敏感个人信息的多维认定与严格保护

内容提要：为平衡数据保护与数据流通之间的内在张力，个人信息基于类型区分而呈现强弱有别的保护格局成为必要。域内外实证法依循风险进路对个人信息进行了一般与特殊（敏感）的二元内部区分。作为一种规范性描述，特殊与敏感可作同义替代。对敏感信息的客观认定是多种利益风险的交合和多元风险参数的耦合，包括法律直接规定、体系性风险评估、个人信息二元内涵架构透视和信息处理契约的场景化判断。敏感信息可能给信息主体带来更大的损害风险，故适用不同于一般信息的处理规则、受到更强力度的保护。敏感信息的强保护集中体现在更严格的同意标准、更严苛的责任原则和更严密的救济方式三方面。

关键词：敏感个人信息 风险 场景理论 知情同意 责任原则

个人信息对个人信息和个人数据的区别和联系，学界有不同意见，但在本文语境下，个人信息和个人数据可通用。一是在法律保护客体的内涵和外延上，二者具有同质性；二是本文为了引用某部法律或某位学者的原文，只能使二者交叉出现在文章之中。内蕴人格利益、财产利益和公共利益。其中，人格利益关乎自由和尊严，参见张新宝：《中华人民共和国民法总则释义》，中国人民大学出版社2017年版，第785页；杨立新：《个人信息：法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》，载《法学论坛》2018年第1期。若遭受侵犯，可能导致信息主体外在形象被操纵、精神安宁被打破、决策自由被剥夺和思维方式被简化；财产利益See Rebecca lowe，Digital Identity——Me， Myself and I， IBA Global insight 5（2013）：14.日益凸显，个人信息成为互联网企业精准广告投放、个性化推荐以及其他增值服务的数据支撑，是互联网“依靠广告提供免费服务”这一商业模式的基本条件；参见刘金瑞：《个人信息与权利配置——个人信息自决权的反思与出路》，法律出版社2017年版，第229-230页。公共利益则包含国家安全利益、社会管理利益、公共服务利益和科学研究利益参见高富平、尹腊梅：《数据上个人信息权益：从保护到治理的范式转换》，载《浙江社会科学》2021年第1期。。对个人信息无论采取“权利保护模式”还是“法益保护模式”，其实质均是将应当得到承认的主张、愿望和需求，纳入将它们有效实现所依凭的法律秩序之内。然而，将个人信息置于法律保护范围，并不意味着对所有的个人信息在保护力度和保护措施上不加区别。相反，为平衡数据保护与数据流通之间的内在张力，应当对不同个人信息类型区别对待，以实现法律资源的优化配置。这就需要通过横向考察域内外的规范与实践，探寻可有效遵循的进路，对个人信息进行“一般”与“特殊”的二元区分。但是，作为规范性描述，“特殊”与“敏感”的共有属性为何，特殊个人信息与敏感个人信息是否可作同义替代，应该基于何种评判和参照将特殊（敏感）信息从个人信息大类中择出，同时，针对敏感个人信息的高损害风险态势，应采取何种强弱有别的保护措施？这些问题需要理论界和实务界认真思考，这也是个人信息保护乃至数字法学研究走向深层次和精致化的应然之举。

一、敏感个人信息的实证法考察

当前，人们信息权利保护意识日渐增强，加强个人信息法律保护已成为社会共识。若不计成本，从技术上实现任何有关个人的信息与特定主体一一对应并非难事，这也是学者所称的大数据下没有非个人信息的依据。Winfried Veil：《GDPR：皇帝的新衣——论新旧数据保护法的结构性缺陷》，朱家豪编译，载腾讯研究院，https：//new.qq.com/omn/20190424/20190424A0JEDJ.html，2022年10月23日访问。然而，若对所有个人信息采取“一刀切”式的保护，可能带来弊端：一是限制信息自由流通，使互联网企业瞻前顾后，或导致商业垄断，影响用户体验、减损网民福利；二是稀释个人信息保护资源，使高风险信息类型失去相应力度的保护；三是增加信息保护的社会成本，限制互联网企业发展。参见张金平：《欧盟个人数据的演进及启示》，载《法商研究》2019年第5期。为实现法律资源和信息资源的优化配置，个人信息保护对象的二次区分就成为必要。

