大數(shù)據(jù)時代個人敏感信息的法律保護*

姬蕾蕾

（安陽師范學(xué)院 河南安陽 455100）

1 大數(shù)據(jù)時代個人敏感信息保護面臨的挑戰(zhàn)

個人信息是指能夠直接識別或者結(jié)合其他信息識別出特定身份主體的信息，其上承載人格利益，且由于數(shù)據(jù)挖掘技術(shù)的發(fā)展，個人信息逐漸被商業(yè)化，其承載的財產(chǎn)利益也逐漸為法學(xué)界所認可。其中個人敏感信息是一種較為特殊的個人信息類型，這一類型的個人信息關(guān)乎個人的隱私、人格尊嚴與人格自由等基本人權(quán)。國外立法和我國法規(guī)都對個人信息進行了區(qū)分，即區(qū)分個人敏感信息和個人一般信息，對個人敏感信息一般會加以特別規(guī)定。這種區(qū)分由歐洲委員會首先規(guī)定，隨后《一般數(shù)據(jù)保護條例》沿襲這一規(guī)定，我國個人信息保護的相關(guān)規(guī)定也對此進行了借鑒。由于個人信息無形性和可傳播性的物理特征，個人敏感信息一旦被濫用，其對個人隱私的侵害就不可逆轉(zhuǎn)，甚至?xí)€人的人格利益造成持續(xù)的侵害，因此，對個人敏感信息的特別保護顯得十分迫切和必要。

1.1 數(shù)據(jù)收集技術(shù)的創(chuàng)新導(dǎo)致新型個人敏感信息不斷出現(xiàn)

隨著收集、存儲和處理數(shù)據(jù)的成本不斷下降，云端設(shè)備、手機、電腦、可穿戴設(shè)備等成為數(shù)據(jù)收集的新來源，這也意味著我們生活在一個幾乎隨處都在收集數(shù)據(jù)的世界中[1]。隨著數(shù)據(jù)挖掘技術(shù)的不斷研發(fā)與應(yīng)用，其收集數(shù)據(jù)的來源日益豐富，可供收集的個人信息的類型也在不斷擴充，形成了多元化的數(shù)據(jù)形態(tài)。這些新型個人信息的范圍涵蓋用戶在線活動產(chǎn)生的行為軌跡信息及其使用電子設(shè)備所產(chǎn)生的地理位置信息，并且這些個人信息的范圍還在不斷拓展，以至于現(xiàn)今在非結(jié)構(gòu)化數(shù)據(jù)中尋找關(guān)聯(lián)關(guān)系與規(guī)律成為一種趨勢[2]。信息主體為享受各種電子設(shè)備、電子軟件為其帶來的便利，會和數(shù)據(jù)控制者共享其個人敏感信息，例如用戶用微博、社交網(wǎng)站等記錄消費體驗，這類數(shù)據(jù)為非結(jié)構(gòu)化數(shù)據(jù)，數(shù)據(jù)控制者將這類數(shù)據(jù)加以整合、分析，從中挖掘具有價值的信息，從而實現(xiàn)其商業(yè)價值，而收集這類非結(jié)構(gòu)化的數(shù)據(jù)是數(shù)據(jù)技術(shù)發(fā)展的主方向[3]100。數(shù)據(jù)挖掘技術(shù)可以在非結(jié)構(gòu)化數(shù)據(jù)中尋找關(guān)聯(lián)性，進而在另一個場景識別特定身份主體，使得個人信息的界定更為復(fù)雜。國內(nèi)外對于新出現(xiàn)的個人信息類型并未給予適當保護，對個人敏感信息的界定也并未明確立法，如何為新出現(xiàn)的個人信息提供明確而有效的保護是當前全球立法的重要課題。

1.2 對個人敏感信息的判斷產(chǎn)生分歧

數(shù)據(jù)創(chuàng)新技術(shù)的使用看似無害，但若將非敏感個人信息或匿名化的數(shù)據(jù)與其他敏感個人信息相結(jié)合，重新識別特定信息主體就會變?yōu)榭赡?。地理位置?shù)據(jù)、cookies、個人信息衍生的產(chǎn)品等屬于個人一般信息還是個人敏感信息眾說紛紜。以信息主體搜索的關(guān)鍵詞為例，如若個人僅搜索較為普遍的詞語，該數(shù)據(jù)識別具體個人相對較難，但若將特定個人的搜索詞進行關(guān)聯(lián)，那么這個人被識別的可能性就很高。采取刪除直接標識符的方式已被證明不足以使個人信息匿名化，因為各個個人信息屬性的組合通常會重新識別特定主體。例如我國首例cookie隱私權(quán)糾紛——北京百度網(wǎng)訊科技公司與朱某隱私權(quán)糾紛案，一審法院與二審法院對其屬性就作出了截然不同的判決。

