王 鵬 鵬

(華東理工大學 法學院， 上海 200237)

一、問題的提出

全國人大常委會頒布的《關于加強網絡信息保護的決定》(2012)第1條將個人信息區(qū)分為“能夠識別公民個人身份的信息”和“涉及公民個人隱私的電子信息”?！蹲罡呷嗣穹ㄔ宏P于審理利用信息網絡侵害人身權益民事糾紛案件的法律若干問題的規(guī)定》(2014)第12條采取“列舉+兜底”的方式將個人信息區(qū)分為隱私信息和一般信息?！毒W絡安全法》(2017)第76條就對“個人信息”進行了區(qū)分界定，即“能夠單獨識別”和“與其他信息結合進行識別”特定主體的身份信息，并且還用列舉的方式進行了具體描述。我國《民法總則》第111條僅僅是強調“自然人的個人信息受法律保護”，但是并沒有對個人信息進行區(qū)分界定。

《中華人民共和國民法典》(簡稱《民法典》)將個人信息納入人格權予以保護。《民法典》將“隱私權”與“個人信息”并列設置。然而，《民法典》不到10條的條文設置并不足以周全地保護個人信息，需要更為深入地研究和探討。而且，《民法典》并沒有從私法的角度有效地區(qū)分信息的敏感程度，從而予以不同程度的保護。在民法典編撰的過程中，對于個人信息是否需要進行區(qū)分保護，還存在分歧。理論上，有學者認為應該強化對個人信息的保護，并不應該區(qū)分信息的具體的類型[1]。也有學者認為應該要區(qū)分為一般信息和敏感信息，對于個人信息也要進行區(qū)分保護[2]。盡管《個人信息保護法》已經頒布實施，但并沒有對敏感信息的保護路徑進行設計。在司法實踐中，由于對個人信息的界定并不明確，不同法院的認定也存在較大差異。2017年5月，最高人民法院發(fā)布了7個侵犯個人信息的典型案例，就將戶籍信息、手機定位、住宿記錄、征信信息、訂單信息等認定為個人信息[3]?？傊睹穹ǖ洹纷鳛閭€人信息私法保護的重要依據，沒有對個人信息進行區(qū)分界定,這不利于私法對個人信息的精準保護。

個人信息的區(qū)分界定是私法區(qū)分保護的基礎。個人信息私法的區(qū)分保護就需要在私法上對個人信息進行有效區(qū)分，對二者進行準確界定。同時，以個人信息的準確界定為基礎，對個人信息的保護進行精細化的區(qū)分，以構建差別化的保護機制，平衡信息主體和信息利用者之間的利益[4]。因此，對于個人敏感信息與一般信息的界分、具體認定以及個人信息的區(qū)分保護路徑選擇等問題的研究就顯得非常有意義。

二、個人信息的區(qū)分：敏感信息與一般信息

個人信息作為民事法律的客體，需要在法律上進行準確的界定。按照敏感程度不同，個人信息可以區(qū)分為敏感信息和一般信息。盡管我國《民法典》已經將“個人信息”與“隱私權”進行并列設置，但并沒有對個人信息進行進一步細化區(qū)分，并不利于個人信息私法上的精準保護。筆者認為，個人信息根據敏感程度不同，對個人一般信息與敏感信息進行區(qū)分保護，不僅可以對個人信息進行基準保護，而且還可以避免在理論或者實踐中的混亂。

1.個人信息區(qū)分的私法缺失

個人信息作為法律保護的新興客體，在公法和私法領域都要予以保護。我國目前初步構建了個人信息保護的刑法、行政法以及民法的保護理念，由于公法與私法在立法技術上有所不同，因此在模式上也有所區(qū)別。

個人信息的刑法保護主要圍繞侵犯公民個人信息罪展開。《刑法》第253條規(guī)定了侵犯公民個人信息罪，同時，《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(2017)(簡稱《司法解釋》)第1條對公民個人信息進行了界定。此外，《司法解釋》還用列舉的方式，將姓名、身份證號碼等認定為是公民個人信息?！端痉ń忉尅穼τ趥€人信息的界定是為了準確適用“非法侵犯公民個人信息罪”，而該罪的構成屬于結果犯，構成要件為“情節(jié)嚴重”。刑法上對于個人信息保護的法益較高，并且還要符合特定的行為模式且造成嚴重的法律后果才能構成犯罪[5]?？傊端痉ń忉尅分袑τ诠駛€人信息的認定并不是私法上所保護的個人信息。

個人信息保護的行政法保護則是通過行政監(jiān)管展開。《網絡安全法》第76條對個人信息也進行了界定。與《司法解釋》的規(guī)定相比，《網絡安全法》中對于個人信息則刪除了“反映特定自然人活動情況的各種信息”，更加強調特定主體的身份信息，并且在具體類型上特別列舉了“個人生物識別信息”。違反《網絡安全法》所引起的不利后果，如責令改正、警告、罰款等具體方式，體現了強烈的行政責任的色彩?！毒W絡安全法》主要調整的監(jiān)管部門與政府部門之間的法律關系，集中規(guī)定網絡安全、信息公開等相關信息，并無法解決對個人信息侵犯所引起的侵權責任承擔的問題[6]。同時，《網絡安全法》第74條只是籠統(tǒng)地規(guī)定違反本法給他人造成損害的應當依法承擔民事責任，并沒有對民事責任的具體承擔進行規(guī)定。

