考慮到目前關(guān)于個(gè)人敏感信息的界定問(wèn)題，切合時(shí)代發(fā)展又符合中國(guó)實(shí)際的深入研究尚有不足，本文擬通過(guò)考察我國(guó)現(xiàn)行個(gè)人敏感信息的規(guī)定及問(wèn)題，分析區(qū)分個(gè)人敏感信息和一般信息的必要性和可行性，討論個(gè)人敏感信息的界定方法和確立個(gè)人敏感信息的考慮因素，進(jìn)而提出我國(guó)個(gè)人敏感信息的具體種類設(shè)想，力圖為我國(guó)個(gè)人信息保護(hù)立法提供一定參考。

　　一、問(wèn)題的提起： 我國(guó)現(xiàn)行法對(duì)個(gè)人敏感信息之規(guī)定及困境

　　目前，我國(guó)對(duì)個(gè)人信息保護(hù)的法律法規(guī)散見(jiàn)于不同部門發(fā)布的規(guī)范性文件。從這些規(guī)范性文件來(lái)看： （一）個(gè)人敏感信息與個(gè)人一般信息的分類已有體現(xiàn)；（二）現(xiàn)行法對(duì)個(gè)人敏感信息的規(guī)定存在抵牾。

　　總體而言，我國(guó)現(xiàn)行規(guī)范性文件關(guān)于個(gè)人敏感信息的規(guī)定凸顯的問(wèn)題在于： 首先，高位階的法律未充分認(rèn)識(shí)到個(gè)人信息區(qū)分的必要性。就法律層面而言，對(duì)個(gè)人信息的重要程度、可能對(duì)個(gè)人造成的危害程度未能充分認(rèn)識(shí)并有效區(qū)分，且對(duì)個(gè)人信息的收集采取過(guò)于寬松的態(tài)度，而某些行政法規(guī)又采取過(guò)于僵硬的措施，導(dǎo)致法律與行政法規(guī)間適用的沖突；其次，個(gè)人敏感信息的界定標(biāo)準(zhǔn)缺乏共識(shí)。我國(guó)低層次的規(guī)范性文件已經(jīng)對(duì)個(gè)人信息作出區(qū)分，但由于對(duì)如何認(rèn)定個(gè)人敏感信息、個(gè)人敏感信息究竟應(yīng)包括哪些種類等問(wèn)題缺乏共識(shí)，導(dǎo)致不同機(jī)構(gòu)甚至同一機(jī)構(gòu)規(guī)定出現(xiàn)混亂和抵牾。這些問(wèn)題的存在，凸顯我國(guó)高位階的統(tǒng)一立法對(duì)個(gè)人信息予以區(qū)分、并對(duì)個(gè)人敏感信息作出明確界定的迫切性。

　　二、未來(lái)我國(guó)立法的基本設(shè)想：區(qū)分個(gè)人敏感信息與個(gè)人一般信息

　?。ㄒ唬膫€(gè)人信息敏感度視角看個(gè)人信息區(qū)分的必要性

　　20世紀(jì)70年代起，隨著信息通訊技術(shù)的發(fā)展，許多國(guó)家開(kāi)始了個(gè)人信息保護(hù)的立法實(shí)踐，并大體形成了兩種立法模式： 制定《個(gè)人信息保護(hù)法》的歐盟統(tǒng)一立法模式和將個(gè)人信息保護(hù)納入隱私權(quán)保護(hù)體系的美國(guó)分散立法模式。

　　在我國(guó)，對(duì)于個(gè)人信息與隱私的關(guān)系，主流意見(jiàn)認(rèn)為兩者是交叉關(guān)系、相互存在一定的重合。筆者贊同用“三分法”來(lái)區(qū)分隱私與個(gè)人信息，即分為純粹的個(gè)人隱私、隱私性信息、純粹的個(gè)人信息。而且，筆者進(jìn)一步提出，對(duì)個(gè)人信息應(yīng)主要根據(jù)信息敏感度等因素的差異，區(qū)分為敏感信息和一般信息。

　　敏感在英文中的含義豐富，根據(jù)梅里亞姆—韋伯斯特詞典的解釋，其中之一的含義是“高度反應(yīng)或易受影響： 例如容易受到傷害或造成損失： 特別是精神上的傷害”。可見(jiàn)，所謂“敏感”是對(duì)特定的因素具有高反應(yīng)度，個(gè)人信息的敏感度描述的是個(gè)人信息對(duì)信息主體造成傷害或影響的程度。