（一）基于风险进路的个人信息内部区分

如果个人信息与非个人信息是从外部视角对信息进行界分，从逻辑学的角度看，个人信息与非个人信息是一对正负概念。正概念是反映具有某种属性的事物的概念，而负概念是反映不具有某种属性的事物的概念。负概念总是相对于一个特定范围，例如，非个人信息这个负概念是相对于个人信息这个范围的，其表示一切不是个人信息的信息。非个人信息这个负概念的范围要大于个人信息，因为非个人信息包含与个人无关的信息和经匿名化处理后的个人信息。非个人信息的概念可等同于GDPR中的匿名信息。参见金岳霖：《形式逻辑》，人民出版社2006年版，第31页；See Finck，M.，amp; Pallas，F. （2020）. They who must not be identified—distinguishing personal from non-personal data under the GDPR. Int Data Privacy Law 10 （1）： 11-36.那么保护力度强弱有别的区分则是从内部视角进行分类。欧盟的个人数据保护立法以风险预防为原则，且是一种以人格尊严为核心的风险预防。参见王苑：《个人信息保护在民法中的表达——兼论民法与个人信息保护法之关系》，载《华东政法大学学报》2021年第2期。欧盟《通用数据保护条例》（GDPR）生效后，风险进路成为个人信息保护立法的主要趋势。风险控制的实践需求决定了对个人信息进行分类分级保护成为一种可欲措施。See Tal Z. Zarsky，Incompatible： The GDPR in the Age of Big Date，47 Seton Hall Law Review 995， 1012 （2016）.依照不同的风险等级，个人信息可分为一般类型和特殊类型。换言之，一般类型与特殊类型的个人信息是以确定的个人信息概念为预设，是后者的下位概念。GDPR第2章第5条至第7条规定了与个人数据处理有关的原则、处理的合法性和同意的条件后，第8条至第11条分别涉及了儿童数据、特殊类别个人数据、有关刑事定罪与犯罪和无须识别数据的处理原则。参见李世刚、包丁裕瑞、王铮：《欧盟一般数据保护条例：文本和实用工具》，人民日报出版社2018年版，第142-152页。质言之，该章的前3条和后4条内容分别对应了个人信息的一般类型和特殊类型。美国《数据隐私和保护法》（草案）（ADPPA）采用消费者基本数据隐私权利的保护路径，该法案SEC.2（8）和（22）将消费者数据区分为涵盖数据和敏感涵盖数据。See H.R.8152 - American Data Privacy and Protection Act， at https：//www.congress.gov/bill/117th-congress/house-bill/8152/text（Last Visited on Nov.1，2022）.我国也作了相似分类，全国人民代表大会常务委员会《关于加强网络信息保护的决定》区分出“能够识别公民个人身份和涉及公民个人隐私”两种公民个人电子信息；《民法典》第1034条将个人信息区分为一般个人信息和私密信息；《个人信息保护法》第二节也单独规定了敏感个人信息的处理规则，以区分于一般个人信息。

（二）敏感个人信息的相异称谓梳理

域内外规范性文件虽然大多采用了“一般与特殊”的个人信息二分法，但对特殊类型个人信息却采取了不同的概念称谓，对有别于一般信息而呈现其特有属性的特殊个人信息，给予了相异的语词表达。

日本《个人信息保护法》称特殊类型个人信息为“需要特别注意的个人信息”。See The Personal Information Protection of Japan， 2020， at https：//www.ppc.go.jp/files/pdf/APPI＿english.pdf（Last Visited on Nov.8，2022）.

欧盟GDPR的正文部分采用了“特殊类别的个人数据”的语词表达，但是在其“鉴于条款”中又使用了“敏感数据”的表述。与全球许多数据保护框架一样，印度尼西亚于2022年9月通过的首部《个人数据保护法》（PDP）区分了一般性质的个人数据和敏感个人数据的类别，将敏感个人数据定义为“特定个人数据”，即经处理后可能对个人数据主体造成更大影响（包括伤害和歧视）的个人数据。See HUNTER DORWART， etc： INDONESIA’S PERSONAL DATA PROTECTION BILL： OVERVIEW， KEY TAKEAWAYS， AND CONTEXT， FUTURE OF PRIVACY FORUM， October 19， 2022. at https：//fpf.org/blog/indonesias-personal-data-protection-bill-overview-key-takeaways-and-context/（Last Visited on Nov.8，2022）.美国加州隐私权法案（CPRA）将消费者的特殊信息称为敏感个人信息，并对敏感个人信息进行了典型列举。See The California Privacy Rights Act of 2020， at https：//thecpra.org/（Last Visited on Nov.8，2022）.另外，美国ADPPA同样将涵盖数据中的特殊类型予以“敏感涵盖数据”的表述。

我国最早将特殊个人信息命名为“敏感个人信息”的是全国信息安全标准化技术委员会发布的具有参照、引导效用的《信息安全技术 个人信息安全规范》；2021年通过的《个人信息保护法》，则正式提出了“敏感个人信息”概念，以指称特殊类型个人信息。而我国香港地区《个人资料（隐私）条例》（PDPO）没有对敏感个人资料作出定义，也没有对敏感个人资料的类别提供更严格的要求，但个人资料私隐专员委员会已就某些类别的个人资料更严格的收集、使用、保留及删除规定发出了指引。See The Personal Data （Privacy） of Hong Kong，at https：//www.elegislation.gov.hk/hk/cap486！en？INDEX＿CS=Namp;xpid=ID＿1438403261084＿001amp;SEARCH＿WITHIN＿CAP＿TXT（Last Visited on Nov.1，2022）.

