潘林青

(西南政法大学 民商法学院，重庆 401120)

一、问题的提出

继2019年5月美国旧金山出台法令禁止警方和其他政府机构使用人脸识别技术之后，美国当地时间6月27日上午，马萨诸塞州的萨默维尔市也宣布禁止当地警方和市政部门使用面部识别软件，并且萨默维尔市议会以11-0的投票通过了这项法令[1]。前述举措的出台表明，政府高度重视对于作为公民个人敏感信息(personal sensitive information)(1)一些国家、地区和组织称之为特殊个人信息或特种个人信息，其本质上均表示个人敏感信息含义。笔者认为，以个人敏感信息命名，更能体现出敏感信息的特殊性以及其受到特别保护的必要性。中生物识别信息之面部特征的保护，也表明个人敏感信息的脆弱性及其与个人自由、人身和财产的紧密相关性。然而在我国，个人敏感信息的保护现状不容乐观。我国目前对于个人敏感信息并没有一套完整的保护机制，甚至没有合理界定个人敏感信息。不仅《民法总则》与《网络安全法》没有对于个人敏感信息作出规定，而且中华人民共和国全国人民代表大会(简称全国人大)于2019年12月16日对外公布的《民法典(草案)》依旧未重视个人敏感信息亟待法律保护的需求，对个人敏感信息只字未提，仅在第一千零三十四条第三款中强调了对于个人私密信息的法律保护。面对我国个人敏感信息保护的极端重要性和迫切需要法律保护的需求，以及我国《民法典(草案)》迟迟未对这一现实需求进行回应，本文将分析界定个人敏感信息的正当性基础，介绍欧盟、美国、澳大利亚和加拿大的相关新近国际范例，立足我国个人敏感信息界分的规范现状与裁判见解，评析我国《民法典(草案)》第一千零三十四条，提出我国个人敏感信息的立法表达。

二、个人敏感信息界分的正当性基础

(一)个人信息存在敏感度差异

早在20世纪初，便有外国学者对于信息的敏感度进行了专门研究，指出“信息的敏感度是在某一特定情形下个人对提供某一类信息所受到的顾虑水平”[2]。国内也有学者专门针对个人信息的敏感度进行研究，通过科学的问卷设计和调查实施来分析不同情境对信息敏感度产生的影响，明确不同种类信息之间的敏感度差异。如有学者认为，公众对于与个人密切相关的身份、生活、工作和政务信息的敏感度高[3]。还有学者认为，身份证号码和银行卡号是网络用户最为敏感的两项个人信息[4]。可以说，个人敏感信息的敏感之处表现在两个方面：一是此类信息的收集容易引起个体心理、生理上超乎寻常程度的感受与反应；二是此类信息的公开易受到外界迅速而强烈的是非反应。正因如此，个人敏感信息具有很大程度的脆弱性，其脆弱性来源于被收集公开后，容易造成信息主体隐私权、自由以及人格尊严的威胁与伤害，并有可能造成社会个体甚至群体的不安。因此，对于个人敏感信息的披露与使用，原则上应由信息主体自我决定，是“普遍的人格权与自我决定权在信息时代的体现和表达，反映了公民维护自身内在同一性、精神自主和独特人格的合理诉求”[5]。对于公众来说，个人信息的敏感度具有个体体验特征以及认知上的差别，随着科技的迭代发展和社会观念的持续革新，个人敏感信息的类型与范围会随之发生改变。

(二)个人信息内部包含价值梯度

随着个人信息从隐私权的附属保护对象变为《民法总则》第一百一十一条的独立保护客体，对于个人信息的保护问题已经获得越来越多的关注。“公民个人信息的收集、储存、利用具有典型的聚合性、全面性特征”[6]。从个体层面看，个人信息代表着个人尊严与自由价值。从企业层面看，个人信息蕴藏着丰富的商业价值。从国家层面看，个人信息蕴含着巨大的公共管理价值。这表明，对于个人信息进行保护的同时，还应关注其不可估量的商业价值与公共管理价值，对其进行适度的开发与利用。张新宝[7]教授认为，个人信息保护法需要衡量多组利益关系，并且在利益衡量格局下，提出了“两头强化，三方平衡”的个人信息保护理论，即对于个人敏感信息进行强化保护，而对于一般个人信息则强调商业利用和国家基于公共管理目的的利用，最终实现个人、信息收集者和国家的三方利益平衡。因此，根据个人信息的多维价值将其类型化为个人敏感信息和一般个人信息，进而确立不同的保护规则尤为重要。类型化的意义在于相同事物相同处理，以提高规则建构与规则适用的准度和效率。而个人信息类型化区分的重中之重，就是明确个人敏感信息的范畴与边界。