　　個(gè)人信息是通過(guò)一定形式，尤其是電子數(shù)據(jù)表現(xiàn)出來(lái)的個(gè)人情況，現(xiàn)代社會(huì)中，個(gè)人的幾乎所有情況都可能成為個(gè)人信息。受道德、習(xí)俗等多重因素影響，某些個(gè)人信息的泄露對(duì)個(gè)人尊嚴(yán)或財(cái)產(chǎn)會(huì)造成嚴(yán)重影響，而另一些信息的傳播對(duì)個(gè)人生活影響則相對(duì)較弱。我國(guó)大多數(shù)公眾也認(rèn)為信息存在敏感與一般之分。

　　某些信息具有高敏感度，一旦泄露可能導(dǎo)致人格受損、引發(fā)歧視和妨害人格尊嚴(yán)，是需對(duì)其進(jìn)行特殊保護(hù)的根本原因。只有將這些信息與一般個(gè)人信息予以區(qū)分，給其貼上敏感信息的預(yù)警標(biāo)簽，從信息處理的實(shí)體和程序要求上提供更加嚴(yán)格的保護(hù)，才能夠全面提升對(duì)敏感信息的保護(hù)水平。

　?。ǘ钠髽I(yè)經(jīng)濟(jì)成本視角看個(gè)人信息區(qū)分的必要性

　　網(wǎng)絡(luò)信息化社會(huì)的個(gè)人信息存在兩種最直接的利用價(jià)值： 商業(yè)利用價(jià)值和公共管理價(jià)值。個(gè)人信息保護(hù)法需要在個(gè)人信息保護(hù)和個(gè)人信息的利用、信息自由之間獲得平衡。考察個(gè)人信息保護(hù)制度的發(fā)展歷程，不同國(guó)家和地區(qū)制度設(shè)計(jì)的主線是個(gè)人信息自主模式的發(fā)展，這種模式的實(shí)現(xiàn)倚重于“通知—同意”的程序性機(jī)制設(shè)計(jì)：信息收集前通知信息主體，信息主體同意后方可收集和使用信息。我國(guó)的法律規(guī)定亦大體如此，對(duì)于信息的取得，從《消費(fèi)者權(quán)益保護(hù)法》到《網(wǎng)絡(luò)安全法》均構(gòu)筑了以同意規(guī)則為中心的信息保護(hù)模式。

　　但是，信息自主模式和同意規(guī)則在近些年受到諸多質(zhì)疑，有學(xué)者認(rèn)為，冗長(zhǎng)而復(fù)雜的隱私條款，不加區(qū)分的同意，增加了消費(fèi)者的同意成本，造成“實(shí)踐中適用同意規(guī)則流于形式”，也提高了互聯(lián)網(wǎng)企業(yè)的合規(guī)成本，給企業(yè)造成沉重負(fù)擔(dān)，且嚴(yán)重阻礙了數(shù)據(jù)流通，制約了企業(yè)對(duì)數(shù)據(jù)價(jià)值的開(kāi)發(fā)利用。

　　與之相比，《個(gè)人信息保護(hù)指南》與《個(gè)人信息安全規(guī)范》的規(guī)定則相對(duì)合理。兩者的基本觀點(diǎn)一致，即在對(duì)個(gè)人信息作層級(jí)區(qū)分的基礎(chǔ)上，對(duì)個(gè)人敏感信息和一般信息的收集分別采取明示和默示同意的規(guī)則。對(duì)個(gè)人信息予以區(qū)分、并對(duì)不同信息收集予以區(qū)別式對(duì)待，或許無(wú)法根治同意規(guī)則的痼疾，但至少能緩和僵硬的明示同意帶來(lái)的弊端，在一定程度上降低企業(yè)的合規(guī)成本，并同時(shí)發(fā)揮保護(hù)個(gè)人敏感信息的作用，更好地平衡個(gè)人信息保護(hù)與利用的關(guān)系。

　　（三）從國(guó)際國(guó)內(nèi)立法經(jīng)驗(yàn)看個(gè)人信息區(qū)分的可行性

　　各國(guó)歷史發(fā)展、文化背景、意識(shí)形態(tài)互不相同，決定了不同國(guó)家國(guó)民對(duì)信息的敏感度不盡一致。但是，越來(lái)越多的國(guó)家或地區(qū)在定位于保護(hù)個(gè)人尊嚴(yán)、基本人權(quán)和自由的個(gè)人信息保護(hù)法中，對(duì)事關(guān)個(gè)人尊嚴(yán)、容易引發(fā)歧視的敏感信息作出特殊保護(hù)。而這些立法關(guān)于個(gè)人敏感信息的種類及其認(rèn)定的方法的規(guī)定，為我國(guó)立法提供了可資借鑒的經(jīng)驗(yàn)。

