刘　风， 朱　圆

(福州大学 法学院， 福州 350116)

论个人敏感信息的民法保护*

刘风， 朱圆

(福州大学 法学院， 福州 350116)

摘要：2013年出台的《信息安全技术公共及商用服务信息系统个人信息保护指南》粗略提及个人敏感信息，但未给予明确界定，使得个人敏感信息权益保护的司法实践存在障碍。结合域外个人敏感信息的定义，认为个人敏感信息包括隐私信息和部分非隐私信息，其中部分非隐私信息界定之参考因素是严重且实质性损害；个人敏感信息兼具新型财产权和新型人格权的法律属性。借鉴域外个人敏感信息民事保护模式，认为我国宜通过《侵权责任法》来保护个人敏感信息权益。

关键词：侵权责任法； 个人敏感信息； 隐私信息； 法律属性； 保护模式； 侵权保护机制

近年来个人信息泄露事件频繁发生，特别是个人敏感信息的泄露时有出现，如2012年“1号店”员工内外勾结泄露客户信息事件、2012年“当当网”客户账户遭盗刷事件等①参见中国电子商务研究中心《盘点：电商行业八大信息泄露典型案例》，http：//b2b.toocle.com/detail-6162474.html.。2013年，国家工信部出台《信息安全技术公共及商用服务信息系统个人信息保护指南》(简称《指南》)，本以为备受诟病的个人敏感信息泄露问题有望得到缓解，岂料《指南》出台后个人敏感信息泄露的现象依旧频繁发生。究其原因有如下两点：一是《指南》只具有自律公约性质，不具备法律强制力；二是《指南》只简单提及个人敏感信息一词，对何谓个人敏感信息未予界定。因为个人敏感信息本身不易界定，法学界在探讨个人信息权时总是绕开个人敏感信息，因此至今在司法实践中尚未形成一套关于个人敏感信息权益的民事保护机制。可以说，单凭《指南》很难杜绝个人敏感信息泄露问题，因此，讨论个人敏感信息的界定以及侵权法保护就显得更为重要、更为迫切。

一、个人敏感信息的分类与界定

1. 个人一般信息与个人敏感信息的分类标准

个人信息又称“个人数据”或“个人隐私”。对其定义，不同国家或地区的法律条文以及法律学者在学术探讨中持有不同的表述，但基本都围绕着个人信息的功能、针对的个人属性等展开。按照不同标准，可以对个人信息作不同的类别划分，把个人信息划分为个人一般信息和个人敏感信息是一种普遍分类方法。但此种划分的具体标准是什么，学者们仍在探讨：有的以是否涉及隐私为标准[1]102；有的以侵害个人信息权益造成的人身财产利益损害程度的大小为标准[2]；有的认为并无绝对标准，应根据个案情况进行处理[3]207-208；还有的认为应该充分结合当事人的意愿和各行业的特征来区分[4]。笔者认为，在风险社会的背景下，以风险大小，即主要参照个人人身财产利益遭受侵害的可能性大小以及造成实质性损害的严重程度作为分类标准，可以较为全面地反映个人敏感信息所包含的内容。

2. 个人敏感信息的界定

“个人敏感信息”的关键是“敏感”。相比其他个人信息，其所蕴含的“权益”分量更重，利益关系更浓。根据经济学中利益与风险成正比的观点，个人敏感信息泄露所带来的风险远大于其他个人信息。因此，对个人敏感信息的界定应先从“敏感”二字入手。“敏感”带有一定主观色彩，按照《辞海》的解释，敏感是指生理上或心理上对外界事物反应很快。换言之，“敏感”即在特定的环境下，外在的事物、行为能够达到挑动人的神经，使人的生理或心理在瞬间发生质的变化的作用。个人敏感信息正是可以带给人此种效果的信息。

纵观各国各地区相关法律条文中关于个人敏感信息的定义，可以将其归纳为：

(1) 以1980年《资料保护公约》为开端，采用有限列举的方法将个人敏感信息限定为“种族、政治观点、宗教与其他信仰、工会会员，健康、性生活、刑事判决等相关资料”[5]277-278。