《民法典》從私法的角度對個人信息進行了界定，但并沒有依照敏感程度對個人信息進行區(qū)分。相較于刑法、行政法等剛性的公法手段，民法作為私法手段應該更顯柔和?！睹穹ǖ洹返?034條第1款規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！睆牧⒎夹g上看，該條文是采用了“定義+列舉”的方式對個人信息進行了界定。該條對于個人信息的界定是以刑法的法益保護為基礎，在外觀上是以“電子或者其他形式記錄的”，在結果上則是“識別特定自然人身份或者反映特定自然人活動情況”，而在手段上則是“能夠單獨或者與其他信息結合識別”。然而，《民法典》也未按照敏感程度進行區(qū)分，而是籠統(tǒng)地予以一體保護?！耙话阈畔ⅰ迸c“敏感信息”的一體保護，無法實現個人信息的精準保護。我國在公法領域對于個人信息進行相對充分的保護，但在私法領域則較為薄弱。盡管《民法典》相較于《民法總則》更為成熟與全面，但沒有對個人信息私法保護中的特定主體與使用者之間的權利義務進行展開，更沒有對個人信息進行區(qū)分的精細化保護。

2.個人信息區(qū)分的私法價值

個人一般信息與敏感信息的區(qū)分的目的在于對個人信息進行更加精準的保護。從法律價值上看，對一般信息與敏感信息的區(qū)分保護不僅能夠有效地減少保護的成本，而且還能夠促進信息的流通。對個人信息更加精準的保護，在隱私權保護以及個人信息的合理流通方面都有重要的價值。

個人信息并不屬于公共資源，商業(yè)主體只能在合理的范圍內對個人信息進行使用。個人信息因敏感程度不同，而被區(qū)分為敏感信息與一般信息。一方面，敏感信息與一般信息的來源不同。敏感信息的搜集需要信息主體同意授權，如學歷信息、婚姻信息、健康信息等；而一般信息并不需要經過信息主體的允許，部分信息通過觀察就可以獲得。如信息主體的身高、性別、膚色等信息。另一方面，敏感信息與一般信息的法律屬性不同。敏感信息帶有強烈的隱私屬性，需要進行強化保護；而一般信息更多的是描述性信息，并不指向信息主體的私領域。由于敏感信息與一般信息的來源以及隱私屬性不同，法律在保護程度上應該也有所區(qū)別。敏感信息需要事前重點保護，而一般信息只有在發(fā)生損害的情況下才需要予以賠償救濟。

個人一般信息與敏感信息的區(qū)分有利于實現精準保護。由于個人信息的敏感程度不同，對商業(yè)主體在個人信息的使用過程中也有不同的要求。隨著移動終端設備的普及，特定主體的很多消息都將被記錄。信息主體因個人社交、工作以及生活的需要，將提供姓名、電話、辦公地址乃至身份證號碼等諸多信息。這些信息在合理的范圍內被使用，將有效提高效率，并無法被認定為是敏感信息。信息利用者所獲得的這些信息都是特定主體自愿提供的，并且同意其使用此類信息。相反，特定的敏感信息不僅影響個人的生活，而且還將對生活的安寧造成威脅，如健康病歷、犯罪記錄以及性取向等信息，甚至造成不必要的社會歧視[7]。因此，對于個人一般信息和敏感信息的區(qū)分，有助于在信息處理的技術、法律上對敏感信息提供更加嚴格的保護。

個人一般信息與敏感信息的區(qū)分有利于隱私權的周延保護。并不是所有的個人信息都可能對特定主體的人身和財產安全產生威脅。個人信息承載著特定主體的隱私，個人信息公開與隱私權的保護存在天然的沖突。但從私法的角度看，只有敏感信息泄露才會對特定主體的隱私造成侵害，而個人的一般信息則并不會產生影響。從個人信息區(qū)分保護的角度看，個人的一般信息并沒有侵害特定主體的隱私，而敏感信息的泄露則會對個體隱私權的保護帶來挑戰(zhàn)。個人信息的承載量以及所指向的客觀狀態(tài)，是決定信息敏感度的重要標準，也是區(qū)分一般信息和敏感信息的重要因素。

個人一般信息與敏感信息的流通也需要進行區(qū)分規(guī)制。個人信息在流通中將匯聚形成大數據，具有直接的商業(yè)利用和公共管理價值。但是，個人信息的共享流通與個人隱私權的保護之間也存在沖突。若強化對個人信息的絕對保護，將不利于個人信息的共享流通，也阻礙個人信息的商業(yè)利用價值與公共管理價值的產生。對于個人信息的合理利用，需要平衡個人信息共享流通與隱私權保護。從目前的實踐來看，個人信息共享流通與隱私權保護的平衡機制的結合點在于“通知—同意”的程序技術設計。然而，個人的一般信息是可以通過簡單的觀察便可以記錄，苛求被觀察者的同意，顯然是不現實的。對于敏感信息的采集和利用，僅僅是獲得被觀察者的同意就可以無限制的使用，顯然也是不合理的?！巴ㄖ狻钡暮唵纬绦蛟O計，特別是在互聯網設備上無提示的操作，削弱了特定主體對隱私權自我管理的功能[8]。不僅如此，對個人信息不區(qū)分為一般信息與敏感信息也使得隱私同意條款顯得無比的冗長復雜，不但增加了特定主體同意的成本，而且也提高了信息采集者的合規(guī)成本，嚴重阻礙了個人信息的有序流通，極大地影響了信息所產生的價值。

