敏感个人信息的界定及其处理前提——以《个人信息保护法》第28条为中心

韩旭至

通过《个人信息保护法》第28条，我国首次在法律中界定了敏感个人信息的概念，并规定了敏感个人信息的处理前提。该条第1 款为敏感个人信息的定义条款，采取了“概括+列举”模式。在概括的定义中，敏感个人信息指向“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。在列举项中，列举了生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息7项内容，并通过“等”以保持开放性。该条第2款规定了敏感个人信息处理的前提为“具有特定的目的和充分的必要性，并采取严格保护措施”。

以这一条款为中心，可以辨析敏感个人信息保护的基本问题。例如，敏感个人信息的判断主体与判断标准如何确定？敏感个人信息关注的风险具体指向何时发生的何种风险？能否引入场景理论对敏感个人信息的定义进行解释？法条中的列举项是否必然属于敏感个人信息？如何进一步对7 项被列举的信息进行解读？如何引入以及引入何种未被列举的敏感个人信息？如何理解敏感个人信息与私密信息的关系？敏感个人信息的三个处理前提与目的限制、最小必要、安全保护的原则性要求有何差异具体又如何实现？本文旨在通过《个人信息保护法》第28条的教义学分析，对上述问题进行回应，力图展示敏感个人信息的界定及其处理前提的全貌。

一、敏感个人信息的判定标准

长久以来，学界对敏感个人信息的特殊风险存在一定共识，亦多从一旦泄露或非法使用可能导致损害的角度对敏感信息的概念进行描述。然而，应采用何种具体标准或方法判定敏感个人信息，至少又存在四种理论与实践。一是歧视标准，其关注可能导致的不平等或不公平待遇，联合国《计算机处理的个人数据文档规范指南》即采取这一标准。二是对基本权利造成重大风险标准，其关注可能造成基本权利的严重危害，该标准为欧盟《通用数据保护条例》（以下简称GDPR）所认可。三是特定指标的判断方法，典型如欧姆（Paul Ohm）所提出的结合伤害的可能性、伤害概率、特定信任关系、公众关注度判定信息是否敏感。四是场景化的判断方法，认为敏感个人信息的判断还须结合信息处理的具体场景、处理目的进行动态分析。这些判断方法，对域外相关制度都具有较强的解释力，然而难以直接解释《个人信息保护法》中敏感个人信息的概念。从《个人信息保护法》第28条第1款的规定来看，敏感个人信息的判断具有客观性、关注的风险内容具有广泛性、判断前提具有确定性，且须达到“高概率的权益受侵害可能+一般的权益受影响程度”这一标准。

（一）基本特征：判断的客观性与风险内容的广泛性

在判断的客观性上，《个人信息保护法》第28 条第1 款中“容易导致”相关风险的发生，指向的是权益受侵害的客观可能性，而非信息主体的主观感受。《个人信息保护法》通过前，部分学者误以为敏感是主观的概念，伤害的判断也因人而异。有学者甚至以敏感主观性强为由，反对敏感个人信息的概念。这一理解并不正确。首先，敏感个人信息的判断主体具有客观性。敏感个人信息的判断主体有二：一是履行个人信息保护职责的部门，根据《个人信息保护法》第62条第2款在所指定的规则、标准中对敏感个人信息进行判断和补充列举；二是司法机关与执法机关在个案中根据《个人信息保护法》第28条第1款所确定标准对未被列举的敏感个人信息进行判断。信息主体与信息处理者的主观感受，均与敏感个人信息判断无关。在对敏感个人信息进行概括定义的域外制度中，敏感个人信息的判断主体通常更是特定的。例如，韩国《个人信息保护法》第23条规定，列举项以外的信息应由总统令规定。印度《个人数据保护法案》第15条规定，“将个人数据归类为个人敏感数据”应由“中央政府与保护局和有关部门监管机构协商”确定。其次，敏感个人信息的判断标准亦具有客观性，反映了社会的客观现实。相关信息一旦泄露或非法利用所可能带来的风险往往与一国特定的历史文化背景有关，这也正是各国敏感个人信息列举范围不一的原因。

在风险内容的广泛性上，敏感个人信息广泛关注自然人的人格尊严或者人身、财产安全的风险。其不仅关注私法上的权益，还指向公法上的权利。这也是我国敏感个人信息制度与域外制度的显著差异所在。域外制度多聚焦受歧视的风险，尤其是欧盟法中较少关注财产安全，我国的敏感个人信息定义则广泛关注人格尊严以及人身、财产安全。其中，人格尊严既指向宪法人格尊严权，亦指向民法中的一般人格权。《个人信息保护法》第28条第1款将《个人信息保护法（草案二审稿）》中的“个人受到歧视”修订为“人格尊严受到侵害”，使敏感个人信息的定义超越了歧视标准，指向一切对人格尊严的损害。人身、财产安全更涵盖了生命权、身体权、健康权、姓名权、肖像权、名誉权、隐私权、物权、债权等广泛的个人权利以及未被权利化的受保护法益。值得注意的是，个人信息权益本身并不属于《个人信息保护法》第28条第1款中“人格尊严”或者“人身、财产安全”的范畴，敏感个人信息关注的是侵害个人信息权益后造成的其他损害。若将个人信息权益纳入其中，将出现“倒果为因”的逻辑错误。非法的个人信息处理必然造成个人信息权益的损害，由此将消解和破坏敏感个人信息的概念。

