內(nèi)容提要：為平衡數(shù)據(jù)保護(hù)與數(shù)據(jù)流通之間的內(nèi)在張力，個(gè)人信息基于類(lèi)型區(qū)分而呈現(xiàn)強(qiáng)弱有別的保護(hù)格局成為必要。域內(nèi)外實(shí)證法依循風(fēng)險(xiǎn)進(jìn)路對(duì)個(gè)人信息進(jìn)行了一般與特殊（敏感）的二元內(nèi)部區(qū)分。作為一種規(guī)范性描述，特殊與敏感可作同義替代。對(duì)敏感信息的客觀認(rèn)定是多種利益風(fēng)險(xiǎn)的交合和多元風(fēng)險(xiǎn)參數(shù)的耦合，包括法律直接規(guī)定、體系性風(fēng)險(xiǎn)評(píng)估、個(gè)人信息二元內(nèi)涵架構(gòu)透視和信息處理契約的場(chǎng)景化判斷。敏感信息可能給信息主體帶來(lái)更大的損害風(fēng)險(xiǎn)，故適用不同于一般信息的處理規(guī)則、受到更強(qiáng)力度的保護(hù)。敏感信息的強(qiáng)保護(hù)集中體現(xiàn)在更嚴(yán)格的同意標(biāo)準(zhǔn)、更嚴(yán)苛的責(zé)任原則和更嚴(yán)密的救濟(jì)方式三方面。

關(guān)鍵詞：敏感個(gè)人信息 風(fēng)險(xiǎn) 場(chǎng)景理論 知情同意 責(zé)任原則

個(gè)人信息對(duì)個(gè)人信息和個(gè)人數(shù)據(jù)的區(qū)別和聯(lián)系，學(xué)界有不同意見(jiàn)，但在本文語(yǔ)境下，個(gè)人信息和個(gè)人數(shù)據(jù)可通用。一是在法律保護(hù)客體的內(nèi)涵和外延上，二者具有同質(zhì)性；二是本文為了引用某部法律或某位學(xué)者的原文，只能使二者交叉出現(xiàn)在文章之中。內(nèi)蘊(yùn)人格利益、財(cái)產(chǎn)利益和公共利益。其中，人格利益關(guān)乎自由和尊嚴(yán)，參見(jiàn)張新寶：《中華人民共和國(guó)民法總則釋義》，中國(guó)人民大學(xué)出版社2017年版，第785頁(yè)；楊立新：《個(gè)人信息：法益抑或民事權(quán)利——對(duì)〈民法總則〉第111條規(guī)定的“個(gè)人信息”之解讀》，載《法學(xué)論壇》2018年第1期。若遭受侵犯，可能導(dǎo)致信息主體外在形象被操縱、精神安寧被打破、決策自由被剝奪和思維方式被簡(jiǎn)化；財(cái)產(chǎn)利益See Rebecca lowe，Digital Identity——Me， Myself and I， IBA Global insight 5（2013）：14.日益凸顯，個(gè)人信息成為互聯(lián)網(wǎng)企業(yè)精準(zhǔn)廣告投放、個(gè)性化推薦以及其他增值服務(wù)的數(shù)據(jù)支撐，是互聯(lián)網(wǎng)“依靠廣告提供免費(fèi)服務(wù)”這一商業(yè)模式的基本條件；參見(jiàn)劉金瑞：《個(gè)人信息與權(quán)利配置——個(gè)人信息自決權(quán)的反思與出路》，法律出版社2017年版，第229-230頁(yè)。公共利益則包含國(guó)家安全利益、社會(huì)管理利益、公共服務(wù)利益和科學(xué)研究利益參見(jiàn)高富平、尹臘梅：《數(shù)據(jù)上個(gè)人信息權(quán)益：從保護(hù)到治理的范式轉(zhuǎn)換》，載《浙江社會(huì)科學(xué)》2021年第1期。。對(duì)個(gè)人信息無(wú)論采取“權(quán)利保護(hù)模式”還是“法益保護(hù)模式”，其實(shí)質(zhì)均是將應(yīng)當(dāng)?shù)玫匠姓J(rèn)的主張、愿望和需求，納入將它們有效實(shí)現(xiàn)所依憑的法律秩序之內(nèi)。然而，將個(gè)人信息置于法律保護(hù)范圍，并不意味著對(duì)所有的個(gè)人信息在保護(hù)力度和保護(hù)措施上不加區(qū)別。相反，為平衡數(shù)據(jù)保護(hù)與數(shù)據(jù)流通之間的內(nèi)在張力，應(yīng)當(dāng)對(duì)不同個(gè)人信息類(lèi)型區(qū)別對(duì)待，以實(shí)現(xiàn)法律資源的優(yōu)化配置。這就需要通過(guò)橫向考察域內(nèi)外的規(guī)范與實(shí)踐，探尋可有效遵循的進(jìn)路，對(duì)個(gè)人信息進(jìn)行“一般”與“特殊”的二元區(qū)分。但是，作為規(guī)范性描述，“特殊”與“敏感”的共有屬性為何，特殊個(gè)人信息與敏感個(gè)人信息是否可作同義替代，應(yīng)該基于何種評(píng)判和參照將特殊（敏感）信息從個(gè)人信息大類(lèi)中擇出，同時(shí)，針對(duì)敏感個(gè)人信息的高損害風(fēng)險(xiǎn)態(tài)勢(shì)，應(yīng)采取何種強(qiáng)弱有別的保護(hù)措施？這些問(wèn)題需要理論界和實(shí)務(wù)界認(rèn)真思考，這也是個(gè)人信息保護(hù)乃至數(shù)字法學(xué)研究走向深層次和精致化的應(yīng)然之舉。

一、敏感個(gè)人信息的實(shí)證法考察

當(dāng)前，人們信息權(quán)利保護(hù)意識(shí)日漸增強(qiáng)，加強(qiáng)個(gè)人信息法律保護(hù)已成為社會(huì)共識(shí)。若不計(jì)成本，從技術(shù)上實(shí)現(xiàn)任何有關(guān)個(gè)人的信息與特定主體一一對(duì)應(yīng)并非難事，這也是學(xué)者所稱(chēng)的大數(shù)據(jù)下沒(méi)有非個(gè)人信息的依據(jù)。Winfried Veil：《GDPR：皇帝的新衣——論新舊數(shù)據(jù)保護(hù)法的結(jié)構(gòu)性缺陷》，朱家豪編譯，載騰訊研究院，https：//new.qq.com/omn/20190424/20190424A0JEDJ.html，2022年10月23日訪(fǎng)問(wèn)。然而，若對(duì)所有個(gè)人信息采取“一刀切”式的保護(hù)，可能帶來(lái)弊端：一是限制信息自由流通，使互聯(lián)網(wǎng)企業(yè)瞻前顧后，或?qū)е律虡I(yè)壟斷，影響用戶(hù)體驗(yàn)、減損網(wǎng)民福利；二是稀釋個(gè)人信息保護(hù)資源，使高風(fēng)險(xiǎn)信息類(lèi)型失去相應(yīng)力度的保護(hù)；三是增加信息保護(hù)的社會(huì)成本，限制互聯(lián)網(wǎng)企業(yè)發(fā)展。參見(jiàn)張金平：《歐盟個(gè)人數(shù)據(jù)的演進(jìn)及啟示》，載《法商研究》2019年第5期。為實(shí)現(xiàn)法律資源和信息資源的優(yōu)化配置，個(gè)人信息保護(hù)對(duì)象的二次區(qū)分就成為必要。