　　我國(guó)現(xiàn)行法規(guī)、司法解釋已朝分類立法邁開(kāi)步伐，并逐漸積累立法經(jīng)驗(yàn)，并且，這種區(qū)分已在司法實(shí)踐中得到體現(xiàn)。對(duì)我國(guó)未來(lái)區(qū)分立法更具直接參考價(jià)值的是《個(gè)人信息保護(hù)指南》和《個(gè)人信息安全規(guī)范》等國(guó)家標(biāo)準(zhǔn)，標(biāo)準(zhǔn)日臻全面且貼合中國(guó)實(shí)際，且這兩個(gè)國(guó)家標(biāo)準(zhǔn)對(duì)個(gè)人敏感信息和個(gè)人一般信息作出了明確區(qū)分，其就個(gè)人敏感信息的種類、收集要求、保護(hù)的技術(shù)支撐等多方面的規(guī)定使我國(guó)未來(lái)的立法更具可行性。

　　三、個(gè)人敏感信息界定方法的構(gòu)想： 法律列舉輔之綜合考量

　?。ㄒ唬﹤€(gè)人敏感信息的界定方法

　　綜觀國(guó)際條約和不同國(guó)家及地區(qū)的個(gè)人信息保護(hù)立法，個(gè)人敏感信息的界定方法大體可分為法律列舉模式和綜合考量模式兩種： 法律列舉模式是根據(jù)個(gè)人信息的內(nèi)容對(duì)敏感信息的種類予以列舉，主張基于某些資料的性質(zhì)，如“可對(duì)基本自由和隱私造成侵害”“引發(fā)歧視”“很可能傷害到個(gè)人之權(quán)利與利益”等，立法須禁止對(duì)其收集、處理和利用。法律列舉模式是個(gè)人敏感信息立法的主流；綜合考量模式反對(duì)基于信息的性質(zhì)界定個(gè)人敏感信息，主張綜合數(shù)據(jù)處理的情境、目的等因素來(lái)判斷信息是否敏感。其中，又有“情境說(shuō)”和“目的說(shuō)”兩種不同的主張?！扒榫痴f(shuō)”主張個(gè)人信息是否敏感并不取決于內(nèi)容，而是根據(jù)其情境。“目的說(shuō)”主張，考慮敏感性時(shí)應(yīng)關(guān)注處理個(gè)人數(shù)據(jù)的目的。

　?。ǘ﹥煞N界定模式的評(píng)析與我國(guó)宜采納的方法

　　法律列舉模式被普遍采用，其優(yōu)點(diǎn)在于信息控制人或信息主體能迅速根據(jù)法律規(guī)定判斷哪些信息被“禁止收集、處理和利用”或須遵循更為嚴(yán)格的信息保護(hù)原則，有利于信息得到切實(shí)保護(hù)；其缺點(diǎn)在于信息的內(nèi)容與形式都會(huì)隨科技發(fā)展、社會(huì)變遷而發(fā)生變化，并且，由法律規(guī)定和判斷信息是否敏感的立法方式并未考慮信息主體的個(gè)人意見(jiàn)和感受，既可能保護(hù)過(guò)度又可能保護(hù)不足。

　　我國(guó)已頒布的國(guó)家標(biāo)準(zhǔn)對(duì)個(gè)人敏感信息采取的是定義加列舉的方式，這是需要肯定的，也是值得未來(lái)我國(guó)個(gè)人信息保護(hù)法繼續(xù)采納的方法。未來(lái)，我國(guó)的個(gè)人信息保護(hù)法可借鑒域外綜合考量模式作為補(bǔ)充，規(guī)定： 在具體個(gè)案中，即使不是法律明文列舉的個(gè)人敏感信息，也可依信息處理的特殊情境和目的，由特定機(jī)構(gòu)來(lái)判斷究竟是否屬于敏感信息。