（二）判断前提：失控的确定性与场景标准的反思

敏感个人信息的风险判断存在确定的前提，即“一旦泄露或者非法使用”。参照《信息安全技术个人信息安全规范》（GB/T 35273-2020，以下简称“个人信息安全规范”）附录B，泄露“将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控”。非法使用又可分为非法提供与滥用，分别指在个人信息主体同意范围外扩散与超出合理界限的使用。《个人信息保护法》第28 条第1 款并不关注信息是否容易泄露或被非法使用，而指向个人信息被泄露或非法使用后的风险。对风险的判断必须先假设相关信息已被泄露或者非法使用。只是在对敏感个人信息概念进行判断后，《个人信息保护法》第28 条第2 款才进一步要求信息处理者“采取严格保护措施”以防止信息泄露或被非法利用。

将敏感个人信息判断的前提确定为假设信息已被泄露或非法使用，信息是否敏感与信息处理者的处理行为无关，由此便与流行甚广的场景标准存在不可调和的矛盾。场景标准认为，应充分评估信息被处理的背景，将信息处理者的处理目的、处理方式因素引入敏感个人信息的判断之中。有学者提出，《个人信息保护法》第28 条第1 款的敏感个人信息概念受到场景的影响。部分学者主张，“采静态和动态认定方法，兼顾敏感个人信息利用的情景、目的等变量因素”。部分学者虽然意识到场景标准的缺陷，但仍然主张“场景抽离和场景融入双重路径”，根据“信息处理者的认知能力、信息应用能力及信息存在状态是改变信息内容属性的主要场景要素”，判断一般个人信息是否转化为敏感个人信息。上述解读并未回应敏感个人信息判断前提与场景标准的矛盾，场景切不可作为敏感个人信息判断的要素。

反对场景标准的理由有三：第一，场景理论有其域外法背景，与《个人信息保护法》的制度逻辑不符。由于GDPR 只是对特定类型的信息进行了列举，并不存在敏感个人信息的概括定义，其序言条款第51 条建议通过场景对敏感性进行判断并不会产生体系冲突。然而，《个人信息保护法》的制度框架并不适合场景标准的引入。一方面，《个人信息保护法》第28条第1款要求在泄露或者非法使用的前提下判断权益受侵害的风险，具体的信息处理场景已不再相关。另一方面，若处理场景的不安全导致信息敏感，则无法理解《个人信息保护法》第28条第2款所规定的敏感个人信息的处理前提恰恰是安全可控。此外，场景标准还涉嫌混淆敏感个人信息的判定标准与个人信息保护影响评估的关系。根据《个人信息保护法》第55条第1款，个人信息属敏感个人信息是事前进行影响评估的法定情形，而非根据评估结果判断信息是否敏感。第二，部分观点将信息采集对象的拓展错误理解为场景的转变。例如，有学者认为，姓名、电话号码被用于流调与追踪时，对应风险较高，可“升格”为敏感个人信息。对此，实际是这些信息与健康信息结合才导致了相关风险，并非一般信息的升级，而是采集对象的拓展。姓名、电话号码从未转化为敏感个人信息，而是健康信息这种特定的敏感信息采集增加了权益受侵害的可能性。又如，有学者认为地址信息被长期记录并反映了相关活动规律可转化为敏感个人信息。See Paul Ohm,“Sensitive Information”,in,2015,No.5,pp.1125-1196.对此，采集对象亦发生了改变，从单个地理位置信息的采集，拓展为采集反映合理活动规律的行踪轨迹。第三，场景理论被大量误读，成为“具体问题具体分析”的代名词。尼森鲍姆（Helen Nissenbaum）所提出的“情境完整性理论”，旨在解构隐私/个人信息的规范内涵，并从社群规范的角度对隐私/个人信息进行重构。See Helen Nissenbaum,,California: Stanford Law Books,2009,pp.149-150.众多借鉴场景理论对敏感个人信息规范内涵进行解释的学者并未注意到场景的理论背景，亦不涉及社群规范的讨论。试图通过场景解释敏感个人信息范畴的尝试不仅徒劳无功，往往适得其反，使敏感个人信息的范畴始终处于不确定之中。综上所述，敏感个人信息的判断必须以脱离具体信息处理场景之外的“一旦泄露或者非法使用”为前提。

（三）两个维度：受侵害的可能性与受影响的程度

从权益受侵害的可能与权益受影响的程序两个维度，可建立个人信息敏感度的二维坐标体系（见下图1）。一旦泄露或非法利用容易导致权益受到侵害或危害，对应“高概率的权益受侵害可能+一般的权益受影响程度”。敏感个人信息位于与该坐标体系的中上部分与右上部分。

图1 敏感个人信息的二维关系

首先，权益受侵害的可能性是二维体系中的首要维度。《个人信息保护法》第28条第1款将《个人信息保护法（草案二审稿）》中的“可能导致”修订为“容易导致”，属于对可能性程度要求的提升。这一修订具有合理性。在大数据、人工智能等新型信息处理技术普及的情境下，个人信息泄露或非法利用均有可能带来风险。若采取一般的可能性标准，将使敏感个人信息的概念变得极为宽泛。对权益受侵害的可能性进行具体分析，可借鉴《信息安全技术个人信息去标识化指南》（GB/T 37964-2019）第5.5.2条第a款，“参照国家有关法律法规和标准，依据数据映射分析结果，分析个人信息的敏感程度对个人权益可能产生的影响”。“容易”的可能性程度要求信息的属性与可能的损害后果之间具有直接相关性。同时，对可能性的判断必须结合信息处理的合理成本。若违法行为人需要投入巨大成本处理特定的个人信息才能导致损害，显然亦不符合“容易导致”的要求。权益受侵害的可能性并非一成不变，大数据、人工智能等新兴信息处理技术的发展，在提高了数据映射的相关性的同时，降低了信息关联处理的成本与难度，由此改变了权益受侵害的概率，将会使得特定信息成为敏感信息。以生物识别信息为例，1981年欧洲委员会《有关个人数据自动化处理的个人保护协定》第6条、1995年欧盟《数据保护指令》（95/46/EC）第8条均未将其视为特殊类型个人数据，直至2016年GDPR 第9条第1款才将之纳入特殊类型个人数据（即欧盟法中的敏感个人信息）。

