敏感個人信息的界定及其處理前提
——以《個人信息保護法》第28條為中心

韓旭至

通過《個人信息保護法》第28條，我國首次在法律中界定了敏感個人信息的概念，并規定了敏感個人信息的處理前提。該條第1 款為敏感個人信息的定義條款，采取了“概括+列舉”模式。在概括的定義中，敏感個人信息指向“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息”。在列舉項中，列舉了生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡、不滿十四周歲未成年人的個人信息7項內容，并通過“等”以保持開放性。該條第2款規定了敏感個人信息處理的前提為“具有特定的目的和充分的必要性，并采取嚴格保護措施”。

以這一條款為中心，可以辨析敏感個人信息保護的基本問題。例如，敏感個人信息的判斷主體與判斷標準如何確定？敏感個人信息關注的風險具體指向何時發生的何種風險？能否引入場景理論對敏感個人信息的定義進行解釋？法條中的列舉項是否必然屬于敏感個人信息？如何進一步對7 項被列舉的信息進行解讀？如何引入以及引入何種未被列舉的敏感個人信息？如何理解敏感個人信息與私密信息的關系？敏感個人信息的三個處理前提與目的限制、最小必要、安全保護的原則性要求有何差異具體又如何實現？本文旨在通過《個人信息保護法》第28條的教義學分析，對上述問題進行回應，力圖展示敏感個人信息的界定及其處理前提的全貌。

一、敏感個人信息的判定標準

長久以來，學界對敏感個人信息的特殊風險存在一定共識，亦多從一旦泄露或非法使用可能導致損害的角度對敏感信息的概念進行描述。然而，應采用何種具體標準或方法判定敏感個人信息，至少又存在四種理論與實踐。一是歧視標準，其關注可能導致的不平等或不公平待遇，聯合國《計算機處理的個人數據文檔規范指南》即采取這一標準。二是對基本權利造成重大風險標準，其關注可能造成基本權利的嚴重危害，該標準為歐盟《通用數據保護條例》（以下簡稱GDPR）所認可。三是特定指標的判斷方法，典型如歐姆（Paul Ohm）所提出的結合傷害的可能性、傷害概率、特定信任關系、公眾關注度判定信息是否敏感。四是場景化的判斷方法，認為敏感個人信息的判斷還須結合信息處理的具體場景、處理目的進行動態分析。這些判斷方法，對域外相關制度都具有較強的解釋力，然而難以直接解釋《個人信息保護法》中敏感個人信息的概念。從《個人信息保護法》第28條第1款的規定來看，敏感個人信息的判斷具有客觀性、關注的風險內容具有廣泛性、判斷前提具有確定性，且須達到“高概率的權益受侵害可能+一般的權益受影響程度”這一標準。

（一）基本特征：判斷的客觀性與風險內容的廣泛性

在判斷的客觀性上，《個人信息保護法》第28 條第1 款中“容易導致”相關風險的發生，指向的是權益受侵害的客觀可能性，而非信息主體的主觀感受?！秱€人信息保護法》通過前，部分學者誤以為敏感是主觀的概念，傷害的判斷也因人而異。有學者甚至以敏感主觀性強為由，反對敏感個人信息的概念。這一理解并不正確。首先，敏感個人信息的判斷主體具有客觀性。敏感個人信息的判斷主體有二：一是履行個人信息保護職責的部門，根據《個人信息保護法》第62條第2款在所指定的規則、標準中對敏感個人信息進行判斷和補充列舉；二是司法機關與執法機關在個案中根據《個人信息保護法》第28條第1款所確定標準對未被列舉的敏感個人信息進行判斷。信息主體與信息處理者的主觀感受，均與敏感個人信息判斷無關。在對敏感個人信息進行概括定義的域外制度中，敏感個人信息的判斷主體通常更是特定的。例如，韓國《個人信息保護法》第23條規定，列舉項以外的信息應由總統令規定。印度《個人數據保護法案》第15條規定，“將個人數據歸類為個人敏感數據”應由“中央政府與保護局和有關部門監管機構協商”確定。其次，敏感個人信息的判斷標準亦具有客觀性，反映了社會的客觀現實。相關信息一旦泄露或非法利用所可能帶來的風險往往與一國特定的歷史文化背景有關，這也正是各國敏感個人信息列舉范圍不一的原因。

在風險內容的廣泛性上，敏感個人信息廣泛關注自然人的人格尊嚴或者人身、財產安全的風險。其不僅關注私法上的權益，還指向公法上的權利。這也是我國敏感個人信息制度與域外制度的顯著差異所在。域外制度多聚焦受歧視的風險，尤其是歐盟法中較少關注財產安全，我國的敏感個人信息定義則廣泛關注人格尊嚴以及人身、財產安全。其中，人格尊嚴既指向憲法人格尊嚴權，亦指向民法中的一般人格權。《個人信息保護法》第28條第1款將《個人信息保護法（草案二審稿）》中的“個人受到歧視”修訂為“人格尊嚴受到侵害”，使敏感個人信息的定義超越了歧視標準，指向一切對人格尊嚴的損害。人身、財產安全更涵蓋了生命權、身體權、健康權、姓名權、肖像權、名譽權、隱私權、物權、債權等廣泛的個人權利以及未被權利化的受保護法益。值得注意的是，個人信息權益本身并不屬于《個人信息保護法》第28條第1款中“人格尊嚴”或者“人身、財產安全”的范疇，敏感個人信息關注的是侵害個人信息權益后造成的其他損害。若將個人信息權益納入其中，將出現“倒果為因”的邏輯錯誤。非法的個人信息處理必然造成個人信息權益的損害，由此將消解和破壞敏感個人信息的概念。

