【条文主旨】
本条是关于敏感个人信息内涵、外延以及处理基本条件的规定。
【条文理解】
一、本条历史沿革
关于敏感个人信息的处理规则,《个人信息保护法(草案)》在第29条至第32条作出了规定,其中第29条是关于敏感个人信息内涵与外延的界定。《个人信息保护法(草案)》第29条规定:个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息(第1款)。敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息(第2款)。《个人信息保护法(草案)》第29条首先在第1款强调处理敏感个人信息时的特定目的和充分必要,之后才在第2款对敏感个人信息进行界定。
《个人信息保护法(草案二次审议稿)》也是在第29条规定敏感个人信息的内涵与外延,并且完全沿用了《个人信息保护法(草案)》第29条的内容,没有变化。
《个人信息保护法(草案三次审议稿)》则在第28条中规定个人信息的内涵和外延,并在结构和内容上比之《个人信息保护法(草案)》和《个人信息保护法(草案二次审议稿)》第29条有较大变化。一方面,在条文的结构上,《个人信息保护法(草案三次审议稿)》第28条首先在第1款规定敏感个人信息的内涵和外延,之后才在第2款强调处理敏感个人信息的特定目的和充分必要。这样的结构安排,与《个人信息保护法(草案)》第29条及《个人信息保护法(草案二次审议稿)》第29条正好相反。另一方面,在条文的内容上,《个人信息保护法(草案三次审议稿)》第1款关于敏感个人信息的内涵界定中,强调敏感个人信息一旦泄露或非法使用,“容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”,这与《个人信息保护法(草案)》和《个人信息保护法(草案二次审议稿)》第29条第2款中“导致个人受到歧视或者人身、财产安全受到严重危害”有所不同。前者强调“容易导致自然人的人格尊严受到侵害”,而后者强调“导致个人受到歧视”;前者强调“人身、财产安全受到危害”,而后者强调“人身、财产安全受到严重危害”。从二者的变化看,《个人信息保护法(草案三次审议稿)》的“人格尊严受到侵害”表述更符合法律语言要求,且涵盖更为丰富;“人身、财产安全受到危害”的表述,也比“人身、财产安全受到严重危害”的范围更广,有利于在更大范围内保护敏感个人信息。此外,《个人信息保护法(草案三次审议稿)》第28条第1款在敏感个人信息外延的列举中,删去了《个人信息保护法(草案)》和《个人信息保护法(草案二次审议稿)》中的“种族、民族”,增加了“特定身份”,使得敏感个人信息的外延更为拓展,有利于对敏感个人信息的保护。尤其需要指出的是,《个人信息保护法(草案三次审议稿)》第28条第1款中将未成年人的个人信息明确规定为敏感个人信息,这是对《个人信息保护法(草案)》和《个人信息保护法(草案二次审议稿)》的重大发展,对于未成年人保护具有非常重要的意义。
本法最终通过时,完全保留了《个人信息保护法(草案三次审议稿)》中第28条的内容。
二、敏感个人信息的本质特征
从其他国家和我国台湾地区的做法上看,有敏感个人信息并未直接下定义的制度规定。比如,具有全球影响力的GDPR第9条,一般被认为是对敏感个人信息的规定,[1]但实际上该条只是对敏感个人信息进行了列举,并未概括敏感个人信息的本质特征。我国台湾地区的“个人资料保护法”第6条也只是对敏感个人资料进行了列举,并未规定其本质特征。也有对于敏感个人信息作出定义性的规定。比如,《日本个人信息保护法》将敏感个人信息称为“需注意的个人信息”,并在其第2条第3款将其本质特征概括为“为避免发生针对本人的不当歧视、偏见以及其他不利益而需要在处理上予以特别注意的记述”。本法关于敏感个人信息的立法模式很显然是既有定义又有列举的模式。
