敏感個(gè)人信息的公私法一體化保護(hù)

內(nèi)容摘要：隨著個(gè)人生物識(shí)別技術(shù)的應(yīng)用，非法收集、泄露和濫用人臉信息的違法犯罪問題凸顯。包括人臉信息在內(nèi)的敏感個(gè)人信息的可識(shí)別性是其本質(zhì)特征，對(duì)其敏感性及其程度，應(yīng)從形式與實(shí)質(zhì)、靜態(tài)與動(dòng)態(tài)相結(jié)合角度加以判斷。作為權(quán)利客體和行為對(duì)象，敏感個(gè)人信息的法益內(nèi)涵不限于公民個(gè)人的人格權(quán)益，而且包括社會(huì)利益、公共秩序和國(guó)家安全，受到公法和私法的多元化、多層次保護(hù)。在公私法融合的背景下，基于法秩序統(tǒng)一性和公私法一體化保護(hù)理念，對(duì)敏感個(gè)人信息應(yīng)當(dāng)實(shí)行強(qiáng)化保護(hù)和分類分級(jí)保護(hù)。在刑法層面，以個(gè)人信息保護(hù)法等前置法為參照，對(duì)侵犯敏感個(gè)人信息的行為對(duì)象范圍及入罪標(biāo)準(zhǔn)予以具體認(rèn)定。

關(guān)鍵詞：人臉識(shí)別 敏感個(gè)人信息 多元法益 公私法融合 一體化保護(hù) 個(gè)人信息保護(hù)法

中圖分類號(hào)：DF61? 文獻(xiàn)標(biāo)識(shí)碼：A? 文章編號(hào)：1674-4039-（2022）01-0066-78

一、問題的提出：以“人臉信息”為例

在互聯(lián)網(wǎng)和大數(shù)據(jù)背景下，如何在合理利用個(gè)人信息的同時(shí)防范其面臨的安全風(fēng)險(xiǎn)，在信息技術(shù)發(fā)展與個(gè)人權(quán)益保護(hù)之間尋求平衡，成為當(dāng)今信息網(wǎng)絡(luò)治理中的法律和政策難題。例如，人臉、指紋、虹膜、基因等個(gè)人生物信息通過智能技術(shù)被收集、存儲(chǔ)，從而廣泛應(yīng)用到國(guó)境邊防、社會(huì)治安、公共交通、醫(yī)療衛(wèi)生、疫情防控等方面，并擴(kuò)展到人工智能、區(qū)塊鏈商業(yè)應(yīng)用的新領(lǐng)域。人臉識(shí)別的主要特征在于非接觸性、主體唯一性和不易復(fù)制性，同時(shí)也具有無須攜帶、易于采集、成本低廉等特點(diǎn)，通過設(shè)置普通攝像頭等傳感器，無須接觸人體便可實(shí)現(xiàn)人臉信息的抓取與存儲(chǔ)。人臉識(shí)別的廣泛應(yīng)用為人們的社會(huì)生活帶來了很大便利，然而，人臉信息數(shù)據(jù)存儲(chǔ)、傳輸流程存在嚴(yán)重的隱私侵權(quán)和安全受損風(fēng)險(xiǎn)，刷臉系統(tǒng)在公共場(chǎng)景中的應(yīng)用往往突破“同意使用”原則，強(qiáng)制授權(quán)、過度授權(quán)、超范圍收集和泄露個(gè)人信息等現(xiàn)象大量存在，引發(fā)社會(huì)公眾的普遍擔(dān)憂。司法實(shí)踐中，與人臉信息相關(guān)的侵權(quán)違法犯罪案件多發(fā)，并且與網(wǎng)絡(luò)電信詐騙、敲詐勒索、綁架等下游犯罪相結(jié)合，其侵害行為所造成的損害及風(fēng)險(xiǎn)呈現(xiàn)增大擴(kuò)散態(tài)勢(shì)。

從立法上看，我國(guó)過去比較側(cè)重于公民個(gè)人的人身權(quán)和財(cái)產(chǎn)權(quán)，通過認(rèn)定非法收集和利用個(gè)人信息行為對(duì)公民個(gè)體權(quán)益所造成的實(shí)際侵害，追究其民事侵權(quán)或行政違法責(zé)任，或者認(rèn)定其是否構(gòu)成犯罪及其所承擔(dān)刑事責(zé)任大小。在人臉信息保護(hù)方面，根據(jù)《個(gè)人信息安全規(guī)范》第3.2條的規(guī)定，生物識(shí)別信息應(yīng)屬于個(gè)人敏感信息?！? 〕而人臉信息屬于敏感個(gè)人信息的類型之一。該行業(yè)規(guī)范在2017年舊版的基礎(chǔ)上，細(xì)化與完善了個(gè)人生物識(shí)別信息在收集、存儲(chǔ)和共享三個(gè)方面的保護(hù)要求，對(duì)于人臉識(shí)別技術(shù)的合規(guī)使用具有重要的指引作用。《人臉信息規(guī)范》第3.1條規(guī)定，“人臉識(shí)別”即基于人臉特征對(duì)個(gè)體自然人進(jìn)行識(shí)別的過程。通過人臉識(shí)別技術(shù)獲得的、能夠識(shí)別自然人身份或行為特征的個(gè)人信息，即為人臉信息。最高人民法院《關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（以下簡(jiǎn)稱人臉識(shí)別民案規(guī)定）第1條規(guī)定，人臉信息屬于民法典第1034條規(guī)定的“生物識(shí)別信息”;第2條至第9條明確了濫用人臉識(shí)別技術(shù)處理人臉信息行為的侵權(quán)性質(zhì)及法律責(zé)任。然而，由于個(gè)人信息法益的多元化和復(fù)雜性，不同法律規(guī)范文件的調(diào)整對(duì)象和適用范圍存在交叉重合。將人臉信息視為個(gè)人生物識(shí)別信息，納入敏感個(gè)人信息的保護(hù)范圍，并予以強(qiáng)化保護(hù)。在大數(shù)據(jù)時(shí)代，在個(gè)人信息保護(hù)法律領(lǐng)域出現(xiàn)了公法與私法交叉融合的趨勢(shì)。在此立法背景下，如何對(duì)包括人臉信息在內(nèi)的敏感個(gè)人信息實(shí)行體系化法律保護(hù)？筆者對(duì)此加以探討。

二、敏感個(gè)人信息的內(nèi)涵與多元法益屬性

在理論上和立法中，對(duì)于敏感個(gè)人信息的分類標(biāo)準(zhǔn)不一，在概念表述上也存在差異。正確認(rèn)識(shí)和把握敏感個(gè)人信息的內(nèi)涵和分類屬性，是對(duì)其進(jìn)行界定和法益保護(hù)的首要前提。

（一）敏感個(gè)人信息的內(nèi)涵界定

關(guān)于敏感個(gè)人信息的界定，個(gè)人信息保護(hù)法第28條第1款使用了“敏感個(gè)人信息”的定義，而未采納民法典的“私密信息”概念。相比之下，“私密信息”的范疇較為寬泛，可涵蓋所有未公開的個(gè)人信息，而“敏感信息”的對(duì)象范圍更為明確具體，在比較法上屬于通行概念。民法典和個(gè)人信息保護(hù)法對(duì)個(gè)人信息的定義雖然在表述上有所差異，但均認(rèn)為，“可識(shí)別性”是個(gè)人信息的本質(zhì)特征?！? 〕我國(guó)學(xué)界也普遍將可識(shí)別性界定為個(gè)人信息的本質(zhì)特征。絕對(duì)不可識(shí)別的個(gè)人信息是不存在的，個(gè)人信息的可識(shí)別性只存在強(qiáng)弱程度之分。〔3 〕與直接個(gè)人信息相比，間接個(gè)人信息并非不具備可識(shí)別性，而是不具有直接識(shí)別的可能性。某種單個(gè)信息可能不能識(shí)別特定自然人身份及其活動(dòng)情況，將不同信息組合起來就具有可識(shí)別性。而離開了信息組合的關(guān)聯(lián)性，就不能成為“間接個(gè)人信息”。傳統(tǒng)的個(gè)人信息處理方法較為簡(jiǎn)單，直接識(shí)別成為主要方式。但在大數(shù)據(jù)背景下，間接個(gè)人信息越來越能發(fā)揮重要的識(shí)別作用。〔4 〕對(duì)于間接個(gè)人信息來說，與特定自然人身份及活動(dòng)情況的關(guān)聯(lián)性必須達(dá)到一定的緊密程度，從這一點(diǎn)來說，間接個(gè)人信息也可能具有較強(qiáng)的可識(shí)別性，只不過需要借助于其他信息加以綜合分析判斷。因此，不能因?yàn)殚g接個(gè)人信息的“間接性”而忽視對(duì)其進(jìn)行規(guī)制和保護(hù)，只不過不再像以往一樣依賴隱私權(quán)保護(hù)模式，而是要通過個(gè)人信息權(quán)的保護(hù)加以實(shí)現(xiàn)。

