摘要(Abstract):
个人敏感信息在我国规范性文件中已有体现,但规定间存在一定冲突。公众对不同信息敏感度存在差异,通知同意规则也已引发诸多质疑,我国未来个人信息保护法有必要对个人信息进行类型化区分,以实现信息保护与信息利用的更好平衡。敏感信息界定方法,宜在现行定义加列举的基础上,增加信息处理的情境和目的为考量因素。具体种类方面,应结合对泄露该信息是否会导致重大伤害、给信息主体带来伤害的几率、社会大多数人对某类信息的敏感度三个因素的综合考量,立足于中国国情,回应技术的发展,将健康信息、性生活和性取向、身份证件号码、金融信息、政治意见、通讯信息、基因信息、生物特征信息和精确地理位置列为个人敏感信息。
关键词(KeyWords): 个人敏感信息;个人信息安全规范;个人信息保护
Abstract:
Keywords:
基金项目(Foundation): 国家社科基金项目“大数据时代金融隐私权保护法律问题研究”(项目批准号:15BFX113)的阶段性成果
作者(Author): 胡文涛;
Email:
参考文献(References):
- (1)参见中国互联网协会、12321网络不良与垃圾信息举报受理中心:《〈2016中国网民权益保护调查报告〉(摘要)》,载网经社网:http://b2b.toocle.com/detail--6418179.html,最后访问时间:2018年8月23日。
- (2)参见朱琳:《个人信息“裸奔”,谁的眼泪在飞》,载《法制日报》2017年11月14日第11版。
- (3)参见张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,载《中国法学》2015年第3期。
- (4)参见鞠晔、王平:《云计算背景下欧盟消费者个人敏感数据的法律保护》,载《法学杂志》2014年第8期;曹杰、王晶:《跨境数据流动规则分析---以欧美隐私盾协议为视角》,载《国际经贸探索》2017年第1期;刘德良则主张根据与人格利益有无直接关系而区分个人信息并给予不同的法律保护,参见刘德良:《个人信息保护与中国立法的选择》,载陈海帆、赵国强主编:《个人资料的法律保护:放眼中国内地、香港、澳门及台湾》,社会科学文献出版社2014年版,第44-45页。
- (5)周汉华:《个人信息保护法及立法研究报告》,法律出版社2006年版,第79-80页。
- (6)张鹏:《论敏感个人信息在个人征信中的运用》,载《苏州大学学报》2012年第3期。
- (7)主要法学论著有,汪全胜、方利平:《个人敏感信息的法律规制探析》,载《现代情报》2010年第5期;汤敏:《论同意在个人信息处理中的作用---基于个人敏感信息和个人一般信息的二维视角》,载《天府论坛》2018年第2期;前引(4),鞠晔、王平文;前引(5),周汉华书,第75-80页等。
- (8)《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
- (9)《电信和互联网用户个人信息保护规定》第4条规定:“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”
- (10)《征信业管理条例》第13条规定:“采集个人信息应当经信息主体本人同意,未经本人同意不得采集。”第14条规定:“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。”
- (11)《关于人民法院在互联网公布裁判文书的规定》第10条规定:“人民法院在互联网公布裁判文书时,应当删除下列信息:(一)自然人的家庭住址、通讯方式、身份证号码、银行账号、健康状况、车牌号码、动产或不动产权属证书编号等个人信息。”
- (12)《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条规定:“非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第253条之一规定的“情节严重”:……(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的。”
- (13)《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条规定:“公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”《关于人民法院在互联网公布裁判文书的规定》第10条(一),同前引(11);第10条(四)规定:“家事、人格权益等纠纷中涉及个人隐私的信息。”《关于依法惩处侵害公民个人信息犯罪活动的通知》“二”规定:“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”
- (14)参见《信息安全技术公共及商用服务信息系统个人信息保护指南》“3.7”。
- (15)参见《信息安全技术个人信息安全规范》“3.2”。
- (16)《消费者权益保护法》第29条规定:“经营者收集、使用消费者个人信息,应当……明示收集、使用信息的目的、方式和范围,并经消费者同意。”
- (17)《网络安全法》第22条第3款规定:“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意……”
- (18)《关于加强网络信息保护的决定》规定:“二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当……经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。”
- (19)参见齐爱民:《中华人民共和国个人信息保护法示范法草案学者建议稿》,载《河北法学》2005年第6期;参见前引(5),周汉华书,第1-27页;吴晓灵等全国人大代表于2017年3月提交的《中华人民共和国个人信息保护法(草案)》,参见《中华人民共和国个人信息保护法(草案)2017版》,载搜狐网:http://www.sohu.com/a/203902011_500652,最后访问时间:2018年8月23日。
