论敏感个人信息的界定与民法保护

华景天,吕 杨

(贵州民族大学 法学院,贵州 贵阳 550025)

一、问题的提出

在数字信息与经济社会持续不断的交织互融中,信息网络无疑成为当今生产生活的新平台、经济发展的新动力、合作交流的新枢纽。由网络所承载的信息在经济高速发展的驱动下不断汇聚、累积,其中尤以个人信息最为突出。我国在着眼于数字经济发展的同时显然也关注到了这一点,不断加强对个人信息的保护,先后颁布、修改了相关法律法规、规范性文件。近年来,学界对于个人信息的理论研究日益增多,但大多数都是对个人信息的整体进行研究,鲜有类型化研究。显然,此举虽考虑到事物的普遍性却忽视了其特殊性。个人信息作为特殊客体,不同种类的个人信息在不同环境的催化下会对信息主体产生不同的影响。2021年正式实施的《民法典》第1034条以“总扩+列举”的方式明确了个人信息的概念,在对个人信息作出定义的同时列举出一些具体种类,同时在该条的第二款中提出了“私密信息”这一概念。显然,《民法典》以个人信息是否具备私密性特征来作类型化归纳,将个人信息分为私密性个人信息与非私密性个人信息来进行不同保护。然而,之后颁布的《个人信息保护法》却以一种全新的方式对个人信息作出划分:采用敏感个人信息和一般个人信息而并非沿用私密信息与非私密信息。由此产生的问题是:何为敏感个人信息?何谓敏感?敏感个人信息与私密信息有无关系?敏感个人信息该如何保护?以上也是本文所要讨论的主要问题。

二、敏感个人信息的界定

(一)立法演进中的“敏感个人信息”

尽管敏感个人信息这一概念是首次在《个人信息保护法》中予以确认,但早在20世纪70年代的德国个人信息立法中就出现了敏感数据的概念,当时有学者将其定义为“具有极高个人属性、对识别个人身份十分重要的、有受损害或者歧视风险的信息,其标识着个人某项特定的属性 ”[1]。欧盟成员国之间在1981年通过的《108号公约》中单独列举出一些类型的个人数据,并将这些个人数据划分为“特殊种类数据”,但这仅是概念的用语表述不同,实则与敏感个人信息并无差异。在这之后出台的欧盟《通用数据保护条例》则沿用此概念并具体规定了处理保护规则。此外,巴西、韩国等国家也均在立法上提出了敏感个人信息的概念。在我国,《个人信息保护法》未颁布前虽未采用敏感个人信息这一概念,但在一些法律法规、规范性文件中却也有体现。例如《征信业管理条例》第14条规定,“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息”。该条实际上就是对敏感个人信息的保护作出了特别规定。《民法典》虽未提出敏感个人信息的概念,但明确了其上位概念个人信息,并作出分类,这也为《个人信息保护法》的立法奠定了基础。《个人信息保护法》作为一部单行法,对个人信息进行更为体系化的分类,借鉴域外法并结合我国国情,最终确立了敏感个人信息制度[2]。

(二)敏感个人信息的概念界定

“法律概念是法律规范和法律制度的建筑材料。”[3]法律概念作为设立规范、构建制度的重要基石,必须首先明确。敏感个人信息在我国《个人信息保护法》第28条中有如下定义:“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。”其核心要素就在于“敏感”二字,故该条从两方面来凸显其特征。一是信息遭到泄露或非法使用的潜在风险;二是侵害人格尊严以及危害人身财产安全的高度盖然性。以“不可控的特殊风险+高概率的权益侵害”界定敏感个人信息,这种概念界定也是与国际接轨,顺应基于风险的方法(risk-based approach)的个人信息保护立法趋势,区分不同类型以便作差异化保护。然而也有学者认为,敏感个人信息所用的“敏感”二字,主观性过强,存在个体的差异[4]。实则不然,其一,判断是否属于敏感个人信息的主体是客观的。据《个人信息保护法》第六章可知,是否属于敏感个人信息由履行个人信息保护职责的部门通过专门的个人信息保护规则、标准来作出具体的判断;另外司法机关也可以在具体案件中依法对是否属于敏感个人信息进行判断。其二,判断标准也是客观的。判断标准的设立往往基于各国国情,是对社会现状的一种客观反映。诚然,信息主体或信息处理者的主观认知必然会存在个体的差异,判断主体在作出判断时也会综合不同因素考量,但判断的客观标准并不会因此而发生改变,同时上述判断主体作为中立方的存在也能保证判断整体的客观性。因此,虽然敏感二字带有主观色彩,但在制度的规范下能够进行客观评价。

