欧盟警务领域敏感个人数据的保护机制研究

栾兴良 陈泓昊

(中南财经政法大学刑事司法学院 武汉 430073)

0 引 言

随着警务技术的发展，敏感个人数据在警务治理中发挥着不可或缺的作用。尤其是生物识别数据常常成为案件侦破的胜负手。正是由于这种独特价值，敏感个人数据极易被警察部门过度收集、处理乃至滥用，进而严重威胁相关数据主体的权利和自由。因此，对敏感个人数据进行更高程度的保障已成为普遍共识。欧盟前支柱结构导致其在警务领域形成了专门的数据保护立法，并在敏感个人数据保护方面累积了丰富的制度经验。考察和借鉴欧盟的相关做法，有利于提高我国警务领域的数据合规水平。

1 欧盟警务领域敏感个人数据的概念

1.1 内涵

长期以来，敏感个人数据的概念一直是数据保护框架的核心。当前欧盟警务领域的数据保护立法未对敏感个人数据进行界定，而是通过列举方式框定了其种类范围。根据《欧盟2016/680号指令》及相关立法规定，敏感个人数据包括：揭示种族或族裔出身、政治观点、宗教或哲学信仰或工会成员身份的个人数据；以及处理能够识别特定自然人的基因数据、生物特征数据，健康数据或自然人性生活或性取向的数据；关于刑事定罪和犯罪或相关安全措施的数据。上述种类范围表明欧盟相关立法是以客观权益侵害风险为法律基准来界定敏感个人数据的，在此意义上，该概念可以理解为一旦泄露、非经授权访问或滥用可能会导致个人声誉、身心健康、财产受到损害，数据失密、失控以及歧视等其他重大的经济或社会劣势的个人数据。

1.2 外延

历史地看，随着欧盟警务领域数据保护立法的演进，敏感个人数据的范围逐渐扩大(见表1)。《经合组织个人数据隐私和跨境流动保护指南》最早规定了敏感个人数据的概念，但未明确其类别。自1981年《108号公约》规定的“种族出身”“政治观点”“宗教或其他信仰”“健康情况”“性生活”以及“刑事定罪”有关的6类敏感个人数据始至《108号公约+》，后续立法先后增加了“族裔血统”“哲学信仰”“工会会员身份”“基因数据”“生物识别数据”“性取向”“与犯罪、刑事诉讼以及相关安全措施相关的个人数据”等新类别。此外，数据保护立法还规定了准敏感个人数据——与特定类别数据主体有关的数据[1]，对其处理应适用同等程度的保障。敏感个人数据范围的扩张由以下几个因素导致：a.技术进步。生物识别数据即是技术发展催生的敏感个人数据类型，相关立法对生物识别数据术语的宽泛定义隐含地承认生物识别技术是相对新兴的，并将继续发展。b.宪制性法律的推动。警务领域数据保护次级立法对《欧盟运作条约》《欧盟基本权利宪章》等宪制性法律相关规定的落实。如关于性取向数据的规定。c.成员国的推动。立法规定的开放性以及各成员国法律与文化的差异，导致成员国在敏感个人数据类别规定上的多元化，这为欧盟增加敏感个人数据类别提供了立法经验。

表1 欧盟相关法律文件对警务领域敏感个人数据范围的规定

1.3 逻辑

以“客观权益侵害风险”为法律基准划定敏感个人数据范围与类别是欧盟数据保护立法的内在逻辑。正如29条工作组意见所示，以特殊方式保护敏感个人数据的正当性基础来自这样一种假设，即滥用这些数据可能比滥用“正常”个人数据对个人基本权利产生更严重的后果[2]。在欧盟数据保护立法厘定的敏感个人数据类别中，多数属于毫无争议的“绝对敏感”个人数据，依据是其披露或滥用可能给数据主体带来不可逆转的重大风险，无论基于何种目的或何种场景处理该类数据，均不改变其敏感性质。对此类数据而言，处理的目的或场景只能用来评估对其处理的必要性或相称性，而不能作为其是否敏感的依据。