（二）判斷前提：失控的確定性與場景標準的反思

敏感個人信息的風險判斷存在確定的前提，即“一旦泄露或者非法使用”。參照《信息安全技術個人信息安全規范》（GB/T 35273-2020，以下簡稱“個人信息安全規范”）附錄B，泄露“將導致個人信息主體及收集、使用個人信息的組織和機構喪失對個人信息的控制能力，造成個人信息擴散范圍和用途的不可控”。非法使用又可分為非法提供與濫用，分別指在個人信息主體同意范圍外擴散與超出合理界限的使用?！秱€人信息保護法》第28 條第1 款并不關注信息是否容易泄露或被非法使用，而指向個人信息被泄露或非法使用后的風險。對風險的判斷必須先假設相關信息已被泄露或者非法使用。只是在對敏感個人信息概念進行判斷后，《個人信息保護法》第28 條第2 款才進一步要求信息處理者“采取嚴格保護措施”以防止信息泄露或被非法利用。

將敏感個人信息判斷的前提確定為假設信息已被泄露或非法使用，信息是否敏感與信息處理者的處理行為無關，由此便與流行甚廣的場景標準存在不可調和的矛盾。場景標準認為，應充分評估信息被處理的背景，將信息處理者的處理目的、處理方式因素引入敏感個人信息的判斷之中。有學者提出，《個人信息保護法》第28 條第1 款的敏感個人信息概念受到場景的影響。部分學者主張，“采靜態和動態認定方法，兼顧敏感個人信息利用的情景、目的等變量因素”。部分學者雖然意識到場景標準的缺陷，但仍然主張“場景抽離和場景融入雙重路徑”，根據“信息處理者的認知能力、信息應用能力及信息存在狀態是改變信息內容屬性的主要場景要素”，判斷一般個人信息是否轉化為敏感個人信息。上述解讀并未回應敏感個人信息判斷前提與場景標準的矛盾，場景切不可作為敏感個人信息判斷的要素。

反對場景標準的理由有三：第一，場景理論有其域外法背景，與《個人信息保護法》的制度邏輯不符。由于GDPR 只是對特定類型的信息進行了列舉，并不存在敏感個人信息的概括定義，其序言條款第51 條建議通過場景對敏感性進行判斷并不會產生體系沖突。然而，《個人信息保護法》的制度框架并不適合場景標準的引入。一方面，《個人信息保護法》第28條第1款要求在泄露或者非法使用的前提下判斷權益受侵害的風險，具體的信息處理場景已不再相關。另一方面，若處理場景的不安全導致信息敏感，則無法理解《個人信息保護法》第28條第2款所規定的敏感個人信息的處理前提恰恰是安全可控。此外，場景標準還涉嫌混淆敏感個人信息的判定標準與個人信息保護影響評估的關系。根據《個人信息保護法》第55條第1款，個人信息屬敏感個人信息是事前進行影響評估的法定情形，而非根據評估結果判斷信息是否敏感。第二，部分觀點將信息采集對象的拓展錯誤理解為場景的轉變。例如，有學者認為，姓名、電話號碼被用于流調與追蹤時，對應風險較高，可“升格”為敏感個人信息。對此，實際是這些信息與健康信息結合才導致了相關風險，并非一般信息的升級，而是采集對象的拓展。姓名、電話號碼從未轉化為敏感個人信息，而是健康信息這種特定的敏感信息采集增加了權益受侵害的可能性。又如，有學者認為地址信息被長期記錄并反映了相關活動規律可轉化為敏感個人信息。See Paul Ohm,“Sensitive Information”,in,2015,No.5,pp.1125-1196.對此，采集對象亦發生了改變，從單個地理位置信息的采集，拓展為采集反映合理活動規律的行蹤軌跡。第三，場景理論被大量誤讀，成為“具體問題具體分析”的代名詞。尼森鮑姆（Helen Nissenbaum）所提出的“情境完整性理論”，旨在解構隱私/個人信息的規范內涵，并從社群規范的角度對隱私/個人信息進行重構。See Helen Nissenbaum,,California: Stanford Law Books,2009,pp.149-150.眾多借鑒場景理論對敏感個人信息規范內涵進行解釋的學者并未注意到場景的理論背景，亦不涉及社群規范的討論。試圖通過場景解釋敏感個人信息范疇的嘗試不僅徒勞無功，往往適得其反，使敏感個人信息的范疇始終處于不確定之中。綜上所述，敏感個人信息的判斷必須以脫離具體信息處理場景之外的“一旦泄露或者非法使用”為前提。

（三）兩個維度：受侵害的可能性與受影響的程度

從權益受侵害的可能與權益受影響的程序兩個維度，可建立個人信息敏感度的二維坐標體系（見下圖1）。一旦泄露或非法利用容易導致權益受到侵害或危害，對應“高概率的權益受侵害可能+一般的權益受影響程度”。敏感個人信息位于與該坐標體系的中上部分與右上部分。

圖1 敏感個人信息的二維關系

首先，權益受侵害的可能性是二維體系中的首要維度。《個人信息保護法》第28條第1款將《個人信息保護法（草案二審稿）》中的“可能導致”修訂為“容易導致”，屬于對可能性程度要求的提升。這一修訂具有合理性。在大數據、人工智能等新型信息處理技術普及的情境下，個人信息泄露或非法利用均有可能帶來風險。若采取一般的可能性標準，將使敏感個人信息的概念變得極為寬泛。對權益受侵害的可能性進行具體分析，可借鑒《信息安全技術個人信息去標識化指南》（GB/T 37964-2019）第5.5.2條第a款，“參照國家有關法律法規和標準，依據數據映射分析結果，分析個人信息的敏感程度對個人權益可能產生的影響”。“容易”的可能性程度要求信息的屬性與可能的損害后果之間具有直接相關性。同時，對可能性的判斷必須結合信息處理的合理成本。若違法行為人需要投入巨大成本處理特定的個人信息才能導致損害，顯然亦不符合“容易導致”的要求。權益受侵害的可能性并非一成不變，大數據、人工智能等新興信息處理技術的發展，在提高了數據映射的相關性的同時，降低了信息關聯處理的成本與難度，由此改變了權益受侵害的概率，將會使得特定信息成為敏感信息。以生物識別信息為例，1981年歐洲委員會《有關個人數據自動化處理的個人保護協定》第6條、1995年歐盟《數據保護指令》（95/46/EC）第8條均未將其視為特殊類型個人數據，直至2016年GDPR 第9條第1款才將之納入特殊類型個人數據（即歐盟法中的敏感個人信息）。

