民法典背景個人敏感信息的界分構想

胡 揚，方慧琳，劉 榮

（福建師范大學法學院，福建 福州 350000）

一、關于界分個人敏感信息問題的提出

第十三屆全國人大三次會議于2020年5月28日表決通過了《中華人民共和國民法典》以下簡稱（《民法典》），并于2021年1月1日起正式施行。《民法典》中人格權獨立成編，不僅是對當代數字技術發展、大數據建設予以特別關注，更是對該時代背景下個人信息保護呼聲的響應，成為法典中的亮點之一。而在《民法典》的立法過程中，許多學者建議將個人敏感信息的定義和保護引入法典，并施以增強的立法保護，最終遺憾的是該建議并未被采納。但是，《民法典》以征信信息及醫療數據為典型，通過強調征信機構對民事主體信用信息的保護、醫療機構對患者隱私及個人信息的保密責任，見微知著，也在一定程度上反映了對于敏感個人信息須施以更加嚴格的保護。就目前尚待制定的個人信息保護法，我們理應在此基礎上對個人敏感信息保護予以更加正當且必要的關注，加強相關的立法規范，不斷劃清信息處理者在個人信息保護方面的合規紅線，從而保證大數據背景下公民信息安全，權益不受侵犯的基本價值訴求。

隨著大數據時代的到來，人民群眾的個人信息已基本實現了數字化。而在帶來經濟效益與生活便利的同時，個人信息被過度利用、違法收集、泄露事件頻發，且往往波及范圍廣，最終產生具有高危險性和不可逆性的社會風險。若不對敏感個人信息進行明確的區分保護，放任其被肆意濫用，不僅對公民的人身、財產權利產生了重大危害，甚至對國家安全、社會公共利益等都將造成嚴重威脅。筆者在反思個人敏感信息保護與利用的現實情況的同時，也將通過分析個人敏感信息的界定標準、論證其保護的必要性，立足于國內外個人敏感信息界分的法律規范現狀與裁判見解，表達對我國個人敏感信息的規制建議與立法期待。

二、關于個人敏感信息的界定標準

（一）基礎分類方式

根據個人敏感度、信息價值梯度和侵害風險性等不同，目前針對個人信息的最為常見、基礎的分類方式，是將個人信息分為一般個人信息與個人敏感信息。這種區分標準，一方面能夠合理保護每個公民的人格權益和財產權益，進一步落實對于個人敏感信息的利用須嚴格把控，高標準限制的全面保護要求；另一方面對敏感程度較低的一般個人信息進行合理高效地流動利用，滿足信息處理者對個人信息的“合理使用”需求，獲得信息數據流動的經濟效益，維持二者的動態平衡，找到利益的最大公約數。而相較于一般信息保護，個人敏感信息因其數據敏感性及應用場景的特殊性，同時承載了更高的人格尊嚴要素，理應施以更嚴格的監管要求。

（二）域外國家的界定方式

不同國家的立法也對個人敏感信息有著不同的界定方式。例如，歐盟以統一立法的模式，在《一般數據保護條例》中對于個人敏感信息的種類進行列舉，并應科技時代發展的趨勢，新增了基因信息、生物特征信息等個人敏感信息種類。而美國則以分散立法的模式進行界定，相較于歐盟，其過于廣泛的定義也造成了監管的不確定性，一定程度上不利于個人敏感信息的嚴格保護。

（三）我國的界定標準

我國剛出臺的《民法典》（人格權編）對于個人信息的保護，是對《民法總則》第111條的沿襲和進階。在結構上，將個人信息與隱私權并列規定在一章中。內容上，仍將可識別性作為傳統的二分法核心，以“下定義+不完全列舉”的模式對個人信息予以概念上的規范。

但通過分析考量，會發現該條對個人信息之界定存在諸多問題。例如，《個人信息保護法（草案）》第一章并未提及個人敏感信息，尚未明確提出個人敏感信息與一般個人信息的區分標準，對于個人信息的概念界定呈現靜態化的特征。雖然“個人生物識別信息”作為個人敏感信息的一種，在《民法典》第八百一十三條中進行了概念上的涉及，體現了人工智能發展時代對于此類信息予以特別關注。但除此之外，未對其他個人敏感信息加以定義與立法考量。筆者認為，規范個人敏感信息的定義與加快保護進程刻不容緩，《民法典》中對此不完善的地方，在未來《個人信息》保護法中理應得到更多的重視，采取更加嚴格的保護措施。

