網上投稿
一、 前言
敏感個人信息不僅是個人信息保護的關注焦點之一,也是企業履行數據合規義務的工作重點。根據相關法律法規,個人信息處理者在處理敏感個人信息時需要履行包括但不限于如下的合規義務:取得單獨同意、充分告知、事先進行個人信息保護影響評估、履行安全保護要求、履行出境合規義務等。而履行前述合規義務的前提和基礎,是確認哪些個人信息是敏感個人信息,即敏感個人信息識別。
在現有法律法規和推薦性國家標準基礎上,全國網絡安全標準化技術委員會發布了《網絡安全標準實踐指南—敏感個人信息識別指南》(以下簡稱“《敏感個人信息識別指南》”),以指導各組織識別敏感個人信息。《敏感個人信息識別指南》的出臺,為敏感個人信息的識別提供了更加細化的指導方向和操作指引。在此背景下,本文擬對《敏感個人信息識別指南》中敏感個人信息的概念界定、分類以及識別規則進行梳理,并結合司法實踐予以總結分析,以期為實務提供參考。
二、 現行法律法規及規范、指引對敏感個人信息的界定及分類
(一) 敏感個人信息的界定
當前我國法律法規及各類規范、指引對敏感個人信息一般采取“危害結果概括+常見分類舉例”的定義方式,即從不法行為所導致的危害結果切入,對敏感個人信息的概念進行界定,并列舉常見分類。例如:
2020年10月1日實施的《信息安全技術 個人信息安全規范》(GB/T 35273—2020,以下簡稱“《個人信息安全規范》”)附錄B個人敏感信息判定規定,個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。
2021年11月1日實施的《中華人民共和國個人信息保護法》(以下簡稱“《個人信息保護法》”)對敏感個人信息的定義進行了精簡,并附以常見分類。第二十八條第一款規定,敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
此后發布或施行的相關規范,基本延續了《個人信息保護法》對敏感個人信息的定義,如2021年12月31日實施的《網絡安全標準實踐指南—網絡數據分類分級指引》(“以下簡稱《網絡數據分類分級指引》”)、2023年8月9日發布的《信息安全技術 敏感個人信息處理安全要求》(征求意見稿,以下簡稱“《敏感個人信息處理安全要求》”)與2024年9月14日實施的《敏感個人信息識別指南》等。
(二) 敏感個人信息的類別
筆者對上述法律法規及規范、指引中關于敏感個人信息的分類進行了梳理,詳見下表:
| 序號 |
法規或規范名稱 |
敏感個人信息類別 |
| 1 |
《個人信息安全規范》 2020.10.01 |
個人財產信息、個人健康生理信息、個人生物識別信息、個人身份信息、其他信息 |
| 2 |
《個人信息保護法》 2021.11.01 |
生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡、不滿十四周歲未成年人的個人信息 |
| 3 |
《網絡數據分類分級指引》 2021.12.31 |
特定身份、生物識別信息、金融賬戶、醫療健康、行蹤軌跡、未成年人個人信息、身份鑒別信息、其他敏感個人信息 |
| 4 |
《敏感個人信息處理安全要求》 2023.08.09 |
生物識別信息、宗教信仰信息、特定身份信息、醫療健康信息、金融賬戶信息、行蹤軌跡信息、不滿十四周歲未成年人個人信息、身份鑒別信息、其他敏感個人信息 |
| 5 |
《敏感個人信息識別指南》 2024.09.14 |
生物識別信息、宗教信仰信息、特定身份信息、醫療健康信息、金融賬戶信息、行蹤軌跡信息、不滿十四周歲未成年人的個人信息、其他敏感個人信息 |
《敏感個人信息識別指南》對于敏感個人信息的分類基本借鑒了《個人信息保護法》所列的七項,并增加兜底性質的“其他敏感個人信息”。而各類別項下的具體示例則在過往實務經驗的基礎上,新增或調整幾例特定敏感個人信息的表述,如特定身份信息中的“不適宜公開的職業身份信息”、其他敏感個人信息中的“展示個人身體私密部位的照片或視頻”等,這些調整部分需要予以關注。
三、 《敏感個人信息識別指南》關于敏感個人信息識別的規則
《敏感個人信息識別指南》第3章規定了敏感個人信息的識別規則,主要包括:
1. 實質性識別規則。《敏感個人信息識別指南》從定義出發,以泄露或非法使用的不法行為所容易導致自然人人格尊嚴、人身安全以及財產安全受損的危害后果作為實質性標準,建立起敏感個人信息的實質性識別規則。其中:
w 人格尊嚴是個人基于自己所處的社會環境、地位、聲望、工作環境、家庭關系等各種客觀條件而對自己或他人的人格價值或社會價值的認識和尊重。侵害人格尊嚴會致使個人的人格評價被降低、隱私被泄露,造成精神創傷和痛苦。容易侵害人格尊嚴的情形可能包括“人肉搜索”、非法侵入網絡賬戶、電信詐騙、損害個人名譽、歧視性差別待遇等。例如:泄露個人的特定身份、宗教信仰、性取向、特定疾病和健康狀態等信息,容易引發社會偏見、導致個人遭受歧視性差別待遇,進而侵害其人格尊嚴;
