韓旭至

通過(guò)《個(gè)人信息保護(hù)法》第28條，我國(guó)首次在法律中界定了敏感個(gè)人信息的概念，并規(guī)定了敏感個(gè)人信息的處理前提。該條第1 款為敏感個(gè)人信息的定義條款，采取了“概括+列舉”模式。在概括的定義中，敏感個(gè)人信息指向“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息”。在列舉項(xiàng)中，列舉了生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡、不滿十四周歲未成年人的個(gè)人信息7項(xiàng)內(nèi)容，并通過(guò)“等”以保持開(kāi)放性。該條第2款規(guī)定了敏感個(gè)人信息處理的前提為“具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施”。

以這一條款為中心，可以辨析敏感個(gè)人信息保護(hù)的基本問(wèn)題。例如，敏感個(gè)人信息的判斷主體與判斷標(biāo)準(zhǔn)如何確定？敏感個(gè)人信息關(guān)注的風(fēng)險(xiǎn)具體指向何時(shí)發(fā)生的何種風(fēng)險(xiǎn)？能否引入場(chǎng)景理論對(duì)敏感個(gè)人信息的定義進(jìn)行解釋？法條中的列舉項(xiàng)是否必然屬于敏感個(gè)人信息？如何進(jìn)一步對(duì)7 項(xiàng)被列舉的信息進(jìn)行解讀？如何引入以及引入何種未被列舉的敏感個(gè)人信息？如何理解敏感個(gè)人信息與私密信息的關(guān)系？敏感個(gè)人信息的三個(gè)處理前提與目的限制、最小必要、安全保護(hù)的原則性要求有何差異具體又如何實(shí)現(xiàn)？本文旨在通過(guò)《個(gè)人信息保護(hù)法》第28條的教義學(xué)分析，對(duì)上述問(wèn)題進(jìn)行回應(yīng)，力圖展示敏感個(gè)人信息的界定及其處理前提的全貌。

一、敏感個(gè)人信息的判定標(biāo)準(zhǔn)

長(zhǎng)久以來(lái)，學(xué)界對(duì)敏感個(gè)人信息的特殊風(fēng)險(xiǎn)存在一定共識(shí)，亦多從一旦泄露或非法使用可能導(dǎo)致?lián)p害的角度對(duì)敏感信息的概念進(jìn)行描述。然而，應(yīng)采用何種具體標(biāo)準(zhǔn)或方法判定敏感個(gè)人信息，至少又存在四種理論與實(shí)踐。一是歧視標(biāo)準(zhǔn)，其關(guān)注可能導(dǎo)致的不平等或不公平待遇，聯(lián)合國(guó)《計(jì)算機(jī)處理的個(gè)人數(shù)據(jù)文檔規(guī)范指南》即采取這一標(biāo)準(zhǔn)。二是對(duì)基本權(quán)利造成重大風(fēng)險(xiǎn)標(biāo)準(zhǔn)，其關(guān)注可能造成基本權(quán)利的嚴(yán)重危害，該標(biāo)準(zhǔn)為歐盟《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱GDPR）所認(rèn)可。三是特定指標(biāo)的判斷方法，典型如歐姆（Paul Ohm）所提出的結(jié)合傷害的可能性、傷害概率、特定信任關(guān)系、公眾關(guān)注度判定信息是否敏感。四是場(chǎng)景化的判斷方法，認(rèn)為敏感個(gè)人信息的判斷還須結(jié)合信息處理的具體場(chǎng)景、處理目的進(jìn)行動(dòng)態(tài)分析。這些判斷方法，對(duì)域外相關(guān)制度都具有較強(qiáng)的解釋力，然而難以直接解釋《個(gè)人信息保護(hù)法》中敏感個(gè)人信息的概念。從《個(gè)人信息保護(hù)法》第28條第1款的規(guī)定來(lái)看，敏感個(gè)人信息的判斷具有客觀性、關(guān)注的風(fēng)險(xiǎn)內(nèi)容具有廣泛性、判斷前提具有確定性，且須達(dá)到“高概率的權(quán)益受侵害可能+一般的權(quán)益受影響程度”這一標(biāo)準(zhǔn)。

（一）基本特征：判斷的客觀性與風(fēng)險(xiǎn)內(nèi)容的廣泛性

在判斷的客觀性上，《個(gè)人信息保護(hù)法》第28 條第1 款中“容易導(dǎo)致”相關(guān)風(fēng)險(xiǎn)的發(fā)生，指向的是權(quán)益受侵害的客觀可能性，而非信息主體的主觀感受?！秱€(gè)人信息保護(hù)法》通過(guò)前，部分學(xué)者誤以為敏感是主觀的概念，傷害的判斷也因人而異。有學(xué)者甚至以敏感主觀性強(qiáng)為由，反對(duì)敏感個(gè)人信息的概念。這一理解并不正確。首先，敏感個(gè)人信息的判斷主體具有客觀性。敏感個(gè)人信息的判斷主體有二：一是履行個(gè)人信息保護(hù)職責(zé)的部門，根據(jù)《個(gè)人信息保護(hù)法》第62條第2款在所指定的規(guī)則、標(biāo)準(zhǔn)中對(duì)敏感個(gè)人信息進(jìn)行判斷和補(bǔ)充列舉；二是司法機(jī)關(guān)與執(zhí)法機(jī)關(guān)在個(gè)案中根據(jù)《個(gè)人信息保護(hù)法》第28條第1款所確定標(biāo)準(zhǔn)對(duì)未被列舉的敏感個(gè)人信息進(jìn)行判斷。信息主體與信息處理者的主觀感受，均與敏感個(gè)人信息判斷無(wú)關(guān)。在對(duì)敏感個(gè)人信息進(jìn)行概括定義的域外制度中，敏感個(gè)人信息的判斷主體通常更是特定的。例如，韓國(guó)《個(gè)人信息保護(hù)法》第23條規(guī)定，列舉項(xiàng)以外的信息應(yīng)由總統(tǒng)令規(guī)定。印度《個(gè)人數(shù)據(jù)保護(hù)法案》第15條規(guī)定，“將個(gè)人數(shù)據(jù)歸類為個(gè)人敏感數(shù)據(jù)”應(yīng)由“中央政府與保護(hù)局和有關(guān)部門監(jiān)管機(jī)構(gòu)協(xié)商”確定。其次，敏感個(gè)人信息的判斷標(biāo)準(zhǔn)亦具有客觀性，反映了社會(huì)的客觀現(xiàn)實(shí)。相關(guān)信息一旦泄露或非法利用所可能帶來(lái)的風(fēng)險(xiǎn)往往與一國(guó)特定的歷史文化背景有關(guān)，這也正是各國(guó)敏感個(gè)人信息列舉范圍不一的原因。

在風(fēng)險(xiǎn)內(nèi)容的廣泛性上，敏感個(gè)人信息廣泛關(guān)注自然人的人格尊嚴(yán)或者人身、財(cái)產(chǎn)安全的風(fēng)險(xiǎn)。其不僅關(guān)注私法上的權(quán)益，還指向公法上的權(quán)利。這也是我國(guó)敏感個(gè)人信息制度與域外制度的顯著差異所在。域外制度多聚焦受歧視的風(fēng)險(xiǎn)，尤其是歐盟法中較少關(guān)注財(cái)產(chǎn)安全，我國(guó)的敏感個(gè)人信息定義則廣泛關(guān)注人格尊嚴(yán)以及人身、財(cái)產(chǎn)安全。其中，人格尊嚴(yán)既指向憲法人格尊嚴(yán)權(quán)，亦指向民法中的一般人格權(quán)。《個(gè)人信息保護(hù)法》第28條第1款將《個(gè)人信息保護(hù)法（草案二審稿）》中的“個(gè)人受到歧視”修訂為“人格尊嚴(yán)受到侵害”，使敏感個(gè)人信息的定義超越了歧視標(biāo)準(zhǔn)，指向一切對(duì)人格尊嚴(yán)的損害。人身、財(cái)產(chǎn)安全更涵蓋了生命權(quán)、身體權(quán)、健康權(quán)、姓名權(quán)、肖像權(quán)、名譽(yù)權(quán)、隱私權(quán)、物權(quán)、債權(quán)等廣泛的個(gè)人權(quán)利以及未被權(quán)利化的受保護(hù)法益。值得注意的是，個(gè)人信息權(quán)益本身并不屬于《個(gè)人信息保護(hù)法》第28條第1款中“人格尊嚴(yán)”或者“人身、財(cái)產(chǎn)安全”的范疇，敏感個(gè)人信息關(guān)注的是侵害個(gè)人信息權(quán)益后造成的其他損害。若將個(gè)人信息權(quán)益納入其中，將出現(xiàn)“倒果為因”的邏輯錯(cuò)誤。非法的個(gè)人信息處理必然造成個(gè)人信息權(quán)益的損害，由此將消解和破壞敏感個(gè)人信息的概念。

