敏感个人信息:范围及场景

  导言

  敏感个人信息是《个人信息保护法》规定的一个重要概念。第28条规定:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。

  敏感个人信息应当给予加强保护,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。加强保护具体体现在以下几个方面:

  特定目的:处理一般个人信息需要明确告知处理目的,但对于处理目的没有特别限制。而处理敏感个人信息,必须是特定的目的,例如医院在收集个人病历资料时,必须告知其处理目的是为了特定的医疗活动;

  充分必要性:处理敏感个人信息对于开展个人信息处理活动必须是充分必要的。如果可以通过收集一般个人信息的方式达到处理的目的,则不得收集敏感个人信息;

  单独同意:处理敏感个人信息应当取得个人的单独同意;

  加强告知:除一般告知事项外,还需要向个人告知处理敏感个人信息的必要性以及对个人权益的影响;

  特殊保护:处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意,应当制定专门的个人信息处理规则;

  事前影响评估:应当事前进行个人信息保护影响评估,并对处理情况进行记录。

  一、法律法规明确列举的敏感个人信息

  《个保法》列出的敏感个人信息类型有7项,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

  《信息安全技术 个人信息安全规范》(GB/T 35273—2020)对敏感个人信息作出更加详细的列举:

  

  二、敏感个人信息的判断标准

  《个保法》第28条对敏感个人信息的定义较为宽泛,采取了概括加列举的方式,未明确列出的其他类型的个人信息也有可能构成个人敏感信息。

  敏感个人信息的核心特征在于其“敏感性”,而敏感是个主观词语,究竟敏感不敏感,是谁说了算?实践中,很多类型的个人信息(比如家庭住址、房屋产权、亲属关系)在出现泄露或者非法使用之后,都可能对人格尊严或者人身、财产安全造成危害。如何判断某一个人信息是否属于敏感个人信息,参考现有的学术和实务观点,应遵循以下的分析思路:

  1. 侵害的对象

  从定义来看,侵害对象包括四类:人格尊严、人身安全、财产安全、未成年人权益。

  (1)侵害人格尊严

  人格尊严属于自然人的基本人格权。人格尊严受到《宪法》的保障,也是我国《民法典》规定的基本人格权。按照最高人民法院主编的《民法典总则编理解与适用》,人格尊严是指自然人作为人应当受到他人尊重的权利。人格尊严是所有自然人普遍和平等享有的,具有高度概括性的人格权益,既包括了各种具体的人格权比如名誉权、荣誉权、隐私权,又包括具体法定的人格权所没有涵盖的人格利益。

  例如,个人的民族、种族、宗教信仰、特定身份、医疗健康信息,一旦遭到泄露或者非法使用,可能会使个人遭受到歧视或者差别对待、人格贬损,此类信息属于容易损害人格尊严的敏感个人信息。

  (2)侵害人身安全

  自然人享有生命权、健康权和身体权。某些个人信息,一旦泄露将直接威胁到个人的人身安全。以行踪轨迹为例,在移动互联网时代,智能手机和无处不在的GPS定位信息,使得个人可以随时随地被追踪到。行踪轨迹可以衍生出丰富的信息,如个人的生活区域、活动规律、购物习惯等,具有很高的商业利用价值,但同时行踪轨迹与个人的人身安全密切相关,不慎泄露会造成极高的安全威胁。故《个保法》将行踪轨迹明确规定为敏感个人信息。

  (3)侵害财产安全

  个人财产信息,例如银行账户、贵重物品、征信信息、收入情况,既会影响个人的财产安全,也可能会带来一定的人身安全威胁。个人财产信息应属于敏感个人信息。

  (4)侵害未成年人的权益

  只要是不满十四周岁的未成年人的个人信息,均属于敏感个人信息。这体现了对未成年人给予特别保护的原则。无论是中小学校或者以儿童为主要对象的网络平台、移动APP,其处理的海量儿童信息均属于敏感个人信息,应当在系统设计之初就采取更高的个人信息保护标准,否则将面临较高的合规风险。

  2. 侵害危险发生的可能性 – “场景理论”

  “容易导致受到侵害”应当如何理解?目前学术研究的观点认为:“容易导致”的表述比较模糊,导致可能在实际执法时任意扩大或者限缩了敏感个人信息的范围。由于任何个人信息的利用都是在一定的场景之下,因此应当通过引入 “场景理论” 对敏感个人信息进行界定。

  “场景理论”*是指根据个人信息处理行为发生的具体场景,对围绕该行为的各个元素(如行为人、信息主体的身份、处理的目的、处理的场所及其影响的后果等)进行综合评价,确定某信息处理行为的对象是否属于敏感个人信息。依据“场景理论”,对信息的处理应尊重信息提供时的场景,信息处理者针对相应信息的后续处理行为必须与该场景相一致。判断某一信息处理行为是否属于对敏感个人信息进行处理的行为时,必须将信息处理者的目的、处理的环境等场景因素纳入考量,对整个的情景进行综合并且全面的考察。

  在判断场景时,应当结合法定标准,依据具体的场景考虑某种信息与人格尊严、人身、财产安全存在密切关联,具体场景需要特别考虑造成损害的可能性、现实性以及可能造成损害的程度。某些个人信息虽然在一般情形下并不属于敏感个人信息,但此类个人信息一旦与相关的技术手段相结合,也可能对人格尊严造成风险,因此,在特定场景下, 其也可能属于敏感个人信息。例如,个人通讯录中的好友信息,与人格尊严的关系并不密切;而个人的通信内容与通信记录则与人格尊严的关系较为密切。再如,个人的电话号码本身不能够彰显人格尊严价值,但若电话号码被泄露,很可能会导致个人的私生活安宁受到侵扰, 此时就关涉信息主体的人格尊严保护问题。此外,在判断是否构成敏感个人信息时,应当结合社会公众的一般观念,而非当事人的主观感受来具体判断。

  注释

  * 引自王利明教授:《敏感个人信息保护的基本问题 以<民法典>和<个人信息保护法>的解释为背景》,载《当代法学》2022年第1期,第3页。

  

  有料 | 有趣|有态度

  扫码关注我们吧!