- (20)参见孙宪忠:《关于〈人格权编(草案)(2017年11月15日法工委民法室室内稿)〉的评审意见之一》,载天津市宁河区人民法院网:http://tjnhfy.chinacourt.org/article/detail/2018/02/id/3202332.shtml,最后访问时间:2018年8月23日。
- (21)叶名怡认为“个人信息的缺漏更多,比如说没有规定敏感信息和一般信息在法律适用效果上的区别”,参见《社科院“民法典分编草案(室内稿)座谈会”实录》,载搜狐网:http://www.sohu.com/a/220558816_662101,最后访问时间:2018年8月23日。
- (22)参见前引(5),周汉华书,第79页;前引(6),张鹏文。
- (23)参见中国知网:http://www.law.cnki.net/,最后访问时间:2018年8月17日。
- (24)参见前引(3),张新宝文;王利明:《论个人信息权在人格权法中的地位》,载《苏州大学学报》2012年第6期;陈甦主编:《民法总则评注》,法律出版社2017年版,第789页。
- (25)参见石宏主编:《中华人民共和国民法总则:条文说明、立法理由及相关规定》,北京大学出版社2017年版,第263页。
- (26)参见刘金瑞:《个人信息与权利配置---个人信息自决权的反思和出路》,法律出版社2017年版,第166页。
- (27)参见李永军:《论〈民法总则〉中个人隐私与信息的“二元制”保护及请求权基础》,载《浙江工商大学学报》2017年第3期。
- (28)‘highly responsive or susceptible:such as a(1):easily hurt or damaged;especially:easily hurt emotionally’,https://www.merriam-webster.com/dictionary/sensitive,(Last visited on Aug 22.2018).
- (29)See Karen McC ullagh,Data Sensitivity:Proposals for Resolving the Conundrum,2 J Int’l Com&Tech 196(2007).
- (30)参见刘雅琦:《基于敏感度分级的个人信息开发利用保障体系研究》,武汉大学出版社2015年版,第65页。
- (31)范姜真媺:《个人资料保护法关于“个人资料”保护范围之检讨》,载前引(4),陈海帆、赵国强主编书,第60页。
- (32)高富平:《2012年〈个人数据处理中的个人保护公约〉评析.三、(二)“敏感数据的特殊风险控制原则”》,载高富平主编:《个人数据保护和利用国际规则:源流与趋势》,法律出版社2016年版,第65页。
- (33)参见前引(4),刘德良文,第29页。
- (34)参见张新宝:《隐私权的法律保护》(第2版),群众出版社2004年版,第139页。
- (35)参见前引(26),刘金瑞书,第33页。
- (36)See Charles Fried,Privacy,77 Yale L.J.475(1968).
- (37)See Daniel J.Solove,Introduction:Privacy Self-Management and the Consent Dilemma,126 Harv.L.Rev.1880-1881(2013).
- (38)任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期。
- (39)金耀:《消费者个人信息保护规则之检讨与重塑---以隐私控制理论为基础》,载《浙江社会科学》2017年第11期。
- (40)范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期。
- (41)参见《信息安全技术个人信息安全规范》“5.3”“5.5”。
- (42)See Tal Z.Zarsky,Incompatible:The GDPR in the Age of Big Data,47 Seton Hall L.Rev.1013-1014(2017).
- (43)See Karen McC ullagh,supra note 29,190.
- (44)See Gloria Gonzalez Fuster,The Emergence of Personal Data Protection as a Fundamental Right of the EU,at 63-65(Springer,2014).
- (45)参见《个资保护协定》第6条。2012年,《个资保护协定》被修改为《个人数据处理中的个人保护公约》(Convention for the Protection of Individuals With Regard to the Processing of Personal Data),第6条明确将标题由“数据的特殊类型”变更为“敏感数据的处理”。
- (46)Z.Zarsky,supra note 42,1012.
- (47)See‘Consumer Privacy Protection Act of 2015’,‘SEC.3.Definitions.(10)’.
- (48)参见前引(30),刘雅琦书,第65-66页。
- (49)参见北京市第一中级人民法院(2017)京01民终509号民事判决书。
- (50)参见人民法院新闻传媒总社:“最高人民法院发布第一批涉互联网典型案例”,载最高人民法院网:http://www.court.gov.cn/fabu-xiangqing-112611.html,最后访问时间:2018年8月18日。
- (51)高富平:《个人数据保护权非个人数据权(代序言)》,载前引(32),高富平主编书,第3页。
- (52)See Graham Greenleaf,Global Data Privacy Laws 2017:120 National Data Privacy Laws,Including Indonesia and Turkey,at https://ssrn.com/abstract=2993035,http://www.sohu.com/a/203902011_500652(Last visited on July 15,2018).
