大数据时代个人敏感信息的法律保护*

姬蕾蕾

（安阳师范学院 河南安阳 455100）

1 大数据时代个人敏感信息保护面临的挑战

个人信息是指能够直接识别或者结合其他信息识别出特定身份主体的信息，其上承载人格利益，且由于数据挖掘技术的发展，个人信息逐渐被商业化，其承载的财产利益也逐渐为法学界所认可。其中个人敏感信息是一种较为特殊的个人信息类型，这一类型的个人信息关乎个人的隐私、人格尊严与人格自由等基本人权。国外立法和我国法规都对个人信息进行了区分，即区分个人敏感信息和个人一般信息，对个人敏感信息一般会加以特别规定。这种区分由欧洲委员会首先规定，随后《一般数据保护条例》沿袭这一规定，我国个人信息保护的相关规定也对此进行了借鉴。由于个人信息无形性和可传播性的物理特征，个人敏感信息一旦被滥用，其对个人隐私的侵害就不可逆转，甚至会对个人的人格利益造成持续的侵害，因此，对个人敏感信息的特别保护显得十分迫切和必要。

1.1 数据收集技术的创新导致新型个人敏感信息不断出现

随着收集、存储和处理数据的成本不断下降，云端设备、手机、电脑、可穿戴设备等成为数据收集的新来源，这也意味着我们生活在一个几乎随处都在收集数据的世界中[1]。随着数据挖掘技术的不断研发与应用，其收集数据的来源日益丰富，可供收集的个人信息的类型也在不断扩充，形成了多元化的数据形态。这些新型个人信息的范围涵盖用户在线活动产生的行为轨迹信息及其使用电子设备所产生的地理位置信息，并且这些个人信息的范围还在不断拓展，以至于现今在非结构化数据中寻找关联关系与规律成为一种趋势[2]。信息主体为享受各种电子设备、电子软件为其带来的便利，会和数据控制者共享其个人敏感信息，例如用户用微博、社交网站等记录消费体验，这类数据为非结构化数据，数据控制者将这类数据加以整合、分析，从中挖掘具有价值的信息，从而实现其商业价值，而收集这类非结构化的数据是数据技术发展的主方向[3]100。数据挖掘技术可以在非结构化数据中寻找关联性，进而在另一个场景识别特定身份主体，使得个人信息的界定更为复杂。国内外对于新出现的个人信息类型并未给予适当保护，对个人敏感信息的界定也并未明确立法，如何为新出现的个人信息提供明确而有效的保护是当前全球立法的重要课题。

1.2 对个人敏感信息的判断产生分歧

数据创新技术的使用看似无害，但若将非敏感个人信息或匿名化的数据与其他敏感个人信息相结合，重新识别特定信息主体就会变为可能。地理位置数据、cookies、个人信息衍生的产品等属于个人一般信息还是个人敏感信息众说纷纭。以信息主体搜索的关键词为例，如若个人仅搜索较为普遍的词语，该数据识别具体个人相对较难，但若将特定个人的搜索词进行关联，那么这个人被识别的可能性就很高。采取删除直接标识符的方式已被证明不足以使个人信息匿名化，因为各个个人信息属性的组合通常会重新识别特定主体。例如我国首例cookie隐私权纠纷——北京百度网讯科技公司与朱某隐私权纠纷案，一审法院与二审法院对其属性就作出了截然不同的判决。