其次，權益受影響的程度是二維體系中的次要維度?！秱€人信息保護法》第28條第1款將《個人信息保護法（草案二審稿）》中的“嚴重危害”修訂為“危害”，降低了對權益受影響程度的要求。這一修訂亦具有合理性。敏感個人信息關注損害的可能性而非確定性的損害后果，若對損害結果的嚴重性作出要求，將“導致敏感個人信息淪為事后概念，瓦解處理規則的防御規制意義”。然而，不要求危害結果達到嚴重的程度，并不意味著無須對權益受影響的程度進行評判。參照《信息安全技術個人信息安全影響評估指南》(GB/T 39335-2020）的規定，可從“影響個人自主決定權”“引發差別性待遇”“個人名譽受損和遭受精神壓力”“個人財產受損”四個維度，對個人信息主體的權益進行影響程度評價。權益受影響必須構成一般的危害。若僅僅是打擾或造成不便等輕微影響，則不屬于敏感個人信息保護所關注的一般風險，任何個人信息泄露都容易導致輕微的不便。

此外，權益受影響的程度還可以在敏感個人信息區分保護上發揮作用。從圖1 可見，雖然中上部分與右上部分的兩類信息均屬于敏感個人信息，但顯然右上部分的信息需要更為嚴格的保護。這種分級保護并不對敏感個人信息的概念本身產生影響。事實上，《個人信息保護法》除了第31 條關于未滿十四周歲未成年個人信息保護的特別規定外，亦未對敏感個人信息的保護程度進行類型區分。根據《個人信息保護法》第32條，敏感個人信息的區分保護，可在法律、行政法規的其他限制中實現。

二、敏感個人信息列舉項的規范內涵

《個人信息保護法》第28條第1款關于敏感個人信息的列舉有三個顯著特點。第一，該款并非限定式對敏感個人信息進行列舉，沒有將敏感個人信息的范圍限定在列舉項之中，而是在概括的定義后進行的，并以“等”表示列舉的不完全。第二，列舉項并不僅僅指向受歧視的風險，廣泛關注了人身、財產的安全，例如金融賬戶即典型指向了財產安全風險。第三，列舉項種類多樣且分類標準不一，生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡均為從信息內容出發的分類；為實現未成年人特別保護，又對不滿十四周歲未成年人的個人信息采取了主體標準。

在屬性上，敏感個人信息的列舉項與《網絡安全法》第76 條第5 項、《民法典》第1034 條第2 款關于個人信息的列舉項不同。個人信息列舉項還需要重新放回個人信息定義判斷，例如張三作為姓名單獨來看不一定具有可識別性。與之相比，敏感個人信息的列舉項是在個人信息概念之上，對高敏感的個人信息進行列舉，不需要再討論識別性問題，例如生物識別本身就強調識別性。就敏感度而言，《個人信息保護法》第28 條第1 款的列舉項亦無須重新回到該款關于敏感個人信息的概括定義中進行衡量。該款的列舉項就是典型的敏感個人信息，不存在脫離一定場景而不是敏感個人信息的可能。前文已述，敏感個人信息關注的就是信息一旦泄露或非法利用帶來的不利后果，即便在特定應用場景之中相關信息風險較小，泄露或非法利用都將使得信息脫離原處理場景，因此敏感個人信息類型可實現特定化。在敏感個人信息的列舉項中，立法者已經對這些信息的權益受侵害的可能性與權益受影響的程度進行了判斷。從域外相關制度來看，歐美以及我國澳門特別行政區、我國臺灣地區的相關立法對于敏感個人信息的范圍采取了限定式列舉的規定，既沒有規定以“等”作為兜底，亦沒有對敏感個人信息的特征作概括式的描述，被列舉的信息就是敏感個人信息?！秱€人信息保護法》第28 條第1 款與日本、韓國、印度等國的相關立法類似，采取了“概括+列舉”模式。這一模式并不否定列舉項敏感個人信息的地位，而是應以概括定義判斷未被列舉的其他信息。在此認識的基礎上，可對《個人信息保護法》第28條第1款中列舉項的內涵進行具體分析。

（一）生物識別

《民法典》第1034條第2款、《網絡安全法》第76條第5項在關于個人信息定義的列舉項中均規定了生物識別信息?！皞€人信息安全規范”附錄B指出，個人生物識別信息包括“個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等”?！缎畔⒓夹g安全技術生物特征識別信息的保護要求（征求意見稿）》第4.1條進一步將生物識別信息分為生理特征與行為特征。從整體而言，生物識別信息具有唯一性、程序識別性、可復制性、損害的不可逆性及信息的關聯性等特征。在域外法中，尤其關注生物信息的程序識別性特征。根據GDPR 第4 條第14 款，生物數據即對自然人身體、生理或行為進行一定的技術處理所得的能識別特定自然人的數據。歐盟第29條工作組亦曾將生物數據界定為：“生物特性、行為方面、生理特征、生活特征或可重復的行為，這些特征和/或行為對該個體來說是獨特且可測量的，即使在實踐中用技術測量它們的模式有一定程度的概率?！?/p>

生物識別信息被稱為“上帝賦予的身份證”。正是由于這些信息難以被改變，其濫用或泄露將產生永久性的后果。近年來，生物信息濫用的風險不斷涌現。以人臉識別為例，小區、公園、學校甚至公廁都引入了人臉識別系統，無感人臉識別應用又進一步使得生物信息被無限度地采集。杭州市中級人民法院在“郭某訴杭州野生動物園案”判決書中指出，人臉信息“呈現出敏感度高，采集方式多樣、隱蔽和靈活的特性，不當使用將給公民的人身、財產帶來不可預測的風險，應當作出更加嚴格的規制和保護”。2021 年浙江省多家房企因隨便使用人臉識別系統識別客戶而遭到市場監管部門的處罰?！秱€人信息保護法》立法審議時，有部分委員亦明確提出應重視人臉識別的風險?！蹲罡呷嗣穹ㄔ宏P于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》亦是從生物識別信息保護的角度，對人臉識別進行了規定。然而，人臉信息與肖像應存在區別。肖像一般不具有程序識別性特征，不是生物識別信息。美國伊利諾伊州通過《生物識別信息隱私法》（BIPA）第10 條即指出，平面的照片無法全面反映臉部特征，唯有面部幾何形狀的掃描才能構成生物識別信息。在人格權歸屬上，肖像權與個人信息保護亦大不相同，肖像權重在維護個人對其形象的控制，而不針對信息處理行為展開。

