敏感個人數據的特殊保護

陳紅旭

(重慶郵電大學 網絡空間安全與信息法學院， 重慶 400065)

目前，我國個人信息[注]說明：當前我國立法普遍使用個人信息的表述，美國也較多使用個人信息表述，而歐盟立法則普遍使用“個人數據”( personal data) 的表述。學術界普遍認為兩者沒有本質差異，故本文結合表述場景交叉使用。立法已經被提上日程[注]2018年9月10日，十三屆全國人大常委會立法規劃正式發布，69件法律草案列入第一類項目，個人信息保護法是第61個項目。中國人大網http://www.npc.gov.cn/npc/xinwen/2018-09/10/content_2061041.htm.,但對于未來是否需要引入敏感個人信息的概念、設定規則并進行特殊保護尚無統一觀點。對于已發布的3部《個人信息保護法(專家建議稿)》，在早期起草的版本中并沒有引入“敏感個人信息”這一概念，而新起草的建議稿則明確引入這一概念，并設置了相應的特殊保護規則。

本文對目前國際上關于敏感個人信息的界定及其特殊保護情況，以及我國當前關于敏感個人信息的界定、規范等問題展開了調查與研究。

1 國外敏感個人數據的保護現狀與問題

國外關于個人數據保護立法主要分為兩類。一類是以美國為代表的“公平實踐原則”為主的立法；[注]歐盟以個人數據為保護對象，同時以數據主體的“自決權”和數據的“人格權”為基礎，制定了統一的個人數據保護立法，統一規范個人數據的收集、處理和使用標準，并設立專門的個人數據保護機構實行統一保護。另一類是以歐盟為代表的統一立法。

1.1 以美國為代表的“公平實踐原則”為主的立法

當前，美國尚無專門的法律來規范敏感個人數據的保護，對該類數據保護的有關規定分散在美國多項聯邦法律中。1970年頒布的《公平信用報告法》與2003年頒布的《公平準確信用交易法案》中[1]明確了數據主體的“知情權、修改權”，強調了有關機構對數據的收集必須限于特定目的，并將部分個人數據納入“禁止收集”的范疇?？梢钥闯?，這種區分實則是對個人數據敏感與否的一種界定。

1999年頒布的《金融服務現代化法案》中，對敏感個人數據的保護體現在兩個方面。一方面是從類型上區分敏感個人數據，明確該法案只對“個人可識別金融數據”即“非公開的個人信息”進行保護；另一方面，從遵循數據主體的意愿角度區分敏感個人數據，一旦數據主體認為其數據屬于敏感類，即可通過拒絕的方式禁止金融機構對其數據的收集。1996年的《電信法案》，將個人數據劃分為不同的敏感級別予以保護[1]。

1.2 以歐盟為代表的統一立法

2018年5月25日生效的《歐盟通用數據保護條例》(general data protection regulation，GDPR)明確定義了敏感個人數據的分類，見表1。GDPR高度重視數據分類[3]，具體保護主要體現在兩方面。

表1 歐盟GDPR中的敏感個人數據種類

一方面，GDPR第9條明確了禁止處理的敏感個人數據種類與基于數據主體“同意”前提可以進行數據處理的法定情形；[注]詳見GDPR第9條。另一方面，大數據的出現和數據處理分析技術的提升為刻畫個人的數字畫像和數字人格提供了可能。歐盟認為數據畫像活動對數據主體的權益保護同樣存在一定的安全風險，并在GDPR中對數據畫像也進行了明確定義,將數據畫像的個人數據納入敏感個人數據保護之列[4]。

2 我國當前敏感個人信息的保護現狀及問題

當前，因個人信息不當收集、濫用、泄露而導致公民權益受到侵害的事件時有發生，個人信息法律保護已成為社會關注的熱點問題。

2.1 立法及國家標準中的敏感個人數據

我國目前尚未制定專門的個人數據立法。雖然我國已有多部法律、法規、規章提及了個人信息的定義，但均未對敏感個人數據予以明確定義和分類。已有部分法規通過禁止性條文將一些個人信息列為禁止收集的范圍，隱含了這些信息具有敏感性的特征。在刑法體系中，通過司法解釋的方式，對公民部分數據予以重點保護，這也體現了該類數據的敏感性。

