大數據時代個人敏感信息的法律保護*

姬蕾蕾

（安陽師范學院 河南安陽 455100）

1 大數據時代個人敏感信息保護面臨的挑戰

個人信息是指能夠直接識別或者結合其他信息識別出特定身份主體的信息，其上承載人格利益，且由于數據挖掘技術的發展，個人信息逐漸被商業化，其承載的財產利益也逐漸為法學界所認可。其中個人敏感信息是一種較為特殊的個人信息類型，這一類型的個人信息關乎個人的隱私、人格尊嚴與人格自由等基本人權。國外立法和我國法規都對個人信息進行了區分，即區分個人敏感信息和個人一般信息，對個人敏感信息一般會加以特別規定。這種區分由歐洲委員會首先規定，隨后《一般數據保護條例》沿襲這一規定，我國個人信息保護的相關規定也對此進行了借鑒。由于個人信息無形性和可傳播性的物理特征，個人敏感信息一旦被濫用，其對個人隱私的侵害就不可逆轉，甚至會對個人的人格利益造成持續的侵害，因此，對個人敏感信息的特別保護顯得十分迫切和必要。

1.1 數據收集技術的創新導致新型個人敏感信息不斷出現

隨著收集、存儲和處理數據的成本不斷下降，云端設備、手機、電腦、可穿戴設備等成為數據收集的新來源，這也意味著我們生活在一個幾乎隨處都在收集數據的世界中[1]。隨著數據挖掘技術的不斷研發與應用，其收集數據的來源日益豐富，可供收集的個人信息的類型也在不斷擴充，形成了多元化的數據形態。這些新型個人信息的范圍涵蓋用戶在線活動產生的行為軌跡信息及其使用電子設備所產生的地理位置信息，并且這些個人信息的范圍還在不斷拓展，以至于現今在非結構化數據中尋找關聯關系與規律成為一種趨勢[2]。信息主體為享受各種電子設備、電子軟件為其帶來的便利，會和數據控制者共享其個人敏感信息，例如用戶用微博、社交網站等記錄消費體驗，這類數據為非結構化數據，數據控制者將這類數據加以整合、分析，從中挖掘具有價值的信息，從而實現其商業價值，而收集這類非結構化的數據是數據技術發展的主方向[3]100。數據挖掘技術可以在非結構化數據中尋找關聯性，進而在另一個場景識別特定身份主體，使得個人信息的界定更為復雜。國內外對于新出現的個人信息類型并未給予適當保護，對個人敏感信息的界定也并未明確立法，如何為新出現的個人信息提供明確而有效的保護是當前全球立法的重要課題。

1.2 對個人敏感信息的判斷產生分歧

數據創新技術的使用看似無害，但若將非敏感個人信息或匿名化的數據與其他敏感個人信息相結合，重新識別特定信息主體就會變為可能。地理位置數據、cookies、個人信息衍生的產品等屬于個人一般信息還是個人敏感信息眾說紛紜。以信息主體搜索的關鍵詞為例，如若個人僅搜索較為普遍的詞語，該數據識別具體個人相對較難，但若將特定個人的搜索詞進行關聯，那么這個人被識別的可能性就很高。采取刪除直接標識符的方式已被證明不足以使個人信息匿名化，因為各個個人信息屬性的組合通常會重新識別特定主體。例如我國首例cookie隱私權糾紛——北京百度網訊科技公司與朱某隱私權糾紛案，一審法院與二審法院對其屬性就作出了截然不同的判決。

