“后民法典时代”个人敏感信息的法律保护

朱 荣 荣

(南京大学 法学院，江苏 南京 210093)

一、问题的提出

自2017年《民法总则》第111条以民事基本法的形式确立个人信息受法律保护以来，有关个人信息的理论研究不断涌现。然而，通过梳理相关文献可知，多数学者在探讨个人信息保护问题时仍聚焦于统一的个人信息层面，鲜有学者展开类型化研究，这种逻辑进路忽视了个人信息的固有差异性以及不同信息对信息主体的影响程度。个人信息的范围较为广泛，不同类型的信息对信息主体的影响不同，因此受保护的程度也就不同[1]。有鉴于此，比较法历来遵循区分规制个人敏感信息与个人一般信息的立法传统。个人敏感信息是个人信息中较为特殊的信息类型，其与信息主体的基本权利和自由密切相关，收集、处理敏感信息可能给人权保障带来特别风险[2]。

2020年5月28日，十三届全国人民代表大会第三次会议表决通过了《中华人民共和国民法典》(以下简称《民法典》)，该法第1034条规定“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”。由是可知，《民法典》依据个人信息是否具有私密性将其区分为私密信息与非私密信息，但对于何谓私密信息则没有进一步地说明。2021年8月20日，第十三届全国人民代表大会常务委员会第三十次会议通过了《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)，该法舍弃了《民法典》关于私密信息与非私密信息的区分方式，转而依据敏感度的差异将个人信息区分为个人一般信息与个人敏感信息。由此带来的问题是，个人敏感信息与个人一般信息的区分是否具有正当性？如何寻求个人敏感信息在我国现行法体系下的保护路径及保护方式？这些问题是本文需要重点解决的。

二、个人敏感信息与个人一般信息的区分

1.是否区分敏感信息与一般信息的理论争议及评价

个人敏感信息是信息科技快速发展的产物。19世纪60、70年代，自动化信息收集技术的发展使得海量的信息处理日趋普遍化，在给社会生活带来极大便利的同时也增加了个人信息不当利用的风险，催生了加强保护敏感信息的利益诉求。在立法层面，“个人敏感信息”这一概念可追溯至1980年，世界经济合作与发展组织专家组在起草《关于隐私保护与个人数据跨境流动的指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)过程中对于是否设立个人敏感数据曾展开激烈争论，但由于无法确定普遍公认的个人敏感数据范围，最终文本对此未做规定。1981年欧洲理事会颁布的《有关个人数据自动化处理的个人保护公约》(Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data，又称《108号公约》)第6条规定“除非国内法已提供适当的保障措施，否则禁止处理揭示种族、政治观点、宗教或其他信仰以及与健康、性生活、刑事定罪有关的个人数据”，这成为首个以立法形式明确承认敏感信息的国际公约。虽然公约在术语上采用的是“特殊种类数据”(Special Categories of Data)而非“敏感数据”(Sensitive Data)，但通常认为“特殊种类数据”即为“敏感数据”，两者仅是用语上的差异。

目前，我国理论界对于是否应区分规制个人敏感信息与个人一般信息存在较大的争议，主要存在“肯定论”与“否定论”两种观点。“肯定论”者主张应当依据信息的敏感度将个人信息区分为敏感信息与一般信息，并从事实与后果两个方面论述区分的必要性。在事实层面，敏感信息是客观存在的，是个人信息中最为重要、与信息主体的权利与自由密切相关的信息[3]。换言之，信息主体的个人信息呈现敏感度高低的不同，不同类别的信息与信息主体的关联程度或对信息主体的重要程度存在差异。具体来说，个人信息的敏感度以人格尊严为轴心向外逐次递减，其中，敏感信息居于信息群的核心地带，敏感信息与人格尊严的天然密切性要求给予其特殊保护。在后果方面，不同于一般信息，敏感信息的泄露可能导致人格受损、引发歧视以及妨害人格尊严，故须从实体与程序两方面对其提供更加严格的保护[4]。反对者则认为，“敏感”一词既不属严格的法律范畴也无法从法律维度加以界定，敏感性的主观性决定了信息的敏感度可能因主体而异，以敏感性区分个人信息具有相对性与不确定性[5]。还有学者认为根本不存在“一般意义上的” “普遍的”敏感信息，个人信息的“敏感性”须就特定情境综合考量，试图一般性地规定敏感信息可能过于简单化了，不符合社会生活中个人信息多样性、复杂性的特质[6]。此外，域外法中敏感信息的含义非常广泛，我国立法不宜采纳这一概念，否则可能导致个人信息保护法与我国宪法和根本政治制度相冲突[7]。