對(duì)敏感個(gè)人信息的保護(hù)和利用是個(gè)人信息保護(hù)法規(guī)定的重要內(nèi)容。我國(guó)個(gè)人信息保護(hù)法與《個(gè)人信息安全規(guī)范》對(duì)“敏感個(gè)人信息”均作了相似的界定和列舉?！懊舾小痹谟⑽闹械暮x之一是“高度反應(yīng)或易受影響”?！? 〕國(guó)內(nèi)有學(xué)者認(rèn)為，在法律語境下，“敏感”就是法律規(guī)制的“高反應(yīng)度”。敏感個(gè)人信息就是使人敏感的個(gè)人信息 〔6 〕，個(gè)人信息的“敏感度”所描述的是“個(gè)人信息對(duì)信息主體造成傷害或影響的程度”?！? 〕個(gè)人信息保護(hù)法特別強(qiáng)調(diào)低齡未成年人的個(gè)人信息也屬于敏感個(gè)人信息，該法第31條規(guī)定，處理此類個(gè)人信息，應(yīng)當(dāng)取得未成年人的父母或其他監(jiān)護(hù)人的同意，并制定專門的處理規(guī)則。從域外立法來看，許多國(guó)家均規(guī)定了“敏感個(gè)人信息”的定義，并采取列舉方式限定個(gè)人信息的范圍。例如，2012年歐盟一般數(shù)據(jù)保護(hù)條例（GDPR）第4條以“識(shí)別或可識(shí)別”對(duì)個(gè)人信息予以界定，其內(nèi)涵和范圍與我國(guó)個(gè)人信息保護(hù)法中“個(gè)人信息”的定義基本相同。美國(guó)2015年消費(fèi)者隱私權(quán)利法案（草案）（CPBR）規(guī)定了“敏感個(gè)人可識(shí)別信息”，并將保障其安全作為該立法的主要任務(wù)?！? 〕比較來看，無論是美國(guó)的隱私保護(hù)立法草案，還是歐盟的一般數(shù)據(jù)保護(hù)條例，差別不大，均包含“生物識(shí)別數(shù)據(jù)”。2021年美國(guó)統(tǒng)一法律委員會(huì)通過了統(tǒng)一個(gè)人數(shù)據(jù)保護(hù)法（UPDPA），該示范法案在對(duì)“敏感數(shù)據(jù)”作出界定的基礎(chǔ)上規(guī)定了“假名數(shù)據(jù)”的概念，即“沒有直接標(biāo)識(shí)符的個(gè)人數(shù)據(jù)”?！? 〕與可識(shí)別的個(gè)人數(shù)據(jù)相比，假名數(shù)據(jù)受到的限制更少。統(tǒng)一個(gè)人數(shù)據(jù)保護(hù)法中規(guī)定的消費(fèi)者權(quán)利（訪問和更正）不適用于假名數(shù)據(jù)，但可適用于“敏感”假名數(shù)據(jù)，只要它可檢索并以進(jìn)行個(gè)性化溝通為目的，這一點(diǎn)顯然比歐盟的一般數(shù)據(jù)保護(hù)條例要寬泛得多。

（二）敏感個(gè)人信息的分類特征

在國(guó)外立法中，歐盟采取了隱私與個(gè)人信息區(qū)分的模式，“個(gè)人數(shù)據(jù)受保護(hù)權(quán)”成為獨(dú)立于隱私權(quán)的重要權(quán)利。與歐盟不同，美國(guó)立法則是將“可識(shí)別的個(gè)人信息”與“隱私”有機(jī)聯(lián)系起來，對(duì)隱私權(quán)和個(gè)人信息實(shí)行一元化保護(hù)?！?0 〕根據(jù)我國(guó)民法典人格權(quán)編第六章的規(guī)定，個(gè)人信息與個(gè)人隱私之間存在交叉之處，“隱私中的個(gè)人私密信息屬于個(gè)人信息的范疇”?！?1 〕隱私權(quán)保護(hù)強(qiáng)調(diào)個(gè)人私生活的安寧不被干擾。而個(gè)人信息保護(hù)關(guān)注的不僅僅限于個(gè)人隱私，而是信息處理中對(duì)個(gè)人信息人格、財(cái)產(chǎn)和安全造成的威脅?；蛘哒f，無論個(gè)人信息主體是否愿意為他人知曉，都不影響某一信息客觀上是否屬于敏感個(gè)人信息。如果個(gè)人私密信息具有一定程度的可識(shí)別性，也可被視為個(gè)人信息，并可納入敏感個(gè)人信息的范圍。例如，行蹤軌跡、健康信息、手機(jī)定位等信息，可以認(rèn)為其屬于隱私，當(dāng)其與個(gè)人的姓名、手機(jī)號(hào)碼有關(guān)聯(lián)時(shí)，其又屬于敏感個(gè)人信息。個(gè)人隱私信息屬于人格利益但不包含財(cái)產(chǎn)屬性，不具有任何財(cái)產(chǎn)屬性的交易價(jià)值，不可利用且受法律絕對(duì)保護(hù)。刑法上的“公民個(gè)人信息”既包括可以識(shí)別身份的個(gè)人信息，也包括極少數(shù)能夠識(shí)別個(gè)人的隱私信息，只不過這種能夠識(shí)別個(gè)人的隱私信息在《刑案解釋》中被表述為 “反映特定自然人活動(dòng)情況的各種信息”而已。例如，李某、王某某倒賣他人QQ賬號(hào)案 〔12 〕，其通過在網(wǎng)上倒賣他人QQ賬號(hào)從中獲利。QQ賬號(hào)注冊(cè)不需要實(shí)名，不具有直接識(shí)別性。但倒賣他人QQ賬號(hào)意味著將賬號(hào)中留存的各種隱私信息處于隨時(shí)被公眾知悉的狀態(tài)，法院認(rèn)定被告人構(gòu)成侵犯公民個(gè)人信息罪，顯然也是考慮到了對(duì)隱私信息的權(quán)益保護(hù)。〔13 〕

關(guān)于如何判斷某種個(gè)人信息的敏感性及程度，美國(guó)學(xué)者Paul Ohm將敏感信息分為本質(zhì)、推斷、工具敏感信息，并提出了“多重因素檢測(cè)”的方法，認(rèn)為敏感個(gè)人信息包含四個(gè)判斷因素，即傷害的可能性、引發(fā)傷害的幾率、信任關(guān)系的存在、是否屬多數(shù)人關(guān)心的風(fēng)險(xiǎn)。〔14 〕這種觀點(diǎn)立足于風(fēng)險(xiǎn)預(yù)防觀念，采取損害嚴(yán)重性、發(fā)生可能性和公眾認(rèn)可度等衡量標(biāo)準(zhǔn)，值得借鑒。具體認(rèn)定中，應(yīng)關(guān)注個(gè)人信息主體的人格尊嚴(yán)以及人身、財(cái)產(chǎn)安全是否容易遭受實(shí)際損害或引起下游損害，以及個(gè)人權(quán)益遭受侵害的風(fēng)險(xiǎn)程度，注意把握以下兩個(gè)方面：第一，形式與實(shí)質(zhì)相統(tǒng)一。從形式角度，以某種信息與特定自然人的關(guān)聯(lián)度、多數(shù)人對(duì)該信息的敏感度作為客觀標(biāo)準(zhǔn)。由于“敏感性”的主觀性較強(qiáng)，敏感度完全可能因不同的主體而完全不同，但并非完全無法認(rèn)識(shí)和把握，可以社會(huì)一般人的認(rèn)識(shí)標(biāo)準(zhǔn)加以判定，減少和消除其不確定性因素。同時(shí)，從實(shí)質(zhì)角度，并非所有具有敏感性的個(gè)人信息均為敏感個(gè)人信息，而是有其特殊的“權(quán)益侵害風(fēng)險(xiǎn)”法律基準(zhǔn)。〔15 〕敏感個(gè)人信息是一旦被泄露或非法使用后將使信息主體的人格權(quán)或財(cái)產(chǎn)權(quán)益遭受實(shí)際損害的重要個(gè)人信息，權(quán)益侵害風(fēng)險(xiǎn)程度相對(duì)較高，應(yīng)當(dāng)受到強(qiáng)化保護(hù)，對(duì)于一般個(gè)人信息則可以采取相對(duì)寬松的保護(hù)措施。第二，靜態(tài)與動(dòng)態(tài)相結(jié)合。個(gè)人信息的處理活動(dòng)包括個(gè)人信息收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等各個(gè)環(huán)節(jié)。因此，靜態(tài)、固化地認(rèn)識(shí)和判斷個(gè)人信息是否具有可識(shí)別性顯然是不夠的。需要從個(gè)人信息處理的動(dòng)態(tài)過程中對(duì)其類型特征進(jìn)行識(shí)別，對(duì)其存在的風(fēng)險(xiǎn)進(jìn)行評(píng)估判斷。〔16 〕對(duì)此，美國(guó)學(xué)者尼森鮑姆提出了“場(chǎng)景完整性”理論，即將某種個(gè)人信息與所處的具體場(chǎng)景關(guān)聯(lián)在一起，將其轉(zhuǎn)變?yōu)閭€(gè)人信息披露和流通是否符合特定場(chǎng)景的問題進(jìn)行討論?！?7 〕歐盟一般數(shù)據(jù)保護(hù)條例的緒言也指出，對(duì)個(gè)人敏感信息予以特別保護(hù)的原因在于，處理此類信息的場(chǎng)景對(duì)基本權(quán)利和自由將帶來重大損害風(fēng)險(xiǎn)。在不同的具體場(chǎng)景中，敏感與非敏感的標(biāo)準(zhǔn)因人、因事而異。因此，有必要借鑒國(guó)外“場(chǎng)景”理論與相關(guān)立法，兼采靜態(tài)和動(dòng)態(tài)認(rèn)定方法，兼顧敏感個(gè)人信息利用的情景、目的等變量因素，動(dòng)態(tài)分析信息主體面臨權(quán)益損害的風(fēng)險(xiǎn)程度，從而對(duì)個(gè)人信息的敏感度作出準(zhǔn)確判定。實(shí)際上，個(gè)人信息的敏感性本身就是一個(gè)模糊性概念，即使從靜態(tài)上判斷仍然面臨變量因素多而難以把握的難題。而在動(dòng)態(tài)過程中著重認(rèn)定難度還可能會(huì)增大，需要發(fā)揮司法的裁量權(quán)進(jìn)行實(shí)質(zhì)解釋和利益衡量，以實(shí)現(xiàn)個(gè)案公正，而不能一味依賴國(guó)家司法機(jī)關(guān)通過制定規(guī)范性司法解釋條文將變量固化為定量?！?8 〕

（三）敏感個(gè)人信息法益的多元化

民法典對(duì)個(gè)人信息的界定采取了“個(gè)人信息權(quán)益”的表述方式，表明“個(gè)人信息權(quán)”仍然只是一種新型人格權(quán)，其內(nèi)容涵蓋人格權(quán)利和利益，而非法定權(quán)利?！?9 〕正如有學(xué)者所說，權(quán)利和法益具有同源性，都是法規(guī)范所確證的利益。〔20 〕有學(xué)者將個(gè)人信息權(quán)益分為“本權(quán)權(quán)益”與保護(hù)“本權(quán)權(quán)益”的權(quán)利：前者主要包括人格尊嚴(yán)、人身財(cái)產(chǎn)安全以及通信自由和通信秘密等利益，但不包括財(cái)產(chǎn)利益。后者主要包括同意（或拒絕）的權(quán)利以及知情、查閱、復(fù)制、轉(zhuǎn)移、更正、補(bǔ)充、刪除、請(qǐng)求解釋說明等權(quán)利?！?1 〕必須指出的是，個(gè)人信息法益主體并非僅指“個(gè)人”，“個(gè)人信息僅在概念上關(guān)聯(lián)到個(gè)人，并不意味著該種信息的權(quán)益也完全歸屬于個(gè)人” 〔22 〕，那種認(rèn)為個(gè)人針對(duì)其個(gè)人信息享有所有權(quán)或決定權(quán)的觀點(diǎn)其實(shí)是一種誤讀。

