我国敏感个人信息保护面临“敏感个人信息的范围确定”和“敏感个人信息的保护方式”两大挑战。首先，在范围界定方面，依据现行规范对敏感个人信息难以作出统一明确的界定。我国《个人信息保护法》第28条采用“法律目的+开放列举”的方式定义敏感个人信息。依据解释方法的不同，对个保法第28条规定的敏感个人信息有不同结论。即便采取相同的解释方法，敏感个人信息的范围仍然有不确定性，因为敏感个人信息范围的不确定性，许多看似非敏感的个人信息也可以推断出敏感个人信息。

其次，在保护方式上，现有的对敏感信息强化保护的方式存在流于形式、保护效能不足的问题。我国《个人信息保护法》主要从合法性基础、告知同意和预防与技术保护措施等方面对敏感个人信息进行强化保护。但在敏感个人信息界定不确定的背景下，对这类信息进行保护的必要性与可行性受到质疑。最后，敏感个人信息与私密信息的制度衔接也需要回应。

个人信息保护的制度目标并非保护个人信息本身，而是保护个人信息处理中的相关权益。因此，敏感个人信息呈现场景化特征，其敏感性往往因为其处理所涉及的不同因素与其保护的不同权益而不同。

（一）敏感个人信息场景化的历史性

从纵向历史维度来看，敏感个人信息的界定与保护并不存在唯一和必然路径，体现了其场景化的特征。个人信息保护制度最早可以追溯至1973年美国发布的《公平信息实践准则》，但其未规定敏感个人信息。之后，美国联邦层面也并未直接提出敏感个人信息的概念，而是采取分领域的方式对特定类型信息实施保护，在实质层面与敏感个人信息具有类似性。

20世纪70、80年代欧洲个别地区立法出现该概念，1981年《108号公约》首次在国际层面将种族、宗教、健康等数据定为“特殊类型”并严格保护，后经《数据保护指令》《通用数据保护条例》完善定义与规则；在欧盟影响下，美国加州（2020年）等州综合信息隐私法引入该概念；我国则从《征信业管理条例》等行政法规、国家标准的零星规定，发展至2021年《个人信息保护法》正式确立该制度。

（二）敏感个人信息场景化的具体表现

从横向维度来看，不同地区对于敏感个人信息保护重点与目标的差异也体现了场景化特征。美国联邦层面通过分领域立法（如健康、视频租借、司机信息等），多因公众关注或突发事件推动，把原本一般的信息提升为受特别保护的敏感信息。欧盟则以反歧视为核心，侧重将易导致身份歧视的数据（如种族、宗教、政治观点等）列为“特殊类型”。

我国则既受欧盟与美国的影响，又具有鲜明的中国国情因素。一方面，我国与欧盟类似，也将反歧视作为个人信息保护的目标之一，对生物识别、宗教信仰等身份性信息进行保护。另一方面，我国也将易直接导致侵害人格尊严、人身财产安全的金融账户、行踪轨迹等列为敏感信息，体现了兼顾反歧视与安全的多重目标。此外，我国和欧盟对反歧视的理解和面临的现实问题也并不完全相同。由此可见，敏感个人信息的“敏感性”并非信息固有属性，而是特定场景中某些重要个人权益保护的要求。

（一）敏感个人信息的解释方法

对于《个人信息保护法》第28条的理解，应采用目的解释为最终依据，文义解释为重要参考的方法。具体而言，就是以“泄露或非法使用易侵害人格尊严或人身财产安全”为敏感个人信息的最终判断标准，而将法律列举的“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹及未成年人信息”作为参考。目的解释既能避免对列举信息过度或不足保护，也可涵盖未列举却在特定场景下同样敏感的信息；文义解释则可作为重要参照，维护立法权威，但不可取代以保护目的为核心的判断逻辑。

