周 艷

（安徽大學法學院,安徽 合肥 230031）

1 提出問題

保護個人信息安全與促進數(shù)據(jù)流動利用之利益平衡是大數(shù)據(jù)時代世界各國個人信息保護立法的核心議題。但是，目前我國現(xiàn)有的相關立法仍有待完善，而域外關于敏感個人信息保護立法有值得借鑒之處。因此，如何借鑒域外關于敏感個人信息的保護，持續(xù)完善符合我國國情的保護立法是本文研究的重點問題。

1.1 敏感個人信息的重要性

張新寶（2021）提出保護敏感個人信息具有保護信息主體合法權益、調和信息保護和信息利用的關系以及警示這三方面的作用[1]。在大數(shù)據(jù)時代，敏感個人信息一旦被獲取，信息處理者可以通過網絡技術對個人構建“畫像”，實現(xiàn)其目的，甚至是侵害信息主體的權益。例如，售樓部在未得到信息主體知情同意的情形下，暗中安裝人臉識別系統(tǒng)，對顧客進行身份定位，甚至還區(qū)別對待消費者，根據(jù)消費者的消費記錄推送相應的產品及服務。

1.2 我國現(xiàn)有保護規(guī)范的不足

《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）、《信息安全技術 公共及商用服務信息系統(tǒng)個人信息保護指南》（以下簡稱《個人信息保護指南》）、《信息安全技術個人信息安全規(guī)范》（以下簡稱《個人信息安全規(guī)范》）是我國關于敏感個人信息保護的法律規(guī)范。其中，《個人信息保護指南》和《個人信息安全規(guī)范》都是規(guī)范性文件。而《個人信息保護法》對敏感個人信息的定義不夠具體，且沒有明確界分敏感個人信息與隱私權之前的關系。同時，關于敏感個人信息的處理規(guī)則形式化。由此可見，我國關于敏感個人信息保護的法律規(guī)范還有待完善。

1.3 域外經驗借鑒的可行性

放眼域外，歐洲理事會各成員國早在1981年就簽署了《個人數(shù)據(jù)自動化處理中的個人保護公約》（以下簡稱《108公約》），涵蓋了尊重個人隱私和促進數(shù)據(jù)自由流動的內容。歐盟《通用數(shù)據(jù)保護條例》（GDPR）于2018年正式實施，是歐盟最具代表性的數(shù)據(jù)安全立法，條例強化數(shù)據(jù)主體權力并完善了相關機制。需要注意的是，在借鑒其他國家和地區(qū)關于敏感個人信息保護立法時，既要考慮共性問題，也要考慮到國情的差異。

2 國內關于敏感個人信息的保護

2.1 敏感個人信息的界定

我國采用的是“定義＋列舉”的模式。從時間上可以看出《個人信息安全指南》《個人信息安全規(guī)范》和《個人信息保護法》關于敏感個人信息的定義，偏向于人身安全、財產權益受到侵害角度，列舉的類型也不同。

“定義＋列舉”的模式有利有弊，其利在于對敏感個人信息的定義使敏感個人信息的內容具有彈性；其弊在于存在外延不確定的問題。我國學者在此定義的內容下提出了許多關于敏感個人信息界定的標準。第一，從人格尊嚴角度出發(fā)?！秱€人信息保護法》明確規(guī)定，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息[2]。《民法典》人格權編突破以往立法對個人信息保護的規(guī)定，首次對處理他人的私密信息作出禁止性規(guī)定，即“任何組織或者個人不得處理他人的私密信息”。由此可知，敏感個人信息與個人人格息息相關。人體基因的泄露會造成個人在就業(yè)、保險等社會生活中遭受各種不公平的歧視[3]。這種判斷標準存在問題，敏感個人信息含有人格尊嚴內容，外延性更廣，但是人格尊嚴不等于敏感個人信息，因此不能僅從人格尊嚴角度判斷。第二，從人身、財產安全角度出發(fā)。個人信息具有雙重屬性——人身價值和財產利益。敏感個人信息的泄露和非法使用，除了會危害人格尊嚴，也會影響個人的人身安全和財產安全。關于人身安全，信息收集者可以通過信息的收集處理，跟蹤他人，對他人的人身造成威脅。例如徐某某一案中，徐某某利用某App后臺推送的含有兒童個人信息的短視頻，通過其私信功能聯(lián)系多名兒童，并對其中3名兒童實施猥褻犯罪①。關于財產安全，安徽警方破獲的全省首例利用人臉識別犯罪案②，就是通過人臉識別技術辦手機卡從而影響權利人的消費信譽。還有一些不法分子偽造人臉非法竊取他人財物。第三，從未成年人角度出發(fā)，《個人信息保護法》將不滿十四周歲的未成年人的信息納入敏感個人信息范疇，加強了對未成年人個人信息保護的力度。在比較法上，其他國家和地區(qū)并沒有像我國一樣將不滿十四周歲的未成年人信息納入敏感個人信息范疇。這是我國對不滿十四周歲的未成年人的特有保護，是我國敏感個人信息保護法律體系的特色。