（二）判斷前提：失控的確定性與場(chǎng)景標(biāo)準(zhǔn)的反思

敏感個(gè)人信息的風(fēng)險(xiǎn)判斷存在確定的前提，即“一旦泄露或者非法使用”。參照《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273-2020，以下簡(jiǎn)稱“個(gè)人信息安全規(guī)范”）附錄B，泄露“將導(dǎo)致個(gè)人信息主體及收集、使用個(gè)人信息的組織和機(jī)構(gòu)喪失對(duì)個(gè)人信息的控制能力，造成個(gè)人信息擴(kuò)散范圍和用途的不可控”。非法使用又可分為非法提供與濫用，分別指在個(gè)人信息主體同意范圍外擴(kuò)散與超出合理界限的使用。《個(gè)人信息保護(hù)法》第28 條第1 款并不關(guān)注信息是否容易泄露或被非法使用，而指向個(gè)人信息被泄露或非法使用后的風(fēng)險(xiǎn)。對(duì)風(fēng)險(xiǎn)的判斷必須先假設(shè)相關(guān)信息已被泄露或者非法使用。只是在對(duì)敏感個(gè)人信息概念進(jìn)行判斷后，《個(gè)人信息保護(hù)法》第28 條第2 款才進(jìn)一步要求信息處理者“采取嚴(yán)格保護(hù)措施”以防止信息泄露或被非法利用。

將敏感個(gè)人信息判斷的前提確定為假設(shè)信息已被泄露或非法使用，信息是否敏感與信息處理者的處理行為無(wú)關(guān)，由此便與流行甚廣的場(chǎng)景標(biāo)準(zhǔn)存在不可調(diào)和的矛盾。場(chǎng)景標(biāo)準(zhǔn)認(rèn)為，應(yīng)充分評(píng)估信息被處理的背景，將信息處理者的處理目的、處理方式因素引入敏感個(gè)人信息的判斷之中。有學(xué)者提出，《個(gè)人信息保護(hù)法》第28 條第1 款的敏感個(gè)人信息概念受到場(chǎng)景的影響。部分學(xué)者主張，“采靜態(tài)和動(dòng)態(tài)認(rèn)定方法，兼顧敏感個(gè)人信息利用的情景、目的等變量因素”。部分學(xué)者雖然意識(shí)到場(chǎng)景標(biāo)準(zhǔn)的缺陷，但仍然主張“場(chǎng)景抽離和場(chǎng)景融入雙重路徑”，根據(jù)“信息處理者的認(rèn)知能力、信息應(yīng)用能力及信息存在狀態(tài)是改變信息內(nèi)容屬性的主要場(chǎng)景要素”，判斷一般個(gè)人信息是否轉(zhuǎn)化為敏感個(gè)人信息。上述解讀并未回應(yīng)敏感個(gè)人信息判斷前提與場(chǎng)景標(biāo)準(zhǔn)的矛盾，場(chǎng)景切不可作為敏感個(gè)人信息判斷的要素。

反對(duì)場(chǎng)景標(biāo)準(zhǔn)的理由有三：第一，場(chǎng)景理論有其域外法背景，與《個(gè)人信息保護(hù)法》的制度邏輯不符。由于GDPR 只是對(duì)特定類型的信息進(jìn)行了列舉，并不存在敏感個(gè)人信息的概括定義，其序言條款第51 條建議通過(guò)場(chǎng)景對(duì)敏感性進(jìn)行判斷并不會(huì)產(chǎn)生體系沖突。然而，《個(gè)人信息保護(hù)法》的制度框架并不適合場(chǎng)景標(biāo)準(zhǔn)的引入。一方面，《個(gè)人信息保護(hù)法》第28條第1款要求在泄露或者非法使用的前提下判斷權(quán)益受侵害的風(fēng)險(xiǎn)，具體的信息處理場(chǎng)景已不再相關(guān)。另一方面，若處理場(chǎng)景的不安全導(dǎo)致信息敏感，則無(wú)法理解《個(gè)人信息保護(hù)法》第28條第2款所規(guī)定的敏感個(gè)人信息的處理前提恰恰是安全可控。此外，場(chǎng)景標(biāo)準(zhǔn)還涉嫌混淆敏感個(gè)人信息的判定標(biāo)準(zhǔn)與個(gè)人信息保護(hù)影響評(píng)估的關(guān)系。根據(jù)《個(gè)人信息保護(hù)法》第55條第1款，個(gè)人信息屬敏感個(gè)人信息是事前進(jìn)行影響評(píng)估的法定情形，而非根據(jù)評(píng)估結(jié)果判斷信息是否敏感。第二，部分觀點(diǎn)將信息采集對(duì)象的拓展錯(cuò)誤理解為場(chǎng)景的轉(zhuǎn)變。例如，有學(xué)者認(rèn)為，姓名、電話號(hào)碼被用于流調(diào)與追蹤時(shí)，對(duì)應(yīng)風(fēng)險(xiǎn)較高，可“升格”為敏感個(gè)人信息。對(duì)此，實(shí)際是這些信息與健康信息結(jié)合才導(dǎo)致了相關(guān)風(fēng)險(xiǎn)，并非一般信息的升級(jí)，而是采集對(duì)象的拓展。姓名、電話號(hào)碼從未轉(zhuǎn)化為敏感個(gè)人信息，而是健康信息這種特定的敏感信息采集增加了權(quán)益受侵害的可能性。又如，有學(xué)者認(rèn)為地址信息被長(zhǎng)期記錄并反映了相關(guān)活動(dòng)規(guī)律可轉(zhuǎn)化為敏感個(gè)人信息。See Paul Ohm,“Sensitive Information”,in,2015,No.5,pp.1125-1196.對(duì)此，采集對(duì)象亦發(fā)生了改變，從單個(gè)地理位置信息的采集，拓展為采集反映合理活動(dòng)規(guī)律的行蹤軌跡。第三，場(chǎng)景理論被大量誤讀，成為“具體問(wèn)題具體分析”的代名詞。尼森鮑姆（Helen Nissenbaum）所提出的“情境完整性理論”，旨在解構(gòu)隱私/個(gè)人信息的規(guī)范內(nèi)涵，并從社群規(guī)范的角度對(duì)隱私/個(gè)人信息進(jìn)行重構(gòu)。See Helen Nissenbaum,,California: Stanford Law Books,2009,pp.149-150.眾多借鑒場(chǎng)景理論對(duì)敏感個(gè)人信息規(guī)范內(nèi)涵進(jìn)行解釋的學(xué)者并未注意到場(chǎng)景的理論背景，亦不涉及社群規(guī)范的討論。試圖通過(guò)場(chǎng)景解釋敏感個(gè)人信息范疇的嘗試不僅徒勞無(wú)功，往往適得其反，使敏感個(gè)人信息的范疇始終處于不確定之中。綜上所述，敏感個(gè)人信息的判斷必須以脫離具體信息處理場(chǎng)景之外的“一旦泄露或者非法使用”為前提。

（三）兩個(gè)維度：受侵害的可能性與受影響的程度

從權(quán)益受侵害的可能與權(quán)益受影響的程序兩個(gè)維度，可建立個(gè)人信息敏感度的二維坐標(biāo)體系（見(jiàn)下圖1）。一旦泄露或非法利用容易導(dǎo)致權(quán)益受到侵害或危害，對(duì)應(yīng)“高概率的權(quán)益受侵害可能+一般的權(quán)益受影響程度”。敏感個(gè)人信息位于與該坐標(biāo)體系的中上部分與右上部分。

圖1 敏感個(gè)人信息的二維關(guān)系

首先，權(quán)益受侵害的可能性是二維體系中的首要維度。《個(gè)人信息保護(hù)法》第28條第1款將《個(gè)人信息保護(hù)法（草案二審稿）》中的“可能導(dǎo)致”修訂為“容易導(dǎo)致”，屬于對(duì)可能性程度要求的提升。這一修訂具有合理性。在大數(shù)據(jù)、人工智能等新型信息處理技術(shù)普及的情境下，個(gè)人信息泄露或非法利用均有可能帶來(lái)風(fēng)險(xiǎn)。若采取一般的可能性標(biāo)準(zhǔn)，將使敏感個(gè)人信息的概念變得極為寬泛。對(duì)權(quán)益受侵害的可能性進(jìn)行具體分析，可借鑒《信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化指南》（GB/T 37964-2019）第5.5.2條第a款，“參照國(guó)家有關(guān)法律法規(guī)和標(biāo)準(zhǔn)，依據(jù)數(shù)據(jù)映射分析結(jié)果，分析個(gè)人信息的敏感程度對(duì)個(gè)人權(quán)益可能產(chǎn)生的影響”?！叭菀住钡目赡苄猿潭纫笮畔⒌膶傩耘c可能的損害后果之間具有直接相關(guān)性。同時(shí)，對(duì)可能性的判斷必須結(jié)合信息處理的合理成本。若違法行為人需要投入巨大成本處理特定的個(gè)人信息才能導(dǎo)致?lián)p害，顯然亦不符合“容易導(dǎo)致”的要求。權(quán)益受侵害的可能性并非一成不變，大數(shù)據(jù)、人工智能等新興信息處理技術(shù)的發(fā)展，在提高了數(shù)據(jù)映射的相關(guān)性的同時(shí)，降低了信息關(guān)聯(lián)處理的成本與難度，由此改變了權(quán)益受侵害的概率，將會(huì)使得特定信息成為敏感信息。以生物識(shí)別信息為例，1981年歐洲委員會(huì)《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)協(xié)定》第6條、1995年歐盟《數(shù)據(jù)保護(hù)指令》（95/46/EC）第8條均未將其視為特殊類型個(gè)人數(shù)據(jù)，直至2016年GDPR 第9條第1款才將之納入特殊類型個(gè)人數(shù)據(jù)（即歐盟法中的敏感個(gè)人信息）。

