|
第一千零三十四条 自然人的个人信息受法律保护。 个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。 个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。 【条文主旨】 本条是关于自然人的个人信息受法律保护的规定。 【条文理解】 本条的第2款相比于《民法典》人格权编的第一、二、三次审议稿,将电子邮箱地址和行踪信息列入个人信息范畴,本条还增设第3款规定私密信息同时属于隐私和个人信息范畴,同时受隐私权和个人信息相关规定保护。在此后的修改中,又将第3款原来的“个人信息中的私密信息,同时适用隐私权保护的有关规定”修改为“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。现将本条内容解读如下: 一、个人信息受法律保护 在传统意义上,个人信息如自然人的姓名、身份证号码、电话号码、家庭住址、肖像、财产信息、病历资料等就已经存在,并被政府、企业等主体收集、保管、分析和使用。但是,在此背景下的个人信息的类型相对简单,产生的渠道非常有限,而且收集、存储和利用个人信息的手段和方法也较为单一。此时,通过姓名权、名誉权、隐私权、肖像权等具体人格权的规定以及侵权法规范,大致可以满足个人信息保护的需要。例如,未经同意公开或披露自然人的隐私信息(如家庭住址、电话号码等)的,构成对隐私权或名誉权的侵害;擅自使用他人姓名的,是侵害姓名权的行为。但是,随着信息网络科技尤其是大数据与人工智能的发展,个人信息的产生、收集、存储和利用等方面发生了巨大的变化。 首先,个人信息的范围与种类不断增加。除了传统的那些能够直接识别特定自然人的信息,如姓名、身份证号码、家庭地址、电话号码等,还有一些虽然本身不足以识别特定自然人,但与其他信息结合后就能识别出特定自然人的信息,如爱好、习惯、兴趣、性别、年龄、职业等,也成为个人信息。其次,现代科技的发展也促使了各种新型个人信息的产生,如通信记录和内容、个人生物基因信息、网络交易信息、上网浏览痕迹、网络社交媒体留言、行踪轨迹等。在进入网络信息社会前,这些信息要么根本不存在,要么无法被收集和存储,现在则可以很容易地被网站通过Cookie技术或智能设备加以收集和保存。由此也导致了需要保护的个人信息的范围越来越广,甚至在许多情况下,连界定哪些信息属于个人信息都存在困难。最后,在传统意义上,对个人信息的收集方式大多是由自然人主动提交,政府、企业等主体收集后手工记载在纸质文档或录入电子档案中加以存储,不仅信息收集的效率、数量和范围有限,且因缺乏算法技术和足够大的算力,也难以对其进行分析利用。然而,现代网络信息技术已将现代社会生活高度数字化(或数据化),Cookie技术和各种传感器可以自动地收集与存储个人信息。这种个人信息被大规模、自动化地收集和存储的情形变得越来越普遍,几乎无处不在、无时不在。由此产生了个人信息保护上的各种新情况和新问题,如海量的个人信息因保管不善被泄露,甚至被非法出售或利用,进而出现犯罪分子利用非法取得的个人信息对受害人进行精准诈骗或者实施其他违法犯罪行为的问题。大数据与人工智能技术的发展使得对海量数据的分析与使用变得非常简单,个人信息被滥用的可能性被极大地增加。例如,各种网络平台通过分析和利用海量的个人信息,对目标群体做人格画像,实施精准营销,甚至行为操纵,严重危害自然人的人格尊严,妨害人格的自由发展。概言之,随着信息化建设的推进,信息资源成为重要的生产要素和社会财富。与此同时,个人信息泄露问题严重,个人信息安全成为一个全社会高度关注的问题。 基于上述情况,个人信息的保护及其与信息自由、公共利益的关系成为现代各国法律中备受关注的问题。特别是随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显,滥用个人信息的现象随之出现,给社会秩序和个人切身利益带来了危害。为促进个人信息的合理利用,各发达国家或者地区均越来越重视个人信息的保护。