其次，权益受影响的程度是二维体系中的次要维度。《个人信息保护法》第28条第1款将《个人信息保护法（草案二审稿）》中的“严重危害”修订为“危害”，降低了对权益受影响程度的要求。这一修订亦具有合理性。敏感个人信息关注损害的可能性而非确定性的损害后果，若对损害结果的严重性作出要求，将“导致敏感个人信息沦为事后概念，瓦解处理规则的防御规制意义”。然而，不要求危害结果达到严重的程度，并不意味着无须对权益受影响的程度进行评判。参照《信息安全技术个人信息安全影响评估指南》(GB/T 39335-2020）的规定，可从“影响个人自主决定权”“引发差别性待遇”“个人名誉受损和遭受精神压力”“个人财产受损”四个维度，对个人信息主体的权益进行影响程度评价。权益受影响必须构成一般的危害。若仅仅是打扰或造成不便等轻微影响，则不属于敏感个人信息保护所关注的一般风险，任何个人信息泄露都容易导致轻微的不便。

此外，权益受影响的程度还可以在敏感个人信息区分保护上发挥作用。从图1 可见，虽然中上部分与右上部分的两类信息均属于敏感个人信息，但显然右上部分的信息需要更为严格的保护。这种分级保护并不对敏感个人信息的概念本身产生影响。事实上，《个人信息保护法》除了第31 条关于未满十四周岁未成年个人信息保护的特别规定外，亦未对敏感个人信息的保护程度进行类型区分。根据《个人信息保护法》第32条，敏感个人信息的区分保护，可在法律、行政法规的其他限制中实现。

二、敏感个人信息列举项的规范内涵

《个人信息保护法》第28条第1款关于敏感个人信息的列举有三个显著特点。第一，该款并非限定式对敏感个人信息进行列举，没有将敏感个人信息的范围限定在列举项之中，而是在概括的定义后进行的，并以“等”表示列举的不完全。第二，列举项并不仅仅指向受歧视的风险，广泛关注了人身、财产的安全，例如金融账户即典型指向了财产安全风险。第三，列举项种类多样且分类标准不一，生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹均为从信息内容出发的分类；为实现未成年人特别保护，又对不满十四周岁未成年人的个人信息采取了主体标准。

在属性上，敏感个人信息的列举项与《网络安全法》第76 条第5 项、《民法典》第1034 条第2 款关于个人信息的列举项不同。个人信息列举项还需要重新放回个人信息定义判断，例如张三作为姓名单独来看不一定具有可识别性。与之相比，敏感个人信息的列举项是在个人信息概念之上，对高敏感的个人信息进行列举，不需要再讨论识别性问题，例如生物识别本身就强调识别性。就敏感度而言，《个人信息保护法》第28 条第1 款的列举项亦无须重新回到该款关于敏感个人信息的概括定义中进行衡量。该款的列举项就是典型的敏感个人信息，不存在脱离一定场景而不是敏感个人信息的可能。前文已述，敏感个人信息关注的就是信息一旦泄露或非法利用带来的不利后果，即便在特定应用场景之中相关信息风险较小，泄露或非法利用都将使得信息脱离原处理场景，因此敏感个人信息类型可实现特定化。在敏感个人信息的列举项中，立法者已经对这些信息的权益受侵害的可能性与权益受影响的程度进行了判断。从域外相关制度来看，欧美以及我国澳门特别行政区、我国台湾地区的相关立法对于敏感个人信息的范围采取了限定式列举的规定，既没有规定以“等”作为兜底，亦没有对敏感个人信息的特征作概括式的描述，被列举的信息就是敏感个人信息。《个人信息保护法》第28 条第1 款与日本、韩国、印度等国的相关立法类似，采取了“概括+列举”模式。这一模式并不否定列举项敏感个人信息的地位，而是应以概括定义判断未被列举的其他信息。在此认识的基础上，可对《个人信息保护法》第28条第1款中列举项的内涵进行具体分析。

（一）生物识别

《民法典》第1034条第2款、《网络安全法》第76条第5项在关于个人信息定义的列举项中均规定了生物识别信息。“个人信息安全规范”附录B指出，个人生物识别信息包括“个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等”。《信息技术安全技术生物特征识别信息的保护要求（征求意见稿）》第4.1条进一步将生物识别信息分为生理特征与行为特征。从整体而言，生物识别信息具有唯一性、程序识别性、可复制性、损害的不可逆性及信息的关联性等特征。在域外法中，尤其关注生物信息的程序识别性特征。根据GDPR 第4 条第14 款，生物数据即对自然人身体、生理或行为进行一定的技术处理所得的能识别特定自然人的数据。欧盟第29条工作组亦曾将生物数据界定为：“生物特性、行为方面、生理特征、生活特征或可重复的行为，这些特征和/或行为对该个体来说是独特且可测量的，即使在实践中用技术测量它们的模式有一定程度的概率。”

生物识别信息被称为“上帝赋予的身份证”。正是由于这些信息难以被改变，其滥用或泄露将产生永久性的后果。近年来，生物信息滥用的风险不断涌现。以人脸识别为例，小区、公园、学校甚至公厕都引入了人脸识别系统，无感人脸识别应用又进一步使得生物信息被无限度地采集。杭州市中级人民法院在“郭某诉杭州野生动物园案”判决书中指出，人脸信息“呈现出敏感度高，采集方式多样、隐蔽和灵活的特性，不当使用将给公民的人身、财产带来不可预测的风险，应当作出更加严格的规制和保护”。2021 年浙江省多家房企因随便使用人脸识别系统识别客户而遭到市场监管部门的处罚。《个人信息保护法》立法审议时，有部分委员亦明确提出应重视人脸识别的风险。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》亦是从生物识别信息保护的角度，对人脸识别进行了规定。然而，人脸信息与肖像应存在区别。肖像一般不具有程序识别性特征，不是生物识别信息。美国伊利诺伊州通过《生物识别信息隐私法》（BIPA）第10 条即指出，平面的照片无法全面反映脸部特征，唯有面部几何形状的扫描才能构成生物识别信息。在人格权归属上，肖像权与个人信息保护亦大不相同，肖像权重在维护个人对其形象的控制，而不针对信息处理行为展开。

