本文来自微信公众号“互联网与社会发展研究中心”,作者/王芝洋,宁波大学法学院2022级硕士研究生。
《个人信息保护法》中对个人信息采取了分层级的保护,区分了一般个人信息以及敏感个人信息,并对敏感个人信息特别规制了更高要求的处理前提,这将更有利于自然人合法权益的保护。然而,对于“敏感”的界定,自法规制定以来,学界颇有争议。《个人信息保护法》通过前,部分学者误以为敏感是主观的概念,伤害的判断也因人而异。有学者甚至以敏感主观性强为由,反对敏感个人信息的概念。这一理解并不正确。
首先,敏感个人信息的判断主体具有客观性。敏感个人信息的判断主体有二,一是履行个人信息保护职责的部门,根据《个人信息保护法》第62条第2款在所指定的规则标准中对敏感个人信息进行判断和补充列举;二是司法机关与执法机关在个案中根据《个人信息保护法》第28条第1款所确定标准对未被列举的敏感个人信息进行判断。信息主体与信息处理者的主观感受,均与敏感个人信息判断无关。在对敏感个人信息进行概括定义的域外制度中,敏感个人信息的判断主体通常更是特定的。例如,韩国《个人信息保护法》第23条规定,列举项以外的信息应由总统令规定。印度《个人数据保护法案》第5条规定,“将个人数据归类为个人敏感数据”应由“中央政府与保护局和有关部门监管机构协商”确定。
其次,敏感个人信息的判断标准亦具有客观性,反映了社会的客观现实。相关信息一旦泄露或非法利用所可能带来的风险往往与一国特定的历史文化背景有关,这也正是各国敏感个人信息列举范围不一的原因。
敏感信息和非敏感信息是《个人信息保护法》从规范个人信息处理行为的角度进行的一种重要分类,并在该区分的基础上针对信息处理者提出了不同的处理规则上的要求,从而有针对性地提高处理者在处理敏感信息时的法定义务,更加充分保护个人信息权益。由于敏感信息对于维护自然人的人身财产安全与人格尊严极为重要,该等信息一旦泄露或被非法使用,势必会对自然人的人身财产权益造成严重的侵害或损害,故此,法律上对处理此类信息有非常严格的要求。但是,对于非敏感信息的处理,则没有如此严格的要求。
[1]韩旭至:《敏感个人信息的界定及其处理前提——以〈个人信息保护法〉第28条为中心》,载《求是学刊》2022年第5期,第132-145页。
[2]程潇:《个人信息保护法理解与适用》,中国法制出版社2021年版。
编辑:王欣宇 宁波大学法学院2022级法律硕士研究生
审稿人:俞秀芝宁波大学法学院2020级法律硕士研究生