（三）“敏感”与“特殊”的可通约性证成

对特殊类型个人信息无论采取何种语词，均可化约为“特殊个人信息”与“敏感个人信息”两种表达，其中“特殊”和“敏感”是核心要素。有学者认为，“特殊”的描述带有客观评价色彩，而“敏感”的修辞则具有更大程度的主观性。参见王苑：《敏感个人信息的概念界定与要素判断——以〈个人信息保护法〉第28条为中心》，载《环球法律评论》2022年第2期。对此，笔者认为，在个人信息论域中，“特殊”和“敏感”具有通约性，这一点从实证法对相关内涵的定义和典型外延的例证可得到印证。例如，欧盟GDPR“鉴于条款”在特殊类型个人数据后，用括号中的敏感数据进行同义标明，美国、澳大利亚、印度尼西亚的个人信息保护法中列举的敏感个人信息类型与GDPR的特殊类型高度重合。可见，特殊类型个人信息大体等于敏感个人信息。需要注意的是，诸如未成年人信息等部分特殊信息并非一定敏感，但出于倾斜保护目的，一些国家将其拟制为法律上的敏感个人信息。由此可见，基于事物的共有属性，特殊类型个人信息与敏感个人信息可作同义转换。特殊类型个人信息以敏感性为核心特征，以权益侵害风险为法律基准。鉴于此，本文采用“敏感个人信息”（以下简称“敏感信息”）的概念表达，“一般个人信息”简称为“一般信息”。

“个人信息的敏感性是决定个人或社会共同体对隐私感知的最重要因素之一”Sabah Al-Fedaghi， Authors Info amp; Claims： How sensitive is your personal information？ SAC '07： Proceedings of the 2007 ACM symposium on Applied computing， March 2007， Pages 165-169，at https：//doi.org/10.1145/1244002.1244046，（Last Visited on Nov.1，2022）.，作为规范性评价用语，“敏感”如何被认定存在争议，具体分为内在面向和外在面向，也称主观说和客观说。内在面向认为，“敏感”是对个体心理特征的描述，体现的是个人对特定信息被泄露或滥用表现出的高反应度；外在面向认为，“敏感”是指法律规制的高反应度，体现的是社会多数人的共同心理认知，这种认知受地域、文化观念、法律传统、习惯风俗、经济发展状况、政策导向等因素的影响。参见宁园：《敏感个人信息的法律基准与范畴界定——以〈个人信息保护法〉第28条第1款为中心》，载《比较法研究》2021年第5期。笔者认为，这里的“敏感”是内外双重面向共同作用的结果，后者起源于对前者的吸纳，前者迭代于后者的引导，二者不可割裂。因为个体组成了社会共同体，共同体维系于个体，任何社会规范都决定于特定时空之文明条件，任何法律都是对当时当地个人或群体持有或提出的期待、主张或要求的反映。参见［美］罗斯科·庞德：《法理学》（第三卷），廖德宇译，法律出版社2007年版，第4页。总之，相比一般信息，敏感信息更容易导致自然人的人身、财产安全受到危害，故法律给予了信息处理者更严格的告知义务和更严厉的责任负担，形成了个人信息内部基于风险等级的差序评价格局。但是，如何妥善认定敏感信息，却是横亘在概念与事物、法律理论与实务操作之间的实践性难题。

二、敏感个人信息的多维认定

个人信息滥用或泄露造成的风险会伤及诸多个人利益或社会公共利益，这构成了个人信息保护风险进路的实践依据和理论支点。个人利益被侵害的风险包括隐私权被侵害的风险、个人尊严或个人自由被侵犯的风险、通信自由和通信秘密被侵害的风险、生命健康权被侵害的风险，以及财产权被侵害的风险。而公共利益被侵害的风险则包括公共安全问题、公共秩序问题和超级平台数据垄断问题。参见梅夏英：《社会风险控制抑或个人权益保护——理解个人信息保护法的两个维度》，载《环球法律评论》2022年第1期。从利益生成逻辑来讲，公共利益的需求来源于个人利益的抽象化，其保障的目的是个人利益。公共利益从其独立主张时起便受个人利益的目的性指引，且须恪守边界。因此，个人利益是信息风险系数考量的基础，个人信息的概念和分类带有一定的风险防范面向。然而，如何将敏感信息从个人信息大类中择出，不是信息距离人格利益的远近所决定的，而是多种利益风险的交合和多元风险参数的耦合。