笔者认为，面对纷繁芜杂的个人信息，类型化保护可以更为细致地平衡信息主体与信息处理者之间的利益关系。关于上述争议，仔细考究不难发现，“否定论”者在价值理念上并不排斥给予敏感信息特殊保护之必要性，其所担忧者主要在于技术层面无法实现敏感信息的准确界定。实际上，个人信息的敏感度具有可操作性，实践中大多数敏感信息是可以被归类的[8]。随着信息化技术的发展，区别规制敏感信息与一般信息渐成域外立法趋势，于此情境下，我国若仍拒绝承认敏感信息的正当性可能无法与国际个人信息保护立法接轨。虽然《民法典》没有明确承认敏感信息与一般信息的分类模式，但并不意味着该种分类就不重要，因《民法典》主要规定重大的个人信息保护问题，而区分敏感信息与一般信息则是具体的信息处理规则[9]。值得肯定的是，通过的《个人信息保护法》对于个人敏感信息的概念、个人敏感信息的保护规则等做出了相应的规定，一定程度上弥补了我国个人敏感信息保护的空白，具有重大的积极意义。

2.敏感信息与一般信息的区分标准

目前，关于个人敏感信息与个人一般信息的界分标准主要存在“隐私论”“风险论”以及“综合论”等不同的观点。“隐私论”主张以个人信息是否涉及隐私为标准，可以将其区分为敏感信息与非敏感信息，简言之，个人敏感信息指与隐私相关的个人信息，反之则不属敏感信息[10]。“风险论”主张个人信息的“敏感性”与风险性紧密相关[11]，法律加强某种类型个人信息保护的主要原因在于滥用此类信息造成伤害的可能性和严重性，换言之，相较于一般信息，滥用敏感信息会对基本权利和自由造成更严重的后果[12]。“综合论”兼采“隐私论”与“风险论”，张新宝等撰写的《个人信息保护法(专家建议稿)》采取的即是“综合论”，其将敏感信息界定为“因其性质、内容与信息主体的核心隐私相关，或一旦泄露、滥用可能危害信息主体人身和财产安全或引发对信息主体的歧视等不利后果的个人信息”[13]。

“隐私论”以个人信息是否涉及隐私来判定敏感信息忽视了我国现行法下个人信息与隐私之间的差异性。隐私信息是不宜公开的私人信息，是对“公开”敏感的信息，而敏感信息则是对“处理”敏感的信息[14]。在比较法上，1983年德国联邦宪法法院在“人口普查案”判决中指出，个人信息是否具有敏感性不能只依其是否触及隐私而论，明确否定了依据隐私判定敏感信息的合理性[15]。从现实层面来说，在我国立法将个人信息与隐私权分别规制的背景下，“隐私论”以个人信息是否涉及隐私来界定敏感信息容易造成体系混乱。毋庸讳言，侵犯敏感信息可能同时构成隐私权侵害，但公开和传播敏感信息除导致狭义的隐私权侵害外，还可能引发政治或社会上的歧视，侵害人的尊严和基本权利[16]。此外，按照“隐私论”的理论逻辑，“隐私论”以隐私内涵的清晰、无歧义为前提，然而隐私本身就具有多重面向。《民法典》第1032条首次从立法层面明确界定了隐私的概念，但在具体的生活实践中，隐私的内涵仍有待进一步探讨。以此观之，这种迂回曲折的方式可能不利于敏感信息的准确判定。“综合论”糅合了“隐私论”与“风险论”的精神内核，以期为敏感信息提供更周延的保护，但其内含的隐私判定标准无法摆脱上述“隐私论”面临的种种诘问。从逻辑层面来说，侵害敏感信息造成的风险已然包括隐私权侵害，于此情形，若仍以是否涉及隐私来判定敏感信息可能徒添混乱。“风险论”依据信息对于信息主体的重要性程度或信息的不当处理可能给信息主体造成损害的严重性来判定信息是否具有敏感性，更契合敏感信息的本质特性。从词义学角度来看，《韦氏词典》(Merriam-Webster)将信息敏感度解释为对于特定的因素具有高度的反应或者极易受到影响，具体体现在易于受到伤害或损伤，特别是精神上的伤害。就此而言，信息敏感度指个人信息对信息主体可能造成伤害的程度和影响[17]。此外，“风险”一词具有高度的抽象性与概括性，可以容纳多元的价值评价，能够为敏感信息的具体判定提供弹性化的论辩框架，因此，“风险论”的主张更为合理。