本法规定的敏感个人信息的本质特征是,一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。这一本质特征使得敏感个人信息与其他个人信息相区别的质的规定性较为明晰。一是泄露或非法使用容易导致人格尊严受到侵害。人格尊严是人之为人所应受到的国家、社会和他人的承认和尊重。人格尊严是各项具体人格权的价值基础,具体人格权的规则设计应当以维护个人的人格尊严为基本目的。[2]《
宪法》第38条明确规定人格尊严不受侵犯,《
民法典》第109条也规定:自然人的人身自由、人格尊严受法律保护。因此,对人格尊严的保护是一个国家法律制度的重要价值之一。一项个人信息一旦泄露或者被非法使用就可能导致人格尊严受损的,足以表明该个人信息对于个人的极端重要性,将之确定为敏感个人信息予以特别保护,完全符合人格尊严保护的价值。二是泄露或非法使用容易导致人身、财产安全受到危害。人身、财产安全关系人民群众基本福祉,一项个人信息一旦泄露或者被非法使用会危及人身、财产安全的,则意味着该个人信息与人民群众基本福祉息息相关,具备给予特别保护的客观基础。
三、敏感个人信息与非敏感个人信息
按照信息内容是否直接涉及个人人格尊严和人身、财产安全,可以将个人信息划分为敏感个人信息与非敏感个人信息,本条规定的就是敏感个人信息,敏感个人信息之外的个人信息则是非敏感个人信息。从二者的对比上看,敏感个人信息涉及个人人格尊严的核心领域、具有高度私密性、对其公开或利用将会对个人造成重大不利影响,如本条列举的生物识别信息、医疗健康信息、金融账户信息、行踪轨迹信息等个人信息都是这样。而非敏感个人信息如个人的姓名信息、教育背景信息、职业信息等,一般与个人的人格尊严和人身、财产安全联系不是那么紧密,对其公开一般也不会对个人产生重大不利影响。
上述分类的意义在于,敏感个人信息与个人的人身和财产权益联系得更为紧密,一旦遭到泄露或修改将直接侵犯个人的人身、财产权益。因此,对于敏感个人信息的保护应高于非敏感个人信息的保护。正如本条第2款规定的那样,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。在具体的司法审判中,对于敏感个人信息被侵犯的信息主体,应提供更为便捷和低成本的保护。在证明责任分配上,本法第69条已经确定了对所有个人信息权益造成损害时的举证责任倒置规则,即由侵权人证明其对个人信息的处理没有过错,这对于敏感个人信息的保护无疑更具有重要意义。同时,可以考虑降低被侵权人对于侵权行为、因果关系的证明标准,从而更有效地保护敏感个人信息。[3]
四、敏感个人信息的范围
(一)生物识别信息
关于个人生物识别信息包括哪些内容,并没有通行的标准。比如,我国台湾地区就将个人生物特征识别信息限于指纹及脸部特征信息。[4]本法并没有明确列举生物识别信息的具体项目,但参考《信息安全技术个人信息安全规范》(GB/T?35273—2020)附录B对敏感个人信息的举例,个人生物识别信息应包括具有个人专属性而足以辨识个人身份的个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。整体而言,这一范围较为契合目前生物科学技术的发展成果,对于个人信息的保护更为全面。
(二)宗教信仰信息
宗教信仰信息是个人是否信奉宗教、信奉何种宗教以及信奉某一宗教中何种教派的信息。个人的宗教信仰往往是其政治自由的一部分,本不需要纳入个人信息进行保护。然而,不同的宗教有着很多不同甚至对立的宗教教义,如果对宗教信仰信息不加保护,可能使得具有某一宗教信仰的人受到歧视或仇视,引发不公正待遇。基于此,对于宗教信仰信息有必要纳入敏感个人信息范畴进行更高程度的保护。