三、關于區分個人敏感信息的必要性

在大數據時代背景下，個人信息概念的界定直接反映出個人信息立法保護的價值取向。個人信息兼具個人利益與財產利益的特別屬性，為更好地兼顧其道德價值與經濟價值等，對其施以分類保護和嚴格界定已是大勢所趨。而如何在個人信息保護與信息利用或數據流動之間達到效益平衡，是各國個人信息保護立法所需解決的主要矛盾，區分個人敏感信息和一般個人信息具有充分的正當性。具體可以從以下幾點分析。

（一）從個人信息敏感度的角度分析

“個人信息的敏感度”描述的是個人信息對信息主體造成傷害或影響的程度。在現代社會，個人的幾乎所有情況都有可能成為個人信息，而不同的人對于敏感個人信息具有不同的個體認知差異，往往敏感度高的個人信息承載著更高的人格尊嚴，其泄露或濫用后將會對信息主體造成較大的傷害。因而筆者認為，做好信息主體對于個人信息的價值評估，進行自我判定該信息是“敏感”或“不敏感”“可利用”或“禁止利用”，有利于國家對個人敏感信息施以更高程度的保護，保障公民對涉及敏感信息安全的自我決定權在大數據時代的表達，展現人格尊嚴和維護自身精神自由的合理訴求。

（二）從數據價值及企業經濟的角度分析

在當今社會的互聯網大數據背景下，個人信息資源因流動利用而產生價值，對于企業層面而言，其蘊藏著豐富的商業價值。由于個人信息內部包含價值梯度，筆者以為，良好的制度設計理應對其分而治之。在大數據時代更應加強數據分類分級管理和保護，實現數據價值與個人信息保護的平衡，在兼顧數據安全和個人隱私保護的同時，可以最大限度釋放數據價值，發展企業經濟。做好個人敏感信息的區分定義，有利于我國在數字經濟時代充分把握個人信息的商業價值，推動大數據產業的良性發展，及時回應民眾對于隱私保護的呼聲，不斷增強人民福祉和安全需求，體現對于人民的尊重。同時，做好個人信息的分類保護也為企業利用個人信息劃出警示紅線，從而實現個人信息流通利用的良性循環，推動科學技術與產業經濟的發展。

（三）從個人敏感信息侵害的性質分析

由于個人敏感信息具有高敏感度與高危險性的特征，同時與個體的人格尊嚴、個人自由和基本權利密切相關。在利益本位觀念的驅動下，一旦個人敏感信息泄露或遭非法利用就有可能侵害信息主體的人格利益，引發人格歧視，造成不可逆的社會危害。因此，只有將個人敏感信息貼上預警標簽，嚴格限制企業“一攬子”授權與過度收集的情況，為信息處理者提供明確的行為指引和侵權行為預測，才能防止產生不可逆的損害結果、社會負面評價以及所導致的人格歧視現象。

四、關于個人敏感信息界定的域內域外法律現狀

關于個人敏感信息的保護現狀，放眼域外，歐盟及其成員國、美國、澳大利亞等許多國家和地區均針對個人敏感信息進行了特別規定。雖然我國對于個人敏感信息的立法保護并不完善，但也并非毫無依據，而是已有一定的法律基礎。筆者根據分析對比各國個人敏感信息保護立法，進行了匯總歸納。

（一）歐盟模式

各國立法對于個人敏感信息的概念界定不同，其中在個人信息保護領域最具有藍本與示范意義的當屬歐盟法律，其于2018年5月頒布的被稱為“史上最嚴”的《通用數據保護條例》（General Data Protection Regulation，GDPR），是在全球新技術發展趨勢的大背景下，為應對大數據時代的個人敏感信息安全挑戰作出的立法回應。

