摘要:《個人信息保護法》第28條第1款中敏感個人信息的“敏感”是指法律規制的高反應度,其以信息處理的權益侵害風險為法律基準,風險內容指向除個人信息權益之外的人格尊嚴和人身、財產權利,風險程度則以達到“一般權益侵害程度+更高風險兌現概率”為必要。敏感個人信息的界定應采取場景抽離和場景融入雙重路徑。場景抽離關注作為內因的信息內容,內容具有強工具性和唯一識別性的個人信息為敏感個人信息;場景融入關注作為外因的場景要素,信息處理者的認知能力、信息應用能力及信息存在狀態是改變信息內容屬性的主要場景要素,可以促成敏感個人信息的轉化。因未成年人信息控制能力弱、信息暴露程度高,立法將其個人信息歸入敏感個人信息具有合理性。第28條第1款列舉的各項信息具有涵括性,不能直接作為敏感個人信息的認定依據,是否屬于敏感個人信息仍須進行具體判定。
關鍵詞:敏感個人信息;風險維度;場景抽離;場景融入;強工具性;唯一識別性
01
問題的提出
相比于非敏感個人信息而言,敏感個人信息的泄露和非法使用更易導致權益侵害的發生,因此,域內外立法均對敏感個人信息的處理作出更為嚴格的限制。《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)第二章第二節就敏感個人信息的處理規則進行了專門規定,具體內容包括:敏感個人信息的處理以一般禁止為原則,對其處理必須具有特定目的和充分必要性(第28條第2款);敏感個人信息處理必須取得單獨同意或者書面同意(第29條);敏感個人信息處理者須承擔更嚴格的告知義務(第30條);處理未成年人個人信息須取得其父母或其他監護人的同意,且應制定專門保護規則(第31條);敏感個人信息處理活動應當遵守其他法律、行政法規的特殊限制(第32條)。
特殊處理規則的適用前提是完成敏感個人信息的界定,《個人信息保護法》第28條第1款規定:“敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。”該款規定明確了敏感個人信息的法律基準為客觀權益侵害風險,回應了學界有關“敏感”到底是以個體主觀反應為基準,還是以客觀權益侵害風險為基準的爭議,具有重要的進步意義。然而,《個人信息保護法》第28條第1款對敏感個人信息的一般表述仍然較為籠統,各列舉項也極具涵括性,其與一般表述之間的邏輯對應有待揭示。
本文認為,敏感個人信息的界定須經歷三個遞進階段,一是確定敏感個人信息的法律基準,二是確定法律基準的具體維度,三是確定敏感個人信息的具體判定標準。第一階段解決敏感個人信息的法律語境切換,即“敏感”的法律化問題;第二階段確定權益侵害風險基準的具體維度,即什么程度的風險才符合敏感個人信息的風險基準;第三階段確定敏感個人信息的判定標準,即確定個人信息滿足何種特性時才達到敏感所要求的風險基準。《個人信息保護法》第28條第1款明確了敏感個人信息的法律基準,并在概念表述中提及了敏感個人信息的風險維度,但仍然存在以下兩方面的問題:一是未充分明確敏感個人信息風險基準的具體維度,有必要作進一步解釋;二是敏感個人信息的具體判定標準不明,學界有關判定標準的探討也還停留在風險描述層面,存在風險基準和判定標準的混同,故有必要予以闡明。
綜上,有必要在《個人信息保護法》第28條第1款的基礎上,對敏感個人信息的法律基準和范疇界定進行解釋說明。下文將圍繞敏感個人信息的法律基準、風險維度作進一步分析,并在優化界定路徑后提出敏感個人信息的具體判定標準,以期實現敏感個人信息概念的再厘清。
02
敏感個人信息的法律基準
《個人信息保護法》第28條第1款對敏感個人信息所作的一般表述,完成了“敏感”的法律語境切換,確定了敏感個人信息的法律基準,并從風險內容、風險程度、風險發生方式三個維度完成法律基準的填充。下文將逐一進行分析,以期呈現立法者所描繪的敏感個人信息基本樣態。
(一)“敏感”的法律語境切換——法律規制的高反應度
“敏感”一詞在日常用語中帶有主觀色彩,因此,有學者將個體的主觀反應度作為“敏感”的法律基準,認為法律語境下的敏感個人信息就是使人敏感的個人信息、用戶真正關心的個人信息。此種解讀以個體主觀因素作為“敏感”的法律基準,是語境切換不足的結果。從個體視角來看,“敏感”一詞是對該個體心理特征的描述,指個人對某種事物、現象等表現出高反應度。心理學上所探討的敏感度,受先天基因、成長環境和社會經驗的影響,有很強的個體差異性。如有著“感覺加工敏感”(sensory processing sensitivity)特質的“高敏感人群”(highly sensitive person)的感知閾值低、認知程度深,對外界刺激表現出更高的反應水平。若將“敏感”的心理學含義不作轉化地移植于法學語境中,敏感個人信息則指個人對該信息處理表現出高反應度的個人信息(即“使人敏感的個人信息”)。顯然,建立在個體主觀反應基準上的敏感個人信息,范疇則完全由個人決定,立法不可能以此為基準劃定確定的范疇,并將其作為信息處理的規制基礎。
本文認為,法律視角下,敏感個人信息不是“使人敏感的個人信息”,敏感也并非個體心理特征,而是指法律規制的高反應度。這一點可以從《個人信息保護法》有關敏感個人信息的立法邏輯和目的中得到印證:正是因為敏感個人信息處理更易導致人身、財產權益受侵害,處理規則才更為嚴格,敏感個人信息處理也就更易觸發法律規制,前者為規則本身的敏感性,后者為規則啟動的敏感性,二者相互統一。因此,《個人信息保護法》剝離了“敏感”界定的個體主觀心理因素,完成了“敏感”的法律化。“敏感”不以主觀心理敏感度為基準,而是指向法律規制的高反應度,確保了敏感個人信息作為法律概念的基本確定性。值得一提的是,日本《個人信息保護法》中的“需要特殊保護的個人信息”基本與我國“敏感個人信息”概念一致,這也在一定程度上揭示了“敏感”與法律規制高反應度之間的一致性。
