1、 2023 年第 3 期(No.3.2023)067专题研究欧盟、美国敏感个人信息保护法律规制比较研究及我国立法特色分析邓灵斌(南华大学经济管理与法学学院 湖南衡阳 421001)摘 要 大数据时代,对敏感个人信息进行保护显得重要而迫切,欧盟、美国在敏感个人信息保护法律规制方面已积累了丰富的经验,对我国相关立法具有重要参考价值和意义。文章综合运用比较、文献分析等方法,通过相关研究综述引出研究缘由,然后将欧盟和美国的敏感个人信息保护法律规制进行对比,阐述二者的相同点及主要差异,最后分析了我国的立法特色。文章认为,我国的敏感个人信息保护立法吸收了欧盟、美国的有益经验,但又具有自身特色,主要表现为:
2、由“分散立法”走向“统一立法”的法律规制特色模式;采用不完全列举的方式界分敏感个人信息类别,设置“兜底条款”,为未来留有扩充空间;注重敏感个人信息保护与公共利益、个人信息安全之间的平衡。关键词 敏感个人信息 个人信息保护法 法律规制中图法分类号 D913;G251.3引用本文格式 邓灵斌.欧盟、美国敏感个人信息保护法律规制比较研究及我国立法特色分析 J.图书馆,2023(3):6773.1 相关研究综述与研究缘由在大数据和“互联网+”背景下,网络通信技术、人工智能、数据分析和数据挖掘技术的发展与应用促进了个人信息的广泛利用,给人们的日常生活和交流带来了极大便利。然而,个人信息的商业化利用问题也
3、因此愈发突出,致使个人信息遭泄露或侵犯的事件频频发生,如何利用法律有效规范和约束公民个人信息的使用已成为新信息化时代国际社会的重要议题。其中对关系到公民人格尊严和人格利益、具有高度敏感性的敏感个人信息的保护更是人们关注的焦点,因为敏感个人信息一旦被泄露或被非法使用,将直接导致公民的人格尊严和人身财产受损。因此,保护敏感个人信息显得尤为关键和迫切。国际上如欧盟、美国等对个人信息保护的理论研究和实践探索开展得较早,且形成了体系较完善、内容较科学的个人信息保护相关法律规制。故国外针对敏感个人信息保护的研究也早于国内,大多学者前期主要关注隐私权与个人信息保护政策、法律的起源和发展进程1-3,后逐渐意识
4、到敏感个人信息保护的重要性,开始对敏感个人信息的界定、分类及特殊保护机制等展开研究4-6,7271-306。近几年来,国外学者的研究范围进一步扩展,如:Vanberg 探讨了欧盟 GDPR生效后的敏感信息和隐私保护8;Minkasu 关注支付中的敏感个人信息安全问题9;Namey 等针对数据收集方式对敏感个人信息披露与用户体验的影响进行实证研究10;Lavoie等运用元分析工具研究了影响儿童敏感个人信息披露的因素 11;Wu 等重点探究了健康医疗中的敏感个人信息保护12。我国学术界也在积极开展对敏感个人信息保护的研究并取得了一定的成果。从总体来看,国内围绕敏感个人信息开展的研究主题主要集中在以
5、下 4 个方面:敏感个人信息的含义和类别界分。黄子芮13详细分析了个人敏感信息的界定模式、标准及种类。宁园1433-49指出,对敏感个人信息界定宜采取场景抽离与场景融入双重路径,并要依据合理的判定标准。胡扬等15以 民法典 为背景,分析了个人敏感信息的界定标准和方式。黄明毅161-58从“应然”与“实然”两个层面剖析了个人敏感信息的界分路径,并列举了其详细类型。谢琳等17强调以“损害风险”为核心,可借助“敏感性(Library)068 2023 年第 3 期(No.3.2023)分析模型”来界定和明确个人敏感信息的含义与外延。邬金鸣等18阐述了个人敏感信息的特征,并列举了人口健康科学数据中的个
6、人敏感信息类型。潘林青19结合我国 民法典分析了个人敏感信息界分的正当性基础,指出我国立法应采取“立体界分”模式。何直橙20从理论学说考察与现行实践做法两方面剖析了敏感个人信息的内涵,进而进行科学界定。国际(域外)敏感个人信息的保护及经验借鉴与启示。肖文婷211-64描述了欧盟对敏感个人信息概念和范围的界定,分析其区别保护机制,并揭示了可供我国借鉴之处。于洁等22专门研究英国的敏感信息管理问题,主要包括相关政策与法律文件、管理原则、安全保护措施及对我国的有益启示。刘崇瑞23探讨了加拿大敏感信息的分类和加拿大人员安全审查的类型。姚雅梦24以欧盟 一般数据保护条例 为视角,研究了欧盟敏感个人信息保