其次，權(quán)益受影響的程度是二維體系中的次要維度?！秱€(gè)人信息保護(hù)法》第28條第1款將《個(gè)人信息保護(hù)法（草案二審稿）》中的“嚴(yán)重危害”修訂為“危害”，降低了對(duì)權(quán)益受影響程度的要求。這一修訂亦具有合理性。敏感個(gè)人信息關(guān)注損害的可能性而非確定性的損害后果，若對(duì)損害結(jié)果的嚴(yán)重性作出要求，將“導(dǎo)致敏感個(gè)人信息淪為事后概念，瓦解處理規(guī)則的防御規(guī)制意義”。然而，不要求危害結(jié)果達(dá)到嚴(yán)重的程度，并不意味著無(wú)須對(duì)權(quán)益受影響的程度進(jìn)行評(píng)判。參照《信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南》(GB/T 39335-2020）的規(guī)定，可從“影響個(gè)人自主決定權(quán)”“引發(fā)差別性待遇”“個(gè)人名譽(yù)受損和遭受精神壓力”“個(gè)人財(cái)產(chǎn)受損”四個(gè)維度，對(duì)個(gè)人信息主體的權(quán)益進(jìn)行影響程度評(píng)價(jià)。權(quán)益受影響必須構(gòu)成一般的危害。若僅僅是打擾或造成不便等輕微影響，則不屬于敏感個(gè)人信息保護(hù)所關(guān)注的一般風(fēng)險(xiǎn)，任何個(gè)人信息泄露都容易導(dǎo)致輕微的不便。

此外，權(quán)益受影響的程度還可以在敏感個(gè)人信息區(qū)分保護(hù)上發(fā)揮作用。從圖1 可見(jiàn)，雖然中上部分與右上部分的兩類信息均屬于敏感個(gè)人信息，但顯然右上部分的信息需要更為嚴(yán)格的保護(hù)。這種分級(jí)保護(hù)并不對(duì)敏感個(gè)人信息的概念本身產(chǎn)生影響。事實(shí)上，《個(gè)人信息保護(hù)法》除了第31 條關(guān)于未滿十四周歲未成年個(gè)人信息保護(hù)的特別規(guī)定外，亦未對(duì)敏感個(gè)人信息的保護(hù)程度進(jìn)行類型區(qū)分。根據(jù)《個(gè)人信息保護(hù)法》第32條，敏感個(gè)人信息的區(qū)分保護(hù)，可在法律、行政法規(guī)的其他限制中實(shí)現(xiàn)。

二、敏感個(gè)人信息列舉項(xiàng)的規(guī)范內(nèi)涵

《個(gè)人信息保護(hù)法》第28條第1款關(guān)于敏感個(gè)人信息的列舉有三個(gè)顯著特點(diǎn)。第一，該款并非限定式對(duì)敏感個(gè)人信息進(jìn)行列舉，沒(méi)有將敏感個(gè)人信息的范圍限定在列舉項(xiàng)之中，而是在概括的定義后進(jìn)行的，并以“等”表示列舉的不完全。第二，列舉項(xiàng)并不僅僅指向受歧視的風(fēng)險(xiǎn)，廣泛關(guān)注了人身、財(cái)產(chǎn)的安全，例如金融賬戶即典型指向了財(cái)產(chǎn)安全風(fēng)險(xiǎn)。第三，列舉項(xiàng)種類多樣且分類標(biāo)準(zhǔn)不一，生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡均為從信息內(nèi)容出發(fā)的分類；為實(shí)現(xiàn)未成年人特別保護(hù)，又對(duì)不滿十四周歲未成年人的個(gè)人信息采取了主體標(biāo)準(zhǔn)。

在屬性上，敏感個(gè)人信息的列舉項(xiàng)與《網(wǎng)絡(luò)安全法》第76 條第5 項(xiàng)、《民法典》第1034 條第2 款關(guān)于個(gè)人信息的列舉項(xiàng)不同。個(gè)人信息列舉項(xiàng)還需要重新放回個(gè)人信息定義判斷，例如張三作為姓名單獨(dú)來(lái)看不一定具有可識(shí)別性。與之相比，敏感個(gè)人信息的列舉項(xiàng)是在個(gè)人信息概念之上，對(duì)高敏感的個(gè)人信息進(jìn)行列舉，不需要再討論識(shí)別性問(wèn)題，例如生物識(shí)別本身就強(qiáng)調(diào)識(shí)別性。就敏感度而言，《個(gè)人信息保護(hù)法》第28 條第1 款的列舉項(xiàng)亦無(wú)須重新回到該款關(guān)于敏感個(gè)人信息的概括定義中進(jìn)行衡量。該款的列舉項(xiàng)就是典型的敏感個(gè)人信息，不存在脫離一定場(chǎng)景而不是敏感個(gè)人信息的可能。前文已述，敏感個(gè)人信息關(guān)注的就是信息一旦泄露或非法利用帶來(lái)的不利后果，即便在特定應(yīng)用場(chǎng)景之中相關(guān)信息風(fēng)險(xiǎn)較小，泄露或非法利用都將使得信息脫離原處理場(chǎng)景，因此敏感個(gè)人信息類型可實(shí)現(xiàn)特定化。在敏感個(gè)人信息的列舉項(xiàng)中，立法者已經(jīng)對(duì)這些信息的權(quán)益受侵害的可能性與權(quán)益受影響的程度進(jìn)行了判斷。從域外相關(guān)制度來(lái)看，歐美以及我國(guó)澳門特別行政區(qū)、我國(guó)臺(tái)灣地區(qū)的相關(guān)立法對(duì)于敏感個(gè)人信息的范圍采取了限定式列舉的規(guī)定，既沒(méi)有規(guī)定以“等”作為兜底，亦沒(méi)有對(duì)敏感個(gè)人信息的特征作概括式的描述，被列舉的信息就是敏感個(gè)人信息?！秱€(gè)人信息保護(hù)法》第28 條第1 款與日本、韓國(guó)、印度等國(guó)的相關(guān)立法類似，采取了“概括+列舉”模式。這一模式并不否定列舉項(xiàng)敏感個(gè)人信息的地位，而是應(yīng)以概括定義判斷未被列舉的其他信息。在此認(rèn)識(shí)的基礎(chǔ)上，可對(duì)《個(gè)人信息保護(hù)法》第28條第1款中列舉項(xiàng)的內(nèi)涵進(jìn)行具體分析。

（一）生物識(shí)別

《民法典》第1034條第2款、《網(wǎng)絡(luò)安全法》第76條第5項(xiàng)在關(guān)于個(gè)人信息定義的列舉項(xiàng)中均規(guī)定了生物識(shí)別信息?！皞€(gè)人信息安全規(guī)范”附錄B指出，個(gè)人生物識(shí)別信息包括“個(gè)人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識(shí)別特征等”?！缎畔⒓夹g(shù)安全技術(shù)生物特征識(shí)別信息的保護(hù)要求（征求意見(jiàn)稿）》第4.1條進(jìn)一步將生物識(shí)別信息分為生理特征與行為特征。從整體而言，生物識(shí)別信息具有唯一性、程序識(shí)別性、可復(fù)制性、損害的不可逆性及信息的關(guān)聯(lián)性等特征。在域外法中，尤其關(guān)注生物信息的程序識(shí)別性特征。根據(jù)GDPR 第4 條第14 款，生物數(shù)據(jù)即對(duì)自然人身體、生理或行為進(jìn)行一定的技術(shù)處理所得的能識(shí)別特定自然人的數(shù)據(jù)。歐盟第29條工作組亦曾將生物數(shù)據(jù)界定為：“生物特性、行為方面、生理特征、生活特征或可重復(fù)的行為，這些特征和/或行為對(duì)該個(gè)體來(lái)說(shuō)是獨(dú)特且可測(cè)量的，即使在實(shí)踐中用技術(shù)測(cè)量它們的模式有一定程度的概率?！?/p>