（一）法律直接规定

域内外立法文件通过定义风险性更高的特殊类型个人信息来完成个人信息的内部区分，在实证法层面予以直接规定。欧盟GDPR中，特殊类别个人数据指的是“揭示种族或民族出身，政治观点、宗教或哲学信仰，工会成员的个人数据，以及唯一识别自然人为目的的基因数据、生物特征数据，健康数据，自然人的性生活或者性取向的数据”。日本《个人信息保护法》中的“敏感信息——需注意的个人信息”指“包括委托人的种族、信仰、社会地位、病史、犯罪记录、因犯罪受到损害的事实，或内阁命令规定需要特别注意处理的其他描述，以免对委托人造成不公平的歧视、偏见或其他不利影响”。美国CPRA指出，敏感信息包括：其一，泄露的个人信息，包括消费者的社会保障、驾驶执照、州身份证或护照号码，账户登录信息、金融账户、借记卡或信用卡号以及任何所需的安全或访问代码、密码或允许访问账户的凭据，精确地理位置，种族或民族血统、宗教或哲学信仰或工会会员身份，邮件、电子邮件和短信的内容（除非企业是通信的预期接收者），基因数据；其二，为唯一识别消费者而处理的生物特征信息，收集和分析的有关消费者健康、性生活或性取向的个人信息，但已公开的信息除外。美国ADPPA草案SEC.2（22）列举了政府颁发的标识符、身体健康信息、金融账户信息、生物识别信息、遗传信息、精确地理位置信息、个人私人通信等16种敏感涵盖数据形式，包括17岁以下的未成年人信息等特殊类型。我国《个人信息保护法》第28条规定敏感信息是“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”。

（二）体系性风险评估

通常而言，立法文件对敏感信息的本质特征进行一般定义后，将明显符合概念标准的信息类型予以典型示例。当前的定义模式对特殊个人信息大多采用开放性结构，运用了“相关”“一般而言”“特别注意”“容易”“包括”“等”富有弹性的语词描述，这增强了概念的涵摄能力，也容易造成概念的边界模糊。欧盟GDPR对敏感信息类型进行了封闭式列举，但仍有进一步具体化的空间，与特定案件中的裁判规范存在距离。为降低此种模糊性，有必要从实证法层面确定个人信息风险系数的深层原因，使敏感信息的认定更具客观性。具体可细化为利益类型、侵害程度和风险概率三个核心参数。

1.利益类型

相比于一般信息，敏感信息的泄露或非法处理可能对个人权益造成更严重的损害或更迫切的损害风险。之所以会产生这种差别，是因为此类个人信息所负载的利益类型与隐私的关联程度更为紧密，给人们带来的风险感知更为真实和迫切。敏感信息涉及的利益关乎人格尊严，分为人格利益、数字社群关系和物质利益三类。人格利益包括人身利益、意志自由、尊严与名誉、隐私利益等；数字社群关系利益范围比人格利益要广，不仅包括个人的身体和生命，也包括经济方面，以期从总体上对抗外界和对抗家庭关系的其他当事人；物质利益既包括免受非法处理敏感信息危及信息主体财产安全的要求，也包括享有敏感信息本身财产性收益的主张。

2.侵害程度

抛开侵害程度谈行为危害性将缺乏法律苛责的正当性。例如，在刑事领域，部分罪名须在数额、情节或次数等方面明确立案标准，只有达到一定侵害程度的行为才会被认为是犯罪行为；民事领域的追责标准虽然低一些，但法律规范、司法实践抑或权利主体都会对侵害行为保留一定范围的容忍空间，只有超过一定侵害程度阈值才被归入违法行为或启动诉讼程序。同理，特殊类型个人信息的认定也须将侵害程度作为考量指标。我国《个人信息保护法》从草案二审稿到正式法律文本对“敏感信息”的定义，由“人身、财产安全受到严重危害”改为“人身、财产安全受到危害”，恰恰印证了这一点，即敏感信息认定原则上采取了侵害烈度较为轻缓的“一般侵害程度”。

3.风险概率

权益侵害风险的兑现概率直接关系人们对信息的敏感态势感知。之所以将部分个人信息单列出来，并非缘于所涉利益类型的明显差异，而是因为敏感信息被侵害的风险概率往往高于一般信息。敏感信息与信息主体的人格利益、物质利益关系更为密切，是信息处理主体进行数据二次挖掘、数据画像、精准广告推送、分析观察对象的规律、特征以及预测未来的价值源泉，故其更易被处理者青睐、追逐和攫取。即使在敏感信息内部也存在风险概率的差异，比如，基因数据是典型的敏感数据，但囿于信息处理者特定身份和信息处理技术门槛，该类信息受侵害的风险概率并不高。