1.3 個人敏感信息與數(shù)據(jù)在不同場景中能相互轉(zhuǎn)化

數(shù)據(jù)技術(shù)的進步和個人信息的擴散使敏感信息和非敏感信息的傳統(tǒng)區(qū)分已經(jīng)過時。大數(shù)據(jù)時代下，是否屬于個人敏感信息需要結(jié)合應(yīng)用場景和相應(yīng)行業(yè)準則，不能以“全有或全無”的方式作出一刀切的判斷，而且隨著對數(shù)據(jù)源的無限制利用，人們能輕易獲得大量關(guān)于個人的數(shù)據(jù)，這種有關(guān)數(shù)據(jù)的聚合能力，增強了數(shù)據(jù)轉(zhuǎn)化成個人敏感信息的可能性[5]69。個人敏感信息定義的模糊化也給個人敏感信息匿名化范圍的界定增加了難度。匿名化技術(shù)是個人敏感信息保護與數(shù)據(jù)流通的一個技術(shù)過濾工具，匿名化就是將個人信息轉(zhuǎn)化成數(shù)據(jù)，這種數(shù)據(jù)的性質(zhì)一經(jīng)轉(zhuǎn)化，其性質(zhì)就不再具有人格屬性，不再適用個人信息保護法中的相關(guān)規(guī)定。但是數(shù)據(jù)技術(shù)的發(fā)展，使得個人敏感信息脫敏后仍面臨被重新識別的可能，匿名化的范圍模糊不清，也增加了信息主體隱私受到威脅的風險。而從數(shù)據(jù)控制者的層面來看，匿名化的范圍不清使得數(shù)據(jù)范圍的界定更加困難。在大數(shù)據(jù)時代，數(shù)據(jù)與個人敏感信息之間的界限愈發(fā)模糊，一個數(shù)據(jù)最初被視為個人敏感信息，但是當它經(jīng)過匿名化技術(shù)處理后，又成為了數(shù)據(jù)，然而在另一時間或場景中，該數(shù)據(jù)就又可能識別出特定主體，成為具有人格屬性的個人信息。在不同的場景，個人敏感信息的屬性會發(fā)生變化，體現(xiàn)出流動性特征。換言之，個人信息的敏感性，不僅取決于其性質(zhì)或者類型，還取決于其被利用的目的或者方式。也因此，對于個人敏感信息的保護，立法者除采用以敏感度、信息類別等因素列舉個人敏感信息的方式之外，還應(yīng)注意到在不同情景中非個人敏感信息的性質(zhì)。

2 個人敏感信息區(qū)分保護的必要性與可行性

是否區(qū)分個人一般信息與個人敏感信息，法學(xué)界學(xué)者眾說紛紜。但就目前全球立法趨勢而言，個人敏感信息的特別規(guī)定已成為各國立法的一個新動向。我國《民法典》對個人信息進行明確保護，但在條文中并未對個人敏感信息作區(qū)分規(guī)定。本文認為，個人敏感信息具有高度的私密性，其隱私成分較高，關(guān)乎信息主體的人格尊嚴與人格自由，在大數(shù)據(jù)時代，隱私隱患高、數(shù)據(jù)技術(shù)不透明的前提下，對個人敏感信息的明確規(guī)定及強化保護很有必要。下文將對這種強化保護的必要性及可行性展開詳細論述。

2.1 從敏感度視角分析個人敏感信息區(qū)分保護的必要性

個人敏感信息涉及個人的隱私區(qū)域，具有高度的敏感性，例如關(guān)于個人的性生活、性取向、金融信息、健康信息、基因信息等信息，一旦這類信息被泄露或者更改，將會對信息主體造成不良影響[6]。個人信息被泄露后對信息主體造成的影響大小取決于信息的敏感程度。信息敏感度描述的是信息的敏感程度，敏感度在Merriam-Webster中的解釋為：①易受損害，尤其是精神上的損害；②敏銳地意識到他人的態(tài)度和感受。個人信息的敏感度是描述個人信息對于信息主體可能造成傷害的程度和影響。敏感度越高的信息，其可能對信息主體造成的傷害越大，反之則越小[7]17。個人敏感信息具有隱私性質(zhì)，需要特別保護，是當前大數(shù)據(jù)時代下數(shù)據(jù)技術(shù)研發(fā)與應(yīng)用的必然。澳大利亞改革委員會在建議頒布個人信息保護法的報告中提出，在信息技術(shù)廣泛應(yīng)用的今天，如果對敏感信息的保護得不到強化，那么社會將很難不顧科技的變化而保持它的自由和民主傳統(tǒng)[8]42。較之一般信息，敏感信息的收集、處理和利用更容易對信息主體的人格尊嚴或信息主體本身造成難以彌補的傷害。容貌、性取向、金融信息、前科、病例、DNA等個人信息，多屬于信息主體不欲公開的私人生活領(lǐng)域，內(nèi)容極為私密，一旦公開就會對個人的精神造成極度困擾，影響其正常生活。該類信息應(yīng)該被列為敏感性特種資料并特別加強保護，除例外事由外，原則上不得收集、處理或者利用[9]60。敏感度高的個人信息對信息主體會造成重大傷害，且適用于大多數(shù)信息主體[10]。因此，鑒于個人敏感信息高度敏感性和極度私密性，對個人敏感信息采取更為嚴格的保護是大數(shù)據(jù)時代下對個人信息進行收集利用的邏輯前提和必然要求，也是良好個人信息保護制度設(shè)計的價值體現(xiàn)。

