【摘要】在互聯(lián)網(wǎng)時代，敏感信息對個人權益影響巨大，亟需利用法律武器予以保護。因此，在未來發(fā)展過程中，我國應進一步完善個人敏感信息范疇，創(chuàng)設個人敏感信息保護例外規(guī)則，實現(xiàn)個人敏感信息關聯(lián)性、動態(tài)性管理，健全個人敏感信息責任機制與救濟途徑，實現(xiàn)對個人敏感信息的法律保護。

【關鍵詞】個人敏感信息  例外規(guī)則  信息安全   

【中圖分類號】D923    【文獻標識碼】A

隨著互聯(lián)網(wǎng)日益發(fā)展，以數(shù)據(jù)應用為基礎的商業(yè)模式越加成熟，個人敏感信息極容易發(fā)生泄露，對個人合法權益構成威脅。近年來，我國一直關注個人敏感信息的法律保護，并出臺《信息安全技術個人信息安全規(guī)范》（以下簡稱《規(guī)范》），用于保護個人敏感信息。

個人敏感信息泄露具有不可逆性，必須進行全方位保護

《規(guī)范》中對個人敏感信息定義為一旦泄露、非法提供或濫用可能危害人身安全、財產(chǎn)安全，極容易導致個人名譽、身心健康受到損害或歧視性的個人信息?！兑?guī)范》對個人敏感信息進行全方位規(guī)范，認定財產(chǎn)信息、健康生理信息、生物識別信息、身份信息、網(wǎng)絡身份信息、網(wǎng)頁瀏覽、行蹤軌跡等都屬于個人敏感信息范疇，該《規(guī)范》出臺不僅有助于平衡市場和隱私權益保護，更為企業(yè)、監(jiān)管機構、第三方機構在信息處理上提供法律界限。

《規(guī)范》主要用于整治信息管理問題，意識到現(xiàn)代企業(yè)在信息的收集與處理上，容易對個人權益造成損害，必須要設置一道“閘門”，對個人信息進行全方位保護，尤其是對個人敏感信息，更要堅決捍衛(wèi)。在現(xiàn)代化社會，一些企業(yè)利用現(xiàn)代化技術，采取強制或隱蔽性手段收集用戶信息，肆意傳播大量的個人敏感信息，導致個人隱私權益受到侵犯，甚至影響個人正常生活。同時，企業(yè)在收集、儲存信息過程中，因系統(tǒng)漏洞導致個人信息泄露，或被不法分子篡改信息，導致用戶財產(chǎn)受損。此外，個人敏感信息泄露存在長期性與不可逆轉(zhuǎn)性，一旦個人敏感信息泄露，將不可逆轉(zhuǎn)地廣泛傳播，并且傳播速度和范疇會持續(xù)性增長，無法制止或消除。

我國正處于互聯(lián)網(wǎng)發(fā)展初級階段，在信息安全管理上存在一些不足，無論是主動式的信息盜取，還是被動式的信息泄露，都會對人身、財產(chǎn)安全造成影響?？梢哉f，我國必須制定相應的法律法規(guī)，健全信息保護方法和途徑，利用法律武器對非法獲取信息的企業(yè)和個人進行嚴懲，確保法律法規(guī)在保護個人敏感信息方面真正起到作用。

西方國家個人敏感信息保護經(jīng)驗

一是差異化禁止處理規(guī)則。歐盟于1995年和2016年分別通過《關于涉及個人數(shù)據(jù)處理的個人保護及其此類數(shù)據(jù)自由流通的第95/46/EC/號指令》和《一般數(shù)據(jù)保護條例》。其中都明確規(guī)定差異化禁止處理規(guī)則，第一種禁止以“種族、政治、宗教等相關的個人數(shù)據(jù)”處置；第二種禁止以鑒別自然人為目的對“基因數(shù)據(jù)、生物數(shù)據(jù)的個人數(shù)據(jù)”處置；第三種禁止以“個人醫(yī)療數(shù)據(jù)、性生活、性取向等相關的個人數(shù)據(jù)”處置。由此看出，歐盟對涉及個人敏感信息，禁止對敏感信息采取任何處置方式。

二是創(chuàng)設例外規(guī)則。基于社會公共利益和個人利益考量，差異化禁止處理規(guī)則也具有例外屬性。第一種是知情同意例外。如果個人同意服務商處理敏感信息，應允許服務商處理相關數(shù)據(jù)；第二種是公共利益優(yōu)先例外。如果個人敏感信息與公共利益產(chǎn)生沖突，應遵循公共利益優(yōu)先原則，依法妥善處理個人敏感信息。

三是賦予選擇權。美國在《美國—歐盟的隱私安全港原則》中明確規(guī)定，信息處理者處理有關敏感信息時要提供明示的選擇權，比如，為了訴訟、醫(yī)療、個人其他重要權益等。相比之下，美國對個人敏感信息的保護更加靈活，允許當事人之間對敏感信息的范疇進行約定，但不得超越目的導向。

