查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《中国法学》
我国个人敏感信息界定之构想
【作者】 胡文涛【作者单位】 上海海事大学法学院{副教授,法学博士}
【分类】 公民权利
【中文关键词】 个人敏感信息;个人信息安全规范;个人信息保护
【期刊年份】 2018年【期号】 5
【页码】 235
【摘要】 个人敏感信息在我国规范性文件中已有体现,但规定间存在一定冲突。公众对不同信息敏感度存在差异,通知同意规则也已引发诸多质疑,我国未来个人信息保护法有必要对个人信息进行类型化区分,以实现信息保护与信息利用的更好平衡。敏感信息界定方法,宜在现行定义加列举的基础上,增加信息处理的情境和目的为考量因素。具体种类方面,应结合对泄露该信息是否会导致重大伤害、给信息主体带来伤害的几率、社会大多数人对某类信息的敏感度三个因素的综合考量,立足于中国国情,回应技术的发展,将健康信息、性生活和性取向、身份证件号码、金融信息、政治意见、通讯信息、基因信息、生物特征信息和精确地理位置列为个人敏感信息。
【英文摘要】 Personal sensitive information has been reflected in China’s normative documents, but there is no categorization of personal information in the law. The public’s sensitivity to personal information is different, and meanwhile informed consent doctrine faces an infinite challenge in the big data era. Therefore, sensitive information should be defined and stringently protected in the Individual’s Information Protection law of China. As for defining sensitive information, based on nature of information and list in law, context and purpose should also be considered. As for the specific types, three factors should be considered: whether the leakage of information may cause serious harm, the probability of harm to information subjects, and the sensitivity of most people in society to information. Therefore, the following information should be defined as sensitive information: health information, sexual life and sexual orientation, criminal records, political opinions, identification number, communication information, financial information, genetic information, biometric information and geographic location.
【全文】法宝引证码CLI.A.1256245    
  随着信息技术的发展,大数据时代的到来,近年来,我国个人信息泄露事件频发且波及范围极广,54%的网民认为个人信息泄露情况严重,84%的网民曾亲身感受到因个人信息泄露带来的不良影响,网民权益损失平均一年逾千亿元。[1]对此,有学者认为是敏感数据的所有权和使用权没有明确界定导致的恶性循环,[2]有学者提出应“强化个人敏感隐私信息”保护,[3]对个人敏感信息进行特别规定或分类保护,[4]但也有学者认为“个人信息保护法中不宜采用敏感个人信息概念”,[5]妥当的立法体例是“在各类个人信息单行法律法规中予以特别规定”。[6]
