突发公共事件中敏感个人信息的保护研究
——冲突、困境和对策

王 聪 解陈薇

宿迁学院，江苏 宿迁 223800

在发生疫情、自然灾害、意外事故等突发公共事件的特殊时期，公共利益优先的大前提下，如何实现公共利益和个人利益的平衡、信息保护和信息共享之间的平衡，是一个既关系到个人切身利益又关系到国家社会稳定的大问题。突发公共事件中涉及的个人信息又有很多是个人的敏感信息，例如新冠患者、密接人员的行动轨迹、健康情况等。这类敏感信息的收集和分析为疫情防控起到了关键作用，如何保护相关信息，防止它们被非法使用进而损害公民权益也是非常必要的。

一、敏感个人信息的内涵及外延

敏感个人信息的内涵和外延在《个人信息保护法》中作了相关界定，包括不满14周岁未成年人的个人信息在内的诸多个人信息如生物识别信息、财产信息、健康生理信息、身份信息、其他信息等都属于敏感信息范畴，这种界定强化信息处理人员在敏感信息使用管理中的法律责任，从而更好地保护数据主体的权利。

我国《个人信息保护法》对敏感个人信息“等”一词的列举，应当采取“之外”的含义，但其所指的“等”字代表数量较多，不能一一罗列。虽然没有明确列出，但由于其在某些情况下，敏感度也很高，应当列入敏感个人信息的保护范围。但因为每个列举都含有很多具体的个体资料，因此不能被认为是一个非常完整和敏感的个人信息。所以，如果适用，仍然有必要对敏感的个人信息作出具体的判断。例如，虽然每个枚举中包含的个人信息都是保密的，但是某些判断仍然必须符合“敏感”的法律判断标准，且该定义的枚举范围很广，不指向特定信息。

二、我国敏感个人信息保护的现状

2012年发布的《互联网个人信息安全保护指南》指出，个人信息可以划分为敏感个人信息和非敏感信息。《信息安全技术隐私安全规范》（以下简称 《信息安全规范》），首次以官方定义的方式对我国敏感个人信息进行了界定。《个人信息保护法》颁布施行后，我国个人信息保护系统形成了以《网络安全法》《数据安全法》为基础，《个人信息保护法》并行的“三驾马车”保护体系。[1]除此之外，在新环境下的互联网服务平台中，2021年6月10日通过的《数据安全法》并未直接涉及敏感个人信息，所包含的数据范围及内涵远大于“个人信息”这一特定范围的数据，创立的数据分类分级保护制度也主要与国家安全、公共利益相关，对于敏感个人信息的分级与处理还有待未来配套法规规章进一步规定。[2]

关于敏感个人信息的定义和保护，《信息安全规范》在全国范围内统一执行的标准与《个人信息保护法》中对敏感个人信息的界定与处理的规定，仍存在一些不一致和混乱。《民法典》原则上没有将敏感信息与一般个人信息区分开来，《网络安全法》和《消费者权益保护法》的隐私条款没有区分敏感信息和一般个人信息。我国关于敏感隐私的特别规定主要在一些属于特定领域或行业法律的行政法规和部门规则中。

三、突发公共事件中敏感个人信息保护的现实困境

个人敏感信息问题在突发公共事件中会被进一步放大，究其原因从基层人员法律意识到上层制度问题同时存在。敏感个人信息的保护面临如下困境：

（一）大数据导致新型敏感信息出现

数字技术的发展与运用，使数据搜集的资料越来越丰富，数据收集、存储和处理的成本也在不断下降，个人信息的种类也越来越多，使得新型敏感信息出现。这种新型个人信息包括由用户的在线活动和电子设备使用产生的地理位置生成的轨迹信息，这些个人信息的范围不断扩展，以发现非结构化数据之间的相关性和规律。[3]例如，在疫情防控过程，病例调查面广、流转环节多、数据庞大，存在公民个人信息泄露风险，从而使不法分子非法利用。这种涉疫信息应纳入敏感信息范畴，都是通过用户电子设备使用产生的地理位置生成的行踪轨迹来整合形成一个特定主体的信息。而且，信息主体与微博、短视频平台、购物平台等数据平台共享个人敏感信息，也使其信息获取变得十分容易，原来单个的、零散的信息就可以匹配到特定的人，成为其全方位、系统的整体信息。