《德国联邦个人资料保护法》第2条规定,个人资料是指“凡涉及特定或可得特定的自然人的所有属人或属事的个人资料”;如我国台湾地区“电脑处理个人资料保护法”第3条第1款规定:“个人资料指自然人之姓名、出生年月、身份证编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等足以识别该个人之资料”。特别是在欧盟层面,从1995年发布《个人信息保护指令》,到2009年《欧盟宪法》确立个人信息保护的基本人权地位,再到2016年出台、2018年在欧盟成员国强制实施的《通用数据保护条例》(General Data Protection Regulation,简称GPDR),逐渐加强对个人信息的保护,同时也展现出了欧洲国家在个人信息保护领域标准化、一体化的立法和执法特点。 我国个人信息的法律保护经历了从以公法保护为主到日益重视私法保护的发展历程。2005年,第十届全国人民代表大会常务委员会第十四次会议通过的《刑法修正案(五)》中增设的“窃取、收买、非法提供信用卡信息罪”(第177条之一第2款)是我国法律上第一个关于侵害公民个人信息犯罪的法律规定。2009年,第十一届全国人民代表大会常务委员会第七次会议通过的《刑法修正案(七)》在《刑法》中新增第253条之一,首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息的行为情节严重的规定为犯罪行为,从而纳入刑事打击的范围。针对近年来侵犯公民个人信息犯罪仍处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,为加大对公民个人信息的保护力度,最高人民法院会同最高人民检察院,于2017年5月发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。该司法解释根据法律规定和立法精神,对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作出了全面、系统的规定。与加大刑事打击力度同步,2012年,《全国人民代表大会常务委员会关于加强网络信息保护的决定》对网络服务提供者和其他企业事业单位、国家机关及其工作人员在收集、使用、保管公民个人电子信息中应当遵循的原则、承担的义务及法律责任作出了具体的规定。在此基础上,2017年6月1日起施行的《网络安全法》于第四章“网络信息安全”中对个人信息的收集、存储、保管和使用进行了更全面的规范。对于侵害个人信息的责任承担问题,虽然该法主要还是规定了网络运营者违反各种保护个人信息的法定义务的行政法律责任(如罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等),但其也从私法的角度对个人信息保护作出了一些规定,其第74条第1款规定:“违反本法规定,给他人造成损害的,依法承担民事责任。” 在这里还要专门强调一点的是,2013年十二届全国人民代表大会常务委员会第五次会议修正《消费者权益保护法》时,在原第14条中新增了消费者“享有个人信息依法得到保护的权利”,并在第50条就侵害该权利的民事责任作出了规定,这是我国法律首次从民事权利的角度对个人信息作出的规定。2017年10月1日起施行的《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”此外,该法第127条还规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”尽管学界就《民法总则》第111条是否规定了自然人个人信息权仍存在争议,但该条毕竟“从民事基本法的高度赋予了自然人个人信息保护的权利(权益),为个人信息保护在民法分则进一步细化规定提供了基础”,具有十分重要的意义。 