鄭煌杰

(上海政法學(xué)院 法律學(xué)院，上海 201701)

一、問題的引出

隨著人工智能、大數(shù)據(jù)、云計算等數(shù)字信息技術(shù)廣泛應(yīng)用于人們的生活之中，人們逐漸開始重視自己的個人信息。目前各行各業(yè)都在充分發(fā)揮個人信息的價值，也因此引發(fā)了諸多風(fēng)險挑戰(zhàn)。鑒于個人信息的范圍十分廣泛，每個人對不同類型的個人信息利用和保護的要求也有所不同?？偟膩碚f，對于屬于個人一般信息，人們往往同意或者不拒絕其被合理利用，而對于個人敏感信息，由于通常具有私密性，所以人們理所當然希望法律對此能夠給予特殊的保護。申言之，則是因為個人敏感信息一旦處理不當就會給他人的人身利益與財產(chǎn)利益造成巨大的損害。所以，區(qū)別對待個人信息的保護，這是大數(shù)據(jù)時代個人信息立法的核心所在。

在此背景下，以歐盟和美國為主的國家在對待個人敏感信息與個人一般信息都有著不同的處理規(guī)則。[1]我國《個人信息保護法》(以下簡稱《個保法》)對于個人敏感信息與個人一般信息的處理規(guī)定也有所不同，前者較后者而言規(guī)定更為嚴格。僅有在特殊場合且具有合法合理的情況下，同時還需要取得個人同意，信息使用者才能處理個人敏感信息，無需承擔(dān)相應(yīng)的責(zé)任。我國《個保法》第28條也對個人敏感信息作出一個較為模糊的規(guī)定，即“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息”。同時，也通過“列舉+概括”的方式劃分出七種類型的個人敏感信息，此項規(guī)定雖然明確了個人敏感信息保護的“敏感性”特征，但是先入為主地區(qū)分了敏感與非敏感的判斷標準，可能導(dǎo)致個人敏感信息與個人一般信息保護力度存在較大的差異。鑒于此，亟需省思個人敏感信息的敏感與非敏感之間的界限是否明確？《個保法》所列舉的個人敏感信息類型是否周全？由于個人敏感信息的“模糊性”是否導(dǎo)致其處理規(guī)則存在局限性？以及如何有效完善其處理規(guī)則？本文將針對以上問題逐一進行探討，以求教大方之家。

二、個人敏感信息處理規(guī)則的省思

個人敏感信息雖已經(jīng)是我國實體法上的概念，但還是存在著較大的模糊地帶。由于“敏感”二字自身就存在著很大的評價空間，每個人對“敏感”的價值判斷標準也存在著區(qū)別，同時隨著社會不斷發(fā)展已在《個保法》所列舉的“敏感”類型內(nèi)涵和外延可能也會發(fā)生變化。[2]以上這些問題都會給個人敏感信息帶來更多不確定性，進而影響其相關(guān)處理規(guī)則的適用。