(三)个人敏感信息侵害具有高度危险性

个人敏感信息的重要性体现在其与个人自由、人格尊严和基本权利紧密相关。英国个人信息与隐私保护的专职独立机关信息专员办公室(Information Commissioner′s Office，ICO)于2019年11月14日发布《特殊类别数据合法处理指南》(2)Information Commissioner’s Office，′Lawful basis for processing Special category data′，14 November 2019.。其中不仅强调了个人敏感信息的私密性，更强调了其对个人基本权利和自由干扰的危害性，并且指出个人敏感信息这一特殊类型的信息极易给个体造成真正的伤害和损害。1995年的欧盟《个人数据保护指令(95/46/EC)》则在序言中指出(3)Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.，对于某类数据予以特殊保护，是基于此类数据的性质极易造成侵害个人基本自由或隐私权的后果。个人敏感信息的泄露或滥用，往往会对信息主体造成不可逆的损害后果，尤其是个人生物识别信息。也正因为此，美国伊利诺伊州《生物识别信息隐私法案》(Biometric Information Privacy Act,简称BIPA)明文规定了公民基于其生物识别信息受到损害的个人诉权，使个人可以无需通过集体诉讼就可以维护其个人权益(4)Biometric Information Privacy Act, 740 ILL. COMP. STAT. §14/20 (2008).。同时，从2019年1月美国著名的Rosenbach v.Six Flags Entertainment Corporation 一案中可以看出，生物识别信息受到违法收集或处理的原告无需证明其实际损害即可获得赔偿(5)Rosenbach v. Six Flags Entertainment Corp., 2019 IL 123186，Supreme Court of Illinois，at33.。此外，个人敏感信息的极端重要性还体现在，对其公开容易使信息主体遭受社会的负面评价甚至歧视。正如有学者指出，“敏感个人信息本身固有的高度人格属性是需对其特别保护的根本原因，在难以计数、范围广泛的个人信息中，敏感个人信息比一般个人信息承载了更高的人格尊严要素”[8]。

三、个人敏感信息界分的新近国际范例

(一)欧盟：应科技发展的个人敏感信息界分

2018年5月生效的欧盟《一般数据保护条例》(General Data Protection Regulation，GDPR)第9条(6)′General Data Protection Regulation′，Regulation(EU) 2016/679 of the European Parliament and of the Council of 27 April 2016.将个人敏感信息界定为：种族、民族、政治观点、宗教或哲学信仰、工会成员资格、基因、生物特征、健康信息、与刑事定罪相关的信息、性生活或性取向信息。相较于1995年的欧盟《个人数据保护指令(95/46/EC)》第3节对于个人敏感信息的种类列举(7)Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data，Section III.，新增了基因信息、生物特征信息和性生活或性取向信息，并完善了对于个人敏感信息的特殊保护机制，体现了个人信息保护法对于新的科技发展与社会现象的回应。在GDPR通过生效后，以英国为代表的一些欧洲国家，对本国的个人数据保护法进行了修正更新，力图使本国的个人敏感信息界定与GDPR保持一致，并对个人敏感信息采取严格保护措施(8)′UK Data protection Bill′, Article 10&11.。

同时，2018年5月新修订的《欧洲委员会关于个人数据自动化处理的个人保护公约》(简称为《新修订108号公约》)第6条(9)Council of Europe:′convention for the protection of individuals with regard to the processing of personal data′(Convention 108+); 18 May 2018; Article 6.将个人敏感信息的范围界定为“基因信息；有关违法、刑事诉讼、犯罪记录以及保安处分的个人信息；独特的识别个人的生物特征信息；涉及种族或种族信息、政见、工会会员、宗教或其他信仰、健康或性生活的信息的个人信息”，与1981年《第108号公约》第6条(10)Council of European，Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data，European Treaty Series-No. 108，Strasbourg, 28.I.1981，Article 6.对于个人敏感信息的种类规定相比较，新增了基因信息和个人生物识别特征信息两项个人信息。《新修订108号公约》还在条文解释部分特别强调敏感数据的处理可能会给数据主体的利益、权利和基本自由带来的风险，特别是歧视的风险。