(2) 以列举为主，辅以当事人自由选择权的方式，它以美国在《个人隐私法》中规定的个人敏感信息的内容为代表[1]103。我国台湾地区的法律明确指出，特种资料为基因、医疗、健康状况、犯罪前科、性生活[1]106。这些国家或地区所界定的个人敏感信息的内容基本上同自己的文化背景相融，同时结合了基本人权保护的理念。笔者认为，我国也应结合本国特有的文化传统对敏感信息作出有特色的界定。

“个人敏感信息”包含两个元素，一是个人，二是敏感信息。一般情况下，个人仅限自然人，多数学者对此没有争议；但对于敏感信息的理解却大相径庭，因为敏感信息是界定个人敏感信息内容的关键元素。笔者认为，我国的个人敏感信息应由两个方面的信息组成：

一是隐私信息。隐私信息的私密性决定了信息主体对此类信息的高度敏感性。隐私信息与非隐私信息是相对的，是指信息主体不愿公开的，“与私生活有关，与公共生活无关的，不是丑事、坏事，而是仅仅只属于个人私事”[6]15的信息，它包括个人生理私密、心理私密、家庭私密、身份私密、活动私密等，如家族遗传疾病信息等。此类信息之所以称为隐私，是因为同时具备一般人普遍认可的两个因素：一是个人不愿公开的，二是纯粹只与私生活有关，与公共生活、公共利益、集体利益或其他重大利益无关。换言之，信息主体愿意公开(不包括特定开放)的个人信息不能称为隐私信息，例如看似只有20岁年龄的70岁老人如果愿意把自己整过容的信息刊登在媒体上，则该信息就不是隐私信息；信息主体不愿公开但与公共生活、公共利益或其他重大利益有关的个人信息，也不是隐私信息。

二是部分非隐私信息。当个人非隐私信息在开放过程中被他人以一定的目的使用时，如果信息主体合法的人身权益与财产权益遭受严重且实质性的损害*有学者主张个人敏感信息是指遭到泄露或修改等会对特定信息主体造成不良影响的那些类信息。笔者借鉴此观点，并以“人身或财产权益遭受严重且实质性的损害”作为“不良影响”的判断标准。[4]，则这部分非隐私信息为敏感信息。厦门违禁邮包案是此种情况的典型案例，普通人的电话信息是非隐私信息，但是行为人利用电话信息实施了诈骗行为，使信息主体的合法财产权益遭受严重且实质性的损害，此时个人一般信息便转化为个人敏感信息。

综上所述，个人敏感信息是指自然人的隐私信息和部分非隐私信息，其中部分非隐私信息敏感性的判断标准是该类信息被他人使用后是否会对信息主体的人身或财产权益造成严重且实质性的损害。

二、个人敏感信息的法律属性

1. 新型人格权说

把个人信息的法律属性*个人敏感信息作为个人信息的子概念，其法律属性可通过个人信息的法律属性来探讨。认定为新型人格权是近来多数学者的观点，原因在于个人信息具有识别特定个人的功能，它是个人自由、尊严、人格利益的载体。保护个人信息就是保护人的自由、尊严和人格利益。此外，它不同于民法上所探讨的传统人格权，具有新型性。传统人格权强调人格不能独立存在于人的身体之外，而个人信息是独立存在于人的身体之外的，在信息化时代，个人通常被看作由符号、标志等组合而成的档案[1]18-19。

2. 隐私权说

有学者认为，个人信息是个人隐私的一部分，个人信息保护的宗旨就是保护个人隐私。在该学说的基础上，部分学者进一步细化，提出独处权说和有限地接近自我说。独处权说认为，个人对个人信息有着与世隔绝独享的权利。有限地接近自我说认为，个人对个人信息的独享不是与世隔绝的，个人与他人保持着一定的距离[3]64-65。隐私权说强调保护个人信息的重要性，体现了隐私不容侵犯的法理念。

