民法典背景个人敏感信息的界分构想

胡 扬，方慧琳，刘 荣

（福建师范大学法学院，福建 福州 350000）

一、关于界分个人敏感信息问题的提出

第十三届全国人大三次会议于2020年5月28日表决通过了《中华人民共和国民法典》以下简称（《民法典》），并于2021年1月1日起正式施行。《民法典》中人格权独立成编，不仅是对当代数字技术发展、大数据建设予以特别关注，更是对该时代背景下个人信息保护呼声的响应，成为法典中的亮点之一。而在《民法典》的立法过程中，许多学者建议将个人敏感信息的定义和保护引入法典，并施以增强的立法保护，最终遗憾的是该建议并未被采纳。但是，《民法典》以征信信息及医疗数据为典型，通过强调征信机构对民事主体信用信息的保护、医疗机构对患者隐私及个人信息的保密责任，见微知著，也在一定程度上反映了对于敏感个人信息须施以更加严格的保护。就目前尚待制定的个人信息保护法，我们理应在此基础上对个人敏感信息保护予以更加正当且必要的关注，加强相关的立法规范，不断划清信息处理者在个人信息保护方面的合规红线，从而保证大数据背景下公民信息安全，权益不受侵犯的基本价值诉求。

随着大数据时代的到来，人民群众的个人信息已基本实现了数字化。而在带来经济效益与生活便利的同时，个人信息被过度利用、违法收集、泄露事件频发，且往往波及范围广，最终产生具有高危险性和不可逆性的社会风险。若不对敏感个人信息进行明确的区分保护，放任其被肆意滥用，不仅对公民的人身、财产权利产生了重大危害，甚至对国家安全、社会公共利益等都将造成严重威胁。笔者在反思个人敏感信息保护与利用的现实情况的同时，也将通过分析个人敏感信息的界定标准、论证其保护的必要性，立足于国内外个人敏感信息界分的法律规范现状与裁判见解，表达对我国个人敏感信息的规制建议与立法期待。

二、关于个人敏感信息的界定标准

（一）基础分类方式

根据个人敏感度、信息价值梯度和侵害风险性等不同，目前针对个人信息的最为常见、基础的分类方式，是将个人信息分为一般个人信息与个人敏感信息。这种区分标准，一方面能够合理保护每个公民的人格权益和财产权益，进一步落实对于个人敏感信息的利用须严格把控，高标准限制的全面保护要求；另一方面对敏感程度较低的一般个人信息进行合理高效地流动利用，满足信息处理者对个人信息的“合理使用”需求，获得信息数据流动的经济效益，维持二者的动态平衡，找到利益的最大公约数。而相较于一般信息保护，个人敏感信息因其数据敏感性及应用场景的特殊性，同时承载了更高的人格尊严要素，理应施以更严格的监管要求。

（二）域外国家的界定方式

不同国家的立法也对个人敏感信息有着不同的界定方式。例如，欧盟以统一立法的模式，在《一般数据保护条例》中对于个人敏感信息的种类进行列举，并应科技时代发展的趋势，新增了基因信息、生物特征信息等个人敏感信息种类。而美国则以分散立法的模式进行界定，相较于欧盟，其过于广泛的定义也造成了监管的不确定性，一定程度上不利于个人敏感信息的严格保护。

（三）我国的界定标准

我国刚出台的《民法典》（人格权编）对于个人信息的保护，是对《民法总则》第111条的沿袭和进阶。在结构上，将个人信息与隐私权并列规定在一章中。内容上，仍将可识别性作为传统的二分法核心，以“下定义+不完全列举”的模式对个人信息予以概念上的规范。

但通过分析考量，会发现该条对个人信息之界定存在诸多问题。例如，《个人信息保护法（草案）》第一章并未提及个人敏感信息，尚未明确提出个人敏感信息与一般个人信息的区分标准，对于个人信息的概念界定呈现静态化的特征。虽然“个人生物识别信息”作为个人敏感信息的一种，在《民法典》第八百一十三条中进行了概念上的涉及，体现了人工智能发展时代对于此类信息予以特别关注。但除此之外，未对其他个人敏感信息加以定义与立法考量。笔者认为，规范个人敏感信息的定义与加快保护进程刻不容缓，《民法典》中对此不完善的地方，在未来《个人信息》保护法中理应得到更多的重视，采取更加严格的保护措施。