生物識(shí)別信息被稱為“上帝賦予的身份證”。正是由于這些信息難以被改變，其濫用或泄露將產(chǎn)生永久性的后果。近年來(lái)，生物信息濫用的風(fēng)險(xiǎn)不斷涌現(xiàn)。以人臉識(shí)別為例，小區(qū)、公園、學(xué)校甚至公廁都引入了人臉識(shí)別系統(tǒng)，無(wú)感人臉識(shí)別應(yīng)用又進(jìn)一步使得生物信息被無(wú)限度地采集。杭州市中級(jí)人民法院在“郭某訴杭州野生動(dòng)物園案”判決書中指出，人臉信息“呈現(xiàn)出敏感度高，采集方式多樣、隱蔽和靈活的特性，不當(dāng)使用將給公民的人身、財(cái)產(chǎn)帶來(lái)不可預(yù)測(cè)的風(fēng)險(xiǎn)，應(yīng)當(dāng)作出更加嚴(yán)格的規(guī)制和保護(hù)”。2021 年浙江省多家房企因隨便使用人臉識(shí)別系統(tǒng)識(shí)別客戶而遭到市場(chǎng)監(jiān)管部門的處罰。《個(gè)人信息保護(hù)法》立法審議時(shí)，有部分委員亦明確提出應(yīng)重視人臉識(shí)別的風(fēng)險(xiǎn)?！蹲罡呷嗣穹ㄔ宏P(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問(wèn)題的規(guī)定》亦是從生物識(shí)別信息保護(hù)的角度，對(duì)人臉識(shí)別進(jìn)行了規(guī)定。然而，人臉信息與肖像應(yīng)存在區(qū)別。肖像一般不具有程序識(shí)別性特征，不是生物識(shí)別信息。美國(guó)伊利諾伊州通過(guò)《生物識(shí)別信息隱私法》（BIPA）第10 條即指出，平面的照片無(wú)法全面反映臉部特征，唯有面部幾何形狀的掃描才能構(gòu)成生物識(shí)別信息。在人格權(quán)歸屬上，肖像權(quán)與個(gè)人信息保護(hù)亦大不相同，肖像權(quán)重在維護(hù)個(gè)人對(duì)其形象的控制，而不針對(duì)信息處理行為展開(kāi)。

（二）宗教信仰

宗教信仰信息是“個(gè)人是否信奉宗教、信奉何種宗教以及信奉某一宗教中何種教派的信息”?！稇椃ā返?6 條第1 款規(guī)定：“中華人民共和國(guó)公民有宗教信仰自由?！弊诮绦叛鲎杂墒且环N基本權(quán)利，是政治自由的組成部分。因?yàn)樽诮绦叛霾煌瑢?dǎo)致流血沖突甚至戰(zhàn)爭(zhēng)，在世界歷史上并不少見(jiàn)。宗教信仰信息的泄漏或非法利用，可能使得自然人受到歧視甚至仇視。在域外關(guān)于敏感個(gè)人信息的立法中，大多亦將宗教信仰列入其中。1981 年歐洲委員會(huì)《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理的個(gè)人保護(hù)協(xié)定》第6 條是世界上最早關(guān)于敏感個(gè)人信息的規(guī)定，其中對(duì)宗教信仰進(jìn)行了列舉。此后，聯(lián)合國(guó)《計(jì)算機(jī)處理的個(gè)人數(shù)據(jù)文檔規(guī)范指南》第5條、GDPR第9條第1款等制度亦將宗教信仰規(guī)定為敏感個(gè)人信息。

值得注意的是，在我國(guó)法律、行政法規(guī)中，宗教信仰始終是一個(gè)具有特定內(nèi)涵的術(shù)語(yǔ)，僅指向合法的宗教類的信仰。宗教信仰無(wú)法包含信仰非法教派的信息。根據(jù)《宗教事務(wù)管理?xiàng)l例》第7條，宗教團(tuán)體必須依法辦理登記、章程應(yīng)符合國(guó)家社會(huì)團(tuán)體管理的有關(guān)規(guī)定，并依照章程開(kāi)展活動(dòng)。邪教以及不符合法定要求的新興宗教，自然不包括在正常宗教的含義之中。對(duì)此，《憲法》第36 條第3 款、《國(guó)家安全法》第27 條均對(duì)正常的宗教活動(dòng)與利用宗教名義進(jìn)行違法犯罪活動(dòng)進(jìn)行了區(qū)分。參與此類非法組織的活動(dòng)，甚至可能構(gòu)成違法犯罪。此外，宗教信仰作為一個(gè)固定的術(shù)語(yǔ)不能也無(wú)法拆分為宗教信息與信仰信息。與之相對(duì)，在規(guī)范性文件、黨內(nèi)法規(guī)中，還存在政治信仰、文化信仰、哲學(xué)信仰等概念，這些信仰均無(wú)法歸入宗教信仰的范疇?；谄渌叛鏊纬傻纳矸菡J(rèn)同，則屬于特定身份信息的范疇。

（三）特定身份

特定身份信息具有一定的包容性，特定化地指向敏感度高的身份信息，例如種族或民族、身份識(shí)別號(hào)碼。就種族、民族信息而言，雖然《個(gè)人信息保護(hù)法》第28 條第1 款刪去了《個(gè)人信息保護(hù)法（草案二審稿）》中的相關(guān)列舉，但可將之歸入特定身份進(jìn)行保護(hù)。《憲法》第4條第1款規(guī)定了民族平等原則。實(shí)踐中，采集民族信息較為常見(jiàn)，通常是為了落實(shí)少數(shù)民族優(yōu)惠政策，但無(wú)限制地采集亦將帶來(lái)風(fēng)險(xiǎn)。比較法中，絕大多數(shù)國(guó)家將種族、民族信息規(guī)定為敏感個(gè)人信息。就身份識(shí)別號(hào)碼而言，《網(wǎng)絡(luò)安全法》第76 條第5 款、《民法典》第1034 條第2 款在個(gè)人信息的定義中都對(duì)身份證號(hào)碼進(jìn)行了列舉。《身份證法》第3條規(guī)定，公民身份號(hào)碼是每個(gè)公民唯一的、終身不變的身份代碼。在18位的身份證號(hào)碼中，前6位的地址碼包含出生地信息，中間8 位為出生日期信息、第17 位指向性別信息。身份識(shí)別號(hào)碼不僅包括身份證號(hào)碼，還包括護(hù)照號(hào)碼、通行證號(hào)碼、駕駛證編號(hào)等一切具有身份識(shí)別性的統(tǒng)一編號(hào)。身份識(shí)別號(hào)碼通常在特殊信任關(guān)系中被處理，如金融服務(wù)合同關(guān)系、行政關(guān)系中對(duì)身份證的使用，一旦泄露將給個(gè)人帶來(lái)“身份盜竊”的風(fēng)險(xiǎn)。通過(guò)身份識(shí)別號(hào)碼不法之徒可竊取銀行資金、以受害者身份借款、利用受害者身份進(jìn)行違法犯罪活動(dòng)等。對(duì)此，GDPR 第87 條指出，身份識(shí)別號(hào)碼應(yīng)“在數(shù)據(jù)主體的權(quán)利與自由得到適當(dāng)?shù)陌踩Ｕ稀钡那疤嵯卤惶幚怼?/p>

此外，特定身份信息不僅指向客觀形成的信息，還包括信息主體主觀的特定身份認(rèn)同。例如，性取向本身即具有高度的敏感性。個(gè)人容易因性少數(shù)的身份泄露而受到歧視，相關(guān)信息的非法利用也極易對(duì)親密關(guān)系造成破壞。又如，前述基于政治信仰、文化信仰、哲學(xué)信仰所形成的身份認(rèn)同亦屬于特定身份。這些身份認(rèn)同雖是主觀的，但均與個(gè)人基本權(quán)利息息相關(guān)。在域外相關(guān)制度中，通常亦將這些信息明確規(guī)定為敏感個(gè)人信息。GDPR第9條第1款對(duì)敏感個(gè)人信息的列舉即明確包含了性取向、政治觀念、哲學(xué)信仰。然而，特定身份信息不等于身份信息，不可將其泛化為“涵蓋自然人基于生物層面或社會(huì)層面而產(chǎn)生的相應(yīng)身份識(shí)別信息”。一般的職業(yè)身份、性別身份并不具有高度敏感性，若將所有身份信息納入特定身份，將使敏感個(gè)人信息范圍失之過(guò)寬。