(一)法律規(guī)定的模糊性

敏感的本質(zhì)是什么？基于心理學(xué)的角度，主觀說認為敏感二字是既有強烈的主觀色彩也有很強的個性化差異，經(jīng)常用來描述個人的心理特征。[3]客觀說則認為敏感是社會大多數(shù)群體的心理狀態(tài)，也與社會客觀環(huán)境有著密切的聯(lián)系。[4]結(jié)合前文所述，會發(fā)現(xiàn)當前我國《個保法》第28條是采用客觀說進行立法，其中所說的“敏感”就是“造成侵害或危害結(jié)果上的容易性”，不難看出這一規(guī)定標準存在著極大的不確定性。一方面，敏感二字如作為法律規(guī)范性概念，其概念內(nèi)涵的界定應(yīng)當是明確的，而因為其本身價值規(guī)范導(dǎo)向就存在模糊的空間，故有必要對此進行價值填補。另一方面，此條規(guī)定中的“容易導(dǎo)致”一詞也是個模糊不清的表述，詞義存在著較大的解釋空間，需要很多現(xiàn)實例證加以證明。以上概念的不確定性可能會產(chǎn)生一系列問題，例如信息使用者在處理信息時，有時難以判斷他人的個人信息是否屬于敏感信息，這不僅無法保障個人信息權(quán)益，也可能導(dǎo)致產(chǎn)生信息使用者義務(wù)責(zé)任不清的問題，甚至出現(xiàn)相關(guān)使用者為了逃避法律責(zé)任將個人的所有信息都認為是敏感信息的情形。又比如相關(guān)國家部門在履行其法定職責(zé)時，由于個人敏感信息的模糊性可能造成不同的執(zhí)法標準、懲罰力度等問題。再比如法官容易因法律規(guī)范概念的不確定性造成其適用法律困難，難以判斷案件相關(guān)人是否構(gòu)成個人信息侵權(quán)行為。[5]此外，法官在認定侵犯個人信息權(quán)益與處理者責(zé)任承擔(dān)的問題也尤為重要，以生活中人們的財產(chǎn)信息與交易信息、家庭住址信息與旅宿信息、行程信息與定位信息為例，會發(fā)現(xiàn)這些信息聯(lián)系十分緊密，其可能會高度重合，而這些都可能造成法官適用法律困難。

(二)法定范圍的狹隘性

《個保法》中雖然列舉了七種個人敏感信息即“生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息”以及“不滿十四周歲的未成年人的個人信息”，但隨著社會的發(fā)展可能會出現(xiàn)七種類型以外的個人敏感信息。

首先，收集數(shù)據(jù)信息技術(shù)的發(fā)展，可能會導(dǎo)致衍生出新的敏感信息，這些“新信息”會使“敏感”與“非敏感”之間的界限更加模糊不清。比如利用先進數(shù)據(jù)收集技術(shù)將人們生活軌跡活動如上網(wǎng)記錄、行程記錄等等數(shù)據(jù)化進行收集，甚至包括因為人工智能技術(shù)而關(guān)聯(lián)的個人信息，以上這些個人信息是否容易造成危害風(fēng)險，都需要法律適用者重新判斷是否屬于既有的個人敏感信息。換言之，是否需要進一步擴大個人敏感信息的種類，以確保這些“新型”信息保護機制的協(xié)調(diào)一致。

其次，分析數(shù)據(jù)信息技術(shù)的進步，可能也會導(dǎo)致相關(guān)聯(lián)的信息都具有敏感性特征。在這樣的情況下，關(guān)聯(lián)信息都能聯(lián)系到特定的某個人而造成一定的安全風(fēng)險，也會擴大敏感信息與非敏感信息的模糊地帶。通常來說，信息本身對個人的客觀描述并不是敏感的，但過度分析數(shù)據(jù)信息(例如創(chuàng)設(shè)出個人信息之間本不存在的相關(guān)性)可能產(chǎn)生一些令人堪憂的情況。[6]盡管許多數(shù)據(jù)庫為了實現(xiàn)匿名化和去識別化，而刪除數(shù)據(jù)所可能對應(yīng)的特定個人身份信息，但數(shù)據(jù)庫之間進行重新組合，也容易導(dǎo)致數(shù)據(jù)信息再次被識別而關(guān)聯(lián)到某個特定的人，而使他人遭受到人身和財產(chǎn)上安全的風(fēng)險。故當前法律所規(guī)定的敏感信息范圍可能無法涵蓋之后“新型敏感信息”，換言之，個人敏感信息范圍可能是無法窮盡的，最核心的問題還是在于應(yīng)當采取何種標準來劃定個人敏感信息的范圍界限。