（二）宗教信仰

宗教信仰信息是“個人是否信奉宗教、信奉何種宗教以及信奉某一宗教中何種教派的信息”。《憲法》第36 條第1 款規定：“中華人民共和國公民有宗教信仰自由?！弊诮绦叛鲎杂墒且环N基本權利，是政治自由的組成部分。因為宗教信仰不同，導致流血沖突甚至戰爭，在世界歷史上并不少見。宗教信仰信息的泄漏或非法利用，可能使得自然人受到歧視甚至仇視。在域外關于敏感個人信息的立法中，大多亦將宗教信仰列入其中。1981 年歐洲委員會《有關個人數據自動化處理的個人保護協定》第6 條是世界上最早關于敏感個人信息的規定，其中對宗教信仰進行了列舉。此后，聯合國《計算機處理的個人數據文檔規范指南》第5條、GDPR第9條第1款等制度亦將宗教信仰規定為敏感個人信息。

值得注意的是，在我國法律、行政法規中，宗教信仰始終是一個具有特定內涵的術語，僅指向合法的宗教類的信仰。宗教信仰無法包含信仰非法教派的信息。根據《宗教事務管理條例》第7條，宗教團體必須依法辦理登記、章程應符合國家社會團體管理的有關規定，并依照章程開展活動。邪教以及不符合法定要求的新興宗教，自然不包括在正常宗教的含義之中。對此，《憲法》第36 條第3 款、《國家安全法》第27 條均對正常的宗教活動與利用宗教名義進行違法犯罪活動進行了區分。參與此類非法組織的活動，甚至可能構成違法犯罪。此外，宗教信仰作為一個固定的術語不能也無法拆分為宗教信息與信仰信息。與之相對，在規范性文件、黨內法規中，還存在政治信仰、文化信仰、哲學信仰等概念，這些信仰均無法歸入宗教信仰的范疇。基于其他信仰所形成的身份認同，則屬于特定身份信息的范疇。

（三）特定身份

特定身份信息具有一定的包容性，特定化地指向敏感度高的身份信息，例如種族或民族、身份識別號碼。就種族、民族信息而言，雖然《個人信息保護法》第28 條第1 款刪去了《個人信息保護法（草案二審稿）》中的相關列舉，但可將之歸入特定身份進行保護?！稇椃ā返?條第1款規定了民族平等原則。實踐中，采集民族信息較為常見，通常是為了落實少數民族優惠政策，但無限制地采集亦將帶來風險。比較法中，絕大多數國家將種族、民族信息規定為敏感個人信息。就身份識別號碼而言，《網絡安全法》第76 條第5 款、《民法典》第1034 條第2 款在個人信息的定義中都對身份證號碼進行了列舉?！渡矸葑C法》第3條規定，公民身份號碼是每個公民唯一的、終身不變的身份代碼。在18位的身份證號碼中，前6位的地址碼包含出生地信息，中間8 位為出生日期信息、第17 位指向性別信息。身份識別號碼不僅包括身份證號碼，還包括護照號碼、通行證號碼、駕駛證編號等一切具有身份識別性的統一編號。身份識別號碼通常在特殊信任關系中被處理，如金融服務合同關系、行政關系中對身份證的使用，一旦泄露將給個人帶來“身份盜竊”的風險。通過身份識別號碼不法之徒可竊取銀行資金、以受害者身份借款、利用受害者身份進行違法犯罪活動等。對此，GDPR 第87 條指出，身份識別號碼應“在數據主體的權利與自由得到適當的安全保障”的前提下被處理。

此外，特定身份信息不僅指向客觀形成的信息，還包括信息主體主觀的特定身份認同。例如，性取向本身即具有高度的敏感性。個人容易因性少數的身份泄露而受到歧視，相關信息的非法利用也極易對親密關系造成破壞。又如，前述基于政治信仰、文化信仰、哲學信仰所形成的身份認同亦屬于特定身份。這些身份認同雖是主觀的，但均與個人基本權利息息相關。在域外相關制度中，通常亦將這些信息明確規定為敏感個人信息。GDPR第9條第1款對敏感個人信息的列舉即明確包含了性取向、政治觀念、哲學信仰。然而，特定身份信息不等于身份信息，不可將其泛化為“涵蓋自然人基于生物層面或社會層面而產生的相應身份識別信息”。一般的職業身份、性別身份并不具有高度敏感性，若將所有身份信息納入特定身份，將使敏感個人信息范圍失之過寬。

（四）醫療健康

根據《信息安全技術健康醫療數據安全指南》（GB/T 39725-2020）第3.1條的規定，醫療健康信息包括個人過去、在或將來的身體或精神健康狀況、接受的醫療保健服務和支付的醫療保健服務費用等信息。具體而言，醫療健康信息又可分為醫療信息與健康信息。首先，就醫療信息而言，病歷資料是最典型的醫療信息。根據《民法典》第1225條、《最高人民法院關于審理醫療損害責任糾紛案件適用法律若干問題的解釋》（法釋〔2017〕20號）第6條，病歷資料范圍包括“門診病歷、住院志、體溫單、醫囑單、檢驗報告、醫學影像檢查資料、特殊檢查（治療）同意書、手術同意書、手術及麻醉記錄、病理資料、護理記錄、出院記錄以及國務院衛生行政主管部門規定的其他病歷資料”。此外，《民法典》第1226條亦規定了醫療機構及其醫務人員對患者個人信息的保密義務。其次，就健康信息而言，其范圍較為廣泛。參照GDPR鑒于條款第35條，健康信息應包括與信息主體健康狀況有關的所有信息。