(二)敏感個人信息的法律基準——權益侵害風險基準
當然,并非所有受到法律特殊保護的個人信息均為敏感個人信息,“敏感”有其特殊的法律基準,即權益侵害風險基準。從文義解釋來看,“敏感”對應的是“容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害”。首先,表述使用“容易導致”而非“導致”或“必然導致”,意味著“敏感”與侵害風險對應,不要求侵害必然發生。此種理解亦符合個人信息保護的風險防御功能,敏感個人信息作為特殊的個人信息,對風險進行特殊防御,其法律基準亦為風險基準。其次,“人格尊嚴受到侵害”、“人身、財產安全受到危害”表明風險指向人格尊嚴和人身、財產權利。需要說明的是,此處“受到侵害”與“受到危害”的表述并無實質區別。權益侵害既包括已經造成損害的情形,還包括危及人身、財產安全但還未造成現實損害后果的情形。“侵害”與“危害”均指正在危及或者已經造成現實損害,二者均為法定的侵權形式。
結合來看,敏感個人信息之所以促使法律規制高度敏感,乃是因為敏感個人信息具有權益侵害風險,敏感的法律基準為權益侵害風險基準,此處的“權益”既包括權利,也包括尚未權利化的法律保護的利益。權益侵害風險的法律基準在我國《信息安全技術 個人信息安全規范》亦有體現,其將敏感個人信息界定為“一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息”。
還須說明的是,敏感個人信息的客觀權益侵害風險基準使其區別于私密信息。《中華人民共和國民法典》(以下簡稱《民法典》)將個人信息區分為私密信息和非私密信息,私密信息屬于隱私,優先適用隱私權保護規則,非私密信息則適用個人信息處理規則。作為隱私的一種,私密信息須具有秘密性和私人性,秘密性即個人不愿其信息為人所知,且此種期待合理;私人性即信息保持私密不會影響公共利益、他人利益。由于受個人公開意愿的影響,私密信息范疇具有主觀性。而敏感個人信息采客觀的權益侵害風險基準,只有信息處理產生更高權益侵害風險才屬于敏感個人信息。因此,敏感個人信息與私密信息僅存在交叉關系:私密信息不一定屬于敏感個人信息,如個人不愿公開的考試成績屬于私密信息,但不符合敏感個人信息的風險基準;敏感個人信息也不一定屬于私密信息,如特定身份屬于敏感個人信息,但卻不一定具有私密性;私密信息達到敏感所要求的風險基準時,二者發生重疊,如個人不愿透露的身份信息、行動軌跡等,既是私密信息,也是敏感個人信息。
(三)權益侵害風險基準的具體維度
權益侵害風險在個人信息處理活動中普遍存在,并非敏感個人信息所獨有,因此,敏感個人信息的界定還須明確風險基準的具體維度,以完成與非敏感個人信息的界分。從文義來看,《個人信息保護法》第28條第1款對敏感個人信息的一般表述中包含風險內容、風險程度、風險發生方式三個維度,但各維度還須進行再解釋。
1.風險內容
敏感個人信息的風險內容乃風險指向的權益內容,即信息處理可能造成哪些個人權益受到侵害。在風險內容上,目前存在隱私權受侵害標準、平等權受侵害標準(即“歧視標準”)、人身和財產權利受侵害標準。隱私權受侵害標準即認為敏感個人信息的敏感性在于其處理易導致隱私權受到侵害,敏感個人信息界定之核心標準為信息內容與隱私的關聯程度。平等權受侵害標準認為敏感個人信息的處理風險在于可能導致歧視。人身和財產權利受侵害標準則認為敏感個人信息的處理風險在于可能導致人身、財產權利侵害的發生。《個人信息保護法》第28條第1款,則將風險內容指向人格尊嚴和人身、財產安全。
首先,《個人信息保護法》第28條第1款并未采用隱私權標準。擯棄單獨的隱私權標準具有合理性,其原因在于,個人信息安全風險并不僅僅指向隱私權,人格平等、人身自由、生命權、名譽權、財產權等諸多權利同樣在信息泄露和濫用中面臨風險。算法歧視、算法操控現象屢見不鮮,信息泄露引發的財產詐騙司空見慣。基于權利平等保護的價值理念,當上述人格權和財產權面臨高侵害風險時,應當與隱私權一樣獲得平等的法律保護。這也是風險內容不應局限于某些特定權利的原因。此外,單采隱私權標準,是將敏感個人信息等同于私密信息,不僅與《個人信息保護法》設置敏感個人信息分類的立法目的相左,且與立法所確立的敏感個人信息客觀風險基準相悖。
其次,《個人信息保護法》第28條第1款所述的“人格尊嚴”和“人身、財產安全”也不應局限為所謂“重大權利”。原因在于,所謂“重大權利”并非法定的權利類型,將風險內容限制為“重大權利”,只會引起處理規則的適用混亂。如按權利位階排序,人格權位階高于財產權,但若按損害后果的嚴重性排序,通常認為財產權比姓名權、肖像權等人格權更為重要,因此,“重大權利”并不存在確定標準和范圍,以此作為風險內容維度無益于敏感個人信息的界定,反而阻礙其發揮確定的指引作用。
本文認為,《個人信息保護法》第28條第1款實際采用了廣泛的人身、財產權益標準,對敏感個人信息的風險內容基本不作限制(個人信息權益除外),凡是容易因敏感個人信息泄露、非法使用受到侵害的權利或者利益,均屬于敏感個人信息的風險內容。條文中的“人身、財產安全”指向人身、財產權利,“人格尊嚴”則為敏感個人信息處理可能造成的尚未權利化的利益侵害兜底。
