张志峰

2019年12月19日，工信部通信管理局通报了第一批侵害用户权益行为的APP名单，QQ、新浪体育、搜狐新闻、小米金融等41款APP存在违规收集和使用个人信息、不合理索取权限等诸多侵犯用户个人信息的问题。我国对个人信息保护主要依据《民法总则》《网络安全法》《居民身份证法》《消费者权益保护法》等相关法律法规的分散规定。虽对于个人信息的收集、处理以及使用等行为均有规定，个人信息遭到侵犯的情况仍时有发生。这不仅是因为我国尚无统一的个人信息保护立法，更是因为未将个人信息在法律层面区分为个人敏感信息和个人一般信息。

一、研究进展：域内个人敏感信息保护的现状

个人信息中有一类信息因其内容和性质一旦泄露，将给信息主体的人身或财产带来严重影响，故称之为个人敏感信息。对于是否应当明确将个人信息区分为个人敏感信息和个人一般信息，我国学者有不同的观点：张新宝[1]、齐爱民[2]、蒋坡[3]等学者认同此种分类保护的法律模式;以周汉华为代表的学者则认为，仅需要对高敏感的个人信息通过单行立法的方式予以保护即可。[4]虽然学界对个人敏感信息统一分类的立法模式有不同的建议，但至少在是否应该对高敏感度的个人信息进行保护的问题上达成了一致意见。

目前我国高位阶法律未对个人信息进行分类保护，亦无有关个人敏感信息的明确规定。然而在一些行政法规、司法解释中存在对某些个人信息进行特殊保护的规定。2013年国务院发布《征信业管理条例》第十三条规定，收集个人信息必须征得信息主体同意;第十四条则对个人的宗教信仰、基因、指纹、血型、病史等信息作出禁止处理的规定，体现了该条例对个人信息的区分保护。2017年发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对《刑法》二百五十三条之一中“情节严重”的构成要件做出了详细规定，对不同种类的个人信息，分别设置“五十条”“五百条”“五千条”作为情节严重的数量条件。这暗示了不同种类的个人信息被侵犯后对个人的危害后果和程度不同，需要的保护力度也应予以区分。

2012年发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《个人信息保护指南》）作为我国首部关于个人信息保护的国家标准，不仅明确将个人信息分为个人敏感信息和个人一般信息，还对个人敏感信息进行定义和范围的列举。2017年有关个人信息保护的另一国家标准《信息安全技术个人信息安全规范》（以下简称《个人信息安全规范》）正式发布，《个人信息安全规范》对个人敏感信息内涵和范围进行了更为详细的规定：将身份证件号码等个人身份信息，指纹、基因等个人生物识别信息，交易信息、银行账号在内的个人财产信息，医疗记录等健康生理信息，通信记录、聊天内容、行踪轨迹、住宿信息等等内容，纳入个人敏感信息范围。

法律虽然尚未对个人敏感信息的保护加以回应，将个人敏感信息从个人信息中区分出来予以特别保护已在我国国家标准中有所体现。这对我国未来个人信息保护立法有着重要参考价值。

二、他山之石：域外个人敏感信息法律保护探究

（一）国际组织文件

欧洲委员会于1981年在斯特拉斯堡通过了《个人数据自动化处理中的个人保护公约》（简称《108公约》）。《108公约》的问世，标志着全世界范围内首部有关个人数据保护的国际公约的诞生。在对个人敏感信息的保护层面，《108公约》第六条“特殊类型的数据”规定，原则上不得自动处理种族起源、政治观点、宗教或其他信仰、健康、性生活和犯罪记录相关的个人信息。这一规定使得该公约成为首次界定个人敏感信息的国际公约，对个人敏感信息保护具有重要影响。2012年修改后的《108公约》将基因信息、生物特征信息、工会会员资格信息纳入个人敏感信息的范围。

1990年12月14日，联合国大会第45/95号决议通过了《计算机个人数据档案规制指南》（以下简称《个人数据规制指南》），第五条非歧视原则规定：“除原则六所规定的限制性例外的情况外，不应汇编可能引起非法或任意歧视的数据，包括关于种族或族裔出身、肤色、性生活、政治见解、宗教、哲学和其他信仰以及参加协会或工会的资料。”即只有在维护国家安全、公共秩序以及他人权利自由的必要情况下，同时具备相关法律法规作为适当保障的前提下，才能對以上个人信息进行处理。