当前,《民法典》人格权编不仅在第一章“一般规定”和第五章“名誉权和荣誉权”中分别就个人信息的合理使用(第999条)以及信用信息的更正、收集(第1029条、第1030条)等作出了规定,还专门在第六章“隐私权与个人信息保护”中,使用6个条文(第1034条至第1039条),对个人信息的收集、使用、删除、更正和保护等问题作出了较为详细的规定。《民法典》人格权编对个人信息保护的规定,充分说明了立法机关对个人信息民法保护的高度重视,当然,这也是新时代经济社会发展的客观需要在立法上的反映。在私法中对个人信息进行保护,能够通过赋予自然人对个人信息享有相应的民事权益,不仅能够为保护自然人既有的人身、财产等民事权益建立起有效的防御屏障,还可以避免其他可能出现的新型侵害行为。此外,民法上对自然人个人信息的保护作出规定,不仅意味着民法认可了自然人对个人信息享有受保护的民事权益,彰显了法律对人格尊严和人格自由的尊重,也充分表明了在任何个人信息保护与数据权属的立法中,都应始终关注自然人的民事权益保护与信息自由(信息的流动、共享与利用)这两个法律价值的权衡与协调。现代法律对个人信息的保护应当采取公法与私法并重的综合性保护方法,二者不可偏废:既要从公法的角度明确各类主体从事收集、存储、分析、使用个人信息等行为应当遵守法定义务,也要从民法的角度认可自然人就个人信息享有相应的权利。比如,是否同意个人信息被收集的权利、在个人信息发生错误时要求删除和更正的权利等。既应当对违反公法上个人信息保护义务的违法犯罪行为给予行政处罚甚或判处刑罚,也应当允许自然人基于其个人信息上的民事权益,请求侵害个人信息的侵权人承担赔偿损失、赔礼道歉等相应的民事责任。通过对个人信息的民法保护,赋予自然人对个人信息相应的民事权益,能够使广大自然人更加重视该权益,让他们真正认识到“线上平台的免费午餐券需要用我们的个人信息来换取”,而这种免费的成本已经变得越来越高了。这样就能促使人们在日常生活中“认真对待个人信息”,积极保护个人信息。 二、个人信息的界定 (一)个人信息的定义 立法上对于“个人信息”的概念界定经历了一个变化的过程。《全国人民代表大会常务委员会关于加强网络信息保护的决定》以及最高人民法院的相关司法解释,对“个人信息”的概念作出了略微不同的规定。《网络安全法》第76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》则规定:公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。这一规定中最重要的是明确将行踪轨迹列入个人信息的范围。 本条第1款延续《民法总则》第111条宣示了个人信息受到法律保护这一基本理念,并且限定保护主体为自然人。第2款采用抽象定义和列举的方式明确个人信息的概念。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。 这种定义方式延续了此前《全国人民代表大会常务委员会关于加强网络信息保护的决定》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对于个人信息的定义方式,并借鉴了其他国家和地区的相关立法例。例如,欧盟《通用数据保护条例》(GDPR)第4条第1款。虽然个人信息的概念本身内涵广阔、边界模糊。该定义方式一方面,通过直接或者间接可识别性的认定体现个人信息这一概念的根本特征;另一方面,通过列举典型内容来指导司法适用,区别于单纯的抽象定义以及纯粹的列举,能够更加清晰地展现个人信息保护的内涵和外延。此外,本款在列举个人信息类型中,明确了电子邮箱地址和行踪信息属于个人信息的范畴,也是为了让信息的定义更适合互联网时代的需要,也更能适应大数据产业的发展。电子邮箱地址和行踪信息同样具有识别特定自然人的功能,电子邮件地址属于个人基本资料,而行踪轨迹信息系事关人身安全的高度敏感信息,二者亦能反映特定自然人活动情况的信息。 在此需要注意的是,在《民法总则》明确个人信息并非法定权利的情况下,《民法典》人格权编对这一态度作出了延续。虽然学界对于这一问题仍存有争议。