三、关于区分个人敏感信息的必要性

在大数据时代背景下，个人信息概念的界定直接反映出个人信息立法保护的价值取向。个人信息兼具个人利益与财产利益的特别属性，为更好地兼顾其道德价值与经济价值等，对其施以分类保护和严格界定已是大势所趋。而如何在个人信息保护与信息利用或数据流动之间达到效益平衡，是各国个人信息保护立法所需解决的主要矛盾，区分个人敏感信息和一般个人信息具有充分的正当性。具体可以从以下几点分析。

（一）从个人信息敏感度的角度分析

“个人信息的敏感度”描述的是个人信息对信息主体造成伤害或影响的程度。在现代社会，个人的几乎所有情况都有可能成为个人信息，而不同的人对于敏感个人信息具有不同的个体认知差异，往往敏感度高的个人信息承载着更高的人格尊严，其泄露或滥用后将会对信息主体造成较大的伤害。因而笔者认为，做好信息主体对于个人信息的价值评估，进行自我判定该信息是“敏感”或“不敏感”“可利用”或“禁止利用”，有利于国家对个人敏感信息施以更高程度的保护，保障公民对涉及敏感信息安全的自我决定权在大数据时代的表达，展现人格尊严和维护自身精神自由的合理诉求。

（二）从数据价值及企业经济的角度分析

在当今社会的互联网大数据背景下，个人信息资源因流动利用而产生价值，对于企业层面而言，其蕴藏着丰富的商业价值。由于个人信息内部包含价值梯度，笔者以为，良好的制度设计理应对其分而治之。在大数据时代更应加强数据分类分级管理和保护，实现数据价值与个人信息保护的平衡，在兼顾数据安全和个人隐私保护的同时，可以最大限度释放数据价值，发展企业经济。做好个人敏感信息的区分定义，有利于我国在数字经济时代充分把握个人信息的商业价值，推动大数据产业的良性发展，及时回应民众对于隐私保护的呼声，不断增强人民福祉和安全需求，体现对于人民的尊重。同时，做好个人信息的分类保护也为企业利用个人信息划出警示红线，从而实现个人信息流通利用的良性循环，推动科学技术与产业经济的发展。

（三）从个人敏感信息侵害的性质分析

由于个人敏感信息具有高敏感度与高危险性的特征，同时与个体的人格尊严、个人自由和基本权利密切相关。在利益本位观念的驱动下，一旦个人敏感信息泄露或遭非法利用就有可能侵害信息主体的人格利益，引发人格歧视，造成不可逆的社会危害。因此，只有将个人敏感信息贴上预警标签，严格限制企业“一揽子”授权与过度收集的情况，为信息处理者提供明确的行为指引和侵权行为预测，才能防止产生不可逆的损害结果、社会负面评价以及所导致的人格歧视现象。

四、关于个人敏感信息界定的域内域外法律现状

关于个人敏感信息的保护现状，放眼域外，欧盟及其成员国、美国、澳大利亚等许多国家和地区均针对个人敏感信息进行了特别规定。虽然我国对于个人敏感信息的立法保护并不完善，但也并非毫无依据，而是已有一定的法律基础。笔者根据分析对比各国个人敏感信息保护立法，进行了汇总归纳。

（一）欧盟模式

各国立法对于个人敏感信息的概念界定不同，其中在个人信息保护领域最具有蓝本与示范意义的当属欧盟法律，其于2018年5月颁布的被称为“史上最严”的《通用数据保护条例》（General Data Protection Regulation，GDPR），是在全球新技术发展趋势的大背景下，为应对大数据时代的个人敏感信息安全挑战作出的立法回应。