(二)美国：个人信息的敏感性与风险性并存

2019年1月，美国信息技术与创新基金会(Information Technology & Innovation Foundation，ITIF)出台的《数据隐私立法协议》提到，不同类型的信息具有不同的敏感度，因此如何使用它们也具有不同的风险。一些隐私法采纳了一个广泛的敏感数据定义，也因此对一些不太敏感的数据采用了并不必要的严格标准。个人敏感信息模棱两可的定义也造成了监管不确定性，这使得合规性变得更加困难。此外，个人敏感信息的定义也忽视了收集信息时的情景[9]，如健康信息的定义宽泛地包括了个体从高度敏感的医疗记录到社交软件上发布的完成马拉松的帖子。忽视收集和使用情景，而对所有类型的敏感信息进行相同的严格限制将会不必要地限制消费者的选择。ITIF建议，联邦隐私立法应区分非敏感个人信息(一般信息)与敏感个人信息，信息收集同样也应区分关键服务与非关键服务。联邦隐私立法应将敏感个人信息定义为：“个人可识别信息，其公开可能会给个人带来高风险。例如与健康相关的信息，遗传和生物识别信息，关于13岁以下儿童的信息以及个人精确的地理位置信息”[10]。联邦隐私立法还应将关键服务定义为对个人的安全、健康和经济福祉至关重要的服务，例如银行、公用事业、医疗保健和互联网接入。对于上述两项定义，联邦隐私立法应授权联邦贸易委员会确定敏感信息的类型以及关键服务供应商，并定期进行修订。

这种做法的目标是，依据每种类型信息的敏感性和风险性而创建低、中、高三个级别的信息保护，这三种级别对应的情形分别是：第一，非关键服务收集非敏感个人信息，如视频流服务媒体收集用户的电影偏好；第二，关键服务收集的非敏感个人信息或非关键服务收集的个人敏感信息，如网络服务提供者基于网络流量分析的用户视频偏好，或电子商务平台基于用户的日常购买而分析的用户健康状况；第三，关键服务收集的个人敏感信息，如网络服务提供者基于网络流量分析得出的用户健康信息。针对每一级别，都有不同类型的保护措施。

(三)澳大利亚：明定个人敏感信息的范围并予以高级别保护

澳大利亚于1988年制定《隐私法》，随着社会的发展经历了数次的修正，并设立澳大利亚信息专员办公室(The Office of the Australian Information Commissioner，OAIC)专门针对个人的隐私以及个人信息进行全方位的保护。根据OAIC在2019年7月更新的资料，其明确规定个人敏感信息是指“关于个人意见或观点的信息，包括种族或民族血统；政治观点；政治性社团的成员资格；宗教信仰；哲学信仰；专业性或行业协会会员资格；工会会员资格；性取向或性行为；犯罪记录；关于个人健康的信息；遗传信息；生物辨识信息等”。OAIC认为，对于个人敏感信息处理不当可能会对个体或是与之相关的个体产生不利后果，例如歧视、羞辱或是个人尊严受损，因而规定应当对其提供比一般信息级别更高的保护措施[11]。