  考虑到目前关于个人敏感信息的界定问题,切合时代发展又符合中国实际的深入研究尚有不足,[7]本文拟通过考察我国现行个人敏感信息的规定及问题,分析区分个人敏感信息和一般信息的必要性和可行性,讨论个人敏感信息的界定方法和确立个人敏感信息的考虑因素,并进而提出我国个人敏感信息的具体种类设想,力图为我国个人信息保护立法提供一定参考。
  一、问题的提起:我国现行法对个人敏感信息之规定及困境
  目前,我国对个人信息保护的法律法规散见于不同部门发布的规范性文件。法律和行政法规层面主要有《民法总则》《网络安全法》《刑法》《侵权责任法》《消费者权益保护法》《商业银行法》《居民身份证法》《执业医师法》《关于加强网络信息保护的决定》以及国务院先后于2010年和2013年发布的《互联网信息服务管理办法》《征信业管理条例》等;部门规章方面,主要有《电信和互联网用户个人信息保护规定》(国家工业和信息化部2013年发布)和《个人信用信息基础数据库管理暂行办法》(中国人民银行2005年发布)等;国家质量监督检验检疫总局和国家标准化管理委员会分别于2012年和2017年发布了关于个人信息保护的两大国家标准:《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《个人信息保护指南》)和《信息安全技术个人信息安全规范》(以下简称《个人信息安全规范》)等;此外,较多的司法解释针对个人信息侵权和犯罪案件处理作出了规定,如《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(最高人民法院2014年发布,以下简称《网络侵权规定》)、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(最高人民法院、最高人民检察院2017年发布,以下简称《侵犯个人信息刑事案件的解释》)以及《关于依法惩处侵害公民个人信息犯罪活动的通知》(最高人民法院、最高人民检察院、公安部2013年发布,以下简称《惩处侵害个人信息犯罪的通知》)等。考察这些规范性文件对个人敏感信息的规定发现,现有立法规定呈现出如下特点及问题。
  (一)个人敏感信息与个人一般信息的分类已有体现
  2017年出台的《民法总则》宣称个人信息受法律保护,个人信息的获取需依法取得,[8]为个人信息提供了根本性的法律保障。但该法并未标明何谓“个人信息”,何谓“依法取得”。对于前者,《网络安全法》76条在法律层面上作出了界定,认为“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息等,《电信和互联网用户个人信息保护规定》也作出了类似规定。[9]
  对于个人信息的类型,《网络安全法》等法律没有进一步的区分。而作为行政法规的《征信业管理条例》中的13条和第14条虽未采用个人一般信息与敏感信息的区分性称谓,但对其采集作差别性要求,即对个人一般信息允许经同意而采集,而对第14条规定的特殊信息禁止采集,隐含着对个人敏感信息的特殊保护。[10]最高人民法院2016年发布的《关于人民法院在互联网公布裁判文书的规定》(以下简称《互联网公布裁判文书的规定》)明确要求人民法院在互联网公布裁判文书时,应当删除自然人的家庭住址、通讯方式等个人信息,[11]意味着加强对某些个人信息的特别保护;而《侵犯个人信息刑事案件的解释》区分“非法获取、出售或者提供”不同种类信息的数量,作为是否认定为《刑法》253条之一规定的“情节严重”的条件。[12]其隐含之意是:“非法获取、出售或者提供”的信息种类不同对个人危害程度存在差异,因而需要打击的力度也应有差别。此外,《网络侵权规定》《互联网公布裁判文书的规定》《惩处侵害个人信息犯罪的通知》对个人隐私和个人其他信息也采用了区分性规定,[13]这虽反映出其对个人信息和个人隐私本质差别未完全准确把握(如个人信息与个人隐私究竟是交叉关系还是并列关系,具体需如何划分等),但亦隐含对个人信息进行区分之意。