1.3 个人敏感信息与数据在不同场景中能相互转化

数据技术的进步和个人信息的扩散使敏感信息和非敏感信息的传统区分已经过时。大数据时代下，是否属于个人敏感信息需要结合应用场景和相应行业准则，不能以“全有或全无”的方式作出一刀切的判断，而且随着对数据源的无限制利用，人们能轻易获得大量关于个人的数据，这种有关数据的聚合能力，增强了数据转化成个人敏感信息的可能性[5]69。个人敏感信息定义的模糊化也给个人敏感信息匿名化范围的界定增加了难度。匿名化技术是个人敏感信息保护与数据流通的一个技术过滤工具，匿名化就是将个人信息转化成数据，这种数据的性质一经转化，其性质就不再具有人格属性，不再适用个人信息保护法中的相关规定。但是数据技术的发展，使得个人敏感信息脱敏后仍面临被重新识别的可能，匿名化的范围模糊不清，也增加了信息主体隐私受到威胁的风险。而从数据控制者的层面来看，匿名化的范围不清使得数据范围的界定更加困难。在大数据时代，数据与个人敏感信息之间的界限愈发模糊，一个数据最初被视为个人敏感信息，但是当它经过匿名化技术处理后，又成为了数据，然而在另一时间或场景中，该数据就又可能识别出特定主体，成为具有人格属性的个人信息。在不同的场景，个人敏感信息的属性会发生变化，体现出流动性特征。换言之，个人信息的敏感性，不仅取决于其性质或者类型，还取决于其被利用的目的或者方式。也因此，对于个人敏感信息的保护，立法者除采用以敏感度、信息类别等因素列举个人敏感信息的方式之外，还应注意到在不同情景中非个人敏感信息的性质。

2 个人敏感信息区分保护的必要性与可行性

是否区分个人一般信息与个人敏感信息，法学界学者众说纷纭。但就目前全球立法趋势而言，个人敏感信息的特别规定已成为各国立法的一个新动向。我国《民法典》对个人信息进行明确保护，但在条文中并未对个人敏感信息作区分规定。本文认为，个人敏感信息具有高度的私密性，其隐私成分较高，关乎信息主体的人格尊严与人格自由，在大数据时代，隐私隐患高、数据技术不透明的前提下，对个人敏感信息的明确规定及强化保护很有必要。下文将对这种强化保护的必要性及可行性展开详细论述。

2.1 从敏感度视角分析个人敏感信息区分保护的必要性

个人敏感信息涉及个人的隐私区域，具有高度的敏感性，例如关于个人的性生活、性取向、金融信息、健康信息、基因信息等信息，一旦这类信息被泄露或者更改，将会对信息主体造成不良影响[6]。个人信息被泄露后对信息主体造成的影响大小取决于信息的敏感程度。信息敏感度描述的是信息的敏感程度，敏感度在Merriam-Webster中的解释为：①易受损害，尤其是精神上的损害；②敏锐地意识到他人的态度和感受。个人信息的敏感度是描述个人信息对于信息主体可能造成伤害的程度和影响。敏感度越高的信息，其可能对信息主体造成的伤害越大，反之则越小[7]17。个人敏感信息具有隐私性质，需要特别保护，是当前大数据时代下数据技术研发与应用的必然。澳大利亚改革委员会在建议颁布个人信息保护法的报告中提出，在信息技术广泛应用的今天，如果对敏感信息的保护得不到强化，那么社会将很难不顾科技的变化而保持它的自由和民主传统[8]42。较之一般信息，敏感信息的收集、处理和利用更容易对信息主体的人格尊严或信息主体本身造成难以弥补的伤害。容貌、性取向、金融信息、前科、病例、DNA等个人信息，多属于信息主体不欲公开的私人生活领域，内容极为私密，一旦公开就会对个人的精神造成极度困扰，影响其正常生活。该类信息应该被列为敏感性特种资料并特别加强保护，除例外事由外，原则上不得收集、处理或者利用[9]60。敏感度高的个人信息对信息主体会造成重大伤害，且适用于大多数信息主体[10]。因此，鉴于个人敏感信息高度敏感性和极度私密性，对个人敏感信息采取更为严格的保护是大数据时代下对个人信息进行收集利用的逻辑前提和必然要求，也是良好个人信息保护制度设计的价值体现。