(三)特定身份信息
特定身份信息的概念具有一定的包容性,它可以涵盖自然人基于生物层面或社会层面而产生的相应身份识别信息。本法立法过程中《个人信息保护法(草案)》和《个人信息保护法(草案二次审议稿)》第29条中所列举的“种族、民族”,就属于特定身份信息。此外,诸如俱乐部成员信息、社团组织的会员信息等也属于特定身份信息。随着社会的发展进步,对特定身份信息进行解释,将是本法拓展个人信息外延的重要手段。
(四)医疗健康信息
医疗健康信息与自然人的人身、健康密切关联,一旦泄露或非法利用,往往会直接损害自然人的人格尊严。比如,涉及乙肝既往病史的个人信息一旦泄露,即可导致自然人被歧视,对其人格尊严造成侵害。因此,对于医疗健康信息有必要纳入敏感个人信息进行保护。
(五)金融账户信息
从其他国家和我国台湾地区的做法上看,不论是GDPR第9条第1款,还是《日本个人信息保护法》第2条第3款,抑或是我国台湾地区的“个人资料保护法”第6条,都没有将金融账户信息纳入敏感个人信息。但是,敏感个人信息范围的确定往往与一个国家或地区的历史文化和国情息息相关。就我国的情况看,近年来被人民群众深恶痛绝的电信诈骗,基本都与个人金融账户信息的泄露有关。鉴于此,本法立足于我国国情将金融账户信息作为敏感个人信息,从而扩宽了敏感个人信息的范围。[5]
(六)行踪轨迹等信息
行踪轨迹信息是记录自然人的静态居停地点和动态行动路线的电子信息,确保其行踪轨迹信息不被泄露或非法利用,是自然人人格自由和人格尊严的当然之义。根据《民法典》第1034条的规定,行踪轨迹作为私密信息,也属于隐私权的保护范围。行踪轨迹信息一旦被泄露或非法利用,则直接损害自然人的隐私利益,构成对人格尊严的侵害,因而应当作为敏感个人信息对其进行保护。
(七)不满14周岁未成年人的个人信息
从法律社会学的角度看,法律应当全力促进社会发展进步。未成年人是社会发展进步的希望之所在,对于未成年人的保护,只要是在社会可以承受的范围内,无论如何都不为过。基于此,对于不满14周岁的未成年人的个人信息应当予以特别的保护,已经是较为普遍的共识,[6]同时这也是贯彻《
未成年人保护法》第72条的必然要求。本条将未成年人的个人信息纳入敏感个人信息进行保护,正好顺应了这一趋势和潮流,殊值肯定。
需要指出的是,敏感个人信息除了本条所列举的情形之外,还有很多。常见的比如,自然人的性取向信息、性活动信息、通信记录和内容信息等。并且,敏感个人信息的类型具有开放性,随着社会发展进步,敏感个人信息的类型具有进一步丰富的可能。
五、敏感个人信息的特别处理规则
敏感个人信息与非敏感个人信息的重要区别之一,就在于其处理规则的要求更为严格,这种严格性主要体现在以下两个方面。
一方面,对于敏感个人信息的处理,必须有特定目的和充分的必要性。如果仅仅是一般性目的或并没有充分的必要性,则不应处理未成年人个人信息。比如,教育培训机构基于教培本身的特定目的,只需要收集未成年人的年级、成绩信息即可,对于未成年人所处的学校、年龄、民族、家庭住址等信息没有收集的必要,如果收集,就构成对敏感个人信息的非法处理。
另一方面,对于敏感个人信息的处理,必须采取严格保护措施,否则不能处理。上例中,教育培训机构即使收集未成年人的年级和成绩信息,也应在采取严格保护措施的情况下才能收集。并且,采取严格保护措施在时间上应该先于收集行为。如果教育培训机构在尚无有效的严格保护措施的情况下就收集未成年人的年级和成绩信息,则构成对敏感个人信息的非法处理。
还需要强调的是,以上两个方面的要求必须同时满足,才能处理未成年人的个人信息。此外,根据本法第31条第1款的规定,处理未成年人个人信息,还必须取得未成年人的父母或者其他监护人的同意。