(三)界定標準的寬泛性

如上文所述，個人敏感信息的內(nèi)涵和外延可能是隨著社會不斷發(fā)展的，故通過列舉七種類型個人敏感信息來充當其界定標準可能會存在滯后性及“規(guī)則真空”的問題，同時當前個人敏感信息相關(guān)例證還不充分。鑒于此，可以嘗試從其中歸納總結(jié)出通用具體的公式化標準，來界定個人敏感信息的范圍從而更好地確立其處理規(guī)則。基于此，有學(xué)者提出我國關(guān)于個人敏感信息的特別規(guī)定，主要是因為這類型信息如果被泄露或者被非法使用，非常容易對個人的人格尊嚴、人身、財產(chǎn)等利益造成損害，故需要針對個人敏感信息作出更嚴苛的限定。[7]換言之，個人敏感信息本質(zhì)上是比較容易產(chǎn)生巨大安全風(fēng)險的信息，這與歐盟《一般數(shù)據(jù)保護條例》的立法思路(基于數(shù)據(jù)信息可能導(dǎo)致風(fēng)險的不同對個人信息進行區(qū)別保護)是不謀而合的。事實上，個人敏感信息之所以具有“高風(fēng)險性”是為了避免一旦被泄露或被非法使用而產(chǎn)生安全風(fēng)險。美國相關(guān)領(lǐng)域的信息也體現(xiàn)了這種“高風(fēng)險性”，例如教育信息、醫(yī)療信息、金融信息等等。除此之外，美國還通過立法對特定類型個人信息進行特別保護，例如美國的《視頻隱私保護法》的制定是由于記者曝光某個法官的錄像帶租賃信息，《駕駛員隱私保護法》的制定也是因為某位女明星的粉絲得出女明星駕駛證上的居住地址，而后跟蹤將該女明星殺害等等。[8]以上可以看出，個人敏感信息內(nèi)涵是動態(tài)變化的，故需要確立具體化的處理規(guī)則。

除此之外，敏感信息與非敏感信息的界限并不清晰。一方面，信息使用者處理行為的目的容易引發(fā)他人對此信息的敏感程度，例如為了清楚他人的行程軌跡和為了推銷車保險，兩者基于不同的目的去獲取他人的車輛信息，他人對此有不同的敏感感受，此時車輛信息就很判定是一般信息亦或是敏感信息。[9]另一方面，處理信息的場景不同也會影響信息是否具有敏感性。以醫(yī)療信息為例，如醫(yī)生是在治療患者的場景下則該過程中涉及患者的醫(yī)療信息一般不具有敏感性，然而當醫(yī)生是在該場景以外的生活場景披露患者的醫(yī)療信息，此時其信息可能具有敏感性。另外，獨立看一些個人信息時不具有敏感性，但當其與其它信息結(jié)合在一起就因能識別特定某個人進而產(chǎn)生敏感性。具體而言，獨立看名字、性別、工作地址等一般信息由于這些信息是人們在日?；顒拥幕拘畔?，所以很難會被認為是敏感信息。但是，當這些信息被不法分子所利用時，此時對個人來說就是敏感信息。

綜上所述，從單一層面(信息特性層面)來界定其敏感性，毫無疑問是把個人信息當作是一個靜態(tài)的客體。但在現(xiàn)實生活中，個人信息與有體物不同，其會隨著不同場景的轉(zhuǎn)變而發(fā)生動態(tài)變化，這也體現(xiàn)出信息的流動性。故個人敏感信息的敏感度是動態(tài)變化的，需要結(jié)合具體場景來判斷其敏感性，而不是僅僅使用列舉式此類寬泛的界定標準。

三、個人敏感信息處理規(guī)則的完善

概括式立法雖然能夠妥善解決社會發(fā)展過程中出現(xiàn)的新型法律問題，以減少法律本身存在滯后性問題，但不足之處在于對相關(guān)法律概念的界定缺乏明確性，在此背景下，不管是第三方信息使用者亦或是國家行政、司法等部門都要再次識別個人信息是否屬于當前所規(guī)定敏感信息范疇，這將可能導(dǎo)致法律適用的混亂。[10]除此之外，為了防止執(zhí)法和司法自由裁量權(quán)的濫用，保障法律的穩(wěn)定性，還需要對個人敏感信息的基本概念進行解釋論構(gòu)造，以保證為實踐提供明確的界定標準，而場景理論可以說是解決這些問題的工具方法。