三、個人信息區(qū)分的私法認定：模式與標準

我國《民法典》僅僅是對個人信息進行了界定，并沒有對“一般信息”與“敏感信息”進行進一步闡釋和區(qū)分，這就需要在理論上予以厘清。

1.個人信息區(qū)分的私法模式

個人信息依照對特定主體威脅以及敏感程度不同區(qū)分為一般信息和敏感信息。從外延和內涵看，一般信息與敏感信息組成了個人信息的全部，而敏感信息則明顯小于個人信息的范疇。在立法技術上，應該首先圈定敏感信息的范疇，然后除去敏感信息則為一般信息。因此，對于敏感信息的認定就顯得格外的重要。從域外法來看，對于個人敏感信息的界定主要有列舉模式、情境考量模式以及目的考量模式。

列舉模式主要是對敏感信息的抽象提取出具體特征，并且通過列舉的方式予以進一步闡釋。在立法技術上，敏感信息的特征被歸納為“對自由和隱私造成損害”、“引發(fā)不當的歧視”或者“影響到生活安寧”等[9]。目前，對于個人敏感信息采取列舉的方式予以界定是立法主流，英國、比利時、法國、德國等國家均采取此種方式對敏感信息予以定義[10]。列舉模式對個人的一般信息與敏感信息進行界分的優(yōu)點在于可以明確地認定敏感信息，而缺點則在于無法窮盡地列舉敏感信息的全部。

情境考量模式并不否認對敏感信息的界定，但是其更加關注個人信息所使用的情境。個人信息在不同情境下使用，對個人隱私權會造成不同的侵犯危險。如姓名和電話等信息，在正常的社交或者求職活動中，特定的主體是主動披露的；但是在非正常社交活動中，姓名和電話信息的不當使用將造成對特定主體生活安寧的影響。因此，有學者就認為對個人信息隱私權的侵害，并不是信息的內容，而是信息所使用的情境[11]。在美國等一些國家，則極力倡導情境理念，賦予裁判者更多的裁量權。從理論上講，通過具體的情境對私密信息進行判斷，將更加有利于對私密信息的準確界定。但是通過具體的情境來界定個人敏感信息，則會給司法裁判者較大的裁量權，并不利于裁判的統(tǒng)一。

目的考量模式主要考量的是信息使用者的使用目的。即便是相同的信息，由于使用目的不同也會產生不同的敏感性。該模式主要考量的是使用人在使用信息的態(tài)度，而不是信息本身[12]。例如，病人可以通過提供自己的血液或者DNA信息給醫(yī)院，用于診斷疾病。但是，投保人若將上述信息提供給保險公司，保險公司則用于排查相應的疾病風險，將導致保險人的逆向選擇的產生，不利于保護投保人利益?？梢?，盡管提供同樣的信息，但使用目的的不同，個人信息將被區(qū)分為不同的信息。目的考量說更加注意信息運用的結果，并不在意信息的使用過程。一般信息被用作特定目的時，也將被認定為敏感信息。

關于個人一般信息與敏感信息區(qū)分的模式，無論是列舉的方式，還是情境考量、目的考量，都為個人信息的區(qū)分保護提供了基礎。由于通過具體的列舉個人敏感信息存在滯后性，在界分個人一般信息和敏感信息時失效，進而才催生出“情境考量模式”和“目的考量模式”來判定區(qū)分個人信息[13]。我國《個人信息保護法》第28條采用“列舉+目的”的雙重模式界定了敏感信息。在敏感信息的目的考量中主要以“導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害”為標準，還列舉了“生物識別、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡”等具體的信息類型。因此，“情境考量模式”“目的考量模式”對于信息收集的目的、條件以及使用結果，都應該予以綜合考慮，進而判定信息的敏感程度。單獨適用列舉模式、情境考量模式，或者是目的考量的模式，都無法周全地區(qū)分個人一般信息與敏感信息，應該綜合運用上述模式予以認定。

2.個人信息區(qū)分的私法標準

無論如何去列舉敏感信息的具體類型，都無法窮盡全部。該模式在明確敏感信息范圍的同時，也造成了類型的僵硬。同時，情境考量模式、目的考量模式則是事后裁判者對于個人信息的具體判斷，并無法事先進行私法界定。個人敏感信息的界定需要通過具體的要素予以確定，并且應該予以明確。從個人信息的私法區(qū)分保護的角度出發(fā)，個人敏感信息可以從實然的損害結果發(fā)生與應然的敏感程度上予以認定。

(1)實然性：個人信息損害結果發(fā)生的概率

個人信息的披露是否會造成損害結果的發(fā)生，是區(qū)分一般信息和敏感信息的重要考量因素。一般信息的披露不僅不會對個人造成影響，而且還會改善個人的社會活動關系，如在社會交往中相互交換的信息。從實然性的角度出發(fā)，個人一般信息的披露，對特定主體產生損害的可能性較小。個人一般信息被披露之后，經正常合理的使用將會產生積極的效益。然而，個人一般信息的不正當使用，同樣也會對信息主體產生損害。商業(yè)主體不當地使用個人的一般信息，將被認為存在惡意。因此，損害結果發(fā)生的概率是一般信息與敏感信息區(qū)分的重要因素。