具體而言,“人身、財產安全”是指“人身、財產權利的安全”、“人身、財產權利不受侵害”,因此,風險內容包含人身、財產權利。此處的人身、財產權利包括生命權、身體權、健康權、姓名權、肖像權、名譽權、榮譽權、物權、債權等廣泛的個人權利類型,但一般人格權和個人信息權益除外。其原因在于,首先,一般人格權由《個人信息保護法》第28條第1款的“人格尊嚴”所涵括,故為避免重復,不包含在人身、財產安全所指向的人身、財產權利范疇內。其次,敏感個人信息的風險內容不應包含個人信息權益本身。將個人信息權益侵害納入風險內容存在“倒果為因”的邏輯錯誤。正是由于一項個人信息屬于敏感個人信息,應適用更為嚴格的處理規則,個人信息侵權要件才更易被觸發。可見,個人信息權益侵害風險高低實際上以完成敏感個人信息界定為前提,不應反過來成為敏感個人信息界定的風險基準。
“人格尊嚴”所指向的風險內容則是尚未權利化但同樣應受法律保護的其他人格權益,其作為一般人格權發揮兜底保護作用。我國民法典第990條乃人格權保護的一般規定,其第1款列舉了法律保護的具體人格權,第2款為一般人格權條款,規定基于人身自由、人格尊嚴產生的其他人格權益亦受法律保護。人身自由、人格尊嚴作為一般人格權產生的價值基礎,是立法者為應對新型人格權益侵害、避免具體人格權保護漏洞所設置的兜底保護條款。《個人信息保護法》第28條第1款將人格尊嚴侵害納入風險內容,意在通過人格尊嚴的一般人格權地位,將一旦泄露或者非法使用容易導致其他人格權益侵害的個人信息納入敏感個人信息范疇,以擴充敏感個人信息處理規則所保護的權益范圍。此一目的從《中華人民共和國個人信息保護法(草案二次審議稿)》(以下簡稱《個人信息保護法(草案二審稿)》)到《個人信息保護法》的立法流變也可以看出,《個人信息保護法(草案二審稿)》第29條第2款所規定的風險內容為“受到歧視”與“人身、財產安全受到嚴重危害”,《個人信息保護法》第28條第1款直接將“受到歧視”改為“人格尊嚴受到侵害”,以侵害人格尊嚴代替受到歧視,既囊括歧視所指向的人格平等,又進一步擴展了風險指向的權益內容,以應對個人信息處理中尚未權利化的和新型的利益侵害風險。此外,將人格尊嚴置于人身、財產安全之前,也與個人信息保護的根本出發點——人格尊嚴保護——相呼應。
當然,此處僅列舉人格尊嚴,并不包含《民法典》第990條第2款所規定的人身自由。本文認為,盡管《民法典》將一般人格權的派生基礎規定為人身自由、人格尊嚴,但從解釋上來講,人格尊嚴是相比于人身自由而言更為基礎的價值,尊重個人的身體行動自由和自主決定的自由,也是人格尊嚴的應有內容。因此,《個人信息保護法》第28條第1款中的“人格尊嚴”可解釋為包含人身自由,與以人身自由、人格尊嚴為價值基礎的其他人格權益等同。
綜上,敏感個人信息安全風險內容指向除個人信息權益之外的人身、財產權利和以人格尊嚴為價值基礎的其他人格權益,并不局限于隱私權和所謂的“重大權利”。可見,在風險內容上,敏感個人信息與非敏感個人信息并無不同,二者的區別主要體現在風險程度上。
2.風險程度
敏感個人信息的風險程度包含兩個方面:一是權益侵害程度,即作為敏感個人信息的權益侵害須達到何種程度;二是風險概率,即權益侵害風險的兌現概率。《個人信息保護法》第28條第1款表示權益侵害程度的是人格尊嚴“受到侵害”和人身、財產安全“受到危害”;表示風險兌現概率的是“容易導致”。依文義解釋,該款對風險程度采取統一的“一般權益侵害程度+更高風險兌現概率”標準,相比于《個人信息保護法(草案二審稿)》區分歧視和人身、財產侵害,并分別采取“一般權益侵害程度+無差別風險兌現概率”和“嚴重權益侵害程度+無差別風險概率”的做法,更能清晰體現敏感個人信息法律特性,構建科學合理的個人信息分類體系。
首先,從文義來看,《個人信息保護法》第28條第1款將《個人信息保護法(草案二審稿)》中的“人身、財產安全受到嚴重危害”改為“人身、財產安全受到危害”,刪除“嚴重”一詞,對敏感個人信息處理風險的權益侵害程度統一采一般侵害程度,即敏感個人信息所要求的風險只是人格尊嚴和人身、財產權利受侵害的風險,并不是權益受到嚴重侵害的風險。此一修改具有合理性。其理據在于,要求風險達到嚴重危害權益的程度,不僅無益于敏感個人信息范疇的劃定,且會產生不平等的差別保護,破壞處理規則的規制作用。具體而言,一是,權益侵害程度是否嚴重與信息敏感與否關系甚微。權益侵害后果嚴重與否,更多是受被侵害的權利內容(如侵害生命權還是財產權)、受害人具體狀況、行為人的侵權手段等因素的影響,與信息敏感與否關聯度低。如因電話號碼泄露引發的電信詐騙可能給受害人造成巨額財產損失,也可能僅對信息主體造成叨擾,這與信息主體的自我保護意識、社會經驗、經濟狀況以及行為人的誘導能力、欺騙手段等關系更為密切。因此,引入與敏感關系甚微的“嚴重”一詞,無益于敏感個人信息范疇的劃定。二是,要求侵害達到嚴重程度,會造成不平等的差別保護。如由于經濟實力差異,富人賬戶信息泄露造成的財產損失重于窮人,更易達到嚴重程度之要求,由此造成的后果是,只有富人的賬戶信息才屬于敏感個人信息,受到更高程度的保護,這顯然與平等原則相悖。三是,從我國立法和司法實踐可以看出,危害嚴重與否是對損害后果進行事后的、確切的判定,預測性弱,不應將其作為指引規則適用的概念之界定標準。如在涉及侵害身體權、健康權的精神損害賠償案件中,法官往往以損害后果達到何種傷殘等級來判斷損害后果是否達到嚴重程度。又如《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對侵犯公民個人信息罪之情節嚴重的認定多以具體的危害結果作為標準,如“非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的”、“非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的”。可見,要求侵害達到嚴重程度,會導致敏感個人信息淪為事后概念,瓦解處理規則的防御規制意義。
