大數據時代敏感個人信息的立法保護

姜昀宜 蘇嘉懿 張尤佳

東北大學文法學院，遼寧 沈陽 110169

數據的快速傳播為我們的生活帶來了極大的變化，大數據時代為我們的生產生活創造了越來越多的便利，網絡越來越成為人們展現自我的舞臺，但是數據快速膨脹帶來的互聯網狂歡中，個人信息尤其是敏感個人信息不斷暴露在數據面前，指紋信息、虹膜信息、面部信息等作為敏感信息更容易被數據處理者獲取，敏感個人信息一旦泄露，將會對數據主體造成不可逆的傷害，通過立法對敏感個人信息進行保護有待進一步探索。

一、大數據時代敏感個人信息的概念界定

（一）大數據概念的界定

在這個數據不斷膨脹的時期，大數據時代已經到來，最早提出大數據時代到來的是麥肯錫，根據他的描述可以推知，在他的觀點中，大數據時代指的是數據被廣泛滲透到人們生產生活的各種領域，成為生產力發展的重要因素，人們不斷對大數據進行開發和利用，推進生產率不斷增長的消費者盈余浪潮的到來。[1]可見，大數據時代就是一個信息快速流通、發展的時代。

（二）大數據時代敏感個人信息的界定

《中華人民共和國個人信息保護法》（下簡稱《個人信息保護法》）第二十八條對敏感信息的定義為“敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個人信息”。在大數據時代敏感個人信息正在逐步擴展，當下普遍認同的敏感個人信息分類將其分為個人財產信息（如銀行賬號、存款信息等）、個人身份信息（如身份證、護照等）、個人生物識別信息（如指紋、面部特征、虹膜等）、個人健康生理信息（如醫囑單、用藥記錄等）、網絡身份標識信息（如系統賬號、郵箱賬號及其地址等）、其他信息（如宗教信仰、性取向等）等六類。[2]

二、大數據時代敏感個人信息的特點

《個人信息保護法》第二十八條同時規定了：“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。”之所以對于處理敏感個人信息設置了如此嚴苛的標準，正是因為敏感個人信息具有私密性、主體確定性、易傳播性和可獲利性等特點。

（一）私密性。敏感個人信息本就包括許多人們不愿意透露給外界的信息，這些信息與外界交流具有天然的屏障，它們的存在充分體現了每個公民的思想、認識、行為方式等方面的不同。在面對有關敏感信息的討論時，每個人都具有保持沉默的權利，人們有權保持其敏感信息不外漏。一旦敏感信息遭人泄露，會導致人的精神世界受到重創，并不利于社會的穩定及民眾安居樂業。但大數據時代，包括網站瀏覽偏好等部分人視作“敏感信息”的信息已能夠為除公民本人外的其他主體所獲取，其私密性（即只可為本人所知）已受到沖擊。

（二）主體確定性。這一確定性建立在公民主體差異的基礎上，正是因為公民具有主體差異，因而每個人的“敏感信息”的內容并不相同，敏感信息一旦泄露，數據處理者在通過大數據比對后很容易輕松定位到其所屬個人，進而確定主體，因此大數據時代的敏感信息更多了一層主體確定性的特點。

（三）易傳播性。網絡信息化時代，在數據處理者獲取到敏感個人信息后，能夠通過極為便捷的互聯網將其運用、傳播乃至販賣到非法的數據使用者手中，相較于非大數據時代，這些信息更容易被檢索和傳播，互聯網使信息流通的速度大大加快并超出人們能夠認識的速度，因此私人命案信息一旦被泄露，所面臨的易傳播性是難以估量的。

（四）可獲利性。無論是電商平臺還是社交軟件，對于敏感信息的獲取都是出于營利的角度考量。以人們經常使用的某網購平臺為例，在它們為廣大人民的生活消費帶來無限便利的同時，也在檢測著人們的購物偏好，更有甚者利用手機監聽著人們日常生活中的交流、談話，這聽來令人毛骨悚然的事件正切實發生在人們的生活中。同時它們還能通過監視人們的搜索、查詢信息和竊取公民社交關系網，以推送廣告等方式牟利，乃至通過販賣信息而獲得更高昂的收益。

