已收集敏感个人信息的处理规制

阳雪雅  王灵娟

摘要：已收集敏感个人信息是指所有已经为信息处理者所收集，在客观上处于信息处理者的掌控领域，已经基本脱离信息主体控制，与信息主体人格尊严，人身财产安全有重要关联的个人信息。已收集敏感个人信息的客观状况具有较大风险，并且有规制的必要性。在具体规制方式上重点放在纠正已收集敏感个人信息现存的不合理状态和控制处理风险上，具体体现为：明确规定已收集敏感个人信息的最低保存期限，强制备案，禁止对已收集敏感个人信息二次利用，确立外来原因为唯一的侵权抗辩事由，在信息处理者内部增强处理透明度和加强技术保护的措施等，同时提高信息主体自身的保护意识。

关键词：已收集敏感个人信息  二次利用  暗网  外来原因  透明度

一、问题的提出

《个人信息保护法》采用的两分法立法模式把个人信息分为一般个人信息和敏感个人信息。《个人信息保护法》把敏感个人信息的保护提升了一个高度，在体例编排上把敏感个人信息的保护方式作为专章规定；在处理原则上，以禁止处理为原则，允许处理为例外，并且只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息；在被同意处理敏感个人信息的场景中，还需要取得信息主体的单独同意，如果有行政法规和法律的特别规定，还须采取书面的单独同意；在敏感个人信息的内容设置上，以事关人格尊严和人身财产安全为核心界定敏感个人信息的内涵，以列举方式解释敏感个人信息的种类。《个人信息保护法》在保护敏感个人信息的规范中明显体现了实用主义与风险防范导向。

《个人信息保护法》中的敏感个人信息是对《民法典》所设定的私密信息与个人信息保护的二分架构的回应，同时也在补充《民法典》个人信息与私密信息的二元划分所留下的空间。敏感个人信息和私密信息有交叉部分，从隐私的角度看，两者都是信息主体不愿意为他人知晓的信息。私密信息不一定会影响信息主体的人格尊严和人身财产安全，而敏感个人信息是必然与人格尊严和人身财产安全相关的。《民法典》更多是处于隐私的角度来保护私密信息。而《个人信息保护法》是站在信息角度的方面保护敏感个人信息，两部法律的出发点并不完全一致。《个人信息保护法》也对《民法典》对于私密信息的相关规定起补充作用。

在《个人信息保护法》生效之前，《信息安全技术个人信息安全规范》（以下简称《安全规范》）对敏感个人信息做了定义。2020年版本的《安全规范》对于敏感个人信息的定义为：个人信息控制者通过个人信息或其他信息加工处理后形成的信息，如一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的，属于个人敏感信息。《个人信息保护法》对敏感个人信息的定义和《安全规范》中的定义并无本质区别。

敏感个人信息作为一种独立的个人信息种类在立法上存在，并且需要立法提供更高规格的保护是具有正当理由的：敏感个人信息与信息主体人格尊严人身财产安全休戚相关。社会实践中，信息主体侵害信息主体敏感个人信息的行为屡见不鲜。比如，手机App对人们的日常对话做数据采集，被推送对话涉及的相关产品却是人们从来没有在手机上搜索过的。这种并不陌生的社会情景表明手机App在收集人们的敏感个人信息之一的生物识别信息——声音。这种收集是合法的吗？被App收集的信息主体的声音最终会流向哪里？如果只是精准推送产品尚在信息主体容忍的范围之内，不过，还会不会引发其他无法预料的伤害性后果呢？这些都是令信息主体担忧的。这些担忧会引申出以下值得探讨的问题。其一，《个人信息保护法》并不完全禁止收集敏感个人信息，《个人信息保护法》提供了一个合法的收集门槛，但是，一旦跨过这个门槛之后，敏感个人信息就完全地处于信息处理者的掌握之下，在这种情况下，敏感个人信息是否就失去了保护价值？其二，《个人信息保护法》不是唯一保护个人信息的法律，但是唯一的把敏感个人信息收集门槛提高的法律。事实上，在《个人信息保护法》生效之前，《网络安全法》，《消费者权益保护法》都对个人信息的保护做出了相应的规定。但是这些法律的规定都没有对敏感个人信息和非敏感个人信息做出权威性的区分，并且对于信息处理者的收集门槛都较为宽松。既然这些法律并未区分敏感个人信息，那在《个人信息保护法》生效之前的收集的个人信息是否都不算作是敏感个人信息？其三，《个人信息保护法》虽然增加了收集敏感个人信息的前提条件和负担方式，这些前提条件和负担方式是否可以产生对已完全脱离于信息主体的敏感个人信息的保护效果？其四，如果已被信息主体收集的敏感个人信息是值得保护的，那规章制度又应该如何设计？

二、已收集敏感个人信息的内涵、外延、法律效果

个人信息保护法律体系构建的初始阶段并没有区分敏感个人信息和非敏感个人信息。敏感个人信息上升为法律概念经历了漫长的实践曲折。社会上各种各样的信息主体伤害事件一直在发生，让立法者意识到个人信息中有一部分信息是与信息主体的人格尊严和人身财产安全相关的，不能成为信息处理者野蛮掘金的工具，并且需要立法予以特别的保护，于是立法者就提炼出了关于敏感个人信息保护的独特规范。立法在渐进性中确定敏感个人信息的种类和提高敏感个人信息的收集门槛。与立法渐进性的历程相比，信息处理者并不会根据立法的历程来逐步规范自己的信息收集行为，并且一直没有停止收集敏感个人信息，这导致了信息处理者掌握了大量的敏感个人信息。厘清已收集敏感个人信息的内涵和外延有助于分析规制已收集敏感个人信息的风险和必要性。

（一）已收集敏感个人信息的内涵

已收集敏感个人信息是指所有已经为信息处理者所收集，在客观上处于信息处理者的掌控范围的，已经基本脱离信息主体管控的，与自然人格尊严，人身财产安全有重要关联的以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。已收集敏感个人信息的最大特殊性是已经脱离了信息主体的管控领域。在对已收集敏感个人信息的内涵进行解释时，需要特别注意以下几点：其一，这里的收集即包括事实行为意义上的收集也包括法律行为意义上的收集。从条文内容来看，《个人信息保护法》第10条中表明不得非法收集个人信息是事实行为意义上的收集，而第4条、第6条、第26条和第40条所指的信息主体收集行为是指经过信息主体同意的，是具有法律行为意义的。《个人信息保护法》的收集包括在广义的处理行为之中，《个人信息保护方法》也是从这两方面的意义来解释收集行为。

其二，已收集敏感个人信息的本质和种类不会因为收集这个行为而发生变化。收集只是一个门槛，门槛里和门槛外的敏感个人信息并无实质差异。应该以敏感个人信息的本质、种类以及种类确定的方式来理解已收集敏感个人信息。《个人信息保护法》中规定的敏感信息种类为生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及兜底种类。比较法上，欧洲《通用数据保护条例》敏感个人数据名单，包括民族种族出身、宗教信仰、政治观点、工会成员身份、性生活以及健康信息等。美国《个人隐私法案》中的敏感个人信息包括基因信息、生物识别信息、亲属隐私信息、家族隐私信息等。确定敏感个人信息的种类通常都会参考一定的价值或标准，如社会大多数人对某类信息的敏感程度；泄露该信息导致重大伤害发生的可能性；泄露该信息给信息主体带来伤害的概率等。对这些敏感个人信息种类理解还需要参考场景模式，不能以全有或者全无的方式来判断敏感个人信息种类。这些针对敏感个人信息的种类以及确定种类的方式适用已收集敏感个人信息。