1.3 個人敏感信息與數據在不同場景中能相互轉化

數據技術的進步和個人信息的擴散使敏感信息和非敏感信息的傳統區分已經過時。大數據時代下，是否屬于個人敏感信息需要結合應用場景和相應行業準則，不能以“全有或全無”的方式作出一刀切的判斷，而且隨著對數據源的無限制利用，人們能輕易獲得大量關于個人的數據，這種有關數據的聚合能力，增強了數據轉化成個人敏感信息的可能性[5]69。個人敏感信息定義的模糊化也給個人敏感信息匿名化范圍的界定增加了難度。匿名化技術是個人敏感信息保護與數據流通的一個技術過濾工具，匿名化就是將個人信息轉化成數據，這種數據的性質一經轉化，其性質就不再具有人格屬性，不再適用個人信息保護法中的相關規定。但是數據技術的發展，使得個人敏感信息脫敏后仍面臨被重新識別的可能，匿名化的范圍模糊不清，也增加了信息主體隱私受到威脅的風險。而從數據控制者的層面來看，匿名化的范圍不清使得數據范圍的界定更加困難。在大數據時代，數據與個人敏感信息之間的界限愈發模糊，一個數據最初被視為個人敏感信息，但是當它經過匿名化技術處理后，又成為了數據，然而在另一時間或場景中，該數據就又可能識別出特定主體，成為具有人格屬性的個人信息。在不同的場景，個人敏感信息的屬性會發生變化，體現出流動性特征。換言之，個人信息的敏感性，不僅取決于其性質或者類型，還取決于其被利用的目的或者方式。也因此，對于個人敏感信息的保護，立法者除采用以敏感度、信息類別等因素列舉個人敏感信息的方式之外，還應注意到在不同情景中非個人敏感信息的性質。

2 個人敏感信息區分保護的必要性與可行性

是否區分個人一般信息與個人敏感信息，法學界學者眾說紛紜。但就目前全球立法趨勢而言，個人敏感信息的特別規定已成為各國立法的一個新動向。我國《民法典》對個人信息進行明確保護，但在條文中并未對個人敏感信息作區分規定。本文認為，個人敏感信息具有高度的私密性，其隱私成分較高，關乎信息主體的人格尊嚴與人格自由，在大數據時代，隱私隱患高、數據技術不透明的前提下，對個人敏感信息的明確規定及強化保護很有必要。下文將對這種強化保護的必要性及可行性展開詳細論述。

2.1 從敏感度視角分析個人敏感信息區分保護的必要性

個人敏感信息涉及個人的隱私區域，具有高度的敏感性，例如關于個人的性生活、性取向、金融信息、健康信息、基因信息等信息，一旦這類信息被泄露或者更改，將會對信息主體造成不良影響[6]。個人信息被泄露后對信息主體造成的影響大小取決于信息的敏感程度。信息敏感度描述的是信息的敏感程度，敏感度在Merriam-Webster中的解釋為：①易受損害，尤其是精神上的損害；②敏銳地意識到他人的態度和感受。個人信息的敏感度是描述個人信息對于信息主體可能造成傷害的程度和影響。敏感度越高的信息，其可能對信息主體造成的傷害越大，反之則越小[7]17。個人敏感信息具有隱私性質，需要特別保護，是當前大數據時代下數據技術研發與應用的必然。澳大利亞改革委員會在建議頒布個人信息保護法的報告中提出，在信息技術廣泛應用的今天，如果對敏感信息的保護得不到強化，那么社會將很難不顧科技的變化而保持它的自由和民主傳統[8]42。較之一般信息，敏感信息的收集、處理和利用更容易對信息主體的人格尊嚴或信息主體本身造成難以彌補的傷害。容貌、性取向、金融信息、前科、病例、DNA等個人信息，多屬于信息主體不欲公開的私人生活領域，內容極為私密，一旦公開就會對個人的精神造成極度困擾，影響其正常生活。該類信息應該被列為敏感性特種資料并特別加強保護，除例外事由外，原則上不得收集、處理或者利用[9]60。敏感度高的個人信息對信息主體會造成重大傷害，且適用于大多數信息主體[10]。因此，鑒于個人敏感信息高度敏感性和極度私密性，對個人敏感信息采取更為嚴格的保護是大數據時代下對個人信息進行收集利用的邏輯前提和必然要求，也是良好個人信息保護制度設計的價值體現。