三、敏感個人信息保護的立法現狀梳理

（一）《憲法》

我國《憲法》中并未明確表示對于公民隱私權及敏感信息的保護，但《憲法》在對于公民的權利和義務進行規范時，第四十條指出：“中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要，由公安機關或者檢察機關依照法律規定的程序對通信進行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。”這在一定程度上體現了國家公權力對于公民隱私權及敏感信息的保護，是公法對人權的保護在隱私權上的展現。

（二）其他法律

1．《消費者權益保護法》

于1993年頒布并分別于2009年、2013年兩次修正的《消費者權益保護法》中也明確規定了在進行消費時存在的消費者個人信息保護的相關義務和規范，該法于第二十九條明確指出了對于生產經營方收集使用消費者個人信息的一些必須要遵守的原則和程序，同時也闡述了允許收集的適用目的以及收集使用的范圍。最后，直接強調了經營者在收集使用過程中需遵守相關的法律法規和雙方約定，具有合意的色彩；并以“必須”“禁止”等字眼明確規定了經營者必須對信息進行嚴格的保密、采取一定的技術措施進行保護，并預設了可能出現的個人信息泄露和丟失時的補救措施。此條規定明確了進行網絡合法經營的經營者必須要注重對于消費者敏感的個人信息的保護，不得使用非法的手段對其進行傳播和處理，有效降低了消費者在進行網上購物時所遇到的敏感信息泄露等風險，但未明確懲治力度，稍顯不足。

2．《民法典》侵權責任編

我國《民法典》侵權責任編中同樣對于網絡侵害民事權益的行為進行了規定。首先，原《侵權責任法》在第二條中劃定了其所管轄的侵害民事權益并需承擔侵權責任的范圍，這些民事權益包括生命權、名譽權、隱私權和繼承權等在內的多項權益，正屬于開宗明義的規定。《民法典》侵權責任編第一千一百六十四條繼承了原《侵權責任法》第二條的規定，證明了隱私權屬于侵權責任法所規范的范疇，而大數據時代下私人敏感信息的保護，正與對于隱私權的保護如出一轍。其次，《民法典》侵權責任編在第一千一百九十四條至一千一百九十七條，即有關網絡侵權案件的侵權責任承擔，作了具體的規定，其內容大致為利用網絡侵害其他用戶民事權益的，應受到侵權責任編的規范，被侵權人可以通過本編的相關規定要求網絡服務提供者（即俗稱的平臺運營者）采取一定的措施以保護其合法權益。該條不僅細化了作為網絡用戶之一的數據處理者的侵權責任，更是在此基礎上明晰了網絡服務提供者，即平臺運營者的第三方的連帶責任，使二者的行為都置于法律的規范下，擴大了約束主體的范圍，有利于更好地保障敏感信息主體的權益。

3．《個人信息保護法》

大數據時代為保護公民私人信息的安全，迫切需要一部法律對數據傳輸過程中各主體的行為加以規范。《個人信息保護法》的頒布不僅是我國加強法制建設，建設社會主義法治國家的重大進展，也是社會實踐中保障公民私人信息，特別是敏感信息的重大突破。相較此前公民個人信息保護相關的法律、法規以及行為規范，《個人信息保護法》具有明顯的進步性與創新性。

在立法原則上，《個人信息保護法》規范了數據處理者對數據的收集行為以及安全保障義務。在第五章個人信息處理者的義務中，第五十六條規定了“信息處理者應當對個人信息保護影響進行評估，其說明信息處理者收集信息的行為，必須建立在一定的合理性與必要性的基礎之上，準確衡量信息收集的效益與損害，才能進行獲取行為”。而第五十一條又明確規定了個人信息處理者在防止信息泄露上應當承擔的義務，五十八條規定了用戶體量較大的信息平臺應當承擔的保護義務。義務的設定將信息處理者約束在法律規范的框架下，在得到用戶同意的情形下，獲取公民的私人信息。同時，該法在數據的使用限制上規定，持有并使用數據方的行為必須具有法律的支撐，不能超出法律許可的范圍。