(四)加拿大：依据具体场景确定个人信息的敏感度

加拿大的个人信息保护体系则由《个人信息保护与电子文件法》(Personal Information Protection and Electronic Documents Act 2000, PIPEDA)与《隐私法》(Privacy Act, PA)共同构成。前者主要规范商业化经营的个人征信机构、个人信息供应商、交换个人信息的机构、个人信息使用机构等私人机构，对于通过商业渠道收集的个人信息进行强有力的保护，并且专门设有加拿大国会个人隐私权保护委员会对《个人信息保护与电子文件法》的实施进行监督。两部法律都没有直接对个人敏感信息进行定义，《隐私法》第3条将个人信息定义为：“以任何形式记录的个人信息”，并列举了包含种族、宗教、婚姻状况、医疗等在内的13项个人信息(11)′Privacy Act′, Section 3, Interpretation.。《个人信息保护与电子文件法》将个人信息定义为“可以识别到个人的信息”。但是在《个人信息保护与电子文件法》第五部分的附则，《个人信息保护标准守则》(Model Code for the Protection of Personal Information)中，对于个人敏感信息的收集同意进行了特殊规定：根据个人信息的类型不同与使用情景不同，对于当事人同意收集个人信息的形式也会有所不同，而判断标准恰恰正是信息的敏感性。虽然医疗记录和收入记录总是被认为是敏感信息，但是任何信息根据其使用情景不同，都可能是敏感信息。加拿大将依据使用情景而认定信息是否具备敏感性的权利赋予了私人机构，进而对敏感信息的收集同意采取严格要求，并且由个人隐私权保护委员会进行监督，以此来完成对于个人敏感信息的保护。

四、我国个人敏感信息界分的规范现状与裁判见解

(一)行政法规的界分范围过于狭窄

国务院于2013年1月发布的《征信业管理条例》禁止征信机构采集“个人宗教信仰、基因、指纹、血型、疾病和病史信息”(12)中华人民共和国国务院令第631号《征信业管理条例》第14条：禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。，此条例虽未明确将上述信息定义为个人敏感信息，但是实则表明了征信行业对于个人敏感信息的范围认定，发挥了对此类个人敏感信息进行限制收集的功能。但是其中“疾病和病史信息”具有一定的局限性，范围过窄。从二十世纪的最后十年开始，随着健康信息的数字化和国家电子健康记录基础设施的建设，世界各国陆续走上了为实现个人健康管理和理疗保健服务等公共卫生目标的人口健康监测之路，个人健康信息已不局限于病史等医疗信息。例如物联网收集大量与个人连结的健康医疗信息，可以创建出对个人极具侵略性的联系性活动记录，对个人自由、隐私和人身安全产生极大的侵害风险[12]。个人健康信息具有高度敏感性，对其收集和处理将会使信息主体感到自己的权利和自主权受到严重侵犯[13]。因此，应将疾病、病史等信息纳入个人健康信息的范畴而统一作为一项个人敏感信息予以特殊保护。此外，个人的指纹信息和基因信息均属于个人生物识别信息，而随着人脸识别技术的发展与应用，作为生物识别信息的个人面部信息也面临着被不当收集和泄露的风险。世界首例警方使用人脸识别技术合法性判决中指出，个人生物识别信息具有本质上的私人性(intrinsically private)(13)R (Bridges) v CCSWP and SSHD，Queen's Bench Division of the High Court, Case No: CO/4085/2018, ( 04/09/2019), at57.，是一项高敏感且高风险的个人信息，故应当将包含个人面部信息、基因信息和指纹信息等在内的个人生物识别信息作为一项个人敏感信息，并对其进行严格保护。

(二)国家标准的界分内容流于宽泛

2013年2月，我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《保护指南》)出台，至今已实施6年有余。该文件首次以标准的文件形式将个人信息分为一般信息和个人敏感信息(14)《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828—2012) 3.2条：个人信息(personal information)为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。，并且首次规定个人敏感信息在收集和利用之前，必须首先获得个人信息主体的明确授权。该《保护指南》适用于除政府机关等行使公共管理职责的机构以外的各类组织和机构，包括电信、金融、医疗等领域的服务机构，开展信息系统的个人信息保护工作。《保护指南》将敏感信息定义为：“一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息”， 此项定义突破了以往学者普遍认为个人敏感信息即涉及隐私的个人信息的观点[14]，而认为个人敏感信息强调的是对“信息主体造成不良影响”的可能性[15]，一般个人信息与个人敏感信息之间的差异恰恰在于两者的敏感度不同，厘清了一般个人信息、个人敏感信息以及个人隐私信息之间的关系。但是该《保护指南》认为各行业可以根据信息主体的意愿和各自业务特点来自行确定本行业的个人敏感信息，最后还举例说明敏感信息范围(15)《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828—2012) 3.7条：个人敏感信息(personal sensitive information)一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。。对个人敏感信息如此规定，将个人敏感信息的范围增加了更多的不可确定性，赋予了电信、金融、医疗等行业较大的自我决定权，扩张了个人敏感信息的范围，不利于对个人敏感信息的严格保护。