2004年11月，亚洲太平洋经济合作组织（简称APEC）的二十一个经济体成员的部长共同签署了《亚太经合组织隐私框架》（简称《APEC隐私框架》），该框架一直作为亚太地区隐私或个人信息保护的基础性多边协议，其所确立的个人信息保护的九大基本原则，为APEC成员国家或地区个人信息处理原则的制定提供了指导作用。虽然《APEC隐私框架》并未明确规定个人敏感信息，但在收集限制原则中首次将作为财务信息的信用卡号码和银行账户信息列入个人敏感信息的范畴，要求收集信用卡号码、银行账户信息或其他个人敏感信息时，应以合法公平的手段，不得以虚假方法收集上述信息。与前述国际公约不同的是，《APEC隐私框架》将信用卡号码和银行账户信息等财务信息列为个人敏感信息加以特殊保护，这一举措为亚太地区个人敏感信息的保护提供了新的思路和指引。

（二）欧盟《一般数据保护条例》（GDPR）

2016年4月18日，欧盟议会和欧盟理事会通过《一般数据保护条例》（简称GDPR），GDPR在所有成员国内具有直接的法律约束力，被称为“史上最严个人数据保护法”。在个人敏感信息保护层面，GDPR亦进行了革新。GDPR第九条通过“特殊类型的数据处理”的规定将个人敏感信息范围予以明确。该条文规定，揭露种族或民族起源，政治观点，宗教信仰、哲学信仰，工会会员资格的数据，以识别为目的的基因数据和生物特征数据以及健康数据，性生活、性取向等相关数据列为个人敏感信息，原则上禁止收集和处理。

原则上从法律层面禁止对个人敏感信息的处理，同时设置例外条件以应对特殊需要。这一例外条件被规定于GDPR第九条第二款，在以下十种情况下可不受第一款规定的限制：一是数据主体明确表示同意且无禁止性规定;二是适当保护措施下行使或履行就业、社会保险及社会保障法领域的基本权利或义务的需要;三是数据主体丧失同意能力时，为保障其自身及他人重大利益之必要;四是安全保障措施下非营利机构出于政治、哲学、宗教及工会等合法活动处理数据之需要;五是数据主体的个人数据已明确公开;六是数据主体诉讼活动或审判机关行使司法权之必要;七是具体适当措施下为实现实质公共利益之必需;八是保障措施下基于法定或约定出于医学研究、医疗诊断、劳动评估、社会保障等服务之必要;九是措施保障下基于法定为实现公共卫生领域的公共利益之需要;十是存档、科学研究、历史研究或统计等实现公共利益目的之必要。GDPR对个人敏感信息处理的条件作出了严格的限定，符合上述十种情况，可对个人敏感信息进行处理。

（三）澳门特别行政区《个人资料保护法》

2005年，澳门立法会制定的《个人资料保护法》被称为“亚太地区最强的个人资料保护法”。[5]澳门《个人资料保护法》将个人资料分为三类：一般资料、敏感资料和与违法犯罪有关的资料。第七条“敏感资料的处理”将世界观，政治或宗教信仰，政治社团或工会关系，种族或民族起源，遗传信息、私人生活、健康和性生活等个人信息界定为敏感信息，原则上禁止对个人敏感信息的处理。

（四）我国台湾地区《个人资料保护法》

我国台湾地区个人信息保护专门立法始于1995年8月制定的“电脑处理个人资料保护法”，起初的“电脑处理个人资料保护法”在内容上并无对个人敏感信息保护的规定，直至2010年4月通过的“个人资料保护法”将医疗、基因、性生活、健康检查及犯罪前科等个人信息，作为个人敏感信息加以特殊保护。2015年修改，新增病历信息，与医疗信息、健康检查信息并列为个人敏感信息。

三、制度构建：个人敏感信息法律保护规范

欧盟成员国在内的欧洲大多数国家都对个人敏感信息作了明确规定，亚太地区澳大利亚、韩国、日本以及与我国澳门、台湾地区也对个人敏感信息加以特殊保护。将个人信息分为个人一般信息和个人敏感信息，并对后者加强保护已成为当今世界个人信息保护立法的趋势。注重个人敏感信息的保护本就是达到个人信息处理中的自然人保护和信息自由流通相平衡的应有之义，信息化和智能化的时代下这一议题尤为重要。