2.2 从经济成本分析个人敏感信息区分保护的必要性

在传统信息保护的法律规制中，无论是理论通说抑或国际通行立法均将知情同意要件作为个人信息利用的正当性基础，即当数据控制者收集个人信息时应取得信息主体的同意。知情同意权属于人格权的一部分，是人格尊严和人格自由在信息保护法领域的具体体现。“知情同意”在信息保护中构建的学理依据主要是信息不对称理论，该理论实质是为平衡信息主体对自身信息参控力度的缺失，通过知情同意的机理给予信息主体在信息流转过程中的控制权，防止信息利用者侵害其知情权，进而维护信息主体的个人尊严与自由，故传统信息规范将知情同意要件作为信息保护与数据流通的平衡性法理基础。大数据分析应用之前，对个人信息的商业化利用主要集中于公众人物的肖像、名称、声音等标识，彰显出个人信息的积极控制功能。伴随大数据时代到来，数据控制者对个人信息的商业利用不再仅限于对公众人物人格标识的利用，而是对信息主体整体信息的利用，且着重于对信息的二次利用，即数据控制者运用大数据分析减少商业的不确定性以提高经济效率。此时，一味地将“同意”作为个人信息收集的合法性前提对于信息流转已经严重不适用：一方面，隐私条款的提供形同虚设，“作为传统架构‘立足之本’的‘知情同意’机制”已失灵，用户并无实际的控制权，在网络语境中，用户为使用产品或服务往往除点击同意之外并无其他选择[11]；另一方面，知情同意要件也提高了互联网企业的合规成本，给企业造成沉重负担，且严重阻碍了数据流通，制约了企业对数据价值的合理开发利用[12]。

非经本人同意的敏感信息处理会在社会中造成超出本人预料的结果，并对本人的人格发展造成不可预料的影响，使得本人人格塑造的结构偏离原本预期[13]43-44。本文认为，虽然知情同意规范对于当前个人信息的保护显得捉襟见肘，但也不能完全否定同意规范的作用，毕竟，个人信息涉及信息主体的人格自由与人格尊严，保障信息主体的知情同意是必须且必要的，由此可以保证信息主体在个人信息处理过程中的参控力度，使其拥有和数据产业者在信息交易中议价的能力，增强信息主体的主动权，以改善信息主体在数据交易过程中处于弱势地位的状态[14]。但是，个人信息的类型丰富多样，且在不同情景中个人信息与非个人信息会不断转化，这样，对所有的个人信息采取同意规范显得过于僵化，且不适应现实社会的发展要求。因此，区分个人一般信息与个人敏感信息就成为数据经济发展的必要方式，对于个人敏感信息采取明示同意的标准，以保障信息主体的利益需求，对于个人一般信息则采取默示同意的标准，以保障数据流通。

2.3 从欧美立法经验分析个人敏感信息区分保护的可行性

2.3.1 欧盟

将个人信息进行区分保护在域外立法早有先例。1995年的《数据保护指令》中明确规定个人数据包括个人一般数据和个人敏感数据，并对个人敏感数据进行列举式规定。欧盟对于个人信息的保护采取的是一般保护加特殊保护的双重标准模式，即：对于个人一般信息的收集、处理和利用，数据控制者需要遵守《数据保护指令》的基本保护原则；对于个人敏感信息，《数据保护指令》给予了更为严格的保护标准，即对于该类特殊信息，数据控制者在收集、处理、利用时必须取得信息主体的明确同意，如果超出信息收集时所确定的范围，需要征得信息主体的进一步同意，否则数据控制者应承担相应的责任。然而，数据挖掘技术的研发与应用，导致信息主体与数据控制者处于严重不平等的地位。时至今日，欧盟《数据保护指令》对于个人信息的保护已经显得捉襟见肘，欧盟开始审视现有立法的不足，改革现有法律规范以顺应时代的发展潮流，更好地保护个人信息。

欧盟于2012年公布《一般数据保护条例》草案，以代替《数据保护指令》，该草案于2016年4月通过，2018年5月该条例正式实施[15]。在《一般数据保护条例》中，点睛之处在于欧盟对于个人信息进行了分层规定，共分三个层次：首先是对个人一般信息的规定，这类信息包括种族、政治观点、宗教信仰、哲学信仰以及工会成员资格等，原则上数据控制者可以对该类信息进行处理，但是不得泄露；其次，欧盟对于个人敏感数据增加了处于中间层的个人基因信息、生物特征信息，因为这类信息加上相关技术可识别到特定主体，故数据控制者在处理该类信息时，需要符合目的原则，且禁止对该类信息加以识别；最后，对于健康信息、性取向、性生活等高度私密的信息，是禁止收集、处理的。从《一般数据保护条例》对个人信息利用的区分标准而言，敏感度越高的个人信息，对数据控制者利用的要求与限制条件也越多，体现了欧盟以保障人权为核心的立法理念[16]126。总体而言，欧盟《一般数据保护条例》更新个人敏感数据的类型，加重数据控制者的责任，在一定程度上降低了个人敏感数据泄露的风险。