有观点认为,《民法总则》规定的个人信息是指个人身份信息,与隐私权保护的私人隐私信息有明确的界限,在实践上作为一个权利保护没有障碍,在比较法上没有对个人信息作为法益保护的立法例,因此,应当认定《民法总则》第111条规定的个人信息,就是规定的自然人享有的具体人格权之一,即个人信息权。我们认为,从长远发展看,明确个人信息为一确定的实体权利具有积极意义。但目前就规范分析而言,个人信息本身的外延比较广阔,与隐私权、商业秘密权等都存在一定程度的交叉,既有人身权属性,又具有财产权属性,在人格权领域内确定其为法定权利,还需要进一步研究、探索和积累。 (二)个人信息的分类 关于个人信息的分类,按照不同标准有不同分类。比如以个人参与的社会活动为参照,可分为购物信息、教育信息、交通信息、医疗信息、金融信息、社保信息等。这种分类通俗易懂,有利于直观地把握个人信息,但是不能穷尽所有个人信息。我们认为,从法律适用的角度讲,较有意义的分类是以信息敏感程度为标准所进行的分类。 学界通说认为,以个人信息与个人是否具有直接相关性,将个人信息区分为敏感信息与非敏感信息。我国已颁布的国家标准《个人信息保护指南》和《个人信息安全规范》对个人敏感信息均采取界定内涵加列举类型的方式,即先依据个人信息的内容或性质定义敏感信息,进而对其种类予以列举。具体而言,个人敏感信息是“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息”,或者界定为“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇的个人信息”。也有观点将个人敏感信息定义为“一旦泄露或滥用,极易危及人身、财产安全或导致人格尊严受到损害、歧视性待遇的个人信息”。此外,建议将综合信息处理的情境和目的作为认定敏感信息的补充,在个案中,由特定机构来判断某个人信息是否为敏感信息。关于个人敏感信息的具体种类,建议结合泄露该信息是否会导致重大伤害、给信息主体带来伤害的概率、社会大多数人对某类信息的敏感度三个考量因素,将健康信息、性生活和性取向、身份证件号码、金融信息、政治意见、通讯信息、基因信息、生物特征信息和精确地理位置列为个人敏感信息,同时,考虑到未来技术的发展变化,为一些特殊信息的保护预留空间。至于敏感信息以外的个人信息就属于非敏感信息。这一分类的法律意义在于对信息保护的要求和程度不同。敏感信息更要加强保护,而且其往往属于隐私的范畴,可以适用隐私权的保护方法。 此外,也有学者根据个人信息是否可以被直接地识别,将其分为“直接可识别个人信息”与“间接可识别个人信息”。直接可识别个人信息,是指能够较容易地识别特定个人的信息,主要包括姓名、性别、身高、体重、三围、身体缺陷、出生日期、住址、身份证号、护照号码、电话号码、邮箱地址、基因、指纹、财产状况、家庭情况、婚恋情况、犯罪记录、病历记录等。此类信息是单独或与其他信息简单结合后就可以指向特定个人的身份识别性信息,是传统的个人信息权理论研究的对象。间接可识别个人信息,是指通过互联网或移动通信技术手段等综合分析和核对相关个人信息内容后,可以间接识别该特定个人或者特定群体的信息。 目前受到关注的主要包括个人消费信息、生活信息、行踪记录、网络浏览记录、上网时间记录、网络聊天记录等匿名化信息。这类信息的特点是,虽然不能直接体现具体的信息主体是谁,但可以反映出该信息主体何时何地以何种方式从事了何种行为,还可以由此分析其兴趣爱好、活动范围、消费能力、消费需求、行为方式等,并通过数据分析为个人提供个性化的服务,如互联网定向广告服务、个人生活记录服务、个人定位服务等。此类信息也具有身份识别属性,与个人人格、身份有一定的联系。这一分类对区别不同个人信息的保护要求和保护方法具有重要意义。 三、个人信息与隐私权 本条第3款旨在协调个人信息与隐私权之间的关系。个人信息与隐私权有着诸多关联。结合上一条的规定,隐私权,“是指自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权”。