（二）宗教信仰

宗教信仰信息是“个人是否信奉宗教、信奉何种宗教以及信奉某一宗教中何种教派的信息”。《宪法》第36 条第1 款规定：“中华人民共和国公民有宗教信仰自由。”宗教信仰自由是一种基本权利，是政治自由的组成部分。因为宗教信仰不同，导致流血冲突甚至战争，在世界历史上并不少见。宗教信仰信息的泄漏或非法利用，可能使得自然人受到歧视甚至仇视。在域外关于敏感个人信息的立法中，大多亦将宗教信仰列入其中。1981 年欧洲委员会《有关个人数据自动化处理的个人保护协定》第6 条是世界上最早关于敏感个人信息的规定，其中对宗教信仰进行了列举。此后，联合国《计算机处理的个人数据文档规范指南》第5条、GDPR第9条第1款等制度亦将宗教信仰规定为敏感个人信息。

值得注意的是，在我国法律、行政法规中，宗教信仰始终是一个具有特定内涵的术语，仅指向合法的宗教类的信仰。宗教信仰无法包含信仰非法教派的信息。根据《宗教事务管理条例》第7条，宗教团体必须依法办理登记、章程应符合国家社会团体管理的有关规定，并依照章程开展活动。邪教以及不符合法定要求的新兴宗教，自然不包括在正常宗教的含义之中。对此，《宪法》第36 条第3 款、《国家安全法》第27 条均对正常的宗教活动与利用宗教名义进行违法犯罪活动进行了区分。参与此类非法组织的活动，甚至可能构成违法犯罪。此外，宗教信仰作为一个固定的术语不能也无法拆分为宗教信息与信仰信息。与之相对，在规范性文件、党内法规中，还存在政治信仰、文化信仰、哲学信仰等概念，这些信仰均无法归入宗教信仰的范畴。基于其他信仰所形成的身份认同，则属于特定身份信息的范畴。

（三）特定身份

特定身份信息具有一定的包容性，特定化地指向敏感度高的身份信息，例如种族或民族、身份识别号码。就种族、民族信息而言，虽然《个人信息保护法》第28 条第1 款删去了《个人信息保护法（草案二审稿）》中的相关列举，但可将之归入特定身份进行保护。《宪法》第4条第1款规定了民族平等原则。实践中，采集民族信息较为常见，通常是为了落实少数民族优惠政策，但无限制地采集亦将带来风险。比较法中，绝大多数国家将种族、民族信息规定为敏感个人信息。就身份识别号码而言，《网络安全法》第76 条第5 款、《民法典》第1034 条第2 款在个人信息的定义中都对身份证号码进行了列举。《身份证法》第3条规定，公民身份号码是每个公民唯一的、终身不变的身份代码。在18位的身份证号码中，前6位的地址码包含出生地信息，中间8 位为出生日期信息、第17 位指向性别信息。身份识别号码不仅包括身份证号码，还包括护照号码、通行证号码、驾驶证编号等一切具有身份识别性的统一编号。身份识别号码通常在特殊信任关系中被处理，如金融服务合同关系、行政关系中对身份证的使用，一旦泄露将给个人带来“身份盗窃”的风险。通过身份识别号码不法之徒可窃取银行资金、以受害者身份借款、利用受害者身份进行违法犯罪活动等。对此，GDPR 第87 条指出，身份识别号码应“在数据主体的权利与自由得到适当的安全保障”的前提下被处理。

此外，特定身份信息不仅指向客观形成的信息，还包括信息主体主观的特定身份认同。例如，性取向本身即具有高度的敏感性。个人容易因性少数的身份泄露而受到歧视，相关信息的非法利用也极易对亲密关系造成破坏。又如，前述基于政治信仰、文化信仰、哲学信仰所形成的身份认同亦属于特定身份。这些身份认同虽是主观的，但均与个人基本权利息息相关。在域外相关制度中，通常亦将这些信息明确规定为敏感个人信息。GDPR第9条第1款对敏感个人信息的列举即明确包含了性取向、政治观念、哲学信仰。然而，特定身份信息不等于身份信息，不可将其泛化为“涵盖自然人基于生物层面或社会层面而产生的相应身份识别信息”。一般的职业身份、性别身份并不具有高度敏感性，若将所有身份信息纳入特定身份，将使敏感个人信息范围失之过宽。

（四）医疗健康

根据《信息安全技术健康医疗数据安全指南》（GB/T 39725-2020）第3.1条的规定，医疗健康信息包括个人过去、在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健服务费用等信息。具体而言，医疗健康信息又可分为医疗信息与健康信息。首先，就医疗信息而言，病历资料是最典型的医疗信息。根据《民法典》第1225条、《最高人民法院关于审理医疗损害责任纠纷案件适用法律若干问题的解释》（法释〔2017〕20号）第6条，病历资料范围包括“门诊病历、住院志、体温单、医嘱单、检验报告、医学影像检查资料、特殊检查（治疗）同意书、手术同意书、手术及麻醉记录、病理资料、护理记录、出院记录以及国务院卫生行政主管部门规定的其他病历资料”。此外，《民法典》第1226条亦规定了医疗机构及其医务人员对患者个人信息的保密义务。其次，就健康信息而言，其范围较为广泛。参照GDPR鉴于条款第35条，健康信息应包括与信息主体健康状况有关的所有信息。