2.3.2 美国

在立法形式上，美国对于个人敏感信息的保护，一般多见于比较零散的州法规以及各个行业的软法中。美国在公共领域关于个人信息保护的立法最主要的是1974年制定的《隐私法》，该法明确规定了公民个人的权利基础是基于其隐私权投射于个人信息之上而产生的数据隐私权。该法的根基在于将个人信息纳入绝对隐私权的保护范畴，体现为保证个人知情同意、删除以及修改的权利。对于个人信息的保护，美国法是以隐私权为基石，对于个人信息纠纷主要依赖援引和变通隐私权相关规则与判例加以解决。随着数据挖掘技术的应用，公权力部门以及数据经营者对于数据的需求逐渐增大，数据成为各个行业竞相追逐的对象，如若继续援引隐私权的相关规则保护个人信息，对数据需求方而言将付出巨大成本，同时会妨碍到政府部门的公共管理。最终，美国法将具有高度敏感性的信息以单独立法的模式进行保护，以合理利用个人信息；对于私主体之间的法律关系，适用行业自律的规则由下而上保护个人信息；对于较为敏感或者比较重要的信息，则采用单行法保护模式。

某种类型的个人信息是否应得到法律的强化保护，取决于该类信息的泄露与利用给信息主体造成损害的严重性。美国法并没有明确列举个人敏感信息的类型，需要特别保护的信息，一般是公认的较为私密的信息。了解美国确定的敏感信息类型需要通过各行业部门制定的特定敏感数据法案。比较重要的单行法主要有：①金融领域的《格拉姆-里奇-布莱利法案》（该法案适用于在金融活动中有重大参与的美国公司，并要求该类公司根据其活动的规模、复杂性、性质和范围，实施各种包含保障措施的安全计划）以及近年来最具影响力的法案2015年的《消费者隐私保护法案（草案）》（该法案规定了敏感个人可识别信息，且将确保该类信息的安全作为法案的主旨）；②在通信领域有1984年的《电缆通信隐私法》、1986年的《有限通信隐私权法》；③针对儿童隐私保护1998年出台了《儿童在线隐私保护法》（COPPA），该法案的基本目标是保护儿童免受通过网站或移动应用程序收集数据的风险，并使父母参与此过程；④根据美国法律，与人的身体或精神有关的健康信息会受到更高的保护，因为在此领域中，侵犯他人的健康信息会对其精神层面造成损害，故美国国会面向全国颁布了《健康保险便利及责任法》（HIPPA）；⑤在教育行业有1974年的《家庭教育权利与隐私法》（FERPA），该法案禁止联邦政府资助的机构未经父母或学生的同意而披露学生的教育记录[1]289。从这些法案可以看出，美国将健康信息、儿童信息、金融信息、教育信息列入敏感信息范畴进行重点保护。

敏感信息的主观性较强，欧盟与美国的价值观念、历史发展以及文化背景存在不同，因此两者对于个人敏感信息范围的界定并不相同，但其保护个人信息的主旨是相同的，均是为了维护个人尊严和人格自由。域外法对于个人敏感信息的类型及其认定方式的规定，为我国个人信息保护立法提供了丰富的可资借鉴的先进经验[12]。综合分析，将个人敏感信息进行区分保护有其迫切性和必要性。在数据经济时代，平衡个人信息的利用与保护是我们将持续研究的课题，而对个人信息的区分保护是大势所趋。当前，纵观我国立法，对于个人敏感信息的保护尚不到位，多散见于一些规范性文件中，但是大多是一些低位阶的法律，且对于个人敏感信息的定义、范围界定并不一致，这给个人信息保护规则的适用带来了困难。因此，对于个人敏感信息的保护亟需立法给予应有的回应，以期为企业实践与司法适用提供确切规范与指引。

3 我国大数据时代个人敏感信息保护制度之构建

当前，我国立法对于个人信息的保护并不健全，特别是对个人敏感信息的保护尚处于探索阶段。正在编纂的《民法典》人格权编并未对个人敏感信息给予足够重视，而《个人信息保护法》的制定尚处于起步阶段，难以应对大数据时代个人敏感信息的潜在风险。因此，为回应个人敏感信息的保护问题，我们应该积极制定《个人信息保护法》，具体而言，需要注意以下制度的更新与构建。