随后，2017年12月由国家质量监督检验检疫总局和国家标准化管理委员会联合发布的《信息安全技术——个人信息安全规范》(GB/T 35273—2017)(以下简称《规范》)对于个人信息的收集、保存、使用、共享、转让和公开披露等环节进行了全面系统的规定。该标准将个人信息和个人敏感信息作为两项重要的基础词汇，不但在正文中予以明确规定(16)《信息安全技术——个人信息安全规范》(GB/T 35273—2017)3.2条：个人敏感信息(personal sensitive information)一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、 行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。注2：关于个人敏感信息的范围和类型可参见附录B。，更是在附录中分别予以详细示例。《规范》在附录中从“个人财产信息、个人生理健康信息、个人生物识别信息、个人身份信息、网络身份表示信息和其他信息”等6个方面列举了55项个人敏感信息(17)《信息安全技术——个人信息安全规范》(GB/T 35273—2017)附录B。。该《规范》可以称得上是我国目前对于个人敏感信息规定最为详实的一项文件，为政府机关管理公共数据、司法机关审判案件和企业收集利用公民个人信息提供了指引。但是，该文件仍然存在不妥当之处。该文件规定：“通常情况下，14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息”，此规定与美国ITIF的观点一致，但笔者认为不宜如此，因为个人敏感信息与14岁以下的儿童信息并非一个范畴，对两者确实都应给予特殊保护，但是却不能在两者之间划等号。对儿童的个人信息进行严格保护是因为其并不具备完全的辨识能力，不能准确估量个人信息被收集处理后产生的风险，所以对儿童个人信息的收集处理需要经过其监护人的同意。儿童的个人信息确为一项特殊的个人信息类别，但这并不意味着儿童的所有信息都是敏感的，不能与个人敏感信息混为一谈。对于儿童个人信息的收集处理应采纳严格的限制条件，原因在于其信息主体的脆弱性，并非信息内容的敏感性。所以笔者认为，对于儿童的个人信息进行特殊保护的规定应在信息收集时的同意方式上予以明确体现，而不应将其直接统一规定为个人敏感信息而进行特殊保护。

(三)司法裁判的界分标准缺乏统一

通过梳理自2016年以来的26起(18)笔者以“个人敏感信息”和“敏感个人信息”为关键词，在北大法宝司法案例数据库上进行了2016年以来的案例搜索，共搜集到26起涉及侵害公民个人敏感信息的代表性司法裁判。涉及侵害公民个人敏感信息的代表性司法裁判，并对其进行分析之后，笔者发现各个法院对于个人敏感信息的判定并没有一套统一的标准，尤其是在民事案件中，对于个人敏感信息的认定标准参差不齐。例如，在夏某诉佛山市东顺行汽车销售有限公司名誉权纠纷一案中，广东省佛山市中级人民法院认为，包括身份证号码在内的公民身份信息并不属于公民的个人敏感信息范畴，仅为公民的一般个人信息，不具有敏感性和隐秘性的特点。另外，佛山法院认为，公民的敏感信息属于隐私权的保护范畴，即公民的敏感信息是隐私信息，应附属于隐私权进行保护(19)广东省佛山市中级人民法院(2018)粤06民终3316号民事判决书。。由此可以看出，佛山市中级人民法院界分一般个人信息与个人敏感信息的标准为是否涉及隐私信息。在审理关丽君诉山东大众传媒股份有限公司烟台分公司、山东大众传媒股份有限公司名誉权纠纷一案中，山东省烟台市中级人民法院认为，公民的个人敏感信息包括事实与图像等形式，如当事人的照片，若未经合理的遮挡处理，应禁止被公开在报刊或网络等新闻媒体上，否则会对公民的名誉权和隐私权造成侵害(20)山东省烟台市中级人民法院(2014)烟民四终字第47号民事判决书。。杭州市铁路运输法院在审理淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争一案时，认为个人信息包含一般个人信息和个人敏感信息，网络用户的个人偏好信息和身份信息属于个人敏感信息，容易与特定主体发生对应联系，会暴露网络用户的个人隐私或商业秘密(21)杭州铁路运输法院(2017)浙8601民初4034号民事判决书。。而在刘某某诉乐某某科技(北京)股份有限公司隐私权纠纷一案中，北京市石景山区人民法院则认定个人敏感信息包括位置信息、通讯录信息和短信信息(22)北京石景山区人民法院(2018)京0107民初2442号民事判决书。。由此可见，司法实践中对于个人敏感信息的认定并无统一标准，也未能将个人信息作为一项独立的法益进行救济[16]，往往仅在其造成隐私权、名誉权等其他人格权受损时，才对公民的个人敏感信息进行保护。

