(fā)展最早可以追溯到19世紀80年代，直到1991年才實現(xiàn)自動虹膜識別系統(tǒng)。曾經(jīng)的虹膜信息獲取難度較大，數(shù)據(jù)處理者難以迅速獲取，如今隨著大數(shù)據(jù)的發(fā)展，虹膜信息的獲取更加便利，人們不得不開始注重對虹膜信息的保護。大數(shù)據(jù)的發(fā)展是永不停歇的，大數(shù)據(jù)的“觸手”可能會觸碰到曾經(jīng)未涉及的敏感個人信息，《個人信息保護法》對敏感性個人信息的界定較為空泛，難以應(yīng)對將來形勢的發(fā)展變化，應(yīng)當更加細化敏感信息的具體分類。

（二）敏感個人信息保護的滯后性

大數(shù)據(jù)時代數(shù)據(jù)的傳輸速度比以往任何時期都要迅速，人們的敏感個人信息始終處于運動的狀態(tài)，此時對敏感信息的保護便會出現(xiàn)滯后的現(xiàn)象。2020年全國公安機關(guān)網(wǎng)安部門公布違法收集公民個人信息的十大案例中的“J公司清理大師”等APP利用隱私協(xié)議獲取公民的個人信息，甚至包括公民的通信記錄等敏感個人信息。通過十大案例可以直觀感受到這些APP涉及從嬰幼兒到老年人各個層面的各類信息，涉及范圍十分廣泛，同時利用大數(shù)據(jù)時代獲取信息的隱蔽性，無形中獲取了大量的個人信息，在相關(guān)部門尚未公開的情況下，公民便很難了解到自己的敏感個人信息正在遭受侵害，即使事后發(fā)覺也因為其滯后性，無法挽回已經(jīng)造成的損失。

（三）敏感個人信息舉證的困難性

大數(shù)據(jù)時代，當敏感個人信息受到損害時，公民的舉證路途充滿荊棘，在《個人信息保護法》第七章法律責任的第六十九條可以看出當個人信息處理者不能證明自己沒有過錯的，應(yīng)當承擔損害賠償?shù)惹謾?quán)責任，這也就向我們展現(xiàn)了當公民敏感個人信息受到損害時，相應(yīng)的數(shù)據(jù)處理者承擔的為過錯推定責任，此時數(shù)據(jù)主體應(yīng)當負有對侵權(quán)行為、侵權(quán)結(jié)果、侵權(quán)行為與侵權(quán)結(jié)果之間的因果關(guān)系進行舉證的責任。大數(shù)據(jù)時代對敏感個人信息的侵害是隱蔽的、滯后的，當敏感個人信息遭受威脅時，舉證理由尚不充分，而敏感個人信息一旦受到損害，對數(shù)據(jù)主體的信息安全的沖擊又是毀滅性的，二者之間的矛盾為敏感個人信息的保護提出挑戰(zhàn)。

（四）敏感個人信息侵害因果關(guān)系復(fù)雜性

大數(shù)據(jù)時代，公民的個人信息直接暴露在數(shù)據(jù)的“海洋”中，敏感個人信息受到損害時，多個主體都應(yīng)當承擔一定的責任，對公民來說找到相應(yīng)的侵權(quán)主體，并證明其侵權(quán)行為與自身損害結(jié)果發(fā)生的因果關(guān)系具有一定的困難性。如今，越來越多的APP涌入人們的生活，人們無法避免地將自己的信息輸向不同的數(shù)據(jù)處理者，無疑將加重敏感信息侵權(quán)發(fā)生時因果關(guān)系的復(fù)雜程度。敏感信息對數(shù)據(jù)主體的地位相較于一般數(shù)據(jù)更加重要，敏感個人信息侵權(quán)如果繼續(xù)適用過錯推定責任難免會降低敏感個人信息的保護效果，不利于公民的敏感數(shù)據(jù)安全。

五、大數(shù)據(jù)時代敏感個人信息保護立法建議

（一）數(shù)據(jù)主體的權(quán)利

我國《個人信息保護法》對個人在信息處理過程中所享有的權(quán)利進行了確認，總則第二條概括說明了公民享有個人信息的權(quán)利即“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權(quán)利”。但筆者認為，社會不斷發(fā)展變化，公民享有的敏感個人信息方面的權(quán)利不應(yīng)當過于寬泛，而應(yīng)當細化、具體，才能更好地落實權(quán)利的保護。數(shù)據(jù)主體的敏感信息應(yīng)當享有以下權(quán)利的規(guī)定：

1．敏感信息訪問許可權(quán)

