清華大學法學院副院長、教授、博士生導師 程 嘯 來源:人民法院報
不久前公開徵求意見的我國《個人信息保護法草案》(以下簡稱《草案》)將個人信息區分為敏感個人信息與非敏感個人信息,並在《草案》的第二章專節規定了「敏感個人信息的處理規則」。我國民法典人格權編第六章「隱私權和個人信息保護」則將個人信息區分為私密信息與非私密信息,同時,明確規定了個人信息中的私密信息適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定。這樣一來,就產生了怎樣區分敏感信息與私密信息的問題。此外,對於《草案》為何不沿用民法典區分私密信息與非私密信息的做法,這是否意味著《草案》與民法典的規定相矛盾等問題,也存在不同的看法。
一、敏感與非敏感信息、私密與非私密信息的區分各有其規範目的與意義
筆者認為,敏感信息與非敏感信息、私密信息與非私密信息的區分是《草案》與民法典基於不同的規範目的對個人信息所作的兩種不同的分類,二者均有其重要意義,並不矛盾。首先,敏感信息和非敏感信息是《草案》從規範個人信息處理行為的角度進行的一種重要分類,並在該區分的基礎上針對信息處理者提出了不同的處理規則上的要求,從而有針對性地提高處理者在處理敏感信息時的法定義務,更加充分保護自然人的個人信息權益。由於敏感信息對於維護自然人的人身財產安全與人格尊嚴極為重要,該等信息一旦洩露或被非法使用,勢必會對自然人的人身財產權益造成嚴重的侵害或損害,故此,法律上對處理者處理此類信息有非常嚴格的要求。但是,對於非敏感信息的處理而言,則沒有如此嚴格的要求。例如,《草案》第30條規定,基於個人同意處理敏感信息的,處理者應當取得個人的單獨同意;第31條規定,處理敏感信息時,處理者應當向個人告知處理該等信息之必要性以及對個人的影響等。再如,《草案》第54條要求處理者在處理敏感信息時必須事前進行風險評估並對處理情況加以記錄。正是由於敏感信息和非敏感信息是為了確定不同的個人信息處理規則而對個人信息作出的區分,該分類僅適用個人信息保護法所調整的個人信息處理行為,而不適用自然人因個人或者家庭事務而處理個人信息的活動,對此,《草案》第68條第1款也作出了明確的規定。
然而,私密信息和非私密信息則是從民事權益保護的角度即為正確區分隱私權與個人信息權益的保護方法,而由民法典對個人信息進行的分類。依據民法典第一千零三十四條第三款,由於私密信息屬於隱私,對於私密信息的保護首先適用隱私權的規定,隱私權沒有規定的,才適用個人信息保護的規定。也就是說,私密信息和非私密信息的區分的側重點在於民事權益的類型與保護方法的差異,而非如敏感信息與非敏感信息那樣基於對信息處理者處理個人信息的行為規範的不同所做的分類,兩種劃分的規範目的存在明顯的區別。此外,私密信息和非私密信息的區分適用於所有的侵害個人信息的侵權糾紛,即無論網絡企業、國家機關處理個人信息中發生的侵權糾紛,還是自然人之間因個人或家庭事務而出現的侵害個人信息的侵權行為,區分私密信息與非私密信息都是必要的。因為這涉及被告侵害的民事權益究竟是隱私權還是個人信息權益的認定。從民法典第一千零三十三條的規定來看,除了法律另有規定或者權利人明確同意,否則,任何處理他人私密信息的行為都構成對他人隱私權的侵害。但是,非私密信息的處理行為的合法性基礎不僅包括取得信息主體(即個人)及其監護人的同意,還包括法律和行政法規另有規定的情形。民法典第一千零三十六條還專門規定了處理個人信息的三類免責事由。
個人信息保護法並非是民法典的特別法,而是一部對個人信息保護進行全面規範的兼具公法與私法屬性的綜合性法律,故此,在《草案》中有必要從個人信息處理規則的角度對敏感信息和非敏感信息進行界分;相反,在民法典中,從民事權益保護的角度區分私密信息和非私密信息也是非常必要的。這兩種分類方法的規範目的各不相同,均有其重要意義。
二、敏感與非敏感信息、私密與非私密信息的區分在侵權案件裁判中的作用
就人民法院審理侵害隱私權和個人信息權益的侵權案件而言,筆者認為,敏感信息與非敏感信息、私密信息與非私密信息這兩種分類方法的意義體現在侵權責任構成要件的不同層次即侵害行為(即行為非法性)和侵害的民事權益類型。