其次,《個人信息保護法》第28條第1款對敏感個人信息處理風險的兌現概率采高于非敏感個人信息的“更高風險概率”。從文義上來看,該款將《個人信息保護法(草案二審稿)》的“可能導致”改為“容易導致”。從“可能”到“容易”,立法者顯然對敏感個人信息的風險兌現概率作了更高要求。至于這一更高要求的標準何在?本文認為,應以高于非敏感個人信息之風險兌現概率為必要。“容易”應解釋為相對于非敏感個人信息而言,敏感個人信息處理須更可能侵害人格尊嚴和人身、財產權利。其原因在于,在數據技術高度發達的今天,任何個人信息處理都存在權益侵害風險;且隨著技術的逐漸成熟,風險形式從傳統的識別型侵害風險向歧視型、控制型侵害風險擴散,風險波及的權利范圍也隨之擴張。在風險內容上,非敏感個人信息與敏感個人信息并無差異。若不對敏感個人信息的風險兌現概率作更高限制,則難以區分敏感個人信息與非敏感個人信息。要求敏感個人信息存在更高風險兌現概率,明確敏感個人信息與非敏感個人信息的根本區別,既有助于構建清晰的個人信息分類體系,又明確了敏感個人信息受到特殊保護的根本原因:某些個人信息之所以“敏感”,是由于此類信息處理更可能被用于違法行為、導致權益侵害,因而需要法律特殊規制。因此,敏感個人信息之風險程度的特殊性凸顯于其風險兌現概率,風險程度為“一般權益侵害程度+更高風險兌現概率”,不同于非敏感個人信息的“一般權益侵害程度+無差別風險兌現概率”。
3.風險發生方式
《個人信息保護法》第28條第1款將敏感個人信息的風險發生方式區分為泄露和非法使用,分別對應泄露型風險和非法使用型風險。兩種風險類型的主要區別為信息作用機制的差異。泄露型風險是僅因信息泄露即被觸發的權益侵害風險,典型的泄露型風險為隱私權受侵害的風險和平等權受侵害的風險(即歧視風險);非法使用型風險則主要是利用信息、以信息作為行為控制工具時引發的權益侵害風險,其風險內容范疇更廣,包括生命權、身體權、健康權、隱私權等人格權受侵害的風險和財產權受侵害的風險。
前文對敏感個人信息的法律基準及其維度進行了系統分析,主要內容總結于下表1。
表1 敏感個人信息權益侵害風險基準的三個維度
圖片
03
敏感個人信息的雙重界定路徑
敏感個人信息權益侵害風險基準和風險維度的明確,一定程度上明晰了敏感個人信息的范疇,但仍面臨挑戰:如何判定個人信息泄露或非法使用的風險達到敏感的風險維度?《個人信息保護法》第28條第1款并未涉及判定標準,有必要予以明確。為實現這一目標,不少學者提出敏感個人信息的場景化界定方案,主張在具體場景中完成敏感個人信息的界定。場景融入路徑有其合理性,但其忽視了風險發生的內因,不能獨立完成敏感個人信息的界定。本文認為,敏感個人信息的界定應并用場景抽離和場景融入路徑。
(一)場景融入路徑的局限性
場景融入路徑,即在個人信息處理的具體場景中界定該個人信息處理風險是否達到敏感個人信息處理的風險基準。國內場景融入方法主要是受到美國學者尼森鮑姆(Nissenbaum)“場景完整性理論”(contextual integrity)的啟發。為應對信息技術帶來的隱私保護挑戰,場景完整性理論將隱私保護與具體場景相關聯,將隱私權是否受到保護轉變為個人信息披露和流通是否符合特定場景的合理性規范和信息流通規范問題。以場景融入的路徑界定敏感個人信息,繼受了場景完整性理論的內在理念,主張在具體場景中考量個人信息處理風險大小,以解決敏感個人信息的動態界定問題。場景融入有助于提供更為確定的風險評估環境,緩解敏感個人信息界定的不確定性,有其必要性。然而,場景融入路徑亦存在如下兩方面缺陷:一是,場景融入路徑是對敏感個人信息范疇的不確定性進行被動消化,敏感個人信息只能在特定場景下即時確定。在此被動模式之下,敏感個人信息范疇多隨場景變動,只能成為事后救濟是否啟動的標準,處理規則的預防功能難以實現。二是,單一場景融入路徑仍然無法解決敏感個人信息的界定問題,一項個人信息是否為敏感個人信息,仍須在具體的場景中尋求更為根本恒定的認定標準,場景始終只是影響個人信息處理風險的外因,穿透場景尋求內因才是敏感個人信息界定的終極方案。因此,僅靠場景融入路徑,無法完成敏感個人信息范疇的劃定。
(二)雙重路徑——場景抽離與場景融入并用
基于場景融入路徑的局限性,本文提出場景抽離路徑,具體包括場景預先剝離和場景穿透兩種形式,一是通過場景預先剝離構筑敏感個人信息的先在確定范疇,即抽離具體的、特定的場景,只關注哪些信息在其絕大多數處理場景中具有更高的權益侵害風險,這類敏感個人信息始終適用特殊處理規則,無論具體處理場景為何;二是場景穿透,是在融入場景后,穿透場景尋求敏感個人信息的根本認定標準,這類敏感個人信息僅在該特場景下適用特殊處理規則。二者的區別在于,前者不預設個人信息處理的特定場景,是在具體場景發生前而非發生時預判個人信息處理風險,以實現敏感個人信息的先在界定;后者是在特定場景發生之后,再進行場景穿透,探尋場景這一外部作用機制所引發的內因變動,以完成敏感個人信息的界定。無論是場景預先剝離還是場景穿透,均關注影響個人信息處理風險的內因,其本質是通過判斷信息內容是否足以獨立地或者在場景刺激下引發更高的權益侵害風險來界定敏感個人信息。
敏感個人信息界定并用場景抽離路徑和場景融入路徑有其必要性。
首先,從敏感個人信息處理制度的功能實現來看,場景抽離與場景融入的結合具有必要性。為實現敏感個人信息的預防保護和周全救濟,敏感個人信息界定須同時發揮先在指引功能和動態矯正功能,全面保護和雙重功能的實現以場景預先剝離和場景融入的并用為必要。