早在1995年《个人数据保护指令》已对个人敏感信息作出了详尽的规定，将6类个人信息（种族、政治观点、宗教、工会会员信息、健康及性生活信息）界定为具有高度敏感性的特征，用具体的条款明确禁止对其收集和处理。而GDPR在继承《个人数据保护指令》现有的立法基础上进一步完善了对于个人敏感信息的特殊法律保护，其在第九条中列举性地概括了个人敏感信息的种类，同时新增了个人生物信息、基因信息和性取向信息三类敏感信息，并规定在各个成员国得以直接适用。另外，在《欧洲委员会关于个人数据自动化处理的个人保护公约》中第六条也对个人敏感信息进行了明确的概念界定。二者相较于以往对于敏感信息的范围界定都在内容上进行了扩充，反映了对于人伦道德的的关注和科技发展的回应，赋予个人敏感信息在新的时代背景下新的内涵。

（二）美国模式

美国模式下对于个人敏感信息的保护主要体现在对个人敏感信息内涵的确定和扩充，形成了分散立法和行业自律结合保护方式，体现了个人信息的敏感性与风险性并存的特点。

首先，在2000年12月颁布的《美国-欧盟的隐私安全港原则》中具体说明了个人敏感信息主要包括的五个方面，为个人敏感信息的丰富奠定基础，以分别分类的方式，为明确个人敏感信息的界限提供了大致的方向。其次，2015年发布的《消费者隐私保护法案》中提出个人敏感信息包括生物特征识别数据，该法案对生物特征识别数据的具体内容作出规定，体现了法律伴随着不断发展的现代生物技术而丰富，以及法律对金融方面的重视保护。最后，2019 年1 月发布的《数据隐私立法协议》规定个人敏感信息的具体概念，协议中还具体列举了包括近年来颇受关注的遗传和生物识别信息、有关未成年人信息在内的个人信息，对个人敏感信息的内容有了进一步的丰富。

（三）我国关于个人敏感信息的立法现状

着眼于我国的立法现状，虽然我国尚未制定统一的个人信息保护法，刚出台的《民法典》也尚未对个人敏感信息予以明确的界分，但在各部门法、行政法规以及司法解释中已经分散式地规范了个人敏感信息的相关定义，呈现出对个人敏感信息予以特别保护的立法趋势。

首先，《民法典》《民法总则》以及《网络安全法》对个人信息的概念以及个人信息保护的法律制度进行了原则性的规定。例如，要求信息收集者在收集公民个人信息的过程中应遵循合法、正当、必要的原则，并经被采集者的明确同意。此外，还制定了信息处理者泄露、损坏、丢失个人信息的告知和报告制度等。虽然这些规定仍然存在没有具体措施保护，只能起指导性作用的问题，但仍对我国个人信息保护的法律制定奠定了理论上的基础。此外，国务院2013年发布的《征信业管理条例》中，以列举禁止采集的信息类别的方式对个人敏感信息的类别加以规定。另外，全国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》明确了个人敏感信息的概念，并采用概括加列举的方式对个人敏感信息的范围加以限制。

其次，2012年发布的我国首部个人信息保护国家标准——《个人信息保护指南》中明确规定，“个人信息可以分为个人敏感信息和个人一般信息，”并对个人敏感信息予以定义和列举。虽该指南作为指导性文件，对个人敏感信息的法律规范内容浅尝辄止，但该指南的发布标志了我国首次明定个人敏感信息的概念。

笔者认为，我国目前个人信息保护制度已初步形成了包括刑事责任追究、民事救济、行政监管自律等各项制度在内的综合性法律体系，并已明确了划分个人敏感信息与一般个人信息的立法趋势。但不可否认，作为我国保护个人信息安全的两个重要法律《民法总则》与《网络安全法》都未对个人敏感信息作出具体规范，而刚施行的《民法典》也未重视个人敏感信息亟须法律保护的现实需求，迟迟未作出具体的响应。对于个人敏感信息的保护零散地分布于各部门法的部分条例之中，缺乏统一的标准和规范，且某些具体的敏感信息仍然存在立法空白的情况。我国对于个人敏感信息的区分处理虽有初步尝试，但总体来看现行规范还存在很多不足。

五、关于我国个人敏感信息保护的规制建议

（一）明确个人敏感信息的定义

按照GB/T 35273—2017《信息安全技术个人信息安全规范》解释来说，个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。从定义来看过于模糊，且对于界定个人敏感信息来说没有实际可操作性，且缺少与信息主体的关联性。