（一）明确个人敏感信息的范围

参考国际组织、欧盟以及我国澳门和台湾地区对个人敏感信息的规定并结合我国法律法规及规范性文件和国情，在未来个人信息保护立法中，应将如下信息列为个人敏感信息。

1.个人财产信息。个人的财产信息虽无关乎人格利益，但财产信息一旦被滥用、非法处理或泄露极有可能会给信息主体带来财产利益上的巨大损失，由此导致的伤害后果不可小觑。近年来，个人财产信息泄露所引发的信息主体财产损失的情形时有发生，由此导致社会大众对财产信息的敏感度较高，因此将财产信息列为个人敏感信息不仅符合我国现阶段的国情，亦能彰显国家对公民私有财产的保护态度。

2.个人健康生理信息。健康生理信息主要指信息主体因疾病治疗等产生的相关记录以及个人身体健康状况的相关信息。健康生理信息对信息主体的学习、生活、工作、家庭等方面都有影响，一旦泄露将会给信息主体带来不可预估的危害后果，极有可能因健康生理信息引发对信息主体的歧视风险。诸如有关艾滋病感染等高敏感度健康信息保护的必要性，在早期的《个人信息保护法（专家建议稿）及立法研究报告》已有体现。如今因健康信息而导致的非法且不必要的工作歧视亦时有发生。我国对个人健康生理信息的重视，可见于2018年4月国务院办公厅发布的《关于促进“互联网+医疗健康”发展的意见》，提出也应在未来个人信息保护立法中将个人健康生理信息列为个人敏感信息加以特殊保护。

3.个人生物识别信息。因个人生物识别信息生而不同、历久不变且难以改变的特性，加之指纹处处留痕，面部时刻暴露在外，若要收集轻而易举，一旦非法处理并识别，信息主体将被迫面临严重风险。将生物识别信息列为个人敏感信息不仅仅是为了符合国际保护标准，更是由于其独特又强大的识别属性的必须[6]，例如从面部特征能挖掘出居民身份证号码、金融贷款、家庭住址、消费习惯、征信等诸多内容。此外，自然人的基因信息不仅能显示该人独特的个人疾病、缺陷等生理或健康信息，更重要的是，基因具有解释个人的品格、智力等与家族或种族的相关性，一旦泄露可能导致对其个人乃至其家族的歧视。[7]由此可见，生物识别信息的滥用或泄露不仅可能造成信息主体财产上的巨大损失，而且也会引发人格尊严等方面的危害和歧视。

4.性生活和性取向。中国古代对“性”这一话题的态度是相当保守的，受传统思想文化的影响，即便是现代社会，相对于欧美对于“性”方面较为开放的国家而言，我国仍属于内敛型的，社会大众对与性生活有关的个人信息仍较为敏感。即便是较为开放的西方也将性生活和性取向纳入个人敏感信息保护范围，其敏感性之于我国民众自不必多言。况且与性生活和性取向相关的信息是涉及信息主体极为私密的信息，已然涉及自然人的人格尊严的核心方面，一旦泄露会对信息主体人格造成巨大的伤害，进而导致更为严重后果。

5.身份识别号码。自然人的姓名信息时常会有不可避免的重复现象，但居民身份证号码、护照号码、驾驶证号码、社保卡号码等是由特殊形式对数字和字母排列形成的独特的身份识别特性的统一编号。这不会重复且能够更为精准识别信息主体。收集、处理及使用身份识别号码应当特别谨慎，身份识别号码的泄露将给信息主体带来“身份盗窃”的重大风险。[8]不法之徒可以通过身份识别号码窃取信息主体的银行资金，甚至能够以信息主体的身份进行借贷、违法犯罪等。以身份证号码为例，身份证号码不仅可以轻易识别到信息主体的身份，甚至信息主体的房产信息、银行存贷款相关信息、基金股票账户信息、纳税信息、医疗信息、出行信息、住宿信息等敏感和非敏感信息连接起来，可以全方位展现信息主体生活，极易严重侵害个人隐私。[9]将身份识别号码纳入个人敏感信息，旨在通过对可识别到身份的号码高标准保护，减少信息主体因此类信息的泄露而面临人身财产受到损害的事件发生。