個人敏感信息的披露則會對特定主體造成損害。所謂的“敏感”是個人信息對外部環(huán)境的高度反應，會對特定主體的人身和財產安全造成損害。沒有損害造成的可能性，就很難將個人信息認定為敏感信息。損害發(fā)生的可能性，是對特定主體發(fā)生的不利[14]。不利，并不意味著損害已經發(fā)生，對于損害可能發(fā)生或者將要發(fā)生，也需要從法律上予以防范。從信息保護的角度上看，對于因個人敏感信息已經發(fā)生的損害，法律就需要填補損失；而對于可能造成的損害，法律可以通過保護機制的設定予以防范。

個人敏感信息造成的損害可以是財產性損害，也可以是非財產性損害?！秱€人信息保護法》第28條所界定的損害包括人格尊嚴和財產安全。其中，人格尊嚴的損害，就是非財產性損害；而財產安全的損害，是可以通過賠償的方式予以填補的。從目前的司法實踐來看，敏感信息的泄露造成的非財產性損害，如精神損害、名譽損害等情況更為常見。個人敏感信息的泄露的直接后果是對特定主體的生活秩序、人身安全造成直接的影響，表現為對個人的名譽、社會的評價以及經濟利益的侵害。因此，對于敏感信息就有必要進行更為嚴格的保護。實踐中，基因生物信息、金融信息以及個人行為軌跡之所以能夠被認定為敏感信息，原因就在于此類信息的泄露會造成重大傷害。例如，保險公司可以通過篩選基因生物信息的缺陷，拒絕特定主體投保。再如，黑客等不法人員可以通過金融信息，盜取信息主體的金融賬戶，進而危害財產安全。

個人敏感信息的泄露不僅可能造成實質性損害(財產性損害和非財產性損害)，而且還可能造成不必要的影響。敏感信息泄露會對就業(yè)、交流等問題造成實質性的影響。如個人的健康信息、戀愛信息以及存款信息等都可能對特定主體帶來不必要的社會障礙。例如，女性在求職過程中因婚姻信息的不當披露，而對就業(yè)產生影響；再如由于銀行存款的多寡，在金融機構所享受的服務待遇的區(qū)別。這些信息的不當泄露，并不會對信息主體造成實質的損害，如財產損害，但卻造成了不必要的影響。此外，由于網絡技術的發(fā)展和信息傳遞速度加快，此類信息的不當傳播將對信息主體造成損害。因此，將引起不必要影響的信息也應該被認定為敏感信息。

總之，對個人敏感信息的認定，主要在于保護特定主體的人格尊嚴和自由，但敏感信息在不同的背景下，有不同的解釋。敏感信息的認定是非常主觀的概念，很難有客觀的標準。由于敏感信息對于特定主體所造成的傷害，在主觀上也是存在區(qū)別的。

(2)應然性：個人信息的“敏感性”的考量

個人敏感信息與一般信息區(qū)分的主要標準就是“敏感性”。敏感性作為主觀考量因素，在情感上無法進行統(tǒng)一界定。但是，法律卻是可以通過社會不特定的多數人對個人信息的“敏感性”認識進行界定。筆者認為，個人信息的敏感性可以從以下幾個因素予以綜合考慮。

個人信息的“敏感性”可以通過識別度予以指向。個人信息首先應該是依附于不同的主體，才可以判斷敏感程度如何。不同的主體對于信息敏感性的容忍程度是不一致的，如娛樂明星可以通過曝光自己的婚戀信息，達到博取公眾關注的目的。相反，普通大眾對自己婚否的信息并沒有主動曝光披露的動力，并且會格外地保護此類信息。因此，個人信息的敏感性就需要首先去識別信息指向的主體。從公法上看，個人信息的識別程度的要求可以是“能夠單獨或者與其他信息結合識別”。在私法上，個人信息的識別程度應該限縮解釋為“單獨識別身份的信息”，即強識別信息。個人信息的邊界被無限擴大到“可間接識別”時，幾乎所有的信息都有可能被納入保護的范圍，這顯然并不合理。個人信息被識別指向特定的主體后，才能進行判斷是否屬于敏感信息。概言之，個人信息的強識別性是敏感信息判斷的前提。

個人信息的“敏感性”可以通過危險性進行判定。個人敏感信息對于特定主體的人身和財產所造成的危險發(fā)生的概率非常大。無論是個人的一般信息還是敏感信息，在一定程度上都可能對特定的主體造成危險，只是危險發(fā)生的概率不同。個人一般信息對特定主體造成危險的概率較低，如社交場合交換名片上所承載的信息，盡管也可能對特定主體造成危險，但是發(fā)生的概率并不高。然而，個人敏感信息對于特定主體的內心安寧將產生巨大的潛在威脅。當個人敏感信息的掌握者，將基他個人敏感信息予以披露，就會影響特定主體的內心安寧。個人敏感信息所引發(fā)的危險，可以表現為身體、物質上的實質傷害，也可以是對內心平靜的威脅。這類傷案在類型上可以表現為對個人聲譽的貶低、引起不必要的歧視以及造成不必要的輿論壓力等。概言之，個人敏感性可能誘發(fā)不特定的危險產生。

個人信息的“敏感性”是基于社會不特定公眾的認知。個人信息的敏感性是社會大眾對具體信息的認知，并不應該以特定主體的主觀感受為判斷的標準。個人信息區(qū)分保護的目的在于保障人格尊嚴和平等自由，當不特定多數的人認為該信息對于此種目的造成影響時，則可被認定為信息的敏感性。個人信息的敏感性是建立在不特定多數認知上，不能僅僅顧及特定主體的心理感受。盡管不同區(qū)域、不同的文化以及不同社會群體對個人信息的敏感程度認知有所不同，但由于個人情感的相通性而又表現出一定的趨同性[15]。因此，對于個人信息敏感性的判斷也應該結合特定的區(qū)域、文化以及群體等多種因素。