2.2 從經濟成本分析個人敏感信息區分保護的必要性

在傳統信息保護的法律規制中，無論是理論通說抑或國際通行立法均將知情同意要件作為個人信息利用的正當性基礎，即當數據控制者收集個人信息時應取得信息主體的同意。知情同意權屬于人格權的一部分，是人格尊嚴和人格自由在信息保護法領域的具體體現。“知情同意”在信息保護中構建的學理依據主要是信息不對稱理論，該理論實質是為平衡信息主體對自身信息參控力度的缺失，通過知情同意的機理給予信息主體在信息流轉過程中的控制權，防止信息利用者侵害其知情權，進而維護信息主體的個人尊嚴與自由，故傳統信息規范將知情同意要件作為信息保護與數據流通的平衡性法理基礎。大數據分析應用之前，對個人信息的商業化利用主要集中于公眾人物的肖像、名稱、聲音等標識，彰顯出個人信息的積極控制功能。伴隨大數據時代到來，數據控制者對個人信息的商業利用不再僅限于對公眾人物人格標識的利用，而是對信息主體整體信息的利用，且著重于對信息的二次利用，即數據控制者運用大數據分析減少商業的不確定性以提高經濟效率。此時，一味地將“同意”作為個人信息收集的合法性前提對于信息流轉已經嚴重不適用：一方面，隱私條款的提供形同虛設，“作為傳統架構‘立足之本’的‘知情同意’機制”已失靈，用戶并無實際的控制權，在網絡語境中，用戶為使用產品或服務往往除點擊同意之外并無其他選擇[11]；另一方面，知情同意要件也提高了互聯網企業的合規成本，給企業造成沉重負擔，且嚴重阻礙了數據流通，制約了企業對數據價值的合理開發利用[12]。

非經本人同意的敏感信息處理會在社會中造成超出本人預料的結果，并對本人的人格發展造成不可預料的影響，使得本人人格塑造的結構偏離原本預期[13]43-44。本文認為，雖然知情同意規范對于當前個人信息的保護顯得捉襟見肘，但也不能完全否定同意規范的作用，畢竟，個人信息涉及信息主體的人格自由與人格尊嚴，保障信息主體的知情同意是必須且必要的，由此可以保證信息主體在個人信息處理過程中的參控力度，使其擁有和數據產業者在信息交易中議價的能力，增強信息主體的主動權，以改善信息主體在數據交易過程中處于弱勢地位的狀態[14]。但是，個人信息的類型豐富多樣，且在不同情景中個人信息與非個人信息會不斷轉化，這樣，對所有的個人信息采取同意規范顯得過于僵化，且不適應現實社會的發展要求。因此，區分個人一般信息與個人敏感信息就成為數據經濟發展的必要方式，對于個人敏感信息采取明示同意的標準，以保障信息主體的利益需求，對于個人一般信息則采取默示同意的標準，以保障數據流通。

2.3 從歐美立法經驗分析個人敏感信息區分保護的可行性

2.3.1 歐盟

將個人信息進行區分保護在域外立法早有先例。1995年的《數據保護指令》中明確規定個人數據包括個人一般數據和個人敏感數據，并對個人敏感數據進行列舉式規定。歐盟對于個人信息的保護采取的是一般保護加特殊保護的雙重標準模式，即：對于個人一般信息的收集、處理和利用，數據控制者需要遵守《數據保護指令》的基本保護原則；對于個人敏感信息，《數據保護指令》給予了更為嚴格的保護標準，即對于該類特殊信息，數據控制者在收集、處理、利用時必須取得信息主體的明確同意，如果超出信息收集時所確定的范圍，需要征得信息主體的進一步同意，否則數據控制者應承擔相應的責任。然而，數據挖掘技術的研發與應用，導致信息主體與數據控制者處于嚴重不平等的地位。時至今日，歐盟《數據保護指令》對于個人信息的保護已經顯得捉襟見肘，歐盟開始審視現有立法的不足，改革現有法律規范以順應時代的發展潮流，更好地保護個人信息。

歐盟于2012年公布《一般數據保護條例》草案，以代替《數據保護指令》，該草案于2016年4月通過，2018年5月該條例正式實施[15]。在《一般數據保護條例》中，點睛之處在于歐盟對于個人信息進行了分層規定，共分三個層次：首先是對個人一般信息的規定，這類信息包括種族、政治觀點、宗教信仰、哲學信仰以及工會成員資格等，原則上數據控制者可以對該類信息進行處理，但是不得泄露；其次，歐盟對于個人敏感數據增加了處于中間層的個人基因信息、生物特征信息，因為這類信息加上相關技術可識別到特定主體，故數據控制者在處理該類信息時，需要符合目的原則，且禁止對該類信息加以識別；最后，對于健康信息、性取向、性生活等高度私密的信息，是禁止收集、處理的。從《一般數據保護條例》對個人信息利用的區分標準而言，敏感度越高的個人信息，對數據控制者利用的要求與限制條件也越多，體現了歐盟以保障人權為核心的立法理念[16]126。總體而言，歐盟《一般數據保護條例》更新個人敏感數據的類型，加重數據控制者的責任，在一定程度上降低了個人敏感數據泄露的風險。