（三）个人信息二元内涵架构透视

当个人作为信源，被自己、他人或类人的各类机器所观察、感知、分析，其中有关存在方式、运动状态、交互效应的信息类型构成痕迹信息，而对作为信源的自然人进行“区分识别”的信息类型则构成标识信息。当前，个人信息保护采取的是以“识别”为抓手，将具有标识自然人功效的“标识信息”纳入个人信息范畴进行法律保护的方式。从割裂“标识信息”与“痕迹信息”的联系切入，重心在于确保“标识信息”不被识别，从而实现与“痕迹信息”的“脱钩”。由此可见，现有的个人信息保护对“痕迹信息”与“标识信息”的二元隔离是一种人为的制度设计。事实上，这两类信息相伴相生，自被信息主体生产出的那一刻起，二者就作为一个统一体呈现。笔者认为，应摒弃标识信息中心主义理念，依托标识信息（指称性构件）与痕迹信息（描述性构架）的二元架构，用二者之间的熔断与关联关系构造个人信息的内涵逻辑，即个人信息在本质上是标识信息与痕迹信息发生关联时的一种信息形态。参见韩新远：《个人信息的多利益相关方治理》，载《人民法院报》2022年11月24日，第5版。

通过二元概念架构进行穿透式解析，可发现敏感信息的内涵构件存在一定特殊性：首先，敏感信息的指称性构件具有更强的标识能力，如在公共管理关系中的公民身份信息（姓名、身份证、车牌号、护照等）和生物识别信息（指纹、声纹、虹膜、基因序列等）。前者大多为政府颁发的标识符，其强“显名”效力来源于信息主体为配合政府社会管理职权而对国家作出的权利让渡；后者的强“显名”效力来源于自然人生物特征的唯一和不可更改。其次，特殊信息的描述性构件具有更强的描述能力，如自然人的人脸特征、医疗健康记录、金融交易记录、通讯录、行为踪迹等，这类痕迹信息或强烈显现其本体特征，或清晰勾勒其社会关系，是对信息主体自然属性和社会属性的深度扫描，直接决定着个人在数字社会的“透明度”。

（四）信息处理协议的场景化判断

敏感信息风险系数高，但并非不能为信息处理者所收集、存储和使用，只是相较一般信息采取了更严格的处理规则。不管是欧盟和美国的“原则禁止+例外允许”还是中国的“附条件允许”，两种模式均是通过“知情—同意”机制来正当化对特殊信息的处理，这样在实践中就会出现信息主体对敏感信息实质认定的差异。此时，信息主体主观意识中的敏感性对象，可能与实证法中明确列举的敏感信息类型产生错位，尤其在对敏感信息范围进行裁量以纳入额外类型时，更会使敏感信息的认定产生分歧。

为实现对敏感信息的动态认定，笔者建议，引入“场景理论”以缓解内外面向对个人信息的敏感性认知分歧。该理论认为，保护个人信息不应拘泥于统一与标准化的保护，而应寻求与具体场景相关的信息规范，维护具体信息关系与生活秩序的公正性与融贯性，将信息隐私保护与具体场景相关联，将信息权益的保护与否转化为个人信息披露和流通是否符合特定场景的合理规范和信息流通规范的判定。See Helen Nissenbaum，Privacy in Context： Technology， Policy， and the Integrity of Social Life， Stanford University Press， 2009， p.141； Helen Nissenbaum，Privacy as Contextual Integrity，Washington Law Review， 2004， 79（1）， pp. 101-137.个人信息处理中的“知情—同意”是一种非典型性民事行为，且是一种双方行为，并非一种单纯的“许可”或“授权”。参见高富平：《同意≠授权个人信息处理的核心问题辨析》，载《探索与争鸣》2021年第2期。本质上，信息处理者与信息主体通过“知情—同意”达成信息处理协议，约定了双方的权利义务乃至违约责任，信息处理者依照这份协议获得了信息处理行为的合法性依据。换言之，信息处理协议构造了针对特定信息的应用性场景，该场景作用于私法层面的个人信息保护，其基于双方意思自治明确了信息收集、处理和使用的种类、目的、存储时长、共享范围等，任何超越该场景的信息处理行为都将被追究相应的法律责任。在这个应用性场景中，信息主体自我界定了不同信息的敏感度，形成了主观层面的敏感信息类型，充分满足了个体差异化的敏感认知需求。

然而，信息主体对敏感信息的主观认定不能背离实证法的规则性限制和原则性约束。质言之，敏感信息的认定除了要考虑应用性场景（信息处理各方主体的自由意志）外，还要遵守信息保护法规中对敏感信息的典型列举、敏感信息处理的特定规则，以及个人信息处理的合法、正当、必要、诚信等原则，且应兼顾社会共同认可的价值观念。