w 危害人身、財產安全主要指個人的生命權、身體權、健康權等人身權益或者個人的財產權益遭受了侵害或者有被侵害的風險。例如泄露、非法使用個人的行蹤軌跡信息,容易導致個人的人身安全受到危害;泄露、非法使用金融賬戶信息,容易造成個人的財產損失。
綜上,實質性識別規則旨在綜合判斷個人信息的敏感程度,即被泄露或者遭非法使用后,造成個人人格尊嚴、人身安全以及財產安全遭受侵害或侵害風險的難易程度。如通過社會一般理性判斷容易造成前述侵害或侵害風險的,該個人信息應識別為敏感個人信息。
除了正向識別外,實質性識別規則亦可適用于敏感個人信息的排除上,即反向識別哪些信息不屬于敏感個人信息。
2. 對照式識別規則。即將個人信息與《敏感個人信息識別指南》“表A.1常見敏感個人信息”的示例進行比對,經比對落入其列舉范圍的,原則上將被識別為敏感個人信息,除非存在充分理由和證據表明個人信息達不到實質性標準。
3. 整體性識別規則。即多項一般個人信息匯聚或融合后的整體如符合實質標準,則應被識別為敏感個人信息。比如,《敏感個人信息識別指南》指出“人肉搜索”屬于容易導致自然人人格尊嚴受到侵害的情形。尤其當個人已經引發相關輿情時,其姓名、家庭住址等信息很可能被整合利用并對個人實施“人肉搜索”,容易導致該個人受到追蹤、騷擾、網絡暴力,進而侵害其人格尊嚴。那么上述一般個人信息形成的整體就可能構成敏感個人信息。
《敏感個人信息識別指南》建立的敏感個人信息識別規則如下圖:
四、 司法實踐中關于敏感個人信息的識別規則
司法實踐中,已有部分案例具體闡釋了敏感個人信息的識別規則,其思路與《敏感個人信息識別指南》所建立的識別規則大體一致,即先通過對照式識別規則判斷是否屬于敏感個人信息,再通過實質性識別規則進行二次識別。經檢索,筆者大致梳理總結如下:
1. 對照式識別規則。當案件中涉及的個人信息落入相關法律法規及規范、指引列舉的敏感個人信息示例時,法院一般直接認定其構成敏感個人信息。例如:
w 人臉信息歸為生物識別信息,屬于敏感個人信息。在(2023)浙0192民初4563號中,法院認為:“人臉信息屬于生物識別信息,生物識別信息屬于極為重要的個人敏感信息,處理人臉類的生物識別信息除必須獲得個人的單獨同意外,還需要遵守行政法規的特別規定”;
w 醫療就診記錄歸為醫療健康信息,屬于敏感個人信息。在(2023)京03民終15621號中,法院認為:“醫療健康信息與自然人的人身、健康密切關聯,屬于敏感個人信息,……徐某的病歷資料涉及徐某本人的生理健康,屬于徐某的敏感個人信息”。
w 房產信息歸為個人財產信息,屬于敏感個人信息。在(2023)蘇0505民初394號中,法院認為:“從個人信息敏感程度來看,國家市場監督管理總局、國家標準化管理委員會于2020年3月6日發布于2020年10月1日實施的《信息安全技術個人信息安全規范》附錄B“個人敏感信息判定”中表B.1“個人敏感信息舉例”中認為房產信息作為個人財產信息屬于個人敏感信息,本案所涉房產信息應屬于個人敏感信息”。
2. 實質性識別規則。如果案件所涉個人信息并非法律法規及規范、指引中所示例的敏感個人信息,則需要根據實質性識別規則,綜合判定是否屬于敏感個人信息。
w 在(2021)遼01民初3574號中,法院認為:“本案涉及的自然人的微信賬號、手機號碼、登錄密碼和支付密碼,承載了大量的自然人身份信息,具有區別于他人的屬性,即在與其他信息結合后能夠識別出特定自然人,故均屬于自然人的個人信息。上述信息一旦被泄露或者被非法利用,可能導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害,可能對個人信息主體的權益帶來重大風險,故屬于個人敏感信息的范疇。”
w 實踐中,亦存在通過實質性識別規則將案涉個人信息排除在敏感個人信息范圍之外的情形。如在(2022)浙0192民初4259號中,法院認為:“本案中,淘寶公司處理薛某的個人信息主要涉及案涉購物訂單信息、交易支付完成情況信息、商品配送信息等。從信息的具體內容上看,淘寶公司處理的薛某案涉個人信息既不屬于前述法條中具體列舉的敏感個人信息,也不屬于社會通常認識意義上具有危及自然人人身、財產安全的敏感個人信息……故淘寶公司處理的薛某案涉購物訂單信息、交易支付完成情況信息、商品配送等個人信息,屬于一般個人信息類型。”該案中,法院正是按照:對照式識別規則→實質性識別規則的順序,先將案涉個人信息從列舉范圍內排除,又實質性判定該個人信息一般不會危及人身、財產安全,進而認定案涉個人信息不屬于敏感個人信息。
五、 結語
作為敏感個人信息合規的前置性程序,敏感個人信息識別對企業的數據合規至關重要。伴隨著立法與實踐對個人信息保護的日益重視,敏感個人信息識別或將成為企業必不可少的合規課題。我們建議企業將敏感個人信息識別工作提上日程,關注立法與司法前沿訊息,建立健全相應的識別規則,并在此基礎上切實履行合規義務。
滬公網安備 31010402007129號