两千多年前《希波克拉底誓言》（Hippocratic Oath）就表示，医生绝不可泄露与治疗相关的信息。医疗健康信息一旦泄露将对信息主体的生活、工作、就业、家庭等各个方面产生不可估量的影响。在“虞某梅与顾某婷名誉权纠纷案”中，被告泄露原告的疾病信息便直接导致了原告被单位解雇。疫情期间，感染者或密切接触者信息泄露事件时有发生，亦使得相关人员遭遇严重的网络暴力和社会歧视。由此可见，医疗健康信息具有高度的敏感性。

（五）金融账户

根据《个人金融信息保护技术规范》（JR/T 0171—2020）第4.1条第a款，金融账户信息“包括但不限于支付账号、银行卡磁道数据（或芯片等有效信息）、银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。”与GDPR 的相关规定不同，明确将金融账户信息列为敏感个人信息体现了《个人信息保护法》并不仅仅关注人格尊严的保护，而且回应了市场经济中多种权益受侵害的风险。金融账户一旦泄露或非法使用，很容易让人遭受人身或财产的危害，如可能遭遇电信诈骗、账户资金被盗，甚至被绑架或杀害，具有高度的敏感性。

值得注意的是，金融账户不能等同于个人金融信息。个人金融信息指向的是在金融这一特定的业务场景中处理的所有个人信息，而金融账户则指向个人账户的具体信息内容。个人金融信息范围远大于金融账户。例如，金融机构在特定业务场景中处理的个人动产/不动产信息、交易合同信息均与个人账户无关。金融账户必须是与个人账户直接相关的信息。除了金融账户外，个人金融信息至少还包括鉴别信息、个人身份信息、财产信息、借贷信息等。《个人金融信息保护技术规范》本身亦未将全部金融信息规定为敏感信息，而是通过第3.2 条专门对支付敏感信息进行了规定。此外，该规定第4.2 条进一步将个人金融信息按敏感度高低分为3个类别，只有账户及其鉴权信息属于敏感度最高的信息。

（六）行踪轨迹

行踪轨迹信息与《民法典》第1034 条所列举的行踪信息含义相同，是自然人的静态停居信息与动态形态路线的结合。在“胡某等非法获取公民个人信息案”中，法院即明确指出，行踪轨迹涉及住址、单位地址、常去场所，透露公民的生物习惯与个人特征，与公民生活安全息息相关。域外法中，行踪轨迹的重要性也得到认可。2012 年美国联邦最高法院在“琼斯案”中判决，警察安装GPS 的行为属于违反“第四修正案”的非法侵入。随后，在2018年“卡朋特案”中，美国联邦最高法院指出，手机定位监控信息能详尽、全面、便捷地获取自然人过去及以后一段时间的行踪，受到宪法保护。

行踪轨迹的内涵不得随意扩张。一是，位置信息与行踪轨迹存在差异。与静态的位置信息相比，行踪信息更为强调动态的过程，表明了信息主体在何时何地逗留多久，能间接地揭示了其爱好、习惯等信息。以APP获取用户位置信息为例，若仅在使用时获取相关信息，则属于位置信息，不构成敏感个人信息处理；若一段时间内持续性地获取用户位置信息，则相关信息的结合构成行踪轨迹，属于敏感个人信息处理。二是，视频监控应适用《个人信息保护法》第26条，不宜判断为行踪轨迹。在关于智能门铃的多起案件中，法院一般将相关系统记录的邻居出行规律、人员流动信息判定为信息主体不愿为他人知悉的个人信息。这些信息难以全面反映特定个人一段时间的行踪。

（七）不满十四周岁未成年人的个人信息

将不满十四周岁未成年人的个人信息规定为敏感个人信息的目的在于充分保护未成年人。未成年人特别保护是《宪法》第49条所规定的。《个人信息保护法》采取14周岁的标准，与《未成年人保护法》第72条保持了高度一致。根据此年龄标准，《个人信息保护法》第31条、《未成年人保护条例（征求意见稿）》第35 条又进一步对儿童个人信息处理进行了规定。与我国类似，美国《儿童在线隐私保护法》（COPPA）亦规定了采集十三周岁以下儿童个人信息的特殊规则。

然而，由于此项敏感个人信息以主体年龄作为分类标准，与其他六项以信息内容的分类标准存在显著差异，引起了一定争议。有学者认为，十四周岁未成年人的个人信息内部存在差异。即区分一般个人信息与儿童的敏感个人信息，如未满十四周岁未成年人的生物识别信息属于儿童敏感信息。也有学者认为，前三个列举项指向一旦泄露或非法使用容易导致自然人的人格尊严受到侵害的风险，后三项则指向人身、财产安全受到危害的风险，儿童个人信息属于单独的一个类别。这些理解并不正确。一方面，立法者在《个人信息保护法（草案二审稿）》的基础上明确将本项加入敏感个人信息列举项，已经表明不满十四周岁未成年人的一切个人信息均为敏感个人信息，不需要再对信息内容进行判断。另一方面，不满十四周岁未成年人的个人信息作为整体，亦符合敏感个人信息的概括定义，既指向人格尊严受到侵害的风险，也指向人身、财产安全受到危害的风险。正因如此，“个人信息安全规范”第3.2条、《深圳经济特区数据条例》第20条均规定不满十四周岁未成年人的个人信息是敏感个人信息。