(三)敏感个人信息的类型列举

《个人信息保护法》第28条还对敏感个人信息进行了列举,其中值得注意有二:一是该条的列举以“等”字收尾,未将敏感个人信息限制于列举项内;二是该条所列举个人信息种类的划分标准不同,其中前六项均以信息的内容为划分标准,而最后一项“不满十四周岁未成年的个人信息”则是以信息的主体为划分标准,这也是我国个人信息立法中的一大创新。

1.生物识别

《信息安全技术 个人信息安全规范》( GB /T 35273 - 2020)的附录B中规定,个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。个人生物识别信息具有个人信息的唯一性、程序识别性、可复制性、损害的不可逆性及信息的关联性等特征[5]。其所具有的唯一性和程序识别性使得生物识别信息能够经一定的技术处理对应识别到特定的自然人。

2.宗教信仰

个人宗教信仰的信息是指,“个人是否信奉宗教、信奉何种宗教以及信奉某一宗教中何种教派的信息”[6]。因为各宗教之间所奉行的准则不同,信仰的内容各异,所以难免会因此产生摩擦或冲突。故个人宗教信仰信息的泄露,极易造成信息主体受到不同信仰者的歧视,侵害其人格权,也有可能引发人身、财产利益受损的风险。

3.特定身份

从词义上分析,“特定”一词对身份信息作出限定,也正因为该种身份信息被特定化,所以使得信息主体具有一定的可识别性。《个人信息保护法》的立法之初,曾将“种族、民族”作为敏感个人信息的种类进行列举,但最终颁布时采用了“特定身份”这一概念。不难看出,种族、民族信息可被特定身份信息这一概念所包含,引入“特定身份”这一概念也扩大了敏感个人信息的保护范围[7]。也有学者认为,身份证号码也属于特定身份信息,因为我国公民身份证号码并非随机排列组成,而是由出生地的行政区划编号、出生年月日等组成,对个人信息具有强指向性。与此相类似的还有驾驶证号码、护照号码等等[8]。另外,一些特殊职业信息也属于特定身份信息,如军人、警察等。

4.医疗健康

个人医疗健康信息可以分为个人医疗信息和个人健康信息。其中个人医疗信息是个人接受医疗服务过程中所产生的所有相关信息,包括就诊记录、病历资料等,对于此类个人医疗信息,《民法典》也在第1226条对医疗机构及医务人员课以保密义务。个人健康信息所包含的内容则更广,所有能反映信息主体健康状况的信息都属于个人健康信息。

5.金融账户

金融账户信息列入敏感个人信息的保护范围,旨在对信息主体权益进行多样化保护。在我国,移动支付盛行,许多金融账户都与网络账号进行绑定以便支付使用,虽然带来了便利,但同时也增加了风险。另外,电信诈骗也是不断侵扰我国公民的一大问题,金融账户信息一旦泄露或是被非法利用,都会给不法分子可乘之机,对信息主体造成财产安全甚至是人身安全的侵害。

6.行踪轨迹

行踪轨迹信息是指能够反映出信息主体日常生活中行动路线、移动轨迹的信息。与单纯的位置定位信息不同,行踪轨迹信息更多强调的是一种动态的位置移动的轨迹、路线,而非静态的位置定位。且行踪轨迹信息不仅指实时的行踪轨迹,还应从时间的维度来考虑[9],还包括信息主体的历史行踪轨迹,综合此类信息中极易分析出信息主体的住所、日常轨迹、个人喜好等。