個(gè)人信息作為權(quán)利客體或行為對(duì)象，其所蘊(yùn)含的法益具有多元屬性，具有權(quán)利、權(quán)益和利益三種形態(tài)，包括個(gè)人法益、公共法益和國(guó)家法益三個(gè)層次，即一是個(gè)人信息初始權(quán)利主體、個(gè)人信息處理主體的人格權(quán)益（隱私權(quán)、名譽(yù)權(quán)等）、財(cái)產(chǎn)權(quán)益（人格權(quán)衍生的財(cái)產(chǎn)權(quán)益），二是社會(huì)秩序和公共利益，三是國(guó)家安全利益，以及個(gè)人、公共或國(guó)家法益的復(fù)合體?！皞€(gè)人信息權(quán)利保護(hù)的法益既包括防御性的隱私權(quán)益，也包括人格尊嚴(yán)、財(cái)產(chǎn)權(quán)益、安全權(quán)益以及增強(qiáng)個(gè)人便利或個(gè)人信息能力的信息控制權(quán)”。具體來說，個(gè)人信息法益包括私法益與公法益兩種類型，公法益其實(shí)是私法益的集合體，“個(gè)人只有作為公民共同體的部分才具有價(jià)值” 〔23 〕，在兩者的關(guān)系上，公法益必須能夠還原為私法益，包括刑法在內(nèi)的公法才能予以保護(hù)。就敏感個(gè)人信息來說，從法益保護(hù)角度，判斷某種個(gè)人信息的敏感程度及其是否應(yīng)當(dāng)納入法律保護(hù)范圍，應(yīng)著重考量其所蘊(yùn)含的人格權(quán)屬性、與之關(guān)聯(lián)的財(cái)產(chǎn)權(quán)屬性。有學(xué)者指出，隱私權(quán)、個(gè)人信息權(quán)與個(gè)人數(shù)據(jù)權(quán)存在權(quán)利競(jìng)合，并呈現(xiàn)出人身屬性逐次弱化、其他屬性強(qiáng)化的態(tài)勢(shì)。比較來說，敏感個(gè)人信息所蘊(yùn)含的法益性質(zhì)與一般個(gè)人信息并無不同，主要是公民個(gè)人的人格、財(cái)產(chǎn)權(quán)益和人身安全。兩者的區(qū)別主要體現(xiàn)在風(fēng)險(xiǎn)程度上，即權(quán)益侵害程度和風(fēng)險(xiǎn)概率?！?4 〕有學(xué)者指出，民法典第1034條規(guī)定的個(gè)人信息權(quán)涉及身體的信息，如生物識(shí)別信息、健康信息、行蹤信息等，與身體權(quán)有交叉和重疊。個(gè)人信息所蘊(yùn)含的“身體信息權(quán)”屬于公民個(gè)人的基本權(quán)利?！?5 〕作為一種權(quán)利客體或行為對(duì)象，個(gè)人信息只是映射某種法益的客觀存在 〔26 〕，因此，敏感個(gè)人信息的分類只是判斷信息處理行為是否侵犯法益的前提。以個(gè)人生物識(shí)別信息為例，其所涉及的社會(huì)利益關(guān)系不限于公民個(gè)體，已經(jīng)不能僅僅用傳統(tǒng)民法上的某種單一權(quán)利加以限定。個(gè)人生物識(shí)別信息天然地具備快捷、直接識(shí)別公民個(gè)人身份的效果，因而被廣泛用于社會(huì)公共管理領(lǐng)域。政府部門基于維護(hù)公共安全的目的，在公共場(chǎng)所安裝人臉識(shí)別系統(tǒng)，強(qiáng)制性地采集個(gè)人生物識(shí)別信息，并且發(fā)揮著跟蹤公民個(gè)人行動(dòng)軌跡的監(jiān)控功能。這使得個(gè)人生物識(shí)別信息不僅具有自身的人格權(quán)益和財(cái)產(chǎn)價(jià)值，而且還具有極強(qiáng)的公共管理利益屬性?！?7 〕隨著生物信息資源的跨境轉(zhuǎn)移和利用，一些國(guó)家通過多種途徑收集個(gè)人生物信息，進(jìn)行人類遺傳信息資源的控制與爭(zhēng)奪，輸出國(guó)遺傳信息資源流失的風(fēng)險(xiǎn)不斷增大，個(gè)人生物識(shí)別信息也被賦予了公共秩序和國(guó)家安全的法益屬性。

三、公私法融合與敏感個(gè)人信息保護(hù)一體化

基于敏感個(gè)人信息所蘊(yùn)含法益的多元性，從法秩序統(tǒng)一性角度實(shí)行公私法一體化保護(hù)，是十分必要的。有學(xué)者指出：“個(gè)人信息保護(hù)法中設(shè)置了大量的私法規(guī)范，確立了知情同意的原則性架構(gòu)、過錯(cuò)推定侵權(quán)責(zé)任及公益訴訟等私法性救濟(jì)機(jī)制，體現(xiàn)了公私法融合的立法趨勢(shì)?！?〔28 〕相關(guān)法律法規(guī)也針對(duì)敏感個(gè)人信息規(guī)定了強(qiáng)化保護(hù)規(guī)則和分類分級(jí)保護(hù)制度。以下從公私法保護(hù)一體化的角度予以探討。

（一）公私法融合與一體化保護(hù)理念

在一國(guó)法律體系中，根據(jù)所調(diào)整法律關(guān)系的不同、保護(hù)法益的差別等標(biāo)準(zhǔn)，部門法可分為公法與私法。隨著社會(huì)發(fā)展和法律關(guān)系日益復(fù)雜，公法與私法交錯(cuò)融合，出現(xiàn)了“公法私法化”和“私法公法化”兩種趨勢(shì)。〔29 〕有的學(xué)者主張，公法和私法之間應(yīng)有明確的界限，“公法的歸公法，私法的歸私法”，兩者各自獨(dú)立，互不介入。〔30 〕也有學(xué)者認(rèn)為，公法與私法的界分并非絕對(duì)的，而是相對(duì)的、多元的，不能將兩者完全割裂開來， 〔31 〕私法規(guī)范滲入公法領(lǐng)域也不是無條件、無原則的，公法不能被私法規(guī)?；瘽B入?！?2 〕公私法的交叉融合仍然是私法體系內(nèi)部的一種局部調(diào)整，并不影響兩者仍具有各自獨(dú)立的法域?！?3 〕我國(guó)過去的個(gè)人信息保護(hù)立法因缺少統(tǒng)一的單行法，采取公私法并行模式，各部門法之間不可避免地存在矛盾沖突，難以實(shí)現(xiàn)法律體系的整體功能。在法秩序的統(tǒng)一性觀念下，在某種程度上打破公私法二元化劃分的傳統(tǒng)觀念，讓公私法之間走向交叉融合發(fā)展的趨勢(shì)， 〔34 〕這既是法秩序統(tǒng)一性原理的內(nèi)在要求，又是個(gè)人信息多元化法益保護(hù)的現(xiàn)實(shí)需要。另外，所謂“私法公法化”和“公法私法化”并非是相互替代，而是帶有強(qiáng)制性的公法規(guī)范滲入私法領(lǐng)域，對(duì)私法自治進(jìn)行適當(dāng)限制。反過來，具有合同契約性質(zhì)的私法規(guī)范融入公法領(lǐng)域，運(yùn)用民事手段調(diào)整行政關(guān)系或發(fā)揮刑法的前置性規(guī)范作用。在私法或公法領(lǐng)域，仍屬于個(gè)別現(xiàn)象，私法與公法的分立仍是基礎(chǔ)和根本，各部門法都是法律體系的有機(jī)組成部分，公私法分立更有利于部門法的分工和協(xié)作，共同實(shí)現(xiàn)自治和管制的雙重目標(biāo)。因此，要防止將過多的帶有公法性質(zhì)的強(qiáng)制性法律條款植入私法體系，應(yīng)確保私法體系既能運(yùn)行自治有序，又能免遭過度強(qiáng)制。

個(gè)人信息保護(hù)涉及信息的收集、儲(chǔ)存、處理、使用、傳遞、標(biāo)注、封存、刪除、披露、泄露等一系列行為的法律規(guī)制，傳統(tǒng)立法對(duì)于個(gè)人信息的保護(hù)主要側(cè)重于個(gè)人的人身權(quán)和財(cái)產(chǎn)權(quán)，通過認(rèn)定非法收集和利用個(gè)人信息行為對(duì)公民個(gè)體權(quán)益所造成的實(shí)際侵害，追究其民事侵權(quán)或行政違法責(zé)任，或者認(rèn)定其是否構(gòu)成犯罪及其所承擔(dān)刑事責(zé)任大小。然而，由于個(gè)人信息具有天然的公共價(jià)值屬性，個(gè)人信息的私法保護(hù)顯得限制有余而保護(hù)不足。相對(duì)于個(gè)人信息的私法保護(hù)，個(gè)人信息保護(hù)的公法規(guī)范相對(duì)較少，主要涉及國(guó)家保護(hù)義務(wù)、國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定、個(gè)人信息跨境提供的規(guī)則及相關(guān)法律責(zé)任等條款。公共利益是公法秩序賴以建立和形成的核心價(jià)值基礎(chǔ)， 〔35 〕為了應(yīng)對(duì)大數(shù)據(jù)時(shí)代信息安全風(fēng)險(xiǎn)，出于管控國(guó)家網(wǎng)絡(luò)信息安全、維護(hù)承載于個(gè)人信息上的公共利益的需要，公法介入個(gè)人信息數(shù)據(jù)保護(hù)勢(shì)在必行。