2.3.2 美國

在立法形式上，美國對于個人敏感信息的保護，一般多見于比較零散的州法規以及各個行業的軟法中。美國在公共領域關于個人信息保護的立法最主要的是1974年制定的《隱私法》，該法明確規定了公民個人的權利基礎是基于其隱私權投射于個人信息之上而產生的數據隱私權。該法的根基在于將個人信息納入絕對隱私權的保護范疇，體現為保證個人知情同意、刪除以及修改的權利。對于個人信息的保護，美國法是以隱私權為基石，對于個人信息糾紛主要依賴援引和變通隱私權相關規則與判例加以解決。隨著數據挖掘技術的應用，公權力部門以及數據經營者對于數據的需求逐漸增大，數據成為各個行業競相追逐的對象，如若繼續援引隱私權的相關規則保護個人信息，對數據需求方而言將付出巨大成本，同時會妨礙到政府部門的公共管理。最終，美國法將具有高度敏感性的信息以單獨立法的模式進行保護，以合理利用個人信息；對于私主體之間的法律關系，適用行業自律的規則由下而上保護個人信息；對于較為敏感或者比較重要的信息，則采用單行法保護模式。

某種類型的個人信息是否應得到法律的強化保護，取決于該類信息的泄露與利用給信息主體造成損害的嚴重性。美國法并沒有明確列舉個人敏感信息的類型，需要特別保護的信息，一般是公認的較為私密的信息。了解美國確定的敏感信息類型需要通過各行業部門制定的特定敏感數據法案。比較重要的單行法主要有：①金融領域的《格拉姆-里奇-布萊利法案》（該法案適用于在金融活動中有重大參與的美國公司，并要求該類公司根據其活動的規模、復雜性、性質和范圍，實施各種包含保障措施的安全計劃）以及近年來最具影響力的法案2015年的《消費者隱私保護法案（草案）》（該法案規定了敏感個人可識別信息，且將確保該類信息的安全作為法案的主旨）；②在通信領域有1984年的《電纜通信隱私法》、1986年的《有限通信隱私權法》；③針對兒童隱私保護1998年出臺了《兒童在線隱私保護法》（COPPA），該法案的基本目標是保護兒童免受通過網站或移動應用程序收集數據的風險，并使父母參與此過程；④根據美國法律，與人的身體或精神有關的健康信息會受到更高的保護，因為在此領域中，侵犯他人的健康信息會對其精神層面造成損害，故美國國會面向全國頒布了《健康保險便利及責任法》（HIPPA）；⑤在教育行業有1974年的《家庭教育權利與隱私法》（FERPA），該法案禁止聯邦政府資助的機構未經父母或學生的同意而披露學生的教育記錄[1]289。從這些法案可以看出，美國將健康信息、兒童信息、金融信息、教育信息列入敏感信息范疇進行重點保護。

敏感信息的主觀性較強，歐盟與美國的價值觀念、歷史發展以及文化背景存在不同，因此兩者對于個人敏感信息范圍的界定并不相同，但其保護個人信息的主旨是相同的，均是為了維護個人尊嚴和人格自由。域外法對于個人敏感信息的類型及其認定方式的規定，為我國個人信息保護立法提供了豐富的可資借鑒的先進經驗[12]。綜合分析，將個人敏感信息進行區分保護有其迫切性和必要性。在數據經濟時代，平衡個人信息的利用與保護是我們將持續研究的課題，而對個人信息的區分保護是大勢所趨。當前，縱觀我國立法，對于個人敏感信息的保護尚不到位，多散見于一些規范性文件中，但是大多是一些低位階的法律，且對于個人敏感信息的定義、范圍界定并不一致，這給個人信息保護規則的適用帶來了困難。因此，對于個人敏感信息的保護亟需立法給予應有的回應，以期為企業實踐與司法適用提供確切規范與指引。

3 我國大數據時代個人敏感信息保護制度之構建

當前，我國立法對于個人信息的保護并不健全，特別是對個人敏感信息的保護尚處于探索階段。正在編纂的《民法典》人格權編并未對個人敏感信息給予足夠重視，而《個人信息保護法》的制定尚處于起步階段，難以應對大數據時代個人敏感信息的潛在風險。因此，為回應個人敏感信息的保護問題，我們應該積極制定《個人信息保護法》，具體而言，需要注意以下制度的更新與構建。