7.未成年人的个人信息

此类个人信息以信息的主体作为划分标准,故在此概念项下不再关注信息的内容为何,只要符合不满14周岁未成年人这一主体标准的信息都属于敏感个人信息。在此,我国未成年人的个人信息立法也与《未成年人保护法》进行了衔接,将主体年龄划定为不满14周岁。

三、敏感个人信息的判断标准

基础概念的明晰对既有基础问题的解决有现实助益,然而面对个人信息领域发展中不断涌现的新生问题,裁判者在个案中对是否属于敏感个人信息再作判断时,仅凭基础概念进行解释分析容易出现理解上的偏差与适用时的混乱,而判断标准的确立则可以精准框定。

(一)域外立法实践中的判断标准

关于敏感个人信息的判断标准,现有域外立法主要采用两种方式,分别是列举式的判断标准和场景化的判断标准[10]。列举式的判断标准一般采取穷尽式列举的方法,将具体类别固定在法律法规中,明确地划定了敏感个人信息的判断标准,也使得信息主体、信息处理者以及裁判者能够直观快速地作出判断。但这种固定类型化的判断标准显然难以适应社会发展的快节奏,新旧信息的更迭不可避免地对这种判断标准产生冲击,这也就要求立法对判断标准进行不断调整。典型的如欧盟从《108号公约》到《数据保护指令》以及《通用数据保护条例》,不断增加种类的列举以满足新时代背景下对信息保护的要求。但此举无疑额外增加了立法成本,且在一定程度上破坏了法律的稳定性[11]。

各国在采取列举式判断标准时,往往步入了这样一个预设前提,即该种个人信息因其内容或性质上本身所具有的高度敏感性,在暴露或遭不法利用时有发生权益侵害的高风险,故可在立法层面按信息的内容预先作列举。而场景化判断标准则认为,个人信息本身并无敏感与非敏感之分,应将个人信息置于具体的场景之中进行判断,综合考虑该场景中信息处理的方式、环境、目的、对象等因素,对敏感个人信息的认定作出动态的判断。场景化判断标准破除了列举式判断标准的类型固化思维,在实践中更加灵活。但该标准的应用使得敏感个人信息的判断具有极大的不确定性,也使得敏感个人信息处理规则中的预防保护机制难以发挥功效。

(二)我国立法中采取的判断标准

依《个人信息保护法》第28条第一款可以归纳出我国敏感个人信息的三大法定判断标准,即人格尊严标准,人身、财产安全标准,未成年人标准[12]。

1.人格尊严标准

人格尊严标准既是对我国宪法中“人格尊严不受侵犯”的回应,也是与民法体系中一般人格权的相互印证。因为敏感个人信息与人格尊严关系紧密,所以在立法中以是否会侵害人格尊严作为标准判断。同时,敏感个人信息对于信息主体的人格具有潜在风险。尽管在一定程度上来说,通过一般个人信息的相关法律法规也能对人格尊严进行保护,但显然敏感个人信息的保护规则对人格尊严的保护更为直观且全面,因此人格尊严标准的设立也能凸显敏感个人信息保护人格尊严的功能价值。

2.人身、财产安全标准

人身安全主要包括身体、生命、健康这三方面。而一旦与其紧密关联的个人信息遭到泄露或者被不法利用,信息主体将面临人身安全受到损害的巨大风险。例如,医疗健康中的个人病史如被泄露后遭人利用,会带来人身安全受损的风险。生命、健康作为最重要的法益,与其具有相当密切关联的信息理应纳入敏感个人信息的范畴并给予特殊的保护。域外立法中,敏感个人信息的立法一般聚焦于公民基本权利的保护,而财产安全并不关注。但在实践中,财产安全往往也会关涉人身安全,特别在财产利益遭受严重侵害时会危及公民的基本权利。例如金融账户信息的泄露,对信息主体造成巨额财产损失,生活难以维系,基本权利难以保障。因此,将财产安全作为敏感个人信息的判断标准之一具有现实依据。然而,财产安全这一标准也不能太过宽泛,应限缩为对财产安全具有重要影响的信息。

