1 我国涉及个人敏感信息的立法现状及问题梳理
1.1 我国现行涉及个人敏感信息的规范
我国现行涉及个人敏感信息的规定分散在不同部门发布的规范性文件。法律层面主要有由全国人民代表大会发布自 2021 年 1 月 1 日起生效的《中华人民共和国民法典》(以下简称“《民法典》”);行政法规层面主要有由国务院发布自 2013 年 3 月 15 日起生效的《征信业管理条例》;司法解释层面主要有由最高人民法院、最高人民检察院、公安部联合发布自 2013 年 4 月 23 日起生效的《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称“《侵害个人信息犯罪通知》”),由最高人民法院发布自2014 年 10 月 10 日起生效的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称“《网络侵权规定》”),以及由最高人民法院、最高人民检察院联合发布自 2017 年 6 月 1 日起生效的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《侵犯个人信息刑事案件解释》”)。
除了上述法律法规,在国家标准层面,由国家质量监督检验检疫总局(已撤销)、国家标准化管理委员会发布自 2013 年 2 月 1 日起实施的《信息安全技术 公共及商用服务信息系统个人信息保护指南》(标准号:GB/Z 28828-2012,以下简称“《保护指南》”)以及由国家标准化管理委员会发布自 2020 年 10 月 1 日起实施的《信息安全技术 个人信息安全规范》(标准号:GB/T 35273-2020,以下简称“《安全规范(2020)》”)均对个人敏感信息作出了明确的规定。
............................
1.2 我国涉及个人敏感信息立法存在的问题
通过对上述法律法规及国家标准中涉及个人敏感信息的规定进行分析发现,我国涉及个人敏感信息现有立法存在如下问题。
1.2.1 未充分认识到区分个人敏感信息的必要性
尽管采用了不同的表述方式,《民法典》使用了私密信息概念,《网络侵权规定》《侵害个人信息犯罪通知》使用了个人隐私信息概念,而《保护指南》《安全规范(2020)》使用了个人敏感信息概念,《征信业管理条例》《侵犯个人信息刑事案件解释》采用了直接列举的方式,上述规范性文件均已经对个人信息进行了划分,并且针对不同类型的个人信息进行了区分性的规定。而《电子商务法》《旅游法》《网络安全法》《消费者权益保护法》《电信和互联网用户个人信息保护规定》《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》等法律法规也包含个人信息保护的相关条款,但是均没有对个人信息进行划分和区分性规定。
此外,高位阶的法律法规都没有明确采用个人敏感信息与一般个人信息的分类方法,也没有形成其他统一的个人信息分类方法。仅在国家标准层面,明确采用了个人敏感信息与一般个人信息的分类方法,直接引入了个人敏感信息概念。
1.2.2 个人敏感信息缺乏统一判定标准
高位阶的法律法规未能明确哪些个人信息应当加以强化保护。例如,根据《民法典》个人信息中的私密信息应当予以强化保护,但是《民法典》没有对私密信息进行定义或列举,私密信息的范围有待明确。
而《保护指南》《安全规范(2020)》虽然对个人敏感信息作出了较为明确的界定和列举,并提供了判定方法。但是,以上国家标准不属于强制性标准,只是推荐性标准,不具有法律强制力。作为低位阶的规范性文件,以上国家标准仅能在高位阶的法律法规缺位之际,提供一定的参考,无法作为权威予以适用。
..........................