3. 新型财产权说

部分学者把个人信息的法律属性认定为财产权，一方面是由于各国的征信产业不断发展，另一方面是由于个人信息经信息化处理后具有经济价值，能够为商家带来可观的效益。另外，它的新型性体现在，当个人单独拥有着原始的个人信息时不会产生财产价值，只有经他人组合、处理，加工并进行一定的活动后，才会有财产价值的产生[7]213。换言之，个人信息只有独立于人的身体之外并经信息化处理后才具有财产性。

4. 新型人格权和新型财产权结合说

笔者认为隐私权说存在一定的缺陷，它把个人信息的范围缩小化，因为并非所有个人信息都是隐私。隐私信息要保护，但对那些不是隐私的个人信息，当被他人使用且造成信息主体相关权益受到严重且实质性损害时，同样受法律的保护。从公民基本权利的角度来看，笔者认为不能片面地把个人信息的法律属性认定为单一的新型人格权或单一的新型财产权，而应该把新型人格权说和新型财产权说相结合。个人信息是与特定的个人联系在一起的，具有人格特征。个人信息被信息化处理后，不法分子以商品的形式进行交易从而获得高额利润。虽然这种利益的获得不具有法律上的正当性，但个人信息蕴含的财产价值是不容忽视的。此外，新型人格权与新型财产权的“新型”主要表现在：一是法律保护的直接对象是个人信息，它独立存在于人的身体之外，具有积极防御的特征；二是个人信息需经信息化处理，进而被再次利用或出售时才成为人格权和财产权的载体；三是在信息化时代，个人信息权作为一项独立的、新设的民事权利，是现代社会发展的趋势，人格权和财产权作为个人信息权的主要内容在一定程度上体现出新型性。

三、欧盟与美国个人敏感信息民事保护模式的立法考察

1. 欧盟的“充分型”民事保护模式

欧盟是最早认识到应该在个人信息中明确区分出个人敏感信息(欧盟在指令中称为特殊数据)并给予特殊保护的组织。在《欧盟数据保护指令》(或译《欧盟个人数据保护法》)第2章第8条中单独规定了特殊数据的民事保护机制——以勿为为原则，例外规定法定的6种行为不受限制*参见欧盟《1995年个人数据保护指南》第2章第8条的规定。。第3章中配套规定了相应的民事司法救济途径，包括违反指令规定应受到制裁并承担一定的民事赔偿责任。欧盟的个人敏感信息民事保护模式之所以属于“充分型”的保护，不只因为该指令对第三国具有很大的影响力*即第三国的隐私法律要经过欧盟委员会依指令来判定是否属于“充分”保护，若是，才能在欧盟与第三国之间进行信息跨境传输。[8]31，更主要的是因为它是专门针对个人信息权益的立法，规定了民事行为模式与法律后果，以充分保护个人敏感信息权益。

2. 美国的“自律型”民事保护模式

不同于欧盟，美国是倾向于经济效率的国家，绝对不允许因为条条框框的限定影响经济的发展，但并不能因此认为美国不保护个人敏感信息，因为美国始终明确“隐私权为联邦宪法所保障的基本人权”[9]144。只是在个人敏感信息民事保护上，美国更多地是采用自律规制的方法：一方面，在界定个人敏感信息内容时，允许当事人自己约定何为个人敏感信息，个人有选择权；另一方面，救济的方式除了以违反契约规定为由进行司法救济外，还专门设立自律机制来协助政府保障执法。同时，美国还确定了具体的民事赔偿额度，例如“……但在任何案件中，有权获得赔偿者收到的金额不得少于1 000美元”*参见《美国隐私权法》第7章第4节。。美国个人敏感信息民事保护模式的运行基础是当事人之间的“契约”，即当事人之间的相互信任。

