敏感个人数据的特殊保护

2019-05-23陈红旭

重庆理工大学学报(自然科学) 2019年4期

陈红旭

(重庆邮电大学网络空间安全与信息法学院，重庆 400065)

目前，我国个人信息[注]说明：当前我国立法普遍使用个人信息的表述，美国也较多使用个人信息表述，而欧盟立法则普遍使用“个人数据”( personal data) 的表述。学术界普遍认为两者没有本质差异，故本文结合表述场景交叉使用。立法已经被提上日程[注]2018年9月10日，十三届全国人大常委会立法规划正式发布，69件法律草案列入第一类项目，个人信息保护法是第61个项目。中国人大网http://www.npc.gov.cn/npc/xinwen/2018-09/10/content_2061041.htm.,但对于未来是否需要引入敏感个人信息的概念、设定规则并进行特殊保护尚无统一观点。对于已发布的3部《个人信息保护法(专家建议稿)》，在早期起草的版本中并没有引入“敏感个人信息”这一概念，而新起草的建议稿则明确引入这一概念，并设置了相应的特殊保护规则。

本文对目前国际上关于敏感个人信息的界定及其特殊保护情况，以及我国当前关于敏感个人信息的界定、规范等问题展开了调查与研究。

1 国外敏感个人数据的保护现状与问题

国外关于个人数据保护立法主要分为两类。一类是以美国为代表的“公平实践原则”为主的立法；[注]欧盟以个人数据为保护对象，同时以数据主体的“自决权”和数据的“人格权”为基础，制定了统一的个人数据保护立法，统一规范个人数据的收集、处理和使用标准，并设立专门的个人数据保护机构实行统一保护。另一类是以欧盟为代表的统一立法。

1.1 以美国为代表的“公平实践原则”为主的立法

当前，美国尚无专门的法律来规范敏感个人数据的保护，对该类数据保护的有关规定分散在美国多项联邦法律中。1970年颁布的《公平信用报告法》与2003年颁布的《公平准确信用交易法案》中[1]明确了数据主体的“知情权、修改权”，强调了有关机构对数据的收集必须限于特定目的，并将部分个人数据纳入“禁止收集”的范畴。可以看出，这种区分实则是对个人数据敏感与否的一种界定。

1999年颁布的《金融服务现代化法案》中，对敏感个人数据的保护体现在两个方面。一方面是从类型上区分敏感个人数据，明确该法案只对“个人可识别金融数据”即“非公开的个人信息”进行保护；另一方面，从遵循数据主体的意愿角度区分敏感个人数据，一旦数据主体认为其数据属于敏感类，即可通过拒绝的方式禁止金融机构对其数据的收集。1996年的《电信法案》，将个人数据划分为不同的敏感级别予以保护[1]。

1.2 以欧盟为代表的统一立法

2018年5月25日生效的《欧盟通用数据保护条例》(general data protection regulation，GDPR)明确定义了敏感个人数据的分类，见表1。GDPR高度重视数据分类[3]，具体保护主要体现在两方面。

表1 欧盟GDPR中的敏感个人数据种类

一方面，GDPR第9条明确了禁止处理的敏感个人数据种类与基于数据主体“同意”前提可以进行数据处理的法定情形；[注]详见GDPR第9条。另一方面，大数据的出现和数据处理分析技术的提升为刻画个人的数字画像和数字人格提供了可能。欧盟认为数据画像活动对数据主体的权益保护同样存在一定的安全风险，并在GDPR中对数据画像也进行了明确定义,将数据画像的个人数据纳入敏感个人数据保护之列[4]。

2 我国当前敏感个人信息的保护现状及问题

当前，因个人信息不当收集、滥用、泄露而导致公民权益受到侵害的事件时有发生，个人信息法律保护已成为社会关注的热点问题。

2.1 立法及国家标准中的敏感个人数据

我国目前尚未制定专门的个人数据立法。虽然我国已有多部法律、法规、规章提及了个人信息的定义，但均未对敏感个人数据予以明确定义和分类。已有部分法规通过禁止性条文将一些个人信息列为禁止收集的范围，隐含了这些信息具有敏感性的特征。在刑法体系中，通过司法解释的方式，对公民部分数据予以重点保护，这也体现了该类数据的敏感性。

我国2017年发布的《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)从国家标准的层面明确了“敏感个人数据”的概念和分类，具体如表2所示。[注]详见《信息安全技术个人信息安全规范》3.2，注 2：关于个人敏感信息的范围和类型可参见附录 B。虽然该规范不属于国家强制性标准，不具有法律效力，但该规范的发布为我国敏感个人数据的法律保护问题进行了有价值的探索。

表2 《信息安全技术个人信息安全规范》中的敏感数据种类

2.2 现行相关规定存在的问题

我国现有的法律体系虽已在逐渐加强对个人信息的保护力度，但由于尚未有专门体系化立法，故相关分散性规定存在保护标准不一致的问题。

笔者认为，高位阶立法未区分敏感与非敏感个人数据导致了同位阶及下位阶规范中出现概念混淆和适用混乱问题。同时，因数据主体对个人数据敏感程度重要性认知不同，如果不能清晰定义敏感数据属性，则数据主体权益难以得到切实有效的保障。

