陳紅旭

(重慶郵電大學 網(wǎng)絡空間安全與信息法學院， 重慶 400065)

目前，我國個人信息[注]說明：當前我國立法普遍使用個人信息的表述，美國也較多使用個人信息表述，而歐盟立法則普遍使用“個人數(shù)據(jù)”( personal data) 的表述。學術界普遍認為兩者沒有本質差異，故本文結合表述場景交叉使用。立法已經(jīng)被提上日程[注]2018年9月10日，十三屆全國人大常委會立法規(guī)劃正式發(fā)布，69件法律草案列入第一類項目，個人信息保護法是第61個項目。中國人大網(wǎng)http://www.npc.gov.cn/npc/xinwen/2018-09/10/content_2061041.htm.,但對于未來是否需要引入敏感個人信息的概念、設定規(guī)則并進行特殊保護尚無統(tǒng)一觀點。對于已發(fā)布的3部《個人信息保護法(專家建議稿)》，在早期起草的版本中并沒有引入“敏感個人信息”這一概念，而新起草的建議稿則明確引入這一概念，并設置了相應的特殊保護規(guī)則。

本文對目前國際上關于敏感個人信息的界定及其特殊保護情況，以及我國當前關于敏感個人信息的界定、規(guī)范等問題展開了調查與研究。

1 國外敏感個人數(shù)據(jù)的保護現(xiàn)狀與問題

國外關于個人數(shù)據(jù)保護立法主要分為兩類。一類是以美國為代表的“公平實踐原則”為主的立法；[注]歐盟以個人數(shù)據(jù)為保護對象，同時以數(shù)據(jù)主體的“自決權”和數(shù)據(jù)的“人格權”為基礎，制定了統(tǒng)一的個人數(shù)據(jù)保護立法，統(tǒng)一規(guī)范個人數(shù)據(jù)的收集、處理和使用標準，并設立專門的個人數(shù)據(jù)保護機構實行統(tǒng)一保護。另一類是以歐盟為代表的統(tǒng)一立法。

1.1 以美國為代表的“公平實踐原則”為主的立法

當前，美國尚無專門的法律來規(guī)范敏感個人數(shù)據(jù)的保護，對該類數(shù)據(jù)保護的有關規(guī)定分散在美國多項聯(lián)邦法律中。1970年頒布的《公平信用報告法》與2003年頒布的《公平準確信用交易法案》中[1]明確了數(shù)據(jù)主體的“知情權、修改權”，強調了有關機構對數(shù)據(jù)的收集必須限于特定目的，并將部分個人數(shù)據(jù)納入“禁止收集”的范疇?？梢钥闯?，這種區(qū)分實則是對個人數(shù)據(jù)敏感與否的一種界定。

1999年頒布的《金融服務現(xiàn)代化法案》中，對敏感個人數(shù)據(jù)的保護體現(xiàn)在兩個方面。一方面是從類型上區(qū)分敏感個人數(shù)據(jù)，明確該法案只對“個人可識別金融數(shù)據(jù)”即“非公開的個人信息”進行保護；另一方面，從遵循數(shù)據(jù)主體的意愿角度區(qū)分敏感個人數(shù)據(jù)，一旦數(shù)據(jù)主體認為其數(shù)據(jù)屬于敏感類，即可通過拒絕的方式禁止金融機構對其數(shù)據(jù)的收集。1996年的《電信法案》，將個人數(shù)據(jù)劃分為不同的敏感級別予以保護[1]。

1.2 以歐盟為代表的統(tǒng)一立法

2018年5月25日生效的《歐盟通用數(shù)據(jù)保護條例》(general data protection regulation，GDPR)明確定義了敏感個人數(shù)據(jù)的分類，見表1。GDPR高度重視數(shù)據(jù)分類[3]，具體保護主要體現(xiàn)在兩方面。

表1 歐盟GDPR中的敏感個人數(shù)據(jù)種類

一方面，GDPR第9條明確了禁止處理的敏感個人數(shù)據(jù)種類與基于數(shù)據(jù)主體“同意”前提可以進行數(shù)據(jù)處理的法定情形；[注]詳見GDPR第9條。另一方面，大數(shù)據(jù)的出現(xiàn)和數(shù)據(jù)處理分析技術的提升為刻畫個人的數(shù)字畫像和數(shù)字人格提供了可能。歐盟認為數(shù)據(jù)畫像活動對數(shù)據(jù)主體的權益保護同樣存在一定的安全風險，并在GDPR中對數(shù)據(jù)畫像也進行了明確定義,將數(shù)據(jù)畫像的個人數(shù)據(jù)納入敏感個人數(shù)據(jù)保護之列[4]。