相較之前的法律規范，《個人信息保護法》在進一步明確權利主體即用戶享有的告知、同意的權利的同時，也闡述了有關敏感個人信息的約束規則。[3]在大數據條件下，個人信息不斷暴露在數據面前，敏感信息隨著數據的傳輸而不斷細化，指紋信息、虹膜信息、面部信息等作為敏感信息更容易被數據處理者獲取、使用。但是敏感信息一經泄露或非法使用，容易導致自然人的人格尊嚴受到侵害、人身財產安全受到危害，對其專列一節進行規范可以強調敏感信息保護的重要地位，進而規范數據傳輸過程中各方的行為。[4]

四、大數據時代敏感個人信息法律保護存在的弊端

（一）敏感個人信息的范圍界定存在空白

大數據飛速發展的影響下，敏感個人信息的邊界正在逐漸擴大。以虹膜識別技術為例，虹膜識別技術的發展最早可以追溯到19世紀80年代，直到1991年才實現自動虹膜識別系統。曾經的虹膜信息獲取難度較大，數據處理者難以迅速獲取，如今隨著大數據的發展，虹膜信息的獲取更加便利，人們不得不開始注重對虹膜信息的保護。大數據的發展是永不停歇的，大數據的“觸手”可能會觸碰到曾經未涉及的敏感個人信息，《個人信息保護法》對敏感性個人信息的界定較為空泛，難以應對將來形勢的發展變化，應當更加細化敏感信息的具體分類。

（二）敏感個人信息保護的滯后性

大數據時代數據的傳輸速度比以往任何時期都要迅速，人們的敏感個人信息始終處于運動的狀態，此時對敏感信息的保護便會出現滯后的現象。2020年全國公安機關網安部門公布違法收集公民個人信息的十大案例中的“J公司清理大師”等APP利用隱私協議獲取公民的個人信息，甚至包括公民的通信記錄等敏感個人信息。通過十大案例可以直觀感受到這些APP涉及從嬰幼兒到老年人各個層面的各類信息，涉及范圍十分廣泛，同時利用大數據時代獲取信息的隱蔽性，無形中獲取了大量的個人信息，在相關部門尚未公開的情況下，公民便很難了解到自己的敏感個人信息正在遭受侵害，即使事后發覺也因為其滯后性，無法挽回已經造成的損失。

（三）敏感個人信息舉證的困難性

大數據時代，當敏感個人信息受到損害時，公民的舉證路途充滿荊棘，在《個人信息保護法》第七章法律責任的第六十九條可以看出當個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任，這也就向我們展現了當公民敏感個人信息受到損害時，相應的數據處理者承擔的為過錯推定責任，此時數據主體應當負有對侵權行為、侵權結果、侵權行為與侵權結果之間的因果關系進行舉證的責任。大數據時代對敏感個人信息的侵害是隱蔽的、滯后的，當敏感個人信息遭受威脅時，舉證理由尚不充分，而敏感個人信息一旦受到損害，對數據主體的信息安全的沖擊又是毀滅性的，二者之間的矛盾為敏感個人信息的保護提出挑戰。

（四）敏感個人信息侵害因果關系復雜性

大數據時代，公民的個人信息直接暴露在數據的“海洋”中，敏感個人信息受到損害時，多個主體都應當承擔一定的責任，對公民來說找到相應的侵權主體，并證明其侵權行為與自身損害結果發生的因果關系具有一定的困難性。如今，越來越多的APP涌入人們的生活，人們無法避免地將自己的信息輸向不同的數據處理者，無疑將加重敏感信息侵權發生時因果關系的復雜程度。敏感信息對數據主體的地位相較于一般數據更加重要，敏感個人信息侵權如果繼續適用過錯推定責任難免會降低敏感個人信息的保護效果，不利于公民的敏感數據安全。