7、护的立法模式、法理基础、保护措施等,以及对我国的启示。汤敏25研究了“互联网+”背景下欧盟、美国有关消费者个人敏感信息保护的立法改革举措,并在此基础上分析了其带给我国的启示。还有学者针对美国的“敏感信息”管理进行研究,如:宋继伟26分析了美国“敏感信息”管理的流程,总结其管理制度的建设经验及启示。孙宝云27从权力清单公开和流程公开两个方面探讨了美国“敏感信息”管理的公开化,进而总结了对我国的启示。孙宝云等28对美国奥巴马政府“敏感信息”管理改革的过程和成效进行了探讨,认为此项改革对我国也有一定的启示。我国敏感个人信息的法律保护与规制策略。孙清白29认为,敏感个人信息保护具有与一般个人信息保护不
8、同的制度逻辑,应采取特殊的规制策略,并从 4 个方面提出了建议。徐磊等30通过调研 30 款 App 的信息收集情况,分析我国敏感个人信息保护面临的实践难题,并提出相应的破解策略。姬蕾蕾31讨论了大数据时代我国个人敏感信息保护的必要性与可行性及面临的挑战,并在此基础上构建了相应的个人敏感信息保护机制。张志峰32通过对国内外个人敏感信息保护的现状予以梳理和描述,进而提出我国应建立个人敏感信息法律保护的制度规范。田野等33的研究指出,对敏感个人信息加以区分和保护具有正当性,我国应实行“增强保护”规则。王昱镔等34指出了我国互联网存在个人敏感信息泄露、遭到侵犯等诸多问题,主张应采取得力的安全防护措施
9、。汪全胜等35论述了个人敏感信息的范围、征集与处理的原则和基本条件,针对我国个人敏感信息的法律规制提出了策略建议。特定领域或场景中的敏感信息处理。杨忠36以直播活动中的敏感信息为研究对象,分别从直播敏感信息衍生的发射、裂变、发酵、收纳等 4 个场景进行分析,并提出直播平台敏感信息的把关策略。陈祖琴等37以网络舆情敏感信息为切入点,结合新冠肺炎疫情期间的现实案例,分析了网络舆情敏感信息的提取与基于此的突发事件情景,以期提高突发事件情景分析与监测效果。宋素红等38着重关注和研究新闻传播领域中的敏感个人信息保护,分析了新闻传播侵害敏感个人信息民事责任的过错要件、损害认定及民事责任等问题。翟相娟39以
10、征信机构个人敏感信息为特定背景,分析了征信机构采集个人敏感信息的法定范围,认为不能非法收集和侵犯公民的个人敏感信息。李莎郦40认为,作为自然人生物特征之一的人脸识别属于敏感个人信息,理当受到法律保护,如果滥用或侵犯人脸识别信息,将对信息主体造成人格伤害和其他损失。叶蕴雪41对我国消费者个人敏感信息的相关权利、法律保护规范、司法救济、欧美经验借鉴及完善等问题开展了专题研究。综合以上研究成果来看,一方面国内外学者从不同视角针对“敏感个人信息保护”这一热点议题进行了较全面的理论研究和实践探索,并取得了一定的研究成果,为后续开展进一步研究提供了重要的理论参考与指导价值。另一方面也要看到目前该主题研究还
11、存在一些不足之处,如对于“敏感个人信息的内涵与界定”阐述的文献居多,且有较多内容前后重复,未有创新;目前研究文献大多数集中于法学类(法学专业)期刊,而信息资源管理类(图书情报档案专业)期刊的发文数量相对偏少;国内有相当数量的研究文献侧重于对欧盟、美国敏感个人信息的法律保护与规制模式进行介绍,并从中总结了对我国的借鉴意义,但描述性内容居多,有较强可操作性的部分较少,缺少对“欧盟、美国敏感个人信息法律保护比较分析”方面的研究。欧盟、美国积累了较为丰富的敏感个人信息法律保护经验,为其他国家提供了有益借鉴。中华人民共和国个人信息保护法(以下简称 个人信息保护法)42的实施,标志着我国的个人信息保护进入
12、新的历史时期。在此背景下,笔者深入思考了以下问题:欧盟、美国的敏感个人信息保护法律规制究竟有哪些异同?中国的 个人信息保护法 与国际相关法律有何关联,自身又具有哪些立法特色?但以往的研究并没有对这些主题加以关注并引起重视。因此,笔者在综合相关文献的基础上开展了对欧盟、美国敏感个人信息保护法律规制的比较研究,并以我国的 个人信息保护法 为核心,考察了立法特色,以期为我国敏感个人信息的相关研究提供参考。2 欧盟、美国敏感个人信息保护法律规制的比较研究欧盟、美国通过制定严格的法律和政策保护敏感个人 2023 年第 3 期(No.3.2023)069信息,但受传统法律文化的影响,综合考虑价值观念、政治