2 我國當前敏感個人信息的保護現(xiàn)狀及問題

當前，因個人信息不當收集、濫用、泄露而導致公民權益受到侵害的事件時有發(fā)生，個人信息法律保護已成為社會關注的熱點問題。

2.1 立法及國家標準中的敏感個人數(shù)據(jù)

我國目前尚未制定專門的個人數(shù)據(jù)立法。雖然我國已有多部法律、法規(guī)、規(guī)章提及了個人信息的定義，但均未對敏感個人數(shù)據(jù)予以明確定義和分類。已有部分法規(guī)通過禁止性條文將一些個人信息列為禁止收集的范圍，隱含了這些信息具有敏感性的特征。在刑法體系中，通過司法解釋的方式，對公民部分數(shù)據(jù)予以重點保護，這也體現(xiàn)了該類數(shù)據(jù)的敏感性。

我國2017年發(fā)布的《信息安全技術個人信息安全規(guī)范》(以下簡稱《個人信息安全規(guī)范》)從國家標準的層面明確了“敏感個人數(shù)據(jù)”的概念和分類，具體如表2所示。[注]詳見《信息安全技術個人信息安全規(guī)范》3.2，注 2：關于個人敏感信息的范圍和類型可參見附錄 B。雖然該規(guī)范不屬于國家強制性標準，不具有法律效力，但該規(guī)范的發(fā)布為我國敏感個人數(shù)據(jù)的法律保護問題進行了有價值的探索。

表2 《信息安全技術個人信息安全規(guī)范》中的敏感數(shù)據(jù)種類

2.2 現(xiàn)行相關規(guī)定存在的問題

我國現(xiàn)有的法律體系雖已在逐漸加強對個人信息的保護力度，但由于尚未有專門體系化立法，故相關分散性規(guī)定存在保護標準不一致的問題。

筆者認為，高位階立法未區(qū)分敏感與非敏感個人數(shù)據(jù)導致了同位階及下位階規(guī)范中出現(xiàn)概念混淆和適用混亂問題。同時，因數(shù)據(jù)主體對個人數(shù)據(jù)敏感程度重要性認知不同，如果不能清晰定義敏感數(shù)據(jù)屬性，則數(shù)據(jù)主體權益難以得到切實有效的保障。

3 我國敏感個人數(shù)據(jù)概念及其區(qū)分必要性

盡管我國已從刑事責任追究、民事權利救濟、行政監(jiān)管和行業(yè)自律等多方面保護個人信息，同時從相關規(guī)范中尋找和探索涵及法律界對于敏感個人信息的界定[5]，但是，由于所調節(jié)的矛盾不同、適用對象不同、涉及的行業(yè)不同，其對敏感性的定義、認識還存在相互矛盾、混淆不清的情況。另外，數(shù)據(jù)主體對個人數(shù)據(jù)重要程度也存在認知不統(tǒng)一的情況。在我國深化大數(shù)據(jù)應用、大力發(fā)展數(shù)字經(jīng)濟的時代背景下，為實現(xiàn)經(jīng)濟發(fā)展與數(shù)據(jù)主體權益保護的和諧統(tǒng)一，筆者認為，應明確引入敏感個人數(shù)據(jù)的概念和分類，并通過分級分類保護方式解決上述難題。

3.1 敏感個人數(shù)據(jù)的概念

《個人信息安全規(guī)范》填補了我國個人信息保護在實踐標準上的空白。該規(guī)范不僅引入了敏感個人信息概念，將其定義為“一旦泄露、非法提供或濫用可能危害人身財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇的個人信息”，還將包括“個人財產數(shù)據(jù)、個人健康生理數(shù)據(jù)、個人生物識別數(shù)據(jù)、個人身份數(shù)據(jù)、網(wǎng)絡身份標識數(shù)據(jù)、其他數(shù)據(jù)等”列入敏感個人數(shù)據(jù)的分類。[注]詳見我國《個人信息安全規(guī)范》附錄B.1。這種概括和列舉雖在一定程度上為我國未來立法提供了參考，但其仍存在不足。例如，《個人信息安全規(guī)范》將“個人電話號碼”“行蹤軌跡”歸入敏感信息之類，但上述信息如不能對應數(shù)據(jù)主體的真實個體，這類數(shù)據(jù)就不能顯示出其特殊敏感性，相反還能在快遞物流、廣告推廣或者導航出行等場景中發(fā)揮作用。