还有少数类别是“相对敏感”，其敏感与否取决于处理目的或应用场景。只有在特定目的或场景下处理此类数据才可产生与处理“绝对敏感”数据相似的风险。前者如基于一般个人数据或非个人数据进行数据画像分析来获得敏感个人数据的情形。后者如生物识别数据。当生物数据被用于个体识别场景时即为敏感个人数据，于其他场景则不是。此方法能够避免照片或视觉图像等数据被自动认定为敏感个人数据[3]。 概言之，以场景或目的为判断基准是欧盟界定“相对敏感”数据的基本逻辑。

2 欧盟警务领域敏感个人数据的一般保护机制

欧盟警务领域敏感个人数据的一般保护机制是既适用于一般个人数据保护，也适用于敏感个人数据保护的保障机制。

2.1 基于数据保护原则的保护机制

就警务领域敏感个人数据的保护而言，欧盟立法者认为以下数据保护原则可为数据主体提供更多的额外保障。

2.1.1目的限制原则

目的限制原则是数据保护法的基石，其被赋予额外的权利保障期待，即通过明确、具体的目的限制来压缩警察部门处理敏感个人数据的适用空间。29条工作组有关《欧盟2016/680号指令》的意见指出，警察部门处理敏感个人数据需要对数据处理目的进行额外限制，“如限定适用的犯罪类别，在预防措施的情况下应存在迫在眉睫的危险。”有少数欧盟成员国对《欧盟2016/680号指令》的转换立法采纳了这一思路。

2.1.2数据最小化原则

数据最小化原则同样被欧盟赋予额外权利保障的期望。该原则要求警察部门应将个人数据的收集限制在与实现特定目的直接相关和必要的范围内。其中，“特定目标”应在目的限制原则之下理解，目标应尽可能清晰明确。“直接相关”要求手段对目标实现具有适当性。正如欧盟数据保护专员公署示例，“用于识别目的，两个指纹就足够；用于犯罪调查目的，可能需要更多指纹。”[4]“必要的范围”包括数据数量限制与存储时间限制两个维度，分别规范数据收集和存储环节。欧盟警务领域数据保护立法及有关特定系统的数据保护文件均规定了这一原则。

2.1.3数据准确性原则

数据准确性原则是保障敏感个人数据，特别是生物识别数据的重要原则。综合解读欧盟立法以及欧盟数据保护专员公署的意见，该原则涉及以下要素：a.准确性。根据欧盟数据保护专员公署的理解，“生物统计学的准确性总是要与其他因素联系起来，因为它不是永远绝对的。”[5]作为对该意见的回应，《申根信息系统II条例》将之限定为“任何不可更改的、特定的、客观的身体特征”。b.目标。提高生物识别数据的准确度旨在防范错误识别对人的尊严的侵犯。c.控制机制。《(EC)1987/2006号条例》第22条规定，在SIS II系统输入生物特征数据应通过特殊质量检查。d.问责制。数据处理者应对输入或使用不准确的数据造成的人员伤害负责。根据《(EC)1987/2006号条例》第48条第1款规定，责任者包括N.SISII的使用者及发出警报的成员国。

2.2 数据保护影响评估机制

数据保护影响评估是指评估个人数据处理的必要性与相称性，并管理因处理个人数据而对自然人的权利和自由造成风险的机制安排[6]。通过该机制，警察部门可以确立、展示和证明数据处理的合规性。

2.2.1数据保护影响评估的保障作用

根据欧盟警务领域数据保护立法规定，处理敏感个人数据即应启动数据保护影响评估，而无需其他条件。在因其他原因启动的数据保护影响评估中，个人数据敏感与否是判断数据处理负面影响的客观标准之一。最后，数据画像等新技术时常涉及敏感个人数据的处理，因此，基于新技术事由启动的数据保护影响评估机制也会覆盖该类数据保护。