有观点认为,个人信息能够囊括隐私信息,即个人隐秘的敏感的信息。而当这些信息与其他单独不具有识别性的信息配合,从而使得集合性的信息具有可识别性时,也应当受到信息权的保护。我们认为,个人信息与隐私权最大的交叉点就在于有些个人信息属于私密信息,构成了隐私权的保护客体。具体而言,二者的相似及相异之处在于以下方面: 从相似之处来看,第一,二者的权利主体都限于自然人。第二,二者均体现了个人对其私人生活的自主决定,都能够彰显人格尊严与人格自由。第三,二者在客体上存在交叉。一方面,许多个人信息都是人们不愿让他人知晓的私密信息,例如未公开的家庭住址、银行账户等,这些信息被记录在特定主体之上,可以与姓名等组合直接或者间接指向特定主体,因此同时满足个人信息和隐私两种性质。另一方面,部分隐私权保护的客体,例如隐秘的通讯、谈话等活动也可以通过技术处理方式得以记录为个人信息。对于交叉的部分而言,无论是隐私权还是个人信息都可以提供一定程度的保护。 从不同之处来看,第一,二者的客体不同。隐私主要是一种私密性的信息或私人活动,如个人身体状况、家庭状况、婚姻状况等,凡是个人不愿意公开且不涉及公共利益的部分都可以成为个人隐私,但单个的私密信息或私人活动却不一定直接指向自然人的主体身份,并不一定满足个人信息所要求的主体可识别性。个人信息既包括私密信息,也包括非私密信息,例如已经公开的裁判文书等。这些信息的使用同样存在一定的界限,但并不属于隐私权的规制范畴。隐私信息只属于个人信息的一部分,隐私权人虽然有权决定隐私信息是否公开以及公开范围,但无法涉及所有的个人信息。有学者指出,除隐私因其隐秘性无法包含公开的个人信息之外,个人信息也无法包含生活安宁的隐私以及没有形成记录的隐私。而生活安宁是隐私不可或缺的一部分,记录又是《网络安全法》第76条第5款规定个人信息必需的形式要件。换言之,隐私一旦被披露就不再是隐私,只能通过个人信息或其他途径保护。此外,隐私不限于信息的形态,隐私还可以体现为个人的生活安宁、私人活动等形式,但个人信息则要求必须以固定化的信息方式记载下来。第二,从权利内容来看,个人信息权益主要是指对个人信息的支配与自主决定。对于可以公开的个人信息,个人也仍然拥有一定的控制权。但隐私权的重心在于防范个人秘密不被非法披露,而不在于保护这类信息的控制与利用。隐私权是一种消极的、防御性的权利,只有该权利遭受侵害,个人才可积极主动地行使权利要求排除妨碍或损害赔偿。隐私权重心在于防止个人私密信息不被泄露,以及隐藏个人隐私。而个人信息蕴含主动性,权利人除了被动防御之外,还可以积极利用。个人除了对个人信息的被保护需求,也有利用他人个人信息的需求,这种信息业者对个人信息收集和利用的正当性已经得到了立法和社会的普遍承认。第三,从保护方式来看,对个人信息的保护更侧重于预防,而对隐私的保护则更注重事后救济。基于上述个人信息与隐私的区别和联系,可以看到二者在保护范围与保护方式上虽有重叠,但仍有独立的功能。 实践中,侵害个人信息特别是侵害敏感信息的情形,容易和侵害隐私权存在交叉。本条第3款即明确规定了对私密信息适用隐私权的保护方法。这应该主要是从侵权责任承担的角度对私密信息被侵害后的救济作出的规定。适用隐私权保护的规则,也就相应地体现在适用过错责任承担侵权责任的规则上。此外,如果对相关个人信息的侵害同时导致受害人名誉权受损的,也应允许受害人主张侵害名誉权的民事责任。这时是构成竞合关系还是允许受害人一并主张,目前没有明确规定,实践中也存在争议。我们认为,上述交叉主要是这些权利与保护个人信息在客体范围上存在交叉重复所致。鉴于侵害个人信息与侵害隐私权或者名誉权在责任承担方式上具有共通性,在立法没有明确将个人信息定性为独立权利的前提下,基于充分保护个人信息的需要,应允许当事人一并主张侵权人承担侵害名誉权或者隐私权的侵权责任。 具体而言,自然人的个人生物识别信息、病历资料、健康检查资料、犯罪记录、住址、私人活动等敏感信息受到侵害,其可以依法主张被侵权人承担侵害隐私权的侵权责任。