2.2 從經(jīng)濟成本分析個人敏感信息區(qū)分保護的必要性

在傳統(tǒng)信息保護的法律規(guī)制中，無論是理論通說抑或國際通行立法均將知情同意要件作為個人信息利用的正當性基礎(chǔ)，即當數(shù)據(jù)控制者收集個人信息時應(yīng)取得信息主體的同意。知情同意權(quán)屬于人格權(quán)的一部分，是人格尊嚴和人格自由在信息保護法領(lǐng)域的具體體現(xiàn)?！爸橥狻痹谛畔⒈Ｗo中構(gòu)建的學(xué)理依據(jù)主要是信息不對稱理論，該理論實質(zhì)是為平衡信息主體對自身信息參控力度的缺失，通過知情同意的機理給予信息主體在信息流轉(zhuǎn)過程中的控制權(quán)，防止信息利用者侵害其知情權(quán)，進而維護信息主體的個人尊嚴與自由，故傳統(tǒng)信息規(guī)范將知情同意要件作為信息保護與數(shù)據(jù)流通的平衡性法理基礎(chǔ)。大數(shù)據(jù)分析應(yīng)用之前，對個人信息的商業(yè)化利用主要集中于公眾人物的肖像、名稱、聲音等標識，彰顯出個人信息的積極控制功能。伴隨大數(shù)據(jù)時代到來，數(shù)據(jù)控制者對個人信息的商業(yè)利用不再僅限于對公眾人物人格標識的利用，而是對信息主體整體信息的利用，且著重于對信息的二次利用，即數(shù)據(jù)控制者運用大數(shù)據(jù)分析減少商業(yè)的不確定性以提高經(jīng)濟效率。此時，一味地將“同意”作為個人信息收集的合法性前提對于信息流轉(zhuǎn)已經(jīng)嚴重不適用：一方面，隱私條款的提供形同虛設(shè)，“作為傳統(tǒng)架構(gòu)‘立足之本’的‘知情同意’機制”已失靈，用戶并無實際的控制權(quán)，在網(wǎng)絡(luò)語境中，用戶為使用產(chǎn)品或服務(wù)往往除點擊同意之外并無其他選擇[11]；另一方面，知情同意要件也提高了互聯(lián)網(wǎng)企業(yè)的合規(guī)成本，給企業(yè)造成沉重負擔，且嚴重阻礙了數(shù)據(jù)流通，制約了企業(yè)對數(shù)據(jù)價值的合理開發(fā)利用[12]。

非經(jīng)本人同意的敏感信息處理會在社會中造成超出本人預(yù)料的結(jié)果，并對本人的人格發(fā)展造成不可預(yù)料的影響，使得本人人格塑造的結(jié)構(gòu)偏離原本預(yù)期[13]43-44。本文認為，雖然知情同意規(guī)范對于當前個人信息的保護顯得捉襟見肘，但也不能完全否定同意規(guī)范的作用，畢竟，個人信息涉及信息主體的人格自由與人格尊嚴，保障信息主體的知情同意是必須且必要的，由此可以保證信息主體在個人信息處理過程中的參控力度，使其擁有和數(shù)據(jù)產(chǎn)業(yè)者在信息交易中議價的能力，增強信息主體的主動權(quán)，以改善信息主體在數(shù)據(jù)交易過程中處于弱勢地位的狀態(tài)[14]。但是，個人信息的類型豐富多樣，且在不同情景中個人信息與非個人信息會不斷轉(zhuǎn)化，這樣，對所有的個人信息采取同意規(guī)范顯得過于僵化，且不適應(yīng)現(xiàn)實社會的發(fā)展要求。因此，區(qū)分個人一般信息與個人敏感信息就成為數(shù)據(jù)經(jīng)濟發(fā)展的必要方式，對于個人敏感信息采取明示同意的標準，以保障信息主體的利益需求，對于個人一般信息則采取默示同意的標準，以保障數(shù)據(jù)流通。

2.3 從歐美立法經(jīng)驗分析個人敏感信息區(qū)分保護的可行性

2.3.1 歐盟

將個人信息進行區(qū)分保護在域外立法早有先例。1995年的《數(shù)據(jù)保護指令》中明確規(guī)定個人數(shù)據(jù)包括個人一般數(shù)據(jù)和個人敏感數(shù)據(jù)，并對個人敏感數(shù)據(jù)進行列舉式規(guī)定。歐盟對于個人信息的保護采取的是一般保護加特殊保護的雙重標準模式，即：對于個人一般信息的收集、處理和利用，數(shù)據(jù)控制者需要遵守《數(shù)據(jù)保護指令》的基本保護原則；對于個人敏感信息，《數(shù)據(jù)保護指令》給予了更為嚴格的保護標準，即對于該類特殊信息，數(shù)據(jù)控制者在收集、處理、利用時必須取得信息主體的明確同意，如果超出信息收集時所確定的范圍，需要征得信息主體的進一步同意，否則數(shù)據(jù)控制者應(yīng)承擔相應(yīng)的責任。然而，數(shù)據(jù)挖掘技術(shù)的研發(fā)與應(yīng)用，導(dǎo)致信息主體與數(shù)據(jù)控制者處于嚴重不平等的地位。時至今日，歐盟《數(shù)據(jù)保護指令》對于個人信息的保護已經(jīng)顯得捉襟見肘，歐盟開始審視現(xiàn)有立法的不足，改革現(xiàn)有法律規(guī)范以順應(yīng)時代的發(fā)展潮流，更好地保護個人信息。

歐盟于2012年公布《一般數(shù)據(jù)保護條例》草案，以代替《數(shù)據(jù)保護指令》，該草案于2016年4月通過，2018年5月該條例正式實施[15]。在《一般數(shù)據(jù)保護條例》中，點睛之處在于歐盟對于個人信息進行了分層規(guī)定，共分三個層次：首先是對個人一般信息的規(guī)定，這類信息包括種族、政治觀點、宗教信仰、哲學(xué)信仰以及工會成員資格等，原則上數(shù)據(jù)控制者可以對該類信息進行處理，但是不得泄露；其次，歐盟對于個人敏感數(shù)據(jù)增加了處于中間層的個人基因信息、生物特征信息，因為這類信息加上相關(guān)技術(shù)可識別到特定主體，故數(shù)據(jù)控制者在處理該類信息時，需要符合目的原則，且禁止對該類信息加以識別；最后，對于健康信息、性取向、性生活等高度私密的信息，是禁止收集、處理的。從《一般數(shù)據(jù)保護條例》對個人信息利用的區(qū)分標準而言，敏感度越高的個人信息，對數(shù)據(jù)控制者利用的要求與限制條件也越多，體現(xiàn)了歐盟以保障人權(quán)為核心的立法理念[16]126?？傮w而言，歐盟《一般數(shù)據(jù)保護條例》更新個人敏感數(shù)據(jù)的類型，加重數(shù)據(jù)控制者的責任，在一定程度上降低了個人敏感數(shù)據(jù)泄露的風險。

