考慮到目前關于個人敏感信息的界定問題,切合時代發展又符合中國實際的深入研究尚有不足,本文擬通過考察我國現行個人敏感信息的規定及問題,分析區分個人敏感信息和一般信息的必要性和可行性,討論個人敏感信息的界定方法和確立個人敏感信息的考慮因素,進而提出我國個人敏感信息的具體種類設想,力圖為我國個人信息保護立法提供一定參考。
一、問題的提起: 我國現行法對個人敏感信息之規定及困境
目前,我國對個人信息保護的法律法規散見于不同部門發布的規范性文件。從這些規范性文件來看: (一)個人敏感信息與個人一般信息的分類已有體現;(二)現行法對個人敏感信息的規定存在抵牾。
總體而言,我國現行規范性文件關于個人敏感信息的規定凸顯的問題在于: 首先,高位階的法律未充分認識到個人信息區分的必要性。就法律層面而言,對個人信息的重要程度、可能對個人造成的危害程度未能充分認識并有效區分,且對個人信息的收集采取過于寬松的態度,而某些行政法規又采取過于僵硬的措施,導致法律與行政法規間適用的沖突;其次,個人敏感信息的界定標準缺乏共識。我國低層次的規范性文件已經對個人信息作出區分,但由于對如何認定個人敏感信息、個人敏感信息究竟應包括哪些種類等問題缺乏共識,導致不同機構甚至同一機構規定出現混亂和抵牾。這些問題的存在,凸顯我國高位階的統一立法對個人信息予以區分、并對個人敏感信息作出明確界定的迫切性。
二、未來我國立法的基本設想:區分個人敏感信息與個人一般信息
(一)從個人信息敏感度視角看個人信息區分的必要性
20世紀70年代起,隨著信息通訊技術的發展,許多國家開始了個人信息保護的立法實踐,并大體形成了兩種立法模式: 制定《個人信息保護法》的歐盟統一立法模式和將個人信息保護納入隱私權保護體系的美國分散立法模式。
在我國,對于個人信息與隱私的關系,主流意見認為兩者是交叉關系、相互存在一定的重合。筆者贊同用“三分法”來區分隱私與個人信息,即分為純粹的個人隱私、隱私性信息、純粹的個人信息。而且,筆者進一步提出,對個人信息應主要根據信息敏感度等因素的差異,區分為敏感信息和一般信息。
敏感在英文中的含義豐富,根據梅里亞姆—韋伯斯特詞典的解釋,其中之一的含義是“高度反應或易受影響: 例如容易受到傷害或造成損失: 特別是精神上的傷害”。可見,所謂“敏感”是對特定的因素具有高反應度,個人信息的敏感度描述的是個人信息對信息主體造成傷害或影響的程度。
個人信息是通過一定形式,尤其是電子數據表現出來的個人情況,現代社會中,個人的幾乎所有情況都可能成為個人信息。受道德、習俗等多重因素影響,某些個人信息的泄露對個人尊嚴或財產會造成嚴重影響,而另一些信息的傳播對個人生活影響則相對較弱。我國大多數公眾也認為信息存在敏感與一般之分。
某些信息具有高敏感度,一旦泄露可能導致人格受損、引發歧視和妨害人格尊嚴,是需對其進行特殊保護的根本原因。只有將這些信息與一般個人信息予以區分,給其貼上敏感信息的預警標簽,從信息處理的實體和程序要求上提供更加嚴格的保護,才能夠全面提升對敏感信息的保護水平。
(二)從企業經濟成本視角看個人信息區分的必要性
網絡信息化社會的個人信息存在兩種最直接的利用價值: 商業利用價值和公共管理價值。個人信息保護法需要在個人信息保護和個人信息的利用、信息自由之間獲得平衡。考察個人信息保護制度的發展歷程,不同國家和地區制度設計的主線是個人信息自主模式的發展,這種模式的實現倚重于“通知—同意”的程序性機制設計:信息收集前通知信息主體,信息主體同意后方可收集和使用信息。我國的法律規定亦大體如此,對于信息的取得,從《消費者權益保護法》到《網絡安全法》均構筑了以同意規則為中心的信息保護模式。
但是,信息自主模式和同意規則在近些年受到諸多質疑,有學者認為,冗長而復雜的隱私條款,不加區分的同意,增加了消費者的同意成本,造成“實踐中適用同意規則流于形式”,也提高了互聯網企業的合規成本,給企業造成沉重負擔,且嚴重阻礙了數據流通,制約了企業對數據價值的開發利用。
與之相比,《個人信息保護指南》與《個人信息安全規范》的規定則相對合理。兩者的基本觀點一致,即在對個人信息作層級區分的基礎上,對個人敏感信息和一般信息的收集分別采取明示和默示同意的規則。對個人信息予以區分、并對不同信息收集予以區別式對待,或許無法根治同意規則的痼疾,但至少能緩和僵硬的明示同意帶來的弊端,在一定程度上降低企業的合規成本,并同時發揮保護個人敏感信息的作用,更好地平衡個人信息保護與利用的關系。
(三)從國際國內立法經驗看個人信息區分的可行性
各國歷史發展、文化背景、意識形態互不相同,決定了不同國家國民對信息的敏感度不盡一致。但是,越來越多的國家或地區在定位于保護個人尊嚴、基本人權和自由的個人信息保護法中,對事關個人尊嚴、容易引發歧視的敏感信息作出特殊保護。而這些立法關于個人敏感信息的種類及其認定的方法的規定,為我國立法提供了可資借鑒的經驗。
