第145页

    私密的个人信息即私密信息，其与非私密信息的根本区别在于，前者是自然人不愿意为他人知晓的信息，且该信息也与公共利益等无关。之所以自然人不愿意为他人知晓这些信息，就是因为如果这些信息被他人知晓了，会使其私生活安宁受到侵害或者私生活受到干扰，而此种利益就是隐私权保护的自然人的人格利益。至于私密信息的具体内容如何，在所不问。其并非一定都是高尚的、为道德所允许的，而是也包括那些道德谴责的、为人所不齿的内容。毕竟，法律上没有规定人们负有“不得自甘堕落”的义务。因此，只要不涉及公序良俗，不违反法律的强制性规定，即便是不道德的、为人不齿的信息，也属于私密信息，例如，丈夫违背夫妻忠诚义务而搞婚外情的信息，也属于私密信息，受到隐私权的保护。他人不得对此随意侵扰或公开，否则，构成侵害隐私权。[23]但是，非私密的个人信息虽然也属于个人信息，可并非自然人不愿意为他人知晓的信息，甚至这些个人信息必须为他人所知，才能使自然人更好地参与社会交往活动。例如，姓名属于个人信息，但姓名是自然人的标识，是区别自然人的一种语言标识。通过姓名，自然人得以在与其周围的人的关系中维护其人格，并将自己与他人在社会交往中加以区分，从而作为一个独特的个体存在，获得自我认同，实现人格尊严。[24]如果姓名不为他人所知，如何能够进行社会交往？另外，在很多时候，自然人主动公开其个人信息，如将自己的联系电话、电子邮箱放在个人主页上，或作为微信的名称等，在这种情形下，原本属于私密信息的个人信息也就成了公开的个人信息。
    我国《民法典》在隐私权部分对于侵害私密信息的行为作出了规定，即《民法典》第1033条第5项规定，除非法律另有规定或者经权利人明确同意，任何单位和个人不得处理自然人的私密信息，否则就构成对隐私权的侵害。所谓处理私密信息，包括收集、存储、使用、加工、传输、提供、公开等（《民法典》第1035条第2款）。例如，2013年广东省发生的“人肉搜索第一案”就是最典型的泄露他人隐私信息案件。该案被告蔡某因怀疑受害人徐某在其服装店试衣服时偷了一件衣服，便将徐某在该店的视频截图配上“穿花花绿绿衣服的是小偷，求人肉，经常带只博美小狗逛街，麻烦帮忙转发”的字幕，上传到其新浪微博上。该条微博发出仅一个多小时，有人迅即展开人肉搜索并将徐某的姓名、所在学校、家庭住址和个人照片等私密信息全部曝光，同时这些信息也被蔡某用微博发出。一时间，对徐某的各种批评甚至辱骂在网络上开始蔓延，也引起了徐某学校很多同学和社会上很多人对她的非议。两日后，徐某跳河自杀。同日12时许，徐某的父亲向公安机关报案。2014年9月7日，广东省汕尾市中级人民法院维持一审判决，以侮辱罪判处被告人蔡某有期徒刑1年。[25]再如，在学校组织的体检中，大学生王某被查出患有肝炎，辅导员得知后告诉了全班同学，因受孤立和歧视，王某愤而自杀。[26]又如，原告因患“易性癖”而做了变性手术，被告经原告同意后采访了原告，被告未经同意将采访写成文章，并使用原告真实姓名且配发了为原告所拍摄的照片在被告某杂志上发表。[27]
    即便某人得知私密信息是经过权利人同意的（如权利人主动将该信息告知他），但是隐私权人并未让该人公开，如果该人将此信息予以公开，也构成侵害隐私权。例如，原告认为自己在某日晚值