3 我国敏感个人数据概念及其区分必要性

尽管我国已从刑事责任追究、民事权利救济、行政监管和行业自律等多方面保护个人信息，同时从相关规范中寻找和探索涵及法律界对于敏感个人信息的界定[5]，但是，由于所调节的矛盾不同、适用对象不同、涉及的行业不同，其对敏感性的定义、认识还存在相互矛盾、混淆不清的情况。另外，数据主体对个人数据重要程度也存在认知不统一的情况。在我国深化大数据应用、大力发展数字经济的时代背景下，为实现经济发展与数据主体权益保护的和谐统一，笔者认为，应明确引入敏感个人数据的概念和分类，并通过分级分类保护方式解决上述难题。

3.1 敏感个人数据的概念

《个人信息安全规范》填补了我国个人信息保护在实践标准上的空白。该规范不仅引入了敏感个人信息概念，将其定义为“一旦泄露、非法提供或滥用可能危害人身财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇的个人信息”，还将包括“个人财产数据、个人健康生理数据、个人生物识别数据、个人身份数据、网络身份标识数据、其他数据等”列入敏感个人数据的分类。[注]详见我国《个人信息安全规范》附录B.1。这种概括和列举虽在一定程度上为我国未来立法提供了参考，但其仍存在不足。例如，《个人信息安全规范》将“个人电话号码”“行踪轨迹”归入敏感信息之类，但上述信息如不能对应数据主体的真实个体，这类数据就不能显示出其特殊敏感性，相反还能在快递物流、广告推广或者导航出行等场景中发挥作用。

综上，笔者认为，在大数据环境下，并非所有《个人信息安全规范》中提及的敏感个人信息皆敏感，应根据不同场景产生的不同“后果”加以分析。因此，在此基础上，笔者将“敏感个人数据”概括定义为“涉及数据主体隐私，一旦泄露、非法提供或滥用极易或一定危害人身财产安全，导致个人名誉、身心健康受到损害或歧视性待遇后果的具有直接识别特性或惟一识别特性的个人数据。”

3.2 敏感个人数据区分必要性

在个人数据的法律保护问题上，应具体划分为敏感与非敏感个人数据进行保护，分析其必要性如下：

1) 将个人数据划分为敏感个人数据与非敏感个人数据是当今世界关于个人数据保护立法的一大特色。欧盟、韩国、日本等国家已在其颁布的法律中明确引入敏感个人数据的概念，并予以分类。各国对敏感个人数据种类的定义有不同之处，但其立法实践已成为世界主流趋势[1]。

2) 个人数据在大数据应用下会深刻刻画数据主体的自然身份，特别是敏感个人数据的汇入，甚至能描绘出其在虚拟社会的“数字人格”[8]。在互联网开放环境中，这无疑会对数据主体的各类权益带来威胁。因此，应将个人数据予以区分，特别加强对敏感个人数据的保护，保障数据主体的合法权益[6]。例如，在我国，居民身份证是用于证明个人身份的法定证件，记载了姓名、身份证号码、性别、民族、出生日期、住址等要素，但身份证号存在被广泛采集的情况。由于身份证号码在大数据环境下能迅速对应并关联到数据主体的真实身份和其他个人数据，故在现实应用场景中也具有极高的敏感性。

目前，从网上披露的大量电信诈骗案例可以发现，诈骗分子通过互联网购买、收集公民的个人数据后，运用各种骗术电话联系受害人实施诈骗。有相当部分受害人事后描述在诈骗分子能准确说出其身份证号这一敏感信息后，便降低了警惕。在2018年6月发生的“徐玉玉案”中，个人敏感信息被网络黑客窃取后，诈骗分子实施精准诈骗导致一位花季少女不幸陨落的极端个案显示出敏感个人信息保护的现实意义。

3) 个人数据融合、汇集带来的大数据应用赋予了个人数据在互联网时代极高的商业价值。对个人数据进行敏感和非敏感分类保护是解决经济发展与数据主体权益保护矛盾的有效手段[7]。原则上，建议对非敏感个人数据予以充分利用，对敏感个人数据严格设置法律规范予以使用。

综上，笔者认为，在现今大数据环境下，对敏感个人数据区分并分类保护是形势所需，也是发展必然。

4 我国敏感个人数据的保护路径构想

根据前文对敏感个人数据概念的定义，本文在具体场景中结合数据的敏感程度，以“平衡”为核心，提出动态平衡模型构想。

4.1 引入数据保护与动态平衡模型

敏感个人数据保护的核心目的是降低数据使用给数据主体带来的权益损失。通过构建权益保护和数据价值发展的平衡标准，实现其有效统一。

针对“平衡”问题，本文引入关于个人数据的敏感度与其利用价值两方面的动态平衡二维理论分级体系，一方面估量“个人数据”挖掘的价值，另一方面评估产生价值对应的“个人数据”的敏感程度，以为敏感个人数据保护提供策略参考。