2.2.2数据保护影响评估的基本内容与步骤

a.对设想的处理操作的一般描述。这里的“设想的处理操作”，既包括实施前的处理操作，也包括正在进行的处理操作，换角度言之，数据保护影响应该持续审查并定期重新评估[7]。 b.对数据主体权利和自由所面临风险的评估。从《欧盟2016/680号指令》序言(55)规定来看，数据保护影响评估应重点关注对数据主体的歧视、对个人尊严或身体完整性的伤害、性生活或性取向受到影响、被有罪推定等负面影响。c.解决这些风险而设想的措施。详细描述所设想的措施，并客观地对其进行相称性评估。d.告知。若采取了保障措施，仍存在较高的剩余风险的，警察部门应告知监管机构使用了新技术。

2.3 监督救济机制

2.3.1DPAs的监督机制

数据保护监督机构(DPAs)享有广泛的监督职权，涵盖了对警察部门处理敏感个人数据行为的监督。a.事前咨询。警察部门处理敏感个人数据对数据主体的权利构成具体风险的，应事前向DPAs征求意见。欧盟数据保护专员公署的统计显示，此类事前咨询分列第一和第三位，足见其保障效果。b.行政命令。DPAs有权命令警察部门遵守敏感个人数据的相关立法。欧盟数据保护专员公署与欧洲刑警组织在保留缺乏数据主体分类的数据集问题上的激烈交锋生动展现了DPAs的作用[8]。c.投诉受理。DPAs可受理数据主体就警察部门处理敏感个人数据方面的投诉，并进行调查处理。

2.3.2司法救济机制

欧洲两大法院以及欧盟成员国法院在保护敏感个人数据方面发挥着独特作用。a.在开创性案例中，欧洲人权法院似乎将规范敏感个人数据的法律看作是“目的本身”[9],而非手段，这一认识转变对敏感个人数据的保护具有重要价值。b.欧盟法院多次判决欧盟与美国的数据传输协议无效，这为欧盟对外数据传输划定了数据保护红线。在此背景下，欧盟已签订或谈判中的相关协议都特别纳入了敏感个人数据的保障措施。c.依成员国立法，法院可通过司法令状审查并控制警察部门处理敏感个人数据的行为。

3 欧盟警务领域敏感个人数据的特殊保护机制

所谓特殊保护机制是针对敏感个人数据所建构的特殊保障措施，包括禁止处理敏感个人数据原则及其例外的规制。

3.1 禁止处理敏感个人数据原则

考虑到警察部门处理敏感个人数据对个人权利和自由造成的高度风险，欧盟相关立法确立了禁止处理敏感个人数据原则。

3.1.1一般禁止原则

一般禁止原则是指警察部门原则上不得收集、存储、分析、转移在性质上揭示或涉及个人敏感信息特征、属性的个人数据。该原则是防范风险的防火墙，对敏感个人数据保护具有决定性意义。因为没有处理即无风险。

一般禁止原则最早由《108号公约》第6条所确立，后为1987年《规范警察部门个人数据使用的R(87)15号建议》《EC/95/46号指令》《通用数据保护条例》所沿袭。有趣的是，《欧盟2016/680号指令》等警务领域数据保护专门立法均未接受这一原则。欧盟理事会对此解释说，有成员国认为绝对禁止处理敏感数据的规定影响太深，而且不切实际。特别在执法和预防威胁方面，有必要以各种方式处理敏感数据[10]。基于此立场，立法者将立法重心由禁止处理转向对处理的控制。尽管如此，一般禁止原则仍然发挥着重要作用。首先，《欧盟2016/680号指令》序言(23)规定，原则上禁止基于遗传特征的任何歧视。某种程度上可以理解为禁止此类数据的处理。其次，欧盟分裂的数据保护法律框架造成诸多模糊地带[11]，《通用数据保护条例》规定的一般禁止原则透过对私人部门行为的调整，间接影响其向警察部门传输的数据的性质。最后，仍有特定警务领域数据保护立法规定了一般禁止原则。如《欧盟2016/681号指令》第6条规定，成员国应禁止处理揭示敏感信息的PNR数据。