3.敏感信息与私密信息的关系厘定

自《108号公约》以后，个人敏感信息得到愈来愈多国家(地区)立法的承认，区分规制敏感信息与一般信息成为类型化保护个人信息的主要模式。与之不同，我国《民法典》第1032条、1033条、1034条等采纳的是“私密信息”这一表述，并未对个人敏感信息予以规定。《个人信息保护法》没有遵循《民法典》的立法进路，而是采取了个人一般信息与个人敏感信息的规制方式。由此不免让人心生疑惑：敏感信息与私密信息究竟是同一事物还是不同事物？准确厘定两者的关系事涉敏感信息在具体实践中适用的顺畅性。

关于敏感信息与私密信息的关系，学界大致存在“同一论”“交叉论”“独立区分说”以及“隐私包含说”等不同的观点。“同一论”者认为，敏感信息指关涉个人隐私核心领域、具有高度私密性、公开或利用将对个人造成重大影响的个人信息；私密信息指与个人密切相关、隐私度高且个人极其不愿意将其暴露于公众视野之中的信息，尽管二者概念上可能不统一，但实际表述的意思是一致的，本质上都是指信息主体不愿为他人知晓的信息[18]。还有学者认为，敏感信息与私密信息基本含义以及基本功能相类似，其核心思想均在加强隐私信息的保护，应当将敏感信息与私密信息合并，没有必要过度区分[19]。“交叉论”者则认为，敏感信息与隐私信息不能简单地划等号，因为二者是基于不同的视角进行的类型化划分，敏感信息强调信息对个人利害关系影响的重要性而隐私信息强调信息的私密性，二者虽有重叠部分但并不是完全相吻合的[20]。“独立区分说”认为，私密信息与敏感信息是相互分离的，二者不存在交叉重合的可能[21]。“隐私包含说”认为，私密信息与敏感信息是包含与被包含的关系，敏感信息是私密信息的具体内容之一[22]。

关于上述争议，“同一论”与“隐私包含说”都否定了敏感信息的独立性地位，不仅违背了我国现行的规范体系，也与基本的法理基础不相符合。与之相反，“独立区分说”则完全割裂了敏感信息与私密信息的关系，有从一个极端走向另一个极端之嫌。相较而言，“交叉论”的观点更为合理。不可否认，敏感信息与私密信息存在重合之处。例如，基因信息、医疗信息、生物识别信息等个人信息既属于敏感信息亦属于隐私信息，但两者所侧重保护的利益存在差异。私密信息着重于保护信息不为他人所知的非公开性，旨在维护个人不受外界干扰的隔绝状态，是从一种较为客观、中立的角度进行的界分，通说认为，对于已公开的信息无法援引隐私权加以保护。敏感信息则立足于信息对于信息主体的重要性程度，以保护个人免受可能的信息侵害，是从信息主体的主观视角出发来判断信息是否具有敏感性。可见，敏感信息与私密信息是不同价值取向的产物，两者虽然在外延上存在一定的重合，但并不是完全可以互相取代的。

三、个人敏感信息的范围

1.个人敏感信息范围界定的主要方案及检讨

(1)类型化列举

类型化列举是目前大多数国家(地区)立法确定敏感信息范围的主要方式。该方法隐含着这样一个假设性的前提，即某些个人信息的内容或性质具有先天的特殊性，若被不法揭露、滥用等可能造成信息主体严重的人身及财产伤害。因此，可以根据个人信息的内容将个人敏感信息的种类明确列举出来。类型化列举可为当事人提供稳定的行为预期，增强司法实践的可操作性，在提升敏感信息保护水平的同时减少信息控制者不必要的论证负担。