2 区分个人敏感信息的必要性和可行性
2.1 个人敏感信息概念的起源及争议
在历史悠久的法学学科当中,个人敏感信息是一个新颖的概念。自个人敏感信息概念出现至今不过短短几十年。个人敏感信息概念的出现,同时引发了关于“是否应当引入个人敏感信息概念并对其予以区分性规定和特殊保护”的争议。
经济合作与发展组织(Organization for Economic Co-operation and Development,以下简称“经合组织”或“OECD”)于 1980 年制定的《隐私保护与个人数据跨境流动准则》(OECD Guidelines on the Protection of Privacy and Transborder Flows of PersonalData,以下简称“《隐私准则》”)首次将围绕个人敏感信息概念的争议展示在国际视野中。经合组织专家组(the Expert Group)在《隐私准则》的解释备忘录(ExplanatoryMemorandum)中提出了是否应当对个人敏感信息予以区分性规定的问题,即“出现的问题是,《隐私准则》是否应当具有一般性,是否应当按照处理不同类型的数据或敏感性进行编制”以及“第 7 段涉及两个问题,即:(1)收集由于数据的处理方式、数据的性质、数据的使用情况或其他因素而被视为特别敏感的数据的限制……”。[1]针对上述问题,经合组织专家组列举了两种最为常见的相反观点。第一种观点持支持态度,认为“列举出本质上是敏感的并且其收集应当被限制甚至禁止的数据类型或种类,是可能的,也是可取的。”,并以欧洲相关立法为范例;第二种观点持反对态度,认为“没有任何数据在本质上就是‘私密的’或‘敏感的’,但根据所处的情境和使用数据可能变得私密和敏感”,并以美国相关立法为范例。[2]在研究了大量敏感性的判断标准后,经合组织专家组采纳了第二种观点,认为不能找到任何一种被普遍地认为具有敏感性的数据种类。因此,经合组织专家组最终没有将个人敏感信息概念引入《隐私准则》,没有对个人敏感信息进行区分性规定和特殊保护。
表 1 部分国家和地区个人敏感信息的法定种类
2.2 我国引入个人敏感信息概念的必要性和可行性
个人信息保护法现已经被列入我国立法规划[4],相关立法工作正在进行。是否应在个人信息保护法中引入个人敏感信息概念,存在争议。
于 2020 年 10 月 13 日提请十三届全国人大常委会第二十二次会议初审的《中华人民共和国个人信息保护法(草案)》(以下简称“个信法草案”)引入了个人敏感信息概念(原文的表述为“敏感个人信息”)。本文也认可在我国个人信息保护法中引入个人敏感信息概念并对其予以区分性规定和特殊保护的做法。理由如下:
第一、个人敏感信息本身的高度 “敏感性”决定其应当受到法律更为严格的保护。这里的“敏感性”首先是指,面对不同种类的个人信息,大众主观上感受到的“敏感”程度。受文化、历史、道德等多方面因素的影响,某些个人信息,如性生活和性取向、个人财产信息往往被认为是“敏感”的,不愿暴露于人的。而个人的姓名、电话号码、教育背景、工作单位、家庭住址等信息往往被认为不那么“敏感”,出于个人生活、工作和人际交往之需要可以向外提供。一项关于“不同的个人信息具有的敏感度的区别”的调查,证明我国绝大部分公众认同不同种类的个人信息存在敏感与一般的区别。调查结果显示,主张“非常有区别”和“有区别”的分别占 56.12%和 22.45%,而“没有区别”和“完全无区别”只占 5.10%和 4.08%。
此外,“敏感性”也是指,个人信息一旦遭到泄露,造成伤害的可能性和程度。例如,性生活信息一旦遭到泄露,将使个人信息主体羞于见人,承受巨大的心理压力。再如,诈骗分子常会利用通过不正当手段获取的个人信息对受害人实施精准诈骗。根据很多受害人的回忆,犯罪人通过向受害人提供其准确的身份证号码信息,获取了受害人的信任,从而使受害人降低警惕、陷入其设下的圈套,遭受财产损失甚至人身损失。
................................