3.1 重新定义个人敏感信息：静态列举+动态情景模式

以上所述，个人敏感信息的保护是必要且可行的，而如何界定个人敏感信息成为保护这类信息首先要解决的问题。由于隐私的主观性特征，对于个人敏感信息的界定，不同国家或者地区的立法确定的范围并不一致。综合而言，主要有静态列举、动态情景两种定义模式。

3.1.1 定义个人敏感信息的模式

首先是静态列举模式：静态列举是传统定义个人敏感信息的方式，而列举的考量因素包括歧视标准和基本权利面临高侵害风险标准。歧视标准是指，对于个人信息的不当使用或者泄露是否会使信息主体遭受不正当的对待，以此衡量个人信息的敏感度。联合国在1990年出台的《关于自动资料档案中个人资料的指南》就规定了无歧视原则，即对于民族、种族、肤色以及性生活等可能招致歧视的个人资料，不得进行处理。这一原则中列举的个人信息被认定为个人敏感信息。基本权利面临高风险侵害标准是指泄露该类信息会对信息主体的基本权利造成高风险损害。例如，欧盟对于个人信息的保护是以人权保障为理念的，因此在确定个人敏感信息时就以是否危及基本权利与自由为核心[17]。这两个标准虽然在衡量个人敏感信息时会出现不同，但是两者的价值理念是一致的，都是为了维护个人在社会中的人格尊严与人格自由。虽然各国的文化背景、价值理念都存在不同，但是基于相同的保护宗旨，敏感性个人信息的确定一般是符合大众的“合理期待”的，因此，对于个人敏感信息采用静态列举模式是各国立法的普遍做法。例如，欧盟《一般数据保护条例》以及美国《消费者隐私权利法案《草案）》都采用列举模式界定个人敏感信息。

其次是动态情景模式：动态情景模式是指对于个人敏感信息的界定依据特定的情景加以确定。欧盟《一般数据保护条例》即采用这种方式确定个人敏感信息合理使用的边界，这也是该条例的最大亮点，即摒弃传统的目的评估理论，转而以场景导向理论为基点，以隐私风险管理为手段动态评估个人信息的合理使用边界[11]94。传统个人信息保护的立法构架比较僵化，对于个人信息是否被合理使用，通常是一种全有或全无的一刀切预判，而情景导向模式跳脱这一窠臼，转而在特定的情景中衡量个人信息的敏感度，进而确定该信息是否被合理使用。在大数据时代，数据技术的发展使得个人信息与非个人信息在不同场景中不断切换，而情景导向路径恰好可以应对在确定个人敏感信息时所面临的这一挑战。美国《消费者隐私权利法案》正是采用这一模式确定个人敏感信息，一改之前采用“识别性”定义个人信息的方式，采用“关联性”在具体场景中对个人信息加以确定。个人信息尤其是以“关联性”为特征的间接识别信息的边界是动态的，是否构成个人敏感信息应视具体的场景而定[18]。

