劉　風， 朱　圓

(福州大學(xué) 法學(xué)院， 福州 350116)

論個人敏感信息的民法保護*

劉風， 朱圓

(福州大學(xué) 法學(xué)院， 福州 350116)

摘要：2013年出臺的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》粗略提及個人敏感信息，但未給予明確界定，使得個人敏感信息權(quán)益保護的司法實踐存在障礙。結(jié)合域外個人敏感信息的定義，認為個人敏感信息包括隱私信息和部分非隱私信息，其中部分非隱私信息界定之參考因素是嚴重且實質(zhì)性損害；個人敏感信息兼具新型財產(chǎn)權(quán)和新型人格權(quán)的法律屬性。借鑒域外個人敏感信息民事保護模式，認為我國宜通過《侵權(quán)責任法》來保護個人敏感信息權(quán)益。

關(guān)鍵詞：侵權(quán)責任法； 個人敏感信息； 隱私信息； 法律屬性； 保護模式； 侵權(quán)保護機制

近年來個人信息泄露事件頻繁發(fā)生，特別是個人敏感信息的泄露時有出現(xiàn)，如2012年“1號店”員工內(nèi)外勾結(jié)泄露客戶信息事件、2012年“當當網(wǎng)”客戶賬戶遭盜刷事件等①參見中國電子商務(wù)研究中心《盤點：電商行業(yè)八大信息泄露典型案例》，http：//b2b.toocle.com/detail-6162474.html.。2013年，國家工信部出臺《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》(簡稱《指南》)，本以為備受詬病的個人敏感信息泄露問題有望得到緩解，豈料《指南》出臺后個人敏感信息泄露的現(xiàn)象依舊頻繁發(fā)生。究其原因有如下兩點：一是《指南》只具有自律公約性質(zhì)，不具備法律強制力；二是《指南》只簡單提及個人敏感信息一詞，對何謂個人敏感信息未予界定。因為個人敏感信息本身不易界定，法學(xué)界在探討個人信息權(quán)時總是繞開個人敏感信息，因此至今在司法實踐中尚未形成一套關(guān)于個人敏感信息權(quán)益的民事保護機制?？梢哉f，單憑《指南》很難杜絕個人敏感信息泄露問題，因此，討論個人敏感信息的界定以及侵權(quán)法保護就顯得更為重要、更為迫切。

一、個人敏感信息的分類與界定

1. 個人一般信息與個人敏感信息的分類標準

個人信息又稱“個人數(shù)據(jù)”或“個人隱私”。對其定義，不同國家或地區(qū)的法律條文以及法律學(xué)者在學(xué)術(shù)探討中持有不同的表述，但基本都圍繞著個人信息的功能、針對的個人屬性等展開。按照不同標準，可以對個人信息作不同的類別劃分，把個人信息劃分為個人一般信息和個人敏感信息是一種普遍分類方法。但此種劃分的具體標準是什么，學(xué)者們?nèi)栽谔接懀河械囊允欠裆婕半[私為標準[1]102；有的以侵害個人信息權(quán)益造成的人身財產(chǎn)利益損害程度的大小為標準[2]；有的認為并無絕對標準，應(yīng)根據(jù)個案情況進行處理[3]207-208；還有的認為應(yīng)該充分結(jié)合當事人的意愿和各行業(yè)的特征來區(qū)分[4]。筆者認為，在風險社會的背景下，以風險大小，即主要參照個人人身財產(chǎn)利益遭受侵害的可能性大小以及造成實質(zhì)性損害的嚴重程度作為分類標準，可以較為全面地反映個人敏感信息所包含的內(nèi)容。

2. 個人敏感信息的界定

“個人敏感信息”的關(guān)鍵是“敏感”。相比其他個人信息，其所蘊含的“權(quán)益”分量更重，利益關(guān)系更濃。根據(jù)經(jīng)濟學(xué)中利益與風險成正比的觀點，個人敏感信息泄露所帶來的風險遠大于其他個人信息。因此，對個人敏感信息的界定應(yīng)先從“敏感”二字入手。“敏感”帶有一定主觀色彩，按照《辭?！返慕忉專舾惺侵干砩匣蛐睦砩蠈ν饨缡挛锓磻?yīng)很快。換言之，“敏感”即在特定的環(huán)境下，外在的事物、行為能夠達到挑動人的神經(jīng)，使人的生理或心理在瞬間發(fā)生質(zhì)的變化的作用。個人敏感信息正是可以帶給人此種效果的信息。