3.未成年人标准

在未成年人标准之下,只考察信息主体的年龄,即是否符合不满14周岁的要件。然而也并非所有未成年信息都与人格尊严、人身财产安全紧密关联,故一些域外立法中虽对未成年人信息的保护也有关注,但未将其作为敏感个人信息进行特别保护。回归我国的司法实践,许多不法分子利用未成年信息对其家长、监护人进行诈骗的案例层出不穷,未成年人信息的泄露不仅可能对未成年主体带来权益受损的风险,且极有可能威胁到其背后家长、监护人的相关权益。有鉴于此,我国在《个人信息保护法》的立法中将未成年人这一类特殊主体的个人信息统一划归敏感个人信息之列,以期对未成年人信息的保护作进一步强化,并以此作为判断标准对是否属于敏感个人信息进行判定。

(三)我国判断标准之借鉴

我国敏感个人信息的判断标准在一定程度上对列举式判断标准进行借鉴,但并未局限于此,而是通过该法条后的“等”字保证判断标准的开放性及灵活性,这同时也给场景化判断标准的适用创造了条件。“等”作为兜底旨在应对技术进步与社会发展所产生的新型敏感个人信息。在未来司法实践中涉及列举之外的信息种类时,裁判者在运用现有法定判断标准的同时,可运用场景化的判断标准结合具体场景对该种信息进行判定。且敏感个人信息的敏感度在不同场景下亦不相同,例如将个人的电话号码公布在十几人的好友微信群与公布在微博、贴吧等网络平台所产生的影响肯定不同,由此对侵害程度的判断也会产生影响。

此外,在当今大数据背景下,“画像”技术被广泛运用,许多信息被碎片化处理,而识别这些碎片化信息是否构成敏感个人信息就需要运用场景化判断标准。所谓“画像”,就是运用大数据技术采集各类碎片信息,通过技术手段对碎片信息进行处理、整合,以分析用户的习惯、偏好。现实生活中,许多购物平台在其主页向消费者推送特定商品就是基于对平台用户的“画像”。这些经过“画像”处理的碎片信息单独来看可能并不属于敏感个人信息,但多个、多种碎片信息经过特殊技术手段处理,再置于具体的场景,就能共同组成敏感个人信息。例如单独的姓名、购物小票、用户定位等信息并不一定属于敏感个人信息,而一旦置于消费者购物的场景下,再将三者串联起来就能分析出信息主体的消费偏好、行动轨迹等等。

四、敏感个人信息的保护路径

(一)敏感个人信息中私密信息保护规则的适用

《民法典》以私密性的特征对个人信息进行分类,并为其制定了相关的保护规则,明确了私密信息可以适用有关隐私权的规定。故厘清敏感个人信息与私密信息这二者之间的关系,对实践中规则的适用确有裨益。对于二者的关系,学界主要存在以下几种分歧:一是同一论。持此观点的学者认为,这二者之间含义接近,所发挥的功效相似,敏感个人信息本身也属于隐私的范畴,故二者实质上是等同的,无需区分[13]。二是交叉论。该说认为这二者之间存在交叉关系,有些信息既是私密信息也同时是敏感个人信息,而有些信息仅为私密信息不构成敏感个人信息[14]。三是独立区分说。该说认为二者之间互相独立,并不重叠。四是包含说。该说认为敏感个人信息包含在私密信息之中,属于私密信息的一种[15]。对于上述观点,笔者更赞同交叉说。对于一些个人信息,诸如生物基因、医疗健康等既属于敏感个人信息同时也构成私密信息,二者之间确实存在交集。然而《民法典》以私密信息与非私密信息对个人信息进行分类是从权益保护的角度对二者作规则上的区分;《个人信息保护法》则是从规范个人信息处理的角度作出敏感个人信息与一般个人信息的分类。二者立法的价值取向不同,尽管存在交叉重合,但不能简单地互相替代。也正因为存在交集,所以会产生《民法典》与《个人信息保护法》的相关规则同时适用的问题。此时,应先对该敏感个人信息进行剖析,剔除其中的私密信息部分,可分为敏感非私密信息与敏感私密信息。其中,前者适用敏感个人信息的相关规则,而后者既适用有关隐私权的保护规则,也适用敏感个人信息的相关规则。