（一）基于風(fēng)險(xiǎn)進(jìn)路的個(gè)人信息內(nèi)部區(qū)分

如果個(gè)人信息與非個(gè)人信息是從外部視角對(duì)信息進(jìn)行界分，從邏輯學(xué)的角度看，個(gè)人信息與非個(gè)人信息是一對(duì)正負(fù)概念。正概念是反映具有某種屬性的事物的概念，而負(fù)概念是反映不具有某種屬性的事物的概念。負(fù)概念總是相對(duì)于一個(gè)特定范圍，例如，非個(gè)人信息這個(gè)負(fù)概念是相對(duì)于個(gè)人信息這個(gè)范圍的，其表示一切不是個(gè)人信息的信息。非個(gè)人信息這個(gè)負(fù)概念的范圍要大于個(gè)人信息，因?yàn)榉莻€(gè)人信息包含與個(gè)人無(wú)關(guān)的信息和經(jīng)匿名化處理后的個(gè)人信息。非個(gè)人信息的概念可等同于GDPR中的匿名信息。參見(jiàn)金岳霖：《形式邏輯》，人民出版社2006年版，第31頁(yè)；See Finck，M.，amp; Pallas，F(xiàn). （2020）. They who must not be identified—distinguishing personal from non-personal data under the GDPR. Int Data Privacy Law 10 （1）： 11-36.那么保護(hù)力度強(qiáng)弱有別的區(qū)分則是從內(nèi)部視角進(jìn)行分類(lèi)。歐盟的個(gè)人數(shù)據(jù)保護(hù)立法以風(fēng)險(xiǎn)預(yù)防為原則，且是一種以人格尊嚴(yán)為核心的風(fēng)險(xiǎn)預(yù)防。參見(jiàn)王苑：《個(gè)人信息保護(hù)在民法中的表達(dá)——兼論民法與個(gè)人信息保護(hù)法之關(guān)系》，載《華東政法大學(xué)學(xué)報(bào)》2021年第2期。歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）生效后，風(fēng)險(xiǎn)進(jìn)路成為個(gè)人信息保護(hù)立法的主要趨勢(shì)。風(fēng)險(xiǎn)控制的實(shí)踐需求決定了對(duì)個(gè)人信息進(jìn)行分類(lèi)分級(jí)保護(hù)成為一種可欲措施。See Tal Z. Zarsky，Incompatible： The GDPR in the Age of Big Date，47 Seton Hall Law Review 995， 1012 （2016）.依照不同的風(fēng)險(xiǎn)等級(jí)，個(gè)人信息可分為一般類(lèi)型和特殊類(lèi)型。換言之，一般類(lèi)型與特殊類(lèi)型的個(gè)人信息是以確定的個(gè)人信息概念為預(yù)設(shè)，是后者的下位概念。GDPR第2章第5條至第7條規(guī)定了與個(gè)人數(shù)據(jù)處理有關(guān)的原則、處理的合法性和同意的條件后，第8條至第11條分別涉及了兒童數(shù)據(jù)、特殊類(lèi)別個(gè)人數(shù)據(jù)、有關(guān)刑事定罪與犯罪和無(wú)須識(shí)別數(shù)據(jù)的處理原則。參見(jiàn)李世剛、包丁裕瑞、王錚：《歐盟一般數(shù)據(jù)保護(hù)條例：文本和實(shí)用工具》，人民日?qǐng)?bào)出版社2018年版，第142-152頁(yè)。質(zhì)言之，該章的前3條和后4條內(nèi)容分別對(duì)應(yīng)了個(gè)人信息的一般類(lèi)型和特殊類(lèi)型。美國(guó)《數(shù)據(jù)隱私和保護(hù)法》（草案）（ADPPA）采用消費(fèi)者基本數(shù)據(jù)隱私權(quán)利的保護(hù)路徑，該法案SEC.2（8）和（22）將消費(fèi)者數(shù)據(jù)區(qū)分為涵蓋數(shù)據(jù)和敏感涵蓋數(shù)據(jù)。See H.R.8152 - American Data Privacy and Protection Act， at https：//www.congress.gov/bill/117th-congress/house-bill/8152/text（Last Visited on Nov.1，2022）.我國(guó)也作了相似分類(lèi)，全國(guó)人民代表大會(huì)常務(wù)委員會(huì)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》區(qū)分出“能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私”兩種公民個(gè)人電子信息；《民法典》第1034條將個(gè)人信息區(qū)分為一般個(gè)人信息和私密信息；《個(gè)人信息保護(hù)法》第二節(jié)也單獨(dú)規(guī)定了敏感個(gè)人信息的處理規(guī)則，以區(qū)分于一般個(gè)人信息。

（二）敏感個(gè)人信息的相異稱(chēng)謂梳理

域內(nèi)外規(guī)范性文件雖然大多采用了“一般與特殊”的個(gè)人信息二分法，但對(duì)特殊類(lèi)型個(gè)人信息卻采取了不同的概念稱(chēng)謂，對(duì)有別于一般信息而呈現(xiàn)其特有屬性的特殊個(gè)人信息，給予了相異的語(yǔ)詞表達(dá)。

日本《個(gè)人信息保護(hù)法》稱(chēng)特殊類(lèi)型個(gè)人信息為“需要特別注意的個(gè)人信息”。See The Personal Information Protection of Japan， 2020， at https：//www.ppc.go.jp/files/pdf/APPI＿english.pdf（Last Visited on Nov.8，2022）.

歐盟GDPR的正文部分采用了“特殊類(lèi)別的個(gè)人數(shù)據(jù)”的語(yǔ)詞表達(dá)，但是在其“鑒于條款”中又使用了“敏感數(shù)據(jù)”的表述。與全球許多數(shù)據(jù)保護(hù)框架一樣，印度尼西亞于2022年9月通過(guò)的首部《個(gè)人數(shù)據(jù)保護(hù)法》（PDP）區(qū)分了一般性質(zhì)的個(gè)人數(shù)據(jù)和敏感個(gè)人數(shù)據(jù)的類(lèi)別，將敏感個(gè)人數(shù)據(jù)定義為“特定個(gè)人數(shù)據(jù)”，即經(jīng)處理后可能對(duì)個(gè)人數(shù)據(jù)主體造成更大影響（包括傷害和歧視）的個(gè)人數(shù)據(jù)。See HUNTER DORWART， etc： INDONESIA’S PERSONAL DATA PROTECTION BILL： OVERVIEW， KEY TAKEAWAYS， AND CONTEXT， FUTURE OF PRIVACY FORUM， October 19， 2022. at https：//fpf.org/blog/indonesias-personal-data-protection-bill-overview-key-takeaways-and-context/（Last Visited on Nov.8，2022）.美國(guó)加州隱私權(quán)法案（CPRA）將消費(fèi)者的特殊信息稱(chēng)為敏感個(gè)人信息，并對(duì)敏感個(gè)人信息進(jìn)行了典型列舉。See The California Privacy Rights Act of 2020， at https：//thecpra.org/（Last Visited on Nov.8，2022）.另外，美國(guó)ADPPA同樣將涵蓋數(shù)據(jù)中的特殊類(lèi)型予以“敏感涵蓋數(shù)據(jù)”的表述。

我國(guó)最早將特殊個(gè)人信息命名為“敏感個(gè)人信息”的是全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的具有參照、引導(dǎo)效用的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》；2021年通過(guò)的《個(gè)人信息保護(hù)法》，則正式提出了“敏感個(gè)人信息”概念，以指稱(chēng)特殊類(lèi)型個(gè)人信息。而我國(guó)香港地區(qū)《個(gè)人資料（隱私）條例》（PDPO）沒(méi)有對(duì)敏感個(gè)人資料作出定義，也沒(méi)有對(duì)敏感個(gè)人資料的類(lèi)別提供更嚴(yán)格的要求，但個(gè)人資料私隱專(zhuān)員委員會(huì)已就某些類(lèi)別的個(gè)人資料更嚴(yán)格的收集、使用、保留及刪除規(guī)定發(fā)出了指引。See The Personal Data （Privacy） of Hong Kong，at https：//www.elegislation.gov.hk/hk/cap486！en？INDEX＿CS=Namp;xpid=ID＿1438403261084＿001amp;SEARCH＿WITHIN＿CAP＿TXT（Last Visited on Nov.1，2022）.