- (53)参见《欧盟个资指令》立法说明第33项;联合国1990年发布的《规范电脑化个人资料文件指导原则》第5条;《欧盟个资原则》第6条的解释报告等。
- (54)See(UK)Guide to Data Protection(1998),at https://ico.org.uk/for-organisations/guide-to-data-protection/(Last visited on June 30,2017).
- (55)当时,有人提出任何数据都可能在特定的语境下或因不同的用途变为“私人的”或“敏感的”。See‘Detailed Comments:Paragraph 7:Collection Limitation Principle’,in‘Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data’.
- (56)See Council of Europe,Article 6-Special categories of data,on CETS 108-Explanatory Report to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data,at https://rm.coe.int/16800ca434(Last visited on Sept 20,2017).
- (57)See Administration Discussion Draft:Consumer Privacy Bill of Rights Act of 2015,SEC.4.Definitions[k].
- (58)See Karen McC ullagh,supra note 29,199.
- (59)See Sensitive information,Australian Privacy Principles,at https://www.oaic.gov.au/privacy-law/privacy-act/australianprivacy-principles(Last visited on Sept 28,2017).
- (60)参见蔡秉锜:《敏感性个人资料保护之研究》,台湾大学2012年硕士学位论文,第52页。
- (61)See Karen McC ullagh,supra note 29,190.
- (62)See Helen Nissenbaum,Privacy as Contextual Integrity,79 Wash.L.Rev.119(2004).
- (63)See Spiros Simitis,Revisiting Sensitive Data,at https://rm.coe.int/09000016806845af(Last visited on Aug 28,2018).
- (64)《信息安全技术公共及商用服务信息系统个人信息保护指南》“3.7”。
- (65)《信息安全技术个人信息安全规范》“3.2”。
- (66)《信息安全技术公共及商用服务信息系统个人信息保护指南》“3.7”。
- (67)参见前引(49)。
- (68)《个资保护协定》第6条;《欧盟个资指令》第8条。
- (69)See Paul Ohm,Sensitive Information,88 S.Cal.L.Rev.1150-1160(2015).
- (70)See Karen McC ullagh,supra note 29,195.
- (71)See Douwe Korff,EC Study on Implementation of Data Protection Directive(2002),at 82,at:http://ssrn.com/abstract=1287667(Last visited on Aug 23,2018).
- (72)Supra note 47.
- (73)See Karen McC ullagh,supra note 29,200.
- (74)Supra note 47.
- (75)参见日本厚生劳动省、经济产业省:“個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン”,“2-2-3-2.安全管理措置”第2-2-3-2条“安全处置措施”。
- (76)参见王融:《大数据时代:数据保护与流动规则》,中国工信出版集团、人民邮电出版社2017年版,第221页。
- (77)See‘Protecting the Privacy of Customers of Broadband and Other Telecommunications Services’,at https://www.gpo.gov/fdsys/pkg/FR-2016-12-02/pdf/2016-28006.pdf(Last visited on Aug 23,2018).
- (78)参见沈玲:《特朗普时代美国信息通信业核心制度的变革走向》,载《信息安全与信息保密》2017年第7期。
- (79)See Paul Ohm,supra note 69,1161.
- (80)《信息安全技术公共及商用服务信息系统个人信息保护指南》“3.7”。
- (81)《信息安全技术个人信息安全规范》“3.2”注1。
- (82)参见王泽鉴:《人格权法:法释义学、比较法、案例研究》,北京大学出版社2013年版,第198页;杨芳:《隐私权保护与个人信息保护法---对个人信息保护立法潮流的反思》,法律出版社2016年版,第16页。
- (83)参见表2,另见《侵权责任法》第62条、《执业医师法》第22条等。
- (84)参见白云:《个人信用信息法律保护研究》,法律出版社2013年版,第152页。
- (85)参见程啸:《侵权责任法》,法律出版社2015年版,第165页。
- (86)参见前引(30),刘雅琦书,第95-97页。
- (87)参见刘仁忠、代薇:《基因隐私的伦理和法律规范》,载《自然辩证法研究》2004年第9期。
- (88)[日]穗积陈重:《法律进化论》,黄尊三等译,中国政法大学出版社1997年版,第53页。