3.1.2 个人敏感信息范围的界定：静态列举与动态情景结合认定

综上所述，现行立法对于个人敏感信息范围的界定主要依据个人信息对于信息主体的重要性以及损害程度而定。静态列举个人敏感信息模式是现行立法的主要趋势，这种定义方式对个人敏感信息的保护可以起到一定的预防性效果，使相关信息得到切实保护。但是这种定义模式的缺陷在于，随着数据技术的不断发展，个人敏感信息的类型不断涌现，其内容也在不断变化，“由法律规定和判断信息是否敏感的立法方式并未考虑信息主体的个人意见和感受，既可能保护过度又可能保护不足”[12]242。静态列举个人敏感信息的目的在于，在信息收集阶段尽可能获得信息主体的明确授权，但随着数据技术的发展与应用，对于个人信息安全的防护主要集中在利用阶段，而非收集阶段，如此，静态列举个人敏感信息的预防效果就大大降低了。因此，通过动态情景路径定义个人敏感信息为很多学者所提倡，欧美立法也采用了这一做法。动态情景理论注意到了个人信息范围的不确定性与动态性，个人敏感信息在不同的情景中其性质会随时发生变化。例如，IP地址可能并不属于个人敏感信息，但是如果警察利用该IP地址结合相关技术就可以锁定犯罪分子的具体方位，抓获犯罪分子，那么这个IP地址就成为了个人敏感信息。情景导向路径挣脱了传统立法在事前对个人敏感信息进行列举的做法，在不同情景中确定具体的个人敏感信息类型，进而采取不同的保护措施加以应对。这种定义模式强调个人信息的关联性，即在特定情景下如果该信息可以关联到具体信息主体，那么该信息就被认定为个人敏感信息[19]。但是，情景导向路径定义个人敏感信息的主观性较强，缺乏明显的个人敏感信息范围，完全交由法院来认定个人敏感信息，会增加法官界定个人敏感信息范围的难度，在认定时势必会产生偏差，这样在司法实践中对个人信息的保护反而会产生不利的影响。因此，本文认为，对个人敏感信息可以采用动静结合的定义方式，即静态列举+动态情景的模式。静态列举路径对个人敏感信息范围的界定虽然存在不足，难以有效适应数据时代的发展要求，但这一立法技术仍有其存在的空间。这是因为，静态列举模式可以明确个人敏感信息的概念及其具体范围，从而引导数据参与者对不同的个人信息采用不同的保护规则，可以从源头上达到对个人信息进行分类保护的效果。另外，这一定义模式有助于为法官提供统一的裁判标准，避免在个案中因为尺度不一而对个人敏感信息范围的确定产生分歧，进而导致同案不同判的不公平现象的出现[17]45。

因此，本文认为对于个人敏感信息的定义，宜采取静态列举+动态情景的综合定义方式。静态列举个人敏感信息的类型有助于明晰特殊信息的概念以及范围，并为法院提供统一的裁判标准。欧美的文化理念与我国存在显著不同，我们对于个人敏感信息的列举不能照搬全抄，但是人的感情是互通的，对于敏感信息的界定在一定程度上又具有一定的相似性。因此，在参考欧盟《一般数据保护条例》中对于个人敏感信息列举的基础上，结合我国的历史文化、价值理念、经济背景等因素，本文认为个人敏感信息主要包括：①健康信息；②生物识别信息；③性取向、性生活；④基因信息；⑤金融信息；⑥身份证件号码信息；⑦政治意见；⑧宗教信仰。对于地理位置信息、网络活动轨迹信息等，本文认为虽然其是因个人的行为引起的，且在网络中极易受到侵害，但是其对信息主体的损害程度较为轻微。因此，我们不宜将其定性为个人敏感信息，以免过于扩大个人敏感信息的范围，增加数据控制者利用数据的经济成本，最终限制数据经济的发展。而为了弥补立法的滞后性和僵硬性缺陷，并适应数据经济的快速发展，我们应同时采用动态情景的定义模式作补充，在信息处理过程中，综合考量情景因素与目的隐私，准确界定个人敏感信息，以保证个案公平。

3.2 确立隐私设计原则

法律本身具有滞后性特征，而技术的发展往往快于立法的更新，单纯依靠法律方式对个人信息加以保护是不够的，数据控制者还需要更新现有的信息保护机制。在解决个人敏感信息保护问题方面，隐私设计理论（Privacy by Design，PbD）是近年来被很多企业所认可的政策工具。PbD是一种事前预防机制，是在事前就充分考量对于隐私信息保护的需要，在技术系统中通过特别设计增强对隐私信息的保护。这一理论最先由加拿大安大略省隐私专员Ann Cavoukian博士在20世纪90年代提出，主要是为了应对信息技术对个人隐私造成的潜在威胁，这种保护设计技术贯穿于信息利用的整个周期。PbD代表了从传统保护路径到现代技术保护路径的重大转变，这种保护路径侧重于为信息管理设定最低标准，并针对侵犯隐私的行为提供补救措施。Cavoukian的PbD原则已成为全球公认的隐私保护标准。在2010年10月于耶路撒冷举行的第32届数据保护与隐私专员国际大会（ICDPPC）上，来自世界各地的隐私监管机构通过了《隐私设计解决方案》，也被称为《耶路撒冷宣言》，承认PbD为“隐私保护的重要组成部分”，并致力于推广Cavoukian的原则。随后该制度为各个国家和地区的立法所采纳[21]。PbD对于个人敏感数据的保护具有更好的适用性，欧美立法也呈现出对PbD的认可，欧盟《一般数据保护条例》直接将这一制度正式纳入法律条文中。