（三）“敏感”與“特殊”的可通約性證成

對(duì)特殊類(lèi)型個(gè)人信息無(wú)論采取何種語(yǔ)詞，均可化約為“特殊個(gè)人信息”與“敏感個(gè)人信息”兩種表達(dá)，其中“特殊”和“敏感”是核心要素。有學(xué)者認(rèn)為，“特殊”的描述帶有客觀評(píng)價(jià)色彩，而“敏感”的修辭則具有更大程度的主觀性。參見(jiàn)王苑：《敏感個(gè)人信息的概念界定與要素判斷——以〈個(gè)人信息保護(hù)法〉第28條為中心》，載《環(huán)球法律評(píng)論》2022年第2期。對(duì)此，筆者認(rèn)為，在個(gè)人信息論域中，“特殊”和“敏感”具有通約性，這一點(diǎn)從實(shí)證法對(duì)相關(guān)內(nèi)涵的定義和典型外延的例證可得到印證。例如，歐盟GDPR“鑒于條款”在特殊類(lèi)型個(gè)人數(shù)據(jù)后，用括號(hào)中的敏感數(shù)據(jù)進(jìn)行同義標(biāo)明，美國(guó)、澳大利亞、印度尼西亞的個(gè)人信息保護(hù)法中列舉的敏感個(gè)人信息類(lèi)型與GDPR的特殊類(lèi)型高度重合?？梢?jiàn)，特殊類(lèi)型個(gè)人信息大體等于敏感個(gè)人信息。需要注意的是，諸如未成年人信息等部分特殊信息并非一定敏感，但出于傾斜保護(hù)目的，一些國(guó)家將其擬制為法律上的敏感個(gè)人信息。由此可見(jiàn)，基于事物的共有屬性，特殊類(lèi)型個(gè)人信息與敏感個(gè)人信息可作同義轉(zhuǎn)換。特殊類(lèi)型個(gè)人信息以敏感性為核心特征，以權(quán)益侵害風(fēng)險(xiǎn)為法律基準(zhǔn)。鑒于此，本文采用“敏感個(gè)人信息”（以下簡(jiǎn)稱(chēng)“敏感信息”）的概念表達(dá)，“一般個(gè)人信息”簡(jiǎn)稱(chēng)為“一般信息”。

“個(gè)人信息的敏感性是決定個(gè)人或社會(huì)共同體對(duì)隱私感知的最重要因素之一”Sabah Al-Fedaghi， Authors Info amp; Claims： How sensitive is your personal information？ SAC '07： Proceedings of the 2007 ACM symposium on Applied computing， March 2007， Pages 165-169，at https：//doi.org/10.1145/1244002.1244046，（Last Visited on Nov.1，2022）.，作為規(guī)范性評(píng)價(jià)用語(yǔ)，“敏感”如何被認(rèn)定存在爭(zhēng)議，具體分為內(nèi)在面向和外在面向，也稱(chēng)主觀說(shuō)和客觀說(shuō)。內(nèi)在面向認(rèn)為，“敏感”是對(duì)個(gè)體心理特征的描述，體現(xiàn)的是個(gè)人對(duì)特定信息被泄露或?yàn)E用表現(xiàn)出的高反應(yīng)度；外在面向認(rèn)為，“敏感”是指法律規(guī)制的高反應(yīng)度，體現(xiàn)的是社會(huì)多數(shù)人的共同心理認(rèn)知，這種認(rèn)知受地域、文化觀念、法律傳統(tǒng)、習(xí)慣風(fēng)俗、經(jīng)濟(jì)發(fā)展?fàn)顩r、政策導(dǎo)向等因素的影響。參見(jiàn)寧園：《敏感個(gè)人信息的法律基準(zhǔn)與范疇界定——以〈個(gè)人信息保護(hù)法〉第28條第1款為中心》，載《比較法研究》2021年第5期。筆者認(rèn)為，這里的“敏感”是內(nèi)外雙重面向共同作用的結(jié)果，后者起源于對(duì)前者的吸納，前者迭代于后者的引導(dǎo)，二者不可割裂。因?yàn)閭€(gè)體組成了社會(huì)共同體，共同體維系于個(gè)體，任何社會(huì)規(guī)范都決定于特定時(shí)空之文明條件，任何法律都是對(duì)當(dāng)時(shí)當(dāng)?shù)貍€(gè)人或群體持有或提出的期待、主張或要求的反映。參見(jiàn)［美］羅斯科·龐德：《法理學(xué)》（第三卷），廖德宇譯，法律出版社2007年版，第4頁(yè)?？傊啾纫话阈畔?，敏感信息更容易導(dǎo)致自然人的人身、財(cái)產(chǎn)安全受到危害，故法律給予了信息處理者更嚴(yán)格的告知義務(wù)和更嚴(yán)厲的責(zé)任負(fù)擔(dān)，形成了個(gè)人信息內(nèi)部基于風(fēng)險(xiǎn)等級(jí)的差序評(píng)價(jià)格局。但是，如何妥善認(rèn)定敏感信息，卻是橫亙?cè)诟拍钆c事物、法律理論與實(shí)務(wù)操作之間的實(shí)踐性難題。

二、敏感個(gè)人信息的多維認(rèn)定

個(gè)人信息濫用或泄露造成的風(fēng)險(xiǎn)會(huì)傷及諸多個(gè)人利益或社會(huì)公共利益，這構(gòu)成了個(gè)人信息保護(hù)風(fēng)險(xiǎn)進(jìn)路的實(shí)踐依據(jù)和理論支點(diǎn)。個(gè)人利益被侵害的風(fēng)險(xiǎn)包括隱私權(quán)被侵害的風(fēng)險(xiǎn)、個(gè)人尊嚴(yán)或個(gè)人自由被侵犯的風(fēng)險(xiǎn)、通信自由和通信秘密被侵害的風(fēng)險(xiǎn)、生命健康權(quán)被侵害的風(fēng)險(xiǎn)，以及財(cái)產(chǎn)權(quán)被侵害的風(fēng)險(xiǎn)。而公共利益被侵害的風(fēng)險(xiǎn)則包括公共安全問(wèn)題、公共秩序問(wèn)題和超級(jí)平臺(tái)數(shù)據(jù)壟斷問(wèn)題。參見(jiàn)梅夏英：《社會(huì)風(fēng)險(xiǎn)控制抑或個(gè)人權(quán)益保護(hù)——理解個(gè)人信息保護(hù)法的兩個(gè)維度》，載《環(huán)球法律評(píng)論》2022年第1期。從利益生成邏輯來(lái)講，公共利益的需求來(lái)源于個(gè)人利益的抽象化，其保障的目的是個(gè)人利益。公共利益從其獨(dú)立主張時(shí)起便受個(gè)人利益的目的性指引，且須恪守邊界。因此，個(gè)人利益是信息風(fēng)險(xiǎn)系數(shù)考量的基礎(chǔ)，個(gè)人信息的概念和分類(lèi)帶有一定的風(fēng)險(xiǎn)防范面向。然而，如何將敏感信息從個(gè)人信息大類(lèi)中擇出，不是信息距離人格利益的遠(yuǎn)近所決定的，而是多種利益風(fēng)險(xiǎn)的交合和多元風(fēng)險(xiǎn)參數(shù)的耦合。