綜上所述，個人信息敏感性是主觀感受，但可以通過客觀標準予以評價。個人信息的敏感性判定是區(qū)分一般信息和敏感信息的應然性標準，并且完成了兩種不同信息的理論性描述有利于個人信息的區(qū)分。個人敏感性信息的應然性描述對于實然性的判斷具有重要的意義，不僅可以完善理論上的建構，而且還可以指導司法的裁判。

四、個人信息區(qū)分保護的私法路徑

個人信息被區(qū)分為敏感信息和一般信息之后，其保護的路徑也應該有所區(qū)別。個人信息區(qū)分的目的就在于實現更加精準的保護，從而實現信息保護的經濟與效率。敏感信息對信息主體的生活安寧、人身安全以及財產安全將造成更為直接的影響，需要延展到事前予以保護；而一般信息并不會對信息主體的生活安寧造成影響，只有在發(fā)生損害的時候才需要進行事后救濟。需要強調的是，敏感信息的事前隱私防御性保護機制的構建，并不排斥事后的侵權損害填補救濟。因此，法律上對敏感信息與個人信息的保護應該作區(qū)分性的保護規(guī)定。

1.敏感信息：隱私權的事前保護機制

敏感信息能夠對特定主體的生活安寧、財產以及人身安全造成直接的影響。敏感信息給特定主體所帶來危險是潛在的，并不必然會發(fā)生。但是，敏感信息對特定主體將會造成巨大的心理壓力。特定主體在如此巨大的心理壓力的陰影下，將對個人的生活造成極大的影響。

(1)個人敏感信息與隱私權的契合

隨著社會進步和技術發(fā)展，隱私權的范疇不斷擴展。隱私權已經從傳統(tǒng)的特定主體對自我保護擴展到自我控制。隱私權也被認為是特定主體對個人信息向他人合理披露的權利，從而發(fā)展出“信息隱私權”的理念[16]。敏感信息則對個人的生活安寧造成直接的影響。隱私權的范疇已經擴展到敏感信息的邊緣。

個人敏感信息與隱私權高度契合。個人敏感信息是信息主體不愿意被不特定的多數人知道的信息，一旦該信息被不當地披露，將對個人的生活安寧造成重大的影響。隱私信息也是如此，特定主體也不愿自己的信息被不特定的多數人所掌握。在公民個人隱私意識不斷崛起的今天，特定主體愈發(fā)地重視對隱私權的保護。特定主體對于隱私權保護的重視直接體現于不希望不特定的多數人知悉甚至掌握自己的敏感信息，從而對生活的安寧產生潛在的危險。個人敏感信息的法律保護，就是希望通過法律的介入，從而消除這種不確定的潛在危險。

個人敏感信息可以通過隱私模式予以保護。敏感信息不僅已經標識出特定主體的身份，而且也指向了信息主體的隱私領域。如姓名本身是為社會交往提供方便，但是超出了必要的使用范圍或者合理使用的限制，將被隱私權所包容。個人敏感信息通過隱私權予以保護，是以隱私權的事前保護機制為核心予以構建的。隱私權保護模式的最大特點就在于并不要求造成實質性的損害，而僅僅是對特定主體的隱私利益造成直接或間接的影響，法律就可以予以保護。個人敏感信息的隱私權保護模式正是通過事前保護機制，對其進行特殊的保護。

總之，隱私權的范疇不斷擴展，并且與個人敏感信息存在高度契合性。在個人敏感信息與隱私權不斷融合的過程中，個人敏感信息可以通過隱私權的模式予以保護。

(2)個人敏感信息事前保護機制的進路

個人敏感信息的保護是以隱私權保護為基礎構建的。我國《民法典》第1034條強調個人私密信息，可以適用隱私權的規(guī)定，這為個人敏感信息的保護提供了具體的進路。

個人敏感信息的隱私權事前保護機制在各國司法實踐中也都有體現。我國《民法典》通過私密信息適用于隱私權的路徑，就是一個實證?！睹穹ǖ洹返?032條對隱私進行了界定，認為隱私可以保障私人的生活安寧，具體的內容包括私密空間、私密活動以及私密信息。可見，敏感信息僅僅是隱私的一種具體表現類型。在隱私權的法律保護上，《民法典》也特別強調任何人都不得以“刺探、侵擾、泄露、公開”的方式侵害特定主體的隱私權。私密信息屬于隱私權的具體表現類型，當然也不可以通過上述方式對私密信息進行侵害。之所以要特別強調個人私密信息參照隱私權的模式予以事前保護，特別是禁止任何主體對個人私密信息進行事前的“刺探、侵擾、泄露、公開”，目的在于強調個人敏感信息的特殊性以及事前保護的重要性。

個人敏感信息隱私權事前保護模式與事后的侵權保護機制，并不存在沖突和矛盾。之所以強調個人敏感信息需要通過隱私權提供事前的保護模式的原因，在于個人敏感信息具有私密性，對特定信息主體的生活安寧、財產安全都會產生影響。當特定主體私密信息的事前防范機制失效或者無法有效保護信息主體的隱私權時，就需要通過事后的侵權路徑予以救濟。在《民法典》人格權編中關于“個人信息”的保護也是采用此種方式，即私密信息適用隱私權的相關規(guī)定，當隱私權沒有相關規(guī)定的時候，則適用個人信息的一般規(guī)定。當信息主體因個人私密信息產生損害時，就可以通過侵權責任路徑予以填補。