在敏感個人信息保護體系中,預防手段最為契合其防范多元權益侵害風險的目的,無論是歐盟《通用數據保護條例》、日本《個人信息保護法》,還是我國《信息安全技術 個人信息安全規范》以及《個人信息保護法》,均將預防保護作為風險控制的關鍵,在規則設置上紛紛提高處理門檻、嚴格告知同意要件以在信息處理之前盡量降低侵害風險。因此,敏感個人信息的界定必須為預防保護的實現留有空間,其指引不僅僅是確定的指引,還須包括先在的指引。先在指引功能要求敏感個人信息范疇具有先在的確定性,單純強調場景融入路徑很大程度上妨礙了此項功能的發揮。因此,通過場景預先剝離,挖掘不受具體場景左右的敏感個人信息的先在確定范疇,有助于構建完整的敏感個人信息概念體系,充實處理規則的規制層次,更好地應對復雜的敏感個人信息處理實踐。
當然,為彌補先在確定范疇封閉僵化造成的保護漏洞,敏感個人信息概念還須發揮動態矯正功能,將未納入先在確定范疇但又在特定場景下轉化為敏感個人信息的信息納入特殊規制范圍內。場景融入路徑則是周全保護敏感個人信息的動態策略,其保持了敏感個人信息范疇的彈性,確保事實上的敏感個人信息得到法律特殊保護。因此,場景預先剝離和場景融入的結合有助于實現敏感個人信息概念確定性與靈活性的平衡,發揮處理規則的周全保護作用。
第二,從個人信息處理風險的影響因素來看,場景抽離和場景融入的結合具有必要性。個人信息處理風險同時受信息內容和其所處場景兩方面的影響。內容是個人信息承載利益、與他人和社會發生聯結的基點,也是侵害風險存在的基礎,信息無內容就無法與個人和社會產生互動,風險亦不存在。信息處理風險的產生歸因于信息內容的泄露或非法使用。因此,內容是風險產生的內因。場景則通過改變信息內容的屬性影響信息處理風險。在信息內容被充分解析利用的場景中,其風險也更高,而在信息內容未被理解和利用場景中,風險也就保持在低水平。以基因序列為例,基因序列信息的理解和利用需要在醫學、生物學等專業場景中實現,于常人來說則并非易事。因此,基因序列信息敏感度在一般社會場景中遠低于專業場景(如科學研究),后一場景中基因序列信息的濫用風險大大提高。從內容和場景的作用來看,基因序列信息內容本身是風險發生的根源和內因,場景變化改變內容的可理解、可利用屬性,進而改變風險程度。因此,即使在場景融入路徑下,風險評估仍須回歸信息內容本身,通過探尋場景引起的信息內容變動,認定敏感個人信息。
可見,內容是風險產生和存在的內因,場景是作用于內容屬性從而改變風險程度的外因。敏感個人信息的界定應當同時考量內容要素和場景要素兩個方面,前者關注當個人信息內容具有哪些屬性時風險達到敏感基準,須通過場景抽離路徑實現;后者關注哪些場景要素足以改變以及如何改變個人信息內容屬性,使其處理存在更高風險,須通過場景融入路徑實現。
總之,場景抽離與場景融入在敏感個人信息的界定中互為輔助,場景預先剝離與場景融入的結合有助于構建先在確定和即時確定的敏感個人信息的完整范疇,最大程度地發揮相關處理規則的規制作用;場景融入路徑最終必然導向場景穿透,場景要素如何觸發個人信息處理風險,仍須審查其對信息內容屬性的影響。
04
敏感個人信息的判定標準
(一)場景抽離——回歸作為內因的信息內容
場景抽離路徑意在使敏感個人信息的界定脫離或穿透某一具體場景的限制,回歸信息內容本身,探討風險存在和發生的內因。在場景預先剝離語境下,信息內容本身就醞釀更高的權益侵害風險,無須場景作為額外觸發機制;在場景穿透語境下,場景要素改變信息內容,使其具備觸發高風險的特有屬性。因此,敏感個人信息的判定標準最終指向易引發權益侵害的信息內容屬性。本文認為,具有強工具性和唯一識別性的個人信息為敏感個人信息。
1.強工具性
信息內容的工具性越強,越易引發權益侵害風險,尤其是非法使用型風險。欲論證此觀點,首先須釋明信息與行為之間的本質關聯。在認識論范疇上,信息是主體與物質間的相互作用,其存在于個人對外界的感知和辨認中,具有屬人性。信息活動本質上是認識活動,其與實踐之間存在密切聯系。一方面,信息只有以行為控制為目的,才有被認識的需要,才有可能成為信息。另一方面,主體在實踐中都是“以信息方式具身的有機體”,主體行為和決策伴隨信息的獲取和傳遞,社會關系發生的過程是信息互相連接、嵌入的過程。行為和決策以信息為必要,主體獲取信息目的在于實現和保障行為控制。社會經驗也傳達著信息在行為決策中的重要性:掌握充足信息的主體往往更易在博弈中占得優勢。
信息是行為控制的必要工具,其有助于科學決策,但也可能被作為侵權、犯罪和其他違法行為的實施工具。大量因個人信息濫用引發的違法行為印證了這一點:詐騙、以他人名義辦理信用卡、冒名頂替上學等皆以獲取受害人充足的個人信息為前提。可以說,信息安全風險之所以前所未有,與“信息爆炸”導致信息作為工具的可得性大大提高密不可分,其客觀上刺激了違法意圖的滋生,降低了違法行為的實施難度。
信息普遍存在工具性,但在工具性的強度上存在差異。例如,身高信息的工具性顯然弱于姓名,前者作為描述性信息,多僅用于向他人展示個人特質,后者則是個人在社會關系中標識和表征自己的符號,充當著最為基本的社交工具。應當認為,相比于非敏感個人信息,敏感個人信息的內容須具有強工具性,其高度可利用的特性在刺激惡意滋生、降低侵害難度等方面作用明顯,客觀上增加了違法行為主體數量、違法行為方式和違法行為發生概率。至于敏感個人信息的強工具性如何判定,本文認為須從信息內容是否易于認知、是否具有強中介作用兩個維度考量。
(1)易于認知