相比之下，在检索到的10起(23)笔者以“个人敏感信息”和“敏感个人信息”为关键词，在北大法宝司法案例数据库上进行了2016年以来的案例搜索，共搜集到10起涉及侵害公民个人敏感信息的代表性刑事司法裁判。刑事案件中，司法机关均依据《检察机关办理侵犯公民个人信息案件指引》(24)《检察机关办理侵犯公民个人信息案件指引》(高检发侦监字[2018]13号)：(四)对“情节严重”和“情节特别严重”的审查认定：……对于财产信息，既包括银行、第三方支付平台、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据，包括账号、口令、密码、数字证书等)，也包括存款、房产、车辆等财产状况信息。……对公民个人敏感信息进行了较为统一的认定，认为公民的“行踪轨迹、通信内容、征信信息和财产信息”等四类信息和公民人身安全、财产安全紧密相关，具有较大的社会危害性，因此被认为是个人敏感信息。不过，在实践中也存在个人敏感信息的认定范围过于宽泛的现象。例如，在贺某某、唐某某侵犯公民个人信息一案中，广东省中山市第一人民法院认为，公民的车辆信息和房屋信息均能反映公民的财产状况，因此包括“公民的姓名、手机号码、车牌号、车型、车架号”和“房产信息楼盘名称、楼栋号、楼层、面积等”在内的车辆信息和房产信息，均为公民的个人敏感信息(25)广东省中山市第一人民法院(2018)粤2071刑初192号民事判决书。。采纳过于宽泛与具体的方式来界定个人敏感信息的范围会加重政府和企业的信息管理成本，不利于我国信息产业的发展，也违背了个人信息类型化处理与保护的初衷。

五、我国个人敏感信息的界分路径与立法表达

(一)个人敏感信息界分的模式选择

纵观前述国际组织条约和各国立法有关个人敏感信息的界定方法可知，个人敏感信息的界分模式可分为两类，一是法律列举模式，二是综合考量模式。

1.法律列举模式

对于法律列举模式而言，其意味着以个人信息的内容为依据来界定敏感信息，认为某些信息的内容和性质因与个人的人身、财产密切相关，一旦被公开就会对个人的人格尊严、隐私和自由等权益产生侵害，因此原则上应禁止收集、处理与利用。法律列举模式为世界各国立法主流，英国、德国和澳大利亚等国家均采用此种模式对个人敏感信息进行立法。我国目前现有的对个人敏感信息进行规定的规范性文件也采纳了此种方式，可以使信息主体、信息收集者和信息处理者迅速直观地判断何种个人信息可以收集处理，何种个人信息需要遵循更为严格的保护措施，既有利于信息主体获得个人敏感信息的保护，又有利于企业和国家收集利用个人一般信息。但是，该模式也遭受一些学者的质疑，例如加拿大学者Adams[17]认为，通过列举的方式直接在立法中确定个人敏感信息的范围，而并非依据具体情况考量信息主体的意愿，可能会造成过度保护，也可能会造成保护不足。此外，由于科技发展和社会变迁，个人信息的内容与形式会随着社会、历史与文化而改变，社会主体的敏感观也会发生相应变化，采用列举的方式定义个人敏感信息并不能及时回应社会需求。

上述担忧并非没有道理，但也并非不可破解，至少有两种方式可以应对：一是修改个人信息保护法或隐私法，增加个人敏感信息的类别，甚至可以就某些特殊信息制定特别法；二是司法机关通过发布司法解释对个人敏感信息的类别进行新增或扩展。