在我國(guó)個(gè)人信息保護(hù)法律領(lǐng)域，過去一直沒有專門制定個(gè)人信息保護(hù)法，各部門法采取“散在式”立法模式，專門化、板塊化、碎片化問題突出，司法機(jī)關(guān)只能從相關(guān)法律法規(guī)及司法解釋中找法，由于公私法規(guī)范的立法目的、法益保護(hù)內(nèi)容與方式大相徑庭，相互之間的交叉競(jìng)合與沖突在所難免。同時(shí)，也存在公私法融合的現(xiàn)象和趨勢(shì)。例如，我國(guó)民法典第1035條、第1038條、第1039條等具有行政法屬性的條款賦予了個(gè)人對(duì)抗信息處理者、國(guó)家機(jī)關(guān)及工作人員的手段和途徑，充分體現(xiàn)了“公法私法化”的特點(diǎn)。刑法第253條之一侵犯公民個(gè)人信息罪以及《刑案解釋》對(duì)“公民個(gè)人信息”的界定，與民法中個(gè)人信息的內(nèi)涵及法益屬性保持了一致性。我國(guó)個(gè)人信息保護(hù)法，主要通過約束信息處理者的行為對(duì)個(gè)人信息權(quán)益進(jìn)行保護(hù)?！?6 〕個(gè)人信息保護(hù)法同時(shí)包含公法規(guī)范與私法規(guī)范，具有公法與私法的“混合法”屬性。從性質(zhì)來看，個(gè)人信息保護(hù)法不是私法，但也不完全屬于公法，而是專門規(guī)范個(gè)人信息處理活動(dòng)和權(quán)益保護(hù)的單行法，屬于民法與行政法的“交叉型法律”。其主要是私法規(guī)范，兼具公法規(guī)范，具有公私法融合的特點(diǎn)。〔37 〕公法介入個(gè)人信息保護(hù)不能矯枉過正，不能完全采取以公法為主導(dǎo)的保護(hù)模式。在公私法領(lǐng)域相互交錯(cuò)的背景下，單一私法保護(hù)和完全公法規(guī)制之間仍存在折衷地帶——建構(gòu)公私法一體化保護(hù)模式?！?8 〕近年來，有學(xué)者提出“行業(yè)法”的概念，認(rèn)為我國(guó)“拼盤式”單行立法具有行業(yè)屬性，“如果說部門法是法律體系的‘塊’，那么行業(yè)法就是法律體系的‘條’”，一國(guó)法律體系應(yīng)當(dāng)做到“條”“塊”結(jié)合?！?9 〕個(gè)人信息保護(hù)法就是這樣一部保護(hù)個(gè)人信息權(quán)益、規(guī)范個(gè)人信息處理活動(dòng)、促進(jìn)個(gè)人信息合理利用的行業(yè)法、單行法和綜合法。從系統(tǒng)論角度，某一行業(yè)領(lǐng)域的法律法規(guī)都是由各個(gè)部門法組成的，并且形成多元層次。公私法規(guī)范以一定的結(jié)構(gòu)形式形成一個(gè)整體?！?0 〕就個(gè)人信息保護(hù)立法來說，個(gè)人信息保護(hù)法本身是其整個(gè)個(gè)人信息保護(hù)法律體系的子系統(tǒng)，既以其自身獨(dú)有的規(guī)范結(jié)構(gòu)，又同民法、刑法、行政法，以及行業(yè)規(guī)范等相關(guān)聯(lián)，既有內(nèi)部封閉性，又有外部開放性，而個(gè)人信息保護(hù)法在個(gè)人信息保護(hù)法律規(guī)范體系中居于“基本法”的地位，可以發(fā)揮內(nèi)外部銜接協(xié)調(diào)的體系功能。在個(gè)人信息保護(hù)法頒布實(shí)施的背景下，立足于體系解釋，使其與民法典、數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法、刑法以及其他法律法規(guī)相銜接協(xié)調(diào)，從法律規(guī)范體系內(nèi)部到外部，從立法到司法，實(shí)現(xiàn)法秩序統(tǒng)一和個(gè)人信息公私法一體化保護(hù)。

（二）敏感個(gè)人信息的強(qiáng)化保護(hù)規(guī)則

從國(guó)外立法來看，許多國(guó)家立法都以禁止處理敏感個(gè)人信息為原則，但禁止范圍及法律效力存在差別。例如，歐盟相關(guān)立法所禁止的范圍覆蓋從信息收集到信息處理的全過程，最大限度地保護(hù)消費(fèi)者個(gè)人信息的安全。然而，這樣就使得消費(fèi)者和經(jīng)營(yíng)者處于不對(duì)等的地位，對(duì)消費(fèi)者敏感信息的嚴(yán)格保護(hù)也顯得比較困難，在個(gè)人信息權(quán)利保護(hù)方面設(shè)置了一個(gè)“真空地帶”。美國(guó)消費(fèi)者隱私權(quán)利法案（草案）（CPBR）也從個(gè)人信息的動(dòng)態(tài)管理過程中，一方面擴(kuò)大消費(fèi)者的相關(guān)權(quán)利，另一方面加重經(jīng)營(yíng)者的保護(hù)義務(wù)，強(qiáng)化消費(fèi)者對(duì)個(gè)人信息的控制?！?1 〕

無論國(guó)外或國(guó)內(nèi)立法，較一般個(gè)人信息而言，對(duì)敏感個(gè)人信息的法律保護(hù)力度更大，也更為全面。有學(xué)者主張“兩頭強(qiáng)化”理論，分別強(qiáng)化對(duì)個(gè)人敏感隱私信息的保護(hù)和對(duì)個(gè)人一般信息的利用，協(xié)調(diào)個(gè)人信息保護(hù)與利用的之間的利益沖突。〔42 〕在我國(guó)，除了民法典、網(wǎng)絡(luò)安全法、個(gè)人信息保護(hù)法等法律法規(guī)之外，《生物信息保護(hù)要求》《個(gè)人信息安全規(guī)范》等行業(yè)規(guī)范文件對(duì)于敏感個(gè)人信息的強(qiáng)化保護(hù)發(fā)揮著重要的參考作用。例如，《個(gè)人信息安全規(guī)范》第5.4條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者收集個(gè)人生物識(shí)別信息應(yīng)征得個(gè)人信息主體的明示同意。即使已取得個(gè)人信息主體的同意，網(wǎng)絡(luò)運(yùn)營(yíng)者仍應(yīng)僅收集達(dá)到目的所需的最少個(gè)人生物識(shí)別信息，以最大限度降低損害風(fēng)險(xiǎn)。第9.2條對(duì)個(gè)人金融信息特定類別作了特殊規(guī)定：網(wǎng)絡(luò)運(yùn)營(yíng)者確因業(yè)務(wù)需要，確需共享、轉(zhuǎn)讓的，應(yīng)單獨(dú)向個(gè)人信息主體告知目的并征得其明示同意、涉及的個(gè)人生物識(shí)別信息類型、數(shù)據(jù)接收方的具體身份和數(shù)據(jù)安全能力等?？梢姡秱€(gè)人信息安全規(guī)范》以“不應(yīng)共享、轉(zhuǎn)讓”為原則，只有當(dāng)出現(xiàn)業(yè)務(wù)需要或滿足“告知同意”要求的例外情形時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)者方可進(jìn)行個(gè)人生物識(shí)別信息的共享或轉(zhuǎn)讓，且應(yīng)當(dāng)采取加密安全措施或進(jìn)行安全評(píng)估?！渡镄畔⒈Ｗo(hù)要求》第5.1條提出了“強(qiáng)化保護(hù)”的三項(xiàng)原則：一是保密性。在生物特征數(shù)據(jù)的存儲(chǔ)和傳輸過程中，應(yīng)當(dāng)使用SM2或SM4加密算法對(duì)信息數(shù)據(jù)進(jìn)行保密處理，未經(jīng)信息主體授權(quán)不得訪問或披露。二是完整性。生物特征識(shí)別系統(tǒng)應(yīng)通過訪問控制來實(shí)現(xiàn)數(shù)據(jù)的完整性保護(hù)，防止未經(jīng)授權(quán)訪問生物特征數(shù)據(jù)，或通過使用加密技術(shù)進(jìn)行完整性檢查。三是可更新性與可撤銷性。如果攻擊者非法獲取、泄露或未經(jīng)授權(quán)訪問生物特征參考樣本、模板或模型，如護(hù)照上的面部圖像，必須撤銷和更新受侵害者的參考，并將合法的數(shù)據(jù)主體與新的生物特征參考聯(lián)系起來。

個(gè)人信息保護(hù)法第二章第二節(jié)在個(gè)人信息處理一般規(guī)定的基礎(chǔ)上，專門規(guī)定了敏感個(gè)人信息的處理規(guī)則，突出表現(xiàn)了對(duì)其強(qiáng)化保護(hù)的立法導(dǎo)向。具體來說：其一，以禁止處理敏感個(gè)人信息為原則。與一般個(gè)人信息處理采取概括同意不同，對(duì)于個(gè)人敏感信息的處理應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。如果法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書面同意的，要從其規(guī)定。其二，嚴(yán)格限定信息主體告知同意原則。個(gè)人信息保護(hù)法第29、30條規(guī)定，處理敏感個(gè)人信息的，應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。除該法第17條第1款規(guī)定的向個(gè)人告知一般事項(xiàng)之外，還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人的影響。人臉識(shí)別民案規(guī)定第4條規(guī)定，如果強(qiáng)迫或者變相強(qiáng)迫自然人同意處理其人臉信息，該等情形下的同意并非信息主體的真實(shí)意思表示故不被認(rèn)可，不能作為企業(yè)處理人臉信息的合法性基礎(chǔ)，該等抗辯將不予支持?！秱€(gè)人安全規(guī)范》第3.6、3.7條規(guī)定，對(duì)于涉及個(gè)人敏感信息的，必須“明確標(biāo)識(shí)”或“突出顯示”。收集個(gè)人敏感信息前，應(yīng)征得個(gè)人信息主體的“明示同意”?！?3 〕其三，確立特定目的、必要性的處理規(guī)則。根據(jù)個(gè)人信息保護(hù)法第28條的規(guī)定，只有在特定的目的的指引下，具有充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。其四，敏感個(gè)人信息權(quán)利救濟(jì)和責(zé)任承擔(dān)。根據(jù)個(gè)人信息保護(hù)法第四章的有關(guān)規(guī)定，在敏感個(gè)人信息處理的整個(gè)過程中，信息主體享有知情權(quán)、決定權(quán);查閱、復(fù)制權(quán);請(qǐng)求更正、補(bǔ)充權(quán)，請(qǐng)求刪除權(quán);要求解釋說明權(quán)等。個(gè)人信息保護(hù)法第50條規(guī)定了處理者負(fù)有防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄漏或者被竊取、篡改、刪除等義務(wù)。第51條強(qiáng)制性要求信息處理者建立健全相應(yīng)的管理制度和操作規(guī)程，對(duì)個(gè)人信息進(jìn)行分級(jí)分類管理并采取加密等安全技術(shù)措施，制定個(gè)人信息安全事件的應(yīng)急預(yù)案，公布個(gè)人信息保護(hù)負(fù)責(zé)人的聯(lián)系方式等。人臉識(shí)別民案規(guī)定第3條規(guī)定，法院認(rèn)定信息處理者承擔(dān)侵害自然人人格權(quán)益的民事責(zé)任，應(yīng)當(dāng)適用民法典第998條的規(guī)定，并結(jié)合案件具體情況綜合考量受害人是否為未成年人、告知同意情況以及信息處理的必要程度等因素。其四，敏感個(gè)人信息強(qiáng)化保護(hù)的例外情形。根據(jù)個(gè)人信息保護(hù)法第27條的規(guī)定，如果權(quán)利人同意，即便對(duì)其有重大影響處理者亦可處理，以使其與民法典第1035條規(guī)定個(gè)人信息處理的合法、正當(dāng)、必要原則保持一致。人臉識(shí)別民案規(guī)定第5條規(guī)定，為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件或緊急情況下、為維護(hù)公共安全和以公共利益為目的、在自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理處理人臉信息、或者具有符合法律、行政法規(guī)規(guī)定的其他情形，信息處理者主張其不承擔(dān)民事責(zé)任的，法院依法予以支持。