兩千多年前《希波克拉底誓言》（Hippocratic Oath）就表示，醫生絕不可泄露與治療相關的信息。醫療健康信息一旦泄露將對信息主體的生活、工作、就業、家庭等各個方面產生不可估量的影響。在“虞某梅與顧某婷名譽權糾紛案”中，被告泄露原告的疾病信息便直接導致了原告被單位解雇。疫情期間，感染者或密切接觸者信息泄露事件時有發生，亦使得相關人員遭遇嚴重的網絡暴力和社會歧視。由此可見，醫療健康信息具有高度的敏感性。

（五）金融賬戶

根據《個人金融信息保護技術規范》（JR/T 0171—2020）第4.1條第a款，金融賬戶信息“包括但不限于支付賬號、銀行卡磁道數據（或芯片等有效信息）、銀行卡有效期、證券賬戶、保險賬戶、賬戶開立時間、開戶機構、賬戶余額以及基于上述信息產生的支付標記信息等?！迸cGDPR 的相關規定不同，明確將金融賬戶信息列為敏感個人信息體現了《個人信息保護法》并不僅僅關注人格尊嚴的保護，而且回應了市場經濟中多種權益受侵害的風險。金融賬戶一旦泄露或非法使用，很容易讓人遭受人身或財產的危害，如可能遭遇電信詐騙、賬戶資金被盜，甚至被綁架或殺害，具有高度的敏感性。

值得注意的是，金融賬戶不能等同于個人金融信息。個人金融信息指向的是在金融這一特定的業務場景中處理的所有個人信息，而金融賬戶則指向個人賬戶的具體信息內容。個人金融信息范圍遠大于金融賬戶。例如，金融機構在特定業務場景中處理的個人動產/不動產信息、交易合同信息均與個人賬戶無關。金融賬戶必須是與個人賬戶直接相關的信息。除了金融賬戶外，個人金融信息至少還包括鑒別信息、個人身份信息、財產信息、借貸信息等。《個人金融信息保護技術規范》本身亦未將全部金融信息規定為敏感信息，而是通過第3.2 條專門對支付敏感信息進行了規定。此外，該規定第4.2 條進一步將個人金融信息按敏感度高低分為3個類別，只有賬戶及其鑒權信息屬于敏感度最高的信息。

（六）行蹤軌跡

行蹤軌跡信息與《民法典》第1034 條所列舉的行蹤信息含義相同，是自然人的靜態停居信息與動態形態路線的結合。在“胡某等非法獲取公民個人信息案”中，法院即明確指出，行蹤軌跡涉及住址、單位地址、常去場所，透露公民的生物習慣與個人特征，與公民生活安全息息相關。域外法中，行蹤軌跡的重要性也得到認可。2012 年美國聯邦最高法院在“瓊斯案”中判決，警察安裝GPS 的行為屬于違反“第四修正案”的非法侵入。隨后，在2018年“卡朋特案”中，美國聯邦最高法院指出，手機定位監控信息能詳盡、全面、便捷地獲取自然人過去及以后一段時間的行蹤，受到憲法保護。

行蹤軌跡的內涵不得隨意擴張。一是，位置信息與行蹤軌跡存在差異。與靜態的位置信息相比，行蹤信息更為強調動態的過程，表明了信息主體在何時何地逗留多久，能間接地揭示了其愛好、習慣等信息。以APP獲取用戶位置信息為例，若僅在使用時獲取相關信息，則屬于位置信息，不構成敏感個人信息處理；若一段時間內持續性地獲取用戶位置信息，則相關信息的結合構成行蹤軌跡，屬于敏感個人信息處理。二是，視頻監控應適用《個人信息保護法》第26條，不宜判斷為行蹤軌跡。在關于智能門鈴的多起案件中，法院一般將相關系統記錄的鄰居出行規律、人員流動信息判定為信息主體不愿為他人知悉的個人信息。這些信息難以全面反映特定個人一段時間的行蹤。

（七）不滿十四周歲未成年人的個人信息

將不滿十四周歲未成年人的個人信息規定為敏感個人信息的目的在于充分保護未成年人。未成年人特別保護是《憲法》第49條所規定的?！秱€人信息保護法》采取14周歲的標準，與《未成年人保護法》第72條保持了高度一致。根據此年齡標準，《個人信息保護法》第31條、《未成年人保護條例（征求意見稿）》第35 條又進一步對兒童個人信息處理進行了規定。與我國類似，美國《兒童在線隱私保護法》（COPPA）亦規定了采集十三周歲以下兒童個人信息的特殊規則。

然而，由于此項敏感個人信息以主體年齡作為分類標準，與其他六項以信息內容的分類標準存在顯著差異，引起了一定爭議。有學者認為，十四周歲未成年人的個人信息內部存在差異。即區分一般個人信息與兒童的敏感個人信息，如未滿十四周歲未成年人的生物識別信息屬于兒童敏感信息。也有學者認為，前三個列舉項指向一旦泄露或非法使用容易導致自然人的人格尊嚴受到侵害的風險，后三項則指向人身、財產安全受到危害的風險，兒童個人信息屬于單獨的一個類別。這些理解并不正確。一方面，立法者在《個人信息保護法（草案二審稿）》的基礎上明確將本項加入敏感個人信息列舉項，已經表明不滿十四周歲未成年人的一切個人信息均為敏感個人信息，不需要再對信息內容進行判斷。另一方面，不滿十四周歲未成年人的個人信息作為整體，亦符合敏感個人信息的概括定義，既指向人格尊嚴受到侵害的風險，也指向人身、財產安全受到危害的風險。正因如此，“個人信息安全規范”第3.2條、《深圳經濟特區數據條例》第20條均規定不滿十四周歲未成年人的個人信息是敏感個人信息。