個人敏感信息通過隱私的事前保護機制保護信息主體的私密信息，防止信息主體的生活安寧、財產安全受到侵擾。法律對于私密信息的保護，并不是禁止對個人隱私信息的使用，而是避免個人隱私信息的無端窺視。信息主體對于私密信息享有權利，包括知情權、選擇權、查閱和參與權以及安全性保障。其中，知情權就是要保障信息主體對于信息的采集、使用以及流通享有知情的權利；選擇權則是確保了信息主體的披露的范疇；查閱和參與權則是實現了信息主體對個人信息流通的跟蹤；安全性保障是個人敏感信息保護的基礎目的。

好的教學要以研究為依托，尤其是高校教學。但這種研究應該是基于教學遇到的問題，圍繞這些問題，為了解決問題并在解決問題的過程中而展開的行動研究。這種研究大致分為兩類，一類是圍繞教學內容進行的，稱為專業(yè)學術研究，另一類是圍繞教學策略進行的，稱為教學學術研究。專業(yè)學術研究有助于提高教師的專業(yè)水平，使教師的教學內容有新意，有深度，有厚度，能激發(fā)學生的研究意識。教學學術研究有助于提高教師的教學水平，使教師的教學針對性強，學生卷入度高，收到實效。教師當前尤其要加強教學學術研究，探討基于班級人數多、學生差異性大的現實境況大面積提高教學質量的對策。

綜上，個人敏感信息的事前保護機制是以隱私權為進路進行構建的。個人敏感信息的事前保護機制則是避免不特定的主體進行“刺探、侵擾、泄露、公開”。個人敏感信息的事前保護機制出現失效或者不足時，就需要通過事后的損失賠償機制予以救濟。

(3)個人敏感信息事前保護機制的構建

個人敏感信息隱私權保護的事前模式，并不是禁止任何人對特定主體的私生活進行窺探。信息技術的發(fā)展，對個人敏感信息最大的沖擊在于信息所享有的社會屬性，必然會脫離信息主體，從而成為社會生產資料的一部分。盡管我國《民法典》第1034條指出，敏感信息適用隱私權保護的相關規(guī)定，但是并沒有對如何保護進行細化。

個人敏感信息的保護應該保障其合理使用。首先，個人敏感信息的采集在實踐中更多強調的是信息主體對于信息的采集具有知情權，而忽視了其對于敏感信息流轉過程中的知情，這顯然是不合適的。在個人敏感信息保護的知情權構建中，應該將知情的范圍擴展至流轉及存儲過程中。信息主體甚至可以通過禁止授權的方式，禁止知情人將個人敏感信息予以流轉。其次，個人敏感信息的選擇權，不僅停留在選擇披露信息的范圍，信息主體可以選擇信息披露的對象以及使用方式。如信息主體披露自身的健康狀況，其并不希望該信息在不特定的范圍內予以流轉。再次，個人敏感信息的查閱與參與權，則是強調信息主體可以查看信息是否準確完整，從而共同參與個人敏感信息的保護。信息主體可以將查閱、參與權和“被遺忘權”相結合，以實現信息主體共同參與的目的。最后，個人敏感信息的安全性保障原則是個人敏感信息保護的最終目的。個人敏感信息的安全保障，不僅關注其不能有實質的損害結果，而且更加強調敏感信息不應該對信息主體產生潛在的威脅。

個人敏感信息的保護可以通過“通知-同意”模式進行設計。盡管“同意”原則在個人信息保護中是否應該適用，在理論上存在不同意見[18]。筆者認為，在個人信息區(qū)分保護的模式中，一般信息或許并不需要信息主體的“同意”，但是個人敏感信息的采集應該經過信息主體的“同意”。“同意”原則引入則是保障信息主體知情權、選擇權、查閱和參與權以及安全性的基礎。信息主體在個人敏感信息中所行使的“同意”原則是意思表示的結果，實踐中多是通過“通知—同意”的方式予以實現，在法理上則是將內心的意思通過行為表達于外的過程[19]。同意原則不僅實現了信息主體對敏感信息的自我控制和自我處置，而且也保證了商業(yè)主體對敏感信息的合理使用。概言之，信息主體同意原則是對個人敏感信息保護的有意擴展。

綜上，個人敏感信息的事前保護機制，是在以隱私權為基礎進行建構完善的，并且在此基礎上進行有益的擴展和補充。個人敏感信息的事前保護機制，并不是禁止個人敏感信息的流通，而是保證使用過程的安全性。特別強調的是，個人敏感信息的事前保護機制僅僅是一種防御性手段，當受到損害的時候還需要事后的損害填補機制予以填補。

2.一般信息：侵權責任的事后救濟模式

從區(qū)分的角度上看，一般信息的保護程度應該要明顯地弱于敏感信息，并且在規(guī)定的責任和義務上也有所減輕。一般信息與敏感信息由于敏感程度有所不同，法律在采取具體的保護模式上也應該有所不同。

(1)個人一般信息與敏感信息保護的法益不同

個人一般信息與個人敏感信息由于敏感程度不同，保護的強度也存在差異。個人一般信息對信息主體生活安寧并不會產生潛在的威脅，并不需要在事前給予特殊的保護。信息主體在社會交際中，往往需要通過共享一般信息對自己進行標識，以方便生活工作的開展。如信息主體在人際交往中，通過名片的交換實現社交的目的。此外，甚至一些個人一般信息可以通過直接的觀察而直接獲取，并不需要信息主體進行特定的披露。如對信息主體身高、性別、膚色、年齡等外在的標識信息，觀察者可以通過直接的觀察予以記錄。這些可以直接獲取的一般信息并不需要事前予以特殊的保護。在比較法上，甚至有一些國家對于非敏感的個人一般信息不予以保護[20]。概言之，一般信息的法律保護程度相對較弱。

