論敏感個人信息的界定與民法保護

華景天,呂 楊

(貴州民族大學 法學院,貴州 貴陽 550025)

一、問題的提出

在數字信息與經濟社會持續不斷的交織互融中,信息網絡無疑成為當今生產生活的新平臺、經濟發展的新動力、合作交流的新樞紐。由網絡所承載的信息在經濟高速發展的驅動下不斷匯聚、累積,其中尤以個人信息最為突出。我國在著眼于數字經濟發展的同時顯然也關注到了這一點,不斷加強對個人信息的保護,先后頒布、修改了相關法律法規、規范性文件。近年來,學界對于個人信息的理論研究日益增多,但大多數都是對個人信息的整體進行研究,鮮有類型化研究。顯然,此舉雖考慮到事物的普遍性卻忽視了其特殊性。個人信息作為特殊客體,不同種類的個人信息在不同環境的催化下會對信息主體產生不同的影響。2021年正式實施的《民法典》第1034條以“總擴+列舉”的方式明確了個人信息的概念,在對個人信息作出定義的同時列舉出一些具體種類,同時在該條的第二款中提出了“私密信息”這一概念。顯然,《民法典》以個人信息是否具備私密性特征來作類型化歸納,將個人信息分為私密性個人信息與非私密性個人信息來進行不同保護。然而,之后頒布的《個人信息保護法》卻以一種全新的方式對個人信息作出劃分:采用敏感個人信息和一般個人信息而并非沿用私密信息與非私密信息。由此產生的問題是:何為敏感個人信息?何謂敏感?敏感個人信息與私密信息有無關系?敏感個人信息該如何保護?以上也是本文所要討論的主要問題。

二、敏感個人信息的界定

(一)立法演進中的“敏感個人信息”

盡管敏感個人信息這一概念是首次在《個人信息保護法》中予以確認,但早在20世紀70年代的德國個人信息立法中就出現了敏感數據的概念,當時有學者將其定義為“具有極高個人屬性、對識別個人身份十分重要的、有受損害或者歧視風險的信息,其標識著個人某項特定的屬性 ”[1]。歐盟成員國之間在1981年通過的《108號公約》中單獨列舉出一些類型的個人數據,并將這些個人數據劃分為“特殊種類數據”,但這僅是概念的用語表述不同,實則與敏感個人信息并無差異。在這之后出臺的歐盟《通用數據保護條例》則沿用此概念并具體規定了處理保護規則。此外,巴西、韓國等國家也均在立法上提出了敏感個人信息的概念。在我國,《個人信息保護法》未頒布前雖未采用敏感個人信息這一概念,但在一些法律法規、規范性文件中卻也有體現。例如《征信業管理條例》第14條規定,“禁止征信機構采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規規定禁止采集的其他個人信息”。該條實際上就是對敏感個人信息的保護作出了特別規定?！睹穹ǖ洹冯m未提出敏感個人信息的概念,但明確了其上位概念個人信息,并作出分類,這也為《個人信息保護法》的立法奠定了基礎?！秱€人信息保護法》作為一部單行法,對個人信息進行更為體系化的分類,借鑒域外法并結合我國國情,最終確立了敏感個人信息制度[2]。

(二)敏感個人信息的概念界定

“法律概念是法律規范和法律制度的建筑材料?！盵3]法律概念作為設立規范、構建制度的重要基石,必須首先明確。敏感個人信息在我國《個人信息保護法》第28條中有如下定義:“一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息?！逼浜诵囊鼐驮谟凇懊舾小倍?故該條從兩方面來凸顯其特征。一是信息遭到泄露或非法使用的潛在風險;二是侵害人格尊嚴以及危害人身財產安全的高度蓋然性。以“不可控的特殊風險+高概率的權益侵害”界定敏感個人信息,這種概念界定也是與國際接軌,順應基于風險的方法(risk-based approach)的個人信息保護立法趨勢,區分不同類型以便作差異化保護。然而也有學者認為,敏感個人信息所用的“敏感”二字,主觀性過強,存在個體的差異[4]。實則不然,其一,判斷是否屬于敏感個人信息的主體是客觀的。據《個人信息保護法》第六章可知,是否屬于敏感個人信息由履行個人信息保護職責的部門通過專門的個人信息保護規則、標準來作出具體的判斷;另外司法機關也可以在具體案件中依法對是否屬于敏感個人信息進行判斷。其二,判斷標準也是客觀的。判斷標準的設立往往基于各國國情,是對社會現狀的一種客觀反映。誠然,信息主體或信息處理者的主觀認知必然會存在個體的差異,判斷主體在作出判斷時也會綜合不同因素考量,但判斷的客觀標準并不會因此而發生改變,同時上述判斷主體作為中立方的存在也能保證判斷整體的客觀性。因此,雖然敏感二字帶有主觀色彩,但在制度的規范下能夠進行客觀評價。