就笔者而言，对于个人敏感信息的定义更加支持“基本权利面临高风险损害”标准，即根据信息主体的基本权利是否会因个人信息被相关处理者利用，而将面临高风险损害的威胁进行判断。这种标准通过放宽对于敏感信息的界定界限，即以被利用后的风险程度而加以判断，对于当今大数据时代来说，网络和信息技术的发展愈发依赖于信息数据的自由流动，因而该类划分标准更具开放性，符合大数据发展时代的价值取向和效益要求。

（二）实现个人敏感信息的价值评估与利益平衡

对个人敏感信息进行保护前，应对相关的个人敏感信息作出各方的利益衡量与利益识别，理应做好信息保护与利用的两方强化，实现三方价值平衡。首先，个人信息承载着个体的人格利益、隐私与尊严，不同的信息主体对于个人信息的保护诉求与价值追求大不相同；其次，信息处理者与政府等主体的加入，将个人敏感信息的保护置于整个社会环境中，一方面个人信息的商业性满足了信息处理者的利益需求，另一方面政府为维持政权的稳定，必要时须强制性地进行个体信息的采集利用。

笔者认为，在进行信息保护前应做好各方的利益价值评估，分析个人敏感信息下所蕴含的人格价值与财产价值，从而作出不同程度的保护措施，实现个人敏感信息保护与利用的价值平衡与利益最大化。简言之，就是既保证个体对于敏感个人信息的安全需求，又能使一般个人信息得以流通利用，实现其商业价值。对前者强调保护，后者鼓励利用。国家也能基于公共管理目的在必要环节实现对其管理利用，最终实现个人、企业和国家的三方利益平衡。

（三）构建国家主导的监管体系与评估制度

由于我国目前缺少个人敏感信息保护的法律共识与相应的权力制约体系，暂未设置独立的第三方个人信息保护监管机构，在信息采集与利用过程中，都对相关的监督工作增加了管控难度。因而笔者认为，首先我国应制定统一的个人信息保护法，设定符合我国国情的个人信息保护门槛，明确个人敏感信息的法律定位，以此提高个人敏感信息的立法保护水平；其次，加快构建独立的个人信息安全保护的监管体系，设置独立于政府的第三方个人信息监督机构，加强个人信息监管问责体系，旨在更加高效负责地保护个人信息安全；最后，建议引入具有公信力的第三方评估机构制定相关的标准，从而有效避免不同主体间信息保护工作难以协调的问题。

（四）鼓励行业自律和完善惩处机制

为了降低国家的执法监管成本，更加灵活并有针对性地进行不同行业间个人信息保护，企业应当自觉进行行业自律管理，尽可能在个人信息保护的最低标准上形成行业共识，而行业本身也应当根据自身的业务特点与实践经验，制定好相应的行业标准和规章制度，做好个人信息采集、利用过程中的安全保护，以此规范行业整体。

此外，笔者认为应当完善事后处理机制，加大事后惩处力度。当发生个人敏感信息被非法采集、泄漏或利用事件时，相关信息处理者应当及时采取措施，防止损害进一步扩大，并对信息主体造成的损害承担损害赔偿责任。而公民个人也可通过向监管机构进行举报、申诉、监督等方式，维护自身合法权益。

六、结语

随着网络信息时代的到来，公民权利意识逐渐崛起，越来越多的人民群众开始重视人格权益和信息安全的保护。在此背景下，我国《民法典》人格权独立成编，所体现的对人格权的体系性保护不仅是立法上的重大创新，更是注重更深层次的人文关怀的表现，印证了《民法典》以人为本的价值理念。其中对于个人信息的进一步定义与规范，也体现了《民法典》中数据及个人信息保护需兼顾数据流动及隐私保护的平衡的价值理念。虽对于缺失个人敏感信息定义和保护的留有遗憾，但也为未来的个人信息保护法与数据保护的法律体系构建留下期待。

总而言之，我国应首先明确个人敏感信息的概念统一化标准，在借鉴域外立法经验的基础上，结合我国国情完善个人信息的分类制度，立足于社会实践和现有法律基础中加快个人信息保护法的立法进程，回应对于个敏感人信息保护的现实迫切性，实现信息保护与信息利用的利益平衡。我国对于个人敏感信息的界分保护与制度设计任重而道远，但前途依然光明。