五、大數據時代敏感個人信息保護立法建議

（一）數據主體的權利

我國《個人信息保護法》對個人在信息處理過程中所享有的權利進行了確認，總則第二條概括說明了公民享有個人信息的權利即“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權利”。但筆者認為，社會不斷發展變化，公民享有的敏感個人信息方面的權利不應當過于寬泛，而應當細化、具體，才能更好地落實權利的保護。數據主體的敏感信息應當享有以下權利的規定：

1．敏感信息訪問許可權

數據主體自然享有對自身包含的一切敏感信息，也自然享有敏感信息的訪問許可權限。敏感信息保護的滯后性一部分源于數據主體無法及時查看敏感個人信息的狀態，基于訪問許可權，數據主體可以隨時隨地查看自己所需的敏感個人信息，了解其是否處于安全、被保護的狀況，在數據的傳輸過程中，數據主體處于弱勢地位，只有讓數據主體享有查看自身敏感個人信息的權利，才能強化主體對信息的保護意識，進而強化對其他主體的監督。[5]

2．敏感信息處理同意權

敏感信息包含著的信息一經泄露，數據主體的身份權財產權益就會受到不可逆的侵害，我國《個人信息保護法》第二十九條雖然規定了數據處理者在處理敏感個人信息時應當取得的個人的單獨同意，但尚未具體規定取得的具體路徑，這便無形中削弱了數據處理者的義務意識。對敏感數據處理同意權加以規定，在數據處理者處理敏感信息前，通過“電子認可協議”或書面同意的方式征得數據主體同意，可以有效避免信息處理者繞過數據主體，擅自處理敏感信息的現象。

（二）數據處理者的義務

1．提高數據透明度

筆者認為，通過法律的形式賦予數據處理者更多義務，強制其提高數據透明度，使數據主體能夠隨時隨地檢查其敏感個人信息的使用狀況，防止數據處理者擅自隨意使用其敏感個人信息。同時在與主體簽訂隱私保護協議時，應當對注意事項進行明示，禁止處理者利用信息差使主體忽視涉及自身信息保護的條款，此舉可以為今后的非法信息處理奠定基礎。[6]公開、透明的數據是數據主體參與監管的有效途徑，只有禁止盲目處理，才能將敏感個人信息置于安全地位。

2．禁止盲目自動化處理

如今數據自動化處理已經成為常態，數據處理者直接將部分信息交由技術系統自動處理，能夠極大降低其管理與信息處理的成本。然而技術系統自動處理大多基于既有算法，算法面對繁多的信息無法迅速區分普通個人信息與敏感個人信息，因此盲目接受自動化處理可能會導致敏感個人信息處于有效控制之外，一旦被泄露，則難以挽回。因此，在法律制定中，應當考慮對自動化處理進行規范，對不會涉及敏感個人信息安全的普通信息，可以放寬自動化處理的限制，利用自動化處理提高處理效率；而對于與敏感個人信息密切相關的數據，應當加強監管力度，設置更嚴格的處罰標準，提高犯罪成本，減少盲目自動化處理現象的發生。[7]

3．數據處理者承擔無過錯責任

結合數據處理者在處理公民敏感個人信息的過程中占有絕對有利地位，與敏感信息對數據主體的不可替代性地位，在公民敏感個人信息保護時，應當適用無過錯責任原則，此時數據主體在維護自身敏感個人信息安全時只需負有侵權行為、侵權結果的舉證責任，數據處理者是否具有過錯在所不問。[8]通過無過錯責任原則降低數據主體的舉證難度，提高成功保護敏感個人信息的期待性，有利于規范數據處理者的行為，進一步保障敏感個人信息的安全。

六、結論

大數據及其相關技術的快速發展使得大數據對信息的掠奪能力不斷強化，但無論大數據如何發展本質上都應當是為人類服務的，而讓大數據履行這一職能不能僅僅需要依靠大數據的自我約束，還應當從外界對其加以規范?！秱€人信息保護法》頒布、實行僅一年有余，在其實踐中仍存在大量法律約束的空白亟待去完善、解決，留給立法者的工作任重而道遠。只有充分認識到大數據使用所帶來的問題才能夠防患于未然，讓技術在人們的控制范圍內服務于人類。