（一）法律直接規(guī)定

域內(nèi)外立法文件通過(guò)定義風(fēng)險(xiǎn)性更高的特殊類(lèi)型個(gè)人信息來(lái)完成個(gè)人信息的內(nèi)部區(qū)分，在實(shí)證法層面予以直接規(guī)定。歐盟GDPR中，特殊類(lèi)別個(gè)人數(shù)據(jù)指的是“揭示種族或民族出身，政治觀點(diǎn)、宗教或哲學(xué)信仰，工會(huì)成員的個(gè)人數(shù)據(jù)，以及唯一識(shí)別自然人為目的的基因數(shù)據(jù)、生物特征數(shù)據(jù)，健康數(shù)據(jù)，自然人的性生活或者性取向的數(shù)據(jù)”。日本《個(gè)人信息保護(hù)法》中的“敏感信息——需注意的個(gè)人信息”指“包括委托人的種族、信仰、社會(huì)地位、病史、犯罪記錄、因犯罪受到損害的事實(shí)，或內(nèi)閣命令規(guī)定需要特別注意處理的其他描述，以免對(duì)委托人造成不公平的歧視、偏見(jiàn)或其他不利影響”。美國(guó)CPRA指出，敏感信息包括：其一，泄露的個(gè)人信息，包括消費(fèi)者的社會(huì)保障、駕駛執(zhí)照、州身份證或護(hù)照號(hào)碼，賬戶(hù)登錄信息、金融賬戶(hù)、借記卡或信用卡號(hào)以及任何所需的安全或訪(fǎng)問(wèn)代碼、密碼或允許訪(fǎng)問(wèn)賬戶(hù)的憑據(jù)，精確地理位置，種族或民族血統(tǒng)、宗教或哲學(xué)信仰或工會(huì)會(huì)員身份，郵件、電子郵件和短信的內(nèi)容（除非企業(yè)是通信的預(yù)期接收者），基因數(shù)據(jù)；其二，為唯一識(shí)別消費(fèi)者而處理的生物特征信息，收集和分析的有關(guān)消費(fèi)者健康、性生活或性取向的個(gè)人信息，但已公開(kāi)的信息除外。美國(guó)ADPPA草案SEC.2（22）列舉了政府頒發(fā)的標(biāo)識(shí)符、身體健康信息、金融賬戶(hù)信息、生物識(shí)別信息、遺傳信息、精確地理位置信息、個(gè)人私人通信等16種敏感涵蓋數(shù)據(jù)形式，包括17歲以下的未成年人信息等特殊類(lèi)型。我國(guó)《個(gè)人信息保護(hù)法》第28條規(guī)定敏感信息是“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶(hù)、行蹤軌跡等信息，以及不滿(mǎn)十四周歲未成年人的個(gè)人信息”。

（二）體系性風(fēng)險(xiǎn)評(píng)估

通常而言，立法文件對(duì)敏感信息的本質(zhì)特征進(jìn)行一般定義后，將明顯符合概念標(biāo)準(zhǔn)的信息類(lèi)型予以典型示例。當(dāng)前的定義模式對(duì)特殊個(gè)人信息大多采用開(kāi)放性結(jié)構(gòu)，運(yùn)用了“相關(guān)”“一般而言”“特別注意”“容易”“包括”“等”富有彈性的語(yǔ)詞描述，這增強(qiáng)了概念的涵攝能力，也容易造成概念的邊界模糊。歐盟GDPR對(duì)敏感信息類(lèi)型進(jìn)行了封閉式列舉，但仍有進(jìn)一步具體化的空間，與特定案件中的裁判規(guī)范存在距離。為降低此種模糊性，有必要從實(shí)證法層面確定個(gè)人信息風(fēng)險(xiǎn)系數(shù)的深層原因，使敏感信息的認(rèn)定更具客觀性。具體可細(xì)化為利益類(lèi)型、侵害程度和風(fēng)險(xiǎn)概率三個(gè)核心參數(shù)。

1.利益類(lèi)型

相比于一般信息，敏感信息的泄露或非法處理可能對(duì)個(gè)人權(quán)益造成更嚴(yán)重的損害或更迫切的損害風(fēng)險(xiǎn)。之所以會(huì)產(chǎn)生這種差別，是因?yàn)榇祟?lèi)個(gè)人信息所負(fù)載的利益類(lèi)型與隱私的關(guān)聯(lián)程度更為緊密，給人們帶來(lái)的風(fēng)險(xiǎn)感知更為真實(shí)和迫切。敏感信息涉及的利益關(guān)乎人格尊嚴(yán)，分為人格利益、數(shù)字社群關(guān)系和物質(zhì)利益三類(lèi)。人格利益包括人身利益、意志自由、尊嚴(yán)與名譽(yù)、隱私利益等；數(shù)字社群關(guān)系利益范圍比人格利益要廣，不僅包括個(gè)人的身體和生命，也包括經(jīng)濟(jì)方面，以期從總體上對(duì)抗外界和對(duì)抗家庭關(guān)系的其他當(dāng)事人；物質(zhì)利益既包括免受非法處理敏感信息危及信息主體財(cái)產(chǎn)安全的要求，也包括享有敏感信息本身財(cái)產(chǎn)性收益的主張。

2.侵害程度

拋開(kāi)侵害程度談行為危害性將缺乏法律苛責(zé)的正當(dāng)性。例如，在刑事領(lǐng)域，部分罪名須在數(shù)額、情節(jié)或次數(shù)等方面明確立案標(biāo)準(zhǔn)，只有達(dá)到一定侵害程度的行為才會(huì)被認(rèn)為是犯罪行為；民事領(lǐng)域的追責(zé)標(biāo)準(zhǔn)雖然低一些，但法律規(guī)范、司法實(shí)踐抑或權(quán)利主體都會(huì)對(duì)侵害行為保留一定范圍的容忍空間，只有超過(guò)一定侵害程度閾值才被歸入違法行為或啟動(dòng)訴訟程序。同理，特殊類(lèi)型個(gè)人信息的認(rèn)定也須將侵害程度作為考量指標(biāo)。我國(guó)《個(gè)人信息保護(hù)法》從草案二審稿到正式法律文本對(duì)“敏感信息”的定義，由“人身、財(cái)產(chǎn)安全受到嚴(yán)重危害”改為“人身、財(cái)產(chǎn)安全受到危害”，恰恰印證了這一點(diǎn)，即敏感信息認(rèn)定原則上采取了侵害烈度較為輕緩的“一般侵害程度”。

3.風(fēng)險(xiǎn)概率

權(quán)益侵害風(fēng)險(xiǎn)的兌現(xiàn)概率直接關(guān)系人們對(duì)信息的敏感態(tài)勢(shì)感知。之所以將部分個(gè)人信息單列出來(lái)，并非緣于所涉利益類(lèi)型的明顯差異，而是因?yàn)槊舾行畔⒈磺趾Φ娘L(fēng)險(xiǎn)概率往往高于一般信息。敏感信息與信息主體的人格利益、物質(zhì)利益關(guān)系更為密切，是信息處理主體進(jìn)行數(shù)據(jù)二次挖掘、數(shù)據(jù)畫(huà)像、精準(zhǔn)廣告推送、分析觀察對(duì)象的規(guī)律、特征以及預(yù)測(cè)未來(lái)的價(jià)值源泉，故其更易被處理者青睞、追逐和攫取。即使在敏感信息內(nèi)部也存在風(fēng)險(xiǎn)概率的差異，比如，基因數(shù)據(jù)是典型的敏感數(shù)據(jù)，但囿于信息處理者特定身份和信息處理技術(shù)門(mén)檻，該類(lèi)信息受侵害的風(fēng)險(xiǎn)概率并不高。