（四）醫(yī)療健康

根據(jù)《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》（GB/T 39725-2020）第3.1條的規(guī)定，醫(yī)療健康信息包括個(gè)人過(guò)去、在或?qū)?lái)的身體或精神健康狀況、接受的醫(yī)療保健服務(wù)和支付的醫(yī)療保健服務(wù)費(fèi)用等信息。具體而言，醫(yī)療健康信息又可分為醫(yī)療信息與健康信息。首先，就醫(yī)療信息而言，病歷資料是最典型的醫(yī)療信息。根據(jù)《民法典》第1225條、《最高人民法院關(guān)于審理醫(yī)療損害責(zé)任糾紛案件適用法律若干問(wèn)題的解釋》（法釋〔2017〕20號(hào)）第6條，病歷資料范圍包括“門診病歷、住院志、體溫單、醫(yī)囑單、檢驗(yàn)報(bào)告、醫(yī)學(xué)影像檢查資料、特殊檢查（治療）同意書、手術(shù)同意書、手術(shù)及麻醉記錄、病理資料、護(hù)理記錄、出院記錄以及國(guó)務(wù)院衛(wèi)生行政主管部門規(guī)定的其他病歷資料”。此外，《民法典》第1226條亦規(guī)定了醫(yī)療機(jī)構(gòu)及其醫(yī)務(wù)人員對(duì)患者個(gè)人信息的保密義務(wù)。其次，就健康信息而言，其范圍較為廣泛。參照GDPR鑒于條款第35條，健康信息應(yīng)包括與信息主體健康狀況有關(guān)的所有信息。

兩千多年前《希波克拉底誓言》（Hippocratic Oath）就表示，醫(yī)生絕不可泄露與治療相關(guān)的信息。醫(yī)療健康信息一旦泄露將對(duì)信息主體的生活、工作、就業(yè)、家庭等各個(gè)方面產(chǎn)生不可估量的影響。在“虞某梅與顧某婷名譽(yù)權(quán)糾紛案”中，被告泄露原告的疾病信息便直接導(dǎo)致了原告被單位解雇。疫情期間，感染者或密切接觸者信息泄露事件時(shí)有發(fā)生，亦使得相關(guān)人員遭遇嚴(yán)重的網(wǎng)絡(luò)暴力和社會(huì)歧視。由此可見(jiàn)，醫(yī)療健康信息具有高度的敏感性。

（五）金融賬戶

根據(jù)《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171—2020）第4.1條第a款，金融賬戶信息“包括但不限于支付賬號(hào)、銀行卡磁道數(shù)據(jù)（或芯片等有效信息）、銀行卡有效期、證券賬戶、保險(xiǎn)賬戶、賬戶開(kāi)立時(shí)間、開(kāi)戶機(jī)構(gòu)、賬戶余額以及基于上述信息產(chǎn)生的支付標(biāo)記信息等?！迸cGDPR 的相關(guān)規(guī)定不同，明確將金融賬戶信息列為敏感個(gè)人信息體現(xiàn)了《個(gè)人信息保護(hù)法》并不僅僅關(guān)注人格尊嚴(yán)的保護(hù)，而且回應(yīng)了市場(chǎng)經(jīng)濟(jì)中多種權(quán)益受侵害的風(fēng)險(xiǎn)。金融賬戶一旦泄露或非法使用，很容易讓人遭受人身或財(cái)產(chǎn)的危害，如可能遭遇電信詐騙、賬戶資金被盜，甚至被綁架或殺害，具有高度的敏感性。

值得注意的是，金融賬戶不能等同于個(gè)人金融信息。個(gè)人金融信息指向的是在金融這一特定的業(yè)務(wù)場(chǎng)景中處理的所有個(gè)人信息，而金融賬戶則指向個(gè)人賬戶的具體信息內(nèi)容。個(gè)人金融信息范圍遠(yuǎn)大于金融賬戶。例如，金融機(jī)構(gòu)在特定業(yè)務(wù)場(chǎng)景中處理的個(gè)人動(dòng)產(chǎn)/不動(dòng)產(chǎn)信息、交易合同信息均與個(gè)人賬戶無(wú)關(guān)。金融賬戶必須是與個(gè)人賬戶直接相關(guān)的信息。除了金融賬戶外，個(gè)人金融信息至少還包括鑒別信息、個(gè)人身份信息、財(cái)產(chǎn)信息、借貸信息等?！秱€(gè)人金融信息保護(hù)技術(shù)規(guī)范》本身亦未將全部金融信息規(guī)定為敏感信息，而是通過(guò)第3.2 條專門對(duì)支付敏感信息進(jìn)行了規(guī)定。此外，該規(guī)定第4.2 條進(jìn)一步將個(gè)人金融信息按敏感度高低分為3個(gè)類別，只有賬戶及其鑒權(quán)信息屬于敏感度最高的信息。

（六）行蹤軌跡

行蹤軌跡信息與《民法典》第1034 條所列舉的行蹤信息含義相同，是自然人的靜態(tài)停居信息與動(dòng)態(tài)形態(tài)路線的結(jié)合。在“胡某等非法獲取公民個(gè)人信息案”中，法院即明確指出，行蹤軌跡涉及住址、單位地址、常去場(chǎng)所，透露公民的生物習(xí)慣與個(gè)人特征，與公民生活安全息息相關(guān)。域外法中，行蹤軌跡的重要性也得到認(rèn)可。2012 年美國(guó)聯(lián)邦最高法院在“瓊斯案”中判決，警察安裝GPS 的行為屬于違反“第四修正案”的非法侵入。隨后，在2018年“卡朋特案”中，美國(guó)聯(lián)邦最高法院指出，手機(jī)定位監(jiān)控信息能詳盡、全面、便捷地獲取自然人過(guò)去及以后一段時(shí)間的行蹤，受到憲法保護(hù)。

行蹤軌跡的內(nèi)涵不得隨意擴(kuò)張。一是，位置信息與行蹤軌跡存在差異。與靜態(tài)的位置信息相比，行蹤信息更為強(qiáng)調(diào)動(dòng)態(tài)的過(guò)程，表明了信息主體在何時(shí)何地逗留多久，能間接地揭示了其愛(ài)好、習(xí)慣等信息。以APP獲取用戶位置信息為例，若僅在使用時(shí)獲取相關(guān)信息，則屬于位置信息，不構(gòu)成敏感個(gè)人信息處理；若一段時(shí)間內(nèi)持續(xù)性地獲取用戶位置信息，則相關(guān)信息的結(jié)合構(gòu)成行蹤軌跡，屬于敏感個(gè)人信息處理。二是，視頻監(jiān)控應(yīng)適用《個(gè)人信息保護(hù)法》第26條，不宜判斷為行蹤軌跡。在關(guān)于智能門鈴的多起案件中，法院一般將相關(guān)系統(tǒng)記錄的鄰居出行規(guī)律、人員流動(dòng)信息判定為信息主體不愿為他人知悉的個(gè)人信息。這些信息難以全面反映特定個(gè)人一段時(shí)間的行蹤。

（七）不滿十四周歲未成年人的個(gè)人信息

將不滿十四周歲未成年人的個(gè)人信息規(guī)定為敏感個(gè)人信息的目的在于充分保護(hù)未成年人。未成年人特別保護(hù)是《憲法》第49條所規(guī)定的?！秱€(gè)人信息保護(hù)法》采取14周歲的標(biāo)準(zhǔn)，與《未成年人保護(hù)法》第72條保持了高度一致。根據(jù)此年齡標(biāo)準(zhǔn)，《個(gè)人信息保護(hù)法》第31條、《未成年人保護(hù)條例（征求意見(jiàn)稿）》第35 條又進(jìn)一步對(duì)兒童個(gè)人信息處理進(jìn)行了規(guī)定。與我國(guó)類似，美國(guó)《兒童在線隱私保護(hù)法》（COPPA）亦規(guī)定了采集十三周歲以下兒童個(gè)人信息的特殊規(guī)則。

然而，由于此項(xiàng)敏感個(gè)人信息以主體年齡作為分類標(biāo)準(zhǔn)，與其他六項(xiàng)以信息內(nèi)容的分類標(biāo)準(zhǔn)存在顯著差異，引起了一定爭(zhēng)議。有學(xué)者認(rèn)為，十四周歲未成年人的個(gè)人信息內(nèi)部存在差異。即區(qū)分一般個(gè)人信息與兒童的敏感個(gè)人信息，如未滿十四周歲未成年人的生物識(shí)別信息屬于兒童敏感信息。也有學(xué)者認(rèn)為，前三個(gè)列舉項(xiàng)指向一旦泄露或非法使用容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害的風(fēng)險(xiǎn)，后三項(xiàng)則指向人身、財(cái)產(chǎn)安全受到危害的風(fēng)險(xiǎn)，兒童個(gè)人信息屬于單獨(dú)的一個(gè)類別。這些理解并不正確。一方面，立法者在《個(gè)人信息保護(hù)法（草案二審稿）》的基礎(chǔ)上明確將本項(xiàng)加入敏感個(gè)人信息列舉項(xiàng)，已經(jīng)表明不滿十四周歲未成年人的一切個(gè)人信息均為敏感個(gè)人信息，不需要再對(duì)信息內(nèi)容進(jìn)行判斷。另一方面，不滿十四周歲未成年人的個(gè)人信息作為整體，亦符合敏感個(gè)人信息的概括定義，既指向人格尊嚴(yán)受到侵害的風(fēng)險(xiǎn)，也指向人身、財(cái)產(chǎn)安全受到危害的風(fēng)險(xiǎn)。正因如此，“個(gè)人信息安全規(guī)范”第3.2條、《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》第20條均規(guī)定不滿十四周歲未成年人的個(gè)人信息是敏感個(gè)人信息。