縱觀各國各地區(qū)相關(guān)法律條文中關(guān)于個人敏感信息的定義，可以將其歸納為：

(1) 以1980年《資料保護公約》為開端，采用有限列舉的方法將個人敏感信息限定為“種族、政治觀點、宗教與其他信仰、工會會員，健康、性生活、刑事判決等相關(guān)資料”[5]277-278。

(2) 以列舉為主，輔以當事人自由選擇權(quán)的方式，它以美國在《個人隱私法》中規(guī)定的個人敏感信息的內(nèi)容為代表[1]103。我國臺灣地區(qū)的法律明確指出，特種資料為基因、醫(yī)療、健康狀況、犯罪前科、性生活[1]106。這些國家或地區(qū)所界定的個人敏感信息的內(nèi)容基本上同自己的文化背景相融，同時結(jié)合了基本人權(quán)保護的理念。筆者認為，我國也應(yīng)結(jié)合本國特有的文化傳統(tǒng)對敏感信息作出有特色的界定。

“個人敏感信息”包含兩個元素，一是個人，二是敏感信息。一般情況下，個人僅限自然人，多數(shù)學(xué)者對此沒有爭議；但對于敏感信息的理解卻大相徑庭，因為敏感信息是界定個人敏感信息內(nèi)容的關(guān)鍵元素。筆者認為，我國的個人敏感信息應(yīng)由兩個方面的信息組成：

一是隱私信息。隱私信息的私密性決定了信息主體對此類信息的高度敏感性。隱私信息與非隱私信息是相對的，是指信息主體不愿公開的，“與私生活有關(guān)，與公共生活無關(guān)的，不是丑事、壞事，而是僅僅只屬于個人私事”[6]15的信息，它包括個人生理私密、心理私密、家庭私密、身份私密、活動私密等，如家族遺傳疾病信息等。此類信息之所以稱為隱私，是因為同時具備一般人普遍認可的兩個因素：一是個人不愿公開的，二是純粹只與私生活有關(guān)，與公共生活、公共利益、集體利益或其他重大利益無關(guān)。換言之，信息主體愿意公開(不包括特定開放)的個人信息不能稱為隱私信息，例如看似只有20歲年齡的70歲老人如果愿意把自己整過容的信息刊登在媒體上，則該信息就不是隱私信息；信息主體不愿公開但與公共生活、公共利益或其他重大利益有關(guān)的個人信息，也不是隱私信息。

二是部分非隱私信息。當個人非隱私信息在開放過程中被他人以一定的目的使用時，如果信息主體合法的人身權(quán)益與財產(chǎn)權(quán)益遭受嚴重且實質(zhì)性的損害*有學(xué)者主張個人敏感信息是指遭到泄露或修改等會對特定信息主體造成不良影響的那些類信息。筆者借鑒此觀點，并以“人身或財產(chǎn)權(quán)益遭受嚴重且實質(zhì)性的損害”作為“不良影響”的判斷標準。[4]，則這部分非隱私信息為敏感信息。廈門違禁郵包案是此種情況的典型案例，普通人的電話信息是非隱私信息，但是行為人利用電話信息實施了詐騙行為，使信息主體的合法財產(chǎn)權(quán)益遭受嚴重且實質(zhì)性的損害，此時個人一般信息便轉(zhuǎn)化為個人敏感信息。

綜上所述，個人敏感信息是指自然人的隱私信息和部分非隱私信息，其中部分非隱私信息敏感性的判斷標準是該類信息被他人使用后是否會對信息主體的人身或財產(chǎn)權(quán)益造成嚴重且實質(zhì)性的損害。