2.3.2 美國

在立法形式上，美國對于個人敏感信息的保護，一般多見于比較零散的州法規(guī)以及各個行業(yè)的軟法中。美國在公共領(lǐng)域關(guān)于個人信息保護的立法最主要的是1974年制定的《隱私法》，該法明確規(guī)定了公民個人的權(quán)利基礎(chǔ)是基于其隱私權(quán)投射于個人信息之上而產(chǎn)生的數(shù)據(jù)隱私權(quán)。該法的根基在于將個人信息納入絕對隱私權(quán)的保護范疇，體現(xiàn)為保證個人知情同意、刪除以及修改的權(quán)利。對于個人信息的保護，美國法是以隱私權(quán)為基石，對于個人信息糾紛主要依賴援引和變通隱私權(quán)相關(guān)規(guī)則與判例加以解決。隨著數(shù)據(jù)挖掘技術(shù)的應(yīng)用，公權(quán)力部門以及數(shù)據(jù)經(jīng)營者對于數(shù)據(jù)的需求逐漸增大，數(shù)據(jù)成為各個行業(yè)競相追逐的對象，如若繼續(xù)援引隱私權(quán)的相關(guān)規(guī)則保護個人信息，對數(shù)據(jù)需求方而言將付出巨大成本，同時會妨礙到政府部門的公共管理。最終，美國法將具有高度敏感性的信息以單獨立法的模式進行保護，以合理利用個人信息；對于私主體之間的法律關(guān)系，適用行業(yè)自律的規(guī)則由下而上保護個人信息；對于較為敏感或者比較重要的信息，則采用單行法保護模式。

某種類型的個人信息是否應(yīng)得到法律的強化保護，取決于該類信息的泄露與利用給信息主體造成損害的嚴重性。美國法并沒有明確列舉個人敏感信息的類型，需要特別保護的信息，一般是公認的較為私密的信息。了解美國確定的敏感信息類型需要通過各行業(yè)部門制定的特定敏感數(shù)據(jù)法案。比較重要的單行法主要有：①金融領(lǐng)域的《格拉姆-里奇-布萊利法案》（該法案適用于在金融活動中有重大參與的美國公司，并要求該類公司根據(jù)其活動的規(guī)模、復(fù)雜性、性質(zhì)和范圍，實施各種包含保障措施的安全計劃）以及近年來最具影響力的法案2015年的《消費者隱私保護法案（草案）》（該法案規(guī)定了敏感個人可識別信息，且將確保該類信息的安全作為法案的主旨）；②在通信領(lǐng)域有1984年的《電纜通信隱私法》、1986年的《有限通信隱私權(quán)法》；③針對兒童隱私保護1998年出臺了《兒童在線隱私保護法》（COPPA），該法案的基本目標是保護兒童免受通過網(wǎng)站或移動應(yīng)用程序收集數(shù)據(jù)的風險，并使父母參與此過程；④根據(jù)美國法律，與人的身體或精神有關(guān)的健康信息會受到更高的保護，因為在此領(lǐng)域中，侵犯他人的健康信息會對其精神層面造成損害，故美國國會面向全國頒布了《健康保險便利及責任法》（HIPPA）；⑤在教育行業(yè)有1974年的《家庭教育權(quán)利與隱私法》（FERPA），該法案禁止聯(lián)邦政府資助的機構(gòu)未經(jīng)父母或?qū)W生的同意而披露學(xué)生的教育記錄[1]289。從這些法案可以看出，美國將健康信息、兒童信息、金融信息、教育信息列入敏感信息范疇進行重點保護。

敏感信息的主觀性較強，歐盟與美國的價值觀念、歷史發(fā)展以及文化背景存在不同，因此兩者對于個人敏感信息范圍的界定并不相同，但其保護個人信息的主旨是相同的，均是為了維護個人尊嚴和人格自由。域外法對于個人敏感信息的類型及其認定方式的規(guī)定，為我國個人信息保護立法提供了豐富的可資借鑒的先進經(jīng)驗[12]。綜合分析，將個人敏感信息進行區(qū)分保護有其迫切性和必要性。在數(shù)據(jù)經(jīng)濟時代，平衡個人信息的利用與保護是我們將持續(xù)研究的課題，而對個人信息的區(qū)分保護是大勢所趨。當前，縱觀我國立法，對于個人敏感信息的保護尚不到位，多散見于一些規(guī)范性文件中，但是大多是一些低位階的法律，且對于個人敏感信息的定義、范圍界定并不一致，這給個人信息保護規(guī)則的適用帶來了困難。因此，對于個人敏感信息的保護亟需立法給予應(yīng)有的回應(yīng)，以期為企業(yè)實踐與司法適用提供確切規(guī)范與指引。