第一,個人信息的強工具性以其內容易于認知為必要條件。強工具性直接表現為高度可利用性。利用以認知為基礎,因此,信息內容易于認知是衡量強工具性的標準之一。易于認知描述的是個人信息內容可被信息處理者理解的特性。易于認知的特性并不排斥技術處理,那些廣泛應用于社會生活且與信息高度結合的技術(如指紋識別技術、面部識別技術),已經內化為信息易于認知的基礎。個人信息內容是否易于認知主要受到兩個因素的影響:一是內容本身是否超出信息處理者的認知能力;二是內容表現形式是否超出信息處理者的認知能力。若信息內容本身處于信息處理者的認知盲區或需要信息處理者額外耗費巨大精力才能習得,其通常難以被用于控制行為;若信息形式超出信息處理者的認知能力,信息內容亦不易于認知,如由0和1組成的代碼對于不掌握代碼知識和數據技術的普通個人而言就難以理解。因此,作為敏感個人信息的內容必須同時在表現形式和內容上易于認知,難以被信息處理者所認知的個人信息由于工具性弱,不應被界定為敏感個人信息。必須強調的是,在場景預先剝離路徑之下,先在確定的敏感個人信息,必須是信息內容和信息形式能被普遍認知的信息,如身份證號碼。除此之外,易于認知性則受場景影響,須在場景中作具體判定。
(2)強中介作用
個人信息的強工具性還須以信息內容的強中介作用為要件。易于認知是信息內容具備強工具性的必要非充分條件,易于理解而難以為信息處理者利用的個人信息廣泛存在,如某個人的身高、興趣愛好之于一般人而言,并無用處。因此,信息內容的強工具性還須以信息具有強中介作用為必要。
信息可以作為聯結主觀世界和客觀世界的中介,其中介作用體現為兩個層次:一是客觀世界通過信息傳遞改變主觀認知,二是將已認知的信息用于改造客觀物質世界。上述關于信息中介作用的哲學描述在個人信息利用中則體現為主體獲取個人信息和將該個人信息用于行為控制兩個階段。第一層次的中介作用涉及前文討論的易于認知性,此處所說的強中介作用則是指第二層次的中介作用,即可用于改造客觀世界、作用于他人的屬性。不同信息在中介作用上存在區別,如身份證號碼相比于個人的身高、職業等描述性信息,顯然在個人行為中發揮更為顯著的中介作用,實踐中冒用身份證也是個人信息濫用行為的“重災區”。
強中介作用要求信息內容被必要且普遍地用于能夠影響個人信息主體利益的行為中。一方面,個人在行為實施中對信息具有高度需求,即個人信息利用是行為實施的必要工具,且此種必要性普遍存在,當信息處理者在多數場景或特定場景的多數情形中均須利用某種個人信息時,該個人信息即具有強中介作用。另一方面,該信息還必須作用于影響個人信息主體利益的行為中。例如,身份證號碼的強中介作用體現在:一方面,其是個人證明身份、他人驗證身份的可信表征,而身份認證往往是行為實施的第一步,如在申領信用卡、注冊微信賬號、簽訂合同、辦理酒店入住等場景中,均要求進行身份認證,身份證號碼的中介作用在多數場景中均有體現,其使用具有普遍的必要性。另一方面,上述行為與個人信息主體利益有直接關聯,如身份證一旦被他人冒用,極易導致本不應由該個人承受的法律關系歸于其名下。與此類似的還有人臉信息。隨著面部識別技術的推廣,“刷臉”成為身份驗證的又一普遍方式,酒店入住、景點游覽、小區出入、銀行開戶等都以人臉識別為必要,人臉信息無疑也具有強中介作用。相比而言,身高的中介作用則弱得多,多數行為實施不以知曉身高信息為必要,且身高信息的可利用性弱,利用身高信息實施的影響個人信息主體利益的行為有限,權益侵害風險較小。
2.唯一識別性
敏感個人信息還應具有唯一識別性,可以用于區分出特定的個人。其原因在于,任何權益侵害的發生都有特定的受害人,而具有唯一識別性的個人信息最有助于侵害人挑選、確定受害人,也是行為人為降低侵權失敗風險所極力獲取的信息類型。相比于僅具有直接識別性甚至間接識別性的個人信息,唯一識別性信息是可靠的個人區分工具,具備唯一識別性的個人信息更容易導致權益侵害發生。正因如此,唯一識別性是判斷強工具性的標準之一,只有具備唯一識別性的信息才被認定為具備強工具性。
唯一識別性首先要求敏感個人信息的內容具有直接識別性而非間接識別性。僅具間接識別性的個人信息難以單獨識別個人,侵權風險低,無須受特殊保護。唯一識別性其次要求敏感個人信息內容與個人一一對應,僅具有直接識別性而不具有一一對應性的個人信息亦不宜被認定為敏感個人信息,如姓名、MAC地址等。這主要是基于利益平衡的考慮,敏感個人信息適用特殊保護規則,在信息收集、利用規則上受到嚴格限制,僅要求敏感個人信息具有直接識別性將過分抑制信息利用價值的發揮,也有損他人的自由。正是出于保護他人行為自由的考量,不具唯一識別性的姓名在各國立法例中并未被作為敏感個人信息受到特殊保護。必須注意的是,唯一識別性以區分出特定個人為已足,并不要求指明特定個人的身份。
此外,具備唯一識別性的個人信息未必具有強工具性(但仍須易于認知),但仍有可能被界定為敏感個人信息。其中典型的是,容易導致歧視的信息內容(如某人患有艾滋病的信息、有傳染病史的信息等)。此類信息雖不是行為控制的必要工具,但一旦泄露易誘發偏見,導致歧視,侵害個人信息主體的人格尊嚴,因此應當被界定為敏感個人信息。《個人信息保護法》第28條第1款所列舉的宗教信仰即屬此類。需要明確的是,此類信息必須是容易誘發社會偏見而非個人偏見的信息內容。其原因在于,單純的個人偏見極具主觀性,與敏感個人信息法律基準的客觀性不符,且個人與遭受偏見者往往力量相當,個人偏見難以外化為歧視。而社會偏見是大眾心理、文化觀念、經濟發展水平等社會客觀因素長期積淀的結果,是社會發展形成的客觀烙印,普遍存在于個人觀念中,具有普遍性和客觀性,且社會偏見背后往往有強大的權力支撐,足以壓制被歧視者的反抗力量,外化為歧視。