個人一般信息的私法保護以填補損害結果的發(fā)生為限。個人敏感信息保護的是特定主體的生活安寧，需要通過隱私權的事前防御機制予以保護，而個人一般信息的保護則需要以造成實質的損害結果。盡管個人一般信息無法對個人的生活安寧造成潛在威脅，但不當使用將對信息主體產生實質的損害。個人一般信息的保護機制是以對信息主體進行損失填補為基礎構建的，即只有信息主體產生實質損害(如人身損害、財產損失)，私法才可以介入予以填補。而對于沒有產生實質損害的，并無法通過事后的方式予以調整。個人一般信息的侵權損害賠償是以發(fā)生損害結果為必要的構成要件，若無損害的發(fā)生則侵權責任無法啟動賠償的機制。總之，損害的實質發(fā)生是個人一般信息侵權保護的事后救濟路徑。

個人一般信息損害的表現形式具有多樣性。損害作為侵權責任承擔的重要要件，在表現形式上也呈現出多樣性。在傳統(tǒng)的信息侵權損害的場合，一般表現為因個人信息的不當使用而造成不必要的損害發(fā)生。信息技術的不斷發(fā)展，個人一般信息因數據泄露、社會歧視、消費“殺熟”等不同類型的損害。對于個人一般信息損害所呈現出的侵權形態(tài)的多樣性，侵權責任機制則可以通過事后的救濟方式予以損失填補。此外，在多樣性的損害形式下，損害結果的表現也可以有多樣性，除了傳統(tǒng)的人身損害、財產損失等直接損害外，還可以是對個人的名譽、形象等造成不利的影響。簡而言之，個人一般信息損害形式的多樣性并不影響侵權責任的承擔。

總之，個人一般信息與敏感信息由于敏感程度的不同，在法律上保護的程度也有所不同。個人一般信息保護是以損害的發(fā)生為侵權責任的事后保護機制，并不需要如個人敏感信息那樣的事前保護機制。個人一般信息的侵權損害保護，是以填補損害為限，以達到信息保護的目的。

(2)個人一般信息保護的侵權保護路徑

個人一般信息的侵權責任保護是以損害實際發(fā)生為要件，在私法體系之下可以通過《民法典》中人格權編中關于“隱私權和個人信息保護”中的相關規(guī)定并且結合侵權責任編的基本原理進行構建?？梢哉f，《民法典》人格權編中的“隱私權和個人信息保護”勾勒出了個人信息私法上保護的總體框架，而《民法典》侵權責任編則為個人一般信息的損失填補提供了具體的選擇路徑。

《民法典》為個人一般信息的保護提供規(guī)范?！睹穹ǖ洹沸玖藗€人信息應該受到法律保護，但是并沒有將個人信息區(qū)分為一般信息與敏感信息，更沒有對此進行區(qū)分保護?！睹穹ǖ洹返?035條特別強調，個人信息的處理包括“收集、存儲、使用、加工、傳輸、提供、公開”等具體的方式。從個人信息的區(qū)分的模式上看，這里應該限縮解釋為個人一般信息，而不應該是敏感信息。原因在于，個人敏感信息涉及個人隱私，除了信息主體主動披露之外，是不能容許被他人所掌握的。而一般信息則不同，信息主體是能夠容忍他人獲取，這不僅能夠有利于信息的開發(fā)利用，而且也能夠信息主體的生活提供必要的便利。此外，《民法典》總則部分第111條還為個人一般信息的保護提供了具體的行為規(guī)范。首先，在信息獲取階段，該條文要求應該“依法取得”；其次，在信息開發(fā)階段則是“不得非法”；最后，信息的開發(fā)利用，則應該“確保信息安全”。簡而言之，《民法典》總則和人格權部分為個人一般信息的保護提供了宣示性的指導框架。

《民法典》侵權責任編為個人一般信息的保護提供了具體的路徑。盡管《民法典》在總則以及人格權部分為個人一般信息保護提供了行為規(guī)范，但是均屬于宣示性條文，并無法提供具體的救濟工具。侵權責任的承擔則為個人一般信息保護提供了具體的工具，并且能夠有效地填補因個人一般信息所造成的損害。此外，侵權責任法不僅實現了個人一般信息的良好保護，也為個人一般信息的自由使用提供了保障。侵權責任法在協調自由與安全的過程中，為個人一般信息的保護提供了恰當的均衡保護[21]。相對于個人敏感信息，個人一般信息的侵權保護屬于事后的救濟方式，懲罰侵權人的侵權行為并不是該模式的最為根本的目的，落腳點還是在于為受害人提供損失填補的恢復補償。不僅如此，由于侵權責任法所具有的懲戒和損害填補的功能，因此也會預防加害人的損害行為。概言之，個人一般信息的侵權責任承擔方式為受害人提供了事后的救濟填補方式。