13、经济环境、文化发展背景、公民的法律诉求等多种社会因素,二者对敏感个人信息保护的规定也存在差异。欧盟、美国敏感个人信息保护法律规制对比情况如表 1 所示。表 1 欧盟、美国敏感个人信息保护法律规制对比简表比较项目欧 盟美 国相同点立法初衷都通过立法保护敏感个人信息,以维护公民的人格权利与个人尊严敏感个人信息处理的法理基础都将“同意规则”作为敏感个人信息处理的法理基础和前提敏感个人信息处理规则的例外情形考虑到特殊情况,都设置了满足敏感个人信息处理法定事由的例外情形主要差异立法理念不同秉持“人权保护”的立法理念,奉行“保障个人人权”的价值取向宽松立法,倡导行业自律,保障公民的民主自由;注重商业利益立
14、法模式不同采用统一立法模式分散立法与行业规范相合模式敏感个人信息的界定方式不同采取“法律列举”方式界定采用“场景衡量”方式界定敏感个人信息的范围不同在统一立法中明确列举受保护的敏感个人信息范围(主要有 7 种)敏感个人信息范围分散于各州、各行业的文件中(主要有 9 种)(资料来源:作者根据欧盟、美国敏感个人信息保护相关法律条款加以归纳、提炼而成。)2.1 相同点立法初衷。大数据时代,数据收集、分析与处理技术的发展与创新给个人信息保护带来了严峻挑战,公民要求保护个人信息,特别是保护敏感个人信息的呼声持续高涨。为了应对个人信息保护面临的诸多挑战,有效维护民众的人格权利与个人尊严,欧盟、美国都通过立
15、法采取强力措施对敏感个人信息加以保护。敏感个人信息处理的法理基础。受数字经济和数据科学发展的驱动,欧盟、美国的个人信息保护法律体系都将“同意规则”作为敏感个人信息处理的法理基础,规定只有在征得信息主体“同意”之后才能对敏感个人信息进行处理。欧盟重视信息主体对个人信息的自主控制和决定权。1995 年颁布的 个人数据保护指令 对同意条款和同意内容作了详细规定4347-49;2016 年发布的 通用数据保护条例(简称 GDPR)对敏感个人信息处理作了更系统、详尽的规定,特别强调个人的明确同意原则4496-102。美国的 隐私法 早就设置有个人隐私同意条款,后来随着信息社会的发展和大数据技术的应用,有
16、越来越多的法律和行业规范对敏感个人信息的保护和处理作出了规定,如 2009 年发布的普遍接受的隐私原则、2015 年发布的 消费者隐私权利法案(草案)等都确定了敏感个人信息处理的同意原则45。敏感个人信息处理规则的例外情形。虽然欧盟、美国的立法出于对敏感个人信息的特别保护,一般奉行“禁止处理原则”,但二者也考虑到了一些特殊情况,都设置了敏感个人信息处理规则的例外情形。这些例外情形符合敏感个人信息处理的法定事由的规定,具有某些共性,如已得到信息主体的明确同意或授权;出于维护国家安全、数据主权、公共利益的需要;用于非营利性的公益活动;为了满足公众健康、数据统计、科学研究的需要;公安、检察、司法机关
17、为了保护民众利益和安全而必须对敏感个人信息进行处理的情况等。2.2 主要差异立法理念不同。欧盟历来有保护人权的传统,将个人信息、隐私视作公民的一项基本权利,因此,欧盟秉持“人权保护”的理念和宗旨,奉行“保障个人人权”的价值取向,通过立法加强对敏感个人信息的保护。而美国是一个极力主张西方价值观与自由、民主的国家,其立法理念与欧盟的区别在于,美国对敏感个人信息保护的立法较宽松,倡导各行业自律,保障公民的民主自由,注重对敏感个人信息的利用,重视商业利益和价值。立法模式不同。这是欧盟和美国敏感个人信息保护法律规制的主要区别,欧盟采用的是统一立法模式,美国则奉行分散立法与行业规范相结合的模式。欧盟对个人
18、数据(信息)的保护非常严格,统一制订了相关法律用以规范和约束个人信息,特别是敏感个人信息的处理与利用行为。如 1981 年的 第108 号公约、1995 年的 个人数据保护指令 都提出对“特殊种类数据”(special categories of data)实行保护,这是欧盟最早保护个人敏感信息的法规。欧盟还顺应新信息、新科技的发展和民众对个人信息保护的诉求,出台了新的法律法规,如:通用数据保护条例(General Data Protection Regulation,2018 年)46、欧洲委员会关于个人数据自动化处理的个人保护公约(2018 年修订)47分析评估了敏感个人信息处理可能带来的
19、个人权益风险,充实了相关法律解释条文,进一步完善了敏感个人信息保护的特殊区分机制。美国并没有在全国范围内制定统一的个人信息保护法律,有关个人敏感信息的保护政策多分散于各州、各行业等自行制定的相关规定中。美国的诸多行业领域,如经济实体、金融、保险、通信网络等,都制定了保护公民敏感个人信息或隐私数据的规范条例,如:伊利诺伊州的 生物识别信息隐私法案(Biometric Information Privacy Act)保障了公民的生物识别信息权益48;美国信息技术与创新基金邓灵斌:欧盟、美国敏感个人信息保护法律规制比较研究及我国立法特色分析(Library)070 2023 年第 3 期(No.3.
