为个人敏感信息打造法律“保护盾”

李倩

【摘要】在互联网时代，敏感信息对个人权益影响巨大，亟需利用法律武器予以保护。因此，在未来发展过程中，我国应进一步完善个人敏感信息范畴，创设个人敏感信息保护例外规则，实现个人敏感信息关联性、动态性管理，健全个人敏感信息责任机制与救济途径，实现对个人敏感信息的法律保护。

【关键词】个人敏感信息 例外规则 信息安全

【中图分类号】D923 【文献标識码】A

随着互联网日益发展，以数据应用为基础的商业模式越加成熟，个人敏感信息极容易发生泄露，对个人合法权益构成威胁。近年来，我国一直关注个人敏感信息的法律保护，并出台《信息安全技术个人信息安全规范》（以下简称《规范》），用于保护个人敏感信息。

个人敏感信息泄露具有不可逆性，必须进行全方位保护

《规范》中对个人敏感信息定义为一旦泄露、非法提供或滥用可能危害人身安全、财产安全，极容易导致个人名誉、身心健康受到损害或歧视性的个人信息。《规范》对个人敏感信息进行全方位规范，认定财产信息、健康生理信息、生物识别信息、身份信息、网络身份信息、网页浏览、行踪轨迹等都属于个人敏感信息范畴，该《规范》出台不仅有助于平衡市场和隐私权益保护，更为企业、监管机构、第三方机构在信息处理上提供法律界限。

《规范》主要用于整治信息管理问题，意识到现代企业在信息的收集与处理上，容易对个人权益造成损害，必须要设置一道“闸门”，对个人信息进行全方位保护，尤其是对个人敏感信息，更要坚决捍卫。在现代化社会，一些企业利用现代化技术，采取强制或隐蔽性手段收集用户信息，肆意传播大量的个人敏感信息，导致个人隐私权益受到侵犯，甚至影响个人正常生活。同时，企业在收集、储存信息过程中，因系统漏洞导致个人信息泄露，或被不法分子篡改信息，导致用户财产受损。此外，个人敏感信息泄露存在长期性与不可逆转性，一旦个人敏感信息泄露，将不可逆转地广泛传播，并且传播速度和范畴会持续性增长，无法制止或消除。

我国正处于互联网发展初级阶段，在信息安全管理上存在一些不足，无论是主动式的信息盗取，还是被动式的信息泄露，都会对人身、财产安全造成影响。可以说，我国必须制定相应的法律法规，健全信息保护方法和途径，利用法律武器对非法获取信息的企业和个人进行严惩，确保法律法规在保护个人敏感信息方面真正起到作用。

西方国家个人敏感信息保护经验

一是差异化禁止处理规则。欧盟于1995年和2016年分别通过《关于涉及个人数据处理的个人保护及其此类数据自由流通的第95/46/EC/号指令》和《一般数据保护条例》。其中都明确规定差异化禁止处理规则，第一种禁止以“种族、政治、宗教等相关的个人数据”处置；第二种禁止以鉴别自然人为目的对“基因数据、生物数据的个人数据”处置；第三种禁止以“个人医疗数据、性生活、性取向等相关的个人数据”处置。由此看出，欧盟对涉及个人敏感信息，禁止对敏感信息采取任何处置方式。

二是创设例外规则。基于社会公共利益和个人利益考量，差异化禁止处理规则也具有例外属性。第一种是知情同意例外。如果个人同意服务商处理敏感信息，应允许服务商处理相关数据；第二种是公共利益优先例外。如果个人敏感信息与公共利益产生冲突，应遵循公共利益优先原则，依法妥善处理个人敏感信息。

三是赋予选择权。美国在《美国一欧盟的隐私安全港原则》中明确规定，信息处理者处理有关敏感信息时要提供明示的选择权，比如，为了诉讼、医疗、个人其他重要权益等。相比之下，美国对个人敏感信息的保护更加灵活，允许当事人之间对敏感信息的范畴进行约定，但不得超越目的导向。

四是允许随时撤回与赋予被遗忘权。当服务商合法收集个人敏感数据时，个人可以对敏感数据要求撤回和被遗忘。此时，法律更加倾向于对个人权益的保护，允许个人随时对敏感信息进行撤回，可以要求服务商对敏感信息进行遗忘，以此更好地保护个人敏感信息。