綜上，筆者認為，在大數(shù)據(jù)環(huán)境下，并非所有《個人信息安全規(guī)范》中提及的敏感個人信息皆敏感，應根據(jù)不同場景產生的不同“后果”加以分析。因此，在此基礎上，筆者將“敏感個人數(shù)據(jù)”概括定義為“涉及數(shù)據(jù)主體隱私，一旦泄露、非法提供或濫用極易或一定危害人身財產安全，導致個人名譽、身心健康受到損害或歧視性待遇后果的具有直接識別特性或惟一識別特性的個人數(shù)據(jù)。”

3.2 敏感個人數(shù)據(jù)區(qū)分必要性

在個人數(shù)據(jù)的法律保護問題上，應具體劃分為敏感與非敏感個人數(shù)據(jù)進行保護，分析其必要性如下：

1) 將個人數(shù)據(jù)劃分為敏感個人數(shù)據(jù)與非敏感個人數(shù)據(jù)是當今世界關于個人數(shù)據(jù)保護立法的一大特色。歐盟、韓國、日本等國家已在其頒布的法律中明確引入敏感個人數(shù)據(jù)的概念，并予以分類。各國對敏感個人數(shù)據(jù)種類的定義有不同之處，但其立法實踐已成為世界主流趨勢[1]。

2) 個人數(shù)據(jù)在大數(shù)據(jù)應用下會深刻刻畫數(shù)據(jù)主體的自然身份，特別是敏感個人數(shù)據(jù)的匯入，甚至能描繪出其在虛擬社會的“數(shù)字人格”[8]。在互聯(lián)網(wǎng)開放環(huán)境中，這無疑會對數(shù)據(jù)主體的各類權益帶來威脅。因此，應將個人數(shù)據(jù)予以區(qū)分，特別加強對敏感個人數(shù)據(jù)的保護，保障數(shù)據(jù)主體的合法權益[6]。例如，在我國，居民身份證是用于證明個人身份的法定證件，記載了姓名、身份證號碼、性別、民族、出生日期、住址等要素，但身份證號存在被廣泛采集的情況。由于身份證號碼在大數(shù)據(jù)環(huán)境下能迅速對應并關聯(lián)到數(shù)據(jù)主體的真實身份和其他個人數(shù)據(jù)，故在現(xiàn)實應用場景中也具有極高的敏感性。

目前，從網(wǎng)上披露的大量電信詐騙案例可以發(fā)現(xiàn)，詐騙分子通過互聯(lián)網(wǎng)購買、收集公民的個人數(shù)據(jù)后，運用各種騙術電話聯(lián)系受害人實施詐騙。有相當部分受害人事后描述在詐騙分子能準確說出其身份證號這一敏感信息后，便降低了警惕。在2018年6月發(fā)生的“徐玉玉案”中，個人敏感信息被網(wǎng)絡黑客竊取后，詐騙分子實施精準詐騙導致一位花季少女不幸隕落的極端個案顯示出敏感個人信息保護的現(xiàn)實意義。

3) 個人數(shù)據(jù)融合、匯集帶來的大數(shù)據(jù)應用賦予了個人數(shù)據(jù)在互聯(lián)網(wǎng)時代極高的商業(yè)價值。對個人數(shù)據(jù)進行敏感和非敏感分類保護是解決經(jīng)濟發(fā)展與數(shù)據(jù)主體權益保護矛盾的有效手段[7]。原則上，建議對非敏感個人數(shù)據(jù)予以充分利用，對敏感個人數(shù)據(jù)嚴格設置法律規(guī)范予以使用。

綜上，筆者認為，在現(xiàn)今大數(shù)據(jù)環(huán)境下，對敏感個人數(shù)據(jù)區(qū)分并分類保護是形勢所需，也是發(fā)展必然。