早在1995年《個人數據保護指令》已對個人敏感信息作出了詳盡的規定，將6類個人信息（種族、政治觀點、宗教、工會會員信息、健康及性生活信息）界定為具有高度敏感性的特征，用具體的條款明確禁止對其收集和處理。而GDPR在繼承《個人數據保護指令》現有的立法基礎上進一步完善了對于個人敏感信息的特殊法律保護，其在第九條中列舉性地概括了個人敏感信息的種類，同時新增了個人生物信息、基因信息和性取向信息三類敏感信息，并規定在各個成員國得以直接適用。另外，在《歐洲委員會關于個人數據自動化處理的個人保護公約》中第六條也對個人敏感信息進行了明確的概念界定。二者相較于以往對于敏感信息的范圍界定都在內容上進行了擴充，反映了對于人倫道德的的關注和科技發展的回應，賦予個人敏感信息在新的時代背景下新的內涵。

（二）美國模式

美國模式下對于個人敏感信息的保護主要體現在對個人敏感信息內涵的確定和擴充，形成了分散立法和行業自律結合保護方式，體現了個人信息的敏感性與風險性并存的特點。

首先，在2000年12月頒布的《美國-歐盟的隱私安全港原則》中具體說明了個人敏感信息主要包括的五個方面，為個人敏感信息的豐富奠定基礎，以分別分類的方式，為明確個人敏感信息的界限提供了大致的方向。其次，2015年發布的《消費者隱私保護法案》中提出個人敏感信息包括生物特征識別數據，該法案對生物特征識別數據的具體內容作出規定，體現了法律伴隨著不斷發展的現代生物技術而豐富，以及法律對金融方面的重視保護。最后，2019 年1 月發布的《數據隱私立法協議》規定個人敏感信息的具體概念，協議中還具體列舉了包括近年來頗受關注的遺傳和生物識別信息、有關未成年人信息在內的個人信息，對個人敏感信息的內容有了進一步的豐富。

（三）我國關于個人敏感信息的立法現狀

著眼于我國的立法現狀，雖然我國尚未制定統一的個人信息保護法，剛出臺的《民法典》也尚未對個人敏感信息予以明確的界分，但在各部門法、行政法規以及司法解釋中已經分散式地規范了個人敏感信息的相關定義，呈現出對個人敏感信息予以特別保護的立法趨勢。

首先，《民法典》《民法總則》以及《網絡安全法》對個人信息的概念以及個人信息保護的法律制度進行了原則性的規定。例如，要求信息收集者在收集公民個人信息的過程中應遵循合法、正當、必要的原則，并經被采集者的明確同意。此外，還制定了信息處理者泄露、損壞、丟失個人信息的告知和報告制度等。雖然這些規定仍然存在沒有具體措施保護，只能起指導性作用的問題，但仍對我國個人信息保護的法律制定奠定了理論上的基礎。此外，國務院2013年發布的《征信業管理條例》中，以列舉禁止采集的信息類別的方式對個人敏感信息的類別加以規定。另外，全國信息安全標準化技術委員會發布的《信息安全技術個人信息安全規范》明確了個人敏感信息的概念，并采用概括加列舉的方式對個人敏感信息的范圍加以限制。

其次，2012年發布的我國首部個人信息保護國家標準——《個人信息保護指南》中明確規定，“個人信息可以分為個人敏感信息和個人一般信息，”并對個人敏感信息予以定義和列舉。雖該指南作為指導性文件，對個人敏感信息的法律規范內容淺嘗輒止，但該指南的發布標志了我國首次明定個人敏感信息的概念。

筆者認為，我國目前個人信息保護制度已初步形成了包括刑事責任追究、民事救濟、行政監管自律等各項制度在內的綜合性法律體系，并已明確了劃分個人敏感信息與一般個人信息的立法趨勢。但不可否認，作為我國保護個人信息安全的兩個重要法律《民法總則》與《網絡安全法》都未對個人敏感信息作出具體規范，而剛施行的《民法典》也未重視個人敏感信息亟須法律保護的現實需求，遲遲未作出具體的響應。對于個人敏感信息的保護零散地分布于各部門法的部分條例之中，缺乏統一的標準和規范，且某些具體的敏感信息仍然存在立法空白的情況。我國對于個人敏感信息的區分處理雖有初步嘗試，但總體來看現行規范還存在很多不足。

五、關于我國個人敏感信息保護的規制建議

（一）明確個人敏感信息的定義

按照GB/T 35273—2017《信息安全技術個人信息安全規范》解釋來說，個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。從定義來看過于模糊，且對于界定個人敏感信息來說沒有實際可操作性，且缺少與信息主體的關聯性。