四是允許隨時撤回與賦予被遺忘權。當服務商合法收集個人敏感數(shù)據(jù)時，個人可以對敏感數(shù)據(jù)要求撤回和被遺忘。此時，法律更加傾向于對個人權益的保護，允許個人隨時對敏感信息進行撤回，可以要求服務商對敏感信息進行遺忘，以此更好地保護個人敏感信息。

完善我國個人敏感信息的法律保護策略

在遵照我國立法精神和原則的前提下，我們可以借鑒西方國家個人敏感信息保護規(guī)定，以此來完善我國個人敏感信息的法律保護。

完善個人敏感信息范疇?！兑?guī)范》已經(jīng)對個人敏感信息進行準確界定，并羅列敏感信息的范疇，如個人信息、身份證件、通訊地址、財產(chǎn)賬戶信息、行蹤軌跡、交易信息等。但是，這些范疇界定仍存在“死角”，部分屬于敏感信息的內(nèi)容未列其中，如醫(yī)療服務信息、犯罪記錄、性生活數(shù)據(jù)等。因此，完善個人敏感信息種類，就需基于現(xiàn)實情況，不斷拓寬保護范疇，或設置兜底條款，讓個人和服務商都能明確法律對個人敏感信息保護邊界。

創(chuàng)設個人敏感信息保護例外規(guī)則。個人敏感信息保護并非一成不變，需要設立例外規(guī)則，以此來適應現(xiàn)實需要。我國法律在保護個人敏感信息時，應將個人同意和公共利益設為例外規(guī)則，實現(xiàn)個人敏感信息保護的靈活性。第一，個人同意。個人對敏感信息有著絕對的處置權，只要個人同意敏感信息處理，法律不應干涉?zhèn)€人意見，但值得注意的是，個人同意必須在完全知情、完全接受后果的前提下同意，服務商不得脅迫、引誘個人同意敏感信息處置。第二，社會公共利益。當個人敏感信息與公共利益發(fā)生沖突時，法律應優(yōu)先考慮社會公共利益，在合理的范疇內(nèi)允許服務商處理個人敏感信息。比如，國家出于公共利益考慮，應允許社會勞動保障部門處理個人敏感信息。此時，如果個人認為服務商處置超出必要范圍，可以提起訴訟，禁止服務商越權處置個人敏感信息。

實現(xiàn)個人敏感信息關聯(lián)性、動態(tài)性管理。一直以來，我國對個人敏感信息都采取“識別性”管理措施，以靜態(tài)的標準對個人敏感信息進行判定，導致個人敏感信息保護遭遇困境。隨著互聯(lián)網(wǎng)發(fā)展，應以動態(tài)的“關聯(lián)性”對個人敏感信息進行管理，將個人敏感信息植入具體的場景，通過結合具體場景，關聯(lián)到特定的人或設備，綜合考慮多元因素，判斷服務商行為是否侵犯個人權益。保護個人敏感信息是世界立法趨勢，但不能因為信息保護而阻礙網(wǎng)絡發(fā)展，尤其是要區(qū)分一般信息和個人敏感信息，要在特定的環(huán)境下作出最準確判斷。此外，隨著大數(shù)據(jù)技術發(fā)展，服務商必然會收集個人信息，以便更好地開展服務，如果過度強調(diào)信息保護則會導致信息利用閉塞，引發(fā)“隱性交易”。正確的做法應實現(xiàn)動態(tài)性管理，強化個人對信息處置的主動權，將個人敏感信息處置權交于公民之手，由公民自主判斷是否允許服務商處置信息。同時，服務商也要盡到風險提示義務，告知個人信息處理可能導致的后果，健全服務信息處置的風險管理舉措，確保依法、合理處置個人敏感信息。

健全個人敏感信息責任機制與救濟途徑。以法律手段保護個人敏感信息安全，必須要建立責任機制，理清個人敏感信息泄露的責任人。服務商在處置個人敏感信息時具有較高風險，法律需明確服務商責任，服務商具有妥善收集、儲存、使用個人敏感信息的權利，但必須承擔信息泄露的責任，基于泄露對個人損害程度給予賠償。值得注意的是，鑒于個人難以舉證服務商責任，司法實踐中應采取舉證責任倒置，由服務商證明自己妥善地保護了個人敏感信息，未發(fā)生信息泄露現(xiàn)象，如服務商無法證明自身不存在過錯，就應該承擔相應的賠償責任。在救濟途徑方面，傳統(tǒng)的司法救濟途徑是必然選擇，但對個人而言，司法救濟需要較高的成本，應成立信息監(jiān)管機構，一旦個人認為服務商泄露自身信息，應向監(jiān)管部門投訴，由監(jiān)管部門代替?zhèn)€人維護權益。

（作者為中共衡水市委黨校基本理論教研室講師）

【參考文獻】

①陳騫、張志成：《個人敏感數(shù)據(jù)的法律保護：歐盟立法及借鑒》，《湘潭大學學報（哲學社會科學版）》，2018年第3期。

責編/肖晗題    美編/楊玲玲

聲明：本文為人民論壇雜志社原創(chuàng)內(nèi)容，任何單位或個人轉(zhuǎn)載請回復本微信號獲得授權，轉(zhuǎn)載時務必標明來源及作者，否則追究法律責任。