（八）“等”的解释

《个人信息保护法》第28 条第1 款关于敏感个人信息的列举是不完全列举，其中的“等”属等外等，使得敏感个人信息的范围具有了开放性。个人信息类型本身即随着社会发展而变化，立法显然无法逐一对所有敏感个人信息进行列举。根据《个人信息保护法》第62条第2款，在未来国家网信部门统筹协调有关部门制定的相关规则、标准中，亦可进一步拓展敏感个人信息的具体类型。值得注意的是，除了《个人信息保护法》第28 条第1 款所列举的7 类敏感个人信息外，《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012）第3.7条、“个人信息安全规范”第3.2条尝试规定了多项“个人敏感信息”类型，包括手机号码、通信记录和内容、征信信息、住宿信息、财产信息、交易信息、婚史、未公开的违法犯罪记录、通讯录、好友列表、群组列表、网页浏览记录等。然而，由于《个人信息保护法》第28条第1款对敏感个人信息概念进行的重新界定，不可直接将上述信息一律视为敏感个人信息。对未被所列举的敏感个人信息，必须回到敏感个人信息的概括定义之中进行判断。

结合敏感个人信息“高概率的权益受侵害可能+一般的权益受影响程度”的判定标准，“等”的范围至少应包括性生活信息、犯罪记录。一方面，性生活信息也是个人的“阴私”信息，其泄漏或非法利用将极为容易导致对个人的人格尊严受到侵害。在绝大多数对敏感个人信息进行了规定的国家和地区中，均将性生活信息明确列为敏感个人信息。在我国自古以来的性羞耻文化背景下，这一信息的敏感性更强。另一方面，犯罪记录又被称为犯罪前科。犯罪记录泄露将会使个人永远伴随着羞辱、污点以及来自社区的负面评价，即便是服刑后也将严重影响其回归社会。当前，我国已建立未成年人犯罪记录封存制度。成年人犯罪记录，同样对应着较高的权益受侵害的可能性，亦应作为敏感个人信息受保护。

三、敏感个人信息与私密信息的关系辨析

结合《民法典》第1034条第3款，个人信息可以分为一般个人信息、个人信息中的私密信息、敏感个人信息。如图2 所示，敏感个人信息与私密信息虽存在差异，但亦有交叉。基于二者关系，可分为四类信息：（1）不属于私密信息的敏感个人信息。例如未满十四周岁未成年人的个人信息、特定身份等信息不一定具有私密性，却是法定的敏感个人信息。又如人脸信息，天然具有公开性的特征，亦为不属于私密信息的敏感个人信息。（2）不属于敏感个人信息的私密信息。例如，信息主体不愿为他人所知悉的休假旅行信息。（3）既属于敏感个人信息又属于私密信息。当私密信息达到敏感个人信息的风险基准，或信息主体不愿他人知悉特定敏感个人信息时，二者发生交叉。典型如医疗健康、金融账户、性生活及性取向信息。（4）其他私密信息。部分私密信息因不具可识别性，不属于个人信息。例如，无法识别到特定个人的身体图像，可以成为隐私保护的对象但无法构成个人信息。对于这部分私密信息，其与敏感个人信息的差异较为显著，突出表现为隐私权与个人信息保护的制度差异，在此不作讨论。为了更清晰地展开分析，下文所论述的私密信息特指个人信息中的私密信息。

图2 敏感个人信息与私密信息

整体而言，敏感个人信息与私密信息之间存在以下差异：第一，规范目的不同。前文已述，《个人信息保护法》第28条的规范目的在于明确敏感个人信息的基本范畴与处理前提，调整敏感个人信息处理行为，进一步协调信息保护与利用之间的关系；而《民法典》第1034 条第3 款关于私密信息的规定则在于衔接与隐私权的规范。第二，判定标准不同。前文已述，敏感个人信息指向信息的敏感度，强调的是对信息主体造成不良影响的可能性，具有客观的判断标准，其范围受到较为严格的限定。根据《民法典》第1032 条第2 款，私密信息采取信息主体“不愿为他人知晓的”的主观标准，且与私密活动紧密相连，其范围广泛且概念模糊。第三，侵害方式不同。敏感个人信息仅针对信息处理行为，根据《个人信息保护法》第28条第1款，侵害方式为“泄露或者非法使用”。私密信息针对保密而言，《民法典》第1032条第1款指出，侵害方式指向“刺探、侵扰、泄露、公开等方式”。第四，规制方式不同。敏感个人信息采取事前风险预防的规制理念，强调事前进行个人信息保护影响评估，存在严格的处理前提，可适用多种合法性基础，有特殊的告知同意机制。与之相对，私密信息以事后追责作为规制方式，根据《民法典》第1033条私密信息处理的合法性基础仅限于个人明确同意与法律另有规定。

当敏感个人信息与私密信息发生交叉时，相关信息具有了双重属性。此时，对于法律规范的适用存在不同观点。有学者主张，在对个人信息处理行为的合法性进行判断时，适用敏感个人信息规范；在确定法益侵害类型时，进一步适用私密信息规范。亦有学者主张，私密信息本身即应优先适用隐私权规范，在没有规定的情况下，可以适用个人信息的相关规定。上述两种主张均不妥当。第一，两种规范均可有效作用于违法性与法益侵害类型的判断。实际上，承认交叉存在本身已对法益侵害类型进行了判断，在此基础上选择适用个人信息保护规范或隐私权规范，方可进一步判断信息处理行为的违法性。第二，虽然《民法典》第1034条第3款规定，“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”。然而，敏感个人信息与私密信息的交叉部分属于《民法典》没有规定的内容。在《民法典》中，隐私以权利的形式进行规范，保护强度高于个人信息。此时优先适用隐私权规定，能更有效地保护私密信息。然而，在《个人信息保护法》中，适用敏感个人信息的保护规范也可能更为有效地保护交叉部分的私密信息。例如，《个人信息保护法》第29条、第30条分别对敏感个人信息的特殊告知事项以及单独同意/书面同意进行了专门规定，强于《民法典》第1033 条中明确同意的要求。同时，即便信息处理者取得了有效的单独同意，处理行为也可能因为不符合其他法定要求而违法。在责任构成上，根据《个人信息保护法》第69条，选择个人信息保护规范更可适用过错推定的归责方式。若必须优先适用隐私侵权的一般规定，将起到降低敏感个人信息保护的实际效果，与法律的规范目的不符。