(一)場景理論的內(nèi)涵及要件

現(xiàn)階段個人敏感信息的處理規(guī)則在適用過程中可能存在兩個問題。其一，是過度僵化保護《個保法》所明確列舉的幾種個人敏感信息。其二，則是未能夠及時保護不屬于列舉范圍的個人信息。[11]例如雜志圖書的訂閱信息一般被認為是個人一般信息，但如果此類信息體現(xiàn)的是一些極少數(shù)人的偏好，這也可能導(dǎo)致其轉(zhuǎn)化為個人敏感信息，故筆者認為可以引用場景理論加以完善其處理規(guī)則。

首先，從場景理論的內(nèi)涵來看。國外學(xué)者尼森鮑姆教授提出的場景理論，認為場景對信息特性有很大的影響，其可能會導(dǎo)致相同信息在不同場景下的敏感度差異較大。[12]學(xué)界已經(jīng)對此理論展開了廣泛的討論和研究。有學(xué)者提出，“場景”就是“具體情況具體分析”，從場景的完整性角度分析確實如此，因為分析過程中必然需要結(jié)合場景內(nèi)的具體情況。[13]然而，這種分析還存在欠缺之處即沒有考慮到相關(guān)行為主體、行為規(guī)范等也都在場景之內(nèi)。亦有學(xué)者認為場景理論是一個“動態(tài)隱私保護理論”，其理論根本是為了平衡互相矛盾的利益沖突。[14]從侵害個人隱私和個人信息權(quán)益的責(zé)任承擔(dān)角度分析，“動態(tài)隱私保護理論”是有其合理之處。不過也存在一定的局限性，因為場景理論不僅僅是需要考量侵權(quán)責(zé)任承擔(dān)等問題，還要考慮其能否指導(dǎo)法律規(guī)范的制定。另外，場景理論也能夠為個人敏感信息界定提供一個思考方向，即需要結(jié)合各種精細化要件來確定個人敏感信息的標準。

其次，從場景理論的要件分析。信息自身不會直接對個人造成損害，而在其借助完整場景時就可能對個人產(chǎn)生影響。當前我國對個人敏感信息需結(jié)合場景要件的觀點已逐漸達成共識，然而，還存在著許多問題如場景有無具體要件以及個人敏感信息如何運用這些要件來界定其標準和范圍等等這些問題都尚未深入研究。尼森鮑姆教授認為，場景的要件影響著個人對信息的敏感度與期待值，其將場景具體化為五個基本要件，即信息主體、信息輸出者、信息接受者、信息特性以及信息流通原則。[15]亦有學(xué)者提出敏感信息的界定要素，有信息使用者的利益、信息接收者、信息收集目的等等。[16]我國《個保法》第51條規(guī)定個人信息處理者處理信息過程中，必須考量幾個規(guī)范要件來保證處理行為的合法性與合理性，具體有：處理目的、處理手段、信息類型、是否對個人信息權(quán)益有影響以及是否存在風(fēng)險。這不僅對信息處理過程提出規(guī)范性要求，也對界定動態(tài)變化的個人敏感信息確立了較為清晰的標準。根據(jù)以上理論和法律規(guī)范，筆者認為場景理論可以具體化為五個要件：信息主體、信息使用者、第三方主體、信息特性、處理目的。

第一，信息主體。個人敏感信息可能受其年齡、性別等因素影響，例如老年人、男性等?！秱€保法》第28條也已經(jīng)列舉關(guān)于未成年人個人信息以及特定身份信息。

第二，信息使用者。其一，是信息使用者的人數(shù)多少可能會造成個人一般信息轉(zhuǎn)化為個人敏感信息。其二，是數(shù)據(jù)信息分析的技術(shù)水平也容易使一般信息轉(zhuǎn)化為敏感信息。

第三，第三方主體。一般來說，個人敏感信息的接收方是第三方主體，個人敏感信息可能受信息主體或者處理者與第三方主體之間的關(guān)系影響。

第四，信息特性。雖然信息主體的人格尊嚴、人身財產(chǎn)安全與一些信息有關(guān)，但為了避免產(chǎn)生不必要的安全風(fēng)險，應(yīng)當盡量限定信息的類型，同時也不能僅把信息特性當作判斷的要件。