3.1 重新定義個人敏感信息：靜態列舉+動態情景模式

以上所述，個人敏感信息的保護是必要且可行的，而如何界定個人敏感信息成為保護這類信息首先要解決的問題。由于隱私的主觀性特征，對于個人敏感信息的界定，不同國家或者地區的立法確定的范圍并不一致。綜合而言，主要有靜態列舉、動態情景兩種定義模式。

3.1.1 定義個人敏感信息的模式

首先是靜態列舉模式：靜態列舉是傳統定義個人敏感信息的方式，而列舉的考量因素包括歧視標準和基本權利面臨高侵害風險標準。歧視標準是指，對于個人信息的不當使用或者泄露是否會使信息主體遭受不正當的對待，以此衡量個人信息的敏感度。聯合國在1990年出臺的《關于自動資料檔案中個人資料的指南》就規定了無歧視原則，即對于民族、種族、膚色以及性生活等可能招致歧視的個人資料，不得進行處理。這一原則中列舉的個人信息被認定為個人敏感信息。基本權利面臨高風險侵害標準是指泄露該類信息會對信息主體的基本權利造成高風險損害。例如，歐盟對于個人信息的保護是以人權保障為理念的，因此在確定個人敏感信息時就以是否危及基本權利與自由為核心[17]。這兩個標準雖然在衡量個人敏感信息時會出現不同，但是兩者的價值理念是一致的，都是為了維護個人在社會中的人格尊嚴與人格自由。雖然各國的文化背景、價值理念都存在不同，但是基于相同的保護宗旨，敏感性個人信息的確定一般是符合大眾的“合理期待”的，因此，對于個人敏感信息采用靜態列舉模式是各國立法的普遍做法。例如，歐盟《一般數據保護條例》以及美國《消費者隱私權利法案《草案）》都采用列舉模式界定個人敏感信息。

其次是動態情景模式：動態情景模式是指對于個人敏感信息的界定依據特定的情景加以確定。歐盟《一般數據保護條例》即采用這種方式確定個人敏感信息合理使用的邊界，這也是該條例的最大亮點，即摒棄傳統的目的評估理論，轉而以場景導向理論為基點，以隱私風險管理為手段動態評估個人信息的合理使用邊界[11]94。傳統個人信息保護的立法構架比較僵化，對于個人信息是否被合理使用，通常是一種全有或全無的一刀切預判，而情景導向模式跳脫這一窠臼，轉而在特定的情景中衡量個人信息的敏感度，進而確定該信息是否被合理使用。在大數據時代，數據技術的發展使得個人信息與非個人信息在不同場景中不斷切換，而情景導向路徑恰好可以應對在確定個人敏感信息時所面臨的這一挑戰。美國《消費者隱私權利法案》正是采用這一模式確定個人敏感信息，一改之前采用“識別性”定義個人信息的方式，采用“關聯性”在具體場景中對個人信息加以確定。個人信息尤其是以“關聯性”為特征的間接識別信息的邊界是動態的，是否構成個人敏感信息應視具體的場景而定[18]。