总的来说，交叉部分的个人信息受到侵害时，侵害了双重法益，既侵害了隐私权也侵害了个人信息权益，由此存在请求权竞合。应允许信息主体在充分考虑隐私权与敏感个人信息保护的差异后，选择最优的策略提起诉讼。

四、敏感个人信息保护的根本路径：限定处理前提

《个人信息保护法》第28条第2款统一规定了敏感个人信息处理的前提，作为个人信息保护的根本路径。根据该条款，具有特定的目的、充分的必要性、采取严格保护措施三者为并列关系，只有当三个条件同时达成时，方可处理敏感个人信息。敏感个人信息处理的前提条件是在个人信息处理合法性基础之上的特殊条件，符合某一项合法性基础不等于可直接处理敏感个人信息。即便获得信息主体单独同意或书面同意，若不符合三个前提条件的任一项要求，亦属违法处理敏感个人信息。三个前提条件是对目的限制原则、最小必要原则、安全保护原则的具体化与强化，是《个人信息保护法》对敏感个人信息处理的特殊限制。

（一）特定的目的

特定目的，是目的限制原则的具体化。根据《个人信息保护法》第6 条，目的限制不仅要求目的的明确、合理，更要求处理目的与个人信息处理之间具有直接相关性。域外法中，1980 年经合组织《隐私保护与个人数据跨境流通指南》第9 条最早对“目的特定化原则”进行了规定。参考这一规定，目的限制又可具体分为收集阶段的目的明确，以及使用阶段的使用限制在实现目的的必要范围。

具体而言，特定的目的要求敏感个人信息处理必须基于法律明确规定或合同明确约定，限于实现商品或服务的特定功能。例如，金融服务提供者为股票交易处理金融账户信息；国家机关为疫情防控处理特定类型的医疗健康信息；游戏厂商为实现“游戏防沉迷”功能以履行未成年人保护义务，处理不满十四周岁儿童的身份信息；相关信息处理必须限于这一特定化的目的，不得用于其他目的。信息处理者更不可概括性地以“为提供更好的服务”为由处理个人信息。这一要求贯彻敏感个人信息处理的始终，特定目的变更，应重新审查信息处理的合法性基础。是否符合特定目的，需综合处理敏感个人信息的类型、具体的业务场景及提供的服务、信息处理者的法定义务、约定目的、信息主体与信息处理者的关系、处理个人信息的风险、适当保护措施等因素，“结合实践经验和一般理性人的标准综合判断”。此外，特定目的的要求亦体现在《个人信息保护法》第29 至第30 条所规定的敏感个人信息处理的告知同意之中，一是在告知事项中需明确告知数据处理的目的；二是单独同意或书面同意必须针对特定目的作出，每一个处理目的都需获得信息主体同意。

《个人信息保护法》通过前，部分法院并未重视敏感个人信息处理中的特定目的。在“刘某诉工商银行侵权纠纷案中”，刘某在银行办理信用卡时签署相关合同约定，银行有权“发送与信用卡有关的信息”，随后刘某收到银行发送的广告信息。一审法院认为，应对信息处理目的进行限缩解释，排除“发送商业性短信”等非合理信息利用目的。二审法院改判认为，发送相关广告有合同依据。在《个人信息保护法》第28条第2款的视角下，案涉合同并没有对金融账户信息处理目的进行特定化，该类敏感个人信息处理行为应属违法。必须明确金融账户信息的处理目的是实现合作具体的业务功能，例如身份确认、余额变动、消费提醒等。

（二）充分的必要性

充分的必要性是最小必要原则的体现与强化，与特定的目的紧密关联。我国个人信息保护制度始终坚持“合法、正当、必要”原则，《个人信息保护法》第6 条亦指出，信息处理的目的不仅需要符合明确性、合理性、相关性的要求，还应“采取对个人权益影响最小的方式”“收集个人信息，应当限于实现处理目的的最小范围”。《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等规定均对个人信息处理的必要性作出了具体要求。一般认为，最小必要原则对于个人信息处理至少有类型最少、数量最少、期限最短，以及充足、相关、不过量的要求。

最小必要原则的核心功能在于防止无限制的个人信息处理，由于敏感个人信息处理对应着较高的风险，相关信息处理“应当保持最大的克制”，处理的必要性必须达到充分的程度。简单来说，充分的必要性，即若不处理敏感个人信息亦能实现特定的处理目的，则不可对敏感个人信息进行处理；若特定的处理目的已经实现，则应及时删除敏感个人信息。与一般个人信息处理的最小必要不同，敏感个人信息处理的充分必要性不可克减。最小必要原则适用范围限于利益减损型的个人信息处理行为，若信息处理目的在于增进信息主体的利益，则难以适用；而敏感个人信息处理活动风险较高，始终适用最小必要的限制。此外，部分规范性文件、国家标准中亦对敏感个人信息处理的必要性进行了规定。例如，《汽车数据安全管理若干规定（试行）》第9 条第2 款指出：“汽车数据处理者具有增强行车安全的目的和充分的必要性，方可收集指纹、声纹、人脸、心率等生物识别特征信息。”《App收集使用个人信息最小必要评估规范：人脸信息》（T/TAF 077.7-2020）第6.1 条、6.2 条、6.3 条分别规定，“收集人脸信息应遵循‘最小必要’原则”“应只存储满足人脸信息主体授权同意的目的所需的最少人脸信息”“应仅对业务所需的最小人脸信息进行传输”。