三、敏感个人信息的严格保护

敏感信息可能给信息主体带来更大的侵害风险，故适用不同于一般信息的处理规则、受到更强力度的保护措施，参见韩旭至：《敏感个人信息的界定及其处理前提——以〈个人信息保护法〉第28条为中心》，载《求是学刊》2022年第5期。从而使个人信息基于类型区分而呈现强弱有别的保护格局。除了所有个人信息处理都应遵循的基本原则和一般信息的处理规则之外，敏感信息的处理增加了额外的限制，如欧盟GDPR的第9.2条要求必须具有一个或多个特定目的；信息处理者为履行就业、社会保障、社会保险法领域等义务所必需，且在欧盟或欧盟成员国法律授权范围内；为保护数据主体或其他自然人重大利益所必需；数据主体已明确公开；为处理重大公共利益、公共卫生领域的公共利益所必需；为提供医疗诊断、科研、统计等服务所必需等。例如，我国《个人信息保护法》第28条第2款额外要求敏感信息的处理要满足“特定的目的和充分的必要性，并采取严格保护措施”这个前提条件，还须符合法律、行政法规的其他补充规定。除此之外，敏感信息的强保护集中体现在更严格的“知情—同意”标准、更严苛的归责原则和更严密的救济方式三方面。

（一）严格的“知情—同意”标准

处理个人信息要有合法性基础是各国个人信息保护法的通例，其规范化进路是将“知情—同意”（告知同意）作为认定个人信息处理行为合法与否的基础依据。“知情—同意”创设了各方主体的权利义务，是一种限制相对方具体行为的“闸口”。参见姚佳：《个人信息主体的权利体系——基于数字时代个体权利的多维观察》，载《华东政法大学学报》2022年第2期。作为信息处理活动的开启端，敏感信息“知情—同意”的行为方式无疑将有别于一般信息。欧盟GDPR要求“明确同意”；我国《个人信息保护法》要求“单独同意”或“书面同意”，同时，还需向信息主体作“必要性”和“个人权益影响”说明。国内学者作了进一步阐释，认为敏感信息的单独同意不能以默示方式作出，禁止“一揽子”概括同意，且应当贯彻拒绝提供服务的限制规则，即《个人信息保护法》第16条规定的“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务”。换言之，信息处理者不能以拒绝提供服务为条件强制收集敏感信息。参见王利明：《敏感个人信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》，载《当代法学》2022年第1期。美国ADPPA要求“肯定的明示同意”，且该草案SEC.2（1）对肯定的明示同意作了详细的阐释，即个人的肯定行为，其明确表达了个人对某一行为或实践自由给予的、具体的、知情的和明确的授权。同时，涵盖主体向个人提出的信息处理请求须满足语言简洁、说明详细、目的明确、权利清晰等更严谨的要求，承担更严格的告知义务，且不得从个人的不作为或个人继续使用该涵盖实体所提供的服务或产品中推断出，该个人已对该行为或实践提供了肯定的明示同意，不得通过不正当方式获得或试图获得个人的肯定明示同意，包括使用任何虚假、虚构的、欺诈性的或具有重大误导性的陈述或表述或设计、修改或操纵任何用户界面，其目的或实质效果是掩盖、颠覆或损害个人合理的自主权、决策权或提供这种同意或任何涵盖数据的选择。H.R.8152 - American Data Privacy and Protection Act， 117th Congress （2021-2022）， at https：//www.congress.gov/bill/117th-congress/house-bill/8152/text（Last Visited on Sep.19，2022）.各国对未成年人信息或犯罪信息的“知情—同意”机制作了类似于敏感信息却更有针对性的限制规定。与此对应，一般信息类型采取的同意标准较为宽松，如“概括同意”。至于能否对一般信息处理的同意进行拟制，把沉默或不作为视为信息主体作出同意，学者们持不同意见。参见蔡星月：《数据主体的“弱同意”及其规范结构》，载《比较法研究》2019年第4期；衣俊霖：《论个人信息保护中知情同意的边界——以规则与原则的区分为切入点》，载《东方法学》2022年第3期。

（二）严苛的责任原则

责任是对违反约定义务或法定义务的主体作出的否定评价。责任分为私法责任和公法责任。其区别在于：前者体现的是国家潜在的强制力，是否启动取决于信息主体的主观选择，而后者则是国家直接付诸强制力且不以当事人意志为转移。责任是法律秩序的逻辑终点，因此，作为责令加害人承担责任依据的归责原则就成为各方主体风险分配的关键。

