不久前公开征求意见的我国《个人信息保护法草案》(以下简称《草案》)将个人信息区分为敏感个人信息与非敏感个人信息,并在《草案》的第二章专节规定了“敏感个人信息的处理规则”。我国民法典人格权编第六章“隐私权和个人信息保护”则将个人信息区分为私密信息与非私密信息,同时,明确规定了个人信息中的私密信息适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。这样一来,就产生了怎样区分敏感信息与私密信息的问题。此外,对于《草案》为何不沿用民法典区分私密信息与非私密信息的做法,这是否意味着《草案》与民法典的规定相矛盾等问题,也存在不同的看法。
  一、敏感与非敏感信息、私密与非私密信息的区分各有其规范目的与意义
  笔者认为,敏感信息与非敏感信息、私密信息与非私密信息的区分是《草案》与民法典基于不同的规范目的对个人信息所作的两种不同的分类,二者均有其重要意义,并不矛盾。首先,敏感信息和非敏感信息是《草案》从规范个人信息处理行为的角度进行的一种重要分类,并在该区分的基础上针对信息处理者提出了不同的处理规则上的要求,从而有针对性地提高处理者在处理敏感信息时的法定义务,更加充分保护自然人的个人信息权益。由于敏感信息对于维护自然人的人身财产安全与人格尊严极为重要,该等信息一旦泄露或被非法使用,势必会对自然人的人身财产权益造成严重的侵害或损害,故此,法律上对处理者处理此类信息有非常严格的要求。但是,对于非敏感信息的处理而言,则没有如此严格的要求。例如,《草案》第30条规定,基于个人同意处理敏感信息的,处理者应当取得个人的单独同意;第31条规定,处理敏感信息时,处理者应当向个人告知处理该等信息之必要性以及对个人的影响等。再如,《草案》第54条要求处理者在处理敏感信息时必须事前进行风险评估并对处理情况加以记录。正是由于敏感信息和非敏感信息是为了确定不同的个人信息处理规则而对个人信息作出的区分,该分类仅适用个人信息保护法所调整的个人信息处理行为,而不适用自然人因个人或者家庭事务而处理个人信息的活动,对此,《草案》第68条第1款也作出了明确的规定。
  然而,私密信息和非私密信息则是从民事权益保护的角度即为正确区分隐私权与个人信息权益的保护方法,而由民法典对个人信息进行的分类。依据民法典第一千零三十四条第三款,由于私密信息属于隐私,对于私密信息的保护首先适用隐私权的规定,隐私权没有规定的,才适用个人信息保护的规定。也就是说,私密信息和非私密信息的区分的侧重点在于民事权益的类型与保护方法的差异,而非如敏感信息与非敏感信息那样基于对信息处理者处理个人信息的行为规范的不同所做的分类,两种划分的规范目的存在明显的区别。此外,私密信息和非私密信息的区分适用于所有的侵害个人信息的侵权纠纷,即无论网络企业、国家机关处理个人信息中发生的侵权纠纷,还是自然人之间因个人或家庭事务而出现的侵害个人信息的侵权行为,区分私密信息与非私密信息都是必要的。因为这涉及被告侵害的民事权益究竟是隐私权还是个人信息权益的认定。从民法典第一千零三十三条的规定来看,除了法律另有规定或者权利人明确同意,否则,任何处理他人私密信息的行为都构成对他人隐私权的侵害。但是,非私密信息的处理行为的合法性基础不仅包括取得信息主体(即个人)及其监护人的同意,还包括法律和行政法规另有规定的情形。民法典第一千零三十六条还专门规定了处理个人信息的三类免责事由。
  个人信息保护法并非是民法典的特别法,而是一部对个人信息保护进行全面规范的兼具公法与私法属性的综合性法律,故此,在《草案》中有必要从个人信息处理规则的角度对敏感信息和非敏感信息进行界分;相反,在民法典中,从民事权益保护的角度区分私密信息和非私密信息也是非常必要的。这两种分类方法的规范目的各不相同,均有其重要意义。
本文来源于网络,如有侵权请联系删除。