◎王 敏

在大数据时代，隐私是一个复杂的命题，隐私保护更是一项系统工程。在这项工程中，敏感数据是其核心领域。区别对待不同类型的个人数据，对敏感数据予以更为严格的保护，已成为全球共识。

敏感数据的定义模式及引发的悖论

关键问题是，哪些个人数据才能被定义为敏感数据？

我们考察了92个国家和地区的隐私保护相关法律后发现，截至2018年2月，有74个国家和地区对“敏感信息/数据”作了定义或分类。通过对每一类信息/数据进行归类、统计，发现认可度最高的前10类敏感数据分别是关于：（1）身体或精神健康信息 （N1=72 97.30%，即72个国家和地区认可，比例为97.30%）；（2）宗教信仰 （N2=71 95.95%）；（3）政治观点和党派 （N3=69 93.24%）；（4）性生活或性取向 （N4=68 91.89%）；（5）民族或种族 （N5=66 89.19%）；（6）工会身份 （N6=60 81.08%）；（7）哲学或道德信仰 （N7=55 74.32%）；（8）犯罪记录或诉讼，以及行政诉讼 （N8=40 54.05%）；（9）基因信息 （N9=23 31.08%）；（10）生物特征 （N10=17 22.97%）。其它一些关于个人私生活、财务信息、社会福利、个性特征、身份证号、儿童信息等也在少数国家的法律中被视为“敏感”。

所有这些数据中，排名前七的认可度均在70%以上，由欧盟 《个人数据保护指令》最先规定：禁止那些揭露个人的“民族/种族，政治观念，宗教或哲学信仰，工会身份，以及关于健康或性生活”的数据 （第8条第1款），而后在2016年5月生效的 《通用数据保护条例》中得到再次确认和延续。现在，这一“欧盟标准”成为大多数国家定义敏感数据或分类特殊类别数据的基本框架，此框架之外的较大区别在于是否将“犯罪记录或诉讼” （排名第八）视为敏感数据之列。因此，世界上大多数国家的敏感数据定义模式可概括为两种：“欧盟标准”和“欧盟标准加犯罪记录”。单以欧盟28个成员国 （包括英国）为例，敏感数据定义的最主要分歧在于，“犯罪记录及行政诉讼”是否应当被归为敏感之列。其中，17个成员国 （60.71%）既遵循 《个人数据保护指令》规定的“欧盟标准”，同时又认可“犯罪记录”为敏感数据，即采取“欧盟标准加犯罪记录”模式；另外11个成员国 （39.29%）则采取“欧盟标准”模式。

与此同时，通过对2004年至2016年12年间200个规模最大的数据泄露案例进行统计分析发现，在现实生活中，个人数据侵犯主要集中于以下三类数据：（1）财务记录和信息；（2）身份证号/SSN/个人详细信息； （3）电子邮件/网络信息。相比之下，健康数据被泄露的数目相对较少，占据第四位。由此可见，财务数据被泄露、盗取得最多，被侵犯的几率也最高。

这一实践研究的结果与理论中的法律规定存在较大差异，形成一种“悖论”，即：财务数据在绝大多数国家和地区的隐私相关法律中不在十大敏感数据之列，而在现实中被侵犯的风险却最高，远超其他类型的数据；健康数据在理论上被普遍视为敏感，在现实中被盗取、泄密的概率却较低。笔者将这种理论与现实之差别称为敏感数据的“现实悖论”。

悖论源于理论与现实脱节

“欧盟标准”的 “现实悖论”是如何造成的呢？以下将分别从理论和现实两个层面进行对照解释。

理论上，依据欧盟委员会的观点，定义和分类“敏感数据”，区别对待某些类型的数据，这种理念的基本依据是：“滥用或泄露这类数据会 （比其他 ‘普通’数据）给数据主体带来更为严重的影响或危害。”敏感数据的滥用或泄露，例如健康数据或性经历，会给个人的生命健康、人格尊严和名誉声望造成长久、不可逆转的影响和损害。这即是许多西方伦理学家和哲学家普遍认可的“生命神圣”（或曰“敬畏生命”）、“人格尊严”原则。“生命神圣”可用以解释为何与生命健康相关的数据被大多数的国家和地区 （74，97.30%）视为敏感数据，并受到特殊的规制与保护； “人格尊严”可解释为何政治观点、民族/种族身份、哲学信仰被大多数国家所普遍珍视。该准则在全球立法体系中占据重要地位。从理论上讲，“生命神圣”和 “人类尊严”等伦理准则是多数国家制定法律法规的基础，也为大多数国家和地区对“敏感数据”达成的共识提供理论支撑。敏感数据的“欧盟标准”实际上是从全球性视野对这类“原生规范”的一种践行。