二、個人敏感信息的法律屬性

1. 新型人格權(quán)說

把個人信息的法律屬性*個人敏感信息作為個人信息的子概念，其法律屬性可通過個人信息的法律屬性來探討。認定為新型人格權(quán)是近來多數(shù)學(xué)者的觀點，原因在于個人信息具有識別特定個人的功能，它是個人自由、尊嚴、人格利益的載體。保護個人信息就是保護人的自由、尊嚴和人格利益。此外，它不同于民法上所探討的傳統(tǒng)人格權(quán)，具有新型性。傳統(tǒng)人格權(quán)強調(diào)人格不能獨立存在于人的身體之外，而個人信息是獨立存在于人的身體之外的，在信息化時代，個人通常被看作由符號、標志等組合而成的檔案[1]18-19。

2. 隱私權(quán)說

有學(xué)者認為，個人信息是個人隱私的一部分，個人信息保護的宗旨就是保護個人隱私。在該學(xué)說的基礎(chǔ)上，部分學(xué)者進一步細化，提出獨處權(quán)說和有限地接近自我說。獨處權(quán)說認為，個人對個人信息有著與世隔絕獨享的權(quán)利。有限地接近自我說認為，個人對個人信息的獨享不是與世隔絕的，個人與他人保持著一定的距離[3]64-65。隱私權(quán)說強調(diào)保護個人信息的重要性，體現(xiàn)了隱私不容侵犯的法理念。

3. 新型財產(chǎn)權(quán)說

部分學(xué)者把個人信息的法律屬性認定為財產(chǎn)權(quán)，一方面是由于各國的征信產(chǎn)業(yè)不斷發(fā)展，另一方面是由于個人信息經(jīng)信息化處理后具有經(jīng)濟價值，能夠為商家?guī)砜捎^的效益。另外，它的新型性體現(xiàn)在，當個人單獨擁有著原始的個人信息時不會產(chǎn)生財產(chǎn)價值，只有經(jīng)他人組合、處理，加工并進行一定的活動后，才會有財產(chǎn)價值的產(chǎn)生[7]213。換言之，個人信息只有獨立于人的身體之外并經(jīng)信息化處理后才具有財產(chǎn)性。

4. 新型人格權(quán)和新型財產(chǎn)權(quán)結(jié)合說

筆者認為隱私權(quán)說存在一定的缺陷，它把個人信息的范圍縮小化，因為并非所有個人信息都是隱私。隱私信息要保護，但對那些不是隱私的個人信息，當被他人使用且造成信息主體相關(guān)權(quán)益受到嚴重且實質(zhì)性損害時，同樣受法律的保護。從公民基本權(quán)利的角度來看，筆者認為不能片面地把個人信息的法律屬性認定為單一的新型人格權(quán)或單一的新型財產(chǎn)權(quán)，而應(yīng)該把新型人格權(quán)說和新型財產(chǎn)權(quán)說相結(jié)合。個人信息是與特定的個人聯(lián)系在一起的，具有人格特征。個人信息被信息化處理后，不法分子以商品的形式進行交易從而獲得高額利潤。雖然這種利益的獲得不具有法律上的正當性，但個人信息蘊含的財產(chǎn)價值是不容忽視的。此外，新型人格權(quán)與新型財產(chǎn)權(quán)的“新型”主要表現(xiàn)在：一是法律保護的直接對象是個人信息，它獨立存在于人的身體之外，具有積極防御的特征；二是個人信息需經(jīng)信息化處理，進而被再次利用或出售時才成為人格權(quán)和財產(chǎn)權(quán)的載體；三是在信息化時代，個人信息權(quán)作為一項獨立的、新設(shè)的民事權(quán)利，是現(xiàn)代社會發(fā)展的趨勢，人格權(quán)和財產(chǎn)權(quán)作為個人信息權(quán)的主要內(nèi)容在一定程度上體現(xiàn)出新型性。