3.1.2特殊技术下禁止原则

特殊技术下禁止原则是指禁止警察部门在特定技术场景下处理敏感个人数据。特定技术场景是这一原则的核心要素。综合解读欧盟数据保护立法，特定技术主要涉及画像分析(profiling)与自动化决策。画像分析是指收集个人数据，评估其特征或行为模式，以便将其归入某个类别或群体，以进行分析或预测。自动化决策是指在没有人工或部分人工参与的情况下，通过技术手段做出的决策。自动化决策与画像分析相关但不相同。一方面，自动化决策可以不通过画像分析进行，反之亦然。另一方面，自动化决策可能与画像分析重叠或基于其而产生。《通用数据保护条例》序言(71)、第22条以及《欧盟2016/680号指令》第11条对两者关系的制度安排凸显了这一复杂关系。

欧盟立法者对特殊技术下禁止原则的态度前后矛盾。联合解读《2008/977/JHA号框架决定》第6条和第7条之规定，可推知该法允许基于敏感个人数据对数据主体进行“画像”。《CM/Rec(2010)13号建议》出台后，后续颁布的《欧盟2016/680号指令》《警察部门使用个人数据的实践指南》均与该建议保持一致，即禁止在自动化或画像分析场景下处理敏感个人数据。对欧盟而言，在预测警务、监控警务大行其道的当下，特殊技术下禁止原则有助于防范敏感个人数据处理引发的各类权利风险以及对无罪推定原则的侵蚀。

3.2 克减敏感个人数据保护的规制机制

3.2.1对一般禁止原则例外的规制

综合欧盟警务领域数据保护立法来看，作为一般禁止原则的例外，警察部门处理敏感个人数据需遵循基本权利限制制度，并提供适当的保障措施。

a.基本权利限制之限制机制。警察部门处理敏感个人数据构成对数据保护权或尊重私人生活权这一基本权利的干涉，应遵循《欧盟基本权利宪章》第52条第(1)款以及《欧洲人权公约》第8条第2款之规定。具体包括：第一，依法原则。这一原则为所有数据保护立法所确认，根据欧洲两大法院的判例法及相关文件规定，依法原则包括3个质量标准：明确、可预见以及可访问。按照可预见标准，限制数据主体权利或控制者义务范围的立法措施对数据主体应确实可见。明确标准要求个人充分理解数据控制者进行任何权利限制的情况和条件。可访问标准，即相关法律应该公开，个人可以访问与查阅。第二，尊重权利本质。尊重权利本质在《欧盟基本权利宪章》以及警务领域数据保护次级立法中均有规定，权利本质代表着一项基本权利不可触及的核心或内核，不能被削弱、限制或干涉[12]。“在目前的判例中，欧盟法院和欧洲人权法院似乎采用了一种经验法则，而不是一种精心设计的方法论工具，以便系统地确定是否存在对基本权利的侵犯。”[13]从实践来看，其实质保障作用主要依赖法院的判例实现。第三，比例原则。这里的比例原则由合法目标、绝对必要原则与相称原则构成。就警察部门而言，处理敏感个人数据的合法目标主要包括：犯罪预防或犯罪调查目的，保护数据主体或其他自然人的重大利益等。绝对必要原则不等于必要原则，根据29条工作组意见以及欧盟法院的最新判例，绝对必要原则呼吁在处理特殊类别数据的情况下特别注意必要性原则，以及预见处理此类数据的精确和特别可靠的理由。相称原则在敏感个人数据保护语境中除去其基本含义外，还指这些保障措施要与所涉及的风险以及要保护的利益、权利和自由或数据性质相适应。

b. 适当的组织和技术措施。技术和组织措施描述了组织处理数据安全的具体方式[14]。是法律保障措施的配套制度，旨在防范或减轻两种主要风险：一种风险来自对个人数据未经授权的访问、披露和滥用；另一种风险来自数据安全漏洞或脆弱性导致的意外或非法破坏，或意外损失、更改。除一般的保障措施外，根据《欧盟2016/680号指令》序言(37)所述，针对敏感个人数据的组织和技术措施包括：第一，仅为结合有关自然人的其他数据收集这些数据；第二，确保所收集的数据安全的可能性；第三，对主管人员的数据访问制定更严格的规则和禁止传输敏感个人数据。

