不久前公開征求意見的我國《個人信息保護法草案》（以下簡稱《草案》）將個人信息區(qū)分為敏感個人信息與非敏感個人信息，并在《草案》的第二章專節(jié)規(guī)定了“敏感個人信息的處理規(guī)則”。我國民法典人格權(quán)編第六章“隱私權(quán)和個人信息保護”則將個人信息區(qū)分為私密信息與非私密信息，同時，明確規(guī)定了個人信息中的私密信息適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定。這樣一來，就產(chǎn)生了怎樣區(qū)分敏感信息與私密信息的問題。此外，對于《草案》為何不沿用民法典區(qū)分私密信息與非私密信息的做法，這是否意味著《草案》與民法典的規(guī)定相矛盾等問題，也存在不同的看法。

　　一、敏感與非敏感信息、私密與非私密信息的區(qū)分各有其規(guī)范目的與意義

　　筆者認(rèn)為，敏感信息與非敏感信息、私密信息與非私密信息的區(qū)分是《草案》與民法典基于不同的規(guī)范目的對個人信息所作的兩種不同的分類，二者均有其重要意義，并不矛盾。首先，敏感信息和非敏感信息是《草案》從規(guī)范個人信息處理行為的角度進行的一種重要分類，并在該區(qū)分的基礎(chǔ)上針對信息處理者提出了不同的處理規(guī)則上的要求，從而有針對性地提高處理者在處理敏感信息時的法定義務(wù)，更加充分保護自然人的個人信息權(quán)益。由于敏感信息對于維護自然人的人身財產(chǎn)安全與人格尊嚴(yán)極為重要，該等信息一旦泄露或被非法使用，勢必會對自然人的人身財產(chǎn)權(quán)益造成嚴(yán)重的侵害或損害，故此，法律上對處理者處理此類信息有非常嚴(yán)格的要求。但是，對于非敏感信息的處理而言，則沒有如此嚴(yán)格的要求。例如，《草案》第30條規(guī)定，基于個人同意處理敏感信息的，處理者應(yīng)當(dāng)取得個人的單獨同意；第31條規(guī)定，處理敏感信息時，處理者應(yīng)當(dāng)向個人告知處理該等信息之必要性以及對個人的影響等。再如，《草案》第54條要求處理者在處理敏感信息時必須事前進行風(fēng)險評估并對處理情況加以記錄。正是由于敏感信息和非敏感信息是為了確定不同的個人信息處理規(guī)則而對個人信息作出的區(qū)分，該分類僅適用個人信息保護法所調(diào)整的個人信息處理行為，而不適用自然人因個人或者家庭事務(wù)而處理個人信息的活動，對此，《草案》第68條第1款也作出了明確的規(guī)定。

　　然而，私密信息和非私密信息則是從民事權(quán)益保護的角度即為正確區(qū)分隱私權(quán)與個人信息權(quán)益的保護方法，而由民法典對個人信息進行的分類。依據(jù)民法典第一千零三十四條第三款，由于私密信息屬于隱私，對于私密信息的保護首先適用隱私權(quán)的規(guī)定，隱私權(quán)沒有規(guī)定的，才適用個人信息保護的規(guī)定。也就是說，私密信息和非私密信息的區(qū)分的側(cè)重點在于民事權(quán)益的類型與保護方法的差異，而非如敏感信息與非敏感信息那樣基于對信息處理者處理個人信息的行為規(guī)范的不同所做的分類，兩種劃分的規(guī)范目的存在明顯的區(qū)別。此外，私密信息和非私密信息的區(qū)分適用于所有的侵害個人信息的侵權(quán)糾紛，即無論網(wǎng)絡(luò)企業(yè)、國家機關(guān)處理個人信息中發(fā)生的侵權(quán)糾紛，還是自然人之間因個人或家庭事務(wù)而出現(xiàn)的侵害個人信息的侵權(quán)行為，區(qū)分私密信息與非私密信息都是必要的。因為這涉及被告侵害的民事權(quán)益究竟是隱私權(quán)還是個人信息權(quán)益的認(rèn)定。從民法典第一千零三十三條的規(guī)定來看，除了法律另有規(guī)定或者權(quán)利人明確同意，否則，任何處理他人私密信息的行為都構(gòu)成對他人隱私權(quán)的侵害。但是，非私密信息的處理行為的合法性基礎(chǔ)不僅包括取得信息主體（即個人）及其監(jiān)護人的同意，還包括法律和行政法規(guī)另有規(guī)定的情形。民法典第一千零三十六條還專門規(guī)定了處理個人信息的三類免責(zé)事由。