其三，法律应该重点关注的是在《个人信息保护法》生效之前的已收集敏感个人信息。有以下几点原因：首先，《个人信息保护法》没有规定溯及力，对生效之前对敏感个人信息的收集行为并无特别指引。其次，《个人信息保护法》生效之前的法律并没有形成保护敏感个人信息的有效屏障。一方面，《中华人民共和国电子商务法》《中华人民共和国公共图书馆法》《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国旅游法》等法从不同的角度来保护个人信息。这些法律中相关条文中的措辞大多没有可操作性，如禁止非法提供，禁止买卖个人信息、对个人信息进行保护，不得泄露等。这些条文除了没有可操作性之外，也几乎没有强制性和威慑力，也缺乏对信息处理者违规处理个人信息的责任体系。《民法典》中关于个人信息保护的规定虽然具有纲领性的重要作用，但是《民法典》条文也缺乏可操作性，还需要进一步细化。《中华人民共和国刑法》及相关的司法解释虽然对侵犯与人格尊严、人身财产安全有关的个人信息的行为特别关注，但在实践中，这些违规行为并不是随时都可以动用刑法来处罚。另一方面，这些法律规定的收集门槛普遍较低，也没有对敏感个人信息和非敏感个人信息进行不同程度的区别保护，导致大量敏感个人信息以非敏感个人信息的通道被收集。总的来说，这些法律其实并没有对敏感个人信息的保护形成强有力的保护屏障。最后，很多敏感个人信息在《个人信息保护法》生效之后，是不需要被重新收集的。信息主体在物理空间产生的敏感个人信息是有限的，并不是随时都在产生敏感个人信息。比如，每个人的生物特征都是独特的并且不会轻易改变，如人脸、声音等。又如，一个人一生时间有多少子女，有多少不动产和有价值的动产，有多少常用的现金流账户都是比较稳定的。再如，一个人的生活习惯和性格特征也是不会轻易改变的。如果这些敏感个人信息在《个人信息保护法》生效之前已经被信息处理者所收集，那《个人信息保护法》生效之后，是不需要被再次收集的。《个人信息保护法》对生效之前的已收集敏感个人信息的保护几乎失去了效用。

其四，如果生效之后的《个人信息保护法》对已收集敏感个人信息保护的保护并没有产生理想的效果。在设计已收集敏感个人信息处理规制的时候，虽然规制重点在《个人信息保护法》生效之前的已收集敏感个人信息，但是部分规制路径的设计可以运用到《个人信息保护法》生效后的敏感个人信息收集行为的。

（二）已收集敏感个人信息的外延

已收集的敏感个人信息的外延是指其表现形式或者主要来源。已收集敏感个人信息有三种主要来源，第一种来源是收集之时就以敏感个人信息名义被收集的个人信息。当信息处理者根据有关规范性法律文件对敏感个人信息的定义收集这些敏感个人信息时，是明知自己收集的是敏感个人信息。这些敏感个人信息包括信息处理者根据《安全规范》收集的敏感个人信息。中国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《个人信息保护指南》）指出各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。信息处理者身处于不同的行业，在行业规范的指引下，收集个人信息时也明知自己收集的个人信息属于行业内的敏感个人信息。

已收集敏感个人信息的第二种重要来源是某种个人信息先前不被视为敏感个人信息，后来立法又确定其属于敏感个人信息的信息。此种来源最为典型的就是儿童个人信息。《中华人民共和国预防未成年人犯罪法》第3条对保护未成年的个人信息（包括儿童信息）保护进行了宣示性规定。《中华人民共和国未成年人保护法》第72条规定处理儿童的个人信息需要由监护人同意，监护人有权利要求信息处理者删除和更正儿童个人信息。《互联网企业个人信息保护测评标准》作为行业标准也规定互联网企业应规定未成年人个人信息（包括儿童个人信息）处理的特殊措施，如仅在征得其监护人的明示同意前提下处理其个人信息，或一旦明知其为未成年人，在未征得监护人明示同意时停止处理其个人信息。在这些法律的规范下，儿童个人信息并不属于敏感个人信息。在立法实践中，《个人信息保护法》把儿童个人信息增加进敏感个人信息种类，适用特殊的保护规定。《个人信息保护法》之所以把所有的儿童信息全部作为敏感个人信息主要出于两个方面的考虑。一方面，家长作为监护人并不总能最有效的保护儿童的个人信息，在很多时候家长反而成为了儿童信息权益的侵犯者。另一方面，信息隐私权并不需要以分析儿童是否有能力做出决定而应被赋予。即使儿童没有能力进行自我信息控制，儿童的隐私信息始终是需要保护的。类似儿童个人信息这种先前并不认为是敏感个人信息，后来又认为是敏感个人信息的个人信息种类还有很多，这些个人信息具有人格尊严和人身财产安全的重要属性并不会因为法律先前的不承认而有所改变。这种来源的已收集个人信息的种类可以被法律“追认”为敏感个人信息。

已收集的敏感个人信息第三种重要来源是对收集的普通个人信息进行分析得来的敏感个人信息。信息处理者在对普通个人信息的初次收集之后，对普通个人信息进行多种分析，并在普通个人信息的基础上提炼出敏感个人信息。其一，已收集的敏感个人信息可以来源于信息主体已经公开的个人信息，信息主体大量的自我披露信息行为一直客观存在，大量的用户在社交网络上依旧会不经意间披露非常私人的信息，如照片、个人经历等，而很少考虑这种披露程度是否合适。信息处理者为了节约自己的营销成本，会对这些信息主体主动公开的信息进行收集。其二，已收集的敏感个人信息也可以来源于对不敏感的个人资料的滥用。其三，信息处理者还可以采取对匿名化个人信息进行重新识别或者采取跟踪技术来分析出信息主体的敏感个人信息。

（三）已收集敏感个人信息的法律效果

学界对处理敏感个人信息的常见观点为敏感个人信息应该以禁止处理为基础，处理为例外。大量的已收集敏感个人信息已经进入了处理的环节，处理原则对其已没有意义。除了对非法收集的敏感个人信息的法律效果作否定性评价以外，通过行为当时有效的合法途径收集而来敏感个人信息产生的法律效果如下。

1.已收集敏感个人信息成为了信息处理者控制的数据库组成部分

已收集敏感个人信息成为信息处理者掌握的数据库的一部分，表现为以下几点。首先，敏感个人信息需要以数据的方式呈现客观形态，也需要经过数字化转变成数据才能存储和传输。代码层上的数据方只有在信息内容层上符合保护敏感个人信息的保护要求，才可以获得合法的财产权益。敏感个人信息在内容层面上的保护其实并不为人所知，呈现出来的结果是已收集敏感个人信息变成了信息处理者掌握的敏感数据。其次，在有些商业领域，已收集敏感个人信息被脱敏以后，将失去利用价值。采用数据干扰手段而达到数据的假名化或者匿名化，会导致原始的数据失真，采取数据保护方法更多，那么所释放出来的数据有用性就越小。在法律没有强制性规定脱敏的情况下，信息处理会尽量避免对自己所掌握的敏感个人信息脱敏。信息处理者掌握的已收集敏感个人信息是否脱敏同样也不为人所知，或者认为信息处理者会主动进行脱敏是一个理想状态。事实上，信息处理者掌握了大量的已收集的并且不会被脱敏的已收集敏感个人信息。再次，各个相关联信息处理者之间一般会在市场上对自己实质控制的数据库进行流转或者共享，从而会因为流转或共享而获得利益。已收集敏感个人信息数据库不仅已经被信息主体实质掌握，也成为为信息处理者创造利益的源泉。最后，收集行为成年累月从未间断，导致信息处理者掌握的已收集敏感个人信息的数据一直处于增长性的状态，增长之后再发生聚合效应，形成庞大的数据库。在各种因素的聚合效应下，已收集敏感个人信息已经成为信息处理者数据库不可分割的一部分。

2.信息主体对已收集敏感个人信息的处理效果已经不可撤销，也不能轻易做否定性评价

信息主体缺乏反思动力，不会随意地去撤回授权。已收集敏感个人信息的合法性来自信息主体的授权，当信息主体的敏感个人信息被收集以后，实际上已经失去了对自身敏感个人信息的控制能力。敏感个人信息事关人身财产安全，信息主体产生敏感个人信息的数量极为有限，信息主体失去掌握的不仅仅是敏感个人信息的本身，也会失去对自己人格尊严和人身财产安全的掌握。如果信息处理者运用数据挖掘技术和歧视性的社会分类方法一起设计算法并处理个人信息，并且用已收集的敏感个人信息来确定哪些信息主体在相关的环境中是否有资格或没资格，这对信息主体来说是有害的。由于信息的严重不对称，信息主体通常不能理解算法的内部逻辑和无法进行算法的外部规制，所以信息主体本身难以意识到自己受到了不公正待遇或者意识到权利受到侵害的危险，从而反思自己当初的授权行为是否正确。

信息处理者不会轻易浪费信息主体的授权，从而放弃自己利用已收集敏感个人信息获利的机会。法律本身对敏感个人信息的敏感界限定义模糊。在美国，监管部门之间对何为敏感个人信息甚至都不能达成一致的意见，与联邦通信委员会对个人信息敏感数据的相关定义相比，联邦贸易委员会对敏感性数据的定义更窄。《个人信息保护法》对敏感个人信息的定义也很难说是周延的。法律定义的模糊性将增加信息处理者的合规惰性。