通过对欧盟与美国个人敏感信息民事保护模式的立法考察可知，他们都在立法中明确个人敏感信息权益保护的地位，只是采取的保护方式不同，很大程度上是根据国情确定的。欧盟是多个国家的联合体，“充分型”民事保护机制更能兼顾国与国之间信息自由流通与信息权益保护之间的关系[10]；而美国向来重视契约精神，在个人敏感信息权益民事保护机制上确定“自律型”模式是符合其国情的。

四、我国个人敏感信息民法保护模式的构建

1. 个人敏感信息权益是我国《侵权责任法》的保护客体

我国《侵权责任法》第2条规定：“侵害民事权益，应当依照本法承担侵权责任。本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。”它明确了我国《侵权责任法》保护的客体必须具备“救济性、私法性、绝对性”[11]的特点。虽然个人敏感信息的法律属性是新型人格权和新型财产权的结合，体现出新型性，但它本质上仍是人格权和财产权二者的结合，其体现出来的特性是符合私法性和绝对性的，当被侵害时是应该得到《侵权责任法》救济的。

2. 侵权法保护个人敏感信息的制度机制

不可否认，虽然目前我国有一些法律法规*如《信息网络侵犯人身权司法解释》。零零散散地涉及到对个人敏感信息权益的保护，但个人敏感信息权益受到侵害的现象仍旧频繁发生。胡卫萍教授认为，当务之急是在立法上确定个人信息权内容并制定专门的个人信息法[12]。笔者认为，个人信息权内容可以在我国民法典编撰时涉及，但在编撰工作完成之前有必要设定个人敏感信息权益的民事保护机制。借鉴欧盟和美国在确定保护模式时的经验，依据我国的国情，我国只能在确保个人敏感信息权益保护的前提下兼顾信息的自由流通[13]。而《侵权责任法》是一部救济法，并且个人敏感信息权益属于侵权法所保护的客体范畴，无疑应该设定个人敏感信息的侵权法保护机制。由于个人敏感信息法律属性的本质是对世的人格权和财产权，因此，救济个人敏感信息权益的侵权法保护机制的运行同《侵权责任法》规定的一般侵权救济机制的运行是一致的，同样以过错责任为归责原则，以结果、违法、过错以及因果关系为构成要件要素。下文重点探讨该机制构成要件中的结果要素和违法性要素，因为二者是司法实践中法官考量侵权行为发生与否的关键，且能反映侵权案件的具体类型。

(1) 敏感信息主体受侵害的权益是新型人格权或新型财产权。侵权法保护机制运行的前提是明确《侵权责任法》所规定的民事权益受到了不法侵害，即明确侵权责任构成要件中的结果要素。在具体的个人敏感信息权益侵害案件中，认定信息主体受侵害的是什么权益，应该根据行为主体的主观过错情况来判断，比较受害人人身和财产分别受侵害的程度；在例外的情形下(通常是行为人的主观过错难以判断)，则从一般人的角度来判定。例如，一个有着多次性史的花季女孩，因为信任而把这种不愿被他人甚至父母知道的隐私告诉某一好朋友，而好朋友明知这种隐私传播出去会对女孩造成精神上的伤害，但考虑到一己私利，以商品交易的方式设定不同价格传播该隐私。根据行为人的主观过错以及受害人人身财产受侵害程度，不难看出这一行为侵犯的是新型人格权。

(2) 侵害个人敏感信息权益行为的认定。在过错归责原则下，侵权法保护机制的运行离不开对违法性要素的判断。台湾学者苏永钦在《再论一般侵权行为的类型——从体系功能的角度看修正后的违法侵权规定》一文中提及，违法性要素同侵害行为相关联，在具体侵权案件中，则是通过特定化的侵害行为来表现，对侵害行为的认定可以间接反映违法性。在对个人敏感信息权益侵害行为进行认定时，需要结合上文提及的敏感信息的两个方面，因为每一方面的信息对应的侵害标准是不同的，在侵害行为的认定上应作分别处理，目的在于全面且透彻地保护个人敏感信息。

