摘要：大数据时代，我国个人信息保护不足、个人信息保护法律体系不完善的问题凸显。基于个人信息本身的差异性，为解决个人信息保护与利用之间的矛盾、适应世界主流的立法模式，我国未来个人信息保护法宜引入个人敏感信息概念。本文考察了我国、欧盟以及日本、美国等国家涉及敏感个人信息的规定，总结了我国学者对个人敏感信息相关法律问题的研究成果，综合运用比较分析法、文献分析法等研究方法，借鉴国际经验对敏感个人信息的保护路径进行了探索。此外，本文立足我国国情，根据同一性和差异性原理进行简要分析与比较，提出完善敏感个人信息保护的立法路径、行政路径、司法路径，将为我国敏感个人信息保护提供一些参考。

关键字：敏感个人信息;个人信息处理规则;个人信息保护

项目信息：2022年江苏省研究生科研与实践创新计划项目，项目编号：SJCX22_1093

1 引言

2021年11月1日，《个人信息保护法》正式开始施行，其中第28条规定“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”这里提出了敏感个人信息的概念， 然而《个人信息保护法》对敏感个人信息的保护规定较为模糊，大数据时代下敏感个人信息的法律保护依然存在着诸多问题。

1.1 研究综述

针对敏感个人信息的保护，国内一些学者提出了不同的意见：范为（2016年）提出以基于场景的风险管理理念重构个人信息保护的新路径，将隐私风险作为衡量个人信息“合理使用”的指标，根据具体场景中的风险评估采取差异化保障措施，变信息处理前的静态合规遵循为信息使用中的动态风险控制，在提升个人信息保护实效性的同时大幅减轻企业负担，助力数据开发与数据保护的双赢。凌霞（2021年）提出将安全价值优先确立为我国个人信息保护的法律路径，“采取充分必要的技术措施和内部管理措施，确保个人信息的收集、处理、流转、利用的质量、个人隐私和信息安全”的前提下，依法、有序、合理促进个人信息的流通及利用，实现数据流通的效率价值。

本文贡献在于拟选取国内外应用软件的个人信息保护政策进行对比，通过比较发现国内外应用软件对于用户敏感个人信息保护之间的差异，进而优化国内应用软件关于敏感个人信息保护的规定。此外，针对敏感个人信息保护的问题，笔者基于现有法律以及现实问题探究对其进行法律规制的路径，并提出敏感个人信息综合治理的观点，将对敏感个人信息保护具有现实意义。

1.2 研究方法

本文通过文献研究法、比较研究法、案例分析法进行研究。

2 我国敏感个人信息保护的现状和问题

从立法情况看，我国敏感个人信息保护法律体系还不完善，缺乏正式的基础立法作为支撑，国家层面的统一立法尚未建立，现有立法法规比较笼统，实际可操作性有待增强，作为补充的规范性文件其法律效力层级低。行政监管上，根据已公布的《个人信息保护法》，我国目前还未计划设立独立监管机构，现有监管体制主要采取统筹协调监管模式，国家网信部门和国务院有关部门按照各自职责权限范围负责个人信息保护和监督管理工作。这种模式下，由于缺少集中统一的监管法规及框架体系，各行业监管机构各自为政、各司其职，各监管部门行使 监管、检查和处罚的法律依据不充分，容易出现监管缺位、职责不清、效率不高等一系列问题。从司法情况来看，信息主体救济途径较少，在合法权益遭受侵害后，存在难以举证，无法找到赔偿主体的情况，最终很难获得损害赔偿。

3 国外敏感个人信息的界定与保护机制

敏感个人信息保护在国外已经颁布的法例中有，欧盟颁布的《通用数据保护条例》（General Data Protection Regulation，以下简称GDPR）中，敏感个人信息被称为“特殊类型的个人数据”（Special Categories of Personal Data）。同时GDPR的出台扩大了信息主体的权利内容，新的权利内容包括：访问权、更正权、被遗忘权、限制处理权、数据携带权和反对权。GDPR法案以穷尽的方式列出了7种予以强制保护的极度敏感型信息，原则上个人信息档案中不得收录和处理这些信息。美国联邦《消费者数据隐私与安全法令》以及有关州将其称为“敏感个人信息”或“敏感数据”。日本《个人信息保护法》第2条将敏感的个人信息称为“需注意的个人信息”由于敏感个人信息直接关系到个人人格尊严和人身、财产安全等重大权益。