我國2017年發布的《信息安全技術個人信息安全規范》(以下簡稱《個人信息安全規范》)從國家標準的層面明確了“敏感個人數據”的概念和分類，具體如表2所示。[注]詳見《信息安全技術個人信息安全規范》3.2，注 2：關于個人敏感信息的范圍和類型可參見附錄 B。雖然該規范不屬于國家強制性標準，不具有法律效力，但該規范的發布為我國敏感個人數據的法律保護問題進行了有價值的探索。

表2 《信息安全技術個人信息安全規范》中的敏感數據種類

2.2 現行相關規定存在的問題

我國現有的法律體系雖已在逐漸加強對個人信息的保護力度，但由于尚未有專門體系化立法，故相關分散性規定存在保護標準不一致的問題。

筆者認為，高位階立法未區分敏感與非敏感個人數據導致了同位階及下位階規范中出現概念混淆和適用混亂問題。同時，因數據主體對個人數據敏感程度重要性認知不同，如果不能清晰定義敏感數據屬性，則數據主體權益難以得到切實有效的保障。

3 我國敏感個人數據概念及其區分必要性

盡管我國已從刑事責任追究、民事權利救濟、行政監管和行業自律等多方面保護個人信息，同時從相關規范中尋找和探索涵及法律界對于敏感個人信息的界定[5]，但是，由于所調節的矛盾不同、適用對象不同、涉及的行業不同，其對敏感性的定義、認識還存在相互矛盾、混淆不清的情況。另外，數據主體對個人數據重要程度也存在認知不統一的情況。在我國深化大數據應用、大力發展數字經濟的時代背景下，為實現經濟發展與數據主體權益保護的和諧統一，筆者認為，應明確引入敏感個人數據的概念和分類，并通過分級分類保護方式解決上述難題。

3.1 敏感個人數據的概念

《個人信息安全規范》填補了我國個人信息保護在實踐標準上的空白。該規范不僅引入了敏感個人信息概念，將其定義為“一旦泄露、非法提供或濫用可能危害人身財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇的個人信息”，還將包括“個人財產數據、個人健康生理數據、個人生物識別數據、個人身份數據、網絡身份標識數據、其他數據等”列入敏感個人數據的分類。[注]詳見我國《個人信息安全規范》附錄B.1。這種概括和列舉雖在一定程度上為我國未來立法提供了參考，但其仍存在不足。例如，《個人信息安全規范》將“個人電話號碼”“行蹤軌跡”歸入敏感信息之類，但上述信息如不能對應數據主體的真實個體，這類數據就不能顯示出其特殊敏感性，相反還能在快遞物流、廣告推廣或者導航出行等場景中發揮作用。

綜上，筆者認為，在大數據環境下，并非所有《個人信息安全規范》中提及的敏感個人信息皆敏感，應根據不同場景產生的不同“后果”加以分析。因此，在此基礎上，筆者將“敏感個人數據”概括定義為“涉及數據主體隱私，一旦泄露、非法提供或濫用極易或一定危害人身財產安全，導致個人名譽、身心健康受到損害或歧視性待遇后果的具有直接識別特性或惟一識別特性的個人數據?！?/p>

3.2 敏感個人數據區分必要性

在個人數據的法律保護問題上，應具體劃分為敏感與非敏感個人數據進行保護，分析其必要性如下：

1) 將個人數據劃分為敏感個人數據與非敏感個人數據是當今世界關于個人數據保護立法的一大特色。歐盟、韓國、日本等國家已在其頒布的法律中明確引入敏感個人數據的概念，并予以分類。各國對敏感個人數據種類的定義有不同之處，但其立法實踐已成為世界主流趨勢[1]。