  作为我国首部个人信息保护国家标准,2012年发布的《个人信息保护指南》明确规定“个人信息可以分为个人敏感信息和个人一般信息,”并对个人敏感信息予以定义和列举。[14]指南虽仅为指导性技术文件,并非规范性法律文件,但在我国开启了明定个人敏感信息之先河。2017年发布的《个人信息安全规范》未明确区分个人一般信息和个人敏感信息,但也从国家标准层面界定和列举了个人敏感信息的内涵和外延。[15]该规范虽只是一份推荐性国家标准,并非法律,但在个人信息保护法缺位之际,为企业从事个人信息处理活动提供了一套相对全面而完整的行为规范,意义匪浅,后文将重点分析。
  可见,虽然我国现行法律法规中对个人信息分类的规定只是依稀可见,但在国家有关部门颁布的国家标准中,个人一般信息和敏感信息的区分已十分明确。
  (二)现行法对个人敏感信息的规定存在抵牾
  由于我国高位阶的法律中并未明确区分个人信息的种类,而对个人信息的分类又已体现在行政法规和其他低层次的文件中,导致法律法规和其他文件之间存在相互冲突及宽严失度之不足。
  首先,这种冲突表现在法律与行政法规之间。《民法总则》并未标明何谓“依法取得”,但在此之前,《消费者权益保护法》作出了“明示”“同意”的规定;[16]《网络安全法》则要求“明示并取得同意”;[17]同样的规定亦见于《关于加强网络信息保护的决定》[18]以及《电信和互联网用户个人信息保护规定》,根据这些法律规定,经营者、网络产品、服务提供者、电信业务经营者、互联网信息服务提供者等取得个人信息的基本要求是,明示收集目的并取得个人同意。而此处个人同意并没有明示与默示的区分,换言之,根据这些法律法规,只要个人同意,经营者、网络产品、服务提供者等即可以收集个人信息,无论何种信息,也无论是采用明示还是默示同意的方式。而《征信业管理条例》对个人敏感信息的采集实行的是“禁止”性规定,且没有除外条款作为缓冲,即无论个人同意与否,也无论基于何种理由,个人敏感信息均禁止收集。
  其次,这种冲突体现在不同机构颁布的规范性文件中。如根据最高人民法院颁布的《互联网公布裁判文书的规定》第10条,“通讯方式”属于一般个人信息,而《个人信息安全规范》将电话号码归入个人敏感信息;又如,“宗教信仰”除在《征信业管理条例》和《个人信息保护指南》属于敏感信息外,在其他规范性文件中均未作特殊规定。
  最后,这种规定的冲突甚至体现于同一机构颁布的规范性文件中。如最高人民法院颁布的《网络侵权规定》第12条区分“个人隐私”和“其他个人信息”,而《互联网公布裁判文书的规定》第10条则分为“个人信息”和“涉及个人隐私的信息”,两规定关于“个人隐私”的内涵明显不同:《网络侵权规定》的“个人隐私”包括病历资料、健康检查资料、家庭住址,而这几项内容与《互联网公布裁判文书的规定》的“个人信息”部分重合,但是,《互联网公布裁判文书的规定》的“个人隐私”则又另有所指,与“个人信息”并列成为法院公布时应予删除的信息。可见,上述两文件中重合的个人信息部分,被排除在《互联网公布裁判文书的规定》规定的个人隐私之外。此外,同属于国家标准的《个人信息保护指南》和《个人信息安全规范》虽然都对个人敏感信息作了规定,但其定义尤其是种类均差异甚巨。
  综上所述,我国现行规范性文件关于个人敏感信息的规定凸显的问题在于:首先,高位阶的法律未充分认识到个人信息区分的必要性。就法律层面而言,对个人信息的重要程度、可能对个人造成的危害程度未能充分认识并有效区分,且对个人信息的收集采取过于宽松的态度,而某些行政法规又采取过于僵硬的措施,导致法律与行政法规间适用的冲突;其次,个人敏感信息的界定标准缺乏共识。我国低层次的规范性文件已经对个人信息作出区分,但由于对如何认定个人敏感信息、个人敏感信息究竟应包括哪些种类等问题缺乏共识,导致不同机构甚至同一机构规定出现混乱和抵牾。这些问题的存在,凸显我国高位阶的统一立法对个人信息予以区分、并对个人敏感信息作出明确界定的迫切性。
  二、未来我国立法的基本设想:区分个人敏感信息与个人一般信息