Ann Cavoukian提出，为了实现PbD的目标，需要践行7项基础原则：①主动预防，而非消极补救。PbD应当能够预测并且预防隐私侵害事件的发生，发挥其事前预防的功能。②将隐私保护作为默认设置。通过默认设置，隐私应该被自动保护，信息主体无须采取任何措施。③隐私保护贯穿设计。在数据利用的整个生命周期，PbD需要贯穿于每个环节，它是IT系统不可或缺的一部分。④全功能——正和非零和规则。PbD应以一种正和、双赢的方式实现所有合法利益，而不是以一种零和的方式，牺牲合法利益，避免出现非此即彼的伪命题。⑤终端安全——全生命周期的保护。成熟有效的保护措施对于隐私信息的保护至关重要，即使业务完成后，存储的数据也可以被安全地销毁。⑥可视性和透明度——保证公开。PbD将保障数据经济或技术相关的利益主体能根据自身的目的利用个人信息，且接受独立的核查，以保证个人信息利用的透明性与公开性。⑦尊重隐私，以信息主体为核心。PbD要求数据控制者将信息主体的隐私利益作为最高利益，将隐私保护措施作为默认设计，使信息主体控制自身数据[21]。

隐私保护设计的7个原则代表了隐私保护的下一个方向。从立法实践而言，隐私设计理论制度已经为国外立法所认可，欧美立法对该制度的引进诠释了其对个人敏感信息保护的重要作用，“隐私设计原则的法律化为隐私设计理论提供了指导，而法律需求通过设计嵌入系统具有可行性”[22]。因此，在个人信息保护立法中引入隐私设计理论是一种较为可行的新路径。

3.3 强化个人敏感信息的保护规则

3.3.1 收集阶段：分层多级的知情同意规则

个人信息是数据集合的重要组成部分，对于个人信息的利用已经成为数据经济发展的必备要件，而个人信息保护的终极目的是在保护数据安全的前提下，促进数据流通，进而保障数据产业的健康可持续发展。为保护个人信息的安全，传统立法都将同意规范作为数据处理的合法性要件，但是在大数据时代的背景下，一味地强调对于信息主体的知情同意，不仅会增加数据企业的生产成本，而且在实践中也缺乏一定的可操作性。因此，本文认为，对知情同意要件可以适当地加以软化，鉴于个人信息的敏感度不同，对于知情同意的要件也应该分层多级适用，使数据与个人信息之间的利益达到平衡状态。具体而言，我们可以根据个人信息使用的不同阶段，使用不同程度的知情同意规则。

首先，在个人信息收集阶段，对于个人敏感信息的收集，必须征得信息主体的明确同意，因为敏感信息与个人的人格尊严及人格自由息息相关。该阶段是个人信息进入数据利用的初级阶段，同意规则的适用可以起到一个预防性的积极保护效果，强化信息主体的控制权，保障信息主体在信息收集阶段的参控力度，使其拥有与数据控制者议价的能力，从而改善信息主体在数据收集环节所处的弱保护状态。对个人敏感信息的利用应严格遵守规范，以维护信息主体的人格自由和尊严，而对敏感信息以外的个人信息，因其对个人隐私伤害较小，可采用较为软化的态度，以减少数据控制者收集信息不必要的程序和成本，促进数据流通。因此，我们在利用敏感个人信息时，必须取得信息主体的明确同意；而对于一般个人信息，因其对信息主体的隐私威胁不会太大，故应该允许默示同意条款的存在。从缔约成本的角度而言，默示同意可以大幅降低缔结数据利用协议的成本，对数据利用的各方主体均有利。大数据环境下，数据控制者要从海量信息主体逐一取得授权难度较大，如果所有个人信息在利用时均须取得信息主体的明确授权，数据控制者也会因利用成本过高而采用违法方式获取和利用数据，这不仅会给信息主体带来更大的隐私风险，且数据控制者也会因此承担更高的法律风险[23]。采取不同的同意标准和保护机制，与大数据时代的发展要求高度契合。

