区分于隐私的个人信息分级保护研究.docxVIP

区分于隐私的个人信息分级保护研究

裴俊晖刘柳

随着科学技术的发展，隐私及个人信息泄漏问题越发频繁，人们对各类能够单独或合并识别自己身份的个人信息以及自己不愿公开的个人隐私的保护意识不断增强。《中华人民共和国民法典》（以下简称《民法典》）和《中华人民共和国个人信息保护法》（以下简称《个保法》）对隐私权和个人信息进行了分级保护。《民法典》第1034条第3款规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”而《个保法》中又在第二章的第一、二节对个人信息保护作出了一般规定和敏感个人信息的处理规则。如此，我国构成了对公民隐私及个人信息的“隐私—敏感个人信息—一般个人信息”三级保护模式。这种将隐私与个人信息熔于一炉进行三级分级的保护模式易造成两个问题：一是概念混淆。三者之间的界限模糊，导致某些个人信息级别定位模棱两可，势必会造成保护模式适用的两难境地。特别是隐私和个人信息还在“私密信息”范畴交叉，易造成隐私与个人信息之间的概念混淆。二是单层模式。这一问题源自于界限模糊，忽视各类个人信息间，甚至个人信息与隐私之间的差距而采取“一刀切”的保护模式，使法律规定的正确保护方式被闲置。①如何解决这些问题，完善我国的隐私及个人信息的保护模式就是本文所要探讨的内容。

隐私和个人信息在“私密信息”这一范畴中形成交叉，易导致隐私和个人信息之间区分模糊。加之个人信息的二级分级结构简单，易造成分级保护不周延的问题。

目前我国《民法典》在第110条和第111条中分别规定了隐私权与个人信息受法律保护②，虽均规定在民事权利一章，但个人信息是否应视为权利尚存在争议，学界对此也是众说纷纭。其中主要包括：法益说、近似人格权说以及人格权说三种学说观点。③由于本文主要讨论的是区分隐私及个人信息而非对个人信息的权利或权益性质进行定性，因此该争议问题本文不做赘述。但至少可以确定的是，《民法典》第110条与第111条已经将隐私与个人信息列为两种不同的权利或权益。同时，《民法典》通过第1032条和第1034条第2款分别对“隐私”和“个人信息”进行区分定义。④然而，第1032条中隐私定义所包含的“私密信息”以及第1034条第二款规定的“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”，却又使二者形成了隐私和个人信息两相区分又在“私密信息”这一部分相互交融的局面。⑤如此，《民法典》对隐私及个人信息的规定，无法明确二者之间的区分，易造成司法实践中“一刀切”的错误操作。

《个保法》第二章个人信息处理规则共分为三节，分别是一般规定、敏感个人信息的处理规则以及国家机关处理个人信息的特别规定。从该分节方式中不难看出，作为我国对个人信息进行保护的特别法，《个保法》对个人信息作出了两级划分，即“一般个人信息—敏感个人信息”，并对二者的处理规则进行了区分规定。《个保法》第4条对个人信息作出一般性的定义，其中“不包括匿名化处理后的信息”也说明我国所保护的个人信息只限于可单独识别或可合并识别的内容。⑥而《个保法》第28条通过可识别程度将“敏感个人信息”定义为一旦泄漏或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。但由于以下两点原因，这一分级模式容易使司法实务陷入混淆适用的泥潭。

1.二级保护模式带来个人信息保护泛化

《个保法》作为我国个人信息保护领域最高位阶的专门立法，它对个人信息的界定与分级势必具有深远的指导意义。然而对个人信息仅做二级区分是远远不够的，如此二级区分易造成：（1）对可识别程度极高的敏感信息保护不周延。敏感个人信息中有些信息对行为人的可识别性是极高的，不将这类个人信息区别于其他敏感个人信息，易造成保护泛化而不周延不精细。（2）对可识别程度处于中位的个人信息认定模糊。对于这类个人信息若认定为敏感信息则保护力度过大不利于信息流动，认定为一般个人信息则保护力度过轻不利于行为人维护自己的合法权益。二级保护模式易造成对个人信息级别认定非此即彼，保护力度不周延的问题。

2.“场景化”立法保护不周延

我国对个人信息的分级以可识别程度为分级标准，但各项个人信息带有的可识别程度在不同的场景下可能存在变化。由于这种变化，我国现有的个人信息保护相关的法律文件对各项个人信息的分级认定持有不同的观点，形成了表1所示的个人信息分级认定结果。

表1我国一般性法律文本对个人信息的分级认定⑦

由表1可见，在大部分类型的个人信息的分级认定上，国内的法律文本达成了共识，只是在某些法律文本中形成了特别规定；但在某些信息的分级认定问题上，《个保法》和其他的一些法律文本的观点产生了矛盾。例如银行账户信息，《个保法》在第28条明确规定为敏感个人信息，而在其他的一些法律文本中却认定为一般个