即使对已收集敏感个人信息的处理结果，也很难说这些法律效果都是错的，也不会有撤回或者撤销收集行为的正当理由。对于信息处理者来说，如果信息处理结果没有按照他的意愿而实际进行处理，对他来说才有可能发生错误。一般情况下信息处理者会给予信息主体所希望的服务，只要有这种服务存在，信息处理结果对信息主体来说就不存在错误。而对信息主体本身来说，“显示信息主体对信息的掌握程度以及通过行为所体现对信息进行处理之间的因果关系是极为困难的”，难以判断他是因为对自己的信息自决权的忽视而故意导致敏感个人信息被收集的，从而判定他的授权决定也是错误的。已收集敏感个人信息的收集行为恰巧是信息处理者和信息主体私法意思自治的表现。对于收集时的法律来说，并不是“即目标或计划本身是错误的导致预期行为也是错误的”。按照法律行为的理论，收集的法律效果是符合当事人的意志的，无撤销或无效的可能。

信息主体本身缺乏对自身权益的了解，信息处理者缺乏合规动力，收集行为在当时法律的情况下又是合法的，导致已收集敏感个人信息的处理效果不可撤回或者撤销，法律效果也不好做否定性评价，这种状态变成了无法轻易变更的客观事实。

三、已收集敏感个人信息的处理规则的必要性

经过对已收集敏感个人信息概念的内涵，外延以及法律效果进行梳理，可以看出，已收集敏感个人信息因为自身的特殊性在信息保护法领域中所面临的复杂局面。单纯的保护一般个人信息的方法或者单独控制敏感个人信息的方法似乎都不足以解决已收集敏感个人信息的困境。通过对已收集敏感个人信息的必要性进行分析，明确需要规制已收集敏感个人信息的正当理由。

（一）规制已收集敏感个人信息的目的是保护信息主体已经失去控制的敏感个人信息

已收集敏感个人信息已经进入了信息处理者的风险控制范围，信息主体已经不可能从物理上控制自己的敏感个人信息。敏感个人信息之所以重要是因为敏感个人信息权益的人身权益属性超过了财产权益属性。事实上，中国目前的个人信息保护法体系中也并没有完全否认敏感个人信息的财产权益属性。法律为信息主体赋予的各种权益被学界观点浓缩为个人信息控制权。个人信息控制权是人格权，源自个人信息与自然人生命、身体、健康的密切关联。个人信息控制权要行使的前提是信息主体能够控制自己与其人身属性相关的信息。对于已经失去控制的敏感个人信息，就算赋予信息主体再多的有名无实的信息控制权也不起作用。

已经失去控制的敏感个人信息的存在对信息主体是威胁，尤其体现在《个人信息保护法》生效之前被收集敏感个人信息。现行法律把敏感个人信息的处理前置标准提高了很多，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。特定的目的、充分的必要性以及严格的保护措施，是并列的限定，缺一不可。可以合理地推断出信息处理者在《个人信息保护法》之前收集信息主体的敏感个人信息时没有遵守现行的三个规则，有可能是毫无目的地收集，或者没有必要地收集，或者没有采取严格的保护措施，或者虽然有特定的目的和充分的必要性而没有进行严格的保护措施等。被信息主体掌握的已收集敏感个人信息实际上也是合理地规避了现行法律较高的处理前置门槛。毕竟，很多针对已收集敏感个人信息的行为是在《个人信息保护法》生效之前发生的。“如果将一项法律适用于其颁布生效之前的行为或事件,由于行为人做出行为之时对该法的内容完全无法知晓,自然也就无法理性地安排自己的行为。”这导致信息主体对信息处理者会合规处理《个人信息保护法》生效之前收集敏感个人信息的期待性降低。

法律缺乏对违法处理已经失去控制的敏感个人信息行为的惩罚措施。现行法律没有对信息处理者处理已收集敏感个人信息的行为进行惩罚的措施，也没有表明信息处理者曾经收集处理敏感个人信息的行为是违法的，现行法律本身并不会对信息处理者带来不合理的负担。已收集敏感个人信息的存在是一种事实状态，对信息主体的人格尊严和人身财产安全造成了威胁的状态，法律将要进行的规制是纠正不合理的状态，细化现行有效的规则去改变以前存在并且持续存在的不合理的事实状态。已收集敏感个人信息关涉信息主体的人格尊严和人身主体安全，以至于无论处理过程发生在哪个时间段都不会改变这些本质。规制信息处理者对已收集敏感个人信息的处理方式是为了保障信息主体的人格尊严和人身财产安全。

（二）《个人信息保护法》对敏感个人信息新增的前提条件和方式负担不足以应对已收集敏感个人信息的困境

《个人信息保护法》第4条规定把收集行为纳入处理行为的一种。第6条规定在数量上不得过度收集个人信息，以实现处理目的为最小收集范围。第10条规定不得非法收集。第55条规定处理敏感个人信息应当事前进行个人信息保护影响评估。在专属规定敏感个人信息的章节中，提高了三个前提条件：在特定的目的和充分的必要性以及严格保护措施之下，个人信息处理者方可处理敏感个人信息。还增加了两种方式负担：需要取得信息主体的单独同意，在有行政法规和法律的特别规定时候的书面的单独同意。《个人信息保护法》对敏感个人信息的保护模式是一般保护加特殊保护模式。

《个人信息保护法》针对敏感个人信息增加的三个前提条件表明法律对敏感个人信息的保护需求，同时也构成了信息处理者收集、使用敏感个人信息的内在限度。如果以《个人信息保护法》时间线为轴，把已收集敏感个人信息划分成两个部分，那这三个新增的条件对《个人信息保护法》生效之前的已收集敏感个人信息是不起作用的，对《个人信息保护法》生效之后的已收集敏感个人信息的作用也应有待观察。三个前提条件在收集之前设立了很多障碍，而关注重点依旧在收集行为。对敏感个人信息和非敏感个人信息，采取宽严程度不同的规制策略，并非仅限于个人信息收集行为，其也同样适用于其他类型的个人信息处理行为。已收集敏感个人信息因为已经脱离了信息主体的控制，不论是信息主体还是法律更应该关注收集以后的行为。

《个人信息保护法》对敏感个人信息的增加的方式负担包括单独同意和书面同意。单独同意有助于引起信息主体对信息处理的警觉性，书面同意有助于配合法律和行政规定的特别要求，这两种方式既有形式上的负担增加，也有程序上的负担增加，确实会对处理敏感个人信息起到不少作用，但是依旧不足以化解已收集敏感个人信息的困境。首先，这两种方式负担的增加对《个人信息保护法》生效之前的法律是没有效用的。其次，从法理上看，《个人信息保护法》构建敏感个人信息的处理规制依旧是同意，而同意并不能有效地保护已收集敏感个人信息。实际上，同意甚至都不能对普通敏感个人信息进行有效保护。学界有观点认为，同意甚至不应该成为个人信息使用的一般规则。在敏感个人信息收集阶段，同意是信息主体自决权主要行使领域。信息主体的自决权不应该被限制在信息的收集阶段。如果敏感个人信息被收集之后，信息主体发现信息处理者超越了敏感个人信息的处理权限，信息主体的信息自决利益可以判定信息主体违反了《个人信息保护法》规定的法定义务。最后，根据《个人信息保护法》的个人信息赋权不足以对抗已收集敏感个人信息的困境。《个人信息保护法》没有针对敏感个人信息和一般个人信息分别赋权，也就是说，并没有针对敏感个人信息的特殊性而在赋权的时候多给予信息主体几项权利。删除权、知情权、被遗忘权等多种信息权是敏感个人信息和非敏感个人信息共用的信息权利。这些权利虽然容易被规定，但真正到了行使阶段权利却需要在具体场景中结合多种因素加以确定。比如，信息主体的删除权的力量在对抗信息处理者自主性的收集和储存行为时，是微不足道的。这些权利还有一个重要的特征就是防御性赋权，表明信息处理者始终处于被动的状态。用防御性的权利去保护已经不受控制的敏感个人信息是鞭长莫及的。

（三）隐私政策中缺少对已收集敏感个人信息的处理回应，不能缓解信息主体对已收集敏感个人信息的担忧

隐私政策是信息处理者和信息主体之间沟通的桥梁。即使《个人信息保护法》提高了收集敏感个人信息的门槛，也只是提高了《个人信息保护法》生效之后的信息收集门槛。很多大型信息主体是不会再次收集信息主体的敏感个人信息的。信息主体要了解大型信息处理者是如何处理自己已被收集的敏感个人信息，最好的方式就是了解隐私协议。阅读随机选取的一些大型信息处理者的隐私政策，就会发现这些政策对如何处理已收集的敏感个人信息语焉不详。

