李芳

摘要：随着大数据时代的发展，个人信息泄漏事件越来越频繁，尤其侵害敏感个人信息对个人造成的损害难以弥补。2021年8月20日颁布的《个人信息保护法》，实现了对敏感个人信息的明确立法保护;为数字化时代又增添了一层保护膜。虽然个人敏感信息有了宏观的立法规定，但是《个人信息保护法》处于起步阶段，对于司法实践的具体实施可能存在一定的过渡期。本文从敏感个人信息的立法现状、概述、侵权责任保护方面阐述了对个人敏感信息的民法保护。

关键词：敏感个人信息; 《个人信息保护法》; 侵权损害

1研究背景以及我国立法现状

1.1问题的提出

随着科学技术的发展，我们的生活越来越数字时代化。消费几乎全靠手机支付。但是随着支付app的不断升级，人脸识别即可支付;除此之外，小区物业也通过安装人脸识别系统方便业主进出小区。科技的进步是给我们的生活带来了极大的便利，但也会危及我们的个人信息安全。去年，人脸识别第一案引起了社会的关注，这样一个典型案例在学界引发了激烈的讨论，人脸识别中对个人敏感信息的保护是否遵循了“合法、正当、必要”的原则【1】。

1.2我国立法现状

2021年8月20日通过的《中华人民共和国个人信息保护法》对个人敏感信息进行了规定，体现在第二章第二节“敏感个人信息的处理规则”。首先规定了敏感个人信息的大致范畴，以人格尊严、财产安全为标准以及未成年人的个人信息;个人信息处理者需要在特定目的以及充分必要性且采取了严格的保护方案的前提下才可以处理敏感个人信息;其次，同意要件：要单独取得个人的书面同意;对于未成年人个人信息，需要取得其父母或者其他监护人的同意，再之是一些其他规定。如果敏感个人信息遭受侵害，还可以结合《民法典》的侵权责任编、人格权编进行保护【2】。 在此之前，2012 年发布的《个人信息保护指南》明确规定“个人信息可以分为个人敏感信息和个人一般信息，”打開了我国敏感个人信息保护的闸门。

2敏感个人信息保护的问题

2.1敏感个人信息的定义

敏感个人信息如果按照个人的主观理解就是“使人敏感的信息”。如果照此理解，每个人的主观感知是不一样的，就无法衡量标准。虽然法条并没有明确“敏感”是以何种为标准来判定，但以主观意识来判断显然是不符合立法意旨的。有学者提出以权益侵害风险为基准来判断，即容易导致侵害的发生，即使不一定发生侵害，其一定存在侵害的风险【3】。 因为敏感个人信息的特殊性，所以其权益侵害的风险门槛自然很低，那么造成的损害标准只要达到一般即可。

有学者通过静态列举模式和动态情景模式来进行定义，静态列举其中一项标准就是上述的权益侵害风险，另外一项是指歧视标准，是指个人信息被泄漏之后暴露了信息主体，由此可能使个人遭受不平等对待;动态情景模式是指通过特定的场景来确定【4】。

2.2敏感个人信息的范围

《个人信息保护法》第二十八条的规定，敏感个人信息涉及人格尊严、财产安全以及十四周岁未成年人的个人信息。首先，在《宪法》中对人格尊严进行了规定，由此可见它的重要性。其次，财产安全方面，当敏感个人信息受到侵害的时候，无疑会损失相应的财产。最后，未成年人个人信息保护，需要取得其父母或者监护人的同意，我认为应该和监护制度一样，通过具体的规则来规制父母或者监护人，以防父母或者监护人滥用同意权，造成不可挽救的损失。

2.3敏感个人信息与隐私权的区别

隐私权属于敏感个人信息？隐私权和敏感个人信息对我们来说都是同等的重要，同时也存在交叉，但并不代表二者就可以等同。二者的范围不同， 隐私是完全不想让人知道的，而敏感个人信息取得个人单独的书面同意是可以进行处理的，也就是敏感个人信息在特定的条件下是可以公开的。二者的权利性质不同，从上述隐私权的不可公开性，具有排他性，隐私权是绝对性的权利。而个人敏感信息其归属于个人信息，《民法典》和《个人信息保护法》也没有对其进行明确的规定，从体系解释的角度来看，不能把它归为权利【5】， 上述提到的敏感个人信息符合特定条件可以被处理，也就是其本质上具有公开性，这样就不具备排他的绝对性 。二者的商业利用，隐私权的绝对性决定了其不得用于商业用途，而个人信息是在合理利用的条件下能发挥其相应的商业价值。但是，当隐私权在符合敏感个人信息所要求的侵害权益风险敏感度的时候就成为了敏感个人信息。