3 我國大數(shù)據(jù)時代個人敏感信息保護制度之構(gòu)建

當前，我國立法對于個人信息的保護并不健全，特別是對個人敏感信息的保護尚處于探索階段。正在編纂的《民法典》人格權(quán)編并未對個人敏感信息給予足夠重視，而《個人信息保護法》的制定尚處于起步階段，難以應(yīng)對大數(shù)據(jù)時代個人敏感信息的潛在風險。因此，為回應(yīng)個人敏感信息的保護問題，我們應(yīng)該積極制定《個人信息保護法》，具體而言，需要注意以下制度的更新與構(gòu)建。

3.1 重新定義個人敏感信息：靜態(tài)列舉+動態(tài)情景模式

以上所述，個人敏感信息的保護是必要且可行的，而如何界定個人敏感信息成為保護這類信息首先要解決的問題。由于隱私的主觀性特征，對于個人敏感信息的界定，不同國家或者地區(qū)的立法確定的范圍并不一致。綜合而言，主要有靜態(tài)列舉、動態(tài)情景兩種定義模式。

3.1.1 定義個人敏感信息的模式

首先是靜態(tài)列舉模式：靜態(tài)列舉是傳統(tǒng)定義個人敏感信息的方式，而列舉的考量因素包括歧視標準和基本權(quán)利面臨高侵害風險標準。歧視標準是指，對于個人信息的不當使用或者泄露是否會使信息主體遭受不正當?shù)膶Υ?，以此衡量個人信息的敏感度。聯(lián)合國在1990年出臺的《關(guān)于自動資料檔案中個人資料的指南》就規(guī)定了無歧視原則，即對于民族、種族、膚色以及性生活等可能招致歧視的個人資料，不得進行處理。這一原則中列舉的個人信息被認定為個人敏感信息?；緳?quán)利面臨高風險侵害標準是指泄露該類信息會對信息主體的基本權(quán)利造成高風險損害。例如，歐盟對于個人信息的保護是以人權(quán)保障為理念的，因此在確定個人敏感信息時就以是否危及基本權(quán)利與自由為核心[17]。這兩個標準雖然在衡量個人敏感信息時會出現(xiàn)不同，但是兩者的價值理念是一致的，都是為了維護個人在社會中的人格尊嚴與人格自由。雖然各國的文化背景、價值理念都存在不同，但是基于相同的保護宗旨，敏感性個人信息的確定一般是符合大眾的“合理期待”的，因此，對于個人敏感信息采用靜態(tài)列舉模式是各國立法的普遍做法。例如，歐盟《一般數(shù)據(jù)保護條例》以及美國《消費者隱私權(quán)利法案《草案）》都采用列舉模式界定個人敏感信息。

其次是動態(tài)情景模式：動態(tài)情景模式是指對于個人敏感信息的界定依據(jù)特定的情景加以確定。歐盟《一般數(shù)據(jù)保護條例》即采用這種方式確定個人敏感信息合理使用的邊界，這也是該條例的最大亮點，即摒棄傳統(tǒng)的目的評估理論，轉(zhuǎn)而以場景導(dǎo)向理論為基點，以隱私風險管理為手段動態(tài)評估個人信息的合理使用邊界[11]94。傳統(tǒng)個人信息保護的立法構(gòu)架比較僵化，對于個人信息是否被合理使用，通常是一種全有或全無的一刀切預(yù)判，而情景導(dǎo)向模式跳脫這一窠臼，轉(zhuǎn)而在特定的情景中衡量個人信息的敏感度，進而確定該信息是否被合理使用。在大數(shù)據(jù)時代，數(shù)據(jù)技術(shù)的發(fā)展使得個人信息與非個人信息在不同場景中不斷切換，而情景導(dǎo)向路徑恰好可以應(yīng)對在確定個人敏感信息時所面臨的這一挑戰(zhàn)。美國《消費者隱私權(quán)利法案》正是采用這一模式確定個人敏感信息，一改之前采用“識別性”定義個人信息的方式，采用“關(guān)聯(lián)性”在具體場景中對個人信息加以確定。個人信息尤其是以“關(guān)聯(lián)性”為特征的間接識別信息的邊界是動態(tài)的，是否構(gòu)成個人敏感信息應(yīng)視具體的場景而定[18]。