2) 個人數據在大數據應用下會深刻刻畫數據主體的自然身份，特別是敏感個人數據的匯入，甚至能描繪出其在虛擬社會的“數字人格”[8]。在互聯網開放環境中，這無疑會對數據主體的各類權益帶來威脅。因此，應將個人數據予以區分，特別加強對敏感個人數據的保護，保障數據主體的合法權益[6]。例如，在我國，居民身份證是用于證明個人身份的法定證件，記載了姓名、身份證號碼、性別、民族、出生日期、住址等要素，但身份證號存在被廣泛采集的情況。由于身份證號碼在大數據環境下能迅速對應并關聯到數據主體的真實身份和其他個人數據，故在現實應用場景中也具有極高的敏感性。

目前，從網上披露的大量電信詐騙案例可以發現，詐騙分子通過互聯網購買、收集公民的個人數據后，運用各種騙術電話聯系受害人實施詐騙。有相當部分受害人事后描述在詐騙分子能準確說出其身份證號這一敏感信息后，便降低了警惕。在2018年6月發生的“徐玉玉案”中，個人敏感信息被網絡黑客竊取后，詐騙分子實施精準詐騙導致一位花季少女不幸隕落的極端個案顯示出敏感個人信息保護的現實意義。

3) 個人數據融合、匯集帶來的大數據應用賦予了個人數據在互聯網時代極高的商業價值。對個人數據進行敏感和非敏感分類保護是解決經濟發展與數據主體權益保護矛盾的有效手段[7]。原則上，建議對非敏感個人數據予以充分利用，對敏感個人數據嚴格設置法律規范予以使用。

綜上，筆者認為，在現今大數據環境下，對敏感個人數據區分并分類保護是形勢所需，也是發展必然。

4 我國敏感個人數據的保護路徑構想

根據前文對敏感個人數據概念的定義，本文在具體場景中結合數據的敏感程度，以“平衡”為核心，提出動態平衡模型構想。

4.1 引入數據保護與動態平衡模型

敏感個人數據保護的核心目的是降低數據使用給數據主體帶來的權益損失。通過構建權益保護和數據價值發展的平衡標準，實現其有效統一。

針對“平衡”問題，本文引入關于個人數據的敏感度與其利用價值兩方面的動態平衡二維理論分級體系，一方面估量“個人數據”挖掘的價值，另一方面評估產生價值對應的“個人數據”的敏感程度，以為敏感個人數據保護提供策略參考。

根據本文對敏感個人數據的定義，動態平衡模型的構建應包括但不限于以下兩種因素：

1) 個人數據從內容上描述數據主體的當前生活狀態、GPS位置信息、身份信息、血型、宗教信仰等敏感個人數據的完整程度。

2) 個人數據為商業機構產生直接價值高低或者其數據用于商業挖掘價值的高低。

本文在模型構建上給出如下定義：

定義1對于敏感個人數據給定一個集合M，M={mj|j=1,2,3,…}，其中j表示不同類型的敏感個人數據種類數量。

定義2定義一個映射F，使F(mj)表示敏感個人數據描述數據主體的完整程度。

定義3定義一個映射V，使V(mj)表示個人數據的挖掘利用價值。

定義4定義Z表示數據主體的個人數據與其數據安全程度的映射關系，這種安全程度包括對數據主體的精神利益、物質利益安全程度的保障。

基于場景的概念下，對于涵蓋敏感數據種類越多的個人數據，其對應的安全程度越低。由此得到個人數據安全程度與個人數據完整度的數學表達式，模型如圖1所示。

Z(mj)=1 /F(mj)

(1)

式(1)中:Z(mj) 為個人數據安全程度;F(mj)表示敏感個人數據描述的數據主體的完整程度。

圖1 敏感個人數據安全程度與準確度、完整度關系

在個人數據價值屬性方面，不同準確度和完整度的個人數據帶來的商業利用價值是不同的。常規而言，數據利用價值與完整度成正比。由此可得到個人數據價值、利用價值與其完整度、準確度的數學關系，模型表示見圖2。

V(mj)=k·F(mj)-s

(2)