第五，處理目的。其一，個人信息保護的根本原則應(yīng)當是處理目的的原則，其也是界定個人敏感信息的前提條件。其二，評價個人信息保護的標準也在于處理信息過程是否是基于合法、合理、必要的處理目的。易言之，個人信息容易因為非法、不合理、不必要的處理目的而產(chǎn)生高度敏感性，進而對信息主體造成巨大的安全風(fēng)險。

此外，也有學(xué)者認為處理信息的方式和信息所對應(yīng)的數(shù)據(jù)庫也與個人敏感信息的敏感度高低有關(guān)。國外也有學(xué)者認為影響信息的敏感度因素還有其規(guī)模的大小及延續(xù)時間的長短等等。[17]筆者以為，上文所述的要件均能包括這些情形，信息使用者可以包括信息處理方式(處理方式是基于處理者作出的)，信息特性不僅能夠涵蓋對應(yīng)的數(shù)據(jù)庫類型(數(shù)據(jù)庫是信息的集合體)，也能夠包括信息規(guī)模的大小與其延續(xù)時間的長短(信息大小時間長短等都是信息特性的表現(xiàn)方式)。

(二)場景理論明確信息轉(zhuǎn)化邊界

要證明場景理論的可適用性就必須結(jié)合具體實踐運用如立法、執(zhí)法、司法層面加以考量，同時個人敏感信息五要件的意義價值要在實踐過程中加以檢驗證明。

其一，場景理論能用于判斷個人一般信息是否可以轉(zhuǎn)化為個人敏感信息。具體而言，法律適用者將《個保法》第28條所列舉的個人敏感信息以外的個人信息判定為敏感信息。以車輛信息為例，《個保法》所列舉的敏感信息并沒包括車輛信息，然而由于車輛信息可能涉及到其生產(chǎn)、經(jīng)銷、使用等方面，在此場景下相關(guān)主體的人身、財產(chǎn)安全極易受其影響(例如車輛使用過程中GPS的智能定位系統(tǒng))。所以在《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》規(guī)定中，個人敏感信息范圍得到了擴張，即將車輛的行程軌跡、圖像、音頻等一般信息也納入敏感信息之中。[18]根據(jù)該規(guī)定，將場景五要件代入分析，則信息主體包括車輛相關(guān)主體如駕駛?cè)恕④囍?、乘車人等，信息特性涵蓋行程軌跡蹤跡、音頻等，信息處理者及處理目的包含為了達到個人目的而實施處理車輛信息的行為，故在某些場景下上述信息都是屬于個人敏感信息的范疇。換言之，場景五要件結(jié)合使用來界定個人敏感信息的方法是合理的。此外之所以要引用場景理論，不單單只是為了強調(diào)場景對于信息敏感與否有著重要的意義，還為了闡釋不能只依據(jù)信息特性來判斷敏感性而是要結(jié)合具體的主體、行為、客體等要素綜合判斷分析。易言之，在未來制定相關(guān)個人敏感信息的處理規(guī)則和標準時，可以運用以上五要件結(jié)合分析，來判斷具體場景下的個人信息是否具有敏感性。

其二，場景理論也能用于判斷個人敏感信息是否可以轉(zhuǎn)化為個人一般信息。在個人信息權(quán)益侵權(quán)案件糾紛中，法官先要判斷案件中個人信息是否屬于個人敏感信息，如果是，則相應(yīng)侵權(quán)者所需承擔(dān)的責(zé)任要求與個人一般信息不同。然而，可能會存在一種情況即案件中的個人信息確實是屬于個人敏感信息，但卻不是基于法律規(guī)定處理這類信息，這將使侵權(quán)人的行為構(gòu)成合理使用不承擔(dān)侵權(quán)責(zé)任。易言之，場景五要件可以輔助界定《個保法》所列的七種敏感信息，具體在哪些場景之下屬于合理使用。[19]比如《個保法》第26條的規(guī)定，可以加以驗證五要件的運用，具體而言：維護公共安全的組織(信息使用者)采集或識別關(guān)于自然人(信息主體)的個人圖像、身份識別信息(信息特性)，應(yīng)當為維護公共安全所必需，遵守國家有關(guān)規(guī)定，并設(shè)置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的(處理目的)。所以，在此規(guī)定下，人臉信息等個人敏感信息的處理可能構(gòu)成合理使用行為。