根据本文对敏感个人数据的定义，动态平衡模型的构建应包括但不限于以下两种因素：

1) 个人数据从内容上描述数据主体的当前生活状态、GPS位置信息、身份信息、血型、宗教信仰等敏感个人数据的完整程度。

2) 个人数据为商业机构产生直接价值高低或者其数据用于商业挖掘价值的高低。

本文在模型构建上给出如下定义：

定义1对于敏感个人数据给定一个集合M，M={mj|j=1,2,3,…}，其中j表示不同类型的敏感个人数据种类数量。

定义2定义一个映射F，使F(mj)表示敏感个人数据描述数据主体的完整程度。

定义3定义一个映射V，使V(mj)表示个人数据的挖掘利用价值。

定义4定义Z表示数据主体的个人数据与其数据安全程度的映射关系，这种安全程度包括对数据主体的精神利益、物质利益安全程度的保障。

基于场景的概念下，对于涵盖敏感数据种类越多的个人数据，其对应的安全程度越低。由此得到个人数据安全程度与个人数据完整度的数学表达式，模型如图1所示。

Z(mj)=1 /F(mj)

(1)

式(1)中:Z(mj) 为个人数据安全程度;F(mj)表示敏感个人数据描述的数据主体的完整程度。

图1 敏感个人数据安全程度与准确度、完整度关系

在个人数据价值属性方面，不同准确度和完整度的个人数据带来的商业利用价值是不同的。常规而言，数据利用价值与完整度成正比。由此可得到个人数据价值、利用价值与其完整度、准确度的数学关系，模型表示见图2。

V(mj)=k·F(mj)-s

(2)

式中:V(mj)表示个人数据的挖掘利用价值;k表示不同互联网企业对个人数据的利用挖掘的不同能力；s点表示对敏感个人数据的起始收集点(左侧包括法律规定禁止收集的个人数据)；F(mj)表示敏感个人数据描述的数据主体的完整程度。

图2 敏感个人数据价值及其处理价值与其准确度、完整度关系

综合图1、2，得到图3。图3中，s点表示对敏感个人数据的起始收集点，k体现了互联网企业的数据处理、挖掘能力。图中的交点即敏感个人数据保护与商业利用的平衡点。在该平衡点上，敏感个人数据的保护与其利用价值刚好达到平衡，而关系式中的各项系数可因具体场景不同而发生变化，满足动态平衡的过程。

图3 自然人数据权益保护与其数据价值权重对比

4.2 基于动态平衡模型下的法律保护完善

从上述模型可以看出，在对数据主体描述完整度越来越完善的情况下，虽然数据发挥的价值能显著提高，但是其安全性也会大幅度降低。因此，在协调发展数据经济和保护敏感个人数据相统一的问题上，尝试引入数学平衡模型，以“平衡点”为基础进行分类保护。在诸多惟一性识别的敏感个人数据中，鉴于身份证号码的特殊敏感性，考虑到社会适用广度，同时为便于研究，将身份证号码数据直接设置为“平衡点”，并围绕涉及“身份证号”的敏感个人数据与不涉及“身份证号”的敏感个人数据，从完善不同“平衡点”下的企业数据收集、使用行为与政府监管保护措施方面提出建议。

1) 针对“平衡点”中涉及“身份证号”的敏感个人数据的法律保护：第一，在立法层面，加快推进我国个人数据保护的立法工作，借鉴各国成熟立法经验及实际司法实践，引入敏感与非敏感个人数据概念，特别是将身份证号列入禁止性收集范围，解决该类特殊敏感个人数据被超范围、超权限广泛收集的问题；[注]参见《网络安全法》第41条规定“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”第二，加快推进《国家人口基础信息库》的应用，[注]该基础信息库是由公安部牵头，教育部、民政部、人力资源和社会保障部、卫生和计划生育委员会共建，覆盖全国人口，以公民身份号码为唯一标识的国家数据库。通过共建单位的共同维护、多源校核，保证了全国人口信息的一致性、准确性、完整性、权威性，解决了之前相关部门各自采集维护的出生、死亡等信息的真实性、有效性带来的问题。加强信息共享，按照单一收集、多头共享的原则，保障该敏感数据的安全收集及使用；第三，严格落实信息系统安全防范技术措施，对必须存储“身份证号”类敏感个人数据的信息系统，严格设定查询权限、严格控制知悉范围，强化安全防护措施，同时采取加密存储的方式，以防数据泄露。

2) 对于“平衡点”中不涉及“身份证号”的间接识别敏感个人数据，探索成立数据保护监管机构，按照国家相关法律法规，审核存储有个人数据的机构、企业。运用动态平衡模型考察其收集、存储的数据是否符合“最小利用”原则与“目的限制”原则，并在“平衡点”下合理利用。对于超出“平衡点”的，数据保护监管机构有权采取删除数据、禁止处理等处置措施，以保证数据安全性。另外，加强行业准入机制、完善行业标准。对于数据利用机构、企业应有相应行业准入机制，避免无风险防范能力的机构、企业随意收集用户个人数据。同时，借鉴《个人信息安全规范》推荐性国家标准，实施符合数字经济发展与敏感个人数据保护的强制性国家标准。