(三)敏感個人信息的類型列舉

《個人信息保護法》第28條還對敏感個人信息進行了列舉,其中值得注意有二:一是該條的列舉以“等”字收尾,未將敏感個人信息限制于列舉項內;二是該條所列舉個人信息種類的劃分標準不同,其中前六項均以信息的內容為劃分標準,而最后一項“不滿十四周歲未成年的個人信息”則是以信息的主體為劃分標準,這也是我國個人信息立法中的一大創新。

1.生物識別

《信息安全技術 個人信息安全規范》( GB /T 35273 - 2020)的附錄B中規定,個人生物識別信息包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。個人生物識別信息具有個人信息的唯一性、程序識別性、可復制性、損害的不可逆性及信息的關聯性等特征[5]。其所具有的唯一性和程序識別性使得生物識別信息能夠經一定的技術處理對應識別到特定的自然人。

2.宗教信仰

個人宗教信仰的信息是指,“個人是否信奉宗教、信奉何種宗教以及信奉某一宗教中何種教派的信息”[6]。因為各宗教之間所奉行的準則不同,信仰的內容各異,所以難免會因此產生摩擦或沖突。故個人宗教信仰信息的泄露,極易造成信息主體受到不同信仰者的歧視,侵害其人格權,也有可能引發人身、財產利益受損的風險。

3.特定身份

從詞義上分析,“特定”一詞對身份信息作出限定,也正因為該種身份信息被特定化,所以使得信息主體具有一定的可識別性?！秱€人信息保護法》的立法之初,曾將“種族、民族”作為敏感個人信息的種類進行列舉,但最終頒布時采用了“特定身份”這一概念。不難看出,種族、民族信息可被特定身份信息這一概念所包含,引入“特定身份”這一概念也擴大了敏感個人信息的保護范圍[7]。也有學者認為,身份證號碼也屬于特定身份信息,因為我國公民身份證號碼并非隨機排列組成,而是由出生地的行政區劃編號、出生年月日等組成,對個人信息具有強指向性。與此相類似的還有駕駛證號碼、護照號碼等等[8]。另外,一些特殊職業信息也屬于特定身份信息,如軍人、警察等。

4.醫療健康

個人醫療健康信息可以分為個人醫療信息和個人健康信息。其中個人醫療信息是個人接受醫療服務過程中所產生的所有相關信息,包括就診記錄、病歷資料等,對于此類個人醫療信息,《民法典》也在第1226條對醫療機構及醫務人員課以保密義務。個人健康信息所包含的內容則更廣,所有能反映信息主體健康狀況的信息都屬于個人健康信息。

5.金融賬戶

金融賬戶信息列入敏感個人信息的保護范圍,旨在對信息主體權益進行多樣化保護。在我國,移動支付盛行,許多金融賬戶都與網絡賬號進行綁定以便支付使用,雖然帶來了便利,但同時也增加了風險。另外,電信詐騙也是不斷侵擾我國公民的一大問題,金融賬戶信息一旦泄露或是被非法利用,都會給不法分子可乘之機,對信息主體造成財產安全甚至是人身安全的侵害。

6.行蹤軌跡

行蹤軌跡信息是指能夠反映出信息主體日常生活中行動路線、移動軌跡的信息。與單純的位置定位信息不同,行蹤軌跡信息更多強調的是一種動態的位置移動的軌跡、路線,而非靜態的位置定位。且行蹤軌跡信息不僅指實時的行蹤軌跡,還應從時間的維度來考慮[9],還包括信息主體的歷史行蹤軌跡,綜合此類信息中極易分析出信息主體的住所、日常軌跡、個人喜好等。