（八）“等”的解釋

《個(gè)人信息保護(hù)法》第28 條第1 款關(guān)于敏感個(gè)人信息的列舉是不完全列舉，其中的“等”屬等外等，使得敏感個(gè)人信息的范圍具有了開(kāi)放性。個(gè)人信息類型本身即隨著社會(huì)發(fā)展而變化，立法顯然無(wú)法逐一對(duì)所有敏感個(gè)人信息進(jìn)行列舉。根據(jù)《個(gè)人信息保護(hù)法》第62條第2款，在未來(lái)國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門制定的相關(guān)規(guī)則、標(biāo)準(zhǔn)中，亦可進(jìn)一步拓展敏感個(gè)人信息的具體類型。值得注意的是，除了《個(gè)人信息保護(hù)法》第28 條第1 款所列舉的7 類敏感個(gè)人信息外，《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(GB/Z 28828-2012）第3.7條、“個(gè)人信息安全規(guī)范”第3.2條嘗試規(guī)定了多項(xiàng)“個(gè)人敏感信息”類型，包括手機(jī)號(hào)碼、通信記錄和內(nèi)容、征信信息、住宿信息、財(cái)產(chǎn)信息、交易信息、婚史、未公開(kāi)的違法犯罪記錄、通訊錄、好友列表、群組列表、網(wǎng)頁(yè)瀏覽記錄等。然而，由于《個(gè)人信息保護(hù)法》第28條第1款對(duì)敏感個(gè)人信息概念進(jìn)行的重新界定，不可直接將上述信息一律視為敏感個(gè)人信息。對(duì)未被所列舉的敏感個(gè)人信息，必須回到敏感個(gè)人信息的概括定義之中進(jìn)行判斷。

結(jié)合敏感個(gè)人信息“高概率的權(quán)益受侵害可能+一般的權(quán)益受影響程度”的判定標(biāo)準(zhǔn)，“等”的范圍至少應(yīng)包括性生活信息、犯罪記錄。一方面，性生活信息也是個(gè)人的“陰私”信息，其泄漏或非法利用將極為容易導(dǎo)致對(duì)個(gè)人的人格尊嚴(yán)受到侵害。在絕大多數(shù)對(duì)敏感個(gè)人信息進(jìn)行了規(guī)定的國(guó)家和地區(qū)中，均將性生活信息明確列為敏感個(gè)人信息。在我國(guó)自古以來(lái)的性羞恥文化背景下，這一信息的敏感性更強(qiáng)。另一方面，犯罪記錄又被稱為犯罪前科。犯罪記錄泄露將會(huì)使個(gè)人永遠(yuǎn)伴隨著羞辱、污點(diǎn)以及來(lái)自社區(qū)的負(fù)面評(píng)價(jià)，即便是服刑后也將嚴(yán)重影響其回歸社會(huì)。當(dāng)前，我國(guó)已建立未成年人犯罪記錄封存制度。成年人犯罪記錄，同樣對(duì)應(yīng)著較高的權(quán)益受侵害的可能性，亦應(yīng)作為敏感個(gè)人信息受保護(hù)。

三、敏感個(gè)人信息與私密信息的關(guān)系辨析

結(jié)合《民法典》第1034條第3款，個(gè)人信息可以分為一般個(gè)人信息、個(gè)人信息中的私密信息、敏感個(gè)人信息。如圖2 所示，敏感個(gè)人信息與私密信息雖存在差異，但亦有交叉?；诙哧P(guān)系，可分為四類信息：（1）不屬于私密信息的敏感個(gè)人信息。例如未滿十四周歲未成年人的個(gè)人信息、特定身份等信息不一定具有私密性，卻是法定的敏感個(gè)人信息。又如人臉信息，天然具有公開(kāi)性的特征，亦為不屬于私密信息的敏感個(gè)人信息。（2）不屬于敏感個(gè)人信息的私密信息。例如，信息主體不愿為他人所知悉的休假旅行信息。（3）既屬于敏感個(gè)人信息又屬于私密信息。當(dāng)私密信息達(dá)到敏感個(gè)人信息的風(fēng)險(xiǎn)基準(zhǔn)，或信息主體不愿他人知悉特定敏感個(gè)人信息時(shí)，二者發(fā)生交叉。典型如醫(yī)療健康、金融賬戶、性生活及性取向信息。（4）其他私密信息。部分私密信息因不具可識(shí)別性，不屬于個(gè)人信息。例如，無(wú)法識(shí)別到特定個(gè)人的身體圖像，可以成為隱私保護(hù)的對(duì)象但無(wú)法構(gòu)成個(gè)人信息。對(duì)于這部分私密信息，其與敏感個(gè)人信息的差異較為顯著，突出表現(xiàn)為隱私權(quán)與個(gè)人信息保護(hù)的制度差異，在此不作討論。為了更清晰地展開(kāi)分析，下文所論述的私密信息特指?jìng)€(gè)人信息中的私密信息。

圖2 敏感個(gè)人信息與私密信息

整體而言，敏感個(gè)人信息與私密信息之間存在以下差異：第一，規(guī)范目的不同。前文已述，《個(gè)人信息保護(hù)法》第28條的規(guī)范目的在于明確敏感個(gè)人信息的基本范疇與處理前提，調(diào)整敏感個(gè)人信息處理行為，進(jìn)一步協(xié)調(diào)信息保護(hù)與利用之間的關(guān)系；而《民法典》第1034 條第3 款關(guān)于私密信息的規(guī)定則在于銜接與隱私權(quán)的規(guī)范。第二，判定標(biāo)準(zhǔn)不同。前文已述，敏感個(gè)人信息指向信息的敏感度，強(qiáng)調(diào)的是對(duì)信息主體造成不良影響的可能性，具有客觀的判斷標(biāo)準(zhǔn)，其范圍受到較為嚴(yán)格的限定。根據(jù)《民法典》第1032 條第2 款，私密信息采取信息主體“不愿為他人知曉的”的主觀標(biāo)準(zhǔn)，且與私密活動(dòng)緊密相連，其范圍廣泛且概念模糊。第三，侵害方式不同。敏感個(gè)人信息僅針對(duì)信息處理行為，根據(jù)《個(gè)人信息保護(hù)法》第28條第1款，侵害方式為“泄露或者非法使用”。私密信息針對(duì)保密而言，《民法典》第1032條第1款指出，侵害方式指向“刺探、侵?jǐn)_、泄露、公開(kāi)等方式”。第四，規(guī)制方式不同。敏感個(gè)人信息采取事前風(fēng)險(xiǎn)預(yù)防的規(guī)制理念，強(qiáng)調(diào)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，存在嚴(yán)格的處理前提，可適用多種合法性基礎(chǔ)，有特殊的告知同意機(jī)制。與之相對(duì)，私密信息以事后追責(zé)作為規(guī)制方式，根據(jù)《民法典》第1033條私密信息處理的合法性基礎(chǔ)僅限于個(gè)人明確同意與法律另有規(guī)定。

當(dāng)敏感個(gè)人信息與私密信息發(fā)生交叉時(shí)，相關(guān)信息具有了雙重屬性。此時(shí)，對(duì)于法律規(guī)范的適用存在不同觀點(diǎn)。有學(xué)者主張，在對(duì)個(gè)人信息處理行為的合法性進(jìn)行判斷時(shí)，適用敏感個(gè)人信息規(guī)范；在確定法益侵害類型時(shí)，進(jìn)一步適用私密信息規(guī)范。亦有學(xué)者主張，私密信息本身即應(yīng)優(yōu)先適用隱私權(quán)規(guī)范，在沒(méi)有規(guī)定的情況下，可以適用個(gè)人信息的相關(guān)規(guī)定。上述兩種主張均不妥當(dāng)。第一，兩種規(guī)范均可有效作用于違法性與法益侵害類型的判斷。實(shí)際上，承認(rèn)交叉存在本身已對(duì)法益侵害類型進(jìn)行了判斷，在此基礎(chǔ)上選擇適用個(gè)人信息保護(hù)規(guī)范或隱私權(quán)規(guī)范，方可進(jìn)一步判斷信息處理行為的違法性。第二，雖然《民法典》第1034條第3款規(guī)定，“個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒(méi)有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定”。然而，敏感個(gè)人信息與私密信息的交叉部分屬于《民法典》沒(méi)有規(guī)定的內(nèi)容。在《民法典》中，隱私以權(quán)利的形式進(jìn)行規(guī)范，保護(hù)強(qiáng)度高于個(gè)人信息。此時(shí)優(yōu)先適用隱私權(quán)規(guī)定，能更有效地保護(hù)私密信息。然而，在《個(gè)人信息保護(hù)法》中，適用敏感個(gè)人信息的保護(hù)規(guī)范也可能更為有效地保護(hù)交叉部分的私密信息。例如，《個(gè)人信息保護(hù)法》第29條、第30條分別對(duì)敏感個(gè)人信息的特殊告知事項(xiàng)以及單獨(dú)同意/書面同意進(jìn)行了專門規(guī)定，強(qiáng)于《民法典》第1033 條中明確同意的要求。同時(shí)，即便信息處理者取得了有效的單獨(dú)同意，處理行為也可能因?yàn)椴环掀渌ǘㄒ蠖`法。在責(zé)任構(gòu)成上，根據(jù)《個(gè)人信息保護(hù)法》第69條，選擇個(gè)人信息保護(hù)規(guī)范更可適用過(guò)錯(cuò)推定的歸責(zé)方式。若必須優(yōu)先適用隱私侵權(quán)的一般規(guī)定，將起到降低敏感個(gè)人信息保護(hù)的實(shí)際效果，與法律的規(guī)范目的不符。