(三)場景理論確定敏感信息適用范圍

倘若認為場景理論只是無限精細化信息流動，那么對此理論的理解可謂是一葉障目了。一方面，場景理論是基于摒棄隱私侵入論和隱私控制論產(chǎn)生的，以上兩種理論都是將隱私權(quán)認為是個人利益的體現(xiàn)，然而卻忽略了隱私權(quán)背后所蘊含的社會利益與公共利益。另一方面，場景理論也為個人敏感信息的界定提供了價值層面的判斷方法而不僅僅是局限于客觀場景的表象。

首先，場景理論的場景目的可以作為價值判斷的標準。《個保法》第28條規(guī)定了需要基于合理目的才能處理個人敏感信息，而場景理論則是更深層次地挖掘此合理目的的內(nèi)涵，確立了合理目的與特定場景的價值目的需要保持一致的原則。在個人隱私與信息保護的過程中，有學(xué)者認為合理目的應(yīng)當和實踐場景、產(chǎn)業(yè)場景、技術(shù)場景等目的相同。具體而言，以上場景的目的在大多數(shù)情形下都是為了維護信息處理者的利益，例如數(shù)字平臺為了更好地推送個性化信息，往往想追求更準確的“個人數(shù)字形象”等等。此外，尼森鮑姆教授基于哲學(xué)和社會學(xué)的角度，進一步豐富場景的內(nèi)涵即生活場景，具體分為教育場景、私人場景、交易場景、公共場景等等。[20]之所以這樣區(qū)分場景是因為考量到兩方面因素：一方面，是具體的生活場景可以結(jié)合場景五要件來識別特定個人的身份。以教育場景為例，場景五要件需要與教育息息相關(guān)，具體來說學(xué)校通過考量該校學(xué)生成績信息來評價其學(xué)習(xí)情況或老師教學(xué)的質(zhì)量。然而，學(xué)校如果不經(jīng)過家長和學(xué)生、老師等信息主體的同意，擅自將成績信息泄露給教育機構(gòu)等第三方平臺，那么這就不屬于教育場景的范疇了。另一方面，生活場景也能夠輔助法官迅速確定案件糾紛中涉及價值判斷的標準。例如教育場景的價值宗旨有知識的傳承、人才的培養(yǎng)、素質(zhì)的塑造等等。而法學(xué)和相關(guān)的法律活動都避不開社會生活的價值判斷(例如公序良俗等原則的適用)，特別是在涉及個人敏感信息的案件糾紛中，需要結(jié)合分析所在的生活場景目的，來填補法律存在的漏洞。因此，生活場景的目的和信息目的不是相同的概念，生活場景的目的應(yīng)當是合乎社會絕大多數(shù)人認可的價值觀念。例如公共場景是以公共整體的利益為價值導(dǎo)向而不是以私人利益導(dǎo)向。換言之，信息處理目的不應(yīng)當是平衡不同沖突利益主體之間的依據(jù)，而應(yīng)當以生活場景的目的作為其價值判斷的基準。所以，在特定生活場景之下處理個人信息，只要處理目的與該生活場景追求的目的不矛盾，那么就能認為該信息處理行為具有合理性。