三、歐盟與美國個人敏感信息民事保護模式的立法考察

1. 歐盟的“充分型”民事保護模式

歐盟是最早認識到應(yīng)該在個人信息中明確區(qū)分出個人敏感信息(歐盟在指令中稱為特殊數(shù)據(jù))并給予特殊保護的組織。在《歐盟數(shù)據(jù)保護指令》(或譯《歐盟個人數(shù)據(jù)保護法》)第2章第8條中單獨規(guī)定了特殊數(shù)據(jù)的民事保護機制——以勿為為原則，例外規(guī)定法定的6種行為不受限制*參見歐盟《1995年個人數(shù)據(jù)保護指南》第2章第8條的規(guī)定。。第3章中配套規(guī)定了相應(yīng)的民事司法救濟途徑，包括違反指令規(guī)定應(yīng)受到制裁并承擔一定的民事賠償責任。歐盟的個人敏感信息民事保護模式之所以屬于“充分型”的保護，不只因為該指令對第三國具有很大的影響力*即第三國的隱私法律要經(jīng)過歐盟委員會依指令來判定是否屬于“充分”保護，若是，才能在歐盟與第三國之間進行信息跨境傳輸。[8]31，更主要的是因為它是專門針對個人信息權(quán)益的立法，規(guī)定了民事行為模式與法律后果，以充分保護個人敏感信息權(quán)益。

2. 美國的“自律型”民事保護模式

不同于歐盟，美國是傾向于經(jīng)濟效率的國家，絕對不允許因為條條框框的限定影響經(jīng)濟的發(fā)展，但并不能因此認為美國不保護個人敏感信息，因為美國始終明確“隱私權(quán)為聯(lián)邦憲法所保障的基本人權(quán)”[9]144。只是在個人敏感信息民事保護上，美國更多地是采用自律規(guī)制的方法：一方面，在界定個人敏感信息內(nèi)容時，允許當事人自己約定何為個人敏感信息，個人有選擇權(quán)；另一方面，救濟的方式除了以違反契約規(guī)定為由進行司法救濟外，還專門設(shè)立自律機制來協(xié)助政府保障執(zhí)法。同時，美國還確定了具體的民事賠償額度，例如“……但在任何案件中，有權(quán)獲得賠償者收到的金額不得少于1 000美元”*參見《美國隱私權(quán)法》第7章第4節(jié)。。美國個人敏感信息民事保護模式的運行基礎(chǔ)是當事人之間的“契約”，即當事人之間的相互信任。

通過對歐盟與美國個人敏感信息民事保護模式的立法考察可知，他們都在立法中明確個人敏感信息權(quán)益保護的地位，只是采取的保護方式不同，很大程度上是根據(jù)國情確定的。歐盟是多個國家的聯(lián)合體，“充分型”民事保護機制更能兼顧國與國之間信息自由流通與信息權(quán)益保護之間的關(guān)系[10]；而美國向來重視契約精神，在個人敏感信息權(quán)益民事保護機制上確定“自律型”模式是符合其國情的。

四、我國個人敏感信息民法保護模式的構(gòu)建

1. 個人敏感信息權(quán)益是我國《侵權(quán)責任法》的保護客體

我國《侵權(quán)責任法》第2條規(guī)定：“侵害民事權(quán)益，應(yīng)當依照本法承擔侵權(quán)責任。本法所稱民事權(quán)益，包括生命權(quán)、健康權(quán)、姓名權(quán)、名譽權(quán)、榮譽權(quán)、肖像權(quán)、隱私權(quán)、婚姻自主權(quán)、監(jiān)護權(quán)、所有權(quán)、用益物權(quán)、擔保物權(quán)、著作權(quán)、專利權(quán)、商標專用權(quán)、發(fā)現(xiàn)權(quán)、股權(quán)、繼承權(quán)等人身、財產(chǎn)權(quán)益?！彼鞔_了我國《侵權(quán)責任法》保護的客體必須具備“救濟性、私法性、絕對性”[11]的特點。雖然個人敏感信息的法律屬性是新型人格權(quán)和新型財產(chǎn)權(quán)的結(jié)合，體現(xiàn)出新型性，但它本質(zhì)上仍是人格權(quán)和財產(chǎn)權(quán)二者的結(jié)合，其體現(xiàn)出來的特性是符合私法性和絕對性的，當被侵害時是應(yīng)該得到《侵權(quán)責任法》救濟的。