（八）“等”的解釋

《個人信息保護法》第28 條第1 款關于敏感個人信息的列舉是不完全列舉，其中的“等”屬等外等，使得敏感個人信息的范圍具有了開放性。個人信息類型本身即隨著社會發展而變化，立法顯然無法逐一對所有敏感個人信息進行列舉。根據《個人信息保護法》第62條第2款，在未來國家網信部門統籌協調有關部門制定的相關規則、標準中，亦可進一步拓展敏感個人信息的具體類型。值得注意的是，除了《個人信息保護法》第28 條第1 款所列舉的7 類敏感個人信息外，《信息安全技術公共及商用服務信息系統個人信息保護指南》(GB/Z 28828-2012）第3.7條、“個人信息安全規范”第3.2條嘗試規定了多項“個人敏感信息”類型，包括手機號碼、通信記錄和內容、征信信息、住宿信息、財產信息、交易信息、婚史、未公開的違法犯罪記錄、通訊錄、好友列表、群組列表、網頁瀏覽記錄等。然而，由于《個人信息保護法》第28條第1款對敏感個人信息概念進行的重新界定，不可直接將上述信息一律視為敏感個人信息。對未被所列舉的敏感個人信息，必須回到敏感個人信息的概括定義之中進行判斷。

結合敏感個人信息“高概率的權益受侵害可能+一般的權益受影響程度”的判定標準，“等”的范圍至少應包括性生活信息、犯罪記錄。一方面，性生活信息也是個人的“陰私”信息，其泄漏或非法利用將極為容易導致對個人的人格尊嚴受到侵害。在絕大多數對敏感個人信息進行了規定的國家和地區中，均將性生活信息明確列為敏感個人信息。在我國自古以來的性羞恥文化背景下，這一信息的敏感性更強。另一方面，犯罪記錄又被稱為犯罪前科。犯罪記錄泄露將會使個人永遠伴隨著羞辱、污點以及來自社區的負面評價，即便是服刑后也將嚴重影響其回歸社會。當前，我國已建立未成年人犯罪記錄封存制度。成年人犯罪記錄，同樣對應著較高的權益受侵害的可能性，亦應作為敏感個人信息受保護。

三、敏感個人信息與私密信息的關系辨析

結合《民法典》第1034條第3款，個人信息可以分為一般個人信息、個人信息中的私密信息、敏感個人信息。如圖2 所示，敏感個人信息與私密信息雖存在差異，但亦有交叉?；诙哧P系，可分為四類信息：（1）不屬于私密信息的敏感個人信息。例如未滿十四周歲未成年人的個人信息、特定身份等信息不一定具有私密性，卻是法定的敏感個人信息。又如人臉信息，天然具有公開性的特征，亦為不屬于私密信息的敏感個人信息。（2）不屬于敏感個人信息的私密信息。例如，信息主體不愿為他人所知悉的休假旅行信息。（3）既屬于敏感個人信息又屬于私密信息。當私密信息達到敏感個人信息的風險基準，或信息主體不愿他人知悉特定敏感個人信息時，二者發生交叉。典型如醫療健康、金融賬戶、性生活及性取向信息。（4）其他私密信息。部分私密信息因不具可識別性，不屬于個人信息。例如，無法識別到特定個人的身體圖像，可以成為隱私保護的對象但無法構成個人信息。對于這部分私密信息，其與敏感個人信息的差異較為顯著，突出表現為隱私權與個人信息保護的制度差異，在此不作討論。為了更清晰地展開分析，下文所論述的私密信息特指個人信息中的私密信息。

圖2 敏感個人信息與私密信息

整體而言，敏感個人信息與私密信息之間存在以下差異：第一，規范目的不同。前文已述，《個人信息保護法》第28條的規范目的在于明確敏感個人信息的基本范疇與處理前提，調整敏感個人信息處理行為，進一步協調信息保護與利用之間的關系；而《民法典》第1034 條第3 款關于私密信息的規定則在于銜接與隱私權的規范。第二，判定標準不同。前文已述，敏感個人信息指向信息的敏感度，強調的是對信息主體造成不良影響的可能性，具有客觀的判斷標準，其范圍受到較為嚴格的限定。根據《民法典》第1032 條第2 款，私密信息采取信息主體“不愿為他人知曉的”的主觀標準，且與私密活動緊密相連，其范圍廣泛且概念模糊。第三，侵害方式不同。敏感個人信息僅針對信息處理行為，根據《個人信息保護法》第28條第1款，侵害方式為“泄露或者非法使用”。私密信息針對保密而言，《民法典》第1032條第1款指出，侵害方式指向“刺探、侵擾、泄露、公開等方式”。第四，規制方式不同。敏感個人信息采取事前風險預防的規制理念，強調事前進行個人信息保護影響評估，存在嚴格的處理前提，可適用多種合法性基礎，有特殊的告知同意機制。與之相對，私密信息以事后追責作為規制方式，根據《民法典》第1033條私密信息處理的合法性基礎僅限于個人明確同意與法律另有規定。

當敏感個人信息與私密信息發生交叉時，相關信息具有了雙重屬性。此時，對于法律規范的適用存在不同觀點。有學者主張，在對個人信息處理行為的合法性進行判斷時，適用敏感個人信息規范；在確定法益侵害類型時，進一步適用私密信息規范。亦有學者主張，私密信息本身即應優先適用隱私權規范，在沒有規定的情況下，可以適用個人信息的相關規定。上述兩種主張均不妥當。第一，兩種規范均可有效作用于違法性與法益侵害類型的判斷。實際上，承認交叉存在本身已對法益侵害類型進行了判斷，在此基礎上選擇適用個人信息保護規范或隱私權規范，方可進一步判斷信息處理行為的違法性。第二，雖然《民法典》第1034條第3款規定，“個人信息中的私密信息，適用有關隱私權的規定；沒有規定的，適用有關個人信息保護的規定”。然而，敏感個人信息與私密信息的交叉部分屬于《民法典》沒有規定的內容。在《民法典》中，隱私以權利的形式進行規范，保護強度高于個人信息。此時優先適用隱私權規定，能更有效地保護私密信息。然而，在《個人信息保護法》中，適用敏感個人信息的保護規范也可能更為有效地保護交叉部分的私密信息。例如，《個人信息保護法》第29條、第30條分別對敏感個人信息的特殊告知事項以及單獨同意/書面同意進行了專門規定，強于《民法典》第1033 條中明確同意的要求。同時，即便信息處理者取得了有效的單獨同意，處理行為也可能因為不符合其他法定要求而違法。在責任構成上，根據《個人信息保護法》第69條，選擇個人信息保護規范更可適用過錯推定的歸責方式。若必須優先適用隱私侵權的一般規定，將起到降低敏感個人信息保護的實際效果，與法律的規范目的不符。