總的來(lái)說(shuō)，交叉部分的個(gè)人信息受到侵害時(shí)，侵害了雙重法益，既侵害了隱私權(quán)也侵害了個(gè)人信息權(quán)益，由此存在請(qǐng)求權(quán)競(jìng)合。應(yīng)允許信息主體在充分考慮隱私權(quán)與敏感個(gè)人信息保護(hù)的差異后，選擇最優(yōu)的策略提起訴訟。

四、敏感個(gè)人信息保護(hù)的根本路徑：限定處理前提

《個(gè)人信息保護(hù)法》第28條第2款統(tǒng)一規(guī)定了敏感個(gè)人信息處理的前提，作為個(gè)人信息保護(hù)的根本路徑。根據(jù)該條款，具有特定的目的、充分的必要性、采取嚴(yán)格保護(hù)措施三者為并列關(guān)系，只有當(dāng)三個(gè)條件同時(shí)達(dá)成時(shí)，方可處理敏感個(gè)人信息。敏感個(gè)人信息處理的前提條件是在個(gè)人信息處理合法性基礎(chǔ)之上的特殊條件，符合某一項(xiàng)合法性基礎(chǔ)不等于可直接處理敏感個(gè)人信息。即便獲得信息主體單獨(dú)同意或書面同意，若不符合三個(gè)前提條件的任一項(xiàng)要求，亦屬違法處理敏感個(gè)人信息。三個(gè)前提條件是對(duì)目的限制原則、最小必要原則、安全保護(hù)原則的具體化與強(qiáng)化，是《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息處理的特殊限制。

（一）特定的目的

特定目的，是目的限制原則的具體化。根據(jù)《個(gè)人信息保護(hù)法》第6 條，目的限制不僅要求目的的明確、合理，更要求處理目的與個(gè)人信息處理之間具有直接相關(guān)性。域外法中，1980 年經(jīng)合組織《隱私保護(hù)與個(gè)人數(shù)據(jù)跨境流通指南》第9 條最早對(duì)“目的特定化原則”進(jìn)行了規(guī)定。參考這一規(guī)定，目的限制又可具體分為收集階段的目的明確，以及使用階段的使用限制在實(shí)現(xiàn)目的的必要范圍。

具體而言，特定的目的要求敏感個(gè)人信息處理必須基于法律明確規(guī)定或合同明確約定，限于實(shí)現(xiàn)商品或服務(wù)的特定功能。例如，金融服務(wù)提供者為股票交易處理金融賬戶信息；國(guó)家機(jī)關(guān)為疫情防控處理特定類型的醫(yī)療健康信息；游戲廠商為實(shí)現(xiàn)“游戲防沉迷”功能以履行未成年人保護(hù)義務(wù)，處理不滿十四周歲兒童的身份信息；相關(guān)信息處理必須限于這一特定化的目的，不得用于其他目的。信息處理者更不可概括性地以“為提供更好的服務(wù)”為由處理個(gè)人信息。這一要求貫徹敏感個(gè)人信息處理的始終，特定目的變更，應(yīng)重新審查信息處理的合法性基礎(chǔ)。是否符合特定目的，需綜合處理敏感個(gè)人信息的類型、具體的業(yè)務(wù)場(chǎng)景及提供的服務(wù)、信息處理者的法定義務(wù)、約定目的、信息主體與信息處理者的關(guān)系、處理個(gè)人信息的風(fēng)險(xiǎn)、適當(dāng)保護(hù)措施等因素，“結(jié)合實(shí)踐經(jīng)驗(yàn)和一般理性人的標(biāo)準(zhǔn)綜合判斷”。此外，特定目的的要求亦體現(xiàn)在《個(gè)人信息保護(hù)法》第29 至第30 條所規(guī)定的敏感個(gè)人信息處理的告知同意之中，一是在告知事項(xiàng)中需明確告知數(shù)據(jù)處理的目的；二是單獨(dú)同意或書面同意必須針對(duì)特定目的作出，每一個(gè)處理目的都需獲得信息主體同意。

《個(gè)人信息保護(hù)法》通過(guò)前，部分法院并未重視敏感個(gè)人信息處理中的特定目的。在“劉某訴工商銀行侵權(quán)糾紛案中”，劉某在銀行辦理信用卡時(shí)簽署相關(guān)合同約定，銀行有權(quán)“發(fā)送與信用卡有關(guān)的信息”，隨后劉某收到銀行發(fā)送的廣告信息。一審法院認(rèn)為，應(yīng)對(duì)信息處理目的進(jìn)行限縮解釋，排除“發(fā)送商業(yè)性短信”等非合理信息利用目的。二審法院改判認(rèn)為，發(fā)送相關(guān)廣告有合同依據(jù)。在《個(gè)人信息保護(hù)法》第28條第2款的視角下，案涉合同并沒(méi)有對(duì)金融賬戶信息處理目的進(jìn)行特定化，該類敏感個(gè)人信息處理行為應(yīng)屬違法。必須明確金融賬戶信息的處理目的是實(shí)現(xiàn)合作具體的業(yè)務(wù)功能，例如身份確認(rèn)、余額變動(dòng)、消費(fèi)提醒等。

（二）充分的必要性

充分的必要性是最小必要原則的體現(xiàn)與強(qiáng)化，與特定的目的緊密關(guān)聯(lián)。我國(guó)個(gè)人信息保護(hù)制度始終堅(jiān)持“合法、正當(dāng)、必要”原則，《個(gè)人信息保護(hù)法》第6 條亦指出，信息處理的目的不僅需要符合明確性、合理性、相關(guān)性的要求，還應(yīng)“采取對(duì)個(gè)人權(quán)益影響最小的方式”“收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍”?！禔pp違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《常見(jiàn)類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》等規(guī)定均對(duì)個(gè)人信息處理的必要性作出了具體要求。一般認(rèn)為，最小必要原則對(duì)于個(gè)人信息處理至少有類型最少、數(shù)量最少、期限最短，以及充足、相關(guān)、不過(guò)量的要求。

最小必要原則的核心功能在于防止無(wú)限制的個(gè)人信息處理，由于敏感個(gè)人信息處理對(duì)應(yīng)著較高的風(fēng)險(xiǎn)，相關(guān)信息處理“應(yīng)當(dāng)保持最大的克制”，處理的必要性必須達(dá)到充分的程度。簡(jiǎn)單來(lái)說(shuō)，充分的必要性，即若不處理敏感個(gè)人信息亦能實(shí)現(xiàn)特定的處理目的，則不可對(duì)敏感個(gè)人信息進(jìn)行處理；若特定的處理目的已經(jīng)實(shí)現(xiàn)，則應(yīng)及時(shí)刪除敏感個(gè)人信息。與一般個(gè)人信息處理的最小必要不同，敏感個(gè)人信息處理的充分必要性不可克減。最小必要原則適用范圍限于利益減損型的個(gè)人信息處理行為，若信息處理目的在于增進(jìn)信息主體的利益，則難以適用；而敏感個(gè)人信息處理活動(dòng)風(fēng)險(xiǎn)較高，始終適用最小必要的限制。此外，部分規(guī)范性文件、國(guó)家標(biāo)準(zhǔn)中亦對(duì)敏感個(gè)人信息處理的必要性進(jìn)行了規(guī)定。例如，《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第9 條第2 款指出：“汽車數(shù)據(jù)處理者具有增強(qiáng)行車安全的目的和充分的必要性，方可收集指紋、聲紋、人臉、心率等生物識(shí)別特征信息?！薄禔pp收集使用個(gè)人信息最小必要評(píng)估規(guī)范：人臉信息》（T/TAF 077.7-2020）第6.1 條、6.2 條、6.3 條分別規(guī)定，“收集人臉信息應(yīng)遵循‘最小必要’原則”“應(yīng)只存儲(chǔ)滿足人臉信息主體授權(quán)同意的目的所需的最少人臉信息”“應(yīng)僅對(duì)業(yè)務(wù)所需的最小人臉信息進(jìn)行傳輸”。