我國現行法規、司法解釋已朝分類立法邁開步伐,并逐漸積累立法經驗,并且,這種區分已在司法實踐中得到體現。對我國未來區分立法更具直接參考價值的是《個人信息保護指南》和《個人信息安全規范》等國家標準,標準日臻全面且貼合中國實際,且這兩個國家標準對個人敏感信息和個人一般信息作出了明確區分,其就個人敏感信息的種類、收集要求、保護的技術支撐等多方面的規定使我國未來的立法更具可行性。
三、個人敏感信息界定方法的構想: 法律列舉輔之綜合考量
(一)個人敏感信息的界定方法
綜觀國際條約和不同國家及地區的個人信息保護立法,個人敏感信息的界定方法大體可分為法律列舉模式和綜合考量模式兩種: 法律列舉模式是根據個人信息的內容對敏感信息的種類予以列舉,主張基于某些資料的性質,如“可對基本自由和隱私造成侵害”“引發歧視”“很可能傷害到個人之權利與利益”等,立法須禁止對其收集、處理和利用。法律列舉模式是個人敏感信息立法的主流;綜合考量模式反對基于信息的性質界定個人敏感信息,主張綜合數據處理的情境、目的等因素來判斷信息是否敏感。其中,又有“情境說”和“目的說”兩種不同的主張。“情境說”主張個人信息是否敏感并不取決于內容,而是根據其情境。“目的說”主張,考慮敏感性時應關注處理個人數據的目的。
(二)兩種界定模式的評析與我國宜采納的方法
法律列舉模式被普遍采用,其優點在于信息控制人或信息主體能迅速根據法律規定判斷哪些信息被“禁止收集、處理和利用”或須遵循更為嚴格的信息保護原則,有利于信息得到切實保護;其缺點在于信息的內容與形式都會隨科技發展、社會變遷而發生變化,并且,由法律規定和判斷信息是否敏感的立法方式并未考慮信息主體的個人意見和感受,既可能保護過度又可能保護不足。
我國已頒布的國家標準對個人敏感信息采取的是定義加列舉的方式,這是需要肯定的,也是值得未來我國個人信息保護法繼續采納的方法。未來,我國的個人信息保護法可借鑒域外綜合考量模式作為補充,規定: 在具體個案中,即使不是法律明文列舉的個人敏感信息,也可依信息處理的特殊情境和目的,由特定機構來判斷究竟是否屬于敏感信息。
四、個人敏感信息的種類設想:以敏感度為重點考量因素
(一)域外個人敏感信息的主要種類及新發展
在域外立法中,《有關個人數據自動化處理的個人保護協定》將種族、政治主張、宗教或其他信仰以及與健康、性生活或刑事判決有關的個人數據列為敏感信息;歐盟《個人數據保護指令》增加了“工會會員”,但無“刑事判決”內容,且這一規定日后成為了歐盟及其他許多國家和地區立法的基礎樣板。近年來,各國對個人敏感信息種類的界定也出現了新的動向,一些原本不屬敏感的信息逐漸步入敏感信息系列,主要體現在基因信息、生物特征信息、金融信息等方面。
美國學者Paul Ohm在對歐美個人敏感信息清單作出詳盡考察之后,歸納出確立個人敏感信息的四大因素: 傷害的可能性、引發傷害的幾率、信任關系的存在、是否屬多數人關心的風險,并提出了“多重因素檢測”的觀點。參考此觀點,筆者提出如下判定個人敏感信息的考慮因素: (1)泄露該信息是否會導致重大傷害;(2)泄露該信息給信息主體帶來傷害的幾率是否非常大;(3)特定社會大多數人對某類信息的敏感度。
(二)我國個人敏感信息種類之設想
結合2016年7月至2018年8月,筆者在上海等地進行個人信息敏感度調查數據,并基于上述列舉的確立個人敏感信息的三個考量因素,筆者將個人敏感信息定義為 “一旦泄露或濫用,極易危及人身、財產安全或導致人格尊嚴受到損害、歧視性待遇的個人信息”。結合上文對相關立法和學說的分析及調查收集的數據,筆者建議將以下個人信息列為個人敏感信息: (1)健康信息;(2)性生活和性取向;(3)身份證件號碼;(4)金融信息;(5)政治意見;(6)通訊信息;(7)基因信息;(8)生物特征信息;(9)精確地理位置。
結 語
我國個人信息保護的規定散見于不同位階的規范性文件中,個人信息的種類區分在《個人信息安全規范》等國家標準中已得到明確體現,但分散的規定相互沖突。無論是從個人信息敏感度視角還是從企業成本視角考慮,未來我國個人信息保護法都有必要對個人信息進行類型化區分,以減少目前因政出多門而產生的混亂、重復和抵牾之弊,并且,在為敏感信息提供更嚴格保護的同時,更好地平衡信息保護和信息自由的關系。關于個人敏感信息的界定方法,可繼續采取定義并列舉的基本方式,此外,建議將綜合信息處理的情境和目的作為認定敏感信息的補充,在個案中,由特定機構來判斷某個人信息是否為敏感信息。關于個人敏感信息的具體種類,建議結合泄露該信息是否會導致重大傷害、給信息主體帶來傷害的幾率、社會大多數人對某類信息的敏感度三個考量因素,將健康信息、性生活和性取向、身份證件號碼、金融信息、政治意見、通訊信息、基因信息、生物特征信息和精確地理位置列為個人敏感信息,同時,考慮到未來技術的發展變化,為一些特殊信息的保護預留空間。
