个人敏感信息处理规则的省思与完善

郑煌杰

(上海政法学院 法律学院，上海 201701)

随着人工智能、大数据、云计算等数字信息技术广泛应用于人们的生活之中，人们逐渐开始重视自己的个人信息。目前各行各业都在充分发挥个人信息的价值，也因此引发了诸多风险挑战。鉴于个人信息的范围十分广泛，每个人对不同类型的个人信息利用和保护的要求也有所不同。总的来说，对于属于个人一般信息，人们往往同意或者不拒绝其被合理利用，而对于个人敏感信息，由于通常具有私密性，所以人们理所当然希望法律对此能够给予特殊的保护。申言之，则是因为个人敏感信息一旦处理不当就会给他人的人身利益与财产利益造成巨大的损害。所以，区别对待个人信息的保护，这是大数据时代个人信息立法的核心所在。

在此背景下，以欧盟和美国为主的国家在对待个人敏感信息与个人一般信息都有着不同的处理规则。[1]我国《个人信息保护法》(以下简称《个保法》)对于个人敏感信息与个人一般信息的处理规定也有所不同，前者较后者而言规定更为严格。仅有在特殊场合且具有合法合理的情况下，同时还需要取得个人同意，信息使用者才能处理个人敏感信息，无需承担相应的责任。我国《个保法》第28条也对个人敏感信息作出一个较为模糊的规定，即“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。同时，也通过“列举+概括”的方式划分出七种类型的个人敏感信息，此项规定虽然明确了个人敏感信息保护的“敏感性”特征，但是先入为主地区分了敏感与非敏感的判断标准，可能导致个人敏感信息与个人一般信息保护力度存在较大的差异。鉴于此，亟需省思个人敏感信息的敏感与非敏感之间的界限是否明确？《个保法》所列举的个人敏感信息类型是否周全？由于个人敏感信息的“模糊性”是否导致其处理规则存在局限性？以及如何有效完善其处理规则？本文将针对以上问题逐一进行探讨，以求教大方之家。

个人敏感信息虽已经是我国实体法上的概念，但还是存在着较大的模糊地带。由于“敏感”二字自身就存在着很大的评价空间，每个人对“敏感”的价值判断标准也存在着区别，同时随着社会不断发展已在《个保法》所列举的“敏感”类型内涵和外延可能也会发生变化。[2]以上这些问题都会给个人敏感信息带来更多不确定性，进而影响其相关处理规则的适用。

(一)法律规定的模糊性

敏感的本质是什么？基于心理学的角度，主观说认为敏感二字是既有强烈的主观色彩也有很强的个性化差异，经常用来描述个人的心理特征。[3]客观说则认为敏感是社会大多数群体的心理状态，也与社会客观环境有着密切的联系。[4]结合前文所述，会发现当前我国《个保法》第28条是采用客观说进行立法，其中所说的“敏感”就是“造成侵害或危害结果上的容易性”，不难看出这一规定标准存在着极大的不确定性。一方面，敏感二字如作为法律规范性概念，其概念内涵的界定应当是明确的，而因为其本身价值规范导向就存在模糊的空间，故有必要对此进行价值填补。另一方面，此条规定中的“容易导致”一词也是个模糊不清的表述，词义存在着较大的解释空间，需要很多现实例证加以证明。以上概念的不确定性可能会产生一系列问题，例如信息使用者在处理信息时，有时难以判断他人的个人信息是否属于敏感信息，这不仅无法保障个人信息权益，也可能导致产生信息使用者义务责任不清的问题，甚至出现相关使用者为了逃避法律责任将个人的所有信息都认为是敏感信息的情形。又比如相关国家部门在履行其法定职责时，由于个人敏感信息的模糊性可能造成不同的执法标准、惩罚力度等问题。再比如法官容易因法律规范概念的不确定性造成其适用法律困难，难以判断案件相关人是否构成个人信息侵权行为。[5]此外，法官在认定侵犯个人信息权益与处理者责任承担的问题也尤为重要，以生活中人们的财产信息与交易信息、家庭住址信息与旅宿信息、行程信息与定位信息为例，会发现这些信息联系十分紧密，其可能会高度重合，而这些都可能造成法官适用法律困难。

(二)法定范围的狭隘性

《个保法》中虽然列举了七种个人敏感信息即“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息”以及“不满十四周岁的未成年人的个人信息”，但随着社会的发展可能会出现七种类型以外的个人敏感信息。