（二）确立个人敏感信息的保护机制

1.以禁止处理为原则。欧盟、我国澳门和台湾地区都禁止对个人敏感信息进行处理。因为个人敏感信息一旦被非法处理或泄露的后果十分严重，所造成的伤害可能是信息主体难以承受的。因此我国也应以禁止处理个人敏感信息为原则。“处理”是指对个人敏感信息的收集、处理、存储、传输等全部行为。禁止对个人敏感信息的全部处理行为是禁止处理的应有之意。但并非绝对的禁止处理，只有符合在法律规定的例外条件下才可以對个人敏感信息进行处理。

2.禁止处理的例外。尽管域外对个人敏感信息的特别保护都是通过原则上禁止处理来实现的，但在禁止处理的同时会设定例外条件，只要符合法律所创设的条件，处理个人敏感信息是被允许的。一是信息主体明确同意。信息主体明确同意作为个人敏感信息禁止处理的例外情形是法域外的普遍做法。不管基于信息主体对个人敏感信息所享有的个人信息权亦或是个人信息保护权，只要信息主体明确作出同意个人敏感信息被处理的意思，且没有与之相反的禁止性规定，则个人敏感信息的处理应当是被允许的。需要注意的有两点，“明确同意”应当贯穿信息处理的全过程，在收集、处理、存储、传输等各个阶段都应征得信息主体的明确同意;应当允许信息主体随时撤回同意处理个人敏感信息的意思表示。二是维护重大公共利益而处理个人敏感信息应为法定例外情形。维护重大公共利益不仅要求维护国家安全、国家利益，而且还包括医疗健康、卫生保健、社会保障、研究统计为等基于公共利益为目的的数据处理行为。这并非单纯衡量个人利益与公共利益的轻重后放弃对个人敏感信息的保护。只是当个人利益与重大公共利益发生冲突时，优先保护大多数人的合法且重大的公共利益，只是放弃对其的特别保护，允许处理个人敏感信息。为社会公共利益而允许对个人敏感信息处理时，仍应遵循对个人信息处理的一般规则。通过收集限制原则、目的限制原则、透明度原则等个人信息处理的一般原则规制重大公共利益下个人敏感信息的处理，以期达到个人敏感信息保护和重大公共利益维护的平衡。

2003年我国已提出要制定专门的个人信息保护法，但至今尚未落实。在此期间我国个人信息的保护主要靠分散的部门法、行政法规、司法解释等规范文件来实现。然而当今科技发展速度一日千里，尚未统一的个人信息规制原则既不利于个人信息的保护，亦阻碍有赖信息得以生存的信息产业和互联网行业的蓬勃发展。信息产业和互联网行业绝对不能以牺牲个人信息为代价进而发展。加强对个人敏感信息的保护不是为了限制信息流通，而是希望在保障个人基本权利与自由的前提下，促进信息的合法流通和利用。

基金项目：重庆市研究生科研创新项目“个人敏感信息保护制度研究”阶段性成果（项目编号：CYB19138）。

参考文献：

[1]张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015（3）：50.

[2]齐爱民.信息法原论——信息法的产生与体系化[M].武汉：武汉大学出版社，2010：61.

[3]蒋坡.个人数据信息的法律保护[M].北京：中国政法大学出版社，2008.

[4]周汉华.个人信息保护法（专家建议稿）及立法研究报告[M].北京：法律出版社，2006：79.

[5]杨翱宇.个人信息保护的特别机制研究——以澳门《个人资料保护法》为考察样本[J].图书馆，2018（3）：68.

[6]张红.指纹隐私保护：公、私法二元维度[J].法学评论，2015（1）：87.

[7]刘仁忠，代薇.基因隐私的伦理和法律规范[J].自然辩证法研究，2004（9）.

[8]韩旭志.个人信息类型化研究[J].重庆邮电大学学报（社会科学版），2017（4）：67.

[9]胡文涛.我国个人敏感信息界定之构想[J].中国法学，2018（5）：254.

作者单位：西南政法大学民商法学院

责任编辑：刘小侨