  虽然“软法”中已有体现,但正如上文所述,目前我国法律法规并未对个人信息作种类的划分。我国学者、人大代表起草的“个人信息保护法”建议稿中也未作区分。[19]2017年11月全国人大法工委民法室制定的《人格权编草案(室内稿)》第6章“隐私权和个人信息”以8个条文规定了个人信息的保护,同样未区分个人信息的种类,[20]并引发学者批评。[21]有学者认为,域外立法中的敏感信息概念含义非常广泛,而我国国情不同,没有必要一定在个人信息保护法中规定敏感个人信息,完全可以通过单行立法的方式解决。[22]笔者认为,在个人信息保护法中明确界定个人敏感信息,有助于降低乃至解决前述政出多门产生的混乱、重复和抵牾之弊。且在统一界定的基础上,再由单行立法针对具体的敏感信息作详细或特殊的规定,能更有效地为个人敏感信息提供不同层次的保护。因此,建议未来我国个人信息保护法区分个人一般信息和敏感信息并对个人敏感信息予以特别保护。下文对区分的必要性和可行性予以分析。
  (一)从个人信息敏感度视角看个人信息区分的必要性
  20世纪70年代起,随着信息通讯技术的发展,个人信息处理方式发生急剧变化,为避免非法储存、不准确储存以及滥用个人信息损害个人利益,许多国家开始了个人信息保护的立法实践,并大体形成了两种立法模式:制定《个人信息保护法》的欧盟统一立法模式和将个人信息保护纳入隐私权保护体系的美国分散立法模式。
  在我国,对个人信息保护的讨论和立法均晚于隐私权。就理论研究而言,中国知网的检索结果显示,关于“隐私”的论文最早发表于1981年,而关于“个人信息”的论文最早发表于1989年。[23]立法上,早在1988年,最高人民法院的相关司法解释就将侵害隐私纳入了侵害名誉权的范畴,2009年颁布的《侵权责任法》2条又第一次在法律层面上明文规定了隐私权,而在2012年《关于加强网络信息保护的决定》出台之前,我国并没有个人信息保护的专门立法。此后,在法律中直接规定个人信息保护条款的趋势才日益明显,如2013年修改的《消费者权益保护法》14条增加规定消费者“享有个人信息依法得到保护的权利”;《民法总则》分别于第110条和第111条对隐私权和个人信息的保护作出规定,从而在我国形成“二元制”的保护模式。
  对于个人信息与隐私的关系,主流意见认为两者是交叉关系、相互存在一定的重合,[24]该观点最终也为全国人大法工委接受。[25]但也有学者认为,将“空间隐私”纳入隐私权保护的范围并不妥当,真正属于隐私范畴的应该只是我国通说的“信息隐私”。[26]笔者认为,个人空间的保护涉及的不仅是财产权,因此,赞同用“三分法”来区分隐私与个人信息,即分为纯粹的个人隐私、隐私性信息、纯粹的个人信息。[27]而且,笔者进一步提出,对个人信息应主要根据信息敏感度等因素的差异,区分为敏感信息和一般信息。
  敏感在英文中的含义丰富,根据梅里亚姆—韦伯斯特词典的解释,其中之一的含义是“高度反应或易受影响:例如容易受到伤害或造成损失:特别是精神上的伤害”。[28]可见,所谓“敏感”是对特定的因素具有高反应度,个人信息的敏感度描述的是个人信息对信息主体造成伤害或影响的程度。
  个人信息是通过一定形式,尤其是电子数据表现出来的个人情况,现代社会中,个人的几乎所有情况都可能成为个人信息。出于个人生活、工作和人际交往的需要,人们必须提供姓名、电话号码、教育背景、职业乃至银行账户等诸多信息。而不能不承认的是,受道德、习俗等多重因素影响,某些个人信息,如健康信息、性生活、金融信息等的泄露对个人尊严或财产会造成严重影响,而另一些信息的传播对个人生活影响则相对较弱。英国信息保护署组织的电话访谈显示,公众对不同信息的“极其敏感度”(Extremely Sensitive)存在从70.5%到17.4%的差异。[29]我国大多数公众也认为信息存在敏感与一般之分,在一项对“不同的个人信息具有的敏感度的区别”的调查中,主张“非常有区别”和“有区别”的分别占56.12%和22.45%,而“没有区别”和“完全无区别”只占5.10%和4.08%。[30]