3.1.2 個人敏感信息范圍的界定：靜態列舉與動態情景結合認定

綜上所述，現行立法對于個人敏感信息范圍的界定主要依據個人信息對于信息主體的重要性以及損害程度而定。靜態列舉個人敏感信息模式是現行立法的主要趨勢，這種定義方式對個人敏感信息的保護可以起到一定的預防性效果，使相關信息得到切實保護。但是這種定義模式的缺陷在于，隨著數據技術的不斷發展，個人敏感信息的類型不斷涌現，其內容也在不斷變化，“由法律規定和判斷信息是否敏感的立法方式并未考慮信息主體的個人意見和感受，既可能保護過度又可能保護不足”[12]242。靜態列舉個人敏感信息的目的在于，在信息收集階段盡可能獲得信息主體的明確授權，但隨著數據技術的發展與應用，對于個人信息安全的防護主要集中在利用階段，而非收集階段，如此，靜態列舉個人敏感信息的預防效果就大大降低了。因此，通過動態情景路徑定義個人敏感信息為很多學者所提倡，歐美立法也采用了這一做法。動態情景理論注意到了個人信息范圍的不確定性與動態性，個人敏感信息在不同的情景中其性質會隨時發生變化。例如，IP地址可能并不屬于個人敏感信息，但是如果警察利用該IP地址結合相關技術就可以鎖定犯罪分子的具體方位，抓獲犯罪分子，那么這個IP地址就成為了個人敏感信息。情景導向路徑掙脫了傳統立法在事前對個人敏感信息進行列舉的做法，在不同情景中確定具體的個人敏感信息類型，進而采取不同的保護措施加以應對。這種定義模式強調個人信息的關聯性，即在特定情景下如果該信息可以關聯到具體信息主體，那么該信息就被認定為個人敏感信息[19]。但是，情景導向路徑定義個人敏感信息的主觀性較強，缺乏明顯的個人敏感信息范圍，完全交由法院來認定個人敏感信息，會增加法官界定個人敏感信息范圍的難度，在認定時勢必會產生偏差，這樣在司法實踐中對個人信息的保護反而會產生不利的影響。因此，本文認為，對個人敏感信息可以采用動靜結合的定義方式，即靜態列舉+動態情景的模式。靜態列舉路徑對個人敏感信息范圍的界定雖然存在不足，難以有效適應數據時代的發展要求，但這一立法技術仍有其存在的空間。這是因為，靜態列舉模式可以明確個人敏感信息的概念及其具體范圍，從而引導數據參與者對不同的個人信息采用不同的保護規則，可以從源頭上達到對個人信息進行分類保護的效果。另外，這一定義模式有助于為法官提供統一的裁判標準，避免在個案中因為尺度不一而對個人敏感信息范圍的確定產生分歧，進而導致同案不同判的不公平現象的出現[17]45。

因此，本文認為對于個人敏感信息的定義，宜采取靜態列舉+動態情景的綜合定義方式。靜態列舉個人敏感信息的類型有助于明晰特殊信息的概念以及范圍，并為法院提供統一的裁判標準。歐美的文化理念與我國存在顯著不同，我們對于個人敏感信息的列舉不能照搬全抄，但是人的感情是互通的，對于敏感信息的界定在一定程度上又具有一定的相似性。因此，在參考歐盟《一般數據保護條例》中對于個人敏感信息列舉的基礎上，結合我國的歷史文化、價值理念、經濟背景等因素，本文認為個人敏感信息主要包括：①健康信息；②生物識別信息；③性取向、性生活；④基因信息；⑤金融信息；⑥身份證件號碼信息；⑦政治意見；⑧宗教信仰。對于地理位置信息、網絡活動軌跡信息等，本文認為雖然其是因個人的行為引起的，且在網絡中極易受到侵害，但是其對信息主體的損害程度較為輕微。因此，我們不宜將其定性為個人敏感信息，以免過于擴大個人敏感信息的范圍，增加數據控制者利用數據的經濟成本，最終限制數據經濟的發展。而為了彌補立法的滯后性和僵硬性缺陷，并適應數據經濟的快速發展，我們應同時采用動態情景的定義模式作補充，在信息處理過程中，綜合考量情景因素與目的隱私，準確界定個人敏感信息，以保證個案公平。

3.2 確立隱私設計原則

法律本身具有滯后性特征，而技術的發展往往快于立法的更新，單純依靠法律方式對個人信息加以保護是不夠的，數據控制者還需要更新現有的信息保護機制。在解決個人敏感信息保護問題方面，隱私設計理論（Privacy by Design，PbD）是近年來被很多企業所認可的政策工具。PbD是一種事前預防機制，是在事前就充分考量對于隱私信息保護的需要，在技術系統中通過特別設計增強對隱私信息的保護。這一理論最先由加拿大安大略省隱私專員Ann Cavoukian博士在20世紀90年代提出，主要是為了應對信息技術對個人隱私造成的潛在威脅，這種保護設計技術貫穿于信息利用的整個周期。PbD代表了從傳統保護路徑到現代技術保護路徑的重大轉變，這種保護路徑側重于為信息管理設定最低標準，并針對侵犯隱私的行為提供補救措施。Cavoukian的PbD原則已成為全球公認的隱私保護標準。在2010年10月于耶路撒冷舉行的第32屆數據保護與隱私專員國際大會（ICDPPC）上，來自世界各地的隱私監管機構通過了《隱私設計解決方案》，也被稱為《耶路撒冷宣言》，承認PbD為“隱私保護的重要組成部分”，并致力于推廣Cavoukian的原則。隨后該制度為各個國家和地區的立法所采納[21]。PbD對于個人敏感數據的保護具有更好的適用性，歐美立法也呈現出對PbD的認可，歐盟《一般數據保護條例》直接將這一制度正式納入法律條文中。