3敏感个人信息的侵权责任保护

3.1告知同意规则

《个人信息保护法》第29、30条规定了告知同意规则，这一规则从理论上来说是非常有利于保护敏感个人信息的。但是真正的落实到实践的很少见。最典型的，我们手机上使用的各种软件，在登陆使用前必须同意《用户协议》《个人隐私政策》，其中的内容过于冗长，一般很多人都不会点进去仔细阅读，如果不勾选同意，那这个软件就用不了，所以每个人都不得不点击同意。

3.2归责原则

侵权责任规则原则分为无过错原则、过错原则以及过错推定原则。《个人信息保护法》第69条第1款规定侵害个人信息的归责原则为过错推定。过错推定举证责任倒置，这样就能减轻受害人的举证负担，更好的保护受害人的权益。并且个人信息处理者与个人存在地位的不对等，所以没有采用过错责任原则，否则不利于保护个人信息权人 。

但是，敏感个人信息的保护程度明显就要高于其他一般个人信息，所以敏感个人信息的归责原则就应该有所区分。采取无过错归责原则，敏感个人信息涉及个人的人格尊严、财产安全、未成年人个人信息等比较大的法益保护，对其的处理存在着高度危险性，那么一旦发生敏感个人信息的侵权，信息处理者就应当承担较高的责任，适用无过错归责原则，还能避免双方因为过错与否引起的矛盾【6】， 促使个人信息处理者在对敏感个人信息处理的时候提高警惕。

3.3损害类型

在此损害的类型本文把它分为发生实际的损害和实际未发生损害。谢鸿飞教授在对敏感个人信息损害确定的文章中写到了敏感个人信息损害出现与否的观点，对于侵害敏感个人信息主要是三种途径：第三人的欺诈导致财产的损害、发送垃圾短信、算法分选的歧视。一旦发生侵权，依据过错推定原则来处理。最重要的便是侵权行为发生了，但是一直没有出现损害后果，那么个人信息权人要么担心未来遭受财产的损失，要么由此造成一种焦虑。这样两种不同对未来的担忧是否可以算作财产损害、精神损害【7】。

3.4具体保护

敏感个人信息侵权依据《民法典》和《个人信息保护法》，在《个人信息保护法》中强调的是多元保护：民事责任、刑事责任、行政责任。第六十六条至第六十八条的行政处罚，对主管人员给予罚款，甚至吊销营业执照;第六十九条民事侵权责任：损害赔偿责任和获利返还;第七十一条，构成犯罪的追究其刑事责任。《民法典》人格权编和侵权责任编也是可以适用保护敏感个人信息，敏感个人信息与人格尊严息息相关，可以适用人格权请求权、人格权禁令、精神损害赔偿进行侵权保护。

4结语

上述提到的关于手机应用软件的告知同意规则，各大应用软件的《个人隐私保护政策》可以设置“不同意”选项，这样就能充分保证用户的同意权，并非强制同意;在内容排版上，把涉及敏感个人信息的內容设置成弹窗方式，自动弹出，让用户清晰明了的看到，充分落实告知同意规则。总之，《个人信息保护法》对敏感个人信息的保护发挥了重要的作用，随着我国法治建设的高质量发展，未来对敏感个人信息的保护也会更完善。

参考文献

[1]周健宇，周晨洋.浅析敏感个人信息的界定与保护[J/OL].征信，2021（11）：1-10[2021-11-25].

[2]王利明.《个人信息保护法》的亮点与创新[J/OL].重庆邮电大学学报（社会科学版）：1-16[2021-11-25].

[3]宁园.敏感个人信息的法律基准与范畴界定——以《个人信息保护法》第28条第1款为中心[J].比较法研究，2021（05）：33-49.

[4]姬蕾蕾.大数据时代个人敏感信息的法律保护[J].图书馆，2021（01）：99-106.

[5]张新宝.论个人信息权益的构造[J].中外法学，2021，33（05）：1144-1166.

[6]程啸.论我国个人信息保护法中的个人信息处理规则[J].清华法学，2021，15（03）：55-73.

[7]谢鸿飞.个人信息泄露侵权责任构成中的“损害”——兼论风险社会中损害的观念化[J].国家检察官学院学报，2021，29（05）：21-37.