引言

2020年1月新冠肺炎疫情爆发以来，世界各地政府都承受了巨大防疫压力。为了防控疫情，中国依托阿里、腾讯、电信等基础设施平台，通过大数据、云计算等技术，收集个人敏感信息、对个人行踪轨迹跟踪，出示健康码通行，取得了良好防控效果，有效遏制了疫情。但在收集个人信息防控疫情的同时，个人信息泄漏非常严重，2021年新冠患者沈阳尹老太和成都女孩个人行踪信息被曝光，不仅给她们和她们的亲属造成了巨大的伤害，还导致她们在网络上“社死”。我国每年都有各类个人信息泄露，给信息主体和社会造成了巨大伤害和损失，我国该怎样保护个人信息特别是个人敏感信息了，笔者认为要保护好个人敏感信息，首先要从立法上定义甄别哪些是个人敏感信息，把个人敏感信息从普通个人信息中区分开来后，然后再谈个人敏感信息强保护规制。

一、个人敏感信息保护的立法现状

随着现代大数据、云计算、人工智能等科技的发展，数字已经成为企业核心资产之一，也称为公共管理机构的核心治理依据之一，但每年的信息泄露事件触目惊心，却得不到应有的规制，在《个人信息保护法》颁布（2021年8月20日）之前，对信息保护特别是敏感信息保护基本是一张白纸，只在《民法典》上规定了个人信息保护，《民法典》并没有规定个人信息权，只是强调保护个人信息这个利益，保护个人信息目的并不是保护个人信息本身，而是通过保护个人信息来保护其他的权益，[1]从形式和内容上看，《民法典》立法者认为个人信息保护属于私法调整，并且只是一种法益而非权利，采取了行为规制模式而非权利化模式来保护个人信息，[2]但也有学者认为个人信息权是一种新型公法权利，个人信息保护不属于私法的调整范畴，应属于公法调整范畴，基于信息科技的飞速发展，私法调整并不能充分保护个人信息，以公法调整为主才能更好保护个人信息。[3]《个人信息保护法》颁布后，规定了敏感个人信息的定义，并且规定了多项保护措施。

二、个人敏感信息概念

笔者先从中文的角度，在百度百科上查询“个人敏感信息”或“敏感信息”，没有找到百科解释，但有收录对应的“敏感数据”：“指泄漏后可能会给社会或个人带来严重危害的数据”。从法律的角度看，在《个人信息保护法》颁布之前，只有一些“软法”涉及到敏感信息，其中《信息安全技术个人信息安全规范》是这样定义个人敏感信息：“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇的个人信息。”有的专家学者认同这一观点，[4]即该等信息一旦泄露可能对信息主体造成严重破坏性的结果，强调对信息主体的影响，强调的是一种可能性结果。司法实务界也有案例直接采纳这一观点。[5]《个人信息保护法》也是持这一观点：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。另一种观点认为：敏感个人数据指有动机的侵入者能够直接识别特定个体身份的个人数据。[6]这种观点强调的是能直接识别信息主体身份的个人信息就是个人敏感信息，是否可能对信息主体造成何种程度危害并没有提及，另外强调的是有动机的入侵方，而非信息泄漏后的普通接收方，笔者认为没有普遍的代表性。

讲到个人敏感信息，不得不讲隐私权。个人信息和隐私权是有区别的，个人隐私不限于信息形式，有的隐私不是以信息表现出来的，而个人信息的内容也不只限于隐私，两者有交叉的部分，但不是重合，因此个人信息不等同于隐私（美国法的大隐私概念除外）。[7]但个人敏感信息是否属于个人隐私与个人信息重叠的那一部分了，两者在泄漏后对个人危害都很严重，笔者认为两者也是交叉关系但不是重合关系，这涉及到个人敏感信息的内容范畴以及认定方法的不同。

三、个人敏感信息的认定

纵观各国个人信息（数据）保护立法，主流界定个人敏感数据的方法有以下3种：

1、列举法

欧盟《一般数据保护条例》第9条明确列举了敏感信息（特殊数据）有以下几种：种族民族出身、政治观点、宗教或哲学信仰、工会会员资格、基因数据、生物学数据、与健康有关的数据（例如中国健康码）、与性生活和性取向有关的数据。[8]列举方式的好处在于信息主体、信息从业者、监管机构都能轻易的鉴别出哪些是一般个人信息，哪些是敏感个人信息。列举缺点是死板固定，随着数字科技发展，会产生新类型的敏感信息，列举法不能包容新产生的敏感信息，将导致新类型的敏感信息得不到即时的有效保护