3.1.2 個人敏感信息范圍的界定：靜態(tài)列舉與動態(tài)情景結(jié)合認定

綜上所述，現(xiàn)行立法對于個人敏感信息范圍的界定主要依據(jù)個人信息對于信息主體的重要性以及損害程度而定。靜態(tài)列舉個人敏感信息模式是現(xiàn)行立法的主要趨勢，這種定義方式對個人敏感信息的保護可以起到一定的預(yù)防性效果，使相關(guān)信息得到切實保護。但是這種定義模式的缺陷在于，隨著數(shù)據(jù)技術(shù)的不斷發(fā)展，個人敏感信息的類型不斷涌現(xiàn)，其內(nèi)容也在不斷變化，“由法律規(guī)定和判斷信息是否敏感的立法方式并未考慮信息主體的個人意見和感受，既可能保護過度又可能保護不足”[12]242。靜態(tài)列舉個人敏感信息的目的在于，在信息收集階段盡可能獲得信息主體的明確授權(quán)，但隨著數(shù)據(jù)技術(shù)的發(fā)展與應(yīng)用，對于個人信息安全的防護主要集中在利用階段，而非收集階段，如此，靜態(tài)列舉個人敏感信息的預(yù)防效果就大大降低了。因此，通過動態(tài)情景路徑定義個人敏感信息為很多學(xué)者所提倡，歐美立法也采用了這一做法。動態(tài)情景理論注意到了個人信息范圍的不確定性與動態(tài)性，個人敏感信息在不同的情景中其性質(zhì)會隨時發(fā)生變化。例如，IP地址可能并不屬于個人敏感信息，但是如果警察利用該IP地址結(jié)合相關(guān)技術(shù)就可以鎖定犯罪分子的具體方位，抓獲犯罪分子，那么這個IP地址就成為了個人敏感信息。情景導(dǎo)向路徑掙脫了傳統(tǒng)立法在事前對個人敏感信息進行列舉的做法，在不同情景中確定具體的個人敏感信息類型，進而采取不同的保護措施加以應(yīng)對。這種定義模式強調(diào)個人信息的關(guān)聯(lián)性，即在特定情景下如果該信息可以關(guān)聯(lián)到具體信息主體，那么該信息就被認定為個人敏感信息[19]。但是，情景導(dǎo)向路徑定義個人敏感信息的主觀性較強，缺乏明顯的個人敏感信息范圍，完全交由法院來認定個人敏感信息，會增加法官界定個人敏感信息范圍的難度，在認定時勢必會產(chǎn)生偏差，這樣在司法實踐中對個人信息的保護反而會產(chǎn)生不利的影響。因此，本文認為，對個人敏感信息可以采用動靜結(jié)合的定義方式，即靜態(tài)列舉+動態(tài)情景的模式。靜態(tài)列舉路徑對個人敏感信息范圍的界定雖然存在不足，難以有效適應(yīng)數(shù)據(jù)時代的發(fā)展要求，但這一立法技術(shù)仍有其存在的空間。這是因為，靜態(tài)列舉模式可以明確個人敏感信息的概念及其具體范圍，從而引導(dǎo)數(shù)據(jù)參與者對不同的個人信息采用不同的保護規(guī)則，可以從源頭上達到對個人信息進行分類保護的效果。另外，這一定義模式有助于為法官提供統(tǒng)一的裁判標準，避免在個案中因為尺度不一而對個人敏感信息范圍的確定產(chǎn)生分歧，進而導(dǎo)致同案不同判的不公平現(xiàn)象的出現(xiàn)[17]45。

因此，本文認為對于個人敏感信息的定義，宜采取靜態(tài)列舉+動態(tài)情景的綜合定義方式。靜態(tài)列舉個人敏感信息的類型有助于明晰特殊信息的概念以及范圍，并為法院提供統(tǒng)一的裁判標準。歐美的文化理念與我國存在顯著不同，我們對于個人敏感信息的列舉不能照搬全抄，但是人的感情是互通的，對于敏感信息的界定在一定程度上又具有一定的相似性。因此，在參考歐盟《一般數(shù)據(jù)保護條例》中對于個人敏感信息列舉的基礎(chǔ)上，結(jié)合我國的歷史文化、價值理念、經(jīng)濟背景等因素，本文認為個人敏感信息主要包括：①健康信息；②生物識別信息；③性取向、性生活；④基因信息；⑤金融信息；⑥身份證件號碼信息；⑦政治意見；⑧宗教信仰。對于地理位置信息、網(wǎng)絡(luò)活動軌跡信息等，本文認為雖然其是因個人的行為引起的，且在網(wǎng)絡(luò)中極易受到侵害，但是其對信息主體的損害程度較為輕微。因此，我們不宜將其定性為個人敏感信息，以免過于擴大個人敏感信息的范圍，增加數(shù)據(jù)控制者利用數(shù)據(jù)的經(jīng)濟成本，最終限制數(shù)據(jù)經(jīng)濟的發(fā)展。而為了彌補立法的滯后性和僵硬性缺陷，并適應(yīng)數(shù)據(jù)經(jīng)濟的快速發(fā)展，我們應(yīng)同時采用動態(tài)情景的定義模式作補充，在信息處理過程中，綜合考量情景因素與目的隱私，準確界定個人敏感信息，以保證個案公平。

3.2 確立隱私設(shè)計原則

法律本身具有滯后性特征，而技術(shù)的發(fā)展往往快于立法的更新，單純依靠法律方式對個人信息加以保護是不夠的，數(shù)據(jù)控制者還需要更新現(xiàn)有的信息保護機制。在解決個人敏感信息保護問題方面，隱私設(shè)計理論（Privacy by Design，PbD）是近年來被很多企業(yè)所認可的政策工具。PbD是一種事前預(yù)防機制，是在事前就充分考量對于隱私信息保護的需要，在技術(shù)系統(tǒng)中通過特別設(shè)計增強對隱私信息的保護。這一理論最先由加拿大安大略省隱私專員Ann Cavoukian博士在20世紀90年代提出，主要是為了應(yīng)對信息技術(shù)對個人隱私造成的潛在威脅，這種保護設(shè)計技術(shù)貫穿于信息利用的整個周期。PbD代表了從傳統(tǒng)保護路徑到現(xiàn)代技術(shù)保護路徑的重大轉(zhuǎn)變，這種保護路徑側(cè)重于為信息管理設(shè)定最低標準，并針對侵犯隱私的行為提供補救措施。Cavoukian的PbD原則已成為全球公認的隱私保護標準。在2010年10月于耶路撒冷舉行的第32屆數(shù)據(jù)保護與隱私專員國際大會（ICDPPC）上，來自世界各地的隱私監(jiān)管機構(gòu)通過了《隱私設(shè)計解決方案》，也被稱為《耶路撒冷宣言》，承認PbD為“隱私保護的重要組成部分”，并致力于推廣Cavoukian的原則。隨后該制度為各個國家和地區(qū)的立法所采納[21]。PbD對于個人敏感數(shù)據(jù)的保護具有更好的適用性，歐美立法也呈現(xiàn)出對PbD的認可，歐盟《一般數(shù)據(jù)保護條例》直接將這一制度正式納入法律條文中。