總的來說，交叉部分的個人信息受到侵害時，侵害了雙重法益，既侵害了隱私權也侵害了個人信息權益，由此存在請求權競合。應允許信息主體在充分考慮隱私權與敏感個人信息保護的差異后，選擇最優的策略提起訴訟。

四、敏感個人信息保護的根本路徑：限定處理前提

《個人信息保護法》第28條第2款統一規定了敏感個人信息處理的前提，作為個人信息保護的根本路徑。根據該條款，具有特定的目的、充分的必要性、采取嚴格保護措施三者為并列關系，只有當三個條件同時達成時，方可處理敏感個人信息。敏感個人信息處理的前提條件是在個人信息處理合法性基礎之上的特殊條件，符合某一項合法性基礎不等于可直接處理敏感個人信息。即便獲得信息主體單獨同意或書面同意，若不符合三個前提條件的任一項要求，亦屬違法處理敏感個人信息。三個前提條件是對目的限制原則、最小必要原則、安全保護原則的具體化與強化，是《個人信息保護法》對敏感個人信息處理的特殊限制。

（一）特定的目的

特定目的，是目的限制原則的具體化。根據《個人信息保護法》第6 條，目的限制不僅要求目的的明確、合理，更要求處理目的與個人信息處理之間具有直接相關性。域外法中，1980 年經合組織《隱私保護與個人數據跨境流通指南》第9 條最早對“目的特定化原則”進行了規定。參考這一規定，目的限制又可具體分為收集階段的目的明確，以及使用階段的使用限制在實現目的的必要范圍。

具體而言，特定的目的要求敏感個人信息處理必須基于法律明確規定或合同明確約定，限于實現商品或服務的特定功能。例如，金融服務提供者為股票交易處理金融賬戶信息；國家機關為疫情防控處理特定類型的醫療健康信息；游戲廠商為實現“游戲防沉迷”功能以履行未成年人保護義務，處理不滿十四周歲兒童的身份信息；相關信息處理必須限于這一特定化的目的，不得用于其他目的。信息處理者更不可概括性地以“為提供更好的服務”為由處理個人信息。這一要求貫徹敏感個人信息處理的始終，特定目的變更，應重新審查信息處理的合法性基礎。是否符合特定目的，需綜合處理敏感個人信息的類型、具體的業務場景及提供的服務、信息處理者的法定義務、約定目的、信息主體與信息處理者的關系、處理個人信息的風險、適當保護措施等因素，“結合實踐經驗和一般理性人的標準綜合判斷”。此外，特定目的的要求亦體現在《個人信息保護法》第29 至第30 條所規定的敏感個人信息處理的告知同意之中，一是在告知事項中需明確告知數據處理的目的；二是單獨同意或書面同意必須針對特定目的作出，每一個處理目的都需獲得信息主體同意。

《個人信息保護法》通過前，部分法院并未重視敏感個人信息處理中的特定目的。在“劉某訴工商銀行侵權糾紛案中”，劉某在銀行辦理信用卡時簽署相關合同約定，銀行有權“發送與信用卡有關的信息”，隨后劉某收到銀行發送的廣告信息。一審法院認為，應對信息處理目的進行限縮解釋，排除“發送商業性短信”等非合理信息利用目的。二審法院改判認為，發送相關廣告有合同依據。在《個人信息保護法》第28條第2款的視角下，案涉合同并沒有對金融賬戶信息處理目的進行特定化，該類敏感個人信息處理行為應屬違法。必須明確金融賬戶信息的處理目的是實現合作具體的業務功能，例如身份確認、余額變動、消費提醒等。

（二）充分的必要性

充分的必要性是最小必要原則的體現與強化，與特定的目的緊密關聯。我國個人信息保護制度始終堅持“合法、正當、必要”原則，《個人信息保護法》第6 條亦指出，信息處理的目的不僅需要符合明確性、合理性、相關性的要求，還應“采取對個人權益影響最小的方式”“收集個人信息，應當限于實現處理目的的最小范圍”?！禔pp違法違規收集使用個人信息行為認定方法》《常見類型移動互聯網應用程序必要個人信息范圍規定》等規定均對個人信息處理的必要性作出了具體要求。一般認為，最小必要原則對于個人信息處理至少有類型最少、數量最少、期限最短，以及充足、相關、不過量的要求。

最小必要原則的核心功能在于防止無限制的個人信息處理，由于敏感個人信息處理對應著較高的風險，相關信息處理“應當保持最大的克制”，處理的必要性必須達到充分的程度。簡單來說，充分的必要性，即若不處理敏感個人信息亦能實現特定的處理目的，則不可對敏感個人信息進行處理；若特定的處理目的已經實現，則應及時刪除敏感個人信息。與一般個人信息處理的最小必要不同，敏感個人信息處理的充分必要性不可克減。最小必要原則適用范圍限于利益減損型的個人信息處理行為，若信息處理目的在于增進信息主體的利益，則難以適用；而敏感個人信息處理活動風險較高，始終適用最小必要的限制。此外，部分規范性文件、國家標準中亦對敏感個人信息處理的必要性進行了規定。例如，《汽車數據安全管理若干規定（試行）》第9 條第2 款指出：“汽車數據處理者具有增強行車安全的目的和充分的必要性，方可收集指紋、聲紋、人臉、心率等生物識別特征信息?！薄禔pp收集使用個人信息最小必要評估規范：人臉信息》（T/TAF 077.7-2020）第6.1 條、6.2 條、6.3 條分別規定，“收集人臉信息應遵循‘最小必要’原則”“應只存儲滿足人臉信息主體授權同意的目的所需的最少人臉信息”“應僅對業務所需的最小人臉信息進行傳輸”。