1.在認定是否存在侵害個人信息的行為即判斷個人信息處理行為非法性的階段,敏感信息與非敏感信息的區分是十分重要的。如前所述,由於信息處理者對敏感信息和非敏感信息的處理規則和法定義務不同,故此,認定針對敏感信息和非敏感信息的處理行為的非法性時,法院所依據的法律規範也不同。當某個信息屬於法律法規規章和國家標準規定的敏感信息時,法院就應當適用個人信息保護法中處理敏感信息的規範來確定處理者的義務,並據此判斷信息處理行為是否非法,反之則不能適用此類專門針對敏感信息的規範。但是,對於私密信息,由於其屬於隱私,受到隱私權的保護,故此只要權利人沒有明確同意並且沒有法律的另外規定,即可認定處理私密信息行為的非法性,即採取所謂的結果不法說。但是,認定非私密信息的非法性,仍然需要適用個人信息保護法所規定的個人信息處理規則。
2.在確定行為非法性之後,需要認定非法的個人信息處理行為即侵害行為所侵害的民事權益的類型究竟是什麼。在該層面上,確認個人信息究竟是私密信息還是非私密信息非常重要。可以說原告所主張的被侵害的信息究竟是私密信息還是非私密信息,直接決定了侵害行為所侵害的究竟是隱私權還是侵害個人信息權益。這種判斷在法院審理的幾乎所有的個人信息侵權糾紛中都會存在。侵害的民事權益不同,侵權責任的構成要件、侵權責任的承擔方式等也有所不同。例如,對於私密信息,適用隱私權保護的規定,權利人有權行使人格權保護請求權,並可以向法院申請人格權行為禁令。但是,對於非私密信息,則不能如此。然而,哪些是私密信息,哪些是非私密信息,不可能如同敏感信息和非敏感信息那樣,由法律法規規章或標準加以確定,必須根據案件的具體情況予以具體認定。就私密信息的認定,有些是沒有爭議的,如個人的健康信息、犯罪記錄、財產狀況、性取向等當然屬於私密信息。至於自然人的姓名、容貌、性別等,則不屬於私密信息。尤其是有些個人信息實際上也被其他的人格權所保護,如姓名、容貌、聲音等可以分別為姓名權、肖像權所保護。但是,對於讀書記錄、網頁瀏覽信息、社交關係、地理位置信息等是否屬於私密信息,在司法實踐中則存在很大的爭議。由於我國民法典上對於私密信息和非私密信息採取不同的保護方法,故此,筆者認為,不能以權利人單方面是否具有「不願為他人知曉」的意願為標準來確定哪些是私密信息,而應當從社會公眾的一般認知和價值權衡的角度出發,逐一認定案涉個人信息是否屬於私密信息。比較重要的考慮因素包括:社會公眾對該信息作為私密信息的認知;該信息對於維護自然人的人身財產權益、人格尊嚴和人格自由的重要程度;該信息對於維護社會正常交往、信息自由的重要程度如何等。
三、敏感信息與私密信息的聯繫與區別
敏感信息與私密信息之間存在交叉的關係。有些個人信息既是私密信息也是敏感個人信息,如醫療健康、性取向;有些個人信息雖然是私密信息,卻並不是敏感個人信息,如個人的嗜好、被他人性騷擾的個人信息;有些信息是敏感個人信息卻未必是私密信息,如種族或民族、宗教信仰、政治主張、面貌特徵等。筆者認為,區分敏感信息與私密信息的核心標準在於:就私密信息而言,需要結合具體情況從該信息自然人的人格尊嚴、人格自由關聯緊密與否,該信息被侵害是否影響私人生活的安寧等角度來加以認定。但是,個人信息的敏感與否,主要是從該信息被非法處理可能產生的危害後果這一客觀的角度來認定的,應遵循更客觀、明確的標準,否則信息處理者將無所適從。也就是說,無論自然人是否願意為他人知曉,都不影響某一信息客觀上是否屬於敏感個人信息。如前所述,敏感信息和非敏感信息的區分使得處理者應遵循的個人信息處理規則和義務的不同,故此,為確保信息處理規則的穩定性與可預期性,法律法規規章和標準應當明確列明各種敏感個人信息。目前,《草案》第29條第2款對敏感個人信息的界定為:「敏感個人信息是一旦洩露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息,包括種族、民族、宗教信仰、個人生物特徵、醫療健康、金融帳戶、個人行蹤等信息。」筆者認為,所謂敏感個人信息主要是指,那些涉及自然人人格尊嚴、人格自由或者其他重大權益的個人信息,這些個人信息倘若被非法處理,將會對所涉自然人的人格尊嚴、人格自由或者其他重大的人身權益、財產權益造成嚴重的威脅或損害。依據這一界定,以下信息應當歸入敏感的個人信息:(1)種族或民族信息;(2)宗教信仰信息;(3)政治主張信息;(4)生物識別信息;(5)基因信息;(6)醫療健康信息;(7)性生活與性取向信息;(6)儲蓄、證券等金融帳戶信息。在未來我國個人信息保護法正式頒布後,相信立法機關和有關部門還會頒布相應的法規規章和國家標準對於敏感信息的範圍和類型予以具體化、明確化。唯其如此,處理者才能有明確的行為規範的預期,以免動輒得咎,妨礙我國網絡信息產業、數字經濟的發展以及損害公共利益。