7.未成年人的個人信息

此類個人信息以信息的主體作為劃分標準,故在此概念項下不再關注信息的內容為何,只要符合不滿14周歲未成年人這一主體標準的信息都屬于敏感個人信息。在此,我國未成年人的個人信息立法也與《未成年人保護法》進行了銜接,將主體年齡劃定為不滿14周歲。

三、敏感個人信息的判斷標準

基礎概念的明晰對既有基礎問題的解決有現實助益,然而面對個人信息領域發展中不斷涌現的新生問題,裁判者在個案中對是否屬于敏感個人信息再作判斷時,僅憑基礎概念進行解釋分析容易出現理解上的偏差與適用時的混亂,而判斷標準的確立則可以精準框定。

(一)域外立法實踐中的判斷標準

關于敏感個人信息的判斷標準,現有域外立法主要采用兩種方式,分別是列舉式的判斷標準和場景化的判斷標準[10]。列舉式的判斷標準一般采取窮盡式列舉的方法,將具體類別固定在法律法規中,明確地劃定了敏感個人信息的判斷標準,也使得信息主體、信息處理者以及裁判者能夠直觀快速地作出判斷。但這種固定類型化的判斷標準顯然難以適應社會發展的快節奏,新舊信息的更迭不可避免地對這種判斷標準產生沖擊,這也就要求立法對判斷標準進行不斷調整。典型的如歐盟從《108號公約》到《數據保護指令》以及《通用數據保護條例》,不斷增加種類的列舉以滿足新時代背景下對信息保護的要求。但此舉無疑額外增加了立法成本,且在一定程度上破壞了法律的穩定性[11]。

各國在采取列舉式判斷標準時,往往步入了這樣一個預設前提,即該種個人信息因其內容或性質上本身所具有的高度敏感性,在暴露或遭不法利用時有發生權益侵害的高風險,故可在立法層面按信息的內容預先作列舉。而場景化判斷標準則認為,個人信息本身并無敏感與非敏感之分,應將個人信息置于具體的場景之中進行判斷,綜合考慮該場景中信息處理的方式、環境、目的、對象等因素,對敏感個人信息的認定作出動態的判斷。場景化判斷標準破除了列舉式判斷標準的類型固化思維,在實踐中更加靈活。但該標準的應用使得敏感個人信息的判斷具有極大的不確定性,也使得敏感個人信息處理規則中的預防保護機制難以發揮功效。

(二)我國立法中采取的判斷標準

依《個人信息保護法》第28條第一款可以歸納出我國敏感個人信息的三大法定判斷標準,即人格尊嚴標準,人身、財產安全標準,未成年人標準[12]。

1.人格尊嚴標準

人格尊嚴標準既是對我國憲法中“人格尊嚴不受侵犯”的回應,也是與民法體系中一般人格權的相互印證。因為敏感個人信息與人格尊嚴關系緊密,所以在立法中以是否會侵害人格尊嚴作為標準判斷。同時,敏感個人信息對于信息主體的人格具有潛在風險。盡管在一定程度上來說,通過一般個人信息的相關法律法規也能對人格尊嚴進行保護,但顯然敏感個人信息的保護規則對人格尊嚴的保護更為直觀且全面,因此人格尊嚴標準的設立也能凸顯敏感個人信息保護人格尊嚴的功能價值。

2.人身、財產安全標準

人身安全主要包括身體、生命、健康這三方面。而一旦與其緊密關聯的個人信息遭到泄露或者被不法利用,信息主體將面臨人身安全受到損害的巨大風險。例如,醫療健康中的個人病史如被泄露后遭人利用,會帶來人身安全受損的風險。生命、健康作為最重要的法益,與其具有相當密切關聯的信息理應納入敏感個人信息的范疇并給予特殊的保護。域外立法中,敏感個人信息的立法一般聚焦于公民基本權利的保護,而財產安全并不關注。但在實踐中,財產安全往往也會關涉人身安全,特別在財產利益遭受嚴重侵害時會危及公民的基本權利。例如金融賬戶信息的泄露,對信息主體造成巨額財產損失,生活難以維系,基本權利難以保障。因此,將財產安全作為敏感個人信息的判斷標準之一具有現實依據。然而,財產安全這一標準也不能太過寬泛,應限縮為對財產安全具有重要影響的信息。