Ann Cavoukian提出，為了實現PbD的目標，需要踐行7項基礎原則：①主動預防，而非消極補救。PbD應當能夠預測并且預防隱私侵害事件的發生，發揮其事前預防的功能。②將隱私保護作為默認設置。通過默認設置，隱私應該被自動保護，信息主體無須采取任何措施。③隱私保護貫穿設計。在數據利用的整個生命周期，PbD需要貫穿于每個環節，它是IT系統不可或缺的一部分。④全功能——正和非零和規則。PbD應以一種正和、雙贏的方式實現所有合法利益，而不是以一種零和的方式，犧牲合法利益，避免出現非此即彼的偽命題。⑤終端安全——全生命周期的保護。成熟有效的保護措施對于隱私信息的保護至關重要，即使業務完成后，存儲的數據也可以被安全地銷毀。⑥可視性和透明度——保證公開。PbD將保障數據經濟或技術相關的利益主體能根據自身的目的利用個人信息，且接受獨立的核查，以保證個人信息利用的透明性與公開性。⑦尊重隱私，以信息主體為核心。PbD要求數據控制者將信息主體的隱私利益作為最高利益，將隱私保護措施作為默認設計，使信息主體控制自身數據[21]。

隱私保護設計的7個原則代表了隱私保護的下一個方向。從立法實踐而言，隱私設計理論制度已經為國外立法所認可，歐美立法對該制度的引進詮釋了其對個人敏感信息保護的重要作用，“隱私設計原則的法律化為隱私設計理論提供了指導，而法律需求通過設計嵌入系統具有可行性”[22]。因此，在個人信息保護立法中引入隱私設計理論是一種較為可行的新路徑。

3.3 強化個人敏感信息的保護規則

3.3.1 收集階段：分層多級的知情同意規則

個人信息是數據集合的重要組成部分，對于個人信息的利用已經成為數據經濟發展的必備要件，而個人信息保護的終極目的是在保護數據安全的前提下，促進數據流通，進而保障數據產業的健康可持續發展。為保護個人信息的安全，傳統立法都將同意規范作為數據處理的合法性要件，但是在大數據時代的背景下，一味地強調對于信息主體的知情同意，不僅會增加數據企業的生產成本，而且在實踐中也缺乏一定的可操作性。因此，本文認為，對知情同意要件可以適當地加以軟化，鑒于個人信息的敏感度不同，對于知情同意的要件也應該分層多級適用，使數據與個人信息之間的利益達到平衡狀態。具體而言，我們可以根據個人信息使用的不同階段，使用不同程度的知情同意規則。

首先，在個人信息收集階段，對于個人敏感信息的收集，必須征得信息主體的明確同意，因為敏感信息與個人的人格尊嚴及人格自由息息相關。該階段是個人信息進入數據利用的初級階段，同意規則的適用可以起到一個預防性的積極保護效果，強化信息主體的控制權，保障信息主體在信息收集階段的參控力度，使其擁有與數據控制者議價的能力，從而改善信息主體在數據收集環節所處的弱保護狀態。對個人敏感信息的利用應嚴格遵守規范，以維護信息主體的人格自由和尊嚴，而對敏感信息以外的個人信息，因其對個人隱私傷害較小，可采用較為軟化的態度，以減少數據控制者收集信息不必要的程序和成本，促進數據流通。因此，我們在利用敏感個人信息時，必須取得信息主體的明確同意；而對于一般個人信息，因其對信息主體的隱私威脅不會太大，故應該允許默示同意條款的存在。從締約成本的角度而言，默示同意可以大幅降低締結數據利用協議的成本，對數據利用的各方主體均有利。大數據環境下，數據控制者要從海量信息主體逐一取得授權難度較大，如果所有個人信息在利用時均須取得信息主體的明確授權，數據控制者也會因利用成本過高而采用違法方式獲取和利用數據，這不僅會給信息主體帶來更大的隱私風險，且數據控制者也會因此承擔更高的法律風險[23]。采取不同的同意標準和保護機制，與大數據時代的發展要求高度契合。