3.3.2 处理阶段：采用差异化的禁止处理规则

禁止处理规则是指，法律明文规定对于个人敏感信息，数据控制者禁止对其进行处理，除非有法律规定的例外情形。鉴于个人敏感信息对于信息主体的重要性和影响力，对于个人敏感信息的禁止处理规定是必要的也是必需的。敏感信息具有灵活性以及主观性，受历史发展、文化理念的影响，各个国家对于个人敏感信息的范围界定并不一致。欧盟对于个人敏感信息的处理，是根据信息敏感度的不同采取不同的标准，这种禁止处理程度的灵活性值得我们借鉴。对此，本文认为，对于绝对隐私的敏感信息，比如个人的健康信息、性生活、性取向信息、金融信息、宗教信仰、政治观点等高度敏感信息，应该绝对禁止处理；而对于生物识别信息、基因信息等对于个人的权利并不会造成极大影响的信息可以适当放宽，只要不以识别具体个人为目的，就可以进行处理。

3.3.3 应用阶段：匿名化规则

数据的交易是互联网+时代发展的基石，个人隐私的保护是社会安定的前提。数据在交易过程中可能涉及的隐私风险成为当前在大数据时代我们面临的重要课题。为解决在数据利用过程中个人隐私信息所面临的安全性挑战，个人信息匿名化规则应运而生，成为数据流通和利益保护的平衡器。采用个人信息匿名化规则是解决用户个人信息保护与数据应用之间的矛盾的有效方式。个人信息匿名化规则的目的是降低身份识别的风险，虽然有学者认为这一技术已经失色，不能控制个人身份反向识别的情形发生。但是就目前的技术而言，个人信息匿名化规则不失为平衡数据流通和个人隐私保护的一种重要方式，没有一项技术能绝对地保证规避风险。首先，个人信息匿名化规则在数据流通的第一阶段就过滤掉大部分无技术无资源的外行进行身份再识别。其次，数据的利用多被用于政策发布、医疗、教育、地理等公共领域，数据需求者本就没有再次识别的必要，不存在经济利益，这就在动机上避免了身份再识别的风险。最后，当数据泄露、身份盗用等事件出现时，个人信息匿名化规则可以初步防止隐私泄露[23]。《网络安全法》第42条第1款也对匿名化规则加以规定，要求去识别化处理需要达到无法识别个人且不能复原的程度。

3.3.4 删除阶段：随时撤销规则

赋予数据主体随时撤销的权利是对个人敏感信息灵活处理、分层同意的最后保护屏障。对于个人敏感信息在收集阶段、处理阶段的灵活宽松的规则适用，并不是意味着对于责任的放松，或对于个人信息保护的忽视。对于个人敏感信息在利用过程中可能出现的危害，信息主体需要保持高度警惕，在个人敏感信息循环利用的整个过程，信息主体都有权根据信息使用的目的、方式，在合理的情形下，撤销对数据控制者的授权使用。这种合理情形是指信息主体发现自身的信息正处于高风险的侵害状态。一旦信息主体要求数据控制者停止对其信息的利用，数据控制者需要立即停止对信息主体的信息进行存储、加工和交易。信息主体随时撤销的权利是赋予信息主体进行自救的权利，强化了信息主体的权利，增加了信息主体对自身信息利益的保护力度，是信息自决权在具体保护规则中的具体化。值得注意的是，对于信息主体随时撤销的权利，不宜扩大其适用范围，在具体适用时，应该兼顾公共利益，不应肆意扩大边界，以保障数据经济的有序发展。

4 结语

个人信息是数据利用必不可少的一部分，个人敏感信息与个人的人格自由、人格尊严息息相关，应该受到特别的保护，方能体现立法的人文主义关怀。欧美最新一轮的立法改革体现了对于个人敏感信息的着重保护，值得我国借鉴。面对大数据时代对于个人敏感信息的新挑战，我们应该在既有的立法基础上，借鉴欧美最新立法经验，跳出传统单一的保护思维，将技术融入法律中，探索一条灵活相容的信息保护路径，在保护个人隐私信息的同时，发挥个人信息的最大价值，实现多方共赢的局面，最终促进数据产业持续健康有效地发展。