Ann Cavoukian提出，為了實現(xiàn)PbD的目標，需要踐行7項基礎(chǔ)原則：①主動預(yù)防，而非消極補救。PbD應(yīng)當能夠預(yù)測并且預(yù)防隱私侵害事件的發(fā)生，發(fā)揮其事前預(yù)防的功能。②將隱私保護作為默認設(shè)置。通過默認設(shè)置，隱私應(yīng)該被自動保護，信息主體無須采取任何措施。③隱私保護貫穿設(shè)計。在數(shù)據(jù)利用的整個生命周期，PbD需要貫穿于每個環(huán)節(jié)，它是IT系統(tǒng)不可或缺的一部分。④全功能——正和非零和規(guī)則。PbD應(yīng)以一種正和、雙贏的方式實現(xiàn)所有合法利益，而不是以一種零和的方式，犧牲合法利益，避免出現(xiàn)非此即彼的偽命題。⑤終端安全——全生命周期的保護。成熟有效的保護措施對于隱私信息的保護至關(guān)重要，即使業(yè)務(wù)完成后，存儲的數(shù)據(jù)也可以被安全地銷毀。⑥可視性和透明度——保證公開。PbD將保障數(shù)據(jù)經(jīng)濟或技術(shù)相關(guān)的利益主體能根據(jù)自身的目的利用個人信息，且接受獨立的核查，以保證個人信息利用的透明性與公開性。⑦尊重隱私，以信息主體為核心。PbD要求數(shù)據(jù)控制者將信息主體的隱私利益作為最高利益，將隱私保護措施作為默認設(shè)計，使信息主體控制自身數(shù)據(jù)[21]。

隱私保護設(shè)計的7個原則代表了隱私保護的下一個方向。從立法實踐而言，隱私設(shè)計理論制度已經(jīng)為國外立法所認可，歐美立法對該制度的引進詮釋了其對個人敏感信息保護的重要作用，“隱私設(shè)計原則的法律化為隱私設(shè)計理論提供了指導(dǎo)，而法律需求通過設(shè)計嵌入系統(tǒng)具有可行性”[22]。因此，在個人信息保護立法中引入隱私設(shè)計理論是一種較為可行的新路徑。

3.3 強化個人敏感信息的保護規(guī)則

3.3.1 收集階段：分層多級的知情同意規(guī)則

個人信息是數(shù)據(jù)集合的重要組成部分，對于個人信息的利用已經(jīng)成為數(shù)據(jù)經(jīng)濟發(fā)展的必備要件，而個人信息保護的終極目的是在保護數(shù)據(jù)安全的前提下，促進數(shù)據(jù)流通，進而保障數(shù)據(jù)產(chǎn)業(yè)的健康可持續(xù)發(fā)展。為保護個人信息的安全，傳統(tǒng)立法都將同意規(guī)范作為數(shù)據(jù)處理的合法性要件，但是在大數(shù)據(jù)時代的背景下，一味地強調(diào)對于信息主體的知情同意，不僅會增加數(shù)據(jù)企業(yè)的生產(chǎn)成本，而且在實踐中也缺乏一定的可操作性。因此，本文認為，對知情同意要件可以適當?shù)丶右攒浕?，鑒于個人信息的敏感度不同，對于知情同意的要件也應(yīng)該分層多級適用，使數(shù)據(jù)與個人信息之間的利益達到平衡狀態(tài)。具體而言，我們可以根據(jù)個人信息使用的不同階段，使用不同程度的知情同意規(guī)則。

首先，在個人信息收集階段，對于個人敏感信息的收集，必須征得信息主體的明確同意，因為敏感信息與個人的人格尊嚴及人格自由息息相關(guān)。該階段是個人信息進入數(shù)據(jù)利用的初級階段，同意規(guī)則的適用可以起到一個預(yù)防性的積極保護效果，強化信息主體的控制權(quán)，保障信息主體在信息收集階段的參控力度，使其擁有與數(shù)據(jù)控制者議價的能力，從而改善信息主體在數(shù)據(jù)收集環(huán)節(jié)所處的弱保護狀態(tài)。對個人敏感信息的利用應(yīng)嚴格遵守規(guī)范，以維護信息主體的人格自由和尊嚴，而對敏感信息以外的個人信息，因其對個人隱私傷害較小，可采用較為軟化的態(tài)度，以減少數(shù)據(jù)控制者收集信息不必要的程序和成本，促進數(shù)據(jù)流通。因此，我們在利用敏感個人信息時，必須取得信息主體的明確同意；而對于一般個人信息，因其對信息主體的隱私威脅不會太大，故應(yīng)該允許默示同意條款的存在。從締約成本的角度而言，默示同意可以大幅降低締結(jié)數(shù)據(jù)利用協(xié)議的成本，對數(shù)據(jù)利用的各方主體均有利。大數(shù)據(jù)環(huán)境下，數(shù)據(jù)控制者要從海量信息主體逐一取得授權(quán)難度較大，如果所有個人信息在利用時均須取得信息主體的明確授權(quán)，數(shù)據(jù)控制者也會因利用成本過高而采用違法方式獲取和利用數(shù)據(jù)，這不僅會給信息主體帶來更大的隱私風險，且數(shù)據(jù)控制者也會因此承擔更高的法律風險[23]。采取不同的同意標準和保護機制，與大數(shù)據(jù)時代的發(fā)展要求高度契合。