3 个人敏感信息的界定.............................................13
3.1 个人敏感信息的界定模式.......................................... 13
3.1.1 列举模式.................................................13
3.1.2 综合考量模式.....................................13
4 个人敏感信息的处理规则..................................... 23
4.1 个人敏感信息处理的基本原则......................................24
4.1.1 保护优先于利用原则........................... 24
4.1.2 增强保护原则...............................................24
结 论...................................33
4 个人敏感信息的处理规则
4.1 个人敏感信息处理的基本原则
通过对现有研究成果的观察,本文认为个人敏感信息处理的基本原则可以归纳为以下几项,分述如下:
4.1.1 保护优先于利用原则
在大数据时代背景下,为了加强行政管理、提高商业效益、判断信用水平等目的,政府机构、商业组织或个人需要收集、利用个人信息;然而为了保护私人生活安宁、免受歧视性待遇、防止人身权利和财产权利受损等原因,个人则倾向于不让他人收集、使用自己的个人信息,或者起码能对他人处理自己个人信息的行为加以控制。以上两种需求都是合理且迫切的。在个人信息处理规则的制度设计时,既要重视保护个人信息的需求,也要充分考虑到合理使用个人信息的需求。在个人信息处理规则的制度设计时,首先需要解决的问题是:如何在保护与利用之间做出取舍,如何实现保护与利用之间的平衡。
侧重于保护还是侧重于利用,根据个人信息是否具备敏感性,应当有所不同。个人敏感信息一旦遭到泄露或滥用,将会给个人信息主体造成重大的危害。相对于处理个人敏感信息可能带来的经济效益,其可能引发的问题更值得关注。因此,对于个人敏感信息处理而言,保护个人信息主体的权益原则上优先于对个人敏感信息的利用。[1]这就是个人敏感信息处理的“保护优先于利用原则”。
4.1.2 增强保护原则
增强保护原则是指相较于一般个人信息的处理规则,个人敏感信息的处理规则应当更加严格,以增强对个人敏感信息的保护。[2]在立法中,该原则通常体现为:法律规定了适用于所有个人信息的处理规则,又规定了仅适用于个人敏感信息的处理规则;个人敏感信息的处理行为应当同时满足;如两者出现冲突,应当以法律对个人敏感信息处理行为的特别规定为准。
表 2 被列为法定个人敏感信息的次数排序
.............................
结论
本文通过对我国现行涉及个人敏感信息的规范性文件进行考察、分析,提出我国现行涉及个人敏感信息的立法主要存在以下三个问题:第一、未充分认识到区分个人敏感信息的必要性;第二、个人敏感信息缺乏统一判定标准;第三、个人敏感信息的处理规则存在矛盾。
为此,本文按照“我国是否应引入个人敏感信息概念”“我国应如何界定个人敏感信息”“我国应如何构建个人敏感信息的处理规则”这三个问题为逻辑结构,对个人敏感信息相关的主要法律问题进行了研究。
本文主要的观点如下:
第一、我国引入个人敏感信息概念,具有必要性和可行性。在必要性方面:第一、个人敏感信息本身具有高度 “敏感性”,应当受到法律更为严格的保护。这里的“敏感性”既是指,大众主观上感受到的“敏感”程度,也是指个人信息一旦遭到泄露,造成伤害的可能性和程度。第二、将个人信息进行划分,适用宽严有别的信息处理规则,可以平衡个人信息保护与利用之间的关系;第三、引入个人敏感信息概念适应了世界主流的立法模式,有利于我国企业开拓境外市场,有助于我国信息产业的发展。在可行性方面:第一,我国个人信息保护立法可以借鉴国内国外的立法经验;第二,将我国绝大部分民众认为在一般情境下敏感程度较高的个人信息进行原则上的禁止处理。在极端情境中,或针对少部分民众的差异性意愿,仍可以通过单独、明示同意等方式,实现对其敏感信息的处理。
第二、个人敏感信息的界定模式宜以列举模式为基础,综合考量模式为补充,即在法律条文中列明个人敏感信息的类型,同时设置“兜底条款”来留下法律解释的空档,并规定“非法律明文列举的个人敏感信息,应当根据个人信息处理的具体情境和目的,进行综合判断。”界定个人敏感信息的实质性标准宜采纳“敏感性”标准而不是“隐私”标准,即个人敏感信息的本质特征是自身的敏感性,而非是否涉及隐私。具体而言,个人敏感信息的实质性标准为不当处理该个人信息是否很可能给个人信息主体造成重大伤害,如严重危害个人信息主体的人身和财产安全、导致个人信息主体的人格尊严严重受损、导致歧视性待遇等。基于对各类个人信息本质特征的分析,参考各个国家和地区的立法经验,结合我国民众对各类个人信息敏感度的主观体验,宜将以下个人信息列为个人敏感信息的法定类型:(1)性生活、个人健康信息、个人财产信息、个人信用评级、犯罪记录、犯罪受害人记录;(2)个人生物识别信息;(3)个人身份识别信息;(4)私人文件、个人通讯资料;(5)精确地理位置。
参考文献(略)