根据欧盟警务领域数据保护次级立法的规定，为了检验技术与组织措施的适当性，可以进行数据保护影响评估。如果这些保障措施足以保护个人免受歧视风险或对数据主体的权利和自由产生《宪章》第21条所禁止的重大不利影响，那么这些保障措施就是适当的[15]。

3.2.2对特定技术下禁止原则例外的规制

警务领域适用自动化技术处理敏感个人数据可能对数据主体的权利和自由造成重大风险，因此在上述保障措施之外，欧盟立法还规定了额外的具有针对性的保障机制。

a.人工干预机制。根据欧盟相关数据保护立法，在使用个人数据进行自动化决策的场景中，应确立人工干预机制。人工干预机制的前提是数据主体有权不接受警察部门仅基于自动化处理的评估而对其做出的不利的或重大法律影响的决定。该机制由信息通知机制和陈述申辩机制组成。信息通知机制要求警察部门向数据主体提供敏感个人数据应用自动化决策的具体信息，并告知其具体的救济程序。陈述申辩机制保障数据主体可以表达观点以作出解释或反对该决定。

b.隐私增强技术。隐私增强技术是指一个总括性术语，描述了在使用过程中负责数据安全的技术。使用隐私增强技术可以尽量减少个人数据的收集和使用，促进对数据保护规则的遵守。

根据《警察部门使用个人数据的实践指南》第4部分的说明，画像分析背景下收集和处理敏感数据，在一般保障措施外，可以使用隐私增强技术。目前可适用的隐私增强技术包括匿名化、假名化、差别隐私、合成数据、加密、隐私增强硬件、管理接口、多方计算等。

c.检查监督机制。综合解读《警察部门使用个人数据的实践指南》《2016/679条例中的个人自动决策和画像分析指南》等欧盟数据保护文件的规定，检查监督机制是处理敏感个人数据的重要保护机制。该机制的规范对象包括数据处理系统和数据处理行为，通过定期或更频密的检查监督，确保数据主体不因敏感个人数据或其他原因而受到歧视。此外，该机制某种程度上可以增强数据保护影响评估机制的实施成效。

d. 算法审计机制。从社会和道德的角度来看，设计技术规范和实际构建或实施应用程序或操作系统的人对数据保护方面也负有一定责任[16]。基于此立场，欧盟立法者建议实施算法审计机制。第一，内部审计。由数据控制者对自动化决策或画像分析的算法进行审计，以验证其是否按设计预期运行，是否会产生歧视性、错误或不合理的结果；第二，外部审计。由于画像分析的决策对个人影响较大，可由独立的第三方审计，数据控制者应向审计单位提供有关算法如何工作的所有必要信息。获得第三方算法的合同保证，即已进行审计和测试，且算法符合商定的标准。

4 评价及启示

检视欧盟警务领域敏感个人数据的保护机制，可资我国相关制度之完善。

4.1 科学界定敏感个人信息的范围

欧盟警务领域数据保护立法对敏感个人数据的列举式规定，在提供最大程度确定性的同时牺牲了灵活性。尽管如此，有关哲学信仰、健康等数据类别仍存在明确性不足的问题。“在LED适用过程中面对的挑战主要涉及大数据、人工智能和人脸识别，这些新技术的运行往往涉及敏感个人数据。”[17]技术进步导致敏感个人数据的潜在范围不断扩大，欧盟的封闭式清单难以应对这一挑战。此外，该概念还面临异质性风险。《欧盟2016/680号指令》序言(15)、《108号公约》解释性报告允许成员国建立新的敏感个人数据，由此带来的概念异质性可能阻碍警察部门在泛欧盟领域内进行数据交换或转移。