3.未成年人標準

在未成年人標準之下,只考察信息主體的年齡,即是否符合不滿14周歲的要件。然而也并非所有未成年信息都與人格尊嚴、人身財產安全緊密關聯,故一些域外立法中雖對未成年人信息的保護也有關注,但未將其作為敏感個人信息進行特別保護?；貧w我國的司法實踐,許多不法分子利用未成年信息對其家長、監護人進行詐騙的案例層出不窮,未成年人信息的泄露不僅可能對未成年主體帶來權益受損的風險,且極有可能威脅到其背后家長、監護人的相關權益。有鑒于此,我國在《個人信息保護法》的立法中將未成年人這一類特殊主體的個人信息統一劃歸敏感個人信息之列,以期對未成年人信息的保護作進一步強化,并以此作為判斷標準對是否屬于敏感個人信息進行判定。

(三)我國判斷標準之借鑒

我國敏感個人信息的判斷標準在一定程度上對列舉式判斷標準進行借鑒,但并未局限于此,而是通過該法條后的“等”字保證判斷標準的開放性及靈活性,這同時也給場景化判斷標準的適用創造了條件?！暗取弊鳛槎档字荚趹獙夹g進步與社會發展所產生的新型敏感個人信息。在未來司法實踐中涉及列舉之外的信息種類時,裁判者在運用現有法定判斷標準的同時,可運用場景化的判斷標準結合具體場景對該種信息進行判定。且敏感個人信息的敏感度在不同場景下亦不相同,例如將個人的電話號碼公布在十幾人的好友微信群與公布在微博、貼吧等網絡平臺所產生的影響肯定不同,由此對侵害程度的判斷也會產生影響。

此外,在當今大數據背景下,“畫像”技術被廣泛運用,許多信息被碎片化處理,而識別這些碎片化信息是否構成敏感個人信息就需要運用場景化判斷標準。所謂“畫像”,就是運用大數據技術采集各類碎片信息,通過技術手段對碎片信息進行處理、整合,以分析用戶的習慣、偏好?，F實生活中,許多購物平臺在其主頁向消費者推送特定商品就是基于對平臺用戶的“畫像”。這些經過“畫像”處理的碎片信息單獨來看可能并不屬于敏感個人信息,但多個、多種碎片信息經過特殊技術手段處理,再置于具體的場景,就能共同組成敏感個人信息。例如單獨的姓名、購物小票、用戶定位等信息并不一定屬于敏感個人信息,而一旦置于消費者購物的場景下,再將三者串聯起來就能分析出信息主體的消費偏好、行動軌跡等等。

四、敏感個人信息的保護路徑

(一)敏感個人信息中私密信息保護規則的適用

《民法典》以私密性的特征對個人信息進行分類,并為其制定了相關的保護規則,明確了私密信息可以適用有關隱私權的規定。故厘清敏感個人信息與私密信息這二者之間的關系,對實踐中規則的適用確有裨益。對于二者的關系,學界主要存在以下幾種分歧:一是同一論。持此觀點的學者認為,這二者之間含義接近,所發揮的功效相似,敏感個人信息本身也屬于隱私的范疇,故二者實質上是等同的,無需區分[13]。二是交叉論。該說認為這二者之間存在交叉關系,有些信息既是私密信息也同時是敏感個人信息,而有些信息僅為私密信息不構成敏感個人信息[14]。三是獨立區分說。該說認為二者之間互相獨立,并不重疊。四是包含說。該說認為敏感個人信息包含在私密信息之中,屬于私密信息的一種[15]。對于上述觀點,筆者更贊同交叉說。對于一些個人信息,諸如生物基因、醫療健康等既屬于敏感個人信息同時也構成私密信息,二者之間確實存在交集。然而《民法典》以私密信息與非私密信息對個人信息進行分類是從權益保護的角度對二者作規則上的區分;《個人信息保護法》則是從規范個人信息處理的角度作出敏感個人信息與一般個人信息的分類。二者立法的價值取向不同,盡管存在交叉重合,但不能簡單地互相替代。也正因為存在交集,所以會產生《民法典》與《個人信息保護法》的相關規則同時適用的問題。此時,應先對該敏感個人信息進行剖析,剔除其中的私密信息部分,可分為敏感非私密信息與敏感私密信息。其中,前者適用敏感個人信息的相關規則,而后者既適用有關隱私權的保護規則,也適用敏感個人信息的相關規則。