2.2 敏感個人信息的處理規(guī)則

關于敏感個人信息的處理，《個人信息保護法》采用的是原則上同意，例外情況下禁止的模式。同時看似嚴格規(guī)定了敏感個人信息的處理規(guī)則，但是其中適用的空間很大，對司法者來說，裁量權過大；對信息處理者來說，有充分利用的空間；對信息主體來說，信息保護規(guī)則流于形式。

首先，根據(jù)《個人信息保護法》第二十八條，“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息”。如何理解“特定的目的”和“充分的必要性”？王利明（2022）認為，不能泛泛而談，必須用法律法規(guī)加以明確的規(guī)定。他認為“特定的目的”必須是具體、明確、特定的。要具體問題具體分析，結合具體的場景判斷。同時，也要與“充分的必要性”相結合。但是，我國目前關于此條規(guī)定并沒有明確的司法解釋，從而使得本條規(guī)定被任意應用，最終導致司法者掌握了決定權，法官的裁量權被過度擴大。同時，在實踐中信息處理者根據(jù)自己的利益按照自己的意愿來利用“特定的目的和充分的必要性”這條規(guī)則，例如售樓部安裝人臉識別系統(tǒng)以及小區(qū)未經同意安裝人臉識別系統(tǒng)等，使信息主體的權益受損。

其次，根據(jù)《個人信息保護法》第二十九條，“處理敏感個人信息應當取得個人的單獨同意；法律、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的，從其規(guī)定”。對于該條的理解也有很大的空間，實踐中主要的困境在于同意的內容和形式上，是默示同意還是明示同意？同意的內容是什么？范圍有沒有限制？“個人單獨同意”的規(guī)定有很大的處理空間，強制同意也是同意，附條件同意也是同意。在實踐中，許多信息主體為了獲得相應的服務而不得不同意，使敏感個人信息的“個人單獨同意”規(guī)則流于形式；也有為了盡快獲得相應的服務而同意，忽略了其中的風險。

最后，根據(jù)《個人信息保護法》第十七條，“個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（一）個人信息處理者的名稱或者姓名和聯(lián)系方式；（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（三）個人行使本法規(guī)定權利的方式和程序；（四）法律、行政法規(guī)規(guī)定應當告知的其他事項。前款規(guī)定事項發(fā)生變更的，應當將變更部分告知個人。個人信息處理者通過制定個人信息處理規(guī)則的方式告知第一款規(guī)定事項的，處理規(guī)則應當公開，并且便于查閱和保存”。然而在現(xiàn)實生活中，諸多App的隱私協(xié)議也是告知，冗長的文字讓使用者根本無法閱讀下去，但是如果不同意該協(xié)議，就不能使用該App，這種并不平等的協(xié)議也是“告知”。信息處理者往往利用法律的漏洞收集個人信息，從而侵害信息主體的權益。