我国个人信息保护法以“客观权益侵害风险”为法律基准，以“列举定义+等外”的涵盖模式界定敏感个人信息[18]。 该定义方式对技术发展有更强适应性，但也导致概念的确定性不足，灵活性“有余”的适用困境。

就已列出的类别而言，我国敏感个人信息的防范对象不仅包括“人格尊严”，而且包括“人身、财产安全”[19]。保护的敏感个人信息类型多、范围广。不足的是，当前清单的类别过少，与警务领域所涉敏感个人信息的范围严重不成比例。就“等外”而言，由于我国目前不存在通过判例法来解释“等外”的可能性，实践中，“等外”模式极易异化为“等内”模式，反而为警察部门规避敏感个人信息保护规则提供了依据。解决以上问题：一是要增加敏感个人信息的列举范围，尤其增加与警务领域相关的敏感个人信息类别，提高此概念的法律确定性；二是明确敏感个人信息的判断标准。建议在客观权益侵害风险基础上，引入欧盟基于目的和基于场景的界定方法，提高“等外”模式的适用性。

4.2 平衡警务领域敏感个人信息利用与保护的关系

欧盟警务领域数据保护立法对待敏感个人数据的态度经历了从绝对保护到相对保护，再到相对保护局部趋紧的两次转变。第一次转变的主要动因是立法者意识到不可能无视敏感个人数据在预防和打击犯罪方面的巨大功用而禁止其处理，因此积极促成此类数据在欧盟内的共享与流动。在不受《欧盟2016/680号指令》调整的数据交换领域，欧盟范围内的信息系统(VISA、EURODAC等)中使用生物识别数据的趋势正在稳步增长[5]。 第二次转变是因为数据画像、自动化决策等特定技术引发的深层次或规模化权利危机必须予以干预，形成相对保护下的局部绝对保护。但绝对保护与相对保护只是释放的政治信号不同，其基本方法在本质上并无差异，即禁止无条件地处理敏感个人数据。因此，欧盟警务领域数据保护的重心逐渐转向对“处理条件”的建构与完善。由此可见，即便怀抱输出欧盟模式野心的欧洲立法者，也必须在具体执法场景中寻求敏感个人数据利用与保护的平衡。

在我国，生物识别、行踪轨迹、金融账户等敏感个人信息正成为支撑警察部门精准预测和快速打击犯罪的核心数据。一方面，在公共安全优先的价值导向下，公安机关对敏感个人信息的处理具有任意性、普遍性特征；另一方面，警察部门在敏感个人信息利用方面还面临诸多限制。现行个人信息保护法未禁止敏感个人信息处理，但明确了处理条件。由于其更多聚焦企业的信息处理行为，该法适用于警务领域时，可能导致信息保护的过当。因此，应该构建警务领域敏感个人信息保护的专门性规则，处理好适度利用与严格保护的关系。此外，以敏感个人信息的合理利用为目标，强化警察部门在数据传输与共享以及信息系统使用方面对敏感个人信息的保障。

4.3 构建警务领域敏感个人信息的综合保护机制

从发展趋势看，《欧盟2016/680号指令》正悄然改变欧盟警务领域数据保护的法律生态。就敏感个人数据的保护而言，基本实现了“对特殊类别数据的特殊保障”。利用数据保护工具与监管工具，形成了覆盖警务领域敏感个人数据处理全周期的综合保障机制;通过“适当的组织和技术措施”强化了数据控制者责任，基本实现了基于责任制的立法转向；通过与第三国的数据传输合作，欧盟数据保护标准的溢出效应明显。

就我国而言，一要加强数据保护原则、个人信息保护影响评估等一般信息保护机制对敏感个人信息的针对性适用。通过执法细则或技术规范明确针对性规定的含义，提高其可操作性。二要完善我国个人信息权限制制度，为警察部门处理敏感个人信息设立适当门槛。同时明确对敏感个人信息具有额外保障效果的组织和技术措施的具体内容与实施机制。三要在对外传输敏感个人数据时应选择适当的合作渠道与机制，既要防止被来源方的数据保护标准束缚，又要防止目的方警察部门的滥用。