綜上所述,場景抽離路徑下,當一項信息內容具有強工具性和唯一識別性時,其處理風險達到“敏感”的法律基準,應被認定為敏感個人信息。在場景預先剝離語境下,內容具有上述屬性的個人信息屬于先在確定的敏感個人信息;在穿透場景語境下,個人信息因場景要素獲得上述內容屬性才轉化為敏感個人信息,屬于即時確定的敏感個人信息。
(二)場景融入——觸發內因的外部場景要素
非敏感個人信息在特定場景下轉變為敏感個人信息,是作為外因的場景改變信息內容屬性、增加風險概率的結果。一方面,信息處理風險的高低最終仍然取決于信息內容是否具有強工具性和唯一識別性;另一方面,場景促使信息內容具備敏感屬性時,非敏感個人信息轉化為敏感個人信息。因此,采行場景融入路徑的核心在于探討哪些場景因素可以使信息內容獲得強工具性和唯一識別性。
1.信息處理者的認知能力
敏感個人信息無論是具有強工具性還是唯一識別性,都必須以易于認知為必要。在特定場景下,信息是否易于認知,主要受信息處理者的認知能力的影響。
具體而言,信息處理者的認知能力受信息處理者的主觀認知能力、客觀認知技術兩方面的影響。就信息處理者的主觀認知能力而言,當特定場景下信息處理者具有理解信息所必要的、專業的知識時,信息相對于處理者而言具有易于認知性,如掌握密碼規律的信息處理者才可以輕松破譯密碼內容。就信息處理者的客觀認知技術而言,信息處理技術越先進,信息越易被認知,如大數據技術可以讀取和分析非結構化數據的具體信息內容,非結構化數據相對于數據技術的控制者而言,即具有易于認知性。當然,在現代技術場景下,主觀認知能力和客觀認知技術通常同時發揮作用,信息處理者借助大數據技術和算法技術獲得了強大的信息認知能力,可以快速地從諸多數據中解析信息內容。
信息處理者認知能力的改變也可能會促使信息內容隱藏的唯一識別性顯現出來。若該信息的唯一識別性因難以認知而被隱匿,當信息處理者認知能力達到要求時,唯一識別性“從隱到現”的轉變與信息易于認知性的形成一并發生。同樣地,易于認知性的產生也可能一并呈現信息的強中介作用或社會偏見內容,從而發生非敏感個人信息向敏感個人信息的轉化。
2.信息處理者的信息應用能力
信息處理者的信息應用能力影響信息的中介作用,信息處理者應用能力越強,越能充分挖掘信息的可利用價值。信息認知能力是信息應用能力的基礎,前者的提升可改善后者。除此之外,應用前景開發能力是信息應用能力評估的重要考量因素。在一般情況下,可利用的信息范圍和信息的可利用性受制于目的實現所需的信息范疇及信息關聯度要求。因此,能夠創新應用目的、降低信息關聯度要求,即可實現信息應用范圍和應用程度的改善,擴大具有強中介作用的個人信息范圍。例如,大數據技術場景下,信息處理者的應用不再受限于已確定的目的,而是可以根據信息內容創新應用方向,且僅需信息與目的之間具有相關關系即可,此時,信息的應用方向獲得極大延展,具備強中介作用的信息范疇亦相應擴張。
3.信息存在狀態
信息存在的狀態會影響信息內容本身和內容呈現程度,從而改變信息內容的屬性。通常而言,處于單個狀態的信息,內容零碎、難以理解、識別性弱、可利用性差,其權益侵害風險也低;而信息處于匯聚狀態時,信息內容可通過相互聯系、相互補充而充分展現,從而提高信息的可認知性、識別性和可利用性,其處理風險亦增加。因此,信息是否處于匯聚狀態以及匯聚程度,是判定信息是否敏感的場景要素之一。
事實上,信息匯聚場景要素在私密信息保護的司法實踐中已有應用。在龐理鵬訴中國東方航空股份有限公司、北京趣拿信息技術有限公司隱私權糾紛案中,法院在機票預訂場景下將姓名、電話號碼與行程信息一道認定為私密信息;法院認為,原告單獨的姓名和電話號碼作為社交工具不構成隱私,然而上述信息在機票預訂場景中與個人的行程信息結合,完全可以與特定的個人相匹配,進而判決被告擅自收集和使用原告姓名、電話號碼構成隱私權侵權。此時姓名和電話號碼在匯聚場景下獲得私密性,轉化為私密信息,受到特殊保護。非敏感個人信息因匯聚轉變為敏感個人信息的認定思路與此一致。必須明確的是,在信息匯聚場景下,個人信息的敏感性是就匯聚信息整體而言的,敏感個人信息特殊保護規則的適用也僅針對匯聚的個人信息,脫離匯聚狀態的個人信息,不再具有敏感性。
4.特殊場景要素——信息主體為未成年人
除上述影響信息內容屬性的場景要素之外,還存在一項特殊的場景要素,同樣會改變信息處理風險程度,即個人信息主體為未成年人。《個人信息保護法》第28條第1款在《個人信息保護法(草案二審稿)》基礎上,將未成年人個人信息明確規定為敏感個人信息。由此,無論個人信息內容為何,只要信息主體為未成年人,均應適用敏感個人信息處理規則。
本文認為,此種立法安排是從信息主體端而非信息處理者端考察信息處理風險,其主要是出于未成年人信息控制能力弱、信息暴露程度高兩方面的考量。首先,未成年人不具備完全民事行為能力,其信息控制能力普遍較弱,極易在未充分知曉處理目的、方式、范圍和風險的前提下任意授權。相比于其他信息主體而言,此類信息主體更易遭受信息泄露和非法使用,權益遭受侵害的風險也更大。其次,相比于其他不具備完全民事行為能力的個人信息主體,未成年人又是充分參與社會,尤其是信息處理集中的網絡虛擬世界的“活躍分子”,其信息更充分地暴露在信息處理者面前,面臨更大的安全風險。因此,《個人信息保護法》將未成年人個人信息單獨列為敏感個人信息的立法安排,同樣是基于更高的處理風險,與立法對敏感個人信息在個人信息分類體系中的定位相匹配。
5.典型的信息轉化場景——以自動化決策場景為例