（三）個(gè)人信息二元內(nèi)涵架構(gòu)透視

當(dāng)個(gè)人作為信源，被自己、他人或類(lèi)人的各類(lèi)機(jī)器所觀察、感知、分析，其中有關(guān)存在方式、運(yùn)動(dòng)狀態(tài)、交互效應(yīng)的信息類(lèi)型構(gòu)成痕跡信息，而對(duì)作為信源的自然人進(jìn)行“區(qū)分識(shí)別”的信息類(lèi)型則構(gòu)成標(biāo)識(shí)信息。當(dāng)前，個(gè)人信息保護(hù)采取的是以“識(shí)別”為抓手，將具有標(biāo)識(shí)自然人功效的“標(biāo)識(shí)信息”納入個(gè)人信息范疇進(jìn)行法律保護(hù)的方式。從割裂“標(biāo)識(shí)信息”與“痕跡信息”的聯(lián)系切入，重心在于確?！皹?biāo)識(shí)信息”不被識(shí)別，從而實(shí)現(xiàn)與“痕跡信息”的“脫鉤”。由此可見(jiàn)，現(xiàn)有的個(gè)人信息保護(hù)對(duì)“痕跡信息”與“標(biāo)識(shí)信息”的二元隔離是一種人為的制度設(shè)計(jì)。事實(shí)上，這兩類(lèi)信息相伴相生，自被信息主體生產(chǎn)出的那一刻起，二者就作為一個(gè)統(tǒng)一體呈現(xiàn)。筆者認(rèn)為，應(yīng)摒棄標(biāo)識(shí)信息中心主義理念，依托標(biāo)識(shí)信息（指稱(chēng)性構(gòu)件）與痕跡信息（描述性構(gòu)架）的二元架構(gòu)，用二者之間的熔斷與關(guān)聯(lián)關(guān)系構(gòu)造個(gè)人信息的內(nèi)涵邏輯，即個(gè)人信息在本質(zhì)上是標(biāo)識(shí)信息與痕跡信息發(fā)生關(guān)聯(lián)時(shí)的一種信息形態(tài)。參見(jiàn)韓新遠(yuǎn)：《個(gè)人信息的多利益相關(guān)方治理》，載《人民法院報(bào)》2022年11月24日，第5版。

通過(guò)二元概念架構(gòu)進(jìn)行穿透式解析，可發(fā)現(xiàn)敏感信息的內(nèi)涵構(gòu)件存在一定特殊性：首先，敏感信息的指稱(chēng)性構(gòu)件具有更強(qiáng)的標(biāo)識(shí)能力，如在公共管理關(guān)系中的公民身份信息（姓名、身份證、車(chē)牌號(hào)、護(hù)照等）和生物識(shí)別信息（指紋、聲紋、虹膜、基因序列等）。前者大多為政府頒發(fā)的標(biāo)識(shí)符，其強(qiáng)“顯名”效力來(lái)源于信息主體為配合政府社會(huì)管理職權(quán)而對(duì)國(guó)家作出的權(quán)利讓渡；后者的強(qiáng)“顯名”效力來(lái)源于自然人生物特征的唯一和不可更改。其次，特殊信息的描述性構(gòu)件具有更強(qiáng)的描述能力，如自然人的人臉特征、醫(yī)療健康記錄、金融交易記錄、通訊錄、行為蹤跡等，這類(lèi)痕跡信息或強(qiáng)烈顯現(xiàn)其本體特征，或清晰勾勒其社會(huì)關(guān)系，是對(duì)信息主體自然屬性和社會(huì)屬性的深度掃描，直接決定著個(gè)人在數(shù)字社會(huì)的“透明度”。

（四）信息處理協(xié)議的場(chǎng)景化判斷

敏感信息風(fēng)險(xiǎn)系數(shù)高，但并非不能為信息處理者所收集、存儲(chǔ)和使用，只是相較一般信息采取了更嚴(yán)格的處理規(guī)則。不管是歐盟和美國(guó)的“原則禁止+例外允許”還是中國(guó)的“附條件允許”，兩種模式均是通過(guò)“知情—同意”機(jī)制來(lái)正當(dāng)化對(duì)特殊信息的處理，這樣在實(shí)踐中就會(huì)出現(xiàn)信息主體對(duì)敏感信息實(shí)質(zhì)認(rèn)定的差異。此時(shí)，信息主體主觀意識(shí)中的敏感性對(duì)象，可能與實(shí)證法中明確列舉的敏感信息類(lèi)型產(chǎn)生錯(cuò)位，尤其在對(duì)敏感信息范圍進(jìn)行裁量以納入額外類(lèi)型時(shí)，更會(huì)使敏感信息的認(rèn)定產(chǎn)生分歧。

為實(shí)現(xiàn)對(duì)敏感信息的動(dòng)態(tài)認(rèn)定，筆者建議，引入“場(chǎng)景理論”以緩解內(nèi)外面向?qū)€(gè)人信息的敏感性認(rèn)知分歧。該理論認(rèn)為，保護(hù)個(gè)人信息不應(yīng)拘泥于統(tǒng)一與標(biāo)準(zhǔn)化的保護(hù)，而應(yīng)尋求與具體場(chǎng)景相關(guān)的信息規(guī)范，維護(hù)具體信息關(guān)系與生活秩序的公正性與融貫性，將信息隱私保護(hù)與具體場(chǎng)景相關(guān)聯(lián)，將信息權(quán)益的保護(hù)與否轉(zhuǎn)化為個(gè)人信息披露和流通是否符合特定場(chǎng)景的合理規(guī)范和信息流通規(guī)范的判定。See Helen Nissenbaum，Privacy in Context： Technology， Policy， and the Integrity of Social Life， Stanford University Press， 2009， p.141； Helen Nissenbaum，Privacy as Contextual Integrity，Washington Law Review， 2004， 79（1）， pp. 101-137.個(gè)人信息處理中的“知情—同意”是一種非典型性民事行為，且是一種雙方行為，并非一種單純的“許可”或“授權(quán)”。參見(jiàn)高富平：《同意≠授權(quán)個(gè)人信息處理的核心問(wèn)題辨析》，載《探索與爭(zhēng)鳴》2021年第2期。本質(zhì)上，信息處理者與信息主體通過(guò)“知情—同意”達(dá)成信息處理協(xié)議，約定了雙方的權(quán)利義務(wù)乃至違約責(zé)任，信息處理者依照這份協(xié)議獲得了信息處理行為的合法性依據(jù)。換言之，信息處理協(xié)議構(gòu)造了針對(duì)特定信息的應(yīng)用性場(chǎng)景，該場(chǎng)景作用于私法層面的個(gè)人信息保護(hù)，其基于雙方意思自治明確了信息收集、處理和使用的種類(lèi)、目的、存儲(chǔ)時(shí)長(zhǎng)、共享范圍等，任何超越該場(chǎng)景的信息處理行為都將被追究相應(yīng)的法律責(zé)任。在這個(gè)應(yīng)用性場(chǎng)景中，信息主體自我界定了不同信息的敏感度，形成了主觀層面的敏感信息類(lèi)型，充分滿(mǎn)足了個(gè)體差異化的敏感認(rèn)知需求。

然而，信息主體對(duì)敏感信息的主觀認(rèn)定不能背離實(shí)證法的規(guī)則性限制和原則性約束。質(zhì)言之，敏感信息的認(rèn)定除了要考慮應(yīng)用性場(chǎng)景（信息處理各方主體的自由意志）外，還要遵守信息保護(hù)法規(guī)中對(duì)敏感信息的典型列舉、敏感信息處理的特定規(guī)則，以及個(gè)人信息處理的合法、正當(dāng)、必要、誠(chéng)信等原則，且應(yīng)兼顧社會(huì)共同認(rèn)可的價(jià)值觀念。