4 我國敏感個人數(shù)據(jù)的保護路徑構想

根據(jù)前文對敏感個人數(shù)據(jù)概念的定義，本文在具體場景中結合數(shù)據(jù)的敏感程度，以“平衡”為核心，提出動態(tài)平衡模型構想。

4.1 引入數(shù)據(jù)保護與動態(tài)平衡模型

敏感個人數(shù)據(jù)保護的核心目的是降低數(shù)據(jù)使用給數(shù)據(jù)主體帶來的權益損失。通過構建權益保護和數(shù)據(jù)價值發(fā)展的平衡標準，實現(xiàn)其有效統(tǒng)一。

針對“平衡”問題，本文引入關于個人數(shù)據(jù)的敏感度與其利用價值兩方面的動態(tài)平衡二維理論分級體系，一方面估量“個人數(shù)據(jù)”挖掘的價值，另一方面評估產生價值對應的“個人數(shù)據(jù)”的敏感程度，以為敏感個人數(shù)據(jù)保護提供策略參考。

根據(jù)本文對敏感個人數(shù)據(jù)的定義，動態(tài)平衡模型的構建應包括但不限于以下兩種因素：

1) 個人數(shù)據(jù)從內容上描述數(shù)據(jù)主體的當前生活狀態(tài)、GPS位置信息、身份信息、血型、宗教信仰等敏感個人數(shù)據(jù)的完整程度。

2) 個人數(shù)據(jù)為商業(yè)機構產生直接價值高低或者其數(shù)據(jù)用于商業(yè)挖掘價值的高低。

本文在模型構建上給出如下定義：

定義1對于敏感個人數(shù)據(jù)給定一個集合M，M={mj|j=1,2,3,…}，其中j表示不同類型的敏感個人數(shù)據(jù)種類數(shù)量。

定義2定義一個映射F，使F(mj)表示敏感個人數(shù)據(jù)描述數(shù)據(jù)主體的完整程度。

定義3定義一個映射V，使V(mj)表示個人數(shù)據(jù)的挖掘利用價值。

定義4定義Z表示數(shù)據(jù)主體的個人數(shù)據(jù)與其數(shù)據(jù)安全程度的映射關系，這種安全程度包括對數(shù)據(jù)主體的精神利益、物質利益安全程度的保障。

基于場景的概念下，對于涵蓋敏感數(shù)據(jù)種類越多的個人數(shù)據(jù)，其對應的安全程度越低。由此得到個人數(shù)據(jù)安全程度與個人數(shù)據(jù)完整度的數(shù)學表達式，模型如圖1所示。

Z(mj)=1 /F(mj)

(1)

式(1)中:Z(mj) 為個人數(shù)據(jù)安全程度;F(mj)表示敏感個人數(shù)據(jù)描述的數(shù)據(jù)主體的完整程度。

圖1 敏感個人數(shù)據(jù)安全程度與準確度、完整度關系

在個人數(shù)據(jù)價值屬性方面，不同準確度和完整度的個人數(shù)據(jù)帶來的商業(yè)利用價值是不同的。常規(guī)而言，數(shù)據(jù)利用價值與完整度成正比。由此可得到個人數(shù)據(jù)價值、利用價值與其完整度、準確度的數(shù)學關系，模型表示見圖2。

V(mj)=k·F(mj)-s

(2)

式中:V(mj)表示個人數(shù)據(jù)的挖掘利用價值;k表示不同互聯(lián)網(wǎng)企業(yè)對個人數(shù)據(jù)的利用挖掘的不同能力；s點表示對敏感個人數(shù)據(jù)的起始收集點(左側包括法律規(guī)定禁止收集的個人數(shù)據(jù))；F(mj)表示敏感個人數(shù)據(jù)描述的數(shù)據(jù)主體的完整程度。

圖2 敏感個人數(shù)據(jù)價值及其處理價值與其準確度、完整度關系

綜合圖1、2，得到圖3。圖3中，s點表示對敏感個人數(shù)據(jù)的起始收集點，k體現(xiàn)了互聯(lián)網(wǎng)企業(yè)的數(shù)據(jù)處理、挖掘能力。圖中的交點即敏感個人數(shù)據(jù)保護與商業(yè)利用的平衡點。在該平衡點上，敏感個人數(shù)據(jù)的保護與其利用價值剛好達到平衡，而關系式中的各項系數(shù)可因具體場景不同而發(fā)生變化，滿足動態(tài)平衡的過程。