　　個人信息保護法并非是民法典的特別法，而是一部對個人信息保護進行全面規(guī)范的兼具公法與私法屬性的綜合性法律，故此，在《草案》中有必要從個人信息處理規(guī)則的角度對敏感信息和非敏感信息進行界分；相反，在民法典中，從民事權(quán)益保護的角度區(qū)分私密信息和非私密信息也是非常必要的。這兩種分類方法的規(guī)范目的各不相同，均有其重要意義。

　　二、敏感與非敏感信息、私密與非私密信息的區(qū)分在侵權(quán)案件裁判中的作用

　　就人民法院審理侵害隱私權(quán)和個人信息權(quán)益的侵權(quán)案件而言，筆者認(rèn)為，敏感信息與非敏感信息、私密信息與非私密信息這兩種分類方法的意義體現(xiàn)在侵權(quán)責(zé)任構(gòu)成要件的不同層次即侵害行為（即行為非法性）和侵害的民事權(quán)益類型。

　　1.在認(rèn)定是否存在侵害個人信息的行為即判斷個人信息處理行為非法性的階段，敏感信息與非敏感信息的區(qū)分是十分重要的。如前所述，由于信息處理者對敏感信息和非敏感信息的處理規(guī)則和法定義務(wù)不同，故此，認(rèn)定針對敏感信息和非敏感信息的處理行為的非法性時，法院所依據(jù)的法律規(guī)范也不同。當(dāng)某個信息屬于法律法規(guī)規(guī)章和國家標(biāo)準(zhǔn)規(guī)定的敏感信息時，法院就應(yīng)當(dāng)適用個人信息保護法中處理敏感信息的規(guī)范來確定處理者的義務(wù)，并據(jù)此判斷信息處理行為是否非法，反之則不能適用此類專門針對敏感信息的規(guī)范。但是，對于私密信息，由于其屬于隱私，受到隱私權(quán)的保護，故此只要權(quán)利人沒有明確同意并且沒有法律的另外規(guī)定，即可認(rèn)定處理私密信息行為的非法性，即采取所謂的結(jié)果不法說。但是，認(rèn)定非私密信息的非法性，仍然需要適用個人信息保護法所規(guī)定的個人信息處理規(guī)則。

　　2.在確定行為非法性之后，需要認(rèn)定非法的個人信息處理行為即侵害行為所侵害的民事權(quán)益的類型究竟是什么。在該層面上，確認(rèn)個人信息究竟是私密信息還是非私密信息非常重要?？梢哉f原告所主張的被侵害的信息究竟是私密信息還是非私密信息，直接決定了侵害行為所侵害的究竟是隱私權(quán)還是侵害個人信息權(quán)益。這種判斷在法院審理的幾乎所有的個人信息侵權(quán)糾紛中都會存在。侵害的民事權(quán)益不同，侵權(quán)責(zé)任的構(gòu)成要件、侵權(quán)責(zé)任的承擔(dān)方式等也有所不同。例如，對于私密信息，適用隱私權(quán)保護的規(guī)定，權(quán)利人有權(quán)行使人格權(quán)保護請求權(quán)，并可以向法院申請人格權(quán)行為禁令。但是，對于非私密信息，則不能如此。然而，哪些是私密信息，哪些是非私密信息，不可能如同敏感信息和非敏感信息那樣，由法律法規(guī)規(guī)章或標(biāo)準(zhǔn)加以確定，必須根據(jù)案件的具體情況予以具體認(rèn)定。就私密信息的認(rèn)定，有些是沒有爭議的，如個人的健康信息、犯罪記錄、財產(chǎn)狀況、性取向等當(dāng)然屬于私密信息。至于自然人的姓名、容貌、性別等，則不屬于私密信息。尤其是有些個人信息實際上也被其他的人格權(quán)所保護，如姓名、容貌、聲音等可以分別為姓名權(quán)、肖像權(quán)所保護。但是，對于讀書記錄、網(wǎng)頁瀏覽信息、社交關(guān)系、地理位置信息等是否屬于私密信息，在司法實踐中則存在很大的爭議。由于我國民法典上對于私密信息和非私密信息采取不同的保護方法，故此，筆者認(rèn)為，不能以權(quán)利人單方面是否具有“不愿為他人知曉”的意愿為標(biāo)準(zhǔn)來確定哪些是私密信息，而應(yīng)當(dāng)從社會公眾的一般認(rèn)知和價值權(quán)衡的角度出發(fā)，逐一認(rèn)定案涉?zhèn)€人信息是否屬于私密信息。比較重要的考慮因素包括：社會公眾對該信息作為私密信息的認(rèn)知；該信息對于維護自然人的人身財產(chǎn)權(quán)益、人格尊嚴(yán)和人格自由的重要程度；該信息對于維護社會正常交往、信息自由的重要程度如何等。