除此之外，现代社会中传统的敏感信息与非敏感信息之间的区别日益减少。在当今的大数据时代，判定相关的个人敏感信息是否真正属于个人敏感信息，是需要根据具体的现实情况以及信息行业的标准来进行衡量。而且随着对于数据的源头可以进行不限制地使用，人们能够很容易得到一个人的相关个人资料，因此使得个人信息的数据变为相应的敏感信息的可能性大大增加。由于个人的敏感信息的相关定义是非常模糊的存在，在现实生活中很难进行确定。目前，对于敏感信息的法律界定依然存在不确定性、不周延性以及模糊性。当今世界各国都在加强对于敏感信息的准确界定，以此更好保护人们的个人信息。因此，对于敏感信息的界定存在必要性。

（二）突发公共事件中个人敏感信息的利用与保护存在价值冲突

突发公共事件中个人敏感信息的双重属性决定了其利用和保护必然存在价值冲突。一是公共利益和个人信息自决的冲突；二是社会公众的知情权和个人信息安全的冲突。当突发公共事件发生时，为了体现社会利益优先的原则，对个人敏感信息的保护必然让位于社会利益。例如在突发公共卫生事件时，为了防止疫情的进一步扩散，必然要向社会公布相关患者的行动轨迹。根据《传染病防治法》第十二条、《突发公共卫生事件应急条例》第四十条规定，敏感信息主体对于涉及公共卫生安全事件防控的个人信息收集与利用负有配合的义务，任何人不得以个人利益优先为由拒绝配合防控工作。那么是否意味着这时信息主体没有保护敏感信息的权利呢？

（三）知情同意流于形式

《个人信息保护法》规定，信息收集者应在收集数据时，将数据如何使用、使用用途等相应的信息提前告知被收集者，方便他们对于此有事先的了解，以保护他们的知情权。信息的收集者通常是以隐私政策条款的形式向被告知者履行告知的义务，然后借助隐私政策来获得被收集者的同意。

但运营商如何通知用户、如何处理敏感个人信息方面的方式存在明显问题。信息收集者提供的隐私政策条款往往是内容繁杂、篇幅长，更有甚者内容缺失。篇幅长主要是因为信息收集者为了规避法律风险，在隐私政策中展示了所有相关信息。而在长句中由于缺少重要信息则使得阅读和理解有效信息变得非常困难。冗长而令人不快的阅读也意味着数据主体需要花费巨大的时间成本去阅读整个隐私条款，从而降低了公众的热情。由于热情降低，数据主体在面对这些隐私政策条款时往往会不假思索地直接拉到页面最底下，或者直接点击“已读完”，根本不会浪费时间阅读长条款。虽然非常方便和高效，但它使数据主体对隐私政策的条款内容一无所知，数据主体的“同意”只是一个应用于信息收集者为其提供的服务非常程序性的过程。“知情—同意”原则流于形式，个人权利本质上被忽视了。

四、突发公共事件中个人敏感信息的处理与保护建议

《个人信息保护法》第二十八条对个人敏感信息的规定较为笼统，需要在解释的基础上细化并明确相关概念的范围。

（一）明确个人敏感信息及其范围的界定

对个人敏感信息的界定主要分为以下三种路径：列举界定式、场景考量式和概念列举式。《个人信息保护法》的第二十八条中第一款项的规定是敏感的个人信息的法律依据，其概念体现出，具有敏感性的个人信息存在着被损害的危险。对此目前尚存在两个问题：一方面，针对具有机密性的个人信息相应风险界限的具体标准，并没有完全被明确，没有相应的解释说明；另一方面，个人机密信息的具体确定标准是不明确的，而且相关的标准以及学术讨论的仍然是风险的解释方面，其与风险的基础线之间存在着混同。有必要在《个人信息保护法》第二十八条第一款的基础上，对敏感个人信息的法律基准和范畴界定进行解释说明，围绕敏感个人信息的法律基准、风险维度作进一步分析，并在优化界定路径后提出敏感个人信息的具体判定标准。[4]