2. 侵權(quán)法保護個人敏感信息的制度機制

不可否認，雖然目前我國有一些法律法規(guī)*如《信息網(wǎng)絡(luò)侵犯人身權(quán)司法解釋》。零零散散地涉及到對個人敏感信息權(quán)益的保護，但個人敏感信息權(quán)益受到侵害的現(xiàn)象仍舊頻繁發(fā)生。胡衛(wèi)萍教授認為，當務(wù)之急是在立法上確定個人信息權(quán)內(nèi)容并制定專門的個人信息法[12]。筆者認為，個人信息權(quán)內(nèi)容可以在我國民法典編撰時涉及，但在編撰工作完成之前有必要設(shè)定個人敏感信息權(quán)益的民事保護機制。借鑒歐盟和美國在確定保護模式時的經(jīng)驗，依據(jù)我國的國情，我國只能在確保個人敏感信息權(quán)益保護的前提下兼顧信息的自由流通[13]。而《侵權(quán)責任法》是一部救濟法，并且個人敏感信息權(quán)益屬于侵權(quán)法所保護的客體范疇，無疑應(yīng)該設(shè)定個人敏感信息的侵權(quán)法保護機制。由于個人敏感信息法律屬性的本質(zhì)是對世的人格權(quán)和財產(chǎn)權(quán)，因此，救濟個人敏感信息權(quán)益的侵權(quán)法保護機制的運行同《侵權(quán)責任法》規(guī)定的一般侵權(quán)救濟機制的運行是一致的，同樣以過錯責任為歸責原則，以結(jié)果、違法、過錯以及因果關(guān)系為構(gòu)成要件要素。下文重點探討該機制構(gòu)成要件中的結(jié)果要素和違法性要素，因為二者是司法實踐中法官考量侵權(quán)行為發(fā)生與否的關(guān)鍵，且能反映侵權(quán)案件的具體類型。

(1) 敏感信息主體受侵害的權(quán)益是新型人格權(quán)或新型財產(chǎn)權(quán)。侵權(quán)法保護機制運行的前提是明確《侵權(quán)責任法》所規(guī)定的民事權(quán)益受到了不法侵害，即明確侵權(quán)責任構(gòu)成要件中的結(jié)果要素。在具體的個人敏感信息權(quán)益侵害案件中，認定信息主體受侵害的是什么權(quán)益，應(yīng)該根據(jù)行為主體的主觀過錯情況來判斷，比較受害人人身和財產(chǎn)分別受侵害的程度；在例外的情形下(通常是行為人的主觀過錯難以判斷)，則從一般人的角度來判定。例如，一個有著多次性史的花季女孩，因為信任而把這種不愿被他人甚至父母知道的隱私告訴某一好朋友，而好朋友明知這種隱私傳播出去會對女孩造成精神上的傷害，但考慮到一己私利，以商品交易的方式設(shè)定不同價格傳播該隱私。根據(jù)行為人的主觀過錯以及受害人人身財產(chǎn)受侵害程度，不難看出這一行為侵犯的是新型人格權(quán)。

(2) 侵害個人敏感信息權(quán)益行為的認定。在過錯歸責原則下，侵權(quán)法保護機制的運行離不開對違法性要素的判斷。臺灣學(xué)者蘇永欽在《再論一般侵權(quán)行為的類型——從體系功能的角度看修正后的違法侵權(quán)規(guī)定》一文中提及，違法性要素同侵害行為相關(guān)聯(lián)，在具體侵權(quán)案件中，則是通過特定化的侵害行為來表現(xiàn)，對侵害行為的認定可以間接反映違法性。在對個人敏感信息權(quán)益侵害行為進行認定時，需要結(jié)合上文提及的敏感信息的兩個方面，因為每一方面的信息對應(yīng)的侵害標準是不同的，在侵害行為的認定上應(yīng)作分別處理，目的在于全面且透徹地保護個人敏感信息。

其一，侵害隱私信息行為的認定。因為隱私信息是站在一般人的角度來評判的，而且一般人普遍認為隱私信息的私密性決定了信息主體對其高度的敏感性，傳播隱私信息相比傳播其他非隱私信息產(chǎn)生的侵害風險更高，具有的侵害力更大。因此，認定侵害應(yīng)以是否存在危險為標準，而且這種危險必須是一般人都認可的?？傊?，信息主體的隱私信息一旦被傳播出去，使得主體的權(quán)益存在被侵害的危險時，即可認定為侵害。