3.3.2 處理階段：采用差異化的禁止處理規(guī)則

禁止處理規(guī)則是指，法律明文規(guī)定對于個人敏感信息，數(shù)據(jù)控制者禁止對其進行處理，除非有法律規(guī)定的例外情形。鑒于個人敏感信息對于信息主體的重要性和影響力，對于個人敏感信息的禁止處理規(guī)定是必要的也是必需的。敏感信息具有靈活性以及主觀性，受歷史發(fā)展、文化理念的影響，各個國家對于個人敏感信息的范圍界定并不一致。歐盟對于個人敏感信息的處理，是根據(jù)信息敏感度的不同采取不同的標準，這種禁止處理程度的靈活性值得我們借鑒。對此，本文認為，對于絕對隱私的敏感信息，比如個人的健康信息、性生活、性取向信息、金融信息、宗教信仰、政治觀點等高度敏感信息，應(yīng)該絕對禁止處理；而對于生物識別信息、基因信息等對于個人的權(quán)利并不會造成極大影響的信息可以適當放寬，只要不以識別具體個人為目的，就可以進行處理。

3.3.3 應(yīng)用階段：匿名化規(guī)則

數(shù)據(jù)的交易是互聯(lián)網(wǎng)+時代發(fā)展的基石，個人隱私的保護是社會安定的前提。數(shù)據(jù)在交易過程中可能涉及的隱私風險成為當前在大數(shù)據(jù)時代我們面臨的重要課題。為解決在數(shù)據(jù)利用過程中個人隱私信息所面臨的安全性挑戰(zhàn)，個人信息匿名化規(guī)則應(yīng)運而生，成為數(shù)據(jù)流通和利益保護的平衡器。采用個人信息匿名化規(guī)則是解決用戶個人信息保護與數(shù)據(jù)應(yīng)用之間的矛盾的有效方式。個人信息匿名化規(guī)則的目的是降低身份識別的風險，雖然有學(xué)者認為這一技術(shù)已經(jīng)失色，不能控制個人身份反向識別的情形發(fā)生。但是就目前的技術(shù)而言，個人信息匿名化規(guī)則不失為平衡數(shù)據(jù)流通和個人隱私保護的一種重要方式，沒有一項技術(shù)能絕對地保證規(guī)避風險。首先，個人信息匿名化規(guī)則在數(shù)據(jù)流通的第一階段就過濾掉大部分無技術(shù)無資源的外行進行身份再識別。其次，數(shù)據(jù)的利用多被用于政策發(fā)布、醫(yī)療、教育、地理等公共領(lǐng)域，數(shù)據(jù)需求者本就沒有再次識別的必要，不存在經(jīng)濟利益，這就在動機上避免了身份再識別的風險。最后，當數(shù)據(jù)泄露、身份盜用等事件出現(xiàn)時，個人信息匿名化規(guī)則可以初步防止隱私泄露[23]?！毒W(wǎng)絡(luò)安全法》第42條第1款也對匿名化規(guī)則加以規(guī)定，要求去識別化處理需要達到無法識別個人且不能復(fù)原的程度。

3.3.4 刪除階段：隨時撤銷規(guī)則

賦予數(shù)據(jù)主體隨時撤銷的權(quán)利是對個人敏感信息靈活處理、分層同意的最后保護屏障。對于個人敏感信息在收集階段、處理階段的靈活寬松的規(guī)則適用，并不是意味著對于責任的放松，或?qū)τ趥€人信息保護的忽視。對于個人敏感信息在利用過程中可能出現(xiàn)的危害，信息主體需要保持高度警惕，在個人敏感信息循環(huán)利用的整個過程，信息主體都有權(quán)根據(jù)信息使用的目的、方式，在合理的情形下，撤銷對數(shù)據(jù)控制者的授權(quán)使用。這種合理情形是指信息主體發(fā)現(xiàn)自身的信息正處于高風險的侵害狀態(tài)。一旦信息主體要求數(shù)據(jù)控制者停止對其信息的利用，數(shù)據(jù)控制者需要立即停止對信息主體的信息進行存儲、加工和交易。信息主體隨時撤銷的權(quán)利是賦予信息主體進行自救的權(quán)利，強化了信息主體的權(quán)利，增加了信息主體對自身信息利益的保護力度，是信息自決權(quán)在具體保護規(guī)則中的具體化。值得注意的是，對于信息主體隨時撤銷的權(quán)利，不宜擴大其適用范圍，在具體適用時，應(yīng)該兼顧公共利益，不應(yīng)肆意擴大邊界，以保障數(shù)據(jù)經(jīng)濟的有序發(fā)展。

4 結(jié)語

個人信息是數(shù)據(jù)利用必不可少的一部分，個人敏感信息與個人的人格自由、人格尊嚴息息相關(guān)，應(yīng)該受到特別的保護，方能體現(xiàn)立法的人文主義關(guān)懷。歐美最新一輪的立法改革體現(xiàn)了對于個人敏感信息的著重保護，值得我國借鑒。面對大數(shù)據(jù)時代對于個人敏感信息的新挑戰(zhàn)，我們應(yīng)該在既有的立法基礎(chǔ)上，借鑒歐美最新立法經(jīng)驗，跳出傳統(tǒng)單一的保護思維，將技術(shù)融入法律中，探索一條靈活相容的信息保護路徑，在保護個人隱私信息的同時，發(fā)揮個人信息的最大價值，實現(xiàn)多方共贏的局面，最終促進數(shù)據(jù)產(chǎn)業(yè)持續(xù)健康有效地發(fā)展。