三、敏感個(gè)人信息的嚴(yán)格保護(hù)

敏感信息可能給信息主體帶來(lái)更大的侵害風(fēng)險(xiǎn)，故適用不同于一般信息的處理規(guī)則、受到更強(qiáng)力度的保護(hù)措施，參見(jiàn)韓旭至：《敏感個(gè)人信息的界定及其處理前提——以〈個(gè)人信息保護(hù)法〉第28條為中心》，載《求是學(xué)刊》2022年第5期。從而使個(gè)人信息基于類(lèi)型區(qū)分而呈現(xiàn)強(qiáng)弱有別的保護(hù)格局。除了所有個(gè)人信息處理都應(yīng)遵循的基本原則和一般信息的處理規(guī)則之外，敏感信息的處理增加了額外的限制，如歐盟GDPR的第9.2條要求必須具有一個(gè)或多個(gè)特定目的；信息處理者為履行就業(yè)、社會(huì)保障、社會(huì)保險(xiǎn)法領(lǐng)域等義務(wù)所必需，且在歐盟或歐盟成員國(guó)法律授權(quán)范圍內(nèi)；為保護(hù)數(shù)據(jù)主體或其他自然人重大利益所必需；數(shù)據(jù)主體已明確公開(kāi)；為處理重大公共利益、公共衛(wèi)生領(lǐng)域的公共利益所必需；為提供醫(yī)療診斷、科研、統(tǒng)計(jì)等服務(wù)所必需等。例如，我國(guó)《個(gè)人信息保護(hù)法》第28條第2款額外要求敏感信息的處理要滿(mǎn)足“特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施”這個(gè)前提條件，還須符合法律、行政法規(guī)的其他補(bǔ)充規(guī)定。除此之外，敏感信息的強(qiáng)保護(hù)集中體現(xiàn)在更嚴(yán)格的“知情—同意”標(biāo)準(zhǔn)、更嚴(yán)苛的歸責(zé)原則和更嚴(yán)密的救濟(jì)方式三方面。

（一）嚴(yán)格的“知情—同意”標(biāo)準(zhǔn)

處理個(gè)人信息要有合法性基礎(chǔ)是各國(guó)個(gè)人信息保護(hù)法的通例，其規(guī)范化進(jìn)路是將“知情—同意”（告知同意）作為認(rèn)定個(gè)人信息處理行為合法與否的基礎(chǔ)依據(jù)?！爸椤狻眲?chuàng)設(shè)了各方主體的權(quán)利義務(wù)，是一種限制相對(duì)方具體行為的“閘口”。參見(jiàn)姚佳：《個(gè)人信息主體的權(quán)利體系——基于數(shù)字時(shí)代個(gè)體權(quán)利的多維觀察》，載《華東政法大學(xué)學(xué)報(bào)》2022年第2期。作為信息處理活動(dòng)的開(kāi)啟端，敏感信息“知情—同意”的行為方式無(wú)疑將有別于一般信息。歐盟GDPR要求“明確同意”；我國(guó)《個(gè)人信息保護(hù)法》要求“單獨(dú)同意”或“書(shū)面同意”，同時(shí)，還需向信息主體作“必要性”和“個(gè)人權(quán)益影響”說(shuō)明。國(guó)內(nèi)學(xué)者作了進(jìn)一步闡釋?zhuān)J(rèn)為敏感信息的單獨(dú)同意不能以默示方式作出，禁止“一攬子”概括同意，且應(yīng)當(dāng)貫徹拒絕提供服務(wù)的限制規(guī)則，即《個(gè)人信息保護(hù)法》第16條規(guī)定的“個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回同意為由，拒絕提供產(chǎn)品或者服務(wù)”。換言之，信息處理者不能以拒絕提供服務(wù)為條件強(qiáng)制收集敏感信息。參見(jiàn)王利明：《敏感個(gè)人信息保護(hù)的基本問(wèn)題——以〈民法典〉和〈個(gè)人信息保護(hù)法〉的解釋為背景》，載《當(dāng)代法學(xué)》2022年第1期。美國(guó)ADPPA要求“肯定的明示同意”，且該草案SEC.2（1）對(duì)肯定的明示同意作了詳細(xì)的闡釋?zhuān)磦€(gè)人的肯定行為，其明確表達(dá)了個(gè)人對(duì)某一行為或?qū)嵺`自由給予的、具體的、知情的和明確的授權(quán)。同時(shí)，涵蓋主體向個(gè)人提出的信息處理請(qǐng)求須滿(mǎn)足語(yǔ)言簡(jiǎn)潔、說(shuō)明詳細(xì)、目的明確、權(quán)利清晰等更嚴(yán)謹(jǐn)?shù)囊螅袚?dān)更嚴(yán)格的告知義務(wù)，且不得從個(gè)人的不作為或個(gè)人繼續(xù)使用該涵蓋實(shí)體所提供的服務(wù)或產(chǎn)品中推斷出，該個(gè)人已對(duì)該行為或?qū)嵺`提供了肯定的明示同意，不得通過(guò)不正當(dāng)方式獲得或試圖獲得個(gè)人的肯定明示同意，包括使用任何虛假、虛構(gòu)的、欺詐性的或具有重大誤導(dǎo)性的陳述或表述或設(shè)計(jì)、修改或操縱任何用戶(hù)界面，其目的或?qū)嵸|(zhì)效果是掩蓋、顛覆或損害個(gè)人合理的自主權(quán)、決策權(quán)或提供這種同意或任何涵蓋數(shù)據(jù)的選擇。H.R.8152 - American Data Privacy and Protection Act， 117th Congress （2021-2022）， at https：//www.congress.gov/bill/117th-congress/house-bill/8152/text（Last Visited on Sep.19，2022）.各國(guó)對(duì)未成年人信息或犯罪信息的“知情—同意”機(jī)制作了類(lèi)似于敏感信息卻更有針對(duì)性的限制規(guī)定。與此對(duì)應(yīng)，一般信息類(lèi)型采取的同意標(biāo)準(zhǔn)較為寬松，如“概括同意”。至于能否對(duì)一般信息處理的同意進(jìn)行擬制，把沉默或不作為視為信息主體作出同意，學(xué)者們持不同意見(jiàn)。參見(jiàn)蔡星月：《數(shù)據(jù)主體的“弱同意”及其規(guī)范結(jié)構(gòu)》，載《比較法研究》2019年第4期；衣俊霖：《論個(gè)人信息保護(hù)中知情同意的邊界——以規(guī)則與原則的區(qū)分為切入點(diǎn)》，載《東方法學(xué)》2022年第3期。

（二）嚴(yán)苛的責(zé)任原則

責(zé)任是對(duì)違反約定義務(wù)或法定義務(wù)的主體作出的否定評(píng)價(jià)。責(zé)任分為私法責(zé)任和公法責(zé)任。其區(qū)別在于：前者體現(xiàn)的是國(guó)家潛在的強(qiáng)制力，是否啟動(dòng)取決于信息主體的主觀選擇，而后者則是國(guó)家直接付諸強(qiáng)制力且不以當(dāng)事人意志為轉(zhuǎn)移。責(zé)任是法律秩序的邏輯終點(diǎn)，因此，作為責(zé)令加害人承擔(dān)責(zé)任依據(jù)的歸責(zé)原則就成為各方主體風(fēng)險(xiǎn)分配的關(guān)鍵。