据不完全统计，全球已经不止一百个国家或地区颁布了关于个人信息权的法律法规。由于世界各国法律文化的差异，各国对个人信息权的保护机制主要分为以下几种：以美国为代表的行业自治与分散立法下的多方博弈机制;以欧盟为首的严格立法驱动下的统一监管机制;以日本为典型的政府主导和行业自律下的政企互动机制。因此，通过对上述其他国家个人信息保护立法进行分析，结合我国国情，我国个人信息保护立法可以借鉴的经验有以下几点：

首先，可以基于我国国情制定与网络公民个人信息保护相关的专门性法律，对公民个人信息权利益加以明确，并将侵犯公民权益的责任制度从法律层面加强。这是因为我国法律具有成文化的传统，法律规定具有强制性、相对稳定性等特点，可作为我国公民个人信息保护的基础，弥补我国公民个人权益保护落后现象。

其次，政府监管在加强监管力度的同时要让市场能够发挥自身的自我调节作用，政府监管需要重视自身技术发展;根据地区经济发挥行业自律，不能以统一立法模式搞“一刀切”。可通过法律法规规定行业自律规制，鼓励电子商务企业积极的参与到公民个人信息保护行业自律规划中来，促进行业自律发展。

最后，需要注重与国际社会公民个人信息保护法律的协调。行业自律和统一立法两种模式在公民个人保护中都需要加以考虑，充分范围行业自律的优势，并运用法律强制性确保行业自律的有效性，相互促进发展。

4 我国敏感个人信息保护路径的完善

4.1完善敏感个人信息保护的立法路径

通过对上述其他国家个人信息保护立法进行分析，结合我国国情，我国个人信息保护立法可以借鉴的经验有以下几点：

首先，可以基于我国国情制定与网络公民个人信息保护相关的专门性法律，对公民个人信息权利益加以明确，并将侵犯公民权益的责任制度从法律层面加强;对权利义务进行细化作为“保障书”维护网络公民个人信息权利益，让商家能够明确知道侵权行为，让网络经营者在相对自由的环境中自由发展;对网络经营者的法律责任进行明确，便于法律的有效执行，以责任制度与司法制度相匹配的方式来进行公民个人信息保护。

其次，政府监管在加强监管力度的同时要让市场能够发挥自身的自我调节作用，政府监管需要重视自身技术发展;根据地区经济发挥行业自律，不能以统一立法模式搞“一刀切”。可通过法律法规规定行业自律规制，鼓励电子商务企业积极的参与到公民个人信息保护行业自律规划中来，促进行业自律发展。

最后，需要注重与国际社会公民个人信息保护法律的协调，为了能够更好的进行公民个人信息保护，需要我国在构建公民个人信息保护的过程中充分的与国际社会进行协调，减少与国际通行做法之间的差异性。行业自律和统一立法两种模式在公民个人保护中都需要加以考虑，充分范围行业自律的优势，并运用法律强制性确保行业自律的有效性，相互促进发展。

4.2完善敏感个人信息保护的行政路径

首先，应当针对不同行业建立行业自律组织。该组织一般由行业有影响力的企业筹建，其他行业成员自由加入，遵守行业组织标准并且接受行业组织的管理与监督。可以采取定期检查与不定期抽检相结合来监督成员是否遵守行业标准，并且根据违反程度进行不同程度的检查。行业组织还可以设立红黑榜单，将个人信息安全管理优秀的企业列入红榜以示表扬与推荐，将个人信息安全措施不到位的企业加入黑名单以督促其进行改正并且提醒用户注意个人信息安全。

其次，应当在组成行业组织的基础上进一步制定行业自律公约。公约可以增强行业组织对成员的约束力，更好的去贯彻行业标准，避免企业在个人信息安全管理方面不知所措。而且这样的公约也向社会传达了该行业个人信息安全方面的最低标准，可以赢得用户的信任，推动全社会对个人信息控制者的监督。