其二，侵害部分非隱私信息行為的認定。這類信息的侵害認定要以他人的行為對信息主體是否造成不良影響來判斷，即他人的行為是否對權(quán)益主體的人身或財產(chǎn)權(quán)益造成了嚴重且實質(zhì)性損害。其中，在新型人格權(quán)方面，嚴重且實質(zhì)性損害的評判標準可參照《精神損害賠償法》中關(guān)于精神損害級別判定的規(guī)定；在新型財產(chǎn)權(quán)方面，嚴重且實質(zhì)性損害的評判標準可參照權(quán)益主體財產(chǎn)的損失額度或行為主體非法買賣等行為的獲利大小來確定。

參考文獻：

[1]齊愛民.拯救信息社會中的人格：個人信息保護法總論 [M].北京：北京大學(xué)出版社，2009.

[2]汪全勝，方利平.個人敏感信息的法律規(guī)制探析 [J].現(xiàn)代情報，2010(5)：25-27.

[3]孔令杰.個人資料隱私的法律保護 [M].武漢：武漢大學(xué)出版社，2009.

[4]王玉平.關(guān)于加強個人敏感信息防護措施的思考 [J].中國信用卡，2012(12)：56-58.

[5]周漢華.域外個人數(shù)據(jù)保護法匯編 [M].北京：法律出版社，2006.

[6]曲直.留給隱私多大的空間 [M].北京：中華工商出版社，2004.

[7]郭瑜.個人數(shù)據(jù)保護法研究 [M].北京：北京大學(xué)出版社，2012.

[8]周漢華.中華人民共和國個人信息保護法(專家建議稿)及立法研究報告 [M].北京：法律出版社，2006.

[9]郎慶斌.個人信息保護概論 [M].北京：人民大學(xué)出版社，2008.

[10]郭鵬.個人信息權(quán)及其歐盟保護 [J].政法學(xué)刊，2011(2)：9-12.

[11]齊喜三.論侵權(quán)法的保護范圍：兼析中國《侵權(quán)責任法》第2條的得失與修造 [J].河北法學(xué)，2013(9)：150-153.

[12]胡衛(wèi)萍.論我國個人信息權(quán)的法律維護 [J].成都理工大學(xué)學(xué)報：社會科學(xué)版，2013(7)：27-28.

[13]李儀.個人信息保護的價值困境與應(yīng)對：以調(diào)和人格尊嚴與信息自由沖突為視角 [J].河北法學(xué)，2013(2)：1-5.

(責任編輯：郭曉亮)

Oncivillawprotectionofsensitivepersonalinformation

LIUFeng,ZHUYuan

(LawSchool,FuzhouUniversity,Fuzhou350116,China)

Abstract：The Personal Information Protection Guidelines of Public and Commercial Service Information Systems of Information Security Technology published in 2013 mentions sensitive personal information roughly without clear definition of it. That hinders the judicial practice of right protection of sensitive personal information. Combining with the definition of sensitive personal information in other countries, it is believed that sensitive personal information includes privacy information and partial non-privacy information. The reference factor of the definition of partial non-privacy information is severe and substantial infringements. Sensitive personal information has the legal attributes of new type of property right and personality right. The civil protection modes of sensitive personal information in foreign countries are used for reference, and it is suggested that the rights of sensitive personal information should be protected through Tort Liability Act in China.

Key words：tort liability act; sensitive personal information; privacy information; legal attribute; protection mode; tort protection mechanism

收稿日期：2015-06-13

基金項目：福建省社會科學(xué)基金一般課題(FJ2015B102)。

作者簡介：劉風(1990-)，女，福建平潭人，碩士生，主要從事民商法、知識產(chǎn)權(quán)法等方面的研究。

doi：10.7688/j.issn.1674-0823.2016.03.14

中圖分類號：D 923.8

文獻標志碼：A

文章編號：1674-0823(2016)03-0269-05

*本文已于2015-11-04 17∶02在中國知網(wǎng)優(yōu)先數(shù)字出版。 網(wǎng)絡(luò)出版地址：http：∥www.cnki.net/kcms/detail/21.1558.C.20151104.1702.002.html