（三）敏感個(gè)人信息的分類分級(jí)保護(hù)

我國(guó)立法機(jī)關(guān)先后頒布實(shí)施了網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法，分別承擔(dān)著保護(hù)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息安全的基本法職能，彼此之間也存在交叉重合關(guān)系。在不同層級(jí)的立法中，不同類型個(gè)人信息的法益屬性和保護(hù)重心是不一樣的，個(gè)人信息分類分級(jí)具有重要的法益識(shí)別和風(fēng)險(xiǎn)防范功能。我國(guó)立法一直都比較重視對(duì)信息數(shù)據(jù)和網(wǎng)絡(luò)安全的分類分級(jí)保護(hù)，個(gè)人信息保護(hù)法第51條原則性規(guī)定了個(gè)人信息處理者對(duì)個(gè)人信息實(shí)行分類管理的義務(wù)。第58條將提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者界定為重要平臺(tái)企業(yè)，并賦予其比一般平臺(tái)更多的“守門人”義務(wù)。值得關(guān)注的是，有關(guān)部門也制定出臺(tái)了一系列有關(guān)信息數(shù)據(jù)分類分級(jí)管理的行業(yè)規(guī)范文件。〔44 〕《信息安全事件分類分級(jí)指南（征求意見稿）》附錄A規(guī)定，某個(gè)信息安全事件的嚴(yán)重級(jí)別不僅取決于業(yè)務(wù)，還取決于該事件的性質(zhì)，諸如故意性、目標(biāo)性、時(shí)機(jī)、量級(jí)。〔45 〕就個(gè)人信息分類與分級(jí)的關(guān)系來看，兩者屬于不同維度，但密不可分。從邏輯順序上，應(yīng)當(dāng)是先“分類”后“分級(jí)”，兩者結(jié)合起來完成對(duì)數(shù)據(jù)法益的識(shí)別和判斷。受侵害的客體與對(duì)客體的侵害程度包含著許多變量因素，同一類的受侵害客體，所遭受侵害程度不同，保護(hù)等級(jí)也會(huì)有不同情況。不同類的受侵害客體，雖然法益性質(zhì)輕重有別，但由于所遭受侵害程度也有輕重差別，也可能處于同一保護(hù)級(jí)別。同樣地，同一種類的信息數(shù)據(jù)由于定級(jí)要素的變化，可能處于不同保護(hù)等級(jí)。反之，不同種類的信息數(shù)據(jù)，由于客體所遭受侵害程度相同，也可能得到相同級(jí)別的保護(hù)。參照上述規(guī)定，對(duì)信息數(shù)據(jù)安全的法律保護(hù)應(yīng)當(dāng)在對(duì)不同領(lǐng)域的信息數(shù)據(jù)進(jìn)行分類的基礎(chǔ)上，綜合考慮影響分級(jí)的各種定級(jí)要素，確定不同的保護(hù)層級(jí)，并有針對(duì)性地選擇不同法律、采取不同方式加以保護(hù)。

如前所述，與個(gè)人信息法益多元化形態(tài)相應(yīng)，公私法保護(hù)也出現(xiàn)交叉融合趨勢(shì)，個(gè)人信息保護(hù)法作為單行法、綜合法，更是兼具公私法規(guī)范特點(diǎn)。因此，個(gè)人信息保護(hù)有必要在界定個(gè)人、社會(huì)、國(guó)家法益層級(jí)的基礎(chǔ)上，實(shí)行分類分級(jí)保護(hù)，以實(shí)現(xiàn)個(gè)人信息法益的一體化保護(hù)和法秩序的統(tǒng)一。有學(xué)者主張，依據(jù)個(gè)人信息數(shù)據(jù)的具體類型和不同場(chǎng)景中所涉及的權(quán)益性質(zhì)，有針對(duì)性地采取不同的保護(hù)模式?！?6 〕上述觀點(diǎn)值得肯定。在對(duì)公私法領(lǐng)域的個(gè)人信息進(jìn)行分類的基礎(chǔ)上，應(yīng)綜合考慮影響分級(jí)的各種定級(jí)要素，確定不同的保護(hù)層級(jí)，并有針對(duì)性地選擇不同法律、采取不同方式加以保護(hù)。具體來說，對(duì)于敏感個(gè)人信息的公私法益可從以下幾個(gè)方面予以分級(jí)保護(hù)：一是強(qiáng)等級(jí)保護(hù)。對(duì)于具有隱私信息性質(zhì)的人臉信息，應(yīng)強(qiáng)調(diào)其私密性，強(qiáng)化其防御性保護(hù)，首先要遵循當(dāng)事人主觀意愿，非特定情形不得處理。與其他層級(jí)的個(gè)人信息在收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等方面形成相區(qū)別的授權(quán)同意、技術(shù)安全、信息處理之規(guī)范等。二是次強(qiáng)等級(jí)保護(hù)。對(duì)于不具有隱私信息屬性的人臉信息，可給予敏感個(gè)人信息的法律保護(hù)。收集該類信息數(shù)據(jù)必須獲得權(quán)利主體明示同意，個(gè)人信息的處理目的、處理方式等要符合合法、正當(dāng)、必要原則。信息權(quán)利主體享有查詢、更正、刪除、撤回同意等權(quán)利。三是弱等級(jí)保護(hù)。除了以上兩種情況之外，對(duì)人臉信息可給予一般個(gè)人信息的保護(hù)強(qiáng)度，其保護(hù)強(qiáng)度弱于敏感信息?！叭酢敝饕w現(xiàn)在數(shù)據(jù)控制者收集該類數(shù)據(jù)只需獲得數(shù)據(jù)主體默示同意即可。默示方式指行為人雖沒有以語言或文字等明示方式做出意思表示，但以特定作為或不作為的沉默方式作出了意思表示。比如，閱讀“使用即同意”的條款、瀏覽默認(rèn)勾選的對(duì)話框等。但個(gè)人信息處理者仍遵循合法收集、目的限制、最小夠用等原則，數(shù)據(jù)主體享有查詢、更正、刪除、撤回同意等權(quán)利。人臉識(shí)別的運(yùn)用涉及多方法益，從比例原則來考察，即當(dāng)人臉識(shí)別技術(shù)的運(yùn)用有法益侵害性時(shí)，也須在獲取效益和侵害法益之間進(jìn)行衡量。若適用人臉識(shí)別技術(shù)獲取的效益顯著大于所侵法益，則運(yùn)用人臉識(shí)別的行為可以阻卻違法性。

四、侵犯敏感個(gè)人信息犯罪的一體化認(rèn)定

根據(jù)我國(guó)刑法的規(guī)定，對(duì)于非法獲取敏感個(gè)人信息的行為可能觸犯侵犯公民個(gè)人信息罪、侵犯商業(yè)秘密罪、非法獲取國(guó)家秘密、情報(bào)罪以及非法獲取軍事秘密罪等多個(gè)罪名。若某種數(shù)據(jù)不在上述罪名保護(hù)的對(duì)象范圍之內(nèi)，則可考慮是否認(rèn)定為數(shù)據(jù)犯罪。對(duì)于不同種類的個(gè)人信息來說，應(yīng)當(dāng)適用何種定罪標(biāo)準(zhǔn)。對(duì)于侵犯敏感個(gè)人信息行為的定罪量刑，相關(guān)法律法規(guī)、司法解釋以及行業(yè)規(guī)范對(duì)本罪認(rèn)定有何作用，對(duì)于上述問題，有必要加以深入探討。

（一）敏感個(gè)人信息刑法保護(hù)的前置法功能

我國(guó)民法典、個(gè)人信息保護(hù)法、反不正當(dāng)競(jìng)爭(zhēng)法、保守國(guó)家秘密法、國(guó)家情報(bào)法、中國(guó)人民解放軍保密條例等法律法規(guī)分別對(duì)個(gè)人信息、商業(yè)秘密、內(nèi)幕信息、國(guó)家秘密、國(guó)家情報(bào)、軍事秘密等予以保護(hù)。另外，信息安全、數(shù)據(jù)安全領(lǐng)域存在諸多行業(yè)規(guī)范，對(duì)相關(guān)單位或個(gè)人個(gè)人信息處理活動(dòng)具有較強(qiáng)的指導(dǎo)作用，但它們并不具有法律效力。相對(duì)來說，對(duì)信息處理者的安全保護(hù)義務(wù)要求更高，而刑法所規(guī)制的入罪門檻必須是法益保護(hù)的最低安全基線，與行業(yè)規(guī)范設(shè)置的安全標(biāo)準(zhǔn)存在差異，不能等同。對(duì)于侵犯敏感個(gè)人信息法益的犯罪，選擇適用何種罪名，則離不開數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法等前置法律規(guī)范的參照系作用。如果以個(gè)人信息保護(hù)法為參照，從個(gè)人信息權(quán)益保護(hù)角度，非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪屬于“特別法”規(guī)定的罪名。但如果以網(wǎng)絡(luò)安全法為參照，從計(jì)算機(jī)信息系統(tǒng)安全法益保護(hù)的角度，前兩種數(shù)據(jù)犯罪為“一般法”所規(guī)定的罪名，侵犯公民個(gè)人信息罪則為“特別法”所規(guī)定的罪名。如果以個(gè)人信息保護(hù)法為參照，以個(gè)人信息權(quán)益保護(hù)為重心，則于上述情況剛好相反。將某種信息數(shù)據(jù)處理行為所涉及的法益性質(zhì)界定為個(gè)人法益、公共法益還是國(guó)家法益，將直接決定或影響著刑法中相關(guān)罪名的認(rèn)定。