1.私法領(lǐng)域的責(zé)任原則

歸責(zé)原則發(fā)軔于私法話(huà)語(yǔ)體系。王利明教授認(rèn)為，我國(guó)《個(gè)人信息保護(hù)法》是一個(gè)領(lǐng)域立法，包括公法規(guī)則與私法規(guī)則，具有一定的綜合性，但就個(gè)人信息保護(hù)，尤其是敏感信息保護(hù)的規(guī)則而言，大部分規(guī)則屬于私法規(guī)則，是《民法典》制度規(guī)則的具體化。參見(jiàn)王利明：《敏感個(gè)人信息保護(hù)的基本問(wèn)題——以〈民法典〉和〈個(gè)人信息保護(hù)法〉的解釋為背景》，載《當(dāng)代法學(xué)》2022年第1期無(wú)論違約還是侵權(quán)，如果缺乏損害結(jié)果預(yù)防的過(guò)程監(jiān)控，那么事后的責(zé)任分配就可替代過(guò)程監(jiān)控和過(guò)程責(zé)任。在訴訟中體現(xiàn)為舉證責(zé)任的劃分，在結(jié)果上體現(xiàn)為損害賠償責(zé)任的負(fù)擔(dān)，其實(shí)質(zhì)是法律風(fēng)險(xiǎn)的分?jǐn)偤娃D(zhuǎn)移。參見(jiàn)桑本謙：《法律簡(jiǎn)史：人類(lèi)制度文明的深層邏輯》，生活·讀書(shū)·新知三聯(lián)書(shū)店2022年版，第133-140頁(yè)。目前，個(gè)人數(shù)據(jù)的權(quán)利性質(zhì)和權(quán)屬存在爭(zhēng)議，故在實(shí)證法層面，基于信息處理協(xié)議的違約損害賠償責(zé)任并未具體化，以侵權(quán)損害賠償責(zé)任為抓手。過(guò)錯(cuò)責(zé)任是侵權(quán)行為最重要的歸責(zé)原則，但對(duì)信息處理者而言，信息主體在經(jīng)濟(jì)、信息、科技力量等方面居于相對(duì)弱勢(shì)地位，雙方處于“非對(duì)稱(chēng)權(quán)力結(jié)構(gòu)”王錫鋅：《個(gè)人信息國(guó)家保護(hù)義務(wù)及展開(kāi)》，載《中國(guó)法學(xué)》2021年第1期。之中。信息處理者通過(guò)“知情—同意”機(jī)制開(kāi)辟了個(gè)人信息可能被泄露或?yàn)E用的危險(xiǎn)源，且從這種潛在危險(xiǎn)中獲得了比信息主體更大的收益、更強(qiáng)的控制力和更低的風(fēng)險(xiǎn)規(guī)避能力。因此，應(yīng)將這種特定的危險(xiǎn)責(zé)任歸于“那些（即便是以被允許的方式）產(chǎn)生了這一風(fēng)險(xiǎn)的人，或者因其利益而維系了這一風(fēng)險(xiǎn)的人”［德］卡爾·拉倫茨：《正確法：法倫理學(xué)基礎(chǔ)》，雷磊譯，法律出版社2022年版，第106頁(yè)。。這在實(shí)證法上被具體化為“過(guò)錯(cuò)推定”原則，我國(guó)《個(gè)人信息保護(hù)法》第69條第1款和歐盟GDPR第82條便是例證。鑒于敏感信息更高的風(fēng)險(xiǎn)系數(shù)，參照“受害人無(wú)辜不受損”原則，筆者認(rèn)為，信息處理者可對(duì)信息主體受到的損害先行賠償，之后向其他責(zé)任方進(jìn)行追償。這將增加信息處理者的責(zé)任風(fēng)險(xiǎn)，對(duì)此，可引入信息處理者責(zé)任保險(xiǎn)制度以分散各方風(fēng)險(xiǎn)。參見(jiàn)彭誠(chéng)信：《現(xiàn)代權(quán)利理論研究——基于“權(quán)利理論”與“利益理論”的評(píng)析》，法律出版社2017年版，第405-406頁(yè)。

2.公法領(lǐng)域的責(zé)任原則

信息處理者的公法責(zé)任是其違反法定義務(wù)而直接受到國(guó)家否定評(píng)價(jià)的責(zé)任。相比于私法責(zé)任的補(bǔ)償性，公法責(zé)任傾向于懲罰性。公法體系龐雜且范圍有爭(zhēng)議，個(gè)人信息保護(hù)領(lǐng)域的責(zé)任原則主要涉及刑法、行政法、反壟斷法及反不正當(dāng)競(jìng)爭(zhēng)法等。其中，行政法一般采取客觀歸責(zé)原則，以違法構(gòu)成要件的符合性來(lái)認(rèn)定行政相對(duì)人的責(zé)任，信息處理者的責(zé)任負(fù)擔(dān)以法定義務(wù)為準(zhǔn)繩，以特定國(guó)家機(jī)關(guān)的認(rèn)定和歸結(jié)為必要。與此同時(shí)，行政法應(yīng)給予敏感信息更多的規(guī)范保障，給予信息處理者更高的注意義務(wù)和更嚴(yán)厲的行政處置。數(shù)據(jù)保護(hù)的行政監(jiān)管模式相比司法救濟(jì)更為靈活高效，越來(lái)越為世界各國(guó)所采納和推廣，但也存在弊端。譬如，歐盟GDPR生效以來(lái)，負(fù)責(zé)執(zhí)行該法律的數(shù)據(jù)監(jiān)管機(jī)構(gòu)難以針對(duì)大型科技公司和不透明在線(xiàn)廣告行業(yè)的投訴迅速采取行動(dòng)，使該法案巨額罰款的威懾效應(yīng)減弱，引發(fā)了對(duì)行政責(zé)任機(jī)制作用于個(gè)人信息，尤其是敏感信息保障的反應(yīng)實(shí)效、程序周期、執(zhí)法成本、合規(guī)成本等問(wèn)題的疑慮，See Matt Burgess： How GDPR Is Failing， WIRED， 23.05.2022， at https：//www.wired.co.uk/article/gdpr-2022； Shoshana Wodinsky： The Hidden Failure of the Worlds Biggest Privacy Law， GIZMODO， Published February 4， 2022，at https：//gizmodo.com/gdpr-iab-europe-privacy-consent-ad-tech-online-advertis-1848469604（Last Visited on Nov.5，2022）.也逆向凸顯了私法責(zé)任機(jī)制的優(yōu)勢(shì)。刑法采取的是罪責(zé)原則，即無(wú)罪則無(wú)刑罰，依據(jù)罪責(zé)程度施加刑罰，區(qū)分故意與過(guò)失，舉證責(zé)任在公權(quán)機(jī)構(gòu)。在同等情節(jié)前提下，針對(duì)敏感信息的犯罪行為較之一般信息危害性更大，故其入罪門(mén)檻更低、刑罰更嚴(yán)厲。

（三）嚴(yán)密的救濟(jì)方式

救濟(jì)是責(zé)任的兌現(xiàn)，無(wú)救濟(jì)則無(wú)權(quán)利。當(dāng)信息主體的權(quán)益受到損害時(shí)，以公權(quán)力是否擁有主動(dòng)、直接介入資格，救濟(jì)方式可分為私權(quán)救濟(jì)和公權(quán)救濟(jì)。