这些政策有一些共同特点：其一，信息存储时间、存储设备、存储技术模糊不清。例如，爱奇艺虽然在《个人信息保护法》颁布以后积极更新了隐私政策，但是爱奇艺只是针对个人信息的存储地点泛泛提到在中华人民共和国境内，对于储存设备、储存技术的状况并未提及。对于合理的保存期限，信息处理者单方面地设置保存期限的标准和期限，爱奇艺引用了《中华人民共和国电子商务法》关于商品服务信息和交易信息保存三年的规定，其实是偷换概念，因为敏感个人信息不属于服务信息和交易信息。其二，没有规定信息处理者的删除义务。大量的敏感个人信息留存在信息处理者手中，需要信息主体自己主动提出删除自己敏感个人信息的请求或者积极主动地注销账号。其三，对于是否要把收集到的个人信息用于共享，信息处理者态度模糊。比如，很多大型信息处理者都会在隐私政策中明确提出将会把收集到的个人信息（包括敏感个人信息）共享给自己的合作伙伴或者政府机关以及学术研究。和政府机关在比如学界共享信息方面，国外学者提出“需要协调三个相互竞争的目标：第一是保护敏感信息不受公开发布；第二是在适当情况下在相关公共和私人实体之间共享敏感信息；第三是确保前两个目标不会导致不必要地隐瞒真正不敏感和适当的公共信息”。这个尺度对于信息处理者来说并不好把握，会造成以公益为名、以私益为实的对已收集敏感个人信息的不当利用。

通常大型信息处理者是法律合规的标杆，如果大企业的隐私政策对已收集敏感个人信息的保护的态度和规定都尚且如此，那么其他中小企业的隐私政策可以被合理推理出更加具有风险。在没有法律负担的成本的前提下，信息处理者是不大可能主动放弃利用有利的已收集的敏感个人信息的。

（四）规制已收集的敏感个人信息不会影响数据流动和发展

在分析规制已收集敏感个人信息的必要性时，需要回答一个质疑：规制已收集敏感个人信息是否影响大数据的经济发展？答案是不会，原因如下：（1）对于大数据起驱动策略的最主要是一般个人信息。学界的通用观点是应该尽量减少对敏感个人信息的利用。有经济学者指出不过分保护消费者的非敏感个人信息反而有助于市场竞争和促进经济发展。有学者认为，可以同意进行经济刺激计划，即允许信息处理者以经济奖励的方式获得信息主体的同意，而对于敏感个人信息因为类型特殊，人格性价值过高，是不能用于经济刺激计划的。也有学者指出应该应当禁止利用此类敏感信息进行用户画像与个性化推荐。还有学者认为通常不得以商业化利用目的处理可能造成具体情境中个人信息权益减损的敏感个人信息。由数据处理者处理并掌握的数据已不再是个人信息，而是进入流通领域的企业数据。企业数据的财产性可能会被作为生产要素利用，因此要求信息处理者必须经过脱敏处理个人数据。由此可见，数据发展并不以敏感个人信息为驱动力。如果敏感个人信息在进行脱敏以后，完全没有再重新识别为个人的可能性，敏感个人信息的信息属性消失，变成了信息处理者带有财产属性可以自由流通的数据。这部分数据集合也是大数据时代发展真正需要的数据，并且可以化成信息处理者的商业秘密或者知识产权的对象。（2）如果法律增加内容规制已收集的敏感个人信息，信息处理者在要运用和处理已收集的敏感个人信息时候，只要合法合规，就不会影响自身利益，也不会影响数据的流动和发展。除非有法律明确规定，不能直接推定其他主体对于个人信息的利用行为具有不法性。换言之，只要个人信息的利用行为不侵害主体的合法利益，信息控制者的利用行为就具有了合法性。

综上所述，已收集敏感个人信息已经脱离信息主体的物理控制，《个人信息保护法》的关注重点依旧停留在敏感个人信息的收集门槛和同意行为，对收集之后的敏感个人信息的处理行为保护有限，信息处理者并不会自愿配合法律进行合规，同时规制已收集敏感个人信息并不会影响数据驱动的经济发展，所以，规制已收集敏感个人信息是必要的。

四、已收集敏感个人信息的处理规制风险梳理

已收集敏感个人信息已经处于信息处理者的控制之中，这时，信息主体的所有权与控制权发生了实际的分离。敏感个人信息事关信息主体的人格尊严和人身财产安全，具有强烈的人身专属性，不论敏感个人信息处于整个信息处理流程的哪一个阶段，都应该对此予以关注。事实上，已收集敏感个人信息已经产生了很多风险，分析已收集敏感个人信息的实际风险目的在于设计有针对性的规制路径。

（一）已收集敏感个人信息的二次利用广泛存在

信息主体和信息处理者之间对处理敏感个人信息达成协议的最初应该是有目的，至少信息处理者对为什么要处理信息主体的敏感个人信息要提供一个令人说服的原因，而这个原因就是初次目的。信息主体没有按照信息收集的初次目的而对收集到的个人信息使用的行为是二次利用行为。

信息的数字化，物联网的普及化，以及人工智能的引入都大大地拓宽了二次利用的数量和范围，并且难以找到合适的方法来捕捉这种技术的滥用转变。中国的个人信息保护法体系主要关注的是初次收集目的的合法性，对收集之后信息处理者如何利用并没有多少关注。国外即有法官认为法律应当长时间关注初次收集行为本身而不是二次使用行为。

国外学者提出，对于二次利用的限制和范围的规制的必要性已经明显大于收集行为本身的重要性。在商业领域，所有被收集到的数据都尽可能地被合并到一个关于消费者跟踪的信息基础设施数据库，这些数据库每天都会扩大，产生商业价值并出售给任何可能感兴趣的人。由这些数据库收集、存储、排序的个人信息都是对个人隐私权也就是人格尊严的伤害。并且，这些信息都不会涉及太过于私密的范围，逃出了隐私保护的范围，同意制度在法律上形同虚设，可以让信息处理者非常容易收集到这些信息，超出了为不同的主要目的提供信息的消费者合理预期。

二次利用实质上是一种信息滥用或者非法使用行为。目前的个人信息保护法体系提高了初次收集的门槛，对已收集的敏感个人信息的二次利用问题起到一部分阻拦作用。在以前较为宽松的法律环境下，信息处理者已经掌握的已收集的敏感个人信息已经规避了如今严格的初次收集的门槛，他们对已收集敏感个人信息的二次利用情况是怎么样处理的更是不得而知。事实上，大量的已收集敏感个人已经被二次利用了。

（二）已收集敏感个人信息的保护技术面临的侵入风险。

当出现薄弱环节时，已收集敏感个人信息的保护技术就不可避免地面临侵入风险。就技术本身而言，是有反技术的破解之道，造成技术与反技术的博弈。在实践中，常用的保护已收集敏感个人信息的技术有以下几种：（1）托管云端的技术。云上的敏感个人信息可以通过提高外部管制适当的安全级别来保护，但远程访问和端口开放又使更多的人访问云端。将个人的数据带到云计算中并不能解决所有的安全问题，软件的逻辑缺陷仍然存在。（2）匿名技术。与匿名技术作用相反的技术是再识别技术。再识别技术是阈值的，低于阈值的再识别技术的个人信息是可以流转的，但高于阈值的识别技术就应该受到法律的监管。英国的信息委员会还专门提供了《匿名化法典》，其中提到了反匿名化的危害。反匿名化会在攻击假名数据库，虽然这些入侵者并不能有一个可以合法的进入假名数据库的接口，但是可以同时用联结关联几个假名数据库，这样匿名数据库就可以同时只联系到可以识别的人。（3）区块链。区块链技术对于保护已收集敏感个人信息是有效果的，但也有缺陷，区块链的不可篡改性与个人信息的修改、删除权冲突，开发区块链技术的成本也不是每个信息处理者都有能力负担的，实际上也很少有信息处理者愿意开发区块链来保护敏感个人信息。法律一般不会规定采取哪种技术保护措施是合理的，但是信息处理者对严格的技术保护的漠视或者无能为力会加大已收集敏感个人信息的被侵入风险。