首先，收集数据信息技术的发展，可能会导致衍生出新的敏感信息，这些“新信息”会使“敏感”与“非敏感”之间的界限更加模糊不清。比如利用先进数据收集技术将人们生活轨迹活动如上网记录、行程记录等等数据化进行收集，甚至包括因为人工智能技术而关联的个人信息，以上这些个人信息是否容易造成危害风险，都需要法律适用者重新判断是否属于既有的个人敏感信息。换言之，是否需要进一步扩大个人敏感信息的种类，以确保这些“新型”信息保护机制的协调一致。

其次，分析数据信息技术的进步，可能也会导致相关联的信息都具有敏感性特征。在这样的情况下，关联信息都能联系到特定的某个人而造成一定的安全风险，也会扩大敏感信息与非敏感信息的模糊地带。通常来说，信息本身对个人的客观描述并不是敏感的，但过度分析数据信息(例如创设出个人信息之间本不存在的相关性)可能产生一些令人堪忧的情况。[6]尽管许多数据库为了实现匿名化和去识别化，而删除数据所可能对应的特定个人身份信息，但数据库之间进行重新组合，也容易导致数据信息再次被识别而关联到某个特定的人，而使他人遭受到人身和财产上安全的风险。故当前法律所规定的敏感信息范围可能无法涵盖之后“新型敏感信息”，换言之，个人敏感信息范围可能是无法穷尽的，最核心的问题还是在于应当采取何种标准来划定个人敏感信息的范围界限。

(三)界定标准的宽泛性

如上文所述，个人敏感信息的内涵和外延可能是随着社会不断发展的，故通过列举七种类型个人敏感信息来充当其界定标准可能会存在滞后性及“规则真空”的问题，同时当前个人敏感信息相关例证还不充分。鉴于此，可以尝试从其中归纳总结出通用具体的公式化标准，来界定个人敏感信息的范围从而更好地确立其处理规则。基于此，有学者提出我国关于个人敏感信息的特别规定，主要是因为这类型信息如果被泄露或者被非法使用，非常容易对个人的人格尊严、人身、财产等利益造成损害，故需要针对个人敏感信息作出更严苛的限定。[7]换言之，个人敏感信息本质上是比较容易产生巨大安全风险的信息，这与欧盟《一般数据保护条例》的立法思路(基于数据信息可能导致风险的不同对个人信息进行区别保护)是不谋而合的。事实上，个人敏感信息之所以具有“高风险性”是为了避免一旦被泄露或被非法使用而产生安全风险。美国相关领域的信息也体现了这种“高风险性”，例如教育信息、医疗信息、金融信息等等。除此之外，美国还通过立法对特定类型个人信息进行特别保护，例如美国的《视频隐私保护法》的制定是由于记者曝光某个法官的录像带租赁信息，《驾驶员隐私保护法》的制定也是因为某位女明星的粉丝得出女明星驾驶证上的居住地址，而后跟踪将该女明星杀害等等。[8]以上可以看出，个人敏感信息内涵是动态变化的，故需要确立具体化的处理规则。

除此之外，敏感信息与非敏感信息的界限并不清晰。一方面，信息使用者处理行为的目的容易引发他人对此信息的敏感程度，例如为了清楚他人的行程轨迹和为了推销车保险，两者基于不同的目的去获取他人的车辆信息，他人对此有不同的敏感感受，此时车辆信息就很判定是一般信息亦或是敏感信息。[9]另一方面，处理信息的场景不同也会影响信息是否具有敏感性。以医疗信息为例，如医生是在治疗患者的场景下则该过程中涉及患者的医疗信息一般不具有敏感性，然而当医生是在该场景以外的生活场景披露患者的医疗信息，此时其信息可能具有敏感性。另外，独立看一些个人信息时不具有敏感性，但当其与其它信息结合在一起就因能识别特定某个人进而产生敏感性。具体而言，独立看名字、性别、工作地址等一般信息由于这些信息是人们在日常活动的基本信息，所以很难会被认为是敏感信息。但是，当这些信息被不法分子所利用时，此时对个人来说就是敏感信息。

综上所述，从单一层面(信息特性层面)来界定其敏感性，毫无疑问是把个人信息当作是一个静态的客体。但在现实生活中，个人信息与有体物不同，其会随着不同场景的转变而发生动态变化，这也体现出信息的流动性。故个人敏感信息的敏感度是动态变化的，需要结合具体场景来判断其敏感性，而不是仅仅使用列举式此类宽泛的界定标准。

概括式立法虽然能够妥善解决社会发展过程中出现的新型法律问题，以减少法律本身存在滞后性问题，但不足之处在于对相关法律概念的界定缺乏明确性，在此背景下，不管是第三方信息使用者亦或是国家行政、司法等部门都要再次识别个人信息是否属于当前所规定敏感信息范畴，这将可能导致法律适用的混乱。[10]除此之外，为了防止执法和司法自由裁量权的滥用，保障法律的稳定性，还需要对个人敏感信息的基本概念进行解释论构造，以保证为实践提供明确的界定标准，而场景理论可以说是解决这些问题的工具方法。

