程啸教授:个人信息保护中的敏感信息与私密信息
来源 | 人民法院报
作者 | 程啸 清华大学法学院副院长、教授、博士生导师
不久前公开征求意见的我国《个人信息保护法草案》(以下简称《草案》)将个人信息区分为敏感个人信息与非敏感个人信息,并在《草案》的第二章专节规定了“敏感个人信息的处理规则”。我国民法典人格权编第六章“隐私权和个人信息保护”则将个人信息区分为私密信息与非私密信息,同时,明确规定了个人信息中的私密信息适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。这样一来,就产生了怎样区分敏感信息与私密信息的问题。此外,对于《草案》为何不沿用民法典区分私密信息与非私密信息的做法,这是否意味着《草案》与民法典的规定相矛盾等问题,也存在不同的看法。
一、敏感与非敏感信息、私密与非私密信息的区分各有其规范目的与意义
笔者认为,敏感信息与非敏感信息、私密信息与非私密信息的区分是《草案》与民法典基于不同的规范目的对个人信息所作的两种不同的分类,二者均有其重要意义,并不矛盾。首先,敏感信息和非敏感信息是《草案》从规范个人信息处理行为的角度进行的一种重要分类,并在该区分的基础上针对信息处理者提出了不同的处理规则上的要求,从而有针对性地提高处理者在处理敏感信息时的法定义务,更加充分保护自然人的个人信息权益。由于敏感信息对于维护自然人的人身财产安全与人格尊严极为重要,该等信息一旦泄露或被非法使用,势必会对自然人的人身财产权益造成严重的侵害或损害,故此,法律上对处理者处理此类信息有非常严格的要求。但是,对于非敏感信息的处理而言,则没有如此严格的要求。例如,《草案》第30条规定,基于个人同意处理敏感信息的,处理者应当取得个人的单独同意;第31条规定,处理敏感信息时,处理者应当向个人告知处理该等信息之必要性以及对个人的影响等。再如,《草案》第54条要求处理者在处理敏感信息时必须事前进行风险评估并对处理情况加以记录。正是由于敏感信息和非敏感信息是为了确定不同的个人信息处理规则而对个人信息作出的区分,该分类仅适用个人信息保护法所调整的个人信息处理行为,而不适用自然人因个人或者家庭事务而处理个人信息的活动,对此,《草案》第68条第1款也作出了明确的规定。
然而,私密信息和非私密信息则是从民事权益保护的角度即为正确区分隐私权与个人信息权益的保护方法,而由民法典对个人信息进行的分类。依据民法典第一千零三十四条第三款,由于私密信息属于隐私,对于私密信息的保护首先适用隐私权的规定,隐私权没有规定的,才适用个人信息保护的规定。也就是说,私密信息和非私密信息的区分的侧重点在于民事权益的类型与保护方法的差异,而非如敏感信息与非敏感信息那样基于对信息处理者处理个人信息的行为规范的不同所做的分类,两种划分的规范目的存在明显的区别。此外,私密信息和非私密信息的区分适用于所有的侵害个人信息的侵权纠纷,即无论网络企业、国家机关处理个人信息中发生的侵权纠纷,还是自然人之间因个人或家庭事务而出现的侵害个人信息的侵权行为,区分私密信息与非私密信息都是必要的。因为这涉及被告侵害的民事权益究竟是隐私权还是个人信息权益的认定。从民法典第一千零三十三条的规定来看,除了法律另有规定或者权利人明确同意,否则,任何处理他人私密信息的行为都构成对他人隐私权的侵害。但是,非私密信息的处理行为的合法性基础不仅包括取得信息主体(即个人)及其监护人的同意,还包括法律和行政法规另有规定的情形。民法典第一千零三十六条还专门规定了处理个人信息的三类免责事由。
个人信息保护法并非是民法典的特别法,而是一部对个人信息保护进行全面规范的兼具公法与私法属性的综合性法律,故此,在《草案》中有必要从个人信息处理规则的角度对敏感信息和非敏感信息进行界分;相反,在民法典中,从民事权益保护的角度区分私密信息和非私密信息也是非常必要的。这两种分类方法的规范目的各不相同,均有其重要意义。
二、敏感与非敏感信息、私密与非私密信息的区分在侵权案件裁判中的作用
就人民法院审理侵害隐私权和个人信息权益的侵权案件而言,笔者认为,敏感信息与非敏感信息、私密信息与非私密信息这两种分类方法的意义体现在侵权责任构成要件的不同层次即侵害行为(即行为非法性)和侵害的民事权益类型。