  至于某些敏感信息需特别保护的原因,正如台湾学者所言:“DNA、病历、前科等,即使不公开亦不直接影响该个人一般社会生活之经营。公共性低、私密性高之资料,且此类资料多属个人不欲为人所知之私生活领域资料,如他人得滥行搜集或利用,将造成该个人精神不安或被贴标签而致人格受损。”[31]还有学者则更加明确地指出:“由于敏感数据是个人数据中风险因素较大的部分,它的公开和传播不仅带来狭义的隐私权侵害,而且还带来政治或社会上的歧视,妨害人的尊严和基本权利,因此需采取比一般个人数据更加严格的安全措施。”[32]可见,某些信息具有高敏感度,一旦泄露可能导致人格受损、引发歧视和妨害人格尊严,是需对其进行特殊保护的根本原因。只有将这些信息与一般个人信息予以区分,给其贴上敏感信息的预警标签,从信息处理的实体和程序要求上提供更加严格的保护,才能够全面提升对敏感信息的保护水平。
  也有学者认为,“敏感”一词的主观性太强,其敏感度完全可能因不同的主体而完全不同,因而反对区分个人敏感信息和一般信息。[33]对此,笔者认为,敏感度确实因人而异,但若联系后文将述的伤害程度、结合对大众对个人信息敏感度的调查统计数据,并在此基础上再确定主要的个人敏感信息种类,应能消除分类的相对性和不确定性,而这也正是本文的意旨所在。
  (二)从企业经济成本视角看个人信息区分的必要性
  网络信息化社会的个人信息存在两种最直接的利用价值:商业利用价值和公共管理价值。因此,适应时代的个人信息保护法一方面应加强对个人信息的保护,另一方面也要为个人信息的收集、处理、传输等提供适当的法律框架,以使个人信息得到合理开发和利用,实现其内在价值。[34]换言之,个人信息保护法需要在个人信息保护和个人信息的利用、信息自由之间获得平衡。
  考察个人信息保护制度的发展历程,不同国家和地区制度设计的主线是个人信息自主模式的发展,[35]强调信息主体积极参与、控制并决定个人资料的使用范围及其正确性、完整性,如美国学者Charles Fried认为,信息隐私的理念不应只局限于不让他人取得我们的个人信息,而应扩张到由我们控制自己的个人信息。[36]这种信息自主模式的实现倚重于“通知—同意”的程序性机制设计:信息收集前通知信息主体,信息主体同意后方可收集和使用信息。我国的法律规定亦大体如此,对于信息的取得,从《消费者权益保护法》到《网络安全法》均构筑了以同意规则为中心的信息保护模式。
  但是,信息自主模式和同意规则在近些年受到诸多质疑,美国学者Daniel J. Solove认为,信息自主模式承担了超出了其能力的任务,一些认知的难题削弱了人们对隐私的自我管理;此外,隐私也不仅关乎某个人,还具有社会功能。[37]我国也有学者认为,“同意不应是个人信息处理的正当性基础”,[38]更有学者尖锐地指出,冗长而复杂的隐私条款,不加区分的同意,一方面增加了消费者的同意成本,造成“实践中适用同意规则流于形式”,[39]使得“用户权利几近架空”,因而“无法为公民隐私提供实质性保障”[40];另一方面,也提高了互联网企业的合规成本,给企业造成沉重负担,且严重阻碍了数据流通,制约了企业对数据价值的开发利用。
  与之相比,《个人信息保护指南》与《个人信息安全规范》的规定则相对合理。其中,《个人信息保护指南》区分个人信息并明确采取不同的同意规则,规定收集个人一般信息时,可采取默许同意的方法,而收集个人敏感信息,则需明示同意;《个人信息安全规范》规定对个人信息的收集需“授权同意”,联系其要求收集敏感信息的“明示同意”,[41]此处规定应该是认可收集一般信息的默示同意。由是观之,两者的基本观点一致,即在对个人信息作层级区分的基础上,对个人敏感信息和一般信息的收集分别采取明示和默示同意的规则。对个人信息予以区分、并对不同信息收集予以区别式对待,或许无法根治同意规则的痼疾,但至少能缓和僵硬的明示同意带来的弊端,在一定程度上降低企业的合规成本,并同时发挥保护个人敏感信息的作用,更好地平衡个人信息保护与利用的关系。
  对于区分个人敏感信息和一般信息,也有学者批评到:在大数据时代,几乎所有种类的数据均可导出特殊数据,特别保护只会增加管制成本、阻碍企业数据分析,因此,费力区分和保护终是徒劳无功。[42]对此观点,笔者认为,个人信息保护法立足于人格尊严和自由,人格尊严的保护属于立法追求的目的价值,而个人信息的利用属立法追求的工具价值,相较之下,目的价值应优先于工具价值。况且,个人信息和隐私的保护一直与技术的发展紧密相关,虽然以现代信息科技的发展水平,即使是对数据匿名处理仍能复原识别个人,但这些技术的发展恰恰突显出了个人信息保护的迫切性,因此,大数据时代并没有削弱个人敏感信息保护的基础价值,而我们更应在保护的种类和方法上予以变更,以回应时代的发展。