敏感個(gè)人信息保護(hù)法益的多元化決定了法益識(shí)別判斷的復(fù)雜性。對(duì)個(gè)人信息數(shù)據(jù)的非法獲取、破壞和濫用行為不但會(huì)對(duì)個(gè)體權(quán)益造成嚴(yán)重侵害，還會(huì)對(duì)公共利益、社會(huì)秩序和國(guó)家安全造成實(shí)際侵害或危險(xiǎn)。從安全法益角度，個(gè)人信息安全往往也意味著公共安全、國(guó)家安全，信息安全與數(shù)據(jù)安全、網(wǎng)絡(luò)安全之間存在交叉重疊之處。從立法上看，數(shù)據(jù)安全法、個(gè)人信息保護(hù)法與網(wǎng)絡(luò)安全法所調(diào)整的對(duì)象具有重合性。個(gè)人信息保護(hù)法第10條個(gè)人信息處理活動(dòng)的禁止性規(guī)定，就納入了公共安全和國(guó)家安全的考量因素。在對(duì)敏感個(gè)人處理活動(dòng)所涉及的法益識(shí)別中，應(yīng)當(dāng)將不同的立法參照系加以對(duì)比和衡量，根據(jù)法益保護(hù)內(nèi)容的重要性程度，選擇其中一種法律法規(guī)作為主要參照系，其他相關(guān)法律法規(guī)及行業(yè)規(guī)范則作為補(bǔ)充，以使數(shù)據(jù)法益識(shí)別和判斷結(jié)論得到更好的印證。例如，侵犯公民個(gè)人信息罪的成立“以違反國(guó)家有關(guān)規(guī)定”為前提，認(rèn)定該罪名應(yīng)當(dāng)以相關(guān)行政法律規(guī)范及行業(yè)標(biāo)準(zhǔn)為參照，對(duì)敏感個(gè)人信息處理行為所侵犯的法益性質(zhì)予以識(shí)別，妥當(dāng)適用具體罪名。

從法秩序統(tǒng)一性角度來看，敏感個(gè)人信息法益保護(hù)需要依靠各種法律手段共同發(fā)揮作用，刑法更秉持謙抑性精神，盡量少介入私法領(lǐng)域，介入的前提是行為人違反了敏感個(gè)人信息保護(hù)的前置性法律法規(guī)，并且刑法規(guī)范本身有明確規(guī)定。個(gè)人信息權(quán)益在民法典中的規(guī)定，為刑法填補(bǔ)了前置法根據(jù)?！?7 〕在對(duì)侵犯敏感個(gè)人信息法益的行為進(jìn)行刑事違法性評(píng)價(jià)，必須先進(jìn)行民事違法性判斷，即“雙層違法性判斷”。〔48 〕除了刑事違法性的形式判斷之外，更重要的是社會(huì)危害性的實(shí)質(zhì)判斷，從主觀和客觀綜合予以考察，具有嚴(yán)重的社會(huì)危害性和刑事可罰性，才能認(rèn)定為犯罪。司法機(jī)關(guān)應(yīng)將某種侵犯敏感個(gè)人信息法益的違法犯罪行為放置在整個(gè)法律保護(hù)體系之中加以考量，進(jìn)行違法性的層次性判斷，形成刑民關(guān)系、刑行關(guān)系的銜接協(xié)調(diào);同時(shí)，也應(yīng)當(dāng)注意不同前置法規(guī)范之間的銜接協(xié)調(diào)問題。

除了刑事違法性的形式判斷之外，更重要的是，社會(huì)危害性的實(shí)質(zhì)判斷從主觀和客觀兩方面綜合予以考察，具有嚴(yán)重的社會(huì)危害性和刑事可罰性，才能認(rèn)定為犯罪。有學(xué)者指出，刑法對(duì)前置法的關(guān)注，更多是從“出罪”的角度講的，在“入罪”時(shí)，不能唯前置法馬首是瞻，在犯罪認(rèn)定時(shí)絕對(duì)地從屬于前置法，或者在質(zhì)上從屬于前置法?！?9 〕刑法對(duì)于敏感個(gè)人信息的把握在很大程度上要小于民法典等前置法所劃定的范圍，前置法上的違法行為中也只有一部分最終被作為本罪處理。例如，民法典與個(gè)人信息保護(hù)法所確立的告知同意原則是個(gè)人信息主體的核心權(quán)益，對(duì)于在個(gè)人信息處理中違反有關(guān)告知同意規(guī)則的行為，可以認(rèn)定為屬于侵犯公民個(gè)人信息罪構(gòu)成要件中的“違反國(guó)家有關(guān)規(guī)定”的行為。但對(duì)于違反必要性、公開性的相關(guān)規(guī)則獲取、提供個(gè)人一般信息的，則未必單純從形式判斷角度將其納入“違反國(guó)家有關(guān)規(guī)定”的認(rèn)定范圍。〔50 〕即使對(duì)于敏感個(gè)人信息或個(gè)人私密信息來說，亦應(yīng)根據(jù)具體情況作出實(shí)質(zhì)判斷，這也體現(xiàn)了刑事違法性的相對(duì)性、獨(dú)立性。由于民法典和個(gè)人信息保護(hù)法對(duì)于個(gè)人私密信息和敏感個(gè)人信息在保護(hù)力度上明顯強(qiáng)于個(gè)人一般信息。因此，在刑事案件中認(rèn)定敏感個(gè)人信息處理行為是否“違反國(guó)家有關(guān)規(guī)定”時(shí)，應(yīng)相應(yīng)地采用區(qū)別于一般個(gè)人信息的刑事違法性判斷規(guī)則。

（二）侵犯敏感個(gè)人信息行為對(duì)象及入罪標(biāo)準(zhǔn)

《刑案解釋》第5條第1款第3項(xiàng)至第5項(xiàng)根據(jù)敏感性程度的不同，分別設(shè)置了高度敏感、一般敏感、非敏感個(gè)人信息三種定罪數(shù)量標(biāo)準(zhǔn)，與個(gè)人信息保護(hù)法、安全規(guī)范中的敏感個(gè)人信息類型范圍基本一致，但也有差異?！?1 〕例如，個(gè)人信息保護(hù)法將個(gè)人生物特征明確規(guī)定為敏感個(gè)人信息。但在《刑案解釋》中并無生物識(shí)別信息的相關(guān)規(guī)定。又如，《刑案解釋》將賬號(hào)密碼、財(cái)產(chǎn)狀況明確列舉為高度敏感信息，個(gè)人信息保護(hù)法則規(guī)定“金融賬戶”是敏感個(gè)人信息，但民法典第1034條第2款并未明確列舉賬號(hào)密碼、財(cái)產(chǎn)狀況。有學(xué)者指出，這樣的差異基本上是無關(guān)緊要的。個(gè)人信息保護(hù)法或民法典作了列舉規(guī)定，而《刑案解釋》未明確列舉的信息類型如個(gè)人健康信息、生物識(shí)別信息、賬號(hào)密碼、財(cái)產(chǎn)狀況等，并不意味著對(duì)其一律不能予以刑事處罰。〔52 〕如果行為人非法獲取上述個(gè)人信息后，進(jìn)一步侵犯公民個(gè)人的財(cái)產(chǎn)權(quán)甚至人身權(quán)，達(dá)到嚴(yán)重的社會(huì)危害程度，也應(yīng)當(dāng)追究其刑事責(zé)任。