然而，通过类型化列举来确定个人敏感信息的范围也存在一定的不足之处。个人敏感信息具有较强的主观色彩，某一信息是否具有敏感性需结合个人主观感受加以判断，这意味着同一信息对某些人是敏感信息而对其他人则未必是敏感信息[23]，类型化列举在规定哪些信息是敏感信息时忽视了对个人主观意愿的尊重[24]。随着社会的发展进步，人们认知观念的更迭会导致敏感信息的范围不断调整，之前被认为敏感的个人信息可能随着公众对其接受度的提高而不再具有敏感性。此外，信息收集技术的发展使得新型的敏感信息不断涌现，个人信息之间的关联性可能导致某些非敏感信息与其他信息结合之后而具有敏感性。由此可见，类型化列举忽视了个人信息的内在关联性以及社会发展的变动性，这种以静态的视角来审视个人敏感信息的范围无法及时容纳社会观念的变迁。以欧盟为例，从《108号公约》到《数据保护指令》以及《一般数据保护条例》，立法不断调整敏感信息的范围以适应新时代背景下社会发展衍生的新型敏感信息保护问题，不仅增加了立法成本，也损及了法律的安定性及可预期性。

(2)情境论

面对类型化列举敏感信息存在的不足，有学者提出了“情境论”(Context-based Approach)，主张个人信息的敏感性不是先验的而是由信息处理的具体情境(Context)决定的。由于“情境”包括信息控制者的特定利益、信息的可能受众、收集信息的目的、信息处理的条件以及可能对当事人造成的后果等多种因素，因此信息的敏感性必须不断地重新评价[25]。实践表明，同样的个人信息在该情境中是敏感的而在另一情境中可能并不具有敏感性，易言之，信息处理的情境决定了个人信息是否具有敏感性[26]。

与类型化列举的思路相反，“情境论”否认某些个人信息具有先天的特殊性，强调个人信息的敏感性并非源于信息自身的性质或内容，而是由信息处理的具体情境决定的。换言之，个人敏感信息的范畴处于动态变化之中，试图详细列举个人敏感信息的类型并不现实。“情境论”为法官根据个案具体情境判定敏感信息提供了理论支撑，一定程度上可以修正类型化列举所具有的僵硬性与滞后性。然而，“情境论”也存在一些难以克服的缺陷。具体来说，“情境论”完全不考虑信息自身的特殊性，不仅滋生了滥用敏感信息的现象，也无法为特殊情境下非敏感信息的不法处理提供额外的法律保护。根据“场景论”的运作原理，某一个人信息是否为个人敏感信息只能在特定的场景下即时确定，这使得个人敏感信息的范围存在很大的不确定性，于此情形，个人敏感信息处理规则的预防功能难以得到有效的发挥，因而只能通过事后救济的方式实现个人敏感信息的法律保护[27]。此外，将敏感信息的判定全权交由个案评价不仅增加了法官的工作负担，还可能陷入恣意裁量的危险境地。更为重要的是，信息处理的“情境”并非必然存在，现实生活中不排除与情境无关的(Context-free)敏感信息存在的可能性[28]。

(3)目的论

2005年，欧洲理事会在有关信息自决的一份报告中率先提出了“目的论”(Purpose-based Approach)。“目的论”认为根据信息本身的性质来界定敏感信息过于宽泛了。例如，姓氏可能揭示个人的种族起源，购买古代诗经亦可能揭示个人的宗教信仰，但不能认为姓氏及购买古代诗经都是敏感信息，因此须放弃以信息的性质界定敏感信息的做法，对于敏感信息的判定宜采取“目的论”的方式，即只有当信息处理之目的旨在揭示敏感信息时该信息方构成敏感信息[29]。与“情境论”类似，“目的论”亦反对预先根据个人信息的性质或内容判定敏感信息，主张个人信息是否具有敏感性是由信息处理的目的而非信息本身决定的[12]199。易言之，只有当信息处理之目的旨在揭示他人敏感信息，该信息才属于敏感信息，反之则否。

“目的论”具有一定的积极意义，其减少了琐细案件进入法院的数量，减轻了个人信息保护部门的行政负担[30]。然而，“目的论”亦具有一定的局限性，依循“目的论”的推演行径，“目的论”须依托于先行确立的敏感信息类型或范围，在未明确哪些个人信息属于敏感信息之前根本无法进一步判断信息处理的目的是否旨在揭示敏感信息。此外，“目的论”亦面临着一个难解之题，即应由谁来决定个人信息是否具有敏感性？无论基于信息主体抑或信息处理者的认知来判断信息处理的具体目的都可能出现对另一方保护不足的现象。