(一)场景理论的内涵及要件

现阶段个人敏感信息的处理规则在适用过程中可能存在两个问题。其一，是过度僵化保护《个保法》所明确列举的几种个人敏感信息。其二，则是未能够及时保护不属于列举范围的个人信息。[11]例如杂志图书的订阅信息一般被认为是个人一般信息，但如果此类信息体现的是一些极少数人的偏好，这也可能导致其转化为个人敏感信息，故笔者认为可以引用场景理论加以完善其处理规则。

首先，从场景理论的内涵来看。国外学者尼森鲍姆教授提出的场景理论，认为场景对信息特性有很大的影响，其可能会导致相同信息在不同场景下的敏感度差异较大。[12]学界已经对此理论展开了广泛的讨论和研究。有学者提出，“场景”就是“具体情况具体分析”，从场景的完整性角度分析确实如此，因为分析过程中必然需要结合场景内的具体情况。[13]然而，这种分析还存在欠缺之处即没有考虑到相关行为主体、行为规范等也都在场景之内。亦有学者认为场景理论是一个“动态隐私保护理论”，其理论根本是为了平衡互相矛盾的利益冲突。[14]从侵害个人隐私和个人信息权益的责任承担角度分析，“动态隐私保护理论”是有其合理之处。不过也存在一定的局限性，因为场景理论不仅仅是需要考量侵权责任承担等问题，还要考虑其能否指导法律规范的制定。另外，场景理论也能够为个人敏感信息界定提供一个思考方向，即需要结合各种精细化要件来确定个人敏感信息的标准。

其次，从场景理论的要件分析。信息自身不会直接对个人造成损害，而在其借助完整场景时就可能对个人产生影响。当前我国对个人敏感信息需结合场景要件的观点已逐渐达成共识，然而，还存在着许多问题如场景有无具体要件以及个人敏感信息如何运用这些要件来界定其标准和范围等等这些问题都尚未深入研究。尼森鲍姆教授认为，场景的要件影响着个人对信息的敏感度与期待值，其将场景具体化为五个基本要件，即信息主体、信息输出者、信息接受者、信息特性以及信息流通原则。[15]亦有学者提出敏感信息的界定要素，有信息使用者的利益、信息接收者、信息收集目的等等。[16]我国《个保法》第51条规定个人信息处理者处理信息过程中，必须考量几个规范要件来保证处理行为的合法性与合理性，具体有：处理目的、处理手段、信息类型、是否对个人信息权益有影响以及是否存在风险。这不仅对信息处理过程提出规范性要求，也对界定动态变化的个人敏感信息确立了较为清晰的标准。根据以上理论和法律规范，笔者认为场景理论可以具体化为五个要件：信息主体、信息使用者、第三方主体、信息特性、处理目的。

第一，信息主体。个人敏感信息可能受其年龄、性别等因素影响，例如老年人、男性等。《个保法》第28条也已经列举关于未成年人个人信息以及特定身份信息。

第二，信息使用者。其一，是信息使用者的人数多少可能会造成个人一般信息转化为个人敏感信息。其二，是数据信息分析的技术水平也容易使一般信息转化为敏感信息。

第三，第三方主体。一般来说，个人敏感信息的接收方是第三方主体，个人敏感信息可能受信息主体或者处理者与第三方主体之间的关系影响。

第四，信息特性。虽然信息主体的人格尊严、人身财产安全与一些信息有关，但为了避免产生不必要的安全风险，应当尽量限定信息的类型，同时也不能仅把信息特性当作判断的要件。

第五，处理目的。其一，个人信息保护的根本原则应当是处理目的的原则，其也是界定个人敏感信息的前提条件。其二，评价个人信息保护的标准也在于处理信息过程是否是基于合法、合理、必要的处理目的。易言之，个人信息容易因为非法、不合理、不必要的处理目的而产生高度敏感性，进而对信息主体造成巨大的安全风险。

此外，也有学者认为处理信息的方式和信息所对应的数据库也与个人敏感信息的敏感度高低有关。国外也有学者认为影响信息的敏感度因素还有其规模的大小及延续时间的长短等等。[17]笔者以为，上文所述的要件均能包括这些情形，信息使用者可以包括信息处理方式(处理方式是基于处理者作出的)，信息特性不仅能够涵盖对应的数据库类型(数据库是信息的集合体)，也能够包括信息规模的大小与其延续时间的长短(信息大小时间长短等都是信息特性的表现方式)。