其一，侵害隐私信息行为的认定。因为隐私信息是站在一般人的角度来评判的，而且一般人普遍认为隐私信息的私密性决定了信息主体对其高度的敏感性，传播隐私信息相比传播其他非隐私信息产生的侵害风险更高，具有的侵害力更大。因此，认定侵害应以是否存在危险为标准，而且这种危险必须是一般人都认可的。总之，信息主体的隐私信息一旦被传播出去，使得主体的权益存在被侵害的危险时，即可认定为侵害。

其二，侵害部分非隐私信息行为的认定。这类信息的侵害认定要以他人的行为对信息主体是否造成不良影响来判断，即他人的行为是否对权益主体的人身或财产权益造成了严重且实质性损害。其中，在新型人格权方面，严重且实质性损害的评判标准可参照《精神损害赔偿法》中关于精神损害级别判定的规定；在新型财产权方面，严重且实质性损害的评判标准可参照权益主体财产的损失额度或行为主体非法买卖等行为的获利大小来确定。

参考文献：

[1]齐爱民.拯救信息社会中的人格：个人信息保护法总论 [M].北京：北京大学出版社，2009.

[2]汪全胜，方利平.个人敏感信息的法律规制探析 [J].现代情报，2010(5)：25-27.

[3]孔令杰.个人资料隐私的法律保护 [M].武汉：武汉大学出版社，2009.

[4]王玉平.关于加强个人敏感信息防护措施的思考 [J].中国信用卡，2012(12)：56-58.

[5]周汉华.域外个人数据保护法汇编 [M].北京：法律出版社，2006.

[6]曲直.留给隐私多大的空间 [M].北京：中华工商出版社，2004.

[7]郭瑜.个人数据保护法研究 [M].北京：北京大学出版社，2012.

[8]周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告 [M].北京：法律出版社，2006.

[9]郎庆斌.个人信息保护概论 [M].北京：人民大学出版社，2008.

[10]郭鹏.个人信息权及其欧盟保护 [J].政法学刊，2011(2)：9-12.

[11]齐喜三.论侵权法的保护范围：兼析中国《侵权责任法》第2条的得失与修造 [J].河北法学，2013(9)：150-153.

[12]胡卫萍.论我国个人信息权的法律维护 [J].成都理工大学学报：社会科学版，2013(7)：27-28.

[13]李仪.个人信息保护的价值困境与应对：以调和人格尊严与信息自由冲突为视角 [J].河北法学，2013(2)：1-5.

(责任编辑：郭晓亮)

Oncivillawprotectionofsensitivepersonalinformation

LIUFeng,ZHUYuan

(LawSchool,FuzhouUniversity,Fuzhou350116,China)

Abstract：The Personal Information Protection Guidelines of Public and Commercial Service Information Systems of Information Security Technology published in 2013 mentions sensitive personal information roughly without clear definition of it. That hinders the judicial practice of right protection of sensitive personal information. Combining with the definition of sensitive personal information in other countries, it is believed that sensitive personal information includes privacy information and partial non-privacy information. The reference factor of the definition of partial non-privacy information is severe and substantial infringements. Sensitive personal information has the legal attributes of new type of property right and personality right. The civil protection modes of sensitive personal information in foreign countries are used for reference, and it is suggested that the rights of sensitive personal information should be protected through Tort Liability Act in China.

Key words：tort liability act; sensitive personal information; privacy information; legal attribute; protection mode; tort protection mechanism

收稿日期：2015-06-13

基金项目：福建省社会科学基金一般课题(FJ2015B102)。

作者简介：刘风(1990-)，女，福建平潭人，硕士生，主要从事民商法、知识产权法等方面的研究。

doi：10.7688/j.issn.1674-0823.2016.03.14

中图分类号：D 923.8

文献标志码：A

文章编号：1674-0823(2016)03-0269-05

*本文已于2015-11-04 17∶02在中国知网优先数字出版。 网络出版地址：http：∥www.cnki.net/kcms/detail/21.1558.C.20151104.1702.002.html