自動化決策是以大數據和人工智能為技術支持的算法應用,其代替個人完成數據處理并自動生成決策,已被普遍應用于廣告推送、信用評級等方面。自動化決策是非敏感個人信息轉化為敏感個人信息的絕佳場景。首先,自動化決策以深度學習、神經網絡等數據分析技術為依托,信息處理者掌握了先進的信息分析工具和極強的信息分析能力,信息間的關聯性和蓋然性被廣泛揭示和利用。其次,自動化決策以巨量數據為決策基礎,大量識別性弱的數據匯聚形成具有唯一識別性的個人信息聚合形態。因此,在自動化決策場景下,非敏感個人信息極易因分析技術先進、匯聚程度高而易于認知、利用和區分個人,從而轉化為敏感個人信息,其處理風險普遍高于非自動化處理場景下的風險水平。
除了信息處理技術和信息匯聚催化處理風險外,算法錯誤、算法黑箱進一步加劇了自動化決策中的權益侵害風險和保護難度。因此,在立法選擇和司法實踐中,與費心在自動化場景之下辨別敏感個人信息相比,更明智的是將自動化決策作為特殊處理場景進行單獨規制。在自動化決策中,場景規制相比信息分類規制的優勢在于,可以通過整體性的特殊場景規制實現敏感個人信息的高度動態保護。當然,特殊場景規制與信息分類規制并不沖突,敏感個人信息的自動化決策須同時符合敏感個人信息處理規則和自動化處理規則,但對于界定困難的個人信息,則可受到自動化決策處理規則的特殊保護,以緩解敏感個人信息轉化頻繁帶來的跟蹤規制壓力。《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》的出臺,即體現了依場景區分規制的思路。
綜上,在場景融入路徑下,信息處理者的信息認知能力、信息處理者的信息應用能力、信息存在狀態以及信息主體為未成年人是影響處理風險的主要場景要素。除未成年人個人信息外,在適用過程中,需要判定場景要素的樣態,在融入場景之后,對內容屬性進行再分析。場景融入認定的敏感個人信息具有即時性,超出此一場景則須重新考察內容屬性。
05
結語:關于《個人信息保護法》第28條第1款的解釋
(一)界定條款一般表述的解釋
前文有關敏感個人信息的風險基準、風險維度的闡釋,基本完成了對敏感個人信息界定條款一般表述的解釋,總結如下:我國敏感個人信息采客觀權益侵害風險標準,風險內容指向除個人信息權益之外的廣泛人身、財產權益,其中“人身、財產安全”則指向人身、財產權利,“人格尊嚴”則指向尚未類型化的法律保護的其他人格權益;風險程度則為“一般權益侵害程度+更高風險兌現概率”,風險所要求的權益侵害程度不以達到嚴重程度為必要,人格尊嚴“受到侵害”和人身、財產安全“受到危害”即可,權益侵害風險兌現概率則須達到“容易”程度,以高于非敏感個人信息的風險兌現概率為必要;風險發生形式主要為泄露型風險和非法使用型風險。
此外,界定條款一般表述應同時包含兩個范疇的敏感個人信息,即先在確定范疇和即時確定范疇。先在確定的敏感個人信息處理始終適用特殊處理規則,不受具體處理場景的影響;即時確定的敏感個人信息處理則僅在對應場景下適用特殊處理規則,其他情形則適用一般處理規則。本文認為,身份證信息、護照信息等通用的唯一身份認證信息屬于先在確定的敏感個人信息,信息處理者在任何場景處理信息主體的上述信息時,都應遵循敏感個人信息處理規則。
(二)界定條款各列舉項的解釋
《個人信息保護法》第28條第1款在一般表述之外,明確列舉生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡為敏感個人信息,并以“等”字兜底。然而,各列舉項涵括性強,包含諸多具體的個人信息類型,不可一概視為敏感個人信息,適用時仍須作具體判定。
首先,各列舉項所包含的個人信息并非當然屬于敏感個人信息,具體判定仍須滿足“敏感”的法律基準和判定標準。界定條款各列舉項所涉內容廣泛,并非指向某一特定信息。其中,生物識別指個人生物識別信息,包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部特征等;宗教信仰包括是否信仰宗教、信仰何種宗教的信息;特定身份既包括身份證、軍官證、護照、駕駛證等,還包括職業身份;醫療健康信息既包括個人的就診記錄、用藥記錄、病史、身體癥狀等醫療活動中產生的信息,還包括體重、心率、身高、肺活量等衡量個人健康狀況的信息;金融賬戶信息既包括銀行賬戶、股票賬戶、支付寶賬戶,還包括賬戶密碼、支付口令等;行蹤軌跡則包括訪問地點、出行時間、出行方式等等。單從文義解釋來看,各列舉項既涉及敏感個人信息(如身份證、傳染病史等),又涉及非敏感個人信息(如身高)。因此,各列舉項應視作對敏感個人信息常見類別的提示,敏感個人信息界定不能以是否屬于各列舉項為標準,仍須回到是否符合敏感風險基準的判定上。
其次,上述列舉項并非單個狀態的信息,而是指聚合狀態的信息。列舉類別是個人信息要義的指征,但各列舉項應當解釋為以此為核心要義的聚合信息群。如行蹤信息并非指某一地點,而是指“信息主體去過或者將要去某一地點(甚至還包括行程時間)”這類信息群。強調各列舉項處于聚合狀態的原因在于,單個信息往往呈現碎片化特點,內容和利用價值均十分有限,若將列舉信息解釋為單個信息,則會得出一切信息均不足以單獨產生權益侵害風險而不屬于敏感個人信息的結論,與信息處理實踐相去甚遠,于司法爭議處理也毫無意義。且單個信息顯然不滿足敏感個人信息所必須的易于認知性和唯一識別性,孤立解釋上述信息,只會陷入適用僵局。
最后,《個人信息保護法》第28條第1款采取不完全列舉,敏感個人信息不限于上述類別,其他類別的個人信息滿足敏感風險基準的,亦屬于敏感個人信息,如性取向、未公開的違法犯罪記錄等,這些信息一旦泄露,不僅侵犯隱私權,且容易引發歧視。