(二)场景理论明确信息转化边界

要证明场景理论的可适用性就必须结合具体实践运用如立法、执法、司法层面加以考量，同时个人敏感信息五要件的意义价值要在实践过程中加以检验证明。

其一，场景理论能用于判断个人一般信息是否可以转化为个人敏感信息。具体而言，法律适用者将《个保法》第28条所列举的个人敏感信息以外的个人信息判定为敏感信息。以车辆信息为例，《个保法》所列举的敏感信息并没包括车辆信息，然而由于车辆信息可能涉及到其生产、经销、使用等方面，在此场景下相关主体的人身、财产安全极易受其影响(例如车辆使用过程中GPS的智能定位系统)。所以在《汽车数据安全管理若干规定(试行)》规定中，个人敏感信息范围得到了扩张，即将车辆的行程轨迹、图像、音频等一般信息也纳入敏感信息之中。[18]根据该规定，将场景五要件代入分析，则信息主体包括车辆相关主体如驾驶人、车主、乘车人等，信息特性涵盖行程轨迹踪迹、音频等，信息处理者及处理目的包含为了达到个人目的而实施处理车辆信息的行为，故在某些场景下上述信息都是属于个人敏感信息的范畴。换言之，场景五要件结合使用来界定个人敏感信息的方法是合理的。此外之所以要引用场景理论，不单单只是为了强调场景对于信息敏感与否有着重要的意义，还为了阐释不能只依据信息特性来判断敏感性而是要结合具体的主体、行为、客体等要素综合判断分析。易言之，在未来制定相关个人敏感信息的处理规则和标准时，可以运用以上五要件结合分析，来判断具体场景下的个人信息是否具有敏感性。

其二，场景理论也能用于判断个人敏感信息是否可以转化为个人一般信息。在个人信息权益侵权案件纠纷中，法官先要判断案件中个人信息是否属于个人敏感信息，如果是，则相应侵权者所需承担的责任要求与个人一般信息不同。然而，可能会存在一种情况即案件中的个人信息确实是属于个人敏感信息，但却不是基于法律规定处理这类信息，这将使侵权人的行为构成合理使用不承担侵权责任。易言之，场景五要件可以辅助界定《个保法》所列的七种敏感信息，具体在哪些场景之下属于合理使用。[19]比如《个保法》第26条的规定，可以加以验证五要件的运用，具体而言：维护公共安全的组织(信息使用者)采集或识别关于自然人(信息主体)的个人图像、身份识别信息(信息特性)，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的(处理目的)。所以，在此规定下，人脸信息等个人敏感信息的处理可能构成合理使用行为。

(三)场景理论确定敏感信息适用范围

倘若认为场景理论只是无限精细化信息流动，那么对此理论的理解可谓是一叶障目了。一方面，场景理论是基于摒弃隐私侵入论和隐私控制论产生的，以上两种理论都是将隐私权认为是个人利益的体现，然而却忽略了隐私权背后所蕴含的社会利益与公共利益。另一方面，场景理论也为个人敏感信息的界定提供了价值层面的判断方法而不仅仅是局限于客观场景的表象。

首先，场景理论的场景目的可以作为价值判断的标准。《个保法》第28条规定了需要基于合理目的才能处理个人敏感信息，而场景理论则是更深层次地挖掘此合理目的的内涵，确立了合理目的与特定场景的价值目的需要保持一致的原则。在个人隐私与信息保护的过程中，有学者认为合理目的应当和实践场景、产业场景、技术场景等目的相同。具体而言，以上场景的目的在大多数情形下都是为了维护信息处理者的利益，例如数字平台为了更好地推送个性化信息，往往想追求更准确的“个人数字形象”等等。此外，尼森鲍姆教授基于哲学和社会学的角度，进一步丰富场景的内涵即生活场景，具体分为教育场景、私人场景、交易场景、公共场景等等。[20]之所以这样区分场景是因为考量到两方面因素：一方面，是具体的生活场景可以结合场景五要件来识别特定个人的身份。以教育场景为例，场景五要件需要与教育息息相关，具体来说学校通过考量该校学生成绩信息来评价其学习情况或老师教学的质量。然而，学校如果不经过家长和学生、老师等信息主体的同意，擅自将成绩信息泄露给教育机构等第三方平台，那么这就不属于教育场景的范畴了。另一方面，生活场景也能够辅助法官迅速确定案件纠纷中涉及价值判断的标准。例如教育场景的价值宗旨有知识的传承、人才的培养、素质的塑造等等。而法学和相关的法律活动都避不开社会生活的价值判断(例如公序良俗等原则的适用)，特别是在涉及个人敏感信息的案件纠纷中，需要结合分析所在的生活场景目的，来填补法律存在的漏洞。因此，生活场景的目的和信息目的不是相同的概念，生活场景的目的应当是合乎社会绝大多数人认可的价值观念。例如公共场景是以公共整体的利益为价值导向而不是以私人利益导向。换言之，信息处理目的不应当是平衡不同冲突利益主体之间的依据，而应当以生活场景的目的作为其价值判断的基准。所以，在特定生活场景之下处理个人信息，只要处理目的与该生活场景追求的目的不矛盾，那么就能认为该信息处理行为具有合理性。