上述行政法規(guī)中的敏感個(gè)人信息是否等同于刑法意義上的敏感個(gè)人信息，以及適用何種定罪標(biāo)準(zhǔn)存在認(rèn)識(shí)分歧，有必要具體分析：（1）生物識(shí)別信息。同公民的姓名、電話號(hào)碼、家庭住址等個(gè)人信息相似，人臉、指紋、虹膜等人體生物識(shí)別信息對(duì)公民而言是獨(dú)一無二的，并且也是可以明確指向特定自然人的，一旦被惡意使用，其造成的損失后果也是難以估量的，因此應(yīng)對(duì)其進(jìn)行更高規(guī)格的法律保護(hù)?！缎贪附忉尅返?條雖未列舉生物識(shí)別信息，但可通過第1條中的“等”字，將生物識(shí)別信息列入公民個(gè)人信息。（2）房產(chǎn)交易信息。按照《刑案解釋》的規(guī)定，財(cái)產(chǎn)信息屬于刑法上的高度敏感信息，交易信息則屬于一般敏感信息，但在有的情形下兩者難以界分。例如，對(duì)于房產(chǎn)交易信息是財(cái)產(chǎn)信息還是交易信息存在不同認(rèn)識(shí)，一般來說，可以將房產(chǎn)信息一般作為交易信息而非財(cái)產(chǎn)信息看待，非法獲取、出售或者提供記載公民房產(chǎn)的信息500條以上的，才能構(gòu)成犯罪。但在有些案件中，有的房產(chǎn)信息內(nèi)容十分詳細(xì)，有的信息內(nèi)容可能影響公民人身、財(cái)產(chǎn)安全，如果獲取類似房屋信息實(shí)際上就掌握了所有人的財(cái)產(chǎn)狀況。在此情況下，將房產(chǎn)信息認(rèn)定為敏感信息也是合理的，非法獲取、出售或者提供 50條以上的即可入罪。（3）住宿信息。按照《刑案解釋》的規(guī)定，住宿信息是可能影響公民人身、財(cái)產(chǎn)安全的一般敏感信息;住址信息則屬于一般個(gè)人信息。但如果該信息是特定個(gè)人長(zhǎng)時(shí)間內(nèi)出入住該酒店的情況及其活動(dòng)規(guī)律，則可能屬于行蹤軌跡信息，系刑法中的高度敏感信息。（4）網(wǎng)絡(luò)瀏覽記錄。在網(wǎng)頁瀏覽記錄中，可能被保存的個(gè)人信息包括：賬號(hào)密碼等身份認(rèn)證信息（例如，保存登錄的用戶名與密碼）、支付信息、訪問頁面信息。對(duì)于前兩種信息可以分別歸屬于“網(wǎng)絡(luò)身份標(biāo)識(shí)信息”與“支付信息”，認(rèn)定為刑法意義上的“敏感個(gè)人信息”。而對(duì)于訪問頁面信息，一般來說，雖然其有可能涉及個(gè)人隱私，但是通常不會(huì)造成公民人格權(quán)利和財(cái)產(chǎn)權(quán)益的嚴(yán)重侵害，因此可歸入“非敏感個(gè)人信息”的范疇，5000條以上的入罪標(biāo)準(zhǔn)。（5）行蹤軌跡信息。司法實(shí)踐中對(duì)于手機(jī)位置信息的認(rèn)定存在困惑。如果行為人通過一定程序能夠獲取未經(jīng)個(gè)人授權(quán)的手機(jī)號(hào)碼位置信息的，該信息既屬于行蹤軌跡信息，也屬于通訊記錄，應(yīng)當(dāng)將其作為高度敏感信息予以保護(hù)。又如，鄧某等非法購(gòu)買車輛行駛軌跡信息案件。生效裁判認(rèn)為，公民車輛行駛軌跡信息可以認(rèn)定為《刑案解釋》規(guī)定的“行蹤軌跡信息”?！?3 〕（6）個(gè)人簡(jiǎn)歷信息。一般來說，簡(jiǎn)歷系包含公民姓名、出生年月、通信方式、教育背景、履職信息及求職意向等信息集合，簡(jiǎn)歷信息被泄露后多被用于電話營(yíng)銷等活動(dòng)，一般不會(huì)直接威脅到公民的人身、財(cái)產(chǎn)安全。從敏感重要性程度等方面考慮，個(gè)人簡(jiǎn)歷信息應(yīng)被視為非敏感個(gè)人信息。〔54 〕

總之，不同的部門法所調(diào)整的對(duì)象范圍和價(jià)值目標(biāo)自然是不同的，民法的重心是保障個(gè)人權(quán)利自由，行政法的重心在于維護(hù)社會(huì)秩序，刑法的重心在于懲治犯罪，實(shí)現(xiàn)保障和保護(hù)的雙面機(jī)能。而作為信息安全技術(shù)規(guī)范，《個(gè)人信息安全規(guī)范》的規(guī)制重點(diǎn)是從管理、控制風(fēng)險(xiǎn)的角度出發(fā)，對(duì)個(gè)人信息處理者的義務(wù)要求相對(duì)比較高。刑法基于特定規(guī)范目的考慮，據(jù)此作出不同于行政法、民法及行業(yè)規(guī)范的分類無可厚非，因而沒有必要過于追求不同立法中敏感個(gè)人信息的含義完全一致，這與法秩序統(tǒng)一性并不矛盾。只要各個(gè)部門法發(fā)揮好職能作用，做到銜接協(xié)調(diào)，共同完成權(quán)利保障和行為規(guī)范的目標(biāo)即可。司法機(jī)關(guān)應(yīng)當(dāng)從控制犯罪角度出發(fā)，需要防止打擊面過度擴(kuò)張，對(duì)不同類型個(gè)人信息的認(rèn)定需要更加嚴(yán)謹(jǐn)，予以區(qū)別對(duì)待，將沒有必要予以刑法調(diào)整的個(gè)人信息類型排除在相關(guān)罪名的對(duì)象范圍之外。

結(jié)? 語

當(dāng)下，個(gè)人信息權(quán)益保護(hù)和價(jià)值利用變得同樣重要，不可偏廢其一。司法機(jī)關(guān)應(yīng)依據(jù)個(gè)人信息法益識(shí)別的立法參照系，明確不同種類個(gè)人信息的法益保護(hù)重點(diǎn)和層次，能夠準(zhǔn)確適用相關(guān)部門法，認(rèn)定刑法中的相關(guān)罪名。個(gè)人信息保護(hù)法的出臺(tái)，凸顯了對(duì)敏感個(gè)人信息的分類和強(qiáng)化保護(hù)，對(duì)個(gè)人信息敏感性程度的認(rèn)識(shí)和判斷，成為法益識(shí)別的關(guān)鍵和司法適用難點(diǎn)。對(duì)于人臉信息等敏感個(gè)人信息來說，需要以民法典、刑法及司法解釋為基礎(chǔ)，以個(gè)人信息保護(hù)法、數(shù)據(jù)安全法、網(wǎng)絡(luò)安全法等前置性法律法規(guī)為參照系，在對(duì)其進(jìn)行分類分級(jí)的基礎(chǔ)上予以法益識(shí)別，準(zhǔn)確認(rèn)定對(duì)侵犯敏感個(gè)人信息權(quán)益行為的罪質(zhì)和罪量，并適用侵犯?jìng)€(gè)人信息罪以及數(shù)據(jù)網(wǎng)絡(luò)犯罪等相關(guān)罪名。同時(shí)，從法秩序統(tǒng)一性和公私法一體化保護(hù)的視角，根據(jù)敏感個(gè)人信息所涉及的法益性質(zhì)、內(nèi)容及其遭受不法侵害的危害程度，運(yùn)用民事、刑事和行政制裁手段，構(gòu)建敏感個(gè)人信息保護(hù)的法律體系。

華東政法大學(xué)刑事法學(xué)院教授、博士生導(dǎo)師。

本文系國(guó)家社會(huì)科學(xué)基金重大項(xiàng)目“網(wǎng)絡(luò)時(shí)代的社會(huì)治理與刑法體系的理論創(chuàng)新”（項(xiàng)目批準(zhǔn)號(hào)：20&ZD199）、“數(shù)字經(jīng)濟(jì)的刑事安全風(fēng)險(xiǎn)防范體系建構(gòu)研究”（項(xiàng)目批準(zhǔn)號(hào)：21&ZD210）、國(guó)家社科基金一般課題“大數(shù)據(jù)背景下公民個(gè)人信息刑法保護(hù)體系研究”（項(xiàng)目批準(zhǔn)號(hào)：19BFX074）、2021年度山東省人文社會(huì)科學(xué)課題“大數(shù)據(jù)背景下個(gè)人生物識(shí)別信息的刑法保護(hù)研究”（項(xiàng)目批準(zhǔn)號(hào)：2021-TCFX-04）的階段性研究成果。

〔1〕《生物信息保護(hù)要求》第3.1.3條規(guī)定，個(gè)人生物識(shí)別信息基本特征在于，可檢測(cè)到的個(gè)體生理或行為特征，可以從其中提取可識(shí)別的、可重復(fù)的生物特征。第4.1條規(guī)定，個(gè)體生理特征包括但不限于指紋;人臉;虹膜;聲紋;手型;指靜脈/掌靜脈;視網(wǎng)膜;DNA;掌紋;個(gè)體行為特征則包括步態(tài)、簽名、語音等;個(gè)人生物特征識(shí)別系統(tǒng)包括數(shù)據(jù)采集、存儲(chǔ)、注冊(cè)、辨識(shí)、驗(yàn)證五個(gè)子系統(tǒng)。

〔2〕參見蘇今：《民法總則中個(gè)人信息的“可識(shí)別性”特征及其規(guī)范路徑》，載《大連理工大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2020年第1期。

〔3〕參見鄭飛：《大數(shù)據(jù)時(shí)代的權(quán)利演進(jìn)與競(jìng)合：從隱私權(quán)、個(gè)人信息權(quán)到個(gè)人數(shù)據(jù)權(quán)》，載《上海政法學(xué)院學(xué)報(bào)》2021年第5期。

〔4〕參見程嘯：《論我國(guó)個(gè)人信息保護(hù)法中的個(gè)人信息處理規(guī)則》，載《清華法學(xué)》2021年第3期。

〔5〕highly responsive or susceptible： such as a（1） ： easily hurt or damaged; especially： easily hurt emotionally'， https：//www.merriam-webster.com/dictionary/sensitive（Last visited on Aug 22. 2018）.

〔6〕參見寧園：《敏感個(gè)人信息的法律基準(zhǔn)與范疇界定——以〈個(gè)人信息保護(hù)法〉第28條和經(jīng)1款為中心》，載《比較法研究》2021年第5期。

〔7〕胡文濤：《我國(guó)個(gè)人敏感信息界定之構(gòu)想》，載《中國(guó)法學(xué)》2018年第5期。

〔8〕該草案第4條（a）款以動(dòng)態(tài)的“關(guān)聯(lián)性”方式，將“消費(fèi)者個(gè)人敏感信息”定義為“被經(jīng)營(yíng)者所控制的信息，且通過該信息結(jié)合具體情景可以關(guān)聯(lián)到特定的消費(fèi)者或者特定消費(fèi)者常用的設(shè)備”。

〔9〕統(tǒng)一個(gè)人數(shù)據(jù)保護(hù)法規(guī)定，“敏感數(shù)據(jù)”包括：種族或民族血統(tǒng)、宗教信仰、性別、性取向、公民身份或移民身份;足以遠(yuǎn)程訪問帳戶的憑據(jù);信用卡或借記卡號(hào)碼或金融賬號(hào);社會(huì)安全號(hào)碼、稅務(wù)識(shí)別號(hào)碼、駕駛執(zhí)照號(hào)碼、軍人識(shí)別號(hào)碼或政府頒發(fā)的身份證件上的識(shí)別號(hào)碼;實(shí)時(shí)地理定位;犯罪記錄;收入;疾病或健康狀況的診斷或治療;基因測(cè)序信息;控制者知道或有理由知道的未滿13歲的數(shù)據(jù)主體的信息。

〔10〕See Consumer Privacy Protection Act of 2015，SEC. 3. Definitions. （10）.