侵犯个人信息权的侵权人的种类比较稳定。美国商务部管辖下的美国国家标准与技术研究所把个人信息的侵入者分为了六种类型：第一种是可获取公共信息的普通公众成员，即普通公众；第二种是擅长重新识别的计算机科学家，即专家；第三种是生成该数据集的组织中的一名成员，即内部人员；第四种是该组织中正在接收去识别数据的成员，但可能比一般公众能够获得更多的背景信息，即内部接收者；第五种是一种系统地获取已识别和去识别信息的信息代理，希望结合数据，生成一个丰富的信息产品，然后可以在内部使用或转售，即信息代理；第六种是具有特定环境的数据主题的朋友或家人。无独有偶，中国也同样存在这六种入侵者类型。这些入侵者对敏感个人信息的入侵行为是持续性的，每种侵权者都有独特的侵入方式。侵入行为也不会因为《个人信息保护法》对技术保护的加强规定而得到根本缓减，就像无法杜绝犯罪一样，《个人信息保护法》的最新体系依旧无法杜绝技术侵入。入侵者一般不会在敏感个人信息初次收集就开始行动，当已收集敏感个人信息被汇集，这些入侵者会用更少的侵入成本得到更多的侵入机会和利益，而侵入敏感个人信息技术往往会比侵入普通个人信息数据库导致更多的危害，因为这些失去控制的敏感个人信息始终与信息主体的人格财产权益密切相关。

（三）已收集敏感个人信息的暗网危险

已收集敏感个人信息会比普通的个人信息更容易在暗网中受到侵害。这些被非法利用的敏感个人信息大多来源于在法律监管不是很完善的已收集敏感个人信息。首先，暗网（dark web）的存在是一个确定事实。访问暗网的路由器最初是由美国海军创建的。由于它的分层加密结构，因此被命名为“洋葱路由”。这种路由器可以让用户在浏览互联网时保护其匿名性。浏览器通过随机发送用户的互联网协议（IP）地址来保护用户的匿名性，这样用户的活动就不容易追踪了。暗网的问题在于，它也是非法内容的所在地，只要用户知道如何访问暗网以及在哪里寻找，世界各地的任何人几乎都可以访问到暗网，并且在一种神不知鬼不觉的状态下。其次，没有经过特殊保护的已收集敏感个人信息更容易在暗网上被交易。随着滥用敏感个人信息的技术水平越来越高明，敏感个人信息作为非法流通物在大量的在暗网中流动。儿童的色情照片被无休止的访问和上传，并且交易都是用比特币在交易；泄露的个人、医疗和财务数据是网络犯罪的关键商品，在暗网上公开售卖，成为暗网交易商品中的一大类别。暗网中的在线商店使用类似真正官网的标准的自动购物界面销售大量受损的信用卡数据；用人生性命打赌，通过出卖个人信息来断定一个人什么时候死并以此为赌注来获益等。这些行为无不以信息主体的敏感个人信息为依据，如果没有这些敏感个人信息为依托，很多犯罪将无法准确地定位到受害者，这些犯罪行为与比特币支付交织在一起，也难以确定犯罪人的身份。最后，互联网的默认跟踪机制加速了已收集敏感个人信息的泄露和非法利用的步伐，以及信息主体的不安全感。信息处理者跟踪信息主体伴随着收集敏感个人信息。法律对互联网追踪的默认态度，同样促进了个人跟踪，因为互联网的隐蔽性跟踪会让犯罪人产生自己并没有非法跟踪的错觉。个人跟踪者非常容易在信息处理者提供的平台上与被跟踪者共享一个数据库，信息处理者容易把收集到的受害人的已收集敏感个人信息释放给个人跟踪者。由此可见，信息主体收集的敏感个人信息是处于暗网危险中的。

（四）以已收集敏感个人信息为数据基础的算法歧视

已收集敏感个人信息的信息主体人格尊严利益在大数据时代受到算法歧视的挑战。算法是大数据时代的关键技术。时至今日，中国还没有专门规制算法的法律。算法的立法进程慢于《个人信息保护法》。以敏感个人信息为基础来设计算法是算法规制的重点关注对象。关注与敏感因素相联系的算法后果，是识别算法歧视的关键。算法对个人信息隐私和安全影响，歧视性后果方面的风险是规制算法的重点。

算法歧视首先体现在，信息处理者收集敏感个人信息的过程中带有主观性。敏感个人信息的数据收集的主观性来自以下方面：首先信息主体的主观性偏好和信息处理者在信息收集过程中本身所体现出的主观性。这些主观判断会左右算法决策，因而不同的信息主义者很容易产生不同的最终产品。这种主观性是客观存在的，不可避免的。其次，信息处理者把主观性的成见和偏见带进了算法里。企业运用收集医疗敏感个人信息为基础的算法来限制人们获得工作、贷款、保险或住房。信息处理者把预测模型视为戒备森严的秘密。最后，算法筛查让人们得到不公平的待遇已经发生。比如很多人因为算法歧视行为受到伤害。如果算法要达到歧视目的，必然是要锁定与信息主体人格尊严密切相关的个人信息，收集普通个人信息并不能达到筛查目的。而规制已收集敏感个人信息的处理的必要性就体现在不要这些看不见的歧视继续，促使信息处理者改变有歧视性的算法。

需要特别说明的是，以上的风险梳理并不是完全针对《个人信息保护法》之前的已收集敏感个人信息。从广义上讲，一般个人信息其实也会面临上述风险，但一般个人信息落入上述风险中，对信息主体造成的损害并没有敏感个人信息大。敏感个人信息事关信息主体重要的人格权益和财产权益，一旦处于风险中会给信息主体带来更加严重的损害。在《个人信息保护法》生效之前，因为制度供给的不足、信息处理者的逐利心、信息主体的信息弱势地位，已收集敏感个人信息产生的风险更加大于《个人信息保护法》生效之后的已收集敏感个人信息。已收集的敏感个人信息面临的风险错综复杂并且又真实存在，法律应该对已收集敏感个人信息的处理行为进行规制。

五、已收集敏感个人信息的处理规制方式：路径设计

在对已收集敏感个人信息的处理规制的路径设计中，重新规制信息处理者已经进行的收集行为已无实际意义。处理规制的重点应放在纠正已收集敏感个人信息现存的不合理状态和控制信息处理者处理已收集敏感个人信息的风险上，同时应该促进信息主体对自我权益的保护意识。

（一）纠正已收集敏感个人信息现存的不合理状态

纠正已收集敏感个人信息现存的不合理状态在内容上主要体现为：规定法定的已收集敏感个人信息的最低保存期限以促进合理储存；设立信息处理者的强制备案机制以加强监管；禁止已收集敏感个人信息的二次利用以防范滥用；明确规定第三者原因为已收集敏感个人信息处理纠纷的唯一抗辩事由以增加信息处理者的证明负担；加强与公法部门的衔接防范已收集敏感个人信息的暗网危险。

1.规定已收集敏感个人信息的最低保存期限

已收集敏感个人信息在技术上表现为信息处理者中掌握的存储敏感个人信息的数据库。这种数据库是一个动态的数据库，信息处理者大量沉积的敏感个人信息的存在本身对信息主体来说就是一个威胁。

《民法典》和《个人信息保护法》虽然赋予了信息主体的删除权，但是需要信息主体去主动行使，此外，并没有细化到强制规定敏感个人信息的保存期限。前述对信息处理巨头隐私政策的分析，发现它们无一例外的规定了只有通过信息主体的请求，信息处理者才会删除信息主体的个人信息。为什么对个人信息的删除成为了信息处理者的被动义务的立法缘由或多或少的与信息的流动和大数据时代的经济发展有关，法律本身就禁止敏感个人信息的自由流动。《个人信息保护法》虽然也规定了个人信息的储存应该遵守合理的期限，但是如何辨别合理的期限，没有给出明确的指引。既然，敏感个人信息的处理规制中必须满足特定的目的性和充分的必要性，那么在信息处理者自身缺乏合规积极性的情况下，法律应强制性的规定已收集敏感个人信息的保存期限。并且限定到具体的天数上。

从比较法上看，德国的《电信保护法》规定了电报保存了一定的时间必须删除，比如三个月或者六个月。可见，德国立法者认为对客户隐私相关的敏感数据有规制保存期限的必要。《加州消费者隐私保护法案》给了信息处理者四十五天的时间来回应消费者的请求，包括删除消费者的敏感个人信息，间接督促信息处理者删除已收集的敏感个人信息。美国虽然没有明确规定信息处理者的强制删除义务，但是规定了“允许政府实体网络社交媒体提供商请求获取存储信息超过80天的信息。”即法律肯定了一定储存期限后，个人信息已经不能被信息处理者排他性地储存，其他机构在得到法律允许的情况下，可以干涉信息处理者的储存，包括请求删除。