3.3.2 處理階段：采用差異化的禁止處理規則

禁止處理規則是指，法律明文規定對于個人敏感信息，數據控制者禁止對其進行處理，除非有法律規定的例外情形。鑒于個人敏感信息對于信息主體的重要性和影響力，對于個人敏感信息的禁止處理規定是必要的也是必需的。敏感信息具有靈活性以及主觀性，受歷史發展、文化理念的影響，各個國家對于個人敏感信息的范圍界定并不一致。歐盟對于個人敏感信息的處理，是根據信息敏感度的不同采取不同的標準，這種禁止處理程度的靈活性值得我們借鑒。對此，本文認為，對于絕對隱私的敏感信息，比如個人的健康信息、性生活、性取向信息、金融信息、宗教信仰、政治觀點等高度敏感信息，應該絕對禁止處理；而對于生物識別信息、基因信息等對于個人的權利并不會造成極大影響的信息可以適當放寬，只要不以識別具體個人為目的，就可以進行處理。

3.3.3 應用階段：匿名化規則

數據的交易是互聯網+時代發展的基石，個人隱私的保護是社會安定的前提。數據在交易過程中可能涉及的隱私風險成為當前在大數據時代我們面臨的重要課題。為解決在數據利用過程中個人隱私信息所面臨的安全性挑戰，個人信息匿名化規則應運而生，成為數據流通和利益保護的平衡器。采用個人信息匿名化規則是解決用戶個人信息保護與數據應用之間的矛盾的有效方式。個人信息匿名化規則的目的是降低身份識別的風險，雖然有學者認為這一技術已經失色，不能控制個人身份反向識別的情形發生。但是就目前的技術而言，個人信息匿名化規則不失為平衡數據流通和個人隱私保護的一種重要方式，沒有一項技術能絕對地保證規避風險。首先，個人信息匿名化規則在數據流通的第一階段就過濾掉大部分無技術無資源的外行進行身份再識別。其次，數據的利用多被用于政策發布、醫療、教育、地理等公共領域，數據需求者本就沒有再次識別的必要，不存在經濟利益，這就在動機上避免了身份再識別的風險。最后，當數據泄露、身份盜用等事件出現時，個人信息匿名化規則可以初步防止隱私泄露[23]。《網絡安全法》第42條第1款也對匿名化規則加以規定，要求去識別化處理需要達到無法識別個人且不能復原的程度。

3.3.4 刪除階段：隨時撤銷規則

賦予數據主體隨時撤銷的權利是對個人敏感信息靈活處理、分層同意的最后保護屏障。對于個人敏感信息在收集階段、處理階段的靈活寬松的規則適用，并不是意味著對于責任的放松，或對于個人信息保護的忽視。對于個人敏感信息在利用過程中可能出現的危害，信息主體需要保持高度警惕，在個人敏感信息循環利用的整個過程，信息主體都有權根據信息使用的目的、方式，在合理的情形下，撤銷對數據控制者的授權使用。這種合理情形是指信息主體發現自身的信息正處于高風險的侵害狀態。一旦信息主體要求數據控制者停止對其信息的利用，數據控制者需要立即停止對信息主體的信息進行存儲、加工和交易。信息主體隨時撤銷的權利是賦予信息主體進行自救的權利，強化了信息主體的權利，增加了信息主體對自身信息利益的保護力度，是信息自決權在具體保護規則中的具體化。值得注意的是，對于信息主體隨時撤銷的權利，不宜擴大其適用范圍，在具體適用時，應該兼顧公共利益，不應肆意擴大邊界，以保障數據經濟的有序發展。

4 結語

個人信息是數據利用必不可少的一部分，個人敏感信息與個人的人格自由、人格尊嚴息息相關，應該受到特別的保護，方能體現立法的人文主義關懷。歐美最新一輪的立法改革體現了對于個人敏感信息的著重保護，值得我國借鑒。面對大數據時代對于個人敏感信息的新挑戰，我們應該在既有的立法基礎上，借鑒歐美最新立法經驗，跳出傳統單一的保護思維，將技術融入法律中，探索一條靈活相容的信息保護路徑，在保護個人隱私信息的同時，發揮個人信息的最大價值，實現多方共贏的局面，最終促進數據產業持續健康有效地發展。