　　四、個(gè)人敏感信息的種類設(shè)想：以敏感度為重點(diǎn)考量因素

　　（一）域外個(gè)人敏感信息的主要種類及新發(fā)展

　　在域外立法中，《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)協(xié)定》將種族、政治主張、宗教或其他信仰以及與健康、性生活或刑事判決有關(guān)的個(gè)人數(shù)據(jù)列為敏感信息；歐盟《個(gè)人數(shù)據(jù)保護(hù)指令》增加了“工會(huì)會(huì)員”，但無(wú)“刑事判決”內(nèi)容，且這一規(guī)定日后成為了歐盟及其他許多國(guó)家和地區(qū)立法的基礎(chǔ)樣板。近年來(lái)，各國(guó)對(duì)個(gè)人敏感信息種類的界定也出現(xiàn)了新的動(dòng)向，一些原本不屬敏感的信息逐漸步入敏感信息系列，主要體現(xiàn)在基因信息、生物特征信息、金融信息等方面。

　　美國(guó)學(xué)者Paul Ohm在對(duì)歐美個(gè)人敏感信息清單作出詳盡考察之后，歸納出確立個(gè)人敏感信息的四大因素： 傷害的可能性、引發(fā)傷害的幾率、信任關(guān)系的存在、是否屬多數(shù)人關(guān)心的風(fēng)險(xiǎn)，并提出了“多重因素檢測(cè)”的觀點(diǎn)。參考此觀點(diǎn)，筆者提出如下判定個(gè)人敏感信息的考慮因素： （1）泄露該信息是否會(huì)導(dǎo)致重大傷害；（2）泄露該信息給信息主體帶來(lái)傷害的幾率是否非常大；（3）特定社會(huì)大多數(shù)人對(duì)某類信息的敏感度。

　?。ǘ┪覈?guó)個(gè)人敏感信息種類之設(shè)想

　　結(jié)合2016年7月至2018年8月，筆者在上海等地進(jìn)行個(gè)人信息敏感度調(diào)查數(shù)據(jù)，并基于上述列舉的確立個(gè)人敏感信息的三個(gè)考量因素，筆者將個(gè)人敏感信息定義為 “一旦泄露或?yàn)E用，極易危及人身、財(cái)產(chǎn)安全或?qū)е氯烁褡饑?yán)受到損害、歧視性待遇的個(gè)人信息”。結(jié)合上文對(duì)相關(guān)立法和學(xué)說(shuō)的分析及調(diào)查收集的數(shù)據(jù)，筆者建議將以下個(gè)人信息列為個(gè)人敏感信息： （1）健康信息；（2）性生活和性取向；（3）身份證件號(hào)碼；（4）金融信息；（5）政治意見(jiàn)；（6）通訊信息；（7）基因信息；（8）生物特征信息；（9）精確地理位置。

　　結(jié)　語(yǔ)

　　我國(guó)個(gè)人信息保護(hù)的規(guī)定散見(jiàn)于不同位階的規(guī)范性文件中，個(gè)人信息的種類區(qū)分在《個(gè)人信息安全規(guī)范》等國(guó)家標(biāo)準(zhǔn)中已得到明確體現(xiàn)，但分散的規(guī)定相互沖突。無(wú)論是從個(gè)人信息敏感度視角還是從企業(yè)成本視角考慮，未來(lái)我國(guó)個(gè)人信息保護(hù)法都有必要對(duì)個(gè)人信息進(jìn)行類型化區(qū)分，以減少目前因政出多門而產(chǎn)生的混亂、重復(fù)和抵牾之弊，并且，在為敏感信息提供更嚴(yán)格保護(hù)的同時(shí)，更好地平衡信息保護(hù)和信息自由的關(guān)系。關(guān)于個(gè)人敏感信息的界定方法，可繼續(xù)采取定義并列舉的基本方式，此外，建議將綜合信息處理的情境和目的作為認(rèn)定敏感信息的補(bǔ)充，在個(gè)案中，由特定機(jī)構(gòu)來(lái)判斷某個(gè)人信息是否為敏感信息。關(guān)于個(gè)人敏感信息的具體種類，建議結(jié)合泄露該信息是否會(huì)導(dǎo)致重大傷害、給信息主體帶來(lái)傷害的幾率、社會(huì)大多數(shù)人對(duì)某類信息的敏感度三個(gè)考量因素，將健康信息、性生活和性取向、身份證件號(hào)碼、金融信息、政治意見(jiàn)、通訊信息、基因信息、生物特征信息和精確地理位置列為個(gè)人敏感信息，同時(shí)，考慮到未來(lái)技術(shù)的發(fā)展變化，為一些特殊信息的保護(hù)預(yù)留空間。