數(shù)據(jù)主體自然享有對自身包含的一切敏感信息，也自然享有敏感信息的訪問許可權(quán)限。敏感信息保護的滯后性一部分源于數(shù)據(jù)主體無法及時查看敏感個人信息的狀態(tài)，基于訪問許可權(quán)，數(shù)據(jù)主體可以隨時隨地查看自己所需的敏感個人信息，了解其是否處于安全、被保護的狀況，在數(shù)據(jù)的傳輸過程中，數(shù)據(jù)主體處于弱勢地位，只有讓數(shù)據(jù)主體享有查看自身敏感個人信息的權(quán)利，才能強化主體對信息的保護意識，進而強化對其他主體的監(jiān)督。[5]

2．敏感信息處理同意權(quán)

敏感信息包含著的信息一經(jīng)泄露，數(shù)據(jù)主體的身份權(quán)財產(chǎn)權(quán)益就會受到不可逆的侵害，我國《個人信息保護法》第二十九條雖然規(guī)定了數(shù)據(jù)處理者在處理敏感個人信息時應(yīng)當取得的個人的單獨同意，但尚未具體規(guī)定取得的具體路徑，這便無形中削弱了數(shù)據(jù)處理者的義務(wù)意識。對敏感數(shù)據(jù)處理同意權(quán)加以規(guī)定，在數(shù)據(jù)處理者處理敏感信息前，通過“電子認可協(xié)議”或書面同意的方式征得數(shù)據(jù)主體同意，可以有效避免信息處理者繞過數(shù)據(jù)主體，擅自處理敏感信息的現(xiàn)象。

（二）數(shù)據(jù)處理者的義務(wù)

1．提高數(shù)據(jù)透明度

筆者認為，通過法律的形式賦予數(shù)據(jù)處理者更多義務(wù)，強制其提高數(shù)據(jù)透明度，使數(shù)據(jù)主體能夠隨時隨地檢查其敏感個人信息的使用狀況，防止數(shù)據(jù)處理者擅自隨意使用其敏感個人信息。同時在與主體簽訂隱私保護協(xié)議時，應(yīng)當對注意事項進行明示，禁止處理者利用信息差使主體忽視涉及自身信息保護的條款，此舉可以為今后的非法信息處理奠定基礎(chǔ)。[6]公開、透明的數(shù)據(jù)是數(shù)據(jù)主體參與監(jiān)管的有效途徑，只有禁止盲目處理，才能將敏感個人信息置于安全地位。

2．禁止盲目自動化處理

如今數(shù)據(jù)自動化處理已經(jīng)成為常態(tài)，數(shù)據(jù)處理者直接將部分信息交由技術(shù)系統(tǒng)自動處理，能夠極大降低其管理與信息處理的成本。然而技術(shù)系統(tǒng)自動處理大多基于既有算法，算法面對繁多的信息無法迅速區(qū)分普通個人信息與敏感個人信息，因此盲目接受自動化處理可能會導(dǎo)致敏感個人信息處于有效控制之外，一旦被泄露，則難以挽回。因此，在法律制定中，應(yīng)當考慮對自動化處理進行規(guī)范，對不會涉及敏感個人信息安全的普通信息，可以放寬自動化處理的限制，利用自動化處理提高處理效率；而對于與敏感個人信息密切相關(guān)的數(shù)據(jù)，應(yīng)當加強監(jiān)管力度，設(shè)置更嚴格的處罰標準，提高犯罪成本，減少盲目自動化處理現(xiàn)象的發(fā)生。[7]

3．數(shù)據(jù)處理者承擔無過錯責任

結(jié)合數(shù)據(jù)處理者在處理公民敏感個人信息的過程中占有絕對有利地位，與敏感信息對數(shù)據(jù)主體的不可替代性地位，在公民敏感個人信息保護時，應(yīng)當適用無過錯責任原則，此時數(shù)據(jù)主體在維護自身敏感個人信息安全時只需負有侵權(quán)行為、侵權(quán)結(jié)果的舉證責任，數(shù)據(jù)處理者是否具有過錯在所不問。[8]通過無過錯責任原則降低數(shù)據(jù)主體的舉證難度，提高成功保護敏感個人信息的期待性，有利于規(guī)范數(shù)據(jù)處理者的行為，進一步保障敏感個人信息的安全。

六、結(jié)論

大數(shù)據(jù)及其相關(guān)技術(shù)的快速發(fā)展使得大數(shù)據(jù)對信息的掠奪能力不斷強化，但無論大數(shù)據(jù)如何發(fā)展本質(zhì)上都應(yīng)當是為人類服務(wù)的，而讓大數(shù)據(jù)履行這一職能不能僅僅需要依靠大數(shù)據(jù)的自我約束，還應(yīng)當從外界對其加以規(guī)范?！秱€人信息保護法》頒布、實行僅一年有余，在其實踐中仍存在大量法律約束的空白亟待去完善、解決，留給立法者的工作任重而道遠。只有充分認識到大數(shù)據(jù)使用所帶來的問題才能夠防患于未然，讓技術(shù)在人們的控制范圍內(nèi)服務(wù)于人類。