2.路径选择

由上可知，类型化列举与“情境论”“目的论”的主要争执点在于是否承认某些个人信息具有先天的敏感性，主张类型化列举的学者认为某些个人信息的内容或性质具有先天的特殊性，可预先将这些敏感信息列举出来。“情境论”与“目的论”则认为个人信息本身是中性的，不存在先天即具有敏感性的个人信息，其中“情境论”认为信息处理的情境决定了信息的敏感性，“目的论”则主张信息的敏感性是由信息处理的目的决定的。

笔者认为，受历史文化或传统观念的影响，一定时空范围内的人们已经对某些敏感信息形成了普遍的认可，通过立法明确规定敏感信息的类别并设立特殊的保护规则可为人们提供稳定的行为预期，同时彰显了强化敏感信息保护的价值取向。在具体适用过程中，类型化列举敏感信息为法官提供了统一的裁判标准，避免个案中因尺度不一而导致敏感信息界定不清，甚至“同案不同判”的非正义现象[31]。因此，若完全放弃类型化列举转而全面采纳“情境论”或“目的论”可能使得敏感信息的判定过于弹性化，且将敏感信息的认定与保护全权交由法官自由裁量可能滋生极大的不确定性，反而不利于敏感信息的保护。从路径依赖及立法成本考虑，我国应采取类型化列举的方式界定敏感信息范围，由于敏感信息的界定无法脱离社会环境及信息主体的意愿而单独存在，因此该列举清单应是非详尽性的，具体个案中须充分考量社会实践的发展及其他因素灵活调整敏感信息范围。在比较法中，2017年日本修正的《日本个人信息保护法》新增“个人敏感信息”，并在类型化列举敏感信息种类之后设置了兜底条款，为新型敏感信息的纳入预留了渠道。值得肯定的是，我国2012年的《信息安全技术、公共及商用服务信息系统个人信息保护指南》第3条第7款以及《个人信息保护法》第28条对于个人敏感信息的范围同样采取了“类型化列举+动态考量”的界定方式，使得个人敏感信息的范围具有开放性与动态性，能够灵活适应社会发展变化。

须注意的是，在具体列举个人敏感信息的类型时应立足于我国现实环境与文化传统，比较法所认可的敏感信息种类并非都适用于我国。此外，根据个人信息的内容或性质列举敏感信息可能让人产生这样一种误解，即被明确列举为敏感信息的信息类别在任何情况下都具有敏感性，但情况并非总是如此。个人敏感信息的“敏感性”可能会随其处理情境的不同而变化，某些敏感信息在特定的处理情境下可能并不具有敏感性，也无需更严格的保护[26]11。因而，即使是立法明确规定的个人敏感信息，在某些情况下仍需结合具体情境、信息处理目的等因素加以判断。

对于尚未被立法明文规定为敏感信息但符合敏感信息特性的，是否应将其纳入敏感信息范畴应综合考量以下因素：信息是否会造成损害、信息导致损害的概率、信任关系的存在与否以及是否反映了大多数人的担忧[32]。我国学者亦主张判定个人信息的敏感性除考察信息本身外，还要综合评价信息处理的具体情况，诸如信息控制者的利益、信息接受者收集和处理信息的目的、信息处理的特定情形以及信息处理对相关当事人的影响等[33]。可以看出，敏感信息范围的妥当界定需要综合考量信息主体与信息处理者之间的利益关系，其实质在于如何合理平衡信息保护与信息利用这两大基本价值。从信息保护方面来说，需要考量信息与信息主体联系的紧密性、信息造成伤害的可能性及严重性等；从信息利用方面来说，需要考量信息收集的目的、信息处理的正当性等。不同考量因素具有不同的作用力度，或指向信息主体一方或指向信息处理者一方，特定个案中哪些因素将被纳入、各因素作用力度的大小等须视具体情境加以判定，以期达致妥适的利益平衡状态。

四、个人敏感信息法律保护的必要性

1.平衡信息保护与信息利用

个人信息所承载的价值和利益具有多元性，除信息主体的人格尊严和自由外，个人信息还承载着使用者利益和社会公共利益。个人信息保护规则一方面要保护个人利益，避免不法信息收集或利用行为对个人造成侵害；另一方面也要保障个人信息的合法收集和使用行为以维护使用者的合法利益，促进公共利益的实现[34]。近年来，个人信息侵权现象频发的根本原因在于信息保护与信息利用之间的失衡，有关个人信息的立法呈现出或偏重于信息保护或偏重于信息利用的两极趋势。实际上，信息自主与信息自由同属受到法律保障的基本权利，两者具有相同的位阶，并无优劣之分，个人信息保护立法需要妥当调和信息保护与信息利用之间的关系[35]。