具体而言，应通过比例原则对充分的必要性进行检验。比例原则包括适当性原则、必要性原则与均衡原则。基于适当性原则，在“目的-手段”的关系中，敏感个人信息处理必须是实现特定处理目的的正确手段。基于必要性原则，信息处理者必须充分考虑其他风险较小的替代措施，若有可能通过其他方式合理地实现相同或类似结果，那么敏感个人信息的处理就是不合比例的。基于均衡原则，敏感个人信息处理所实现的利益应优于信息处理对公民权利的减损。仅凭实现正当商业利益、维护社会公共利益、保护信息主体与他人合法权益，均不足以证成充分的必要性。在比例原则的利益衡量中，应根据《个人信息保护法》第55 条第1 项进行个人信息保护影响评估，平衡信息处理者的利益、个人的权利和社会的公共利益。域外法中，亦认可通过比例原则对必要性进行检验。2019 年“瑞典GDPR 处罚第一案”中，瑞典数据保护局指出，学校采用人脸识别进行考勤不符合比例原则，而应采取对学生个人信息权益侵害更小的其他方式实现考勤目的。

实践中，敏感个人信息处理不符合充分必要性的表现多种多样。例如，对宗教信仰信息的采集，在绝大多数情形中均毫无必要，只有宗教组织、政治组织才有必要处理此类敏感个人信息。新冠肺炎疫情防控期间，各地监控码采集的个人信息范围不一，亦表明某些地区的健康信息采集不符合充分的必要性要求。此外，医疗机构收集患者健康信息，脱离分析病情的特定目的，提供给保险机构用以评估投保资格、测算保险费率；教育培训机构收集未成年人的学校、民族、家庭住址、父母工作单位信息等信息处理行为均不具有必要性，亦属于违法处理敏感个人信息。

（三）采取严格保护措施

由于敏感个人信息处理中权益受侵害的风险较高，为实现充分保护效果，必须采取严格保护措施。本质上，严格保障措施属于敏感个人信息处理中的“必要措施”，是《个人信息保护法》第9条的具体化，强调敏感个人信息处理中对保护措施的要求更加严格。GDPR中也存在适当保障措施与保障措施的两个概念，一般认为二者难以明确区分，处理者应根据个人信息保护的基本原则，结合处理目的和数据的敏感性而采取相关保护措施。See Christopher Kuner,Lee A.Bygrave,Christopher Docksey,,Oxford University Press,2020,p.382.对于《个人信息保护法》第28条第2款的严格保障措施亦是如此。与敏感信息定义所关注的泄露或非法使用后造成的影响不同，严格保护措施采取事前预防的视角，防范的是敏感信息被泄露或非法使用，必须根据具体应用场景予以判断。《个人信息保护法》第51 条即规定6项保护措施前指出，“应当根据个人信息的处理目的、处理方式、种类以及对个人权益的影响、可能存在的安全风险等”，采取相关保护措施。与我国类似，德国《联邦数据保护法》（BDSG）第22条第2款规定，特殊类型个人数据处理的保护措施应“考虑到技术水平、实施成本和处理的性质、范围、背景和目的，以及处理对自然人的权利和自由所造成的不同可能性和严重性的风险”。此外，根据《个人信息保护法》第55条第1项与第56条第1款第3项，信息处理者应当在处理敏感个人信息之前进行个人信息保护影响评估，在评估中判断保护措施是否合法、有效并与风险程度相适应。

具体而言，借鉴我国台湾地区“个人资料保护法施行细则”与美国《健康保险流通与责任法案》（HIPAA）的相关规定，可以将保障措施分为物理措施、技术措施、组织措施三类，以进一步对严格保护措施进行解读。第一，物理措施主要包括，境内存储、分开存储等物理隔绝措施，以及针对存储介质安全性能的安全措施。例如，“个人信息安全规范”第5.6条第b项即指出，应将生物识别信息的原始信息和摘要分开存储，或仅收集、存储、使用摘要信息。第二，就技术措施而言，《个人信息保护法》第51 条第3项所述的加密、去标识化是最为典型的技术措施。《个人金融信息保护技术规范》第6.1条更是分别对弹窗机制、交互界面设计、屏蔽措施、安全通道、身份鉴别和认证技术、数据加密、密码算法配置、密钥管理、去标识化、匿名化等多种技术措施进行了规定。第三，组织措施指向《个人信息保护法》第51 条所列举的管理制度、操作规程、教育培训、应急预案等内容。《电信和互联网用户个人信息保护规定》第13 条、“个人信息安全规范”第11.6 条、《个人金融信息保护技术规范》第6.1.1 条第a 项等规定均针对敏感个人信息处理的组织措施进行了规定。归根结底，在具体的应用场景中，应充分结合物理措施、技术措施、组织措施，以符合严格保护措施的要求。

结语

敏感个人信息保护必将成为个人信息保护执法与司法的重点难点。20世纪欧洲的历史表明，滥用敏感个人信息可能带来侵害人权的严重后果，甚至催生了种族屠杀的恶果。我国敏感个人信息制度更是超越了西方国家的歧视标准或基本权利造成重大风险标准，广泛关注自然人的人格尊严以及人身、财产安全，维护人民群众基本福祉。《个人信息保护法》第28条是我国个人信息保护法律制度的逻辑起点。围绕这一条款，本文以法教义学的分析视角对敏感个人信息的判定标准、敏感个人信息与私密信息的关系、敏感个人信息的处理逻辑等基本问题进行了回应，通过对敏感个人信息保护制度的解释与完善，最终服务于个人信息保护水平的全面提升。