其次，场景理论的场景目的也可以用来判断信息处理目的是否与其保持协调一致。具言之，处理个人敏感信息过程中如合乎生活场景目的则可能构成个人敏感信息的合理使用。从法律效力的角度来看，个人敏感信息的立法宗旨也是为了加强对个人信息权益的保护。然而，立法者却一直把个人信息权益保护和个人信息合理使用的地位等同在一起。《个保法》第1条体现了其立法目的，作为其体系内容的个人敏感信息也应当服从该条款价值的宗旨。以医疗信息为例，涉及医疗的技术性信息共享不但能给相关医疗行业带来巨大的利益，还能促进社会整体医疗水平的进步。所以，处理医疗信息的目的不仅有追求私人利益，还兼具社会公共利益。因此，个人敏感信息保护的宗旨是为了实现在特定生活场景之下各方主体间利益的平衡，而不是为了阻碍信息的流通，这样不仅可以保护个人信息权益，还有利于信息的合理使用。需要强调的是，合乎生活场景目的也有利于缓解个人信息权益保护与个人信息合理使用的矛盾关系。由于场景下的行为活动一般涉及价值判断，此价值判断的基准应当是以具体场景所追求的价值宗旨为导向。具体而言，法官结合场景目的适用法律规范的做法，对个人信息权益民事纠纷亦或是刑事犯罪都有着重大的意义。例如，未得到信息主体的同意将其医疗信息泄露给相关医疗机构，进行疾病的分析诊断(如疫情期间将阳性患者的医疗信息进行共享研发抗体疫苗)，此时法官基于不同角度分析得出的判决也会有所不同。如从依据个人敏感信息处理规则的角度，那么信息使用者必然构成违法，而如从促进社会公共利益的角度，那可能得出不同的裁判结果。所以，法官需要结合具体个案情况，不只是局限于法律规范所保护的法益，还应当要结合生活场景目的来分析信息处理行为。换言之，不能只囿于其法律规范的字面涵义，而是应当具体情况具体分析，即在特定生活场景下个人敏感信息也会转化为个人一般信息。

综上所述，《个保法》立法目的不仅是为了保护个人信息权益，也是需要考虑信息处理者、社会公共的利益，在此基础下其法律规范必然是需要具有一定的弹性空间而不是严苛僵化的，可以说《个保法》是基于现实生活场景折中妥协的产物。[21]申言之，法律的价值如不符合社会生活价值导向的话，那么亟需作出相应的调整，以保证其实践于生活场景的合理性。诚如前文所言，场景目的能让法官更加灵活地判断个人敏感信息案件中的过错要件与举证责任，减轻其裁判的负担。当然，这样弹性灵活的做法应当以场景目的为基准，而不是毫无限制的。所以，场景目的有利于判断个人敏感信息处理行为是否具有合理性，以使司法审判等法律适用活动更符合社会价值导向，促进社会公平正义的实现。

个人敏感信息内涵包括了个人主观评价与社会评价，而两者并不是一成不变的，所以导致其内涵和外延很难有清晰的界定范围。这样动态性的概念容易造成界定的困难，所以需要引用相关理论明确一个判断标准。本文试图引用场景理论来具体化个人敏感信息的处理规则，但因为场景理论本质是属于社会学与哲学的范畴，与法学学科话语体系可能存在较大的区别，导致其适用过程难免会存在一些误差。鉴于此，可以结合场景中个人信息的五要件来判断信息是否具有敏感性，也能使用其明确信息之间的转化边界，还能以具体生活场景如教育场景、医疗场景、公共场景等场景目的来分析个人敏感信息是否“失去了敏感性”而转化为个人一般信息。场景理论认为，基于生活场景目的所做出的行为一般是合乎个人、社会、公共价值的，而不是所谓的“牺牲小我完成大我”。所以，在处理个人敏感信息时可以借助场景理论作为其价值判断基准，这有利于弥合个人敏感信息处理规则体系的漏洞。