3 域外關于敏感個人信息的保護

3.1 敏感個人信息的界定及比較

3.1.1 域外對敏感個人信息的界定

《108公約》作為世界上第一部關于數(shù)據(jù)保護的國際公約，規(guī)定了原則上不得自動處理敏感個人信息。歐盟《通用數(shù)據(jù)保護條例》（GDPR）采取了“定義＋列舉”的方式對敏感個人信息進行界定，列舉的敏感個人信息內容與《108公約》有重合之處。美國和歐盟一致通過的《安全港隱私保護原則》注重對個人經濟關系的保護，把“貿易組織的成員資格”列為敏感個人信息。

域外對敏感個人信息的定義各具特色，與本國（本地區(qū)）的實際情況相聯(lián)系。我國不應該直接照搬，應該根據(jù)我國國情來完善敏感個人信息的定義。

3.1.2 域外關于敏感個人信息的界定模式

第一種，列舉式模式。我國在界定敏感個人信息的過程中采取了列舉式的模式。列舉的方式可以直截了當?shù)刂赋瞿男儆诿舾袀€人信息，不需要司法機關和信息處理者再加以判斷。

第二種，綜合考量模式。綜合考量模式是指綜合數(shù)據(jù)處理的情景、目的等因素來判斷數(shù)據(jù)是否敏感[4]。許多學者認為隨著科學技術的發(fā)展，敏感個人信息的范圍不斷擴大，采用“定義＋列舉”的方式不能較好地保護新出現(xiàn)的敏感個人信息，因此主張采用綜合考量模式。美國學者尼森鮑姆（Helen Nissenbaum）提出“場景完整性理論”，聯(lián)系隱私保護和特殊情境規(guī)范，充分尊重個人信息最初獲取的情景，后續(xù)傳播和利用不得超出最初的情境。Simitis教授認為，敏感不應被認為是一個先驗概念，任何個人數(shù)據(jù)在某種情況下都可能是敏感的，應該依據(jù)數(shù)據(jù)的背景和環(huán)境來判斷該信息是否為敏感個人信息，從而決定如何處理它。綜合考量模式很容易在各國（或地區(qū)）的立法中看出來，隨著時代的變遷，敏感個人信息的內容也有所變化，之前司法認為不是敏感個人信息的內容得到了法律的承認。由此可見，不應該用一成不變的眼光來界定敏感個人信息。

3.2 敏感個人信息的處理規(guī)則及比較

《108公約》規(guī)定原則上不得自動處理敏感個人信息。2021年，美國弗吉尼亞州通過的《消費者數(shù)據(jù)保護法》（CDPA）對不同公民數(shù)據(jù)的分類及行政商用進行了詳細的處理要求[5],國家和企業(yè)處理敏感個人信息時，分別有不同的規(guī)則。這種細致的規(guī)定可以有效保護敏感個人信息以及保護信息主體的人身財產安全和人格權益。

歐盟GDPR在敏感個人信息的內容上規(guī)定了可以處理敏感個人信息的除外事項以及根據(jù)數(shù)據(jù)主體的不同規(guī)定不同的處理敏感個人信息方式。GDPR嚴格限定了敏感個人信息的處理的條件，符合第9條第2款的要求，才能對敏感個人信息進行處理。根據(jù)數(shù)據(jù)主體是否成年、授權方式、權限內容以及取消授權情況的內容不同。和美國一樣，GDPR也從主體的不同區(qū)分處理內容。但是，GDPR在敏感個人信息規(guī)定上更嚴格。從某種角度上看，這不利于數(shù)據(jù)的流動，在一定程度上可能會限制社會發(fā)展。

英國《個人資料保護法》附表3嚴格規(guī)定了敏感個人信息的處理規(guī)則——只有滿足十大條件才能處理敏感個人信息[6]。英國的嚴格規(guī)定避免了敏感個人信息被違法收集使用以及濫用，保護了信息主體的敏感個人信息，維護了信息主體的人身權益和財產權益，也維護了社會的數(shù)據(jù)安全，以免造成混亂。

美國的CDPA、歐盟的GDPR以及英國的《個人資料保護法》在敏感個人信息的保護上都有嚴格且細致的規(guī)定。隨著經濟社會的持續(xù)發(fā)展，我國民眾對敏感個人信息的重視程度日益提升，但是僅僅依據(jù)《個人信息保護法》中的幾條看似嚴格卻寬泛的規(guī)定，難以完全有效保護信息主體的權益。