20、2023)会制定的 数据隐私立法协议 指出,各类型信息在使用中存在风险,根据敏感度的不同,风险也有差异7271-306;弗吉尼亚州的 消费者数据保护法(Consumer Data Protection Act)对消费者敏感个人信息的使用和保护作了更为明确和完善的规定49。敏感个人信息的界定方式不同。欧盟采取“法律列举”的方式对敏感个人信息予以界定,即立法机关对个人信息进行全面考察,根据其敏感度高低和风险性大小进行判断,筛选出敏感个人信息并在法律条文中明确列举。这是国际上有较多国家采用的一种界定敏感个人信息的方式,具有区分明确、方便司法实践等优势,但这一方式也有滞后性,可能造成保护不足的问题21
21、1-64。美国则采用“场景衡量”的方式界定敏感个人信息,即:根据个人信息处理的特定场景或目的,综合判断敏感个人信息的具体类型。由于美国是以分散立法的模式对敏感个人信息保护予以规制,因而“场景衡量”的方式受到美国大多数学者的支持50。这种界定敏感个人信息的方式具有较大的灵活性,并留有余地,但其界定范围较为宽泛,可能造成敏感个人信息保护出现不确定性161-58。敏感个人信息的范围不同。欧盟对敏感个人信息的法定范围有较严格的规定,通常会在统一立法中明确列举受保护的敏感个人信息类别,并随社会的发展及时更新完善,鲜明地反映出其社会背景和文化渊源。如 1981 年发布的 第 108 号公约 规定了敏感个人
22、信息(文件中为“特殊种类数据”)类型,即政治观点、种族信仰或其他信仰、性生活、个人健康或犯罪记录。1995 年发布的 个人数据保护指令 在原有基础上对敏感个人信息类别作了一些修改:增加了“工会会员身份”这一类别;将原有关信仰的部分改为“种族或民族信仰、哲学信仰”4347-49。为了适应新科学技术的变革和回应人们社会观念的变化,2018 年欧盟发布了 通用数据保护条例(GDPR),又对敏感个人信息作了进一步完善和补充,新增加了“生物识别信息”“基因信息”“性生活或性取向信息”等类型,为敏感个人信息的特殊保护奠定了基础4496-102。与欧盟不同,美国的正式法律中没有明确列举出敏感个人信息的具体类
23、别,而是分散见于各州、各行业的规制文件中。按照美国的传统和价值观念,被列为敏感个人信息类型且加以特别保护的一般是与国家安全息息相关或被公认为个人私密的信息。据美国 消费者隐私保护法案 消费者数据保护法 等规定,美国的敏感个人信息一般包括:民族出身、宗教信仰、个人健康、基因或生物特征信息、教育信息、儿童信息、精确定位信息、个人金融信息、性相关信息等49,但没有包含欧盟规定的“工会会员资格”和“公民犯罪记录”。3 我国敏感个人信息保护立法特色分析以 个人信息保护法 为例3.1 吸取欧盟、美国经验,由“分散立法”走向“统一立法”的法律规制模式欧盟、美国的敏感个人信息保护立法走在世界前列,确定了具体的
24、国际标准,对我国有重要的借鉴意义。笔者通过梳理我国有关敏感个人信息的规范和立法进程,发现我国立法吸收了欧盟、美国的有益经验,如关于敏感个人信息的界定方式、具体类别及同意处理规则等,同时也保持了我国自身的特点,那就是由“分散立法”走向“统一立法”的法律规制特色。早期我国对敏感个人信息的保护分散在不同行业和部门发布的规范性政策与文件之中,强调对某些特殊信息(数据)的特殊保护,表现出“分散立法”的特点,后又逐步过渡到国家机关“统一立法”的模式(如表 2 所示,按法规生效时间先后排序)。表 2 我国“敏感个人信息保护”相关立法与行业规范一览表(20132021 年)生效时间立法与行业规范名称敏感个人信
25、息的相关规定2013.02个人信息保护指南(简称)首次以国家标准区分出敏感个人信息,且规定须取得个人明确授权后方能处理2013.03征信业管理条例对特殊敏感信息,如血型、指纹、疾病信息、基因、宗教信仰等禁止采集2017.06中华人民共和国网络安全法规定个人信息保护制度、原则、法律责任等,但未明确敏感个人信息2019.04互联网个人信息安全保护指南进一步完善、落实了个人信息安全与个人信息保护工作,但未对敏感个人信息的收集、使用作出规定2020.10信息安全技术 个人信息安全规范对个人信息处理作了更详细全面的规定,强调对敏感个人信息的保护,扩展了敏感个人信息的范围2021.01中华人民共和国民法典