1.私法领域的责任原则

归责原则发轫于私法话语体系。王利明教授认为，我国《个人信息保护法》是一个领域立法，包括公法规则与私法规则，具有一定的综合性，但就个人信息保护，尤其是敏感信息保护的规则而言，大部分规则属于私法规则，是《民法典》制度规则的具体化。参见王利明：《敏感个人信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》，载《当代法学》2022年第1期无论违约还是侵权，如果缺乏损害结果预防的过程监控，那么事后的责任分配就可替代过程监控和过程责任。在诉讼中体现为举证责任的划分，在结果上体现为损害赔偿责任的负担，其实质是法律风险的分摊和转移。参见桑本谦：《法律简史：人类制度文明的深层逻辑》，生活·读书·新知三联书店2022年版，第133-140页。目前，个人数据的权利性质和权属存在争议，故在实证法层面，基于信息处理协议的违约损害赔偿责任并未具体化，以侵权损害赔偿责任为抓手。过错责任是侵权行为最重要的归责原则，但对信息处理者而言，信息主体在经济、信息、科技力量等方面居于相对弱势地位，双方处于“非对称权力结构”王锡锌：《个人信息国家保护义务及展开》，载《中国法学》2021年第1期。之中。信息处理者通过“知情—同意”机制开辟了个人信息可能被泄露或滥用的危险源，且从这种潜在危险中获得了比信息主体更大的收益、更强的控制力和更低的风险规避能力。因此，应将这种特定的危险责任归于“那些（即便是以被允许的方式）产生了这一风险的人，或者因其利益而维系了这一风险的人”［德］卡尔·拉伦茨：《正确法：法伦理学基础》，雷磊译，法律出版社2022年版，第106页。。这在实证法上被具体化为“过错推定”原则，我国《个人信息保护法》第69条第1款和欧盟GDPR第82条便是例证。鉴于敏感信息更高的风险系数，参照“受害人无辜不受损”原则，笔者认为，信息处理者可对信息主体受到的损害先行赔偿，之后向其他责任方进行追偿。这将增加信息处理者的责任风险，对此，可引入信息处理者责任保险制度以分散各方风险。参见彭诚信：《现代权利理论研究——基于“权利理论”与“利益理论”的评析》，法律出版社2017年版，第405-406页。

2.公法领域的责任原则

信息处理者的公法责任是其违反法定义务而直接受到国家否定评价的责任。相比于私法责任的补偿性，公法责任倾向于惩罚性。公法体系庞杂且范围有争议，个人信息保护领域的责任原则主要涉及刑法、行政法、反垄断法及反不正当竞争法等。其中，行政法一般采取客观归责原则，以违法构成要件的符合性来认定行政相对人的责任，信息处理者的责任负担以法定义务为准绳，以特定国家机关的认定和归结为必要。与此同时，行政法应给予敏感信息更多的规范保障，给予信息处理者更高的注意义务和更严厉的行政处置。数据保护的行政监管模式相比司法救济更为灵活高效，越来越为世界各国所采纳和推广，但也存在弊端。譬如，欧盟GDPR生效以来，负责执行该法律的数据监管机构难以针对大型科技公司和不透明在线广告行业的投诉迅速采取行动，使该法案巨额罚款的威慑效应减弱，引发了对行政责任机制作用于个人信息，尤其是敏感信息保障的反应实效、程序周期、执法成本、合规成本等问题的疑虑，See Matt Burgess： How GDPR Is Failing， WIRED， 23.05.2022， at https：//www.wired.co.uk/article/gdpr-2022； Shoshana Wodinsky： The Hidden Failure of the Worlds Biggest Privacy Law， GIZMODO， Published February 4， 2022，at https：//gizmodo.com/gdpr-iab-europe-privacy-consent-ad-tech-online-advertis-1848469604（Last Visited on Nov.5，2022）.也逆向凸显了私法责任机制的优势。刑法采取的是罪责原则，即无罪则无刑罚，依据罪责程度施加刑罚，区分故意与过失，举证责任在公权机构。在同等情节前提下，针对敏感信息的犯罪行为较之一般信息危害性更大，故其入罪门槛更低、刑罚更严厉。