(二)敏感个人信息保护的根本路径

《个人信息保护法》第28条在对敏感个人信息的概念作出界定的同时,也明确了敏感个人信息处理的三个前提条件,即“特定目的”“充分必要性”“采取严格保护措施”。三者作为前提条件,共同限制敏感个人信息的处理,只有同时符合三种前提条件,才能对敏感个人信息进行处理,即便在形式上取得个人的单独同意或者书面同意,但如果不满足前提条件同样属于违法处理。这样的特殊限制也是对敏感个人信息的根本保护。在域外立法中,对于敏感个人信息的处理一般都采取原则上禁止、例外允许的模式。反观我国则是采取原则上允许的模式[16],严格限制处理的前提条件,从根源上强化对敏感个人信息的保护。

1.特定目的

“特定目的”是目的限制原则在敏感个人信息处理规则中的具体折射。目的限制原则要求信息处理的目的要具有明确性与合理性,且处理行为需与处理目的直接相关。特定目的则是在此基础上,要求处理敏感个人信息的目的限定于法律明确规定或者双方明确约定的实现商品交易或服务的特定范围内[17]。例如日常生活中逐渐普及的“刷脸支付”,信息处理者以现实支付服务为目的收集、处理信息主体的面部识别信息;又如为进行疫情防控,国家机关对医疗健康信息、行踪轨迹信息进行处理。这些信息的处理仅限于特定的目的,不可另作他用。此外,处理的目的也必须明确具体,不可泛化。诸如“为完善系统”“为提供更好的服务”之类的笼统概括性目的均不符合特定目的前提。

2.充分必要性

充分必要性则是呼应了个人信息处理中的最小必要原则,并予以强化。最小必要原则是在必要原则的基础上加以最小化的限定,要求信息处理者在处理信息的必要范围内取最小值进行处理[18],该原则在《个人信息保护法》的第6条、第19条中均有体现。对于敏感个人信息的处理,不仅要求最小必要性,还需要满足充分性,即敏感个人信息能不处理就不处理,对其处理保持最大的克制[19],以此强化对敏感个人信息的特殊保护。例如,学校要求提供未成年学生家长的联系方式来通知家长符合充分必要性,但如果要求提供家长的身份证号、工作单位等信息都明显超出充分必要性的范围。同时,充分必要性应与特定目的紧密结合,对敏感个人信息处理的特定目的作出判断时要进行充分必要性的考虑。

3.采取严格保护措施

总则中规定对个人信息的安全“采取必要措施”,对于敏感个人信息则是强化升级为“采取严格保护措施”。在《个人信息保护法》第28条的规定中,前款对敏感个人信息的概念界定采用“一旦泄露或非法使用”的表述,更多地体现出一种事后救济性保护,而采取严格保护措施则是对敏感个人信息的安全作预防性的前置保护。这种保护措施在《个人信息保护法》的第51条、56条中均有所体现,从中可以归纳出以下三方面的措施:一是组织措施,包括制定管理制度、操作规程、应急预案,对人员进行教育培训等,从组织管理层面严格把握,总揽全局。二是物理措施,对信息进行物理分类处理,分开存储。三是技术措施,主要有加密处理、去标识化处理以及影响评估等,在不同行业的规范中还有其他的技术手段,例如匿名化、弹窗机制、屏蔽措施等等。