【条文适用】
敏感个人信息的法律保护中,可能因信息主体本人的个体特征而引发法律适用中的特殊考虑,最明显的就是公众人物的敏感个人信息和未成年人的个人信息问题。以下进行简要分析。
一、公众人物敏感个人信息的限制性保护
从纽约时报诉沙利文案(New?York?Times?v.Sullivan)以来,很多国家在立法和司法实践中采取了对公众人物人格权进行限制的做法,这是衡平公众知情权与公众人物人格权的需要。[7]而敏感个人信息本身与隐私权客体中的私密信息存在很多交叉,甚至可以说很大部分的敏感个人信息属于私密信息,从而可以成为隐私权的客体。就此而言,敏感个人信息的保护对公众人物而言,也存在一定的限制。比如,公众人物的民族、宗教信仰等并非私密信息的敏感个人信息,即使被披露,只要没有违反公序良俗原则,或被恶意利用,一般不认定为侵权,这是衡平公众人物个人利益与社会公共利益的要求。
但是,披露涉及公众人物核心隐私的敏感个人信息,一般而言则不属于维护公共利益的行为,也不属于公众合理知情权的范围,对这种披露行为应认定为侵犯公众人物的个人信息权益。具体而言,公众人物的私密约会、性行为、家庭聚会、住所内的私人活动、私人病史、金融账户信息等都是其核心隐私。涉及上述个人信息的侵权案件,被告不能以原告是“公众人物”进行抗辩。在非常著名的摩纳哥公主卡洛琳案中,欧洲人权法院判决认定,擅自披露卡洛琳公主生活细节的行为构成对卡洛琳公主“私人生活”侵害。其理由就在于,人格权主张者虽然是“绝对新闻人物”,但其私生活完全与公共利益无关,也有可能依据《德国艺术
著作权法》第22条侧重保护其人格利益。[8]在我国台湾地区,也曾经有非常著名的璩某某光碟事件。时任新竹市文化局长的璩某某与有妇之夫发生性行为的视频被曝光引发风波,璩某某虽为公众人物,但终因性行为乃纯粹私人生活,公众对此并无正当利益可言,拍摄和曝光视频之人终被判刑。我国台湾地区在2005年“
刑法”修正时,还专门增设所谓“璩某某条款”,即偷窥或偷拍他人非公开场合的活动或身体隐私的,处以三年以下有期徒刑或3万元以下罚金。[9]因此,对于公众人物而言,其敏感个人信息的保护虽然受到一定程度的限制,但并非一般性的限制。原则上,敏感个人信息构成公众人物私密信息且与公共利益无关的,都应受到如同普通人一样的保护。
二、特别情况下为保护未成年人本人利益而处理其个人信息可能阻却违法
未成年人个人信息受特别保护,本质上是未成年人本身受特别保护的一部分。但在某些时候,未成年人的各项合法权益之间也会存在竞争。比如,养父对于收养的幼童实施家庭暴力,导致其多处受伤。第三人得知后将幼童受伤的相关照片进行面部模糊处理后发表到微博上随即撤下。尽管已经撤下,该事件还是引起社会和媒体关注,幼童被家庭暴力的行为得到制止。此后,幼童的监护人起诉该第三人,主张其侵犯幼童的个人信息权益,要求赔偿。[10]在上述案例中,第三人揭露幼童养父可能的犯罪行为,本质上是在维护受害未成年人的合法权益。而要揭露这一犯罪行为,难免对未成年人本人受伤害的相关主要事实进行披露。这一披露行为必然会涉及未成年人本人的个人信息。第三人通过互联网的揭露行为,虽然未经未成年人或其监护人同意,但正如《最高人民法院公报》中所指出的,发帖人在微博中发表未成年人受伤害信息,所发微博的内容与客观事实基本一致,符合社会公共利益和儿童利益最大化原则。[11]因此,第三人发表未成年人受伤害信息虽然未经其监护人同意,但本质上是为了保护该未成年人合法权益,可以认定属于本条规定的“具有特定目的和充分的必要性”。同时,第三人对面部进行模糊处理,并上传后很快撤下的行为,应当解释为采取了“严格的保护措施”。因此,上述案例中第三人为保护未成年人本人合法权益而处理未成年人个人信息的行为应认定为违法阻却事由。
