清華大學法學院副院長、教授、博士生導師 程 嘯

不久前公開徵求意見的我國《個人資訊保護法草案》（以下簡稱《草案》）將個人資訊區分為敏感個人資訊與非敏感個人資訊，並在《草案》的第二章專節規定了“敏感個人資訊的處理規則”。我國民法典人格權編第六章“隱私權和個人資訊保護”則將個人資訊區分為私密資訊與非私密資訊，同時，明確規定了個人資訊中的私密資訊適用有關隱私權的規定；沒有規定的，適用有關個人資訊保護的規定。這樣一來，就產生了怎樣區分敏感資訊與私密資訊的問題。此外，對於《草案》為何不沿用民法典區分私密資訊與非私密資訊的做法，這是否意味著《草案》與民法典的規定相矛盾等問題，也存在不同的看法。

一、敏感與非敏感資訊、私密與非私密資訊的區分各有其規範目的與意義

筆者認為，敏感資訊與非敏感資訊、私密資訊與非私密資訊的區分是《草案》與民法典基於不同的規範目的對個人資訊所作的兩種不同的分類，二者均有其重要意義，並不矛盾。首先，敏感資訊和非敏感資訊是《草案》從規範個人資訊處理行為的角度進行的一種重要分類，並在該區分的基礎上針對資訊處理者提出了不同的處理規則上的要求，從而有針對性地提高處理者在處理敏感資訊時的法定義務，更加充分保護自然人的個人資訊權益。由於敏感資訊對於維護自然人的人身財產安全與人格尊嚴極為重要，該等資訊一旦洩露或被非法使用，勢必會對自然人的人身財產權益造成嚴重的侵害或損害，故此，法律上對處理者處理此類資訊有非常嚴格的要求。但是，對於非敏感資訊的處理而言，則沒有如此嚴格的要求。例如，《草案》第30條規定，基於個人同意處理敏感資訊的，處理者應當取得個人的單獨同意；第31條規定，處理敏感資訊時，處理者應當向個人告知處理該等資訊之必要性以及對個人的影響等。再如，《草案》第54條要求處理者在處理敏感資訊時必須事前進行風險評估並對處理情況加以記錄。正是由於敏感資訊和非敏感資訊是為了確定不同的個人資訊處理規則而對個人資訊作出的區分，該分類僅適用個人資訊保護法所調整的個人資訊處理行為，而不適用自然人因個人或者家庭事務而處理個人資訊的活動，對此，《草案》第68條第1款也作出了明確的規定。

然而，私密資訊和非私密資訊則是從民事權益保護的角度即為正確區分隱私權與個人資訊權益的保護方法，而由民法典對個人資訊進行的分類。依據民法典第一千零三十四條第三款，由於私密資訊屬於隱私，對於私密資訊的保護首先適用隱私權的規定，隱私權沒有規定的，才適用個人資訊保護的規定。也就是說，私密資訊和非私密資訊的區分的側重點在於民事權益的型別與保護方法的差異，而非如敏感資訊與非敏感資訊那樣基於對資訊處理者處理個人資訊的行為規範的不同所做的分類，兩種劃分的規範目的存在明顯的區別。此外，私密資訊和非私密資訊的區分適用於所有的侵害個人資訊的侵權糾紛，即無論網路企業、國家機關處理個人資訊中發生的侵權糾紛，還是自然人之間因個人或家庭事務而出現的侵害個人資訊的侵權行為，區分私密資訊與非私密資訊都是必要的。因為這涉及被告侵害的民事權益究竟是隱私權還是個人資訊權益的認定。從民法典第一千零三十三條的規定來看，除了法律另有規定或者權利人明確同意，否則，任何處理他人私密資訊的行為都構成對他人隱私權的侵害。但是，非私密資訊的處理行為的合法性基礎不僅包括取得資訊主體（即個人）及其監護人的同意，還包括法律和行政法規另有規定的情形。民法典第一千零三十六條還專門規定了處理個人資訊的三類免責事由。

個人資訊保護法並非是民法典的特別法，而是一部對個人資訊保護進行全面規範的兼具公法與私法屬性的綜合性法律，故此，在《草案》中有必要從個人資訊處理規則的角度對敏感資訊和非敏感資訊進行界分；相反，在民法典中，從民事權益保護的角度區分私密資訊和非私密資訊也是非常必要的。這兩種分類方法的規範目的各不相同，均有其重要意義。

二、敏感與非敏感資訊、私密與非私密資訊的區分在侵權案件裁判中的作用

就人民法院審理侵害隱私權和個人資訊權益的侵權案件而言，筆者認為，敏感資訊與非敏感資訊、私密資訊與非私密資訊這兩種分類方法的意義體現在侵權責任構成要件的不同層次即侵害行為（即行為非法性）和侵害的民事權益型別。

1。在認定是否存在侵害個人資訊的行為即判斷個人資訊處理行為非法性的階段，敏感資訊與非敏感資訊的區分是十分重要的。如前所述，由於資訊處理者對敏感資訊和非敏感資訊的處理規則和法定義務不同，故此，認定針對敏感資訊和非敏感資訊的處理行為的非法性時，法院所依據的法律規範也不同。當某個資訊屬於法律法規規章和國家標準規定的敏感資訊時，法院就應當適用個人資訊保護法中處理敏感資訊的規範來確定處理者的義務，並據此判斷資訊處理行為是否非法，反之則不能適用此類專門針對敏感資訊的規範。但是，對於私密資訊，由於其屬於隱私，受到隱私權的保護，故此只要權利人沒有明確同意並且沒有法律的另外規定，即可認定處理私密資訊行為的非法性，即採取所謂的結果不法說。但是，認定非私密資訊的非法性，仍然需要適用個人資訊保護法所規定的個人資訊處理規則。