最后，应当探索行业自律组织进行个人信息安全认证并授予安全标志的制度。该制度主要包括两方面内容，一方面，制定严格的认证审核标准以及流程，对申请人的个人信息收集与利用行为进行综合评估，从过往的历史记录到未来的保护计划进行全方位的审核。另一方面，开展后续的监制度以及完善回访制度，可以采用定期检查与随机抽检相结合，对于违反认证标准的可以实施警告、整改、取消认证、列入黑名单等惩处措施。

4.3完善敏感个人信息保护的司法路径

我国在司法路径方面，以加重处罚为重点健全法律责任，全面提升违规成本。面对个人信息保护的严峻形势，我国的法律保护无论是立法还是司法，均体现出公法保护先行、私法滞后的特征。目前我国民事诉讼中群体性纠纷解决机制主要是代表人诉讼制度，在多数人诉讼中推选出若干人作为代表进行诉讼。由于当前代表人制度的诉讼程序复杂，司法效率低下，而且诉讼代表人在处理实体权利时还需要当事人特别授权，这些缺点在互联网时代进一步放大。只有当公民能够通过法律赋予的救济途径维护自身合法权益时，才能称得上是法律上的权利。目前来看，我国个人信息权保护的救济途径仍然存在很大问题，因此，需要建立综合的信息权利救济体系，通过完善民事救济、刑事救济以及行政救济，对个人信息权进行全方位的保护。

参考文献

[1]张衠.大数据时代个人信息安全规制研究[M].上海：上海社会科学院出版社.2020.

[2]林少伟，唐林垚.驯服算法[M].上海：上海人民出版社.2020.

[3]周健宇，周晨洋.浅析敏感个人信息的界定与保护[J].征信，2021（11）：1-10.

[4]徐磊，刘春.敏感个人信息保护的实践困境与破解之道[J].情报理论与实践，2021（11）：1-11.

[5]王利明.数据共享与个人信息保护[J].现代法学，2019，41（1）：55.

[6]付新华.个人信息权成的权利证成[J].法制与社会发展，  2021，27（05）：123-140.

[7]周汉华.个人信息保护法律定位[J].法商研究，2020，37（03）：44-56.

[8]付伟，李晓东.个人数据的法律权利与经济权利配置研究[J].电子政务，2021（09）：73-80.

[9]汤敏.敏感个人信息保护的欧美经验及其启示[J].图书馆建设，2018（2）：41-47.

[10]汪全胜，方利平.敏感个人信息的法律规制探析[J].现代情报，2010（5）：24-27.

[11]冉克平.论个人生物识别信息及其法律保护[J].社会科学辑刊，2020（6）：111-120.

[12]邢会强.人脸识别的法律规制[J].比较法研究，2020（5）：51-63.

[13]童云峰.证立与提倡：读者个人信息的民法分类分级保护[J].现代情报，2021，41（12）：97-106.

[14]桑莉莉.大数据背景下公民个人信息的刑法保护措施分析[J].法制博览，2021（29）：169-170.

[15]廖隆博.网络环境下个人信息民法保护的必要性及路径研究[J].法制博览，2021（31）：29-31.

[16]范为.大数据时代个人信息保护的路径重构[J].环球法律评论，2016，38（05）：92-115.

[17]高富平.个人信息保护：从个人控制到社会控制[J].法学研究，2018，40（03）：84-101.

[18]肖文婷：欧盟敏感个人信息法律保护研究[D].上海外国语大学，2021.

[19]陆小娟：大数据时代个人信息权的法律保护研究[D].吉林大学，2020.

[20]赵明泽：网络消费中个人信息保护的法律问题研究[D].上海师范大学，2021.

[21]肖增：大数据时代个人信息刑法保护研究[D].湖南工业大学，2020.

[22]周晓柯：大数据时代个人信息法律保护研究[D].河北大学，2020.

作者简介：周宁（1997.12—）男，汉，江苏常熟人，南京信息工程大学、江苏警官学院联合培养法律硕士（警务方向）在读，研究方向：法律（非法学）。