比如,在谢某诉某某置地物业服务有限公司隐私权案中,法院裁判认为,原告姓名、婚姻状况、家庭住址、个人电话号码这一组信息为公民个人信息,属于公民个人的无形隐私,并与个人的生活安宁相关联,应当属于隐私权的保护范围。原告对隐私信息除享有消极的保密权之外,还享有积极的处置权。在个人对其私密信息的积极控制过程中,有权决定其私密信息公开的范围和程度。个人私密信息和公开信息是相对应的概念,一旦个人的私密信息向全社会公开,就不再属于隐私的范畴。但是,隐私具有一定的相对性,隐私的秘密状态具有局部性和不平衡性,个人信息不可能总是处于绝对保密或完全公开这两种极端状态,在许多情况下,某些信息对于特定群体是公开的,但对于其他人则处于保密状态,当事人就其私密信息向特定人进行了披露,或者在一定范围内公开,但并不等于完全抛弃其隐私。本案中,原告姓名、原告的婚姻状况、配偶姓名、家庭住址及手机号码139××××××36,因原告配偶曾担任翡翠城一期业主委员会委员、业主委员会筹备组成员,已主动向小区业主公布,故上述信息已不属于原告尚未向小区业主公开的个人信息,不再属于隐私的范畴。而原告的家庭固定座机电话852××××1及手机号码131××××××99未向小区业主公开,故原告的家庭固定座机电话852××××1和手机号码131××××××99为原告尚未向小区业主公开的个人信息。虽然电话号码是具有通讯作用的个人信息,原告在与小区其他业主及物管工作人员的交流过程中,会将其电话号码向特定人进行披露,或者在一定范围内公开,但并不等于完全抛弃其隐私,也不能削弱对原告隐私权的保护。此外,自然人的个人信息被歪曲、篡改,导致其社会评价降低,其可以依法主张被侵权人承担侵害名誉权的侵权责任。 由于隐私权的相关条款并未对隐私的收集、利用、查询、更正等各个环节进行具体规范,其主要侧重事后的救济,当某种行为侵害他人私密信息时,则有可能同时侵害隐私权与个人信息,从而构成侵权的竞合。从侵权责任角度讲,其可以依照隐私权侵权责任来主张救济。同时,在隐私权保护规则没有具体规定,或者隐私权的规定无法实现对受害人有效救济的情况下,该受害人可以依法主张有关个人信息保护的规则,比如查阅、复制、更正个人信息或者采取匿名化处理等必要技术措施保护个人信息安全。 【审判实践中应注意的问题】 适用本条需要注意的是,在鉴别侵害个人信息所带来的损害时,除要考量个人信息是否为不愿意为他人知晓的私密信息,还要考虑是否为敏感信息。如上所述,个人敏感信息一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇。 此外,未成年人的个人信息和涉及自然人隐私的信息属于个人敏感信息。《未成年人保护法》第39条规定:“任何组织或者个人不得披露未成年人的个人隐私。对未成年人的信件、日记、电子邮件,任何组织或者个人不得隐匿、毁弃;除因追查犯罪的需要,由公安机关或者人民检察院依法进行检查,或者对无行为能力的未成年人的信件、日记、电子邮件由其父母或者其他监护人代为开拆、查阅外,任何组织或者个人不得开拆、查阅。”本条规定既强调了未成年人隐私,其实也强调了未成年人相关个人信息的保护问题。 通常而言,可从以下角度判定是否属于个人敏感信息:(1)个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。(2)某些个人信息仅因在个人信息主体授权同意范围外扩散,即可为个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。(3)某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。《信息安全技术公共及商用服务信息系统个人信息保护指南》中明确了“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等”。这一界定值得在审判实务中借鉴和参考。
| 
发表于 2023-1-10 23:18:59