中国对已收集敏感个人信息的储存期限进行了强制性的规定。法定储存期限期间经过后，无须数据主体提出要求，信息处理者必须删除该数据。这种设定精确到天数的干预是必要的，如果不设定，将会给信息处理者过大的自由选择权利，尤其是其在掌握非特定目的收集的敏感个人信息之后。此种规则措施重点在维护已收集敏感个人信息的安全性，减少信息主体的担忧，同时这种删除要明确一定的范围，对于信息主体掌握的客户端的敏感个人信息，信息处理者不能随意删除。由于行业的特殊性，有些敏感个人信息的种类的删除会导致业务无法实质性地展开，就不宜规定强制删除天数。除此之外，明文禁止信息处理者超期使用敏感个人信息，否则需承担相应的行政责任。

2.规定已收集敏感个人信息的信息处理者强制备案的机制

敏感个人信息的储存是无形的，但保留个人身份信息的组织必须承担更多保持这些数据安全的负担。比例原则要求制定关于这种储存的立法时，要适当考虑到储存所构成的对基本权利的侵犯的特别分量。不能给已收集敏感个人信息的信息处理者带来过重的负担如惩罚，那么设立一个强制备案的机制将是一个不错的选择。

中国的《个人信息保护法》目前还没有体现出对信息处理者的备案和注册制度。厦门市曾颁布过《厦门市软件和信息服务业个人信息保护管理办法》，其中规定了软件和信息服务企业的备案制度，主要目的是对企业如何保护个人信息进行一个说明备案，备案并不具有强制性。在处理敏感个人信息的过程中，备案和注册制度应该更加严格和更加动态化管理。在英国，在处理敏感个人信息的时候需要对一个叫作信息保护注册中心的官方机构进行通知。在意大利，监管机构监管信息处理者，对于要处理基因信息需要得到被处理者的同意以及监管机构的书面授权。“在南非《个人信息保护法》同样规定了信息处理者必须在信息监管机关那里注册。”中国也应该设置信息处理者的强制备案的机制。如果信息处理者能够在个人信息监管部门机关披露自己所拥有的已收集敏感个人信息数据库的种类和大致情况，同时这种披露又必须是强制性的，可以增强信息主管部门对信息处理者的掌握。

强制备案机制对落实《个人信息保护法》第22条的可操作性有促进作用。信息处理者之间的收购合并行为时有发生，如果目标企业带着大量掌握的已收集敏感个人信息被收购方收购，强制备案制度可以方便监管机构掌握已收集敏感个人信息的流向。

中国很多大型的信息处理者都是上市企业，对已收集敏感个人信息的备案情况的披露，也可以被设计进上市企业的披露公告中。上市企业对已收集敏感个人信息的不当利用，会招致法律风险，从而影响股价。

3.禁止已收集敏感个人信息二次利用

二次利用是对信息处理者处理行为的否定性评价。对已收集的敏感个人信息来说，匿名化管理不能阻止敏感个人信息被二次利用。《个人信息保护法》第7条的告知义务不能在事实中阻却二次利用已收集敏感个人信息，所以，法律应该明确禁止对已收集敏感个人信息二次利用。并不是得到信息主体的知情同意，信息处理者就可以在二次利用侵权上免责。

禁止二次利用是禁止一切与初次收集目的不相符合的利用。初次收集的目的越是具有充分性和必要性，利用范围就会越狭窄，一旦对已收集敏感个人信息的利用超出这个范围，就应该予以禁止。禁止二次利用的目的就是防止信息处理者以初次目的为名义、以二次利用为实的不合理的处理行为。如果收集之后的利用行为完全符合初次收集的目的，就不存在二次利用。

禁止二次利用需要具体化，举几个简单的例子。（1）直接销毁已加密的密钥。加密系统中使用的加密密钥被销毁，任何形式的加密反向工程都是不可能的，就再也没有办法映射到原始数据。如果信息处理者掌握的已收集敏感个人信息被销毁，就不会有二次利用的机会。（2）禁止重新识别匿名化个人信息。《个人信息保护法》规定，缺乏禁止对去识别化的敏感个人信息重新识别的强制性规定，对于掌握了已收集敏感个人信息数据库的信息处理者，除了规定删除之外，还要防范未来卷土重来的风险，所以，在法律设计中最好进一步细化禁止重新识别去识别化的已收集敏感个人信息。美国科罗拉多州最新的隐私保护法把监管再识别的对象具体到了控制器：禁止控制器或处理器重新识别已识别的数据。（3）禁止单纯为了节省处理成本的已收集敏感个人信息跨境转移。二次使用和大数据分析也会受到技术成本及监管要求的成本的影响。为了降低成本，敏感个人数据如卫生数据处理从隐私保护较强的国家外包给隐私保护较弱的国家，会因为卫生数据的敏感性而带来更大的隐私风险。各国对于个人信息保护的力度不一样是一个客观事实，中国也应该明确禁止这种纯粹为了逐利的跨境二次利用。

此外，由于二次利用的复杂性和多变性，法律虽然不大可能在技术层面对禁止二次利用规定的如此细致，但是可以统筹出概念或者兜底条款，以禁止信息处理者的不合理的二次利用。

4.明确规定外来原因是已收集敏感个人信息处理纠纷的唯一抗辩事由

对于已收集敏感个人信息的侵权责任处理归责原则，目前依照《个人信息保护法》中的现行规定实行过错推定规制来承担责任，即无过错是信息处理者处理所有个人信息包括处理已收集敏感个人信息发生纠纷的抗辩事由。现行法律在如何证明信息处理者无过错上并没有细化，鉴于传统的侵权抗辩事由如不可抗力、紧急避险、正当防卫、过失相抵等都对已收集敏感个人信息发生纠纷的不起实质作用。法律应该明确外来原因是信息处理者处理已收集敏感个人信息而导致的纠纷的唯一抗辩事由。

当发生已收集敏感个人信息纠纷时候，应该先确定侵权行为，并且不以信息主体知道或者应当知道为前提，但是可以信息处理者知道或者应当知道为前提。行为人如若在算法程序运行中使用了歧视性“敏感数据”或可能造成歧视性后果的数据，便可推定其主观上故意实施了算法歧视的侵权行为，这种明知也具有归责性。未经同意的信息收集敏感个人行为即可径行判定侵权。总的来说，确定侵权行为是比较容易的。

侵权行为确定以后，信息处理者会想方设法地寻找抗辩事由。只要通过一定路径，否定抗辩对象，达到抗辩效果的事由都属于抗辩事由。信息主体处于信息弱势地位，很难应付信息处理者各种冠冕堂皇的抗辩。法定外来原因为抗辩事由可以减少信息主体的对抗成本。

外来原因作为信息处理者唯一的抗辩事由，有以下几个考虑因素，首先，已收集敏感个人信息已经完全处于信息处理者的掌控之中，信息处理者本身不能逃脱与已收集敏感个人信息的关系，其本身也是已收集敏感个人信息的风险制造者。除了风险不是自己造成的以外，信息处理者很难有合理的理由让信息主体和监管机构信服自身与风险无关。其次，《个人信息保护法》规定了收集敏感个人信息的同意免除条款，这些条款仅仅是证明信息处理者在收集敏感个人信息可以不经过信息主体同意，并不等于发生侵权时候，合法收集就可以成为侵权行为的抗辩。信息主体收集和侵权已收集敏感个人信息是两个不同的行为。再次，信息处理者通常把已收集的敏感个人信息聚合在一起进行处理，聚合行为和处理行为本身就触犯了道德规则，即知道和了解太多道德和法律上不应该了解的个人敏感信息。信息处理者的收集聚合行为正当性本就薄弱，继而再引发侵权违法时，应该被加强法律负担。再次，信息处理者可能以自己处理的不是敏感个人信息而抗辩，信息处理者对由其自身主导的个人信息处理行为是否触及自然人的人格尊严和自由发展也应该有相当的认识。举个例子，位置行为并不是《个人信息保护法》确定的敏感个人信息法定种类，但是根据位置数据的精确性、位置信息的私密性以及位置信息的复合性，从而判定位置行为是敏感个人信息的时候，信息处理者就不能以自己不是处理的敏感个人信息而抗辩。毕竟风险由自己行为控制领域产生，以不知所处理的信息是敏感个人信息为抗辩是没有正当理由的，除非这个行为不是自己造成的。最后，信息处理抗辩理由还可能是有些个人敏感信息是信息主体自己主动披露的。这里是偷换了概念。信息主体主动披露自己的敏感个人信息是关涉隐私权的范畴，隐私法律保护的核心是防止公开。信息处理者以公开来抗辩自己收集敏感个人信息的理由，或许可以证明不侵犯隐私权，但并不是对违规处理敏感个人信息的抗辩。此外，考虑信息主体的弱势地位，减轻信息主体的诉讼成本，明确信息处理者的抗辩事由，让双方的谈判更为流畅。