2、目的法或场景法

目的法是指：在认定是否为敏感信息时，除了关注信息本身内容是否敏感外，还要着重判断的标准为使用个人信息的目的。[9]如果行为人的目的是涉嫌做可能对识别信息主体造成重大危害的事宜，那么就构成敏感信息，如果只是普通目的，不会对信息主体造成重大危害，则不宜认定为敏感信息。笔者称之为主观因素说。

有的欧洲国家在国内立法中采纳的是场景法，场景法是指：除了关注信息本身的内容是是否敏感外，还要重点考量当时的场景、综合各种因素是否能识别信息主体并对其可能造成重大危害。[10]笔者称之为客观因素说。

这类判断方法实质是倾向于具体问题具体分析。

3、约定法

美国不像欧盟，没有统一的个人信息（数据）保护法，美国允许信息主体与信息从业者之间可以自由约定哪些是敏感信息，尊重当事人之间的意思自治。信息主体可以根据自己的情况、成长背景、周围环境，确定某类信息是敏感信息。这样某些信息内容原本是敏感性的，但在某个具体的信息主体这里就有可能不是敏感信息了；原本不是具有敏感内容的信息，某个特定具体的信息主体认为该信息可能对自己造成较大危害，就由普通信息变成了敏感信息。

我国《个人信息保护法》对个人敏感信息的认定采用的是概括和列举法，先是对个人敏感信息的定义，给出了判断敏感信息的标准，为未来适应数据信息科技飞速发展产生的新类型的敏感信息，然后又以列举的方式罗列了哪些信息个人敏感信息，明确规定生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息是敏感信息，从而使从业者和司法行政机关能够轻易识别已有的敏感信息，减少争议。

四、个人敏感信息应强保护

将个人敏感信息从一般信息中区分开来之后，才能有针对性的保护个人敏感信息。考虑个人敏感信息对个人影响的重要性，除了针对一般个人信息保护法律保护措施外，立法一般对个人敏感信息实施更大强度的法律保护。

1、强化知情权

《个人信息保护法》要求信息处理者在处理一般个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知：信息处理者姓名和联系方式、处理目的、处理方式、处理个人信息种类、保存期限以及个人行使权利的方式和程序。这只是对处理一般个人信息的告知义务，对于处理个人敏感信息，还必须确切告知：处理敏感信息的必要性和对个人权益的影响。没有真正的知情权，同意就没实际意义，因此信息处理者取得个人同意必须是建立在个人知情权之上。

2、强化单独同意原则

信息处理者不仅要告知信息主体相关事项，还须获得信息主体书面的或电子的明确同意，[11]没有经过信息主体的明确同意，信息从业者严禁处理敏感信息。《个人信息保护法》规定这种同意不仅仅是同意，还必须是单独的同意，即不能是笼统的同意。如果信息处理者把敏感信息与一般信息混同到一起，取得信息主体的同意则是不合法的，必须把处理的敏感信息单独告知并取得信息主体的单独同意才合法。

这样严格要求，有明显的好处，但也有坏处，如果信息处理者是公权力机关，为了公共利益处理敏感信息，比方说现在为防控新冠疫情的健康码，假设信息主体不同意收集（想故意隐瞒），就会收集不全信息，造成漏网之鱼，由于新冠疫情极易感染性，极有可能严重危害整个社会防疫工作，在这种场景下是否需要坚持知情原则、弱化同意原则了？[12]因此对于同意原则，也应规定例外情形。

3、强化信息从业者的责任

法律或者部门规章应强化信息从业者处理敏感信息的责任。涉及处理敏感信息建议进行信息保护影响分析(DPIR)[13]，对于处理敏感信息的从业者明确要求其建立数据和隐私保护管理系统（DPMS）。

4、强化敏感信息主体的删除权

如上所述，处理个人敏感信息必须告知并经单独同意，但站在另一个角度看信息主体同意是否就是信息从业者处理数据合法性的基础了？特别是在互联网平台设计的告知同意勾选场景下，又有多少同意是信息主体真实意思的表示了？[14]因此《个人信息保护法》赋予信息主体删除权，这是针对一般个人信息，对于敏感个人信息，笔者认为这样的规定还远远不够，有必要进一步强化和细化敏感信息删除权，特别是对信息从业者响应删除的时间上有个严格细化的要求。当然删除权也不是绝对的，也有一定的限制。

小结

我国立法对个人敏感信息采取的是概括列举法，由于个人敏感信息的特殊性，我国应进一步立法强化细化对个人敏感信息的保护，以适应这个日新月异的世界对敏感信息保护的需求，同时也要考虑敏感信息强保护的例外（脱敏、公共利益等），防止形成信息孤岛，合理有效利用敏感信息将造福于社会造福于人民，也有利于科技创新和提高公共治理能力。

注释

本文首次发表于 《警戒线》2021年第27期。

作者简介：刘勇律师

盈科网络数据安全合规中心