〔11〕喻海松：《民法典視域下侵犯公民個(gè)人信息罪的司法適用》，載《北京航空航天大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2020年第6期。

〔12〕該案中，2016年4月至11月，被告人李某單獨(dú)或者伙同被告人王某某在網(wǎng)上倒賣他人QQ賬號(hào)，非法獲利數(shù)萬元。臨泉縣人民法院（2018）皖1221刑初46號(hào)一審刑事判決書。

〔13〕參見晉濤：《刑法中個(gè)人信息“識(shí)別性”的取舍》，載《中國(guó)刑事法雜志》2019年第5期。

〔14〕See Paul Ohm，supra note 69，1161.

〔15〕參見同前注〔6〕，寧園文。

〔16〕參見陽雪雅：《論個(gè)人信息的界定、分類及流通體系——兼評(píng)民法總則第111條》，載《東方法學(xué)》2019年第4期。

〔17〕See Helen Nissenbaum， Privacy as Contextual Integrity， 79 Washington Law Review 101， 137（2004）.

〔18〕參見謝琳、王漩：《我國(guó)個(gè)人敏感信息的內(nèi)涵與外延》，載《電子知識(shí)產(chǎn)權(quán)》2020年第9期。

〔19〕參見程嘯：《論我國(guó)民法典中個(gè)人信息權(quán)益的性質(zhì)》，載《政治與法律》2021年第8期。

〔20〕參見夏偉：《新型權(quán)利入民法典對(duì)刑法犯罪評(píng)價(jià)的影響》，載《法學(xué)評(píng)論》2021年第3期。

〔21〕參見張新寶：《論個(gè)人信息權(quán)益的構(gòu)造》，載《中外法學(xué)》2021年第5期。

〔22〕胡凌：《功能視角下個(gè)人信息的公共性及其實(shí)現(xiàn)》，載《法制與社會(huì)發(fā)展》2021年第5期。

〔23〕[德]約阿希姆·福格爾：《納粹主義對(duì)刑法的影響》，喻海松譯，載《刑事法評(píng)論（第26卷）》，法律出版社2010年版，第300頁。

〔24〕參見同前注〔6〕，寧園文。

〔25〕參見孫笑俠：《“人臉識(shí)別”觸及哪種權(quán)利？具有何種正當(dāng)性？》，載《中國(guó)法律評(píng)論》2020年第6期。

〔26〕參見同前注〔3〕，鄭飛文。

〔27〕參見冉克平：《論個(gè)人生物識(shí)別信息及其法律保護(hù)》，載《社會(huì)科學(xué)輯刊》2020年第6期。

〔28〕石佳友：《個(gè)人信息保護(hù)的私法維度——兼論〈民法典〉與〈個(gè)人信息保護(hù)法〉的關(guān)系》，載《比較法研究》2021年第5期。〔29〕參見[日]美濃部達(dá)吉：《公法與私法》，黃馮明譯，中國(guó)政法大學(xué)出版社2003年版，第250頁。

〔30〕參見苗連營(yíng)、鄭磊：《民法典編纂中的憲法三題》，載《法制與社會(huì)發(fā)展》2015年第6期。

〔31〕參見黃忠：《民法如何面對(duì)公法：公、私法關(guān)系的觀念更新與制度構(gòu)建》，載《浙江社會(huì)科學(xué)》2017年第9期。

〔32〕參見張淑芳：《私法滲入公法的必然與邊界》，載《中國(guó)法學(xué)》2019年第4期。

〔33〕參見鐘瑞棟：《民法中的強(qiáng)制性規(guī)范——公法與私法“接軌”的規(guī)范配置問題》，法律出版社2009年版，第5頁。

〔34〕參見張國(guó)敏、郝培軒：《公法與私法的融合性社會(huì)治理》，載《河北法學(xué)》2021年第6期。

〔35〕參見李惠宗：《行政法要義》（第六版），臺(tái)灣元照出版有限公司 2012年版，第132頁。

〔36〕參見謝鴻飛：《個(gè)人信息泄露侵權(quán)責(zé)任構(gòu)成中的“損害”——兼論風(fēng)險(xiǎn)社會(huì)中損害的觀念化》，載《國(guó)家檢察官學(xué)院學(xué)報(bào)》2021年第5期。

〔37〕參見同前注〔28〕，石佳友文。

〔38〕參見張力、黃鑫：《大數(shù)據(jù)背景下個(gè)人信息保護(hù)的公私法銜接》，載《重慶郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2021年第1期。

〔39〕參見孫笑俠：《論行業(yè)法》，載《中國(guó)法學(xué)》2013年第1期。

〔40〕參見曲廣娣：《論法律體系的概念及其構(gòu)建的一般條件——綜合系統(tǒng)論和分析法學(xué)視角》，載《中國(guó)政法大學(xué)學(xué)報(bào)》2015年第3期。

〔41〕參見袁泉、王思慶：《個(gè)人信息分類保護(hù)制度及其體系研究》，載《江西社會(huì)科學(xué)》2020年第7期。

〔42〕參見張新寶：《從隱私到個(gè)人信息：利益再衡量的理論與制度安排》，載《中國(guó)法學(xué)》2015年第3期。

〔43〕《個(gè)人信息安全規(guī)范》第3.6條規(guī)定，“明示同意”個(gè)人信息主體通過書面、口頭等方式主動(dòng)作出紙質(zhì)或電子形式的聲明，或者自主作出肯定性動(dòng)作，對(duì)其個(gè)人信息進(jìn)行特定處理作出明確授權(quán)的行為。“肯定性動(dòng)作”包括個(gè)人信息主體主動(dòng)勾選、主動(dòng)點(diǎn)擊“同意”“注冊(cè)”“發(fā)送”“撥打”、主動(dòng)填寫或提供等。第3.7條規(guī)定，“授權(quán)同意”個(gè)人信息主體對(duì)其個(gè)人信息進(jìn)行特定處理作出明確授權(quán)的行為。包括通過積極的行為作出授權(quán)（即明示同意）或者通過消極的不作為而作出授權(quán)。

〔44〕公安部等部委頒布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《信息系統(tǒng)等級(jí)保護(hù)管理辦法》《信息安全事件分類分級(jí)指南》均規(guī)定，信息系統(tǒng)安全保護(hù)應(yīng)根據(jù)等級(jí)劃分，按照相關(guān)技術(shù)標(biāo)準(zhǔn)對(duì)信息系統(tǒng)進(jìn)行保護(hù)和監(jiān)督管理。例如，《信息安全事件分類分級(jí)指南》（征求意見稿）根據(jù)公共數(shù)據(jù)遭泄露、破壞后，對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及對(duì)公民、法人和其他組織的合法權(quán)益（受侵害客體）的危害程度，確定了公共數(shù)據(jù)的安全級(jí)別，共分為4級(jí)，由高至低分別為：敏感數(shù)據(jù)（L4級(jí)）、較敏感數(shù)據(jù)（L3級(jí)）、低敏感數(shù)據(jù)（L2級(jí)）、不敏感數(shù)據(jù)（L1級(jí)）。

〔45〕根據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》第4.3條的規(guī)定：（1）按公民、法人和其他組織的合法權(quán)益受侵害程度：一般損害為第一級(jí);嚴(yán)重?fù)p害為第二級(jí);特別嚴(yán)重?fù)p害為第三級(jí);（2）按社會(huì)秩序、公共利益受侵害程度：一般損害為第二級(jí);嚴(yán)重?fù)p害為第三級(jí);特別嚴(yán)重?fù)p害為第四級(jí);（3）按國(guó)家安全受侵害程度：一般損害為第三級(jí);嚴(yán)重?fù)p害為第四級(jí);特別嚴(yán)重?fù)p害為第五級(jí)。

〔46〕參見勞東燕：《個(gè)人數(shù)據(jù)的刑法保護(hù)》，載《中外法學(xué)》2020年第5期。

〔47〕參見夏偉：《新型權(quán)利入民法典對(duì)刑法犯罪評(píng)價(jià)的影響》，載《法學(xué)評(píng)論》2021年第3期。

〔48〕參見周光權(quán)：《轉(zhuǎn)型時(shí)期刑法立法的思路與方法》，載《中國(guó)社會(huì)科學(xué)》2016年第3期。

〔49〕參見周光權(quán)：《法秩序統(tǒng)一性原理的實(shí)踐展開》，載《法治社會(huì)》2021年第4期。

〔50〕參見同前注〔11〕，喻海松文。

〔51〕參見張勇、江奧立：《侵犯公民個(gè)人信息罪中的信息數(shù)量及認(rèn)定規(guī)則》，載《上海政法學(xué)院學(xué)報(bào)》2018年第1期。

〔52〕參見周光權(quán)：《侵犯公民個(gè)人信息罪的行為對(duì)象》，載《清華法學(xué)》2021年第3期。

〔53〕在該案中，被告人從2019年起通過網(wǎng)絡(luò)購(gòu)買車輛違章記錄、車輛行駛軌跡等信息，并利用購(gòu)得的信息為他人尋找車輛位置以牟利。佛山市南海區(qū)人民法院一審認(rèn)定被告人屬于“以其他方法”非法獲取公民個(gè)人信息，構(gòu)成侵犯公民個(gè)人信息罪。參見“車輛行駛軌跡屬于刑法保護(hù)的公民個(gè)人信息”，載澎湃網(wǎng)，https：//m.thepaper.cn/baijiahao_13694196，2021年10月5日訪問。

〔54〕參見陳兵、王騏：《公民個(gè)人信息的類別判斷及數(shù)量認(rèn)定方法》，載施偉東主編：《上海法學(xué)研究》2020年第23卷。

Abstract： With the application of personal biometric technology， the crime of illegally collecting， disclosing and abusing face information has become prominent. The recognizability of sensitive personal information， including face information， is its essential feature， and the classification feature is its sensitivity and degree. It should be judged from the perspective of the combination of form and essence， static and dynamic. As the object of rights and behavior， the interest arising from sensitive personal information is not limited to the personal rights and interests of citizens， but also includes social interests， public order and national security. It is thus protected by public law and private law at multiple levels. In the context of the integration of public and private law， based on the concept of the unification of legal order and the integration of public and private law， we should strengthen the protection and the classification of the sensitive personal information. In criminal law， with the personal information protection law as a predicament， the scope of the infringement of sensitive personal information and the standards for such crimes are specifically identified.

Key words： face recognition; sensitive personal information; multiple legal interests; public-private law integration; integrated protection; Personal Information Protection Law