2.综合考量模式

(1)情景模式

情景模式意味着个人敏感信息并非先验概念，信息的敏感性并非与生俱来，在特定的情境下，任何信息都可能具备敏感性[18]。例如，以指纹、虹膜等为代表的个人生物辨识信息，其本身为中性信息，并不具备任何敏感性。尤其是指纹，虽然触物留痕并无处不在，但仅仅知悉个人指纹信息无法透露出任何其他与人身、财产相关的信息。只不过由于科技的发展，通过个人生物识别信息可以连接至信息主体的其他信息库，进而识别出更多的个人信息，例如健康信息、医疗信息等个人敏感信息。因此，个人的生物识别信息仅在特定情境下才具备敏感性。

(2)目的模式

目的模式则强调信息的实际处理目的，而非信息内容本身[19]。该模式认为，信息内容本质上并不含敏感性，因为信息处理者的意向与目的不同，所以同样的信息在不同的情况下具备不同的敏感度。目的模式实际认为，敏感性并非绝对的而是相对的，取决于信息的处理目的是否含有揭露信息的敏感特质。该模式发挥的作用在于限制信息处理者揭露、分析以及处理所具有的敏感特质，根据信息处理者的处理目的不同而予以限制，防止对信息主体造成伤害。但是，该模式的缺点也显而易见——其未对个人敏感信息进行定义，仅宽泛地在信息处理阶段进行目的判断，从而加大了企业和国家的管理负担，同时不利于公民对于信息中是否具有敏感特质进行判断，不利于个人敏感信息保护。

(二)个人敏感信息的立法表达与规则设计

结合国内外现有规范关于个人敏感信息的界定，以及我国司法实践关于个人敏感信息的裁判观点，我国对于个人敏感信息的界定应体现在未来的《民法典人格权编》和《个人信息保护法》中。

1.《民法典(草案)》第一千零三十四条文之评析与修改

《民法典人格权编(草案)》已经历三次审议，通过6个条文规定了对个人信息的系统保护，但仍然未对个人敏感信息与个人一般信息进行区分。虽然《民法典人格权编(草案第三次审议稿)》(以下简称人格权编三审稿)列举出属于个人敏感信息的身份证件号码、生物识别信息和行踪信息(26)《中华人民共和国民法典人格权编(草案第三次审议稿)》第八百一十三条第二款：个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。，但仍未冠之以个人敏感信息之名。全国人大立法委员会曹建明[20]副委员长指出，人格权编三审稿扩大了个人信息的范围，但是能察觉到对于个人信息的保护范围仍有缺漏。而全国人大于2019年12月16日对外公布的《民法典(草案)》第一千零三十四条终于对个人信息进行了类型化区分(27)《中华人民共和国民法典(草案)》第一千零三十四条：自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息, 包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。个人信息中的私密信息, 同时适用隐私权保护的有关规定。，却并未取得突破性进展。《民法典(草案)》第一千零三十四条第二款列举出“自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、 电子邮箱地址、 行踪信息等”八类个人信息，又在第三款指出“个人信息中的私密信息, 同时适用隐私权保护的有关规定。”此举无疑是表明将个人信息类型化为一般个人信息和个人私密信息，划分的依据是个人信息的内容是否涉及隐私，涉及隐私的个人信息被认为是私密信息。这确为个人信息的一种分类方式，但却不是最适宜在我国《民法典》中体现的分类。首先，私密信息涉及个人隐私，故在当事人的私密信息遭到侵害时可以选择隐私权保护抑或是个人信息权益保护的方式寻求救济，并不需要专门在法律条文中进行说明。其次，正如上文所述，将个人信息类型化为一般个人信息与个人敏感信息，并在我国民事基本法中体现，是满足我国目前对于个人敏感信息亟待保护的需求以及顺应全球个人信息保护的趋势，将个人敏感信息予以明确规定并加以特殊保护，是世界多数国家的普遍做法，值得中国借鉴。最后，对于一些并不私密但却敏感的个人信息无法给予强有力的保护，例如个人生物识别信息。个人生物识别信息包含指纹、基因、面部信息和声纹等，指纹信息并不是一项私密信息，因为人的手指触物留痕，声纹亦如此，每个社会个体在与他人交往过程中都会展现自己的声音，并不属于不愿被他人知晓的私密信息。但是包括指纹和声纹在内的个人生物识别信息却是一项高度敏感信息，个人生物识别信息的泄露或滥用，将会对个体的自由与人格尊严造成极大威胁，极易给信息主体造成人身和财产损害。目前我国最恰当的做法是在《民法典》界定个人信息的基础上，将个人信息类型化为个人敏感信息和个人一般信息，同时在《民法典》中进一步界定个人敏感信息的范围种类。