1.私權(quán)救濟(jì)方式

私權(quán)救濟(jì)的啟動(dòng)權(quán)在私人主體一方，可區(qū)分為契約型和民事訴訟型。（1）契約型救濟(jì)是一種信息主體擁有自我決定權(quán)的救濟(jì)方式。該類(lèi)救濟(jì)體現(xiàn)為：信息主體依靠自由意志，或通過(guò)與信息處理者約定違約條款，對(duì)敏感信息的預(yù)期損害風(fēng)險(xiǎn)進(jìn)行事前分配，或在損害結(jié)果發(fā)生后通過(guò)與信息處理者簽訂協(xié)議獲得損害賠償。信息主體在尋求契約型救濟(jì)時(shí)，可以放棄自身合法權(quán)益，但不能違背公訴良俗等原則、不能違反法律的禁止性規(guī)定，如兜售自身敏感信息以制作、傳播、販賣(mài)淫穢物品等。（2）民事訴訟型救濟(jì)是一種信息主體擁有自我啟動(dòng)權(quán)的救濟(jì)方式，即通過(guò)民事訴訟獲得國(guó)家的強(qiáng)制力保障。在無(wú)信息處理協(xié)議時(shí)發(fā)生損害行為，信息主體可以提起侵權(quán)之訴，要求信息處理者予以解釋說(shuō)明、查閱復(fù)制、更正補(bǔ)充、刪除或賠償?shù)?，以起到消除影響、恢?fù)名譽(yù)、賠禮道歉等傳統(tǒng)救濟(jì)效果；在通過(guò)“知情—同意”機(jī)制簽訂信息處理協(xié)議后發(fā)生損害行為，理論上信息主體可以提起侵權(quán)損害賠償之訴或違約損害賠償之訴。此外，還可主張信息處理者給予金錢(qián)賠付，以彌補(bǔ)信息主體人格性財(cái)產(chǎn)利益損失。無(wú)論契約型還是訴訟型救濟(jì)，對(duì)敏感信息損害的賠償標(biāo)準(zhǔn)將更高、賠償范圍將更廣泛。同時(shí)，要善用精神損害賠償，積極探索個(gè)人信息財(cái)產(chǎn)權(quán)的保障進(jìn)路。

2.公權(quán)救濟(jì)方式

公權(quán)救濟(jì)主要包括行政類(lèi)和刑事類(lèi)兩種救濟(jì)方式。（1）行政類(lèi)救濟(jì)是一種監(jiān)管模式，體現(xiàn)在信息主體可依照公法性質(zhì)的個(gè)人信息保護(hù)法直接向信息處理者行使查閱、復(fù)制、轉(zhuǎn)移、更正、補(bǔ)充、刪除等權(quán)利。在歐盟，信息主體依據(jù)GDPR可向監(jiān)管機(jī)構(gòu)提起申訴，使監(jiān)管機(jī)構(gòu)啟動(dòng)對(duì)信息處理者的調(diào)查權(quán)、糾正權(quán)、建議權(quán)等，從而對(duì)違法行為作出罰款等行政處罰。我國(guó)《個(gè)人信息保護(hù)法》第65條規(guī)定，任何組織、個(gè)人有權(quán)對(duì)違法個(gè)人信息處理活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門(mén)進(jìn)行投訴、舉報(bào)。收到投訴、舉報(bào)的部門(mén)應(yīng)當(dāng)依法對(duì)信息處理者進(jìn)行調(diào)查，對(duì)違法信息處理者施以責(zé)令改正、警告、沒(méi)收違法所得、罰款、停業(yè)整頓、吊銷(xiāo)執(zhí)照、信用懲戒、從業(yè)禁止等處罰，并將處理結(jié)果告知投訴、舉報(bào)人。此外，該法第70條還規(guī)定了相關(guān)職能部門(mén)作為維權(quán)主體的公益訴訟制度。（2）刑事類(lèi)救濟(jì)是對(duì)侵犯公民個(gè)人信息犯罪的行為進(jìn)行刑事處罰，是最為嚴(yán)厲的懲戒方式，信息主體可以為辦案機(jī)關(guān)提供犯罪線(xiàn)索，受害者還可以通過(guò)刑事附帶民事訴訟尋求損害賠償。敏感信息與一般信息在公權(quán)救濟(jì)方式上并無(wú)二致，區(qū)別在于敏感信息的立案標(biāo)準(zhǔn)更低、情節(jié)嚴(yán)重的認(rèn)定更寬松，如涉案信息轉(zhuǎn)發(fā)數(shù)量、信息傳播范圍、違法所得數(shù)額、受害人侵害程度都較一般信息門(mén)檻更低，但處罰標(biāo)準(zhǔn)卻更高。

四、結(jié)語(yǔ)

大數(shù)據(jù)發(fā)展帶來(lái)了技術(shù)變革，也帶來(lái)了思維方式和治理規(guī)則的革新。為平衡數(shù)據(jù)保護(hù)與數(shù)據(jù)流通之間的內(nèi)在張力、實(shí)現(xiàn)信息資源與數(shù)字資源的優(yōu)化配置，有必要對(duì)不同類(lèi)型的個(gè)人信息施以不同的保護(hù)力度和保護(hù)措施。通過(guò)橫向比較域內(nèi)外的個(gè)人信息保護(hù)立法，可發(fā)現(xiàn)多數(shù)國(guó)家和地區(qū)依循風(fēng)險(xiǎn)進(jìn)路，對(duì)個(gè)人信息進(jìn)行了一般與特殊（敏感）的二元內(nèi)部區(qū)分。作為規(guī)范性描述，特殊與敏感可作同義替代。對(duì)敏感信息的客觀認(rèn)定是多種利益風(fēng)險(xiǎn)的交合和多元風(fēng)險(xiǎn)參數(shù)的耦合，包括法律直接規(guī)定、體系性風(fēng)險(xiǎn)評(píng)估、個(gè)人信息二元內(nèi)涵架構(gòu)透視和信息處理契約的場(chǎng)景化判斷。敏感信息可能給信息主體帶來(lái)更大的損害風(fēng)險(xiǎn)，故除了所有個(gè)人信息處理都應(yīng)遵循的基本原則和一般信息的處理規(guī)則之外，還針對(duì)敏感信息作出了額外限制和特定要求，使其受到更強(qiáng)力度的保護(hù)。敏感信息的強(qiáng)保護(hù)集中體現(xiàn)在更嚴(yán)格的同意標(biāo)準(zhǔn)、更嚴(yán)苛的歸責(zé)原則和更嚴(yán)密的救濟(jì)方式三方面。在個(gè)人信息保護(hù)領(lǐng)域形成強(qiáng)弱有別的保護(hù)格局，可避免“引發(fā)過(guò)度保護(hù)或保護(hù)不足的弊端”丁曉東：《個(gè)人信息司法保護(hù)的困境與出路》，載《法學(xué)研究》2018年第6期。。

綜上所述，筆者認(rèn)為，個(gè)人信息保護(hù)的研究必須堅(jiān)持一個(gè)明確的理念——“保護(hù)”是個(gè)人信息處理第一原則。只有充分尊重和保障信息主體運(yùn)用自身理性，才能更好地推動(dòng)個(gè)人信息的流動(dòng)和共享。不能因單個(gè)主體的自身信息價(jià)值稀薄，而邊緣化信息主體在信息權(quán)利格局中的中心地位；不能因信息主體無(wú)法利用個(gè)人信息產(chǎn)生直接的經(jīng)濟(jì)效益，而堵塞信息主體所享有的物質(zhì)性信息權(quán)利的演繹進(jìn)路。

Abstract：

In order to balance the internal tension between data protection and data flow， it is necessary to make personal information present different protection patterns based on type differentiation. Based on the risk approach，The Outside-Domain Empirical Method makes a binary internal distinction between general and special （sensitive） personal information. As a normative description， specificity and sensitivity can be used as synonymous substitutes. The objective identification of sensitive information is the combination of multiple benefits and risks and the coupling of multiple risk parameters， including direct legal provisions， systematic risk assessment， dual connotation framework perspective of personal information and situational judgment of information processing contract. Sensitive information may bring greater risk of damage to the information subject， so different processing rules are applied to general information， and it is subject to stronger protection. The strong protection of sensitive information is mainly embodied in three aspects： more strict consent standard， more strict responsibility principle and more strict relief method．

［責(zé)任編輯 周 敏］