除了侵权行为的抗辩之外，还有违约责任的抗辩。信息处理者违反程序性要件的违约行为多半会以隐私政策的具体规定为由进行抗辩，对隐私政策应该做出不利于信息处理者的解释，也有用外来原因作为唯一抗辩事由的适用空间。

5.加强与公法部门的联动防范已收集敏感个人信息的暗网危险

敏感个人信息在暗网上被打包上架销售的风险是一个全世界都必须要面对的问题。国外有学者指出理想的提议方法是在互联网法律中附加预防暗网犯罪的条款。保护敏感个人信息一直存在私法规制有限的问题。如果借鉴至我国，就是要在个人信息保护法律体系中规定针对暗网危险的指向性刑法类规范。

在对已收集敏感个人信息的暗网规制中，有一个比较棘手的问题，就是很多已收集敏感个人信息是以私人自愿方式被泄露到上的，从另一个角度讲，这也算信息主体信息公开权的自由裁量。公权力机关要干预这些看起来散乱的，却并不会对国家安全、社会安全带来严重后果的暗网个人信息贩卖时，需要一个正当理由。值得肯定的观点是，如果把遗漏在公共空间的数据视为国家所有，国家就有正当理由干预。专门性的刑法类规范并不足以防范已收集敏感个人信息的暗网危险。

针对具体的打击犯罪行为，还是采取公私联动的机制比较灵活，中国的刑事法规范体系目前还缺乏对暗网交易的解释。在打击犯罪的技术上，公私部门应该合作以发挥优势。可以采取的措施有：运用专门技术发现网络或浏览器配置中的错误，该错误暴露了暗网的实际位置；“标志出隐藏在黑暗深处的服务器的目录，以方便政府机构监控这些不断变化的域名和管理者变更的URL”；信息处理者应该尽量避免把含有已收集敏感个人信息的数据库以在线的形式建立等。《个人信息保护法》以后的实施类规范应该在保护已收集敏感个人信息中明确与公法体系的合作前提和方式。

（二）控制信息处理者处理已收集敏感个人信息的风险

《个人信息保护法》第五章专章规定了信息处理者的义务，回应了学界认为应该为信息处理者设定安全保护义务的观点。亦有观点认为，中国应该建立一套风险管理制度，要求信息处理者采取严格的安全保护义务。已收集敏感个人信息的数据库的存在本身对信息主体就是一种担忧和风险。而化解这种风险的最好方式是利用风险制造者去控制风险。在规制内容中应重点考虑，增加信息处理者处理敏感个人信息的透明度和提高保存技术。

1.增强信息处理者对已收集敏感个人信息的处理透明度

增加信息处理的透明度是规制信息处理者处理已收集敏感个人信息风险的有效方式。信息处理者会如何处理已收集敏感个人信息，这些敏感个人信息最终流向了何方，对信息主体来说，始终是谜。增强信息处理者的透明度可以化解这种神秘。

信息处理者应该公开共享已收集敏感个人信息的第三方。前述分析的大型信息处理者的隐私政策中，无一例外地告知信息主体其可能会和关联方以及合作伙伴分享信息主体的个人信息。关于分享个人信息有两个重要的原则。第三方原则认为，一旦一个人自愿向另一方披露信息，该一方可以自由（除非明确禁止）将该信息传递（或出售）给第三方，而各第三方可以进一步处理这些信息，包括与其他数据核对、得出推论、控制网络等等。信息主体对敏感个人信息的初级收集的许可程度与信息处理者对个人信息的二次使用的控制的严格程度之间呈现的是正相关关系。另一个原则是禁止使用不敏感的信息来预测敏感信息，因为它与收集和使用敏感信息一样具有侵入性。信息处理者就应该对信息主体明示自己曾经与哪些第三方分享过信息主体的敏感个人信息，或者明确表示其未曾、以后也不会用非敏感个人信息来推断信息主体的敏感个人信息，并且愿意为此承担证明责任。比较法上，《美国的公平信用报告法案》的规定数据经纪人向父母披露其子女信息的接受者。已收集敏感个人信息也就是不仅披露了卖给了谁，还有最终的目的地。仅仅是提供一个第三方共享清单是远远不够的，更何况很多信息处理者连第三方共享清单都没有提供。

信息处理者应该公开算法决策原理。以防止已经发生的算法歧视继续危害信息主体。由于信息算法的隐蔽性和权力化，要求企业公开已收集敏感个人信息的算法方式和已经对信息主体造成的损害是不现实的。不过公开算法也不一定要求把算法的决策全部公开，公开披露有经济利益的数据库本身并不是一个全有或全无的选择，而仅公开基于已收集敏感个人信息的算法的决策原理，即使这种过程不被信息主体所理解，但公开行为对信息处理者已经产生威慑。法律应该要求信息处理者公开部分算法决策原理或者企业自证在算法决策过程中剔除了敏感个人信息。

信息处理者有必要公开对《个人信息保护法》中的法律强制性规定的回应：（1）信息处理者应该公示自己的数据审查政策措施，并且保证措施的更替。信息处理者告知信息主体已收集敏感个人信息的使用情况，并使信息主体能够追踪潜在的不准确或有害的数据。但是，这样做不能防止最初将不良数据纳入记录。解决此种办法是规定定期审查数据政策措施，并坚决承诺放弃不成功的程序，并试验新的程序。（2）公开对已收集敏感个人信息的匿名化标准。个人信息匿名化是《个人信息保护法》明确规定的去识别措施。不同种类的个人信息应该采用不同的匿名化标准。（3）公开对处理已收集敏感个人信息的评估报告。公开的不仅仅是报告的结果，最好包括阈值分析，这样可以更方便信息主体评估报告的披露情况是否合理。

此外，为了消除信息主体的担忧，可以采取书面保证的方式在隐私政策中说明，对已经存在的已收集敏感个人信息数据库按照现行有效的法律进行处理，包括非必要不处理，或者不把已收集敏感个人信息纳入算法中等。要求企业自己主动践行透明度是困难的，并且透明度中还有程度的问题，所以还应该配套一些比如鼓励和惩治措施相结合的政策性考量，督促企业自主自愿地提高透明度。

然而，以上列举的所有的透明度措施，法律都应该干预。提高透明度是一种经济成本，信息主体很难自发地提高透明度去消除已收集敏感个人信息主体的信息鸿沟。

2.加强信息处理者自身保护数据库的技术力量

如果信息处理者本身并没有对已收集敏感个人信息数据库的滥用行为，那么信息处理者的处理方式本身是值得法律保护的。信息处理者就算掌握了一些已收集敏感个人信息，只要在计算上对数据库保护的足够好，就会产生保护已收集敏感个人信息的良好效果。加强技术保护可以体现在如下几个方面。

信息处理者可以利用一些配套措施来共同保护已收集敏感个人信息。比如为信息主体购买身份信息保险，这种险种在中国还没有被设立，可以参考美国的一种身份盗窃保险，“州立农场为承租人提供身份盗窃保险，其中包括承租人、承租人的配偶和亲属，以及任何12岁以下的人，只要他们住在承租人的家庭中。身份盗窃保险有两种类型：身份恢复案例管理和身份欺诈费用报销。在身份修复保险中，一名案件工作人员被指派与承租人一起工作，并协助承租人进行修复过程，以确定自己的好名声和信用”。在实务中，信息处理者可以联合保险业的数据业务，在个人信息侵害保险方面做出一些尝试，保护已收集敏感个人信息。

鉴于大量的已收集敏感个人信息被安全性能不好的应用程序所收集，信息处理者应该防止这些应用程序被反向工程从而泄露。反向工程师可以猜测在审查程序中算法运用的已收集敏感个人信息。不过，反向软件耗时耗力，况且要推算出最初的抽象信息并不容易，这就要求信息处理者在设定算法的时候，要么就不以敏感个人信息为最初的原始信息，要么把决策中的敏感个人信息删除，这样就算应用程序被反向工程模仿，也不会伤害到信息主体的利益。