(二)敏感個人信息保護的根本路徑

《個人信息保護法》第28條在對敏感個人信息的概念作出界定的同時,也明確了敏感個人信息處理的三個前提條件,即“特定目的”“充分必要性”“采取嚴格保護措施”。三者作為前提條件,共同限制敏感個人信息的處理,只有同時符合三種前提條件,才能對敏感個人信息進行處理,即便在形式上取得個人的單獨同意或者書面同意,但如果不滿足前提條件同樣屬于違法處理。這樣的特殊限制也是對敏感個人信息的根本保護。在域外立法中,對于敏感個人信息的處理一般都采取原則上禁止、例外允許的模式。反觀我國則是采取原則上允許的模式[16],嚴格限制處理的前提條件,從根源上強化對敏感個人信息的保護。

1.特定目的

“特定目的”是目的限制原則在敏感個人信息處理規則中的具體折射。目的限制原則要求信息處理的目的要具有明確性與合理性,且處理行為需與處理目的直接相關。特定目的則是在此基礎上,要求處理敏感個人信息的目的限定于法律明確規定或者雙方明確約定的實現商品交易或服務的特定范圍內[17]。例如日常生活中逐漸普及的“刷臉支付”,信息處理者以現實支付服務為目的收集、處理信息主體的面部識別信息;又如為進行疫情防控,國家機關對醫療健康信息、行蹤軌跡信息進行處理。這些信息的處理僅限于特定的目的,不可另作他用。此外,處理的目的也必須明確具體,不可泛化。諸如“為完善系統”“為提供更好的服務”之類的籠統概括性目的均不符合特定目的前提。

2.充分必要性

充分必要性則是呼應了個人信息處理中的最小必要原則,并予以強化。最小必要原則是在必要原則的基礎上加以最小化的限定,要求信息處理者在處理信息的必要范圍內取最小值進行處理[18],該原則在《個人信息保護法》的第6條、第19條中均有體現。對于敏感個人信息的處理,不僅要求最小必要性,還需要滿足充分性,即敏感個人信息能不處理就不處理,對其處理保持最大的克制[19],以此強化對敏感個人信息的特殊保護。例如,學校要求提供未成年學生家長的聯系方式來通知家長符合充分必要性,但如果要求提供家長的身份證號、工作單位等信息都明顯超出充分必要性的范圍。同時,充分必要性應與特定目的緊密結合,對敏感個人信息處理的特定目的作出判斷時要進行充分必要性的考慮。

3.采取嚴格保護措施

總則中規定對個人信息的安全“采取必要措施”,對于敏感個人信息則是強化升級為“采取嚴格保護措施”。在《個人信息保護法》第28條的規定中,前款對敏感個人信息的概念界定采用“一旦泄露或非法使用”的表述,更多地體現出一種事后救濟性保護,而采取嚴格保護措施則是對敏感個人信息的安全作預防性的前置保護。這種保護措施在《個人信息保護法》的第51條、56條中均有所體現,從中可以歸納出以下三方面的措施:一是組織措施,包括制定管理制度、操作規程、應急預案,對人員進行教育培訓等,從組織管理層面嚴格把握,總攬全局。二是物理措施,對信息進行物理分類處理,分開存儲。三是技術措施,主要有加密處理、去標識化處理以及影響評估等,在不同行業的規范中還有其他的技術手段,例如匿名化、彈窗機制、屏蔽措施等等。