式中:V(mj)表示個人數據的挖掘利用價值;k表示不同互聯網企業對個人數據的利用挖掘的不同能力；s點表示對敏感個人數據的起始收集點(左側包括法律規定禁止收集的個人數據)；F(mj)表示敏感個人數據描述的數據主體的完整程度。

圖2 敏感個人數據價值及其處理價值與其準確度、完整度關系

綜合圖1、2，得到圖3。圖3中，s點表示對敏感個人數據的起始收集點，k體現了互聯網企業的數據處理、挖掘能力。圖中的交點即敏感個人數據保護與商業利用的平衡點。在該平衡點上，敏感個人數據的保護與其利用價值剛好達到平衡，而關系式中的各項系數可因具體場景不同而發生變化，滿足動態平衡的過程。

圖3 自然人數據權益保護與其數據價值權重對比

4.2 基于動態平衡模型下的法律保護完善

從上述模型可以看出，在對數據主體描述完整度越來越完善的情況下，雖然數據發揮的價值能顯著提高，但是其安全性也會大幅度降低。因此，在協調發展數據經濟和保護敏感個人數據相統一的問題上，嘗試引入數學平衡模型，以“平衡點”為基礎進行分類保護。在諸多惟一性識別的敏感個人數據中，鑒于身份證號碼的特殊敏感性，考慮到社會適用廣度，同時為便于研究，將身份證號碼數據直接設置為“平衡點”，并圍繞涉及“身份證號”的敏感個人數據與不涉及“身份證號”的敏感個人數據，從完善不同“平衡點”下的企業數據收集、使用行為與政府監管保護措施方面提出建議。

1) 針對“平衡點”中涉及“身份證號”的敏感個人數據的法律保護：第一，在立法層面，加快推進我國個人數據保護的立法工作，借鑒各國成熟立法經驗及實際司法實踐，引入敏感與非敏感個人數據概念，特別是將身份證號列入禁止性收集范圍，解決該類特殊敏感個人數據被超范圍、超權限廣泛收集的問題；[注]參見 《網絡安全法》第41條規定“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息?！钡诙涌焱七M《國家人口基礎信息庫》的應用，[注]該基礎信息庫是由公安部牽頭，教育部、民政部、人力資源和社會保障部、衛生和計劃生育委員會共建，覆蓋全國人口，以公民身份號碼為唯一標識的國家數據庫。通過共建單位的共同維護、多源校核，保證了全國人口信息的一致性、準確性、完整性、權威性，解決了之前相關部門各自采集維護的出生、死亡等信息的真實性、有效性帶來的問題。加強信息共享，按照單一收集、多頭共享的原則，保障該敏感數據的安全收集及使用；第三，嚴格落實信息系統安全防范技術措施，對必須存儲“身份證號”類敏感個人數據的信息系統，嚴格設定查詢權限、嚴格控制知悉范圍，強化安全防護措施，同時采取加密存儲的方式，以防數據泄露。

2) 對于“平衡點”中不涉及“身份證號”的間接識別敏感個人數據，探索成立數據保護監管機構，按照國家相關法律法規，審核存儲有個人數據的機構、企業。運用動態平衡模型考察其收集、存儲的數據是否符合“最小利用”原則與“目的限制”原則，并在“平衡點”下合理利用。對于超出“平衡點”的，數據保護監管機構有權采取刪除數據、禁止處理等處置措施，以保證數據安全性。另外，加強行業準入機制、完善行業標準。對于數據利用機構、企業應有相應行業準入機制，避免無風險防范能力的機構、企業隨意收集用戶個人數據。同時，借鑒《個人信息安全規范》推薦性國家標準，實施符合數字經濟發展與敏感個人數據保護的強制性國家標準。

5 結束語

對于個人敏感數據的保護路徑，本文在定義并列舉的基礎上，引入場景概念與動態平衡關系模型，突破了傳統的個人數據保護思路，符合國際數據保護的場景理念，對研究大數據時代下保護公民數據權益、維護個人信息安全具有一定參考意義。