總之，在個人一般信息現有的侵權責任的事后救濟模式中，《民法典》在總則和人格權部分提供了具體的行為規(guī)范，而侵權責任部分則提供了具體的責任承擔方式。與個人敏感信息的隱私權事前保護模式不同，個人一般信息的事后救濟強調信息主體應該受到實質的損害。相較于敏感信息，一般信息并不會對信息主體的生活安寧造成影響。因此，當個人一般信息沒有對信息主體造成實質損害的，法律并不需要予以特別的保護。

(3)個人一般信息保護的侵權事后規(guī)則

個人一般信息既然通過侵權責任法予以保護，那么就應該符合侵權責任法所規(guī)定的損害結果、加害行為、因果關系以及過錯原則基本要件。這為個人一般信息的具體規(guī)則構建提供了范式。

個人一般信息侵權責任承擔需要造成實質的損害結果。與敏感信息的隱私權保護模式不同，一般信息需要造成實質的損害結果。損害作為侵權責任承擔的必要構成要件，只有在有損害發(fā)生的情況下，才能要求加害人承擔損害賠償責任。與其他的侵權形態(tài)不同，一般信息侵權的損害結果是造成信息主體的人身損害、財產損失或者精神困擾。一般信息的侵權的人身損害，是信息使用人將所掌握的信息用于犯罪，并且對信息主體進行傷害。如信息使用人掌握行為人的行為軌跡，實施侵害行為。一般信息侵權的財產損害，則是直接利用信息侵犯信息主體的財產。如信息利用者利用信息侵犯信息主體的銀行賬號、股票賬號等。個人一般信息侵權的損害結果可以是直接損害，也可以是間接損害。

個人一般信息侵權責任承擔需要有加害行為。在信息社會下，一般信息造成的損害除了因信息使用的傳統(tǒng)形態(tài)之外，還有信息泄露、下游犯罪、以及消費操縱等不同的形式。首先，信息泄露是最為常見的一般信息侵權的表現形式，如個人酒店住宿信息、行為軌跡信息等，此類信息并不屬于敏感信息，但是在不特定的范圍內予以泄露，將對信息主體造成侵權。其次，下游犯罪是商業(yè)主體不當使用個人一般信息所造成的，如電話號碼、姓名等信息，此類信息完全可以通過名片等方式進行交換，但是此等信息被不當使用會引起網絡電信詐騙罪等。最后，消費操縱發(fā)生在精準營銷領域，目前商業(yè)信息利用主體利用消費者信息，進行消費操縱或者消費殺熟。概言之，信息社會下個人一般信息的加害行為也呈現更加多元的形態(tài)。

個人一般信息侵權責任承擔需要具備因果關系。侵權責任強調加害行為與損害結果之間需要有因果關系，但是網絡社會的因果關系也呈現出新的特點。網絡社會所具有的跨地域、跨時空等特點，一般信息加害行為與損害結果之間的因果關系難以認定。在具體認定上，可以借鑒國外法的具體做法。《歐盟數據條款》和《德國聯邦數據保護法》在因果關系的認定上都采取責任倒置的方式，即要求加害人證明其行為并不足以對信息主體造成侵害，相反，則可免責。在信息社會，信息主體與商業(yè)利用者之間的利益抗衡中，信息主體明顯處于弱勢地位。特別是單個的信息主體無法同商業(yè)利用者進行對抗，此時就需要通過法律規(guī)則的設定予以矯正二者之間的利益失衡。個人一般信息侵權責任因果關系的舉證倒置較好地平衡了信息主體與商業(yè)利用者之間的利益。

個人一般信息侵權責任承擔需要加害人存在過錯。個人一般信息的侵權在法律上并不屬于特殊侵權類型，在歸責原則上應該采取過錯原則。在大數據時代下，信息的商業(yè)利用主體應該就自己過錯的侵權行為負責。個人一般信息的過錯歸責原則可以表現出不同的形態(tài)。首先，商業(yè)利用主體違反法律或者行政法規(guī)不當的使用個人一般信息，直接可以認定為行為人具有過錯。其次，商業(yè)利用主體明顯超過信息使用的合理范圍，也可以認定為具有過錯。最后，商業(yè)利用主體在信息主體合理提醒后，仍然不刪除該信息造成不法傷害的形成，也應該認定為具有過錯。概言之，過錯歸責原則是個人一般信息侵權責任承擔的基礎。

五、結 語

大數據時代，個人信息已經很難被信息主體所單獨控制。相反，信息的開發(fā)利用者可以通過互聯網、物聯網以及云存儲等技術手段，將個人信息不斷收集標識，形成特定的大數據。信息的開發(fā)利用者在對信息采集和利用中，因個人信息的敏感程度不同，所受到的法律約束也應該有所不同。法律若對一般信息和敏感信息不加區(qū)分地予以保護，并不有利于大數據時代的技術發(fā)展。

大數據時代，法律需要在個人信息的保護與商業(yè)利用之間尋求利益平衡。法律若一味地強調個人信息的保護，而忽視信息本身所承載的經濟價值，并不符合大數據時代的應有之義。相反，若無羈絆地鼓勵個人信息的自由流通，必將對于特定主體的人格利益產生嚴重的影響。個人信息的區(qū)分保護，有效地區(qū)分了信息主體的一般信息與敏感信息，實現了個人信息的精準保護。

個人信息作為重要的生產資料，法律不僅要對信息主體進行有效保護，而且還需要實現信息的經濟利益。法律在對于個人信息保護的具體制度的構建中，應該矯正信息利用者的強勢地位，強化對信息主體的保護?？梢灶A見的是，隨著信息技術的進一步發(fā)展，個人信息的私法保護需要更為精細化的系統(tǒng)研究。