敏感个人信息的范畴界定研究.pdf

敏感个人信息的范畴界定研究

内容摘要

随着大数据时代的到来，个人信息快速流动，带来更多经济价值的同时，

其安全性也面临更大的挑战，特别是与人格尊严和人身财产安全紧密联系的个

人信息更需得到加强保护。因此《个人信息保护法》正式引入了敏感个人信息

的概念，并对其设置了专门的处理规则，但由于是初步引入，对其范畴的界定

还较为模糊，作为适用加强保护规则的前提，明确其范围具有十分重要的意义。

除引言和结语外，本文正文共分为四个部分：

第一部分，敏感个人信息的界定困境。《个人信息保护法》在第28条第1

款引入了敏感个人信息并对其进行概念界定，根据该条款在判断敏感个人信息

范畴时主要存在三个的问题：一是法定标准内涵不清，需进一步解释，以便明

确其与一般个人信息的区别；二是敏感个人信息和《民法典》私密信息之间界

限不清，导致在《民法典》私密信息保护条款和《个人信息保护法》敏感个人

信息保护条款之间的适用发生选择困难；三是立法以列举方式来规定敏感个人

信息的外延，不确定、不周延、不灵活等问题难以解决。

第二部分，敏感个人信息的界定标准。通过梳理学界关于敏感性的界定标

准类型，分析了《个人信息保护法》选择客观损害风险标准的合理性。在该标

准下敏感个人信息以“损害风险”作为核心内涵，分别从风险发生方式、风险

内容和风险程度三个方面对“损害风险”进行释明。风险发生方式主要包括泄

露型和非法使用型两种，各自损害的权利类型有所区别。风险内容包括所有人

身权、财产权以及除个人信息权益以外的以人格尊严为价值基础的其他权益。

风险程度由风险概率和损害程度两部分决定，风险概率“容易导致”主要包含

两层含义，一是存在更高的损害可能性，二是不以实际损害结果发生为必要，

并且可以通过是否容易识别、关系信任程度和信息内容的工具性强弱三个指标

对“容易”进行判断；损害程度达到一般损害程度即可，不以严重为必要。

第三部分，敏感个人信息和私密信息的关系。学界对二者关系提出了等同

说、独立区分说、包含说和交叉关系说，从信息的公私属性、人格权属性、信

息主体对信息的控制能力、信息的存在形式四个方面对二者进行分析比较，确

1

西南政法大学硕士学位论文

定二者之间存在交叉关系。根据敏感个人信息是否与私密信息范围重合，将敏

感个人信息划分为敏感的私密信息和敏感的非私密信息。敏感的非私密信息直

接适用《个人信息保护法》中关于敏感个人信息的特殊处理规则；敏感的私密

信息适用“择优保护”原则，即以尊重立法者充分保护与人格尊严紧密联系的

个人信息的立法意图为前提，当敏感个人信息的保护规则与私密信息的保护规

则不一致时，选择保护力度更强的规则适用。

第四部分，敏感个人信息的外延。各国主要采取列举模式和综合考量模式

对敏感个人信息外延进行界定，我国立法采取了作为主流的列举模式，列举了

七种敏感个人信息，以“等”作兜底。各列举项所涵括的具体信息类型丰富，

除不满十四周岁的未成年人信息以外，信息敏感性具有不稳定性，不可将其一

概视为敏感个人信息，宜作为敏感个人信息常见类别的提示，在具体判断时需

兼采场景理论。场景理论主要适用于不具有强识别性或者不具有强工具性的相

对敏感个人信息的敏感性判断，确定处理目的、参与主体和信息传输规则三个

影响信息敏感性的场景要素，以医疗健康信息为例，阐述结合场景理论判断敏

感个人信息时的具体适用过程。

关键词：敏感个人信息；损害风险；私密信息；场景理论

2

敏感个人信息的范畴界定研究

Abstract

Withtheadventofthebigdataera,personalinformationflowsrapidly,bringing

moreeconomicvalue,whileitssecurityalsofacesgreaterchallenges,especially

person