2。在確定行為非法性之後，需要認定非法的個人資訊處理行為即侵害行為所侵害的民事權益的型別究竟是什麼。在該層面上，確認個人資訊究竟是私密資訊還是非私密資訊非常重要。可以說原告所主張的被侵害的資訊究竟是私密資訊還是非私密資訊，直接決定了侵害行為所侵害的究竟是隱私權還是侵害個人資訊權益。這種判斷在法院審理的幾乎所有的個人資訊侵權糾紛中都會存在。侵害的民事權益不同，侵權責任的構成要件、侵權責任的承擔方式等也有所不同。例如，對於私密資訊，適用隱私權保護的規定，權利人有權行使人格權保護請求權，並可以向法院申請人格權行為禁令。但是，對於非私密資訊，則不能如此。然而，哪些是私密資訊，哪些是非私密資訊，不可能如同敏感資訊和非敏感資訊那樣，由法律法規規章或標準加以確定，必須根據案件的具體情況予以具體認定。就私密資訊的認定，有些是沒有爭議的，如個人的健康資訊、犯罪記錄、財產狀況、性取向等當然屬於私密資訊。至於自然人的姓名、容貌、性別等，則不屬於私密資訊。尤其是有些個人資訊實際上也被其他的人格權所保護，如姓名、容貌、聲音等可以分別為姓名權、肖像權所保護。但是，對於讀書記錄、網頁瀏覽資訊、社交關係、地理位置資訊等是否屬於私密資訊，在司法實踐中則存在很大的爭議。由於我國民法典上對於私密資訊和非私密資訊採取不同的保護方法，故此，筆者認為，不能以權利人單方面是否具有“不願為他人知曉”的意願為標準來確定哪些是私密資訊，而應當從社會公眾的一般認知和價值權衡的角度出發，逐一認定案涉個人資訊是否屬於私密資訊。比較重要的考慮因素包括：社會公眾對該資訊作為私密資訊的認知；該資訊對於維護自然人的人身財產權益、人格尊嚴和人格自由的重要程度；該資訊對於維護社會正常交往、資訊自由的重要程度如何等。

三、敏感資訊與私密資訊的聯絡與區別

敏感資訊與私密資訊之間存在交叉的關係。有些個人資訊既是私密資訊也是敏感個人資訊，如醫療健康、性取向；有些個人資訊雖然是私密資訊，卻並不是敏感個人資訊，如個人的嗜好、被他人性騷擾的個人資訊；有些資訊是敏感個人資訊卻未必是私密資訊，如種族或民族、宗教信仰、政治主張、面貌特徵等。筆者認為，區分敏感資訊與私密資訊的核心標準在於：就私密資訊而言，需要結合具體情況從該資訊自然人的人格尊嚴、人格自由關聯緊密與否，該資訊被侵害是否影響私人生活的安寧等角度來加以認定。但是，個人資訊的敏感與否，主要是從該資訊被非法處理可能產生的危害後果這一客觀的角度來認定的，應遵循更客觀、明確的標準，否則資訊處理者將無所適從。也就是說，無論自然人是否願意為他人知曉，都不影響某一資訊客觀上是否屬於敏感個人資訊。如前所述，敏感資訊和非敏感資訊的區分使得處理者應遵循的個人資訊處理規則和義務的不同，故此，為確保資訊處理規則的穩定性與可預期性，法律法規規章和標準應當明確列明各種敏感個人資訊。目前，《草案》第29條第2款對敏感個人資訊的界定為：“敏感個人資訊是一旦洩露或者非法使用，可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人資訊，包括種族、民族、宗教信仰、個人生物特徵、醫療健康、金融賬戶、個人行蹤等資訊。”筆者認為，所謂敏感個人資訊主要是指，那些涉及自然人人格尊嚴、人格自由或者其他重大權益的個人資訊，這些個人資訊倘若被非法處理，將會對所涉自然人的人格尊嚴、人格自由或者其他重大的人身權益、財產權益造成嚴重的威脅或損害。依據這一界定，以下資訊應當歸入敏感的個人資訊：（1）種族或民族資訊；（2）宗教信仰資訊；（3）政治主張資訊；（4）生物識別資訊；（5）基因資訊；（6）醫療健康資訊；（7）性生活與性取向資訊；（6）儲蓄、證券等金融賬戶資訊。在未來我國個人資訊保護法正式頒佈後，相信立法機關和有關部門還會頒佈相應的法規規章和國家標準對於敏感資訊的範圍和型別予以具體化、明確化。唯其如此，處理者才能有明確的行為規範的預期，以免動輒得咎，妨礙我國網路資訊產業、數字經濟的發展以及損害公共利益。

【來源：人民法院報】

宣告：轉載此文是出於傳遞更多資訊之目的。若有來源標註錯誤或侵犯了您的合法權益，請作者持權屬證明與本網聯絡，我們將及時更正、刪除，謝謝。 郵箱地址：newmedia@xxcb。cn