有鉴于此，笔者建议删除现有《民法典(草案)》第一千零三十四条第三款“个人信息中的私密信息, 同时适用隐私权保护的有关规定”，同时将民法典草案第一千零三十四条第二款修改为：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，分为一般个人信息和个人敏感信息。其中，个人敏感信息包括个人健康信息、生物识别信息、身份证件号码、行踪信息、财产信息、性生活和性取向等”。 删除目前《民法典(草案)》第一千零三十四条第二款中对于个人信息的种类列举，代之以对于个人敏感信息的种类列举，主要是由于现有的种类列举会模糊一般个人信息和个人敏感信息之间的界限，忽视两者之间的差异。同时，就法律条文的逻辑周延性方面考虑，由于一般个人信息是除了个人敏感信息以外的其他个人信息，通过列举个人敏感信息而确定一般个人信息的范围，更具有严密的周延性。如此一来，既可以在民事基本法层面确立个人敏感信息保护的法律依据，也可以为后续《个人信息保护法》等涉及个人信息的特别法提供指引，还可以为涉及个人敏感信息的司法裁判提供清晰的法律适用指导，促进学术研究中对于一般个人信息和个人敏感信息类型化处理与保护规则的重视。

2.《个人信息保护法》之相关条文设计

民法典作为我国民事基本法对于个人敏感信息的规定简短精炼，个人敏感信息更多的立法表达体现在个人信息保护专项立法，即我国未来的《个人信息保护法》之中。考虑到情景模式与目的模式等模式不能有效平衡个人敏感信息的主观性与客观性，如仅仅采纳这类模式，往往须交由个人信息保护行政主管机关和人民法院来进行判断。我国目前缺乏全国统一的个人信息保护行政主管机关，不能形成一套统一的判断体系。若交由法院在司法裁判阶段进行判断，则不能对信息主体的权益进行事前保护，可能会对信息主体造成严重的人身、财产和精神上的损失。因此，我国应在法律明文列举出个人敏感信息的种类之后，同时考量信息处理的情景与目的，主要是个人信息的内容与性质，其公开是否会对个体的自由、人身以及财产安全产生伤害。此举措既与我国目前关于个人敏感信息的既有规定相适应，也是应对我国目前个人敏感信息保护混乱状态的有效措施，能够对公民个人信息权利、隐私权以及人身财产相关权益提供强有力保障。

我国未来的《个人信息保护法》应分三步对个人敏感信息进行法律界定：第一步，在总体上将个人敏感信息定义为“一旦泄露或滥用，将会对个体的自由与人格尊严造成极大威胁，极易给信息主体造成人身和财产损害的个人信息”；第二步，具体操作上将个人健康信息、生物识别信息、身份证件号码、行踪信息、财产信息、性生活和性取向等个人敏感信息在法律条款中进行明文列举；最后，辅之以提示性条款，规定个人信息保护行政主管机关和司法机关在判定个人敏感信息时需同时考量信息处理情景和信息处理目的等因素。

六、结 语

将个人信息区分为个人敏感信息和个人一般信息，既能落实个人信息保护法的立法精神，有效保护个人的人格尊严和自由，又能促进对一般个人信息的利用，推动技术创新，在两者之间找到利益的最大公约数。合理界定个人敏感信息是对其进行特殊保护的第一步，选择适合我国国情的界定模式，从现有的规范文件和司法裁判中提取出我国个人敏感信息的具体种类，同时考虑科技水平的不断发展而可能扩充的种类，是最为恰当的做法。目前，我国《民法典(草案)》第一千零三十四条的规定并不能达到保护个人敏感信息这一特殊类别个人信息的预期效果。在智能应用时代重视个人敏感信息的法律界分，并将其在我国未来《民法典人格权编》和《个人信息保护法》中进行合理表达，将有利于我国在把握科技发展新机遇、推动智能产业健康发展的同时，不断增进人格保护与人民福祉。