完善我国个人敏感信息的法律保护策略

在遵照我国立法精神和原则的前提下，我们可以借鉴西方国家个人敏感信息保护规定，以此来完善我国个人敏感信息的法律保护。

完善个人敏感信息范畴。《规范》已经对个人敏感信息进行准确界定，并罗列敏感信息的范畴，如个人信息、身份证件、通讯地址、财产账户信息、行踪轨迹、交易信息等。但是，这些范畴界定仍存在“死角”，部分属于敏感信息的内容未列其中，如医疗服务信息、犯罪记录、性生活数据等。因此，完善个人敏感信息种类，就需基于现实情况，不断拓宽保护范畴，或设置兜底条款，让个人和服务商都能明确法律对个人敏感信息保护边界。

创设个人敏感信息保护例外规则。个人敏感信息保护并非一成不变，需要设立例外规则，以此来适应现实需要。我国法律在保护个人敏感信息时，应将个人同意和公共利益设为例外规则，实现个人敏感信息保护的灵活性。第一，个人同意。个人对敏感信息有着绝对的处置权，只要个人同意敏感信息处理，法律不应干涉个人意见，但值得注意的是，个人同意必须在完全知情、完全接受后果的前提下同意，服务商不得胁迫、引诱个人同意敏感信息处置。第二，社会公共利益。当个人敏感信息与公共利益发生冲突时，法律应优先考虑社会公共利益，在合理的范畴内允许服务商处理个人敏感信息。比如，国家出于公共利益考虑，应允许社会劳动保障部门处理个人敏感信息。此时，如果个人认为服务商处置超出必要范围，可以提起诉讼，禁止服务商越权处置个人敏感信息。

实现个人敏感信息关联性、动态性管理。一直以来，我国对个人敏感信息都采取“识别性”管理措施，以静态的标准对个人敏感信息进行判定，导致个人敏感信息保护遭遇困境。随着互联网发展，应以动态的“关联性”对个人敏感信息进行管理，将个人敏感信息植入具体的场景，通过结合具体场景，关联到特定的人或设备，综合考虑多元因素，判断服务商行为是否侵犯个人权益。保护个人敏感信息是世界立法趋势，但不能因为信息保护而阻碍网络发展，尤其是要区分一般信息和个人敏感信息，要在特定的环境下作出最准确判断。此外，随着大数据技术发展，服务商必然会收集个人信息，以便更好地开展服务，如果过度强调信息保护则会导致信息利用闭塞，引发“隐性交易”。正确的做法应实现动态性管理，强化个人对信息处置的主动权，将个人敏感信息处置权交于公民之手，由公民自主判断是否允许服务商处置信息。同时，服务商也要尽到风险提示义务，告知个人信息处理可能导致的后果，健全服务信息处置的风险管理举措，确保依法、合理处置个人敏感信息。

健全个人敏感信息责任机制与救济途径。以法律手段保护个人敏感信息安全，必须要建立责任机制，理清个人敏感信息泄露的责任人。服务商在处置个人敏感信息时具有较高风险，法律需明确服务商责任，服务商具有妥善收集、储存、使用个人敏感信息的权利，但必须承担信息泄露的责任，基于泄露对个人损害程度给予赔偿。值得注意的是，鉴于个人难以举证服务商责任，司法实践中应采取举证责任倒置，由服务商证明自己妥善地保护了个人敏感信息，未发生信息泄露现象，如服务商无法证明自身不存在过错，就应该承担相应的赔偿责任。在救济途径方面，传统的司法救济途径是必然选择，但对个人而言，司法救济需要较高的成本，应成立信息监管机构，一旦个人认为服务商泄露自身信息，应向监管部门投诉，由监管部门代替个人维护权益。

（作者为中共衡水市委党校基本理论教研室讲师）

【参考文献】

①陈骞、张志成：《个人敏感数据的法律保护：欧盟立法及借鉴》，《湘潭大学学报（哲学社会科学版）》，2018年第3期。

责编/肖晗题 美编/杨玲玲