（二）敏感个人信息界定中的价值判断

价值判断是法律分析中必不可少的一环。基于敏感个人信息场景化的特点，何为“敏感”应基于我国国情、由我国民众进行判断。不同国家和地区对敏感信息有不同的价值取向，如欧洲重视“尊严”，美国则侧重“自由”。我国应根据自身的政治、经济与社会现状，结合民众对信息敏感性的判断来界定敏感信息。在具体风险认知问题上，应优先考虑中立性专业人员对敏感个人信息的判断，这样既有利于合理平衡风险与收益，也能够形成相对客观统一的标准。同时，也应当兼顾一般公众的风险感知，这样有利于缓解社会对新技术的焦虑、建构对信息处理的信任。

（三）敏感个人信息界定的考虑因素

敏感个人信息的界定应综合多个因素。其一是个人信息主体的身份。一些风险防御能力较弱的当事人，特别是弱势群体如未成年人、老年人及残障人士，其信息应视为敏感。其二是处理主体。处理主体不同，信息敏感性也有所不同，例如大型企业与个人处理者对家庭住址的敏感性不同。其三，信息处理方式。不同识别类型（如查找、确认、归类、会话）对信息敏感性有不同影响。其四，信息被识别的概率和扩散性。最后，敏感个人信息的判断因素并非固定，场景化特征决定其敏感性会随环境变化。学者们提出了结合泄露风险、隐私期待及使用目的等多重标准的动态判断方式。

（一）从二元区分到行业区分与个案区分

在实践中，现有的二元区分保护模式可以转化为行政监管层面的行业区分与执法司法层面的个案区分两种保护方式。在行政监管层面，应避免在较高层级的法律中统一强化保护，而是在行业规章和细分领域的规范中进行区分保护。在司法或行政执法中，敏感个人信息通过个案进行场景化保护。尽管事后裁决难以在事前预防风险，但优势在于能深入了解具体场景，通过双方举证、辩论获取全面信息，避免事前界定过宽或过窄的问题。许多国家通过判例形成规则，促进个人信息保护的适应性与合理性。我国也在积极推动通过案例来应对信息保护的场景化与不确定性问题，通过案例形成规则比自上而下的规定更为合理。

（二）敏感个人信息统一强化保护的重构

对敏感个人信息的保护应避免统一强化，而应通过“监管下的自我监管”方式，允许信息处理者在法律强制性监管之下进行一定程度的自我监管。首先，对于敏感个人信息处理的合法性基础，允许信息处理者在法定范围内做一定的自我决定和解释，监管的重点在于对信息处理者解释和处理必要性的审查。在告知同意方面，应优化交互设计，避免干扰用户体验，同时加强对敏感信息处理的披露和监管，使告知同意发挥更大作用。关于安全保护措施，法律应要求信息处理者采取符合现实风险的保护措施，并对其进行监管，防止形式主义的保护。

（三）私密信息与敏感个人信息保护衔接的重构

私密信息与敏感个人信息分别属隐私权保护与个人信息保护制度框架。前者属传统人格权范畴，依赖侵权法通过司法个案判断其范围，主观性强、难以事前界定，取决于具体场景和人际关系；后者是公私法混合制度，应对“大规模微型侵权”的信息处理关系，在行业内界定更明确。两者衔接需在司法个案中判断私密信息范围，涉及信息处理时依隐私权和个人信息保护框架区分——前者依赖个体合理隐私期待，后者依据行业规定与处理方式分析潜在风险。

敏感个人信息的界定与保护应在现行法律规定之下，通过法律解释的方法实现与信息处理实践的匹配。其一，对敏感个人信息的法律规定采用目的解释为主、文义解释为参考的方法，基于信息主体身份、处理者、处理方式等场景因素来判断个人信息的敏感性。其二，现有的从自上而下的二元区分应转变为自下而上的行业、个案区分两种保护模式。其三，监管上采用“监管下的自我监管”，把强力监管与自我规制相结合。其四，应分别在隐私权保护与个人信息保护的框架下分析私密信息与敏感个人信息的关系。

参考文献：《敏感个人信息保护制度的解释性重构》

（本文文字实习编辑龚欣雨。本文未经原文作者审核。本文为中国民商法律网“原创标识”作品。凡未在“中国民商法律网”微信公众号正式发布的文章，一律不得转载。）