  (三)从国际国内立法经验看个人信息区分的可行性
  在制定个人信息保护法的过程中,许多国家和国际组织尝试界定敏感信息。研究表明,1970年德国黑森邦的个人资料保护法和1973年瑞典资料法中就曾出现敏感资料的概念。[43]法国1978年的法律也对种族、政见等敏感资料作出了更严格的处理条件规定。[44]但一般认为敏感信息的概念滥觞于20世纪80年代的国际公约。欧洲理事会于1981年颁布了《有关个人数据自动化处理的个人保护协定》(Convention for the Protection of Individuals With Regard to Automatic Processing of Personal Data,以下简称《个资保护协定》),其中对特殊类型数据的自动化处理作出了特别规定,成为首次明确界定个人敏感信息的国际公约。[45]联合国于1990年发布《规范电脑化个人数据文件指导原则》(Guidelines for the Regulation of Computerized Personal Data Files),该原则虽未使用“敏感性”或“特殊”等词,但在其第5条“非歧视原则”(Principle of nondiscrimination)中指出,对某些“可能引起非法或恣意歧视的资料”禁止收集。1995年出台的欧盟《个人数据保护指令》(Directive95/46/EC,以下简称《欧盟个资指令》)第8条明确了特殊数据的种类,并对其处理作严格限制。该规定成为了“欧盟数据保护政策的基石”,[46]由于指令要求成员国国内法遵行,受其约束,欧盟各国均立法规定了敏感信息。欧盟以外的其他国家和地区,如澳大利亚、韩国等,也仿效欧盟的立法作出类似规定。美国对个人敏感信息的规定原本散布于联邦多种立法中,而2015年提交的《消费者隐私保护法案》(Consumer Privacy Protection Act of 2015)中规定了敏感个人可识别信息(Sensitive Personally Identifiable Information),并将保障其安全作为法案的主旨。[47]
  各国历史发展、文化背景、意识形态互不相同,决定了不同国家国民对信息的敏感度不尽一致。但是,越来越多的国家或地区在定位于保护个人尊严、基本人权和自由的个人信息保护法中,对事关个人尊严、容易引发歧视的敏感信息作出特殊保护的规定。而这些立法关于个人敏感信息的种类及其认定的方法的规定,为我国立法提供了可资借鉴的经验。
  在我国学者组织的“对个人信息分级进行公开和利用的态度”调查中,“非常赞同”和“赞同”该方案的分别占41.84%和22.45%,而“反对”和“完全反对”该方案的只分别占12.24%和6.12%。[48]赞同的总占比达64.29%,远远高于反对的18.36%。为回应现实的要求,我国现行法规、司法解释已朝分类立法迈开步伐,并逐渐积累立法经验。如前所述,我国《征信业管理条例》对不同信息采取区分保护措施,司法解释《网络侵权规定》《互联网公布裁判文书的规定》《惩处侵害个人信息犯罪的通知》均已从名称上对个人隐私信息和个人其他信息作出了区分规定。并且,这种区分已在司法实践中得到体现,如北京市第一中级人民法院在“庞理鹏与北京趣拿信息技术有限公司等隐私权纠纷案”的审理中,[49]详尽分析了“姓名和手机号”究竟是隐私信息还是一般信息;最高人民法院认为该判决是“可推广的审判经验”,并将该案作为第一批涉互联网典型案例予以发布。[50]
  对我国未来区分立法更具直接参考价值的是《个人信息保护指南》和《个人信息安全规范》等国家标准。从2012年发布的《个人信息保护指南》到2017年的《个人信息安全规范》,标准日

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.1256245      关注法宝动态:  

法宝联想
【相似文献】
【作者其他文献】