（三）严密的救济方式

救济是责任的兑现，无救济则无权利。当信息主体的权益受到损害时，以公权力是否拥有主动、直接介入资格，救济方式可分为私权救济和公权救济。

1.私权救济方式

私权救济的启动权在私人主体一方，可区分为契约型和民事诉讼型。（1）契约型救济是一种信息主体拥有自我决定权的救济方式。该类救济体现为：信息主体依靠自由意志，或通过与信息处理者约定违约条款，对敏感信息的预期损害风险进行事前分配，或在损害结果发生后通过与信息处理者签订协议获得损害赔偿。信息主体在寻求契约型救济时，可以放弃自身合法权益，但不能违背公诉良俗等原则、不能违反法律的禁止性规定，如兜售自身敏感信息以制作、传播、贩卖淫秽物品等。（2）民事诉讼型救济是一种信息主体拥有自我启动权的救济方式，即通过民事诉讼获得国家的强制力保障。在无信息处理协议时发生损害行为，信息主体可以提起侵权之诉，要求信息处理者予以解释说明、查阅复制、更正补充、删除或赔偿等，以起到消除影响、恢复名誉、赔礼道歉等传统救济效果；在通过“知情—同意”机制签订信息处理协议后发生损害行为，理论上信息主体可以提起侵权损害赔偿之诉或违约损害赔偿之诉。此外，还可主张信息处理者给予金钱赔付，以弥补信息主体人格性财产利益损失。无论契约型还是诉讼型救济，对敏感信息损害的赔偿标准将更高、赔偿范围将更广泛。同时，要善用精神损害赔偿，积极探索个人信息财产权的保障进路。

2.公权救济方式

公权救济主要包括行政类和刑事类两种救济方式。（1）行政类救济是一种监管模式，体现在信息主体可依照公法性质的个人信息保护法直接向信息处理者行使查阅、复制、转移、更正、补充、删除等权利。在欧盟，信息主体依据GDPR可向监管机构提起申诉，使监管机构启动对信息处理者的调查权、纠正权、建议权等，从而对违法行为作出罚款等行政处罚。我国《个人信息保护法》第65条规定，任何组织、个人有权对违法个人信息处理活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法对信息处理者进行调查，对违法信息处理者施以责令改正、警告、没收违法所得、罚款、停业整顿、吊销执照、信用惩戒、从业禁止等处罚，并将处理结果告知投诉、举报人。此外，该法第70条还规定了相关职能部门作为维权主体的公益诉讼制度。（2）刑事类救济是对侵犯公民个人信息犯罪的行为进行刑事处罚，是最为严厉的惩戒方式，信息主体可以为办案机关提供犯罪线索，受害者还可以通过刑事附带民事诉讼寻求损害赔偿。敏感信息与一般信息在公权救济方式上并无二致，区别在于敏感信息的立案标准更低、情节严重的认定更宽松，如涉案信息转发数量、信息传播范围、违法所得数额、受害人侵害程度都较一般信息门槛更低，但处罚标准却更高。

四、结语

大数据发展带来了技术变革，也带来了思维方式和治理规则的革新。为平衡数据保护与数据流通之间的内在张力、实现信息资源与数字资源的优化配置，有必要对不同类型的个人信息施以不同的保护力度和保护措施。通过横向比较域内外的个人信息保护立法，可发现多数国家和地区依循风险进路，对个人信息进行了一般与特殊（敏感）的二元内部区分。作为规范性描述，特殊与敏感可作同义替代。对敏感信息的客观认定是多种利益风险的交合和多元风险参数的耦合，包括法律直接规定、体系性风险评估、个人信息二元内涵架构透视和信息处理契约的场景化判断。敏感信息可能给信息主体带来更大的损害风险，故除了所有个人信息处理都应遵循的基本原则和一般信息的处理规则之外，还针对敏感信息作出了额外限制和特定要求，使其受到更强力度的保护。敏感信息的强保护集中体现在更严格的同意标准、更严苛的归责原则和更严密的救济方式三方面。在个人信息保护领域形成强弱有别的保护格局，可避免“引发过度保护或保护不足的弊端”丁晓东：《个人信息司法保护的困境与出路》，载《法学研究》2018年第6期。。

综上所述，笔者认为，个人信息保护的研究必须坚持一个明确的理念——“保护”是个人信息处理第一原则。只有充分尊重和保障信息主体运用自身理性，才能更好地推动个人信息的流动和共享。不能因单个主体的自身信息价值稀薄，而边缘化信息主体在信息权利格局中的中心地位；不能因信息主体无法利用个人信息产生直接的经济效益，而堵塞信息主体所享有的物质性信息权利的演绎进路。

Abstract：

In order to balance the internal tension between data protection and data flow， it is necessary to make personal information present different protection patterns based on type differentiation. Based on the risk approach，The Outside-Domain Empirical Method makes a binary internal distinction between general and special （sensitive） personal information. As a normative description， specificity and sensitivity can be used as synonymous substitutes. The objective identification of sensitive information is the combination of multiple benefits and risks and the coupling of multiple risk parameters， including direct legal provisions， systematic risk assessment， dual connotation framework perspective of personal information and situational judgment of information processing contract. Sensitive information may bring greater risk of damage to the information subject， so different processing rules are applied to general information， and it is subject to stronger protection. The strong protection of sensitive information is mainly embodied in three aspects： more strict consent standard， more strict responsibility principle and more strict relief method．

［责任编辑 周 敏］