就筆者而言，對于個人敏感信息的定義更加支持“基本權利面臨高風險損害”標準，即根據信息主體的基本權利是否會因個人信息被相關處理者利用，而將面臨高風險損害的威脅進行判斷。這種標準通過放寬對于敏感信息的界定界限，即以被利用后的風險程度而加以判斷，對于當今大數據時代來說，網絡和信息技術的發展愈發依賴于信息數據的自由流動，因而該類劃分標準更具開放性，符合大數據發展時代的價值取向和效益要求。

（二）實現個人敏感信息的價值評估與利益平衡

對個人敏感信息進行保護前，應對相關的個人敏感信息作出各方的利益衡量與利益識別，理應做好信息保護與利用的兩方強化，實現三方價值平衡。首先，個人信息承載著個體的人格利益、隱私與尊嚴，不同的信息主體對于個人信息的保護訴求與價值追求大不相同；其次，信息處理者與政府等主體的加入，將個人敏感信息的保護置于整個社會環境中，一方面個人信息的商業性滿足了信息處理者的利益需求，另一方面政府為維持政權的穩定，必要時須強制性地進行個體信息的采集利用。

筆者認為，在進行信息保護前應做好各方的利益價值評估，分析個人敏感信息下所蘊含的人格價值與財產價值，從而作出不同程度的保護措施，實現個人敏感信息保護與利用的價值平衡與利益最大化。簡言之，就是既保證個體對于敏感個人信息的安全需求，又能使一般個人信息得以流通利用，實現其商業價值。對前者強調保護，后者鼓勵利用。國家也能基于公共管理目的在必要環節實現對其管理利用，最終實現個人、企業和國家的三方利益平衡。

（三）構建國家主導的監管體系與評估制度

由于我國目前缺少個人敏感信息保護的法律共識與相應的權力制約體系，暫未設置獨立的第三方個人信息保護監管機構，在信息采集與利用過程中，都對相關的監督工作增加了管控難度。因而筆者認為，首先我國應制定統一的個人信息保護法，設定符合我國國情的個人信息保護門檻，明確個人敏感信息的法律定位，以此提高個人敏感信息的立法保護水平；其次，加快構建獨立的個人信息安全保護的監管體系，設置獨立于政府的第三方個人信息監督機構，加強個人信息監管問責體系，旨在更加高效負責地保護個人信息安全；最后，建議引入具有公信力的第三方評估機構制定相關的標準，從而有效避免不同主體間信息保護工作難以協調的問題。

（四）鼓勵行業自律和完善懲處機制

為了降低國家的執法監管成本，更加靈活并有針對性地進行不同行業間個人信息保護，企業應當自覺進行行業自律管理，盡可能在個人信息保護的最低標準上形成行業共識，而行業本身也應當根據自身的業務特點與實踐經驗，制定好相應的行業標準和規章制度，做好個人信息采集、利用過程中的安全保護，以此規范行業整體。

此外，筆者認為應當完善事后處理機制，加大事后懲處力度。當發生個人敏感信息被非法采集、泄漏或利用事件時，相關信息處理者應當及時采取措施，防止損害進一步擴大，并對信息主體造成的損害承擔損害賠償責任。而公民個人也可通過向監管機構進行舉報、申訴、監督等方式，維護自身合法權益。

六、結語

隨著網絡信息時代的到來，公民權利意識逐漸崛起，越來越多的人民群眾開始重視人格權益和信息安全的保護。在此背景下，我國《民法典》人格權獨立成編，所體現的對人格權的體系性保護不僅是立法上的重大創新，更是注重更深層次的人文關懷的表現，印證了《民法典》以人為本的價值理念。其中對于個人信息的進一步定義與規范，也體現了《民法典》中數據及個人信息保護需兼顧數據流動及隱私保護的平衡的價值理念。雖對于缺失個人敏感信息定義和保護的留有遺憾，但也為未來的個人信息保護法與數據保護的法律體系構建留下期待。

總而言之，我國應首先明確個人敏感信息的概念統一化標準，在借鑒域外立法經驗的基礎上，結合我國國情完善個人信息的分類制度，立足于社會實踐和現有法律基礎中加快個人信息保護法的立法進程，回應對于個敏感人信息保護的現實迫切性，實現信息保護與信息利用的利益平衡。我國對于個人敏感信息的界分保護與制度設計任重而道遠，但前途依然光明。