具體而言，應(yīng)通過(guò)比例原則對(duì)充分的必要性進(jìn)行檢驗(yàn)。比例原則包括適當(dāng)性原則、必要性原則與均衡原則?；谶m當(dāng)性原則，在“目的-手段”的關(guān)系中，敏感個(gè)人信息處理必須是實(shí)現(xiàn)特定處理目的的正確手段?；诒匾栽瓌t，信息處理者必須充分考慮其他風(fēng)險(xiǎn)較小的替代措施，若有可能通過(guò)其他方式合理地實(shí)現(xiàn)相同或類似結(jié)果，那么敏感個(gè)人信息的處理就是不合比例的?；诰庠瓌t，敏感個(gè)人信息處理所實(shí)現(xiàn)的利益應(yīng)優(yōu)于信息處理對(duì)公民權(quán)利的減損。僅憑實(shí)現(xiàn)正當(dāng)商業(yè)利益、維護(hù)社會(huì)公共利益、保護(hù)信息主體與他人合法權(quán)益，均不足以證成充分的必要性。在比例原則的利益衡量中，應(yīng)根據(jù)《個(gè)人信息保護(hù)法》第55 條第1 項(xiàng)進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，平衡信息處理者的利益、個(gè)人的權(quán)利和社會(huì)的公共利益。域外法中，亦認(rèn)可通過(guò)比例原則對(duì)必要性進(jìn)行檢驗(yàn)。2019 年“瑞典GDPR 處罰第一案”中，瑞典數(shù)據(jù)保護(hù)局指出，學(xué)校采用人臉識(shí)別進(jìn)行考勤不符合比例原則，而應(yīng)采取對(duì)學(xué)生個(gè)人信息權(quán)益侵害更小的其他方式實(shí)現(xiàn)考勤目的。

實(shí)踐中，敏感個(gè)人信息處理不符合充分必要性的表現(xiàn)多種多樣。例如，對(duì)宗教信仰信息的采集，在絕大多數(shù)情形中均毫無(wú)必要，只有宗教組織、政治組織才有必要處理此類敏感個(gè)人信息。新冠肺炎疫情防控期間，各地監(jiān)控碼采集的個(gè)人信息范圍不一，亦表明某些地區(qū)的健康信息采集不符合充分的必要性要求。此外，醫(yī)療機(jī)構(gòu)收集患者健康信息，脫離分析病情的特定目的，提供給保險(xiǎn)機(jī)構(gòu)用以評(píng)估投保資格、測(cè)算保險(xiǎn)費(fèi)率；教育培訓(xùn)機(jī)構(gòu)收集未成年人的學(xué)校、民族、家庭住址、父母工作單位信息等信息處理行為均不具有必要性，亦屬于違法處理敏感個(gè)人信息。

（三）采取嚴(yán)格保護(hù)措施

由于敏感個(gè)人信息處理中權(quán)益受侵害的風(fēng)險(xiǎn)較高，為實(shí)現(xiàn)充分保護(hù)效果，必須采取嚴(yán)格保護(hù)措施。本質(zhì)上，嚴(yán)格保障措施屬于敏感個(gè)人信息處理中的“必要措施”，是《個(gè)人信息保護(hù)法》第9條的具體化，強(qiáng)調(diào)敏感個(gè)人信息處理中對(duì)保護(hù)措施的要求更加嚴(yán)格。GDPR中也存在適當(dāng)保障措施與保障措施的兩個(gè)概念，一般認(rèn)為二者難以明確區(qū)分，處理者應(yīng)根據(jù)個(gè)人信息保護(hù)的基本原則，結(jié)合處理目的和數(shù)據(jù)的敏感性而采取相關(guān)保護(hù)措施。See Christopher Kuner,Lee A.Bygrave,Christopher Docksey,,Oxford University Press,2020,p.382.對(duì)于《個(gè)人信息保護(hù)法》第28條第2款的嚴(yán)格保障措施亦是如此。與敏感信息定義所關(guān)注的泄露或非法使用后造成的影響不同，嚴(yán)格保護(hù)措施采取事前預(yù)防的視角，防范的是敏感信息被泄露或非法使用，必須根據(jù)具體應(yīng)用場(chǎng)景予以判斷?！秱€(gè)人信息保護(hù)法》第51 條即規(guī)定6項(xiàng)保護(hù)措施前指出，“應(yīng)當(dāng)根據(jù)個(gè)人信息的處理目的、處理方式、種類以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等”，采取相關(guān)保護(hù)措施。與我國(guó)類似，德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》（BDSG）第22條第2款規(guī)定，特殊類型個(gè)人數(shù)據(jù)處理的保護(hù)措施應(yīng)“考慮到技術(shù)水平、實(shí)施成本和處理的性質(zhì)、范圍、背景和目的，以及處理對(duì)自然人的權(quán)利和自由所造成的不同可能性和嚴(yán)重性的風(fēng)險(xiǎn)”。此外，根據(jù)《個(gè)人信息保護(hù)法》第55條第1項(xiàng)與第56條第1款第3項(xiàng)，信息處理者應(yīng)當(dāng)在處理敏感個(gè)人信息之前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，在評(píng)估中判斷保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。

具體而言，借鑒我國(guó)臺(tái)灣地區(qū)“個(gè)人資料保護(hù)法施行細(xì)則”與美國(guó)《健康保險(xiǎn)流通與責(zé)任法案》（HIPAA）的相關(guān)規(guī)定，可以將保障措施分為物理措施、技術(shù)措施、組織措施三類，以進(jìn)一步對(duì)嚴(yán)格保護(hù)措施進(jìn)行解讀。第一，物理措施主要包括，境內(nèi)存儲(chǔ)、分開(kāi)存儲(chǔ)等物理隔絕措施，以及針對(duì)存儲(chǔ)介質(zhì)安全性能的安全措施。例如，“個(gè)人信息安全規(guī)范”第5.6條第b項(xiàng)即指出，應(yīng)將生物識(shí)別信息的原始信息和摘要分開(kāi)存儲(chǔ)，或僅收集、存儲(chǔ)、使用摘要信息。第二，就技術(shù)措施而言，《個(gè)人信息保護(hù)法》第51 條第3項(xiàng)所述的加密、去標(biāo)識(shí)化是最為典型的技術(shù)措施?！秱€(gè)人金融信息保護(hù)技術(shù)規(guī)范》第6.1條更是分別對(duì)彈窗機(jī)制、交互界面設(shè)計(jì)、屏蔽措施、安全通道、身份鑒別和認(rèn)證技術(shù)、數(shù)據(jù)加密、密碼算法配置、密鑰管理、去標(biāo)識(shí)化、匿名化等多種技術(shù)措施進(jìn)行了規(guī)定。第三，組織措施指向《個(gè)人信息保護(hù)法》第51 條所列舉的管理制度、操作規(guī)程、教育培訓(xùn)、應(yīng)急預(yù)案等內(nèi)容?！峨娦藕突ヂ?lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第13 條、“個(gè)人信息安全規(guī)范”第11.6 條、《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》第6.1.1 條第a 項(xiàng)等規(guī)定均針對(duì)敏感個(gè)人信息處理的組織措施進(jìn)行了規(guī)定。歸根結(jié)底，在具體的應(yīng)用場(chǎng)景中，應(yīng)充分結(jié)合物理措施、技術(shù)措施、組織措施，以符合嚴(yán)格保護(hù)措施的要求。

結(jié)語(yǔ)

敏感個(gè)人信息保護(hù)必將成為個(gè)人信息保護(hù)執(zhí)法與司法的重點(diǎn)難點(diǎn)。20世紀(jì)歐洲的歷史表明，濫用敏感個(gè)人信息可能帶來(lái)侵害人權(quán)的嚴(yán)重后果，甚至催生了種族屠殺的惡果。我國(guó)敏感個(gè)人信息制度更是超越了西方國(guó)家的歧視標(biāo)準(zhǔn)或基本權(quán)利造成重大風(fēng)險(xiǎn)標(biāo)準(zhǔn)，廣泛關(guān)注自然人的人格尊嚴(yán)以及人身、財(cái)產(chǎn)安全，維護(hù)人民群眾基本福祉?！秱€(gè)人信息保護(hù)法》第28條是我國(guó)個(gè)人信息保護(hù)法律制度的邏輯起點(diǎn)。圍繞這一條款，本文以法教義學(xué)的分析視角對(duì)敏感個(gè)人信息的判定標(biāo)準(zhǔn)、敏感個(gè)人信息與私密信息的關(guān)系、敏感個(gè)人信息的處理邏輯等基本問(wèn)題進(jìn)行了回應(yīng)，通過(guò)對(duì)敏感個(gè)人信息保護(hù)制度的解釋與完善，最終服務(wù)于個(gè)人信息保護(hù)水平的全面提升。