4 完善我國敏感個人信息保護的建議

4.1 進一步明確敏感個人信息的定義

我國首先應該進一步明確敏感個人信息的定義。在《個人信息保護法》發(fā)布后，應該按照《個人信息保護法》的定義理解，明確適用。其次可以在采用“定義＋列舉”的模式下，使用“場景完整性理論”。在科技發(fā)展迅速的時代，萬事萬物瞬息萬變。抓住敏感個人信息的核心：敏感性、人格權益和人身財產安全，結合具體的場景判斷是否為敏感個人信息。在結合具體場景時，需要考慮損害的后果、損害的程度以及損害的現(xiàn)實性。某些個人信息在某些情況下可能并不屬于敏感個人信息，不具有“敏感”的性質，對人身財產安全并無多大影響；但是在其他技術的結合下，可能就具備了敏感的性質，在特定情況下就屬于敏感個人信息了。因此，判斷信息是否為敏感個人信息，不能單一地從定義以及法律列舉的種類判斷是否為敏感個人信息，要結合具體情形。最后，區(qū)分隱私權的內容和敏感個人信息的內容。隱私權和敏感個人信息在權益內容、保護客體和損害后果以及權利屬性上存在差別[7]。

第一，從權益內容上看，敏感個人信息權益包括精神利益和財產利益，范圍大于隱私權的內容。敏感個人信息的內容會涉及信息主體的財產權益，比如通過人臉識別可以解鎖支付寶，盜取個人財產。第二，從保護客體和損害后果來看，隱私權的客體是權利，是民法典規(guī)定的人格權利，而敏感個人信息的客體則是權益，與法律規(guī)定的權利性保護有差別。侵犯隱私權的損害后果體現(xiàn)為他人的人格權利受到損害，是侵權人擾亂權利主體的私生活。侵犯敏感個人信息的損害后果包括人格權益以及人身財產安全，范圍更廣。第三，從權利特點和保護方式上看，敏感個人信息權益是一種積極、自決的權益，隱私權則是消極、防御性的權利。敏感個人信息看似和隱私權存在交叉的地方，但是聯(lián)系具體場景能清晰認識到兩者之間的本質差異，就可以分辨隱私權和敏感個人信息的內容。

4.2 完善敏感個人信息的處理規(guī)則

第一，在原則之下，應該詳細列清具體規(guī)則。對于“特定的目的”“充分的必要性”“告知同意”這些詞，法律適用存在很大的空間，應該加以具體的規(guī)定。

首先，“特定的目的”。目的必須是特定、具體的。例如在使用人臉識別系統(tǒng)時，應該具有特定具體的目的，銀行使用人臉識別系統(tǒng)是為了交易安全，小區(qū)使用人臉識別系統(tǒng)是為了維護小區(qū)居民的安全，那售樓處使用人臉識別系統(tǒng)的目的是什么？為了區(qū)分顧客，對其身份定位？這一目的雖特定具體，但違背了公共利益?？梢詮膬蓚€層面來理解“特定的目的”，第一個層面，“特定的目的”必須滿足信息主體的合理期待，比如基于交易安全、人身安全等理由，而不是利用敏感個人信息區(qū)別對待信息主體。第二個層面，“特定的目的”是維護公共利益，一般體現(xiàn)為公共權力機關為了公共利益遵守嚴格的程序和敏感個人信息處理規(guī)則處理敏感個人信息。

其次，“充分的必要性”。充分的必要性要結合特定的目的，體現(xiàn)為實現(xiàn)特定目的而需要的信息以及為了達到該目的僅需通過一種手段方式。例如，維護小區(qū)安全不僅僅只有人臉識別這一個途徑，還可以通過其他方式（設門禁卡）。又如，員工入職時，用人單位需要收集員工個人信息，但是有些信息則無必要收集，比如宗教信仰、財務狀況等。信息處理者非必要不處理個人信息，在有其他的選擇之下，考慮到個人信息的性質，權衡選擇?！俺浞值谋匾浴币紤]到信息主體的選擇權，提供其他選擇，在別無選擇以及最優(yōu)選擇的情況下，可以收集使用敏感個人信息。