　　三、敏感信息與私密信息的聯(lián)系與區(qū)別

　　敏感信息與私密信息之間存在交叉的關(guān)系。有些個人信息既是私密信息也是敏感個人信息，如醫(yī)療健康、性取向；有些個人信息雖然是私密信息，卻并不是敏感個人信息，如個人的嗜好、被他人性騷擾的個人信息；有些信息是敏感個人信息卻未必是私密信息，如種族或民族、宗教信仰、政治主張、面貌特征等。筆者認(rèn)為，區(qū)分敏感信息與私密信息的核心標(biāo)準(zhǔn)在于：就私密信息而言，需要結(jié)合具體情況從該信息自然人的人格尊嚴(yán)、人格自由關(guān)聯(lián)緊密與否，該信息被侵害是否影響私人生活的安寧等角度來加以認(rèn)定。但是，個人信息的敏感與否，主要是從該信息被非法處理可能產(chǎn)生的危害后果這一客觀的角度來認(rèn)定的，應(yīng)遵循更客觀、明確的標(biāo)準(zhǔn)，否則信息處理者將無所適從。也就是說，無論自然人是否愿意為他人知曉，都不影響某一信息客觀上是否屬于敏感個人信息。如前所述，敏感信息和非敏感信息的區(qū)分使得處理者應(yīng)遵循的個人信息處理規(guī)則和義務(wù)的不同，故此，為確保信息處理規(guī)則的穩(wěn)定性與可預(yù)期性，法律法規(guī)規(guī)章和標(biāo)準(zhǔn)應(yīng)當(dāng)明確列明各種敏感個人信息。目前，《草案》第29條第2款對敏感個人信息的界定為：“敏感個人信息是一旦泄露或者非法使用,可能導(dǎo)致個人受到歧視或者人身、財產(chǎn)安全受到嚴(yán)重危害的個人信息，包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等信息?！惫P者認(rèn)為，所謂敏感個人信息主要是指，那些涉及自然人人格尊嚴(yán)、人格自由或者其他重大權(quán)益的個人信息，這些個人信息倘若被非法處理，將會對所涉自然人的人格尊嚴(yán)、人格自由或者其他重大的人身權(quán)益、財產(chǎn)權(quán)益造成嚴(yán)重的威脅或損害。依據(jù)這一界定，以下信息應(yīng)當(dāng)歸入敏感的個人信息：（1）種族或民族信息；（2）宗教信仰信息；（3）政治主張信息；（4）生物識別信息；（5）基因信息；（6）醫(yī)療健康信息；（7）性生活與性取向信息；（6）儲蓄、證券等金融賬戶信息。在未來我國個人信息保護法正式頒布后，相信立法機關(guān)和有關(guān)部門還會頒布相應(yīng)的法規(guī)規(guī)章和國家標(biāo)準(zhǔn)對于敏感信息的范圍和類型予以具體化、明確化。唯其如此，處理者才能有明確的行為規(guī)范的預(yù)期，以免動輒得咎，妨礙我國網(wǎng)絡(luò)信息產(chǎn)業(yè)、數(shù)字經(jīng)濟的發(fā)展以及損害公共利益。

相關(guān)知識

個人健康醫(yī)療信息保護模式考察
電子健康檔案，保障你的醫(yī)療信息安全與隱私
濟南私人教練招聘信息
量身定制，您的私人健康信息指南
產(chǎn)婦個人信息登記表.docx
信息中心
醫(yī)務(wù)人員泄露患者信息被判刑 信息安全管理制度需重視！丨醫(yī)法匯
防疫健康信息碼
電子病歷SaaS系統(tǒng)，實現(xiàn)醫(yī)療信息的高效共享與保護
「私人瑜伽教練招聘信息」

網(wǎng)址: 個人信息保護中的敏感信息與私密信息 http://www.u1s5d6.cn/newsview515878.html