圖3 自然人數(shù)據(jù)權益保護與其數(shù)據(jù)價值權重對比

4.2 基于動態(tài)平衡模型下的法律保護完善

從上述模型可以看出，在對數(shù)據(jù)主體描述完整度越來越完善的情況下，雖然數(shù)據(jù)發(fā)揮的價值能顯著提高，但是其安全性也會大幅度降低。因此，在協(xié)調發(fā)展數(shù)據(jù)經(jīng)濟和保護敏感個人數(shù)據(jù)相統(tǒng)一的問題上，嘗試引入數(shù)學平衡模型，以“平衡點”為基礎進行分類保護。在諸多惟一性識別的敏感個人數(shù)據(jù)中，鑒于身份證號碼的特殊敏感性，考慮到社會適用廣度，同時為便于研究，將身份證號碼數(shù)據(jù)直接設置為“平衡點”，并圍繞涉及“身份證號”的敏感個人數(shù)據(jù)與不涉及“身份證號”的敏感個人數(shù)據(jù)，從完善不同“平衡點”下的企業(yè)數(shù)據(jù)收集、使用行為與政府監(jiān)管保護措施方面提出建議。

1) 針對“平衡點”中涉及“身份證號”的敏感個人數(shù)據(jù)的法律保護：第一，在立法層面，加快推進我國個人數(shù)據(jù)保護的立法工作，借鑒各國成熟立法經(jīng)驗及實際司法實踐，引入敏感與非敏感個人數(shù)據(jù)概念，特別是將身份證號列入禁止性收集范圍，解決該類特殊敏感個人數(shù)據(jù)被超范圍、超權限廣泛收集的問題；[注]參見 《網(wǎng)絡安全法》第41條規(guī)定“網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。網(wǎng)絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息?！钡诙?，加快推進《國家人口基礎信息庫》的應用，[注]該基礎信息庫是由公安部牽頭，教育部、民政部、人力資源和社會保障部、衛(wèi)生和計劃生育委員會共建，覆蓋全國人口，以公民身份號碼為唯一標識的國家數(shù)據(jù)庫。通過共建單位的共同維護、多源校核，保證了全國人口信息的一致性、準確性、完整性、權威性，解決了之前相關部門各自采集維護的出生、死亡等信息的真實性、有效性帶來的問題。加強信息共享，按照單一收集、多頭共享的原則，保障該敏感數(shù)據(jù)的安全收集及使用；第三，嚴格落實信息系統(tǒng)安全防范技術措施，對必須存儲“身份證號”類敏感個人數(shù)據(jù)的信息系統(tǒng)，嚴格設定查詢權限、嚴格控制知悉范圍，強化安全防護措施，同時采取加密存儲的方式，以防數(shù)據(jù)泄露。

2) 對于“平衡點”中不涉及“身份證號”的間接識別敏感個人數(shù)據(jù)，探索成立數(shù)據(jù)保護監(jiān)管機構，按照國家相關法律法規(guī)，審核存儲有個人數(shù)據(jù)的機構、企業(yè)。運用動態(tài)平衡模型考察其收集、存儲的數(shù)據(jù)是否符合“最小利用”原則與“目的限制”原則，并在“平衡點”下合理利用。對于超出“平衡點”的，數(shù)據(jù)保護監(jiān)管機構有權采取刪除數(shù)據(jù)、禁止處理等處置措施，以保證數(shù)據(jù)安全性。另外，加強行業(yè)準入機制、完善行業(yè)標準。對于數(shù)據(jù)利用機構、企業(yè)應有相應行業(yè)準入機制，避免無風險防范能力的機構、企業(yè)隨意收集用戶個人數(shù)據(jù)。同時，借鑒《個人信息安全規(guī)范》推薦性國家標準，實施符合數(shù)字經(jīng)濟發(fā)展與敏感個人數(shù)據(jù)保護的強制性國家標準。

5 結束語

對于個人敏感數(shù)據(jù)的保護路徑，本文在定義并列舉的基礎上，引入場景概念與動態(tài)平衡關系模型，突破了傳統(tǒng)的個人數(shù)據(jù)保護思路，符合國際數(shù)據(jù)保護的場景理念，對研究大數(shù)據(jù)時代下保護公民數(shù)據(jù)權益、維護個人信息安全具有一定參考意義。