现实中，在大数据时代，数据是每一种应用的基本单位，海量的个人数据意味着巨大的经济价值。这种情况下，数据的经济属性体现无遗，隐私和数据实际上成为个人的准财产，而每一次的数据丢失和泄露都可能被商业所利用或导致诈骗交易。例如，2013年12月19日，美国零售商Target确认4000万条银行卡号泄露。据华尔街投行Jefferies的估算，这将导致总金额达118亿美元的诈骗交易。事实上，许多电子商务、电子营销、数据贸易、诈骗交易都是源于个人数据被窃或丢失。正是由于其财产性质和潜在的经济价值，财务记录和信息的泄露数目才高居榜首，这反过来又证实了个人隐私数据的财产属性。

所以，敏感数据的“现实悖论”源自看待隐私数据的两种不同视角。现实中的数据泄露案例暴露了隐私数据的现实经济价值，即隐私可被视为一种准财产权；而“欧盟标准”是从理论上将隐私视为一种人格权，注重的是“敬畏生命”和“人格尊严”，但忽略了隐私信息的财产属性。这种忽略可以回溯至 《个人数据保护指令》生效的20世纪90年代。彼时，电脑和网络仅在很小的范围内使用。人们通过传统方式（如面对面或有线电话）交流、交易。而后随着信息与通讯技术（ICTs）的快速发展，新的传播方式与商业模式涌现，开始从根本上改变个人生活与商业进程。目前，数据已成为数字经济的根本驱动力，个人数据的价值十分引人注目。如对隐私数据的财产属性重视不够，必然导致现实中出现越来越重大的经济与财产损失。

此外，新一代网络用户 （常被称为“千禧一代”）的生活与信息通讯技术深度交织在一起，被称为“数字原住民”，其隐私观念可能与20世纪90年代的“数字移民”不同。经合组织准则 （1980 OECD Guidelines）与 《欧盟个人数据保护指令》所规定的七类敏感数据对“千禧一代”而言也许并没有那么特别、私密和敏感，因而对他们也不一定适用。目前的法律框架也需要通过修订以符合新生代的价值观。还有，信息与通讯技术的发展不仅带来了隐私观念的变化，还带来了新的数据类型。例如，生物特征识别数据 （biometric data）在20世纪90年代《个人数据保护指令》生效时并不被公众所熟知。但近年来，生物特征识别技术已经非常流行，已有22个国家将基因数据视为敏感数据，16个国家将生物特征识别数据归为敏感数据。在数字时代，个人数据的范围将极大地扩展，一切与个人相关的人、物、事都能被数据化，并被自动保存、记录和传播。这些数据易被追踪，却难以删除，因而，敏感数据的法规也应考察并涵盖那些可能导致严重隐私侵害后果的新型数据。

对中国的启示

当大数据应用成为时代发展趋势，建立开放数据库可为文明进步做出重要贡献，例如，“促进创新、经济发展和产业升级，履行政治责任，实现民主参与，提升公共服务效率”。但是，更多、更便捷的开放数据库向公众开放后，因包含海量的个人数据，就意味着对隐私权利和个人利益产生更大的威胁。此外，算法和数据技术带来私人定制服务的流行，直接导致大量个人敏感数据唾手可得，造成实际的隐私侵犯和财产损失。为了平衡个人、商业和公共利益，维持数据产业的有序、公平和可持续发展，鉴定、分类并统一保护敏感数据这一核心领域的需求越发紧迫。

因此，为了在全国范围内建立统一而安全的数字市场，且与国际数据统一市场接轨，我们应将某些更易被侵犯的个人数据类型以及新型的数据类型，例如财务记录、个人身份识别特征、基因信息等，纳入重点保护的范畴，且与神圣生命和人格尊严紧密相连的数据一起，将其定义为敏感数据，即是，兼顾隐私数据的人格和财产双重属性，以减少对个人尊严和经济利益的侵害。与此同时，为了维护集体和公共利益，在“风险社会”充分保障个人权利的同时，也应当有些例外和限制。例如，《个人数据保护指令》在全面保护个人数据的同时也规定：涉及到 “（1）国家安全； （2）国家防御；（3）公共安全；（4）对犯罪行为的预防、调查、侦查、起诉；（5）财政、预算和税收等事务”时，个人的权利将受到限制。因此，无论是牵涉到哪一类个人数据，或个人数据有多么敏感，数据保护或隐私权利在实际执行过程中，可能会有一些限制。

此外，正如不是每一类个人数据都应当受到同等的对待和一致的保护一样，不同的个人和数据主体也应区别对待。例如，儿童 （13岁以下或受到父母监护的）的个人信息在加纳、莱索托、南非和美国被视为敏感数据，但其他国家的隐私相关法中却没有这样的规定。这也应引起我们的注意，并从中受到启发。