大数据时代，以海量信息为支撑的信息处理技术决定了个人信息兼具个体性与社会性。一方面，个人信息是直接识别或与其他信息结合可识别特定个体的信息，与人的主体性地位及人格尊严密切关联，这一特性要求他人应尊重信息主体的个人信息，不得非法处理。同时，个人信息还具有社会性，具体表现在社会交往与社会发展两个方面。互联时代人与人之间的信息往来日益频繁，出于人际交往的需要，信息主体须将相关信息告知他人以便构建一定的联系。另一方面，社会的有序发展离不开个人信息提供的动力支撑，一味强调信息的保护而忽视信息的利用将阻碍正常的经济发展和生活秩序，在合理范围内促进信息自由流通既符合信息主体利益也符合社会公共利益[36]。目前，我国立法对于个人信息没有明确采取权利保护模式，可能使得对于个人信息的保护力度不够充分，明确将个人敏感信息制度化具有很强的宣示意义，能够在一定程度上威慑信息处理者的不当行为。故此，有必要区别规制敏感信息与一般信息以实现信息保护与信息利用的平衡。简言之，对于敏感信息应给予更严格的法律保护，而对于一般信息则适当降低保护门槛，以免阻碍正常的信息流动与利用。

2.缓和知情同意规则适用的僵硬性

现阶段，同意作为信息处理的合法性基础已成为诸多国家(地区)个人信息保护立法、司法实践的普遍做法，然而，随着大数据时代大规模的信息处理行为不断增长，同意作为信息处理的正当性基础受到挑战。有效的同意以信息主体充分了解相关事项为前提，实践中信息主体为节约时间成本很少或几乎不会仔细阅读信息处理者提供的隐私政策，或者信息主体受限于专业知识的匮乏难以充分理解相关条款，诸如此类因素降低了同意的效力性。面对处于优势地位的信息处理者，信息主体即使充分理解相关条款也很难有绝对的选择权，大多数情况下，信息主体为获得信息处理者提供的应用服务不得不接受不甚合理的隐私政策。对于信息处理者来说，事无巨细地获取信息主体的同意存在较大难度，繁琐的同意程序阻碍了信息自由流通，不利于信息技术及信息经济的发展。

面对知情同意规则的现实困境，理论界主张放弃信息处理过程中知情同意规则正当性地位的声音愈来愈多。比较法上，1999年美国国会通过的《格莱姆里奇布莱利法案》(The Gramm-Leach-Bliley-Act，GLBA)确立了“选择退出”(Opt-out)机制，宣称金融机构在一定情形下可以向非关联第三方提供非公开的个人信息，除非消费者事先明确表示禁止该信息披露给第三人。 此后，“选择退出”机制在个人信息保护领域日益受到重视，并发展为美国个人信息处理活动的指导性原则。“选择退出”机制允许信息处理者在未经信息主体同意或授权的情形下处理他人的个人信息，除非信息主体明确表示反对信息处理活动。毋庸置疑，“选择退出”机制为美国信息产业的发展创造了有利条件，但就我国而言，“选择退出”机制无法也不应当成为知情同意规则的替代物，罔顾信息主体合法权益的保护而一味追求信息经济的发展显然违背了我国个人信息保护的立法初衷。

大数据时代知情同意规则确实产生了诸多弊端，但“一刀切”地否定同意要件的正当性未免行之过远。我国现行法律体系中，《网络安全法》第41条、《民法典》第1035条等相关规范均强调对于信息的处理应当获取信息主体的同意，表明我国立法仍承认知情同意规则在信息处理过程中具有举足轻重的作用，若全盘否定同意要件不符合法的安定性考量。同意是信息主体在全面评估相关风险之后做出的允许信息处理者处理其个人信息的意思表示，是意思自治原则在个人信息领域的具象表达，保障了信息主体对个人信息的自主控制与支配。知情同意规则在大数据时代遭遇困境的根本原因在于传统的知情同意规则忽视了个人信息的差异性，个人信息范围广泛、类型众多，信息处理行为亦涉及多样化的情境，因之个人信息面临的风险是不同的，忽略上述多样性和复杂性而寻求整齐划一的同意规则是不合理的[37]。对此，较为妥当的做法是根据信息的差异性区别适用同意规则，以信息敏感度为标准将个人信息界分为敏感信息与一般信息进而适用不同的同意规则可以缓和知情同意规则面临的尴尬处境。具体来说，对于敏感信息应设置更高的同意标准，处理敏感信息须事先获得信息主体明示的同意，否则该信息处理行为即是不正当的；而对于一般信息则可以相对淡化同意要求，信息主体未明确表示拒绝的即为正当的信息处理行为。