其次，場景理論的場景目的也可以用來判斷信息處理目的是否與其保持協(xié)調(diào)一致。具言之，處理個人敏感信息過程中如合乎生活場景目的則可能構(gòu)成個人敏感信息的合理使用。從法律效力的角度來看，個人敏感信息的立法宗旨也是為了加強對個人信息權(quán)益的保護。然而，立法者卻一直把個人信息權(quán)益保護和個人信息合理使用的地位等同在一起?！秱€保法》第1條體現(xiàn)了其立法目的，作為其體系內(nèi)容的個人敏感信息也應(yīng)當服從該條款價值的宗旨。以醫(yī)療信息為例，涉及醫(yī)療的技術(shù)性信息共享不但能給相關(guān)醫(yī)療行業(yè)帶來巨大的利益，還能促進社會整體醫(yī)療水平的進步。所以，處理醫(yī)療信息的目的不僅有追求私人利益，還兼具社會公共利益。因此，個人敏感信息保護的宗旨是為了實現(xiàn)在特定生活場景之下各方主體間利益的平衡，而不是為了阻礙信息的流通，這樣不僅可以保護個人信息權(quán)益，還有利于信息的合理使用。需要強調(diào)的是，合乎生活場景目的也有利于緩解個人信息權(quán)益保護與個人信息合理使用的矛盾關(guān)系。由于場景下的行為活動一般涉及價值判斷，此價值判斷的基準應(yīng)當是以具體場景所追求的價值宗旨為導(dǎo)向。具體而言，法官結(jié)合場景目的適用法律規(guī)范的做法，對個人信息權(quán)益民事糾紛亦或是刑事犯罪都有著重大的意義。例如，未得到信息主體的同意將其醫(yī)療信息泄露給相關(guān)醫(yī)療機構(gòu)，進行疾病的分析診斷(如疫情期間將陽性患者的醫(yī)療信息進行共享研發(fā)抗體疫苗)，此時法官基于不同角度分析得出的判決也會有所不同。如從依據(jù)個人敏感信息處理規(guī)則的角度，那么信息使用者必然構(gòu)成違法，而如從促進社會公共利益的角度，那可能得出不同的裁判結(jié)果。所以，法官需要結(jié)合具體個案情況，不只是局限于法律規(guī)范所保護的法益，還應(yīng)當要結(jié)合生活場景目的來分析信息處理行為。換言之，不能只囿于其法律規(guī)范的字面涵義，而是應(yīng)當具體情況具體分析，即在特定生活場景下個人敏感信息也會轉(zhuǎn)化為個人一般信息。

綜上所述，《個保法》立法目的不僅是為了保護個人信息權(quán)益，也是需要考慮信息處理者、社會公共的利益，在此基礎(chǔ)下其法律規(guī)范必然是需要具有一定的彈性空間而不是嚴苛僵化的，可以說《個保法》是基于現(xiàn)實生活場景折中妥協(xié)的產(chǎn)物。[21]申言之，法律的價值如不符合社會生活價值導(dǎo)向的話，那么亟需作出相應(yīng)的調(diào)整，以保證其實踐于生活場景的合理性。誠如前文所言，場景目的能讓法官更加靈活地判斷個人敏感信息案件中的過錯要件與舉證責(zé)任，減輕其裁判的負擔(dān)。當然，這樣彈性靈活的做法應(yīng)當以場景目的為基準，而不是毫無限制的。所以，場景目的有利于判斷個人敏感信息處理行為是否具有合理性，以使司法審判等法律適用活動更符合社會價值導(dǎo)向，促進社會公平正義的實現(xiàn)。

四、結(jié)語

個人敏感信息內(nèi)涵包括了個人主觀評價與社會評價，而兩者并不是一成不變的，所以導(dǎo)致其內(nèi)涵和外延很難有清晰的界定范圍。這樣動態(tài)性的概念容易造成界定的困難，所以需要引用相關(guān)理論明確一個判斷標準。本文試圖引用場景理論來具體化個人敏感信息的處理規(guī)則，但因為場景理論本質(zhì)是屬于社會學(xué)與哲學(xué)的范疇，與法學(xué)學(xué)科話語體系可能存在較大的區(qū)別，導(dǎo)致其適用過程難免會存在一些誤差。鑒于此，可以結(jié)合場景中個人信息的五要件來判斷信息是否具有敏感性，也能使用其明確信息之間的轉(zhuǎn)化邊界，還能以具體生活場景如教育場景、醫(yī)療場景、公共場景等場景目的來分析個人敏感信息是否“失去了敏感性”而轉(zhuǎn)化為個人一般信息。場景理論認為，基于生活場景目的所做出的行為一般是合乎個人、社會、公共價值的，而不是所謂的“犧牲小我完成大我”。所以，在處理個人敏感信息時可以借助場景理論作為其價值判斷基準，這有利于彌合個人敏感信息處理規(guī)則體系的漏洞。