具體而言，應通過比例原則對充分的必要性進行檢驗。比例原則包括適當性原則、必要性原則與均衡原則。基于適當性原則，在“目的-手段”的關系中，敏感個人信息處理必須是實現特定處理目的的正確手段?；诒匾栽瓌t，信息處理者必須充分考慮其他風險較小的替代措施，若有可能通過其他方式合理地實現相同或類似結果，那么敏感個人信息的處理就是不合比例的。基于均衡原則，敏感個人信息處理所實現的利益應優于信息處理對公民權利的減損。僅憑實現正當商業利益、維護社會公共利益、保護信息主體與他人合法權益，均不足以證成充分的必要性。在比例原則的利益衡量中，應根據《個人信息保護法》第55 條第1 項進行個人信息保護影響評估，平衡信息處理者的利益、個人的權利和社會的公共利益。域外法中，亦認可通過比例原則對必要性進行檢驗。2019 年“瑞典GDPR 處罰第一案”中，瑞典數據保護局指出，學校采用人臉識別進行考勤不符合比例原則，而應采取對學生個人信息權益侵害更小的其他方式實現考勤目的。

實踐中，敏感個人信息處理不符合充分必要性的表現多種多樣。例如，對宗教信仰信息的采集，在絕大多數情形中均毫無必要，只有宗教組織、政治組織才有必要處理此類敏感個人信息。新冠肺炎疫情防控期間，各地監控碼采集的個人信息范圍不一，亦表明某些地區的健康信息采集不符合充分的必要性要求。此外，醫療機構收集患者健康信息，脫離分析病情的特定目的，提供給保險機構用以評估投保資格、測算保險費率；教育培訓機構收集未成年人的學校、民族、家庭住址、父母工作單位信息等信息處理行為均不具有必要性，亦屬于違法處理敏感個人信息。

（三）采取嚴格保護措施

由于敏感個人信息處理中權益受侵害的風險較高，為實現充分保護效果，必須采取嚴格保護措施。本質上，嚴格保障措施屬于敏感個人信息處理中的“必要措施”，是《個人信息保護法》第9條的具體化，強調敏感個人信息處理中對保護措施的要求更加嚴格。GDPR中也存在適當保障措施與保障措施的兩個概念，一般認為二者難以明確區分，處理者應根據個人信息保護的基本原則，結合處理目的和數據的敏感性而采取相關保護措施。See Christopher Kuner,Lee A.Bygrave,Christopher Docksey,,Oxford University Press,2020,p.382.對于《個人信息保護法》第28條第2款的嚴格保障措施亦是如此。與敏感信息定義所關注的泄露或非法使用后造成的影響不同，嚴格保護措施采取事前預防的視角，防范的是敏感信息被泄露或非法使用，必須根據具體應用場景予以判斷?！秱€人信息保護法》第51 條即規定6項保護措施前指出，“應當根據個人信息的處理目的、處理方式、種類以及對個人權益的影響、可能存在的安全風險等”，采取相關保護措施。與我國類似，德國《聯邦數據保護法》（BDSG）第22條第2款規定，特殊類型個人數據處理的保護措施應“考慮到技術水平、實施成本和處理的性質、范圍、背景和目的，以及處理對自然人的權利和自由所造成的不同可能性和嚴重性的風險”。此外，根據《個人信息保護法》第55條第1項與第56條第1款第3項，信息處理者應當在處理敏感個人信息之前進行個人信息保護影響評估，在評估中判斷保護措施是否合法、有效并與風險程度相適應。

具體而言，借鑒我國臺灣地區“個人資料保護法施行細則”與美國《健康保險流通與責任法案》（HIPAA）的相關規定，可以將保障措施分為物理措施、技術措施、組織措施三類，以進一步對嚴格保護措施進行解讀。第一，物理措施主要包括，境內存儲、分開存儲等物理隔絕措施，以及針對存儲介質安全性能的安全措施。例如，“個人信息安全規范”第5.6條第b項即指出，應將生物識別信息的原始信息和摘要分開存儲，或僅收集、存儲、使用摘要信息。第二，就技術措施而言，《個人信息保護法》第51 條第3項所述的加密、去標識化是最為典型的技術措施。《個人金融信息保護技術規范》第6.1條更是分別對彈窗機制、交互界面設計、屏蔽措施、安全通道、身份鑒別和認證技術、數據加密、密碼算法配置、密鑰管理、去標識化、匿名化等多種技術措施進行了規定。第三，組織措施指向《個人信息保護法》第51 條所列舉的管理制度、操作規程、教育培訓、應急預案等內容?！峨娦藕突ヂ摼W用戶個人信息保護規定》第13 條、“個人信息安全規范”第11.6 條、《個人金融信息保護技術規范》第6.1.1 條第a 項等規定均針對敏感個人信息處理的組織措施進行了規定。歸根結底，在具體的應用場景中，應充分結合物理措施、技術措施、組織措施，以符合嚴格保護措施的要求。

結語

敏感個人信息保護必將成為個人信息保護執法與司法的重點難點。20世紀歐洲的歷史表明，濫用敏感個人信息可能帶來侵害人權的嚴重后果，甚至催生了種族屠殺的惡果。我國敏感個人信息制度更是超越了西方國家的歧視標準或基本權利造成重大風險標準，廣泛關注自然人的人格尊嚴以及人身、財產安全，維護人民群眾基本福祉?！秱€人信息保護法》第28條是我國個人信息保護法律制度的邏輯起點。圍繞這一條款，本文以法教義學的分析視角對敏感個人信息的判定標準、敏感個人信息與私密信息的關系、敏感個人信息的處理邏輯等基本問題進行了回應，通過對敏感個人信息保護制度的解釋與完善，最終服務于個人信息保護水平的全面提升。