五、个人敏感信息的保护规则

1.个人敏感信息保护的比较法考察

随着互联网的普及与广泛应用，大规模收集个人信息日趋常态化，在信息主体的一系列个人信息中，尤以敏感信息与人格尊严及人格形象最为紧密，统一规制个人信息的立法理念弱化了敏感信息的保护。对此，比较法深刻地揭示出，区分规制一般信息与敏感信息实有必要。受法律传统及法律文化的影响，个人敏感信息的法律保护以欧盟统一立法与美国分散式立法为主导。欧盟大多将个人敏感信息纳入专门的个人信息保护法进行调整，美国由于不存在统一的个人信息保护法，亦没有“敏感信息”或“禁止处理的信息”这样的一般性限制，其对于“敏感信息”的保护主要规定在各行业分散式的立法中，且不同领域立法规定的敏感信息范围不尽相同[14]194。

在保护方式上，欧盟认为应当严格禁止个人敏感信息的处理，除非存在法律规定的例外情形。美国虽然不存在明确的敏感信息分类，但存在一些类似的限制性规定，具体体现在不得以敏感信息作为做出某些决定的依据，否则将被视为歧视性决定[38]。虽然美国与欧盟都对个人敏感信息作了特别规定，但两者保护敏感信息的原因是不同的，美国侧重于防止因滥用敏感信息可能导致的严重经济风险，欧盟则认为个人信息保护是一项基本的人权，即使没有严重的经济或人身伤害风险仍应对敏感信息进行强有力的保护[39]。基于此种理念，欧盟对敏感信息采取的保护措施更为严格，能够有效阻止不当处理敏感信息的行为。

2.我国个人敏感信息的保护规则

(1)原则上禁止处理

区分规制敏感信息与一般信息的目的在于二者的保护方式与保护程度不同，相较于一般信息，法律应对敏感信息的收集、处理和利用给予更高的注意及特殊保护。对此，各国立法明确规定禁止处理敏感信息，根据禁止处理的效力范围，可分为完全禁止处理与不完全禁止处理。完全禁止处理指绝对禁止处理敏感信息且不存在任何除外事由，我国《征信业管理条例》第14条采取的即是完全禁止处理规则，根据该条之规定，禁止征信机构采集基因、指纹、血型等敏感信息且未规定任何除外事由，这意味着只要征信机构采集上述敏感信息均是不正当的信息处理行为。完全禁止处理规则能够为敏感信息提供绝对的保护，但正如前文所述，某些情境下敏感信息的合理利用具有正当性，全面禁止处理敏感信息不符合现实。

我国现行规范大多采取的是不完全禁止处理规则，即原则上禁止处理敏感信息，但允许特殊情况下有限地处理。譬如，《信息安全技术指南》规定原则上禁止收集敏感信息，但信息主体明示同意的除外，换言之，《信息安全技术指南》有条件地承认某些情况下处理敏感信息的正当性。相较于完全禁止处理规则，不完全禁止处理采取一种更为折中的方式保护敏感信息，既强调敏感信息的不可侵犯性，亦承认特殊情况下处理敏感信息的正当性，在保护敏感信息的同时满足了社会需求，是较为理想的路径选择，因而为现行大多数立法所遵循。

关于处理敏感信息的例外情形，欧盟《一般数据保护条例》第9条第2款规定，信息处理者可以处理敏感信息的事由包括信息主体的明确同意、保障信息主体或他人重大利益、实现公共利益等。根据我国《个人信息保护法》第13条、第28条以及第29条之规定可知，收集个人敏感信息应当具有特定的目的和充分的必要性、采取严格的保护措施以及获得信息主体的单独同意或者法律法规规定的其他情形。须注意的是，即使法律明确规定某些情况下可以处理敏感信息，信息处理者仍须遵循基本的信息处理规则，诸如公开原则、目的限制原则等。