26、提出保护公民个人的隐私信息,但未明确“敏感个人信息”的名称与范围2021.03常见类型移动互联网应用程序必要个人信息范围规定规定手机 App 应用程序里有关个人信息的规范收集与智能处理等,但没有区分个人信息的敏感程度2021.09中华人民共和国数据安全法指出个人隐私、商业秘密、重要商务信息等应当保密,但未涉及敏感个人信息2021.11中华人民共和国个人信息保护法专设一节“敏感个人信息的处理规则”,合理界定了敏感个人信息的含义、范围类别及处理规则等2013 年 2 月,信息安全技术 公共及商用服务信息系统个人信息保护指南 开始实施,这是我国第一次以国家标准区分个人信息,且规定了只有取得个人明确授
27、权之后方能对敏感个人信息进行处理。2013 年 3 月,国务院发布的 2023 年第 3 期(No.3.2023)071征信业管理条例 正式生效,规定了征信业务部门禁止采集某些特殊个人信息(如血型、指纹、疾病信息、基因、宗教信仰),这是我国较早认定敏感个人信息范围的行业规范。2017年6月施行的 网络安全法 规定了个人信息保护制度、原则、网络安全监管部门及运营商的法律责任等,强调要合法收集和使用公民个人信息,确保个人信息安全,但没有与敏感个人信息处理相关的规范。2019 年 4 月,公安部联合相关行业协会发布了 互联网个人信息安全保护指南,虽然该文件完善了个人信息保护与安全工作,但并未涉及对敏
28、感个人信息的收集和处理等内容。2020 年 10 月,信息安全技术 个人信息安全规范 开始实施,其中对个人信息处理作了更详细全面的规定,特别强调敏感个人信息保护,并在原有基础上扩展了敏感个人信息的范围。2021 年 1 月正式生效的 民法典 规定要保护公民个人的隐私(私密)信息,如身份证号码、生物特征、位置行踪等,但没有明确“敏感个人信息”的名称与范围。2021 年 3 月,国家互联网信息办公室、工业和信息化部、国家市场监督管理总局、公安部联合发布了 常见类型移动互联网应用程序必要个人信息范围规定,明确规定了手机 App 对个人信息的收集与智能处理等内容,但没有区分个人信息的敏感程度。2021
29、年9月开始施行的 数据安全法 规定个人隐私、商业秘密、重要的商务信息等应当保密,不得泄露,但未涉及敏感个人信息。上述这些法律和行业规范文件直接或间接地对敏感个人信息保护作出了规定,也对实践起到了一定的约束和保障作用,但分散的法规不易明确敏感个人信息的内涵与界定。2021年11月1日,个人信息保护法 正式实施,标志着我国个人信息保护体系的发展进入新时期。该法专设了一节“敏感个人信息的处理规则”(从第二十八条到第三十二条),合理界定了敏感个人信息的含义、范围类别及处理规则等51。3.2 采用不完全列举的方式界分敏感个人信息类别,设置“兜底条款”,为未来留有扩充空间科学、合理地界分敏感个人信息类别是
30、对敏感个人信息进行处理和保护的前提与基础。我国在敏感个人信息界分方面参考了欧盟、美国的做法,但又保持了自己的特色。如采取不完全列举的方式在 个人信息保护法 中明确列举了敏感个人信息的具体类别,包括“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹”等,特别是还包括了未成年人(不满十四周岁)的个人信息51,这充分体现了我国对敏感个人信息保护的高度重视,同时立法条款的明确界分也为司法机关提供了统一、清晰的判定标准。但我们也要清楚地认识到,随着社会的发展、人类文明和科技的进步,敏感个人信息的范围和类别也会扩展与延伸,不完全列举模式本身也存在不足,无法穷尽敏感个人信息的所有类型。基于这一点,
31、个人信息保护法 在充分考虑我国的具体国情,并列举了常见的敏感个人信息类别之后,又加一“等”字,表示并没有完全穷尽列举,通过设置此“兜底条款”,为未来留有充足的扩充和法律解释空间,显示出我国立法的前瞻性。举例来说,人工智能、生物技术的发展促使“人脸识别”成为目前个人身份验证和识别的主要手段之一,在日常生活和社会交际中得以广泛应用,但其也存在被仿冒与侵犯隐私的风险。个人信息保护法 把“生物识别信息”列为敏感个人信息的类型之一,人脸识别信息作为生物识别信息的一种,理应受到法律的保护40。3.3 注重敏感个人信息保护与公共利益、个人信息安全之间的平衡敏感个人信息直接关系到信息主体的人身财产安全和个人权