因此，我们应该回到建立敏感性个人信息的特殊制度的初衷上。正如欧盟《通用数据保护条例》（GDPR）宗旨中所描述的那样，对这些敏感信息进行处理以及处理状况都有可能会对个人的基本权利及自由造成重大损害，我们必须对个人机密信息进行特别的保护。由此可见，敏感个人信息其所包含的关键性要素必须是“损害的危险性”。由于具有潜在的重大危害，对于敏感个人信息与非敏感性个人信息的处理应是不相同的。我们可以给个人敏感信息框定一个精准的范围，并且把重点转向于数据的利用与处理阶段，考虑个人敏感信息在具体场景的使用是否能引发隐私风险，由此判断信息是否得到了合理使用。

（二）明确突发公共事件中个人敏感信息使用的原则和限度

经过较长时间的实践，我国对于突发公共事件中个人信息的合理收集和使用的水平确实在不断提高。根据《个人信息保护法》规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，才能处理敏感个人信息。因而在突发事件中，因为处理相关事件的需要而使用甚至公开个人敏感信息，必须将使用范围控制在使用目的所必需的范围内，不可过度收集和使用。

（三）落实“知情同意”规则

提高“通知同意”标准，要求软件运营商获得数据主体的授权同意。同时，如果隐私政策出现“如果您不同意，我们不会提供服务”的内容要求用户签订合同，或者含有模糊性条款，强迫或秘密强制同意的情况，应该视为因未征得数据主体同意而构成侵权的，是需要被裁决的行为。此外，针对一些以复杂和详细的方式设计协议，使普通用户无意识点击确认的，在特殊情况下，可以要求条款无效。“同意”应当是明确理解和批准经营者按照用户的真实意愿处理个人数据，“同意”为运营商处理个人信息奠定了法律基础，有助于合理预测处理过程和个人数据的处理结果，并合理管理个人信息[5]。为了强化对信息主体的个人敏感信息的保护，在处理个人敏感信息之前，应先征求其同意。对于一般个人信息和高度机密的个人信息必须区别对待，为了处理高度机密的个人信息，必须单独征得用户的同意。因此，仅凭用户对隐私政策的普遍同意并不能保证用户在处理敏感个人信息时的合法性。对于个人敏感信息的处理，原则上将就个人权益的影响和必要性另行公告，应根据一般通知提供关于必要性及其对个人权益的影响的其他信息。此外，用户有权随时撤销同意，撤销同意合法处理敏感个人信息应不会影响在撤销同意之前对敏感个人信息的合法处理。

（四）强化敏感个人信息司法保护

《个人信息保护法》第六十九条对侵犯一般个人信息的损害赔偿作出规定，并授予法院根据具体情况确定赔偿金额的权力，但本条并不完全确定侵犯个人信息的损害形式，也未明确实际情况。需要思考导致采取司法保护的侵犯个人信息的损害形式、敏感隐私侵权造成的各种实际损害的因素[6]。法律应充分保护个人敏感信息，在大数据环境中侵犯敏感个人信息，确定个人敏感信息的损害金额时，只要实际造成损害，就应该能够确定是否存在侵权行为。

加强敏感个人资料的保护，也要重视资料处理者与资料使用者之间的不对称性。资料使用者通常无法抵抗资料处理者，因而处于较弱的位置，须加重信息处理者的举证责任。如果数据主体举证的负担更大，当其无法提供证据来证明主张时，则会导致败诉的风险增加。此外数据主体起诉数据处理人所支付的合理费用应包含在一定程度上合理的赔偿范围内。

（五）提高基层工作人员的法律意识和素养，严格收集和使用程序

个人敏感信息保护需要有效统筹协调各个环节，不但要完善相关立法，还要从基层工作人员入手，提高他们法律意识和保密意识，严格收集程序，完善敏感个人信息的记录时间和记录内容，防止敏感信息泄露和滥用。在涉及疾病史、行程等特殊敏感信息的处理部门上，应当对有可能接触和泄露信息的部门和人员进行约束，同时对违法违规泄露信息的人员应当严厉惩处。