(2)依据敏感度的差异区别保护

不同类型的敏感信息所具有的敏感性存在差异，相应地，信息处理者在处理不同敏感程度的个人敏感信息时，给信息主体造成的影响亦不一致，因此，应根据信息敏感度的差异给予不同程度的保护。一般来说，与人格尊严关系越紧密的敏感信息其敏感度越高，如基因信息或生物识别信息，应提供较之于其他敏感信息更为严格的保护。有学者依据敏感度的差异将个人信息分为4个等级，即高度敏感信息、敏感信息、轻微敏感信息和不敏感信息，并据此设计不同的保护措施[40]。欧盟《一般数据保护条例》第9条在列举敏感信息种类时亦将敏感信息分为3个层次：禁止泄露种族、政治观点、宗教信仰、哲学信仰、工会资格等信息；禁止以识别为目的处理基因信息、生物识别信息；禁止处理健康信息、性生活、性取向等信息。在国家立法层面，奥地利、法国和意大利认为基因信息具有高度的敏感性，应给予更高的保护程度；匈牙利认为关于种族或民族、政治观点、党派关系或宗教信仰的个人信息更为敏感；丹麦则认为与“政治事务”有关的个人信息更为敏感，应加强法律保护[25]5-6。值得注意的是，即使是同一类别的敏感信息，其所涵括的各类子信息也可能存在敏感度的不同。以“健康信息”为例，艾滋病毒携带者这一个人信息可能较之于患有普通感冒等常见疾病的医疗信息更为敏感，因而需要更为严格的保护措施。

现阶段，我国相关规范虽未明文规定依据敏感度的差异区别保护敏感信息，但从中可提出区别对待理念。2017年出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条在认定侵犯公民个人信息罪“情节严重”时，对于不同的敏感信息规定了不同的数量要求，一定意义上认可了敏感信息内部存在敏感性的差异。根据敏感信息内含的敏感性的不同给予不同程度的保护不仅符合敏感信息现实差异性的客观情况，也契合“相同事物相同对待、不同事物区别对待”的朴素正义观，且细化敏感信息的保护规则更能兼顾信息主体与信息处理者的双方利益。

关于个人敏感信息等级的划分，需要完善现行规定中的影响性评估制度，根据《个人信息保护法》第55条、第56条之规定，信息处理者在处理个人敏感信息之前应当进行个人信息保护影响性评估，评估的内容包括信息处理的目的、方式、对个人权益的影响等。影响性评估制度为判断后续信息处理引发的风险是否高于应有程度的风险提供了衡量工具，但其主要关注事前评估，无法周延地保护信息主体的合法权益。因此，有必要完善影响性评估制度，建立个人信息处理全生命周期的影响性评估机制，即事前、事中、事后全方位的动态评估机制，并将评估的风险依据一定的标准划分为不同的等级，进而根据不同程度的风险采取不同的处理措施，如果风险等级较高，则应当严格限制敏感信息的处理；反之，信息处理者可以在一定范围内合理利用敏感信息。个人信息的敏感度作为价值评价的产物，实践中如何衡量信息敏感度的差异并给予不同程度的保护，需要结合个案具体情境进行综合判断。

六、结 语

以海量信息为基础的大数据处理技术涉及社会生活各个方面，个人信息保护理念也从单方面强调信息主体利益转向平衡兼顾信息主体利益与信息处理者利益。面对多元的利益诉求，统一规制个人信息的制度设计显得捉襟见肘。依据信息敏感度的差异区别对待敏感信息与一般信息则可实现信息保护与信息利用之间的动态平衡，缓和同意要件适用的僵硬性。

在具体的保护方式上，个人敏感信息因与信息主体的人格权益密切关联，应当仅于某些情况下方得允许他人处理，防止不当侵害信息主体的利益。需注意的是，个人敏感信息内部呈现差异化的构造，不同类型的敏感信息具有不同程度的敏感性，这要求法律应根据不同的敏感度给予不同程度的保护，以期更精细化地兼顾双方利益。除了实体层面精细的规则设计外，尚需程序法提供相应的保障措施，从而构建完善的个人敏感信息法律保护体系。