32、益,具有高度敏感性,个人信息保护法 规定原则上禁止处理敏感个人信息。这一点与欧盟、美国的法律规制相似,但我国也具备自己的立法特色,即注重敏感个人信息保护与公共利益、个人信息安全之间的平衡。个人信息保护法 第二十八条明确规定,要对敏感个人信息进行处理,必须“具有特定的目的和充分的必要性,并采取严格保护措施”51。虽然法律条文没有具体指出是何种特定目的和必要性,但我们可以推测出,只有在确保个人信息安全的前提下,出于维护公共利益的需要,方可收集和处理敏感个人信息。此外,个人信息保护法 中也有多处涉及公共利益、个人信息安全的条款,如个人信息处理不得“危害国家安全、公共利益”(第十条);为了公共利益需要
33、,应该“在合理范围内处理个人信息”(第十三条);个人信息处理者要“采取必要措施保障所处理的个人信息的安全”(第九条)等。个人信息保护法 并没有绝对禁止收集和处理敏感个人信息,而是根据实际情况和实践需要设置了例外条款,这充分体现了我国法律原则性与灵活性相结合的特点。笔者认为若能够遵守国家相关法律、考虑公共利益、保证个人信息安全并得到信息主体同意,便可在一定范围内适度收集和处理敏感个人信息,但也要切实维护好信息主体的个人权益和人格尊严。4 结语敏感个人信息的收集和处理过程存在着客观权益被侵害的风险,容易影响到信息主体的人格尊严与人身、财产安全。欧盟、美国通过立法和行业规范对敏感个人信息实邓灵斌:欧
34、盟、美国敏感个人信息保护法律规制比较研究及我国立法特色分析(Library)072 2023 年第 3 期(No.3.2023)行特殊保护无疑顺应了时代潮流,具有较大的参考价值。在借鉴欧盟、美国立法经验的基础上,我国 个人信息保护法 基于自身特色,设置了专门条款对敏感个人信息的内涵、范畴界定、处理规则等作了统一规定,正式确定了敏感个人信息处理的法律基准1433-49,为维护公民个人权益和人格尊严提供了法律保障。同时我们也要看到,敏感个人信息的范围将会随着社会的发展、人们价值观念的变化而不断扩展,个人信息保护法 不可能面面俱到,因此还需要不断完善并出台配套的行业法规。因此,如何构建敏感个人信息保
35、护的实施机制、探求增强法律适用成效的合理路径,这是值得业界进一步研究的主题。(来稿时间:2022 年 5 月)参考文献:1.Solove D.The Digital Person:Technology and Privacy in the Information Age(2nd ed)M.New York:New York University Press,2004:75-80.2.Poullet Y.Data protection legislation:What is at stake for our society and democracy?J.Computer Law&Securit
36、y Review,2009,25(3):211-226.3.Kokott J,Sobotta C.The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHRJ.International Data Privacy Law,2013,3(4):222-228.4.King N J,Raja V T.What Do They Really Know About Me in the Cloud?A Comparative Law Perspective on Pr
37、otecting Privacy and Security of Sensitive Consumer DataJ.American business law journal,2013,50(2):413-482.5.Ohm P.Sensitive informationJ.Southern California Law Review,2015,88(5):1125-1196.6.De Hert P,Papakonstantinou V.The new General Data Protection Regulation:Still a sound system for the protect