1.在认定是否存在侵害个人信息的行为即判断个人信息处理行为非法性的阶段,敏感信息与非敏感信息的区分是十分重要的。如前所述,由于信息处理者对敏感信息和非敏感信息的处理规则和法定义务不同,故此,认定针对敏感信息和非敏感信息的处理行为的非法性时,法院所依据的法律规范也不同。当某个信息属于法律法规规章和国家标准规定的敏感信息时,法院就应当适用个人信息保护法中处理敏感信息的规范来确定处理者的义务,并据此判断信息处理行为是否非法,反之则不能适用此类专门针对敏感信息的规范。但是,对于私密信息,由于其属于隐私,受到隐私权的保护,故此只要权利人没有明确同意并且没有法律的另外规定,即可认定处理私密信息行为的非法性,即采取所谓的结果不法说。但是,认定非私密信息的非法性,仍然需要适用个人信息保护法所规定的个人信息处理规则。
2.在确定行为非法性之后,需要认定非法的个人信息处理行为即侵害行为所侵害的民事权益的类型究竟是什么。在该层面上,确认个人信息究竟是私密信息还是非私密信息非常重要。可以说原告所主张的被侵害的信息究竟是私密信息还是非私密信息,直接决定了侵害行为所侵害的究竟是隐私权还是侵害个人信息权益。这种判断在法院审理的几乎所有的个人信息侵权纠纷中都会存在。侵害的民事权益不同,侵权责任的构成要件、侵权责任的承担方式等也有所不同。例如,对于私密信息,适用隐私权保护的规定,权利人有权行使人格权保护请求权,并可以向法院申请人格权行为禁令。但是,对于非私密信息,则不能如此。然而,哪些是私密信息,哪些是非私密信息,不可能如同敏感信息和非敏感信息那样,由法律法规规章或标准加以确定,必须根据案件的具体情况予以具体认定。就私密信息的认定,有些是没有争议的,如个人的健康信息、犯罪记录、财产状况、性取向等当然属于私密信息。至于自然人的姓名、容貌、性别等,则不属于私密信息。尤其是有些个人信息实际上也被其他的人格权所保护,如姓名、容貌、声音等可以分别为姓名权、肖像权所保护。但是,对于读书记录、网页浏览信息、社交关系、地理位置信息等是否属于私密信息,在司法实践中则存在很大的争议。由于我国民法典上对于私密信息和非私密信息采取不同的保护方法,故此,笔者认为,不能以权利人单方面是否具有“不愿为他人知晓”的意愿为标准来确定哪些是私密信息,而应当从社会公众的一般认知和价值权衡的角度出发,逐一认定案涉个人信息是否属于私密信息。比较重要的考虑因素包括:社会公众对该信息作为私密信息的认知;该信息对于维护自然人的人身财产权益、人格尊严和人格自由的重要程度;该信息对于维护社会正常交往、信息自由的重要程度如何等。
三、敏感信息与私密信息的联系与区别
敏感信息与私密信息之间存在交叉的关系。有些个人信息既是私密信息也是敏感个人信息,如医疗健康、性取向;有些个人信息虽然是私密信息,却并不是敏感个人信息,如个人的嗜好、被他人性骚扰的个人信息;有些信息是敏感个人信息却未必是私密信息,如种族或民族、宗教信仰、政治主张、面貌特征等。笔者认为,区分敏感信息与私密信息的核心标准在于:就私密信息而言,需要结合具体情况从该信息自然人的人格尊严、人格自由关联紧密与否,该信息被侵害是否影响私人生活的安宁等角度来加以认定。但是,个人信息的敏感与否,主要是从该信息被非法处理可能产生的危害后果这一客观的角度来认定的,应遵循更客观、明确的标准,否则信息处理者将无所适从。也就是说,无论自然人是否愿意为他人知晓,都不影响某一信息客观上是否属于敏感个人信息。如前所述,敏感信息和非敏感信息的区分使得处理者应遵循的个人信息处理规则和义务的不同,故此,为确保信息处理规则的稳定性与可预期性,法律法规规章和标准应当明确列明各种敏感个人信息。目前,《草案》第29条第2款对敏感个人信息的界定为:“敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”笔者认为,所谓敏感个人信息主要是指,那些涉及自然人人格尊严、人格自由或者其他重大权益的个人信息,这些个人信息倘若被非法处理,将会对所涉自然人的人格尊严、人格自由或者其他重大的人身权益、财产权益造成严重的威胁或损害。依据这一界定,以下信息应当归入敏感的个人信息:(1)种族或民族信息;(2)宗教信仰信息;(3)政治主张信息;(4)生物识别信息;(5)基因信息;(6)医疗健康信息;(7)性生活与性取向信息;(6)储蓄、证券等金融账户信息。在未来我国个人信息保护法正式颁布后,相信立法机关和有关部门还会颁布相应的法规规章和国家标准对于敏感信息的范围和类型予以具体化、明确化。唯其如此,处理者才能有明确的行为规范的预期,以免动辄得咎,妨碍我国网络信息产业、数字经济的发展以及损害公共利益。
点击相应图片识别二维码
获取更多信息
北大法宝
北大法律信息网
法宝学堂
法宝智能