信息处理者应该赋予信息主体一个通用的访问格式。通用的访问格式可以减轻信息主体访问已收集敏感个人信息的负担。有些信息处理者为了“长期的锁定客户，专门设置了一个访问格式，甚至在隐私协议中以限制客户权利的方式来用专用格式储存数据。客户想要解读自己的数据不得不为转为通用格式付出成本”，在《个人信息保护法》生效之后，信息处理者如果还会继续收集信息主体的敏感个人信息，那么应该赋予现行敏感个人信息和已收集敏感个人信息的一样的访问格式。信息处理者之间如果达成协议或者成立一个联盟固定一个通用的访问格式，也是对信息主体数据可携带权的尊重，方便对信息主体对自身的已收集敏感个人信息的处理。

信息处理者加强保护技术的更新换代，从实践和学界吸收好的建议。有学者针对匿名化的效果提出了“蓄意侵入者检验”标准。设计一个故意信息的侵入者，然后故意去识别已经被匿名化的已收集敏感个人信息，如果匿名化的敏感个人信息又重新被假想敌识别出来，那这种匿名化就算无效。国外有专家开发了一种“数据合成集”，集合数据集是通过机器学习的方式来创造一个新的数据集。例如。先根据私人所有的数据库搜集真实的信息，然后将不一致地个别条目与真实数据，通过机器学习的方式，结合成一个新的数据值。最终的结果就像真币与假币之间的比较。虽然大小合适的纸可能看起来真实，但敏锐的眼睛显示其不真实（如重量有点缺乏或变色墨水颜色太淡）。不过这种数据的合成是可以达到大部分的效果的，同时也可以保护已收集敏感个人信息的私密性。合成数据的目标是创建一个尽可能现实的数据集，不仅保持原始数据的细微差别，而且不会危及重要的敏感个人信息。虽然法律不能时刻监视信息处理者是否能更新了保护技术，但是可以要求信息处理者对保护技术进行更新之后提供常规报告给个人信息保护监管机构。

除此之外，还有很多技术可以保护已收集敏感个人信息。法律需要为技术的保障提供一个屏障，并且应该督促信息处理者对技术更新换代以及对采用的技术进行简要示明。

（三）提高信息主体对已收集敏感个人信息的保护意识

信息主体处于信息对称的弱势地位。信息主体对信息处理者处理已收集敏感个人信息造成的伤害有可能是不自知的。随着《个人信息保护法》的生效，信息主体应该对自己是明确的“个人信息中的人格权益由个人控制的地位”有所觉醒。信息主体对自己信息的疏忽是导致大量的已收集敏感个人信息被信息处理者收集聚集的原因。一方面，信息主体应该明白一些关于个人敏感信息的常识，并积极行使自己的权利。信息主体学会对自己的信息进行整理。信息主体也应该积极访问自己的数据，并要求信息处理者对已收集的敏感个人信息以合规处理的方式进行保证和说明。

另一方面，立法者在程序法领域应该鼓励信息主体行使诉权。比如充实公民个人信息保护纠纷诉前禁令：诉前禁令制度在个人信息保护纠纷中可以创新性地发挥优势，在内容方面可以依照当事人的申请而酌定变通，在适用条件方面不需要对当事人那么严苛，在执行诉前禁令的时候，请求其他机关来共同执行。甚至，中国可以为了适应大数据时代的要求为个人信息纠纷单独创造一种新的诉前禁令制度。再如变通个人信息保护纠纷的审级制度：简易程序是普通程序的简化版本，同样要经历冗长的两审终审制度。简易程序允许当事人约定适用，这给信息保护纠纷的救济开启一条灵活的救济途径。个人信息保护纠纷的案件的时间成本是比较大的，所以，需要更加便捷和高效的诉讼程序来匹配，如一审终审等。又如确立个人信息保护领域的集团诉讼制度或者行政公益诉讼，扩大个人信息保护范围，尤其是加强对不知情的潜在受害人的全面保护。

六、结  语

敏感个人信息与信息主体的人身财产安全和人格尊严休戚相关，不论其存于信息处理环节的何种阶段都不会改变其实质，也不应该被法律忽视。信息主体已经失去了对已收集敏感个人信息的控制。但是信息主体不应该成为信息处理者的“鱼肉”。中国目前的个人信息保护法体系把重点放在初次收集部分。信息主体产生敏感个人信息的范围是有限的，很多敏感个人信息已经不会被再次收集。大量的已收集敏感个人信息会如何被处理引起了信息主体的担忧和不解。这种担忧对于《个人信息保护法》生效之前的已收集敏感个人信息更为严重。工业和信息化部近几年一直都在发布《关于侵害用户权益行为的App通报》，最近已经发布了第22期。可见《个人信息保护法》颁布依旧无法对化解信息主体的担忧起到实质性缓解。信息处理者掌握的已收集敏感个人信息数据库的存在对信息主体始终是种威胁。法律应明确已收集敏感个人信息的处理不能继续或将来也不会给信息主体的人格尊严和人身财产安全产生风险或造成损害。在现有的法律框架下的指引下，已收集敏感个人信息的实际控制者的处理行为进行细化规制，对维护信息主体的人格尊严和人身财产价值尤为必要。

参考文献：

[1]参见张新宝：《个人信息收集：告知同意原则适用的限制》，载《比较法研究》2019年第6期。

[2]参见程啸：《论我国民法典中个人信息权益的性质》，载《政治与法律》2020年第8期。

[3]General Data Protection Directive, An official website of the European Union (March 26, 2022), https://gdpr-text.com/.

[4]See J. Lyn Entrikin, Family Secrets and Relational Privacy: Protecting Not-So-Personal,Sensitive Information from Public Disclosure, 74 University of Miami Law Review 781,789 (2020).

[5]参见阳雪雅：《论个人信息的界定、分类及流通体系——兼评〈民法总则〉第111条》，载《东方法学》2019年第4期。

[6]See Fang Liu, A Statistical Overview on Data Privacy, 34 Notre Dame Journal of Law, Ethics & Public Policy 477, 478 (2020).

[7]戴建华：《论法的安定性原则》，载《法学评论》2020年第5期。

[8]参见刘艳红：《公共空间运用大规模监控的法理逻辑及限度——基于个人信息有序共享之视角》，载《法学论坛》2020年第2期。

[9]参见罗斌：《传播侵权研究》，国家图书馆出版社2018年版，第244页。

[10]参见丁晓东：《个人信息私法保护的困境与出路》，载《法学研究》2018年第6期。

为阅读方便，已省去脚注。如需引用，可参阅原文。

*阳雪雅，西南大学法学院副教授。王灵娟，西南大学法学院2020级硕士研究生。本文系重庆市社会科学规划项目“数据要素市场下企业个人信息流动的规则建构”（2020YBFX32）、中央高校基本科研项目“个人数据确权与交易法律制度研究”（SWU1909303）的阶段性成果。

《民商法争鸣》第21辑

民商法总论

民法典实施与裁判理由强化双重背景下的隐性法源研究

何良彬/ -3-

论经济胁迫及认定因素

罗 昆 陈敬立/ -24-

智能写作软件生成报告的著作权分析

——“腾讯诉盈讯案”引发的思考

黄文瑄/ -43-

《民法典》的溯及力问题研究

——兼评“民法典时间效力的若干规定”

宋晓旭 王洪平/ -60-

债与合同法论

《民法典》第585条违约金类型化的质疑与修正

 李杰/ -87-

合同法定解除的司法适用与障碍消解

——在法律解释的视域中探究

闵小梅 方 强/ -105-

侵权法论

《民法典》自甘冒险条款的要件解构与模型设计

陆而启 王佳媛/ -119-

铁路运输人身损害赔偿责任减轻比例研究

——以《铁路运输人身损害赔偿司法解释》第6条为中心

潘 玲 杨波/ -136-

人格权法论

已收集敏感个人信息的处理规制

阳雪雅 王灵娟/ -153-

商事法论

自然人破产制度主体之构造

孙瑞玺 王 滨/ -185-

论破产别除与担保体系的规范衔接

齐宏赛 章正璋/ -201-

实务争鸣

居住权在执行过程中的风险预防与路径优化

李才坤 谢丹/ -223-

✦  +

+

《民商法争鸣》投稿邮箱

minshangzhengming@163.com