38、ion of individuals?J.Computer Law&Security Review,2016,32(2):179-194.7.Fazlioglu M.Beyond the Nature of Data:Obstacles to Protecting Sensitive Information in the European Union and the United States J.Fordham Urban Law Journal,2019,46(5):271-306.8.Vanberg A D.Informational privacy post GDPR-end of t
39、he road or the start of a long journey?J.The International Journal of Human Rights,2020,25(1):52-78.9.Minkasu I.Patent Issued for Securely Storing and Using Sensitive Information for Making Payments Using a Wallet Application(USPTO 10,796,302)J.Computers Networks&Communications,2020,12(3):114-119.10
40、.Namey E,Guest G,ORegan A,et al.How does qualitative data collection modality affect disclosure of sensitive information and participant experience?Findings from a quasi-experimental studyJ.Quality&Quantity,2021(5):1-20.11.Lavoie J,Wyman J,Crossman A M,et al.Meta-analysis of the effects of two inter
41、viewing practices on childrens disclosures of sensitive information:Rapport practices and question typeJ.Child Abuse&Neglect,2021,113(1):121-134.12.Wu M T,Srivastava G,Jolfaei A,et al.Hiding sensitive information in e-Health datasetsJ.Future Generation Computer Systems,2021,117(4):169-180.13.黄子芮.个人敏
42、感信息的界定及处理规则 D.北京:中国人民公安大学,2021.14.宁园.敏感个人信息的法律基准与范畴界定以 个人信息保护法 第 28 条第 1 款为中心 J.比较法研究,2021(5):33-49.15.胡扬,方慧琳,刘荣.民法典背景个人敏感信息的界分构想 J.太原城市职业技术学院学报,2021(7):182-185.16.黄明毅.我国个人敏感信息与个人一般信息的法律界分探析 D.上海:上海社会科学院,2020.17.谢琳,王漩.我国个人敏感信息的内涵与外延 J.电子知识产权,2020(9):4-16.18.邬金鸣,钱庆,张丽鑫,等.人口健康科学数据中个人敏感信息分类研究 J.中华医学图书情
43、报杂志,2020,29(11):8-15.19.潘林青.我国个人敏感信息的界分基础及其立法表达兼评 民法典(草案)第一千零三十四条 J.北京邮电大学学报(社会科学版),2020,22(2):30-39.20.何直橙.敏感个人信息的概念界定及法律保护研究 D.重庆:西南政法大学,2017.21.肖文婷.欧盟敏感个人信息法律保护研究 D.上海:上海外国语大学,2021.22.于洁,栗琳.英国敏感信息管理及对我国的启示 J.情报理论与实践,2021,44(7):184-190.23.刘崇瑞.加拿大敏感信息分类及人员安全审查类型探析J.保密工作,2020(10):62-64.24.姚雅梦.敏感个人信息
44、保护法律研究以欧盟 一般数据保护条例 为视角 D.上海:上海外国语大学,2019.25.汤敏.个人敏感信息保护的欧美经验及其启示 J.图书馆建设,2018(2):41-47.26.宋继伟.总体国家安全观下的“敏感信息”管理机制刍议美国经验借鉴 J.情报杂志,2018,37(8):107-113.27.孙宝云.论美国“敏感信息”管理过程的公开化及启示 J.情报杂志,2015,34(4):150-154,159.28.孙宝云,王英豪.论美国“敏感信息”管理改革及其对我国的启示 J.理论与改革,2014(5):102-107.29.孙清白.敏感个人信息保护的特殊制度逻辑及其规制策略 J.行政法学研究
45、,2022(1):119-130.30.徐磊,刘春.敏感个人信息保护的实践困境与破解之道 J.情报理论与实践,2022,45(3):42-49,41.2023 年第 3 期(No.3.2023)07331.姬蕾蕾.大数据时代个人敏感信息的法律保护J.图书馆,2021(1):99-106.32.张志峰.个人敏感信息的法律保护规范 J.重庆行政,2020,21(1):53-56.33.田野,张晨辉.论敏感个人信息的法律保护 J.河南社会科学,2019,27(7):43-49.34.王昱镔,李超,程楠.互联网个人敏感信息保护研究 C/中国计算机学会计算机安全专业委员会.第 29 次全国计算机安全学术
46、交流会论文集.北京:中国计算机学会计算机安全专业委员会,2014(9):144-148.35.汪全胜,方利平.个人敏感信息的法律规制探析 J.现代情报,2010,30(5):24-27.36.杨忠.论人机对抗中“直播+”敏感信息的衍生和把关 J.情报杂志,2021,40(3):193-200,181.37.陈祖琴,蒋勋,葛继科.基于网络舆情敏感信息的突发事件情景分析 J.现代情报,2021,41(5):25-32.38.宋素红,余沐芩.新闻传播侵害敏感个人信息的民事责任基于民法典和个人信息保护法(草案)相关规定的视角 J.中国记者,2021(1):84-88.39.翟相娟.个人敏感信息法定采集
47、范围之检视以大数据征信为背景 J.首都师范大学学报(社会科学版),2021(1):69-75.40.李莎郦.着眼人脸识别浅析敏感个人信息司法保护 N.江苏经济报,2021-09-22(2).41.叶蕴雪.消费者个人敏感信息保护法律问题研究 D.合肥:安徽财经大学,2020.42.中华人民共和国个人信息保护法(中国国家法律文件)EB/OL.2021-12-25.https:/ 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with
48、 regard to the processing of personal data and on the free movement of such dataJ.International Digest of Health Legislation,1996,47(1):47-49.44.Curtis T.Privacy Harmonization and the Developing World:The Impact of the EUs General Data Protection Regulation on Developing Economies J.Washington Journ
49、al of Law,Technology&Arts,2016,12(1):96-102.45.Corones S,Davis J.Protecting Consumer Privacy and Data Security:Regulatory Challenges and Potential Future Directions J.Federal Law Review,2017(45):72-78.46.European Parliament and of the Council.General Data Protection Regulation(GDPR),Regulation(EU)20
50、16/679 of the European Parliament and of the Council of 27 April 2016EB/OL.2022-04-05.http:/ of Europe.Convention for the protection of individuals with regard to the processing of personal dataEB/OL.2022-04-05.https:/rm.coe.int/1680078afa.48.Biometric Information Privacy ActEB/OL.2022-04-05.https:/
浙ICP备2021020529号-1 | 浙B2-20240490 