最后，“告知同意”。有學者提出，人臉識別技術對法律的沖擊之一就是使告知同意規(guī)則失靈[8]。有學者提出，要嚴格限縮告知同意規(guī)則[9]。也有學者提出，知情同意要以告知義務的充分履行作為前提，從嚴限制概括同意的適用，也可以利用技術的發(fā)展引用動態(tài)知情模式[10]。信息處理者處理敏感個人信息如何告知？第一，形式上，敏感個人信息必須要以書面的形式告知，不能同于一般個人信息可以口頭告知。第二，內容上，明確詳細告知用戶所有事項，同時對于不易理解的，要充分解釋其內容，且應該簡要明了地告知用戶。第三，時間上，要給予用戶充分的思考時間。信息處理者如何落實同意原則？在告知義務充分履行的前提下，用戶同意也應該是書面同意。同意的內容限于個人信息處理者收集、存儲人臉部信息，不包括使用、加工、傳輸、公開等。如果要進行以上操作，應該征得個人信息主體特別同意。參考2016年新浪微博訴脈脈非法抓取用戶信息不正當競爭案，個人信息處理者處理敏感個人信息，要遵守“三重授權原則”，具體內容：（1）數(shù)據(jù)企業(yè)處理人臉信息，要得到用戶的授權。（2）數(shù)據(jù)企業(yè)超出范圍使用，或者轉讓給其他企業(yè)使用，要再次得到用戶的有效授權[11]。（3）也可以從第三方機構介入出發(fā)，利用第三方主體對“告知同意”規(guī)則進行有效監(jiān)督，在多維度上落實“告知同意”規(guī)則[12]。

第二，對未成年人信息作詳細保護。歐盟GDPR針對數(shù)據(jù)主體是否成年，數(shù)據(jù)主體的授權方式、授權內容以及取消授權的規(guī)則不同。我國只有《個人信息保護法》第三十一條規(guī)定了“個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監(jiān)護人的同意”。在取得同意的規(guī)則上，未成年沒有權利處理其信息，需要征求其監(jiān)護人的同意。制定專門的個人信息處理規(guī)則是用來約束信息處理者，要求信息處理者區(qū)分對待未成年人信息和一般個人信息。該條對于未成年人信息的保護的內容實在過少，也不具體，以至于實踐中關于未成年人的個人信息被侵犯的案件并不少見。我國可以參考歐盟GDPR的規(guī)定，詳細列舉收集處理未成年人信息的規(guī)則。具體來講：（1）規(guī)定收集未成年人信息應該落實告知同意的規(guī)則，告知同意規(guī)則要落于實處，不能泛泛而談。拿某游戲舉例，未成年人可以利用規(guī)則讓游戲平臺收集其監(jiān)護人或者其他成年人的信息，來延長自己的游戲時間。（2）非必要以及沒有特定必要目的不可以收集未成年人信息，原則上禁止，特殊必要情況下才可以允許收集未成年人信息。（3）監(jiān)護人享有撤銷的權利，該權利的行使不能嚴苛。

5 結語

敏感個人信息關系到信息主體的人身權益和財產權益，對個人乃至社會十分重要。敏感個人信息的保護主要在于其界定以及處理上。本文從國內外關于敏感個人信息的定義和處理規(guī)則的法律規(guī)范出發(fā)，結合我國的實際情況，提出完善我國敏感個人信息保護立法的路徑。

注釋：

①浙江省杭州市余杭區(qū)人民檢察院對北京某公司侵犯兒童個人信息權益提起民事公益訴訟北京市人民檢察院督促保護兒童個人信息權益行政公益訴訟案，檢例141號。

②范天嬌.安徽警方破獲全省首例利用人臉識別犯罪案[EB/OL].中國青年網,(2021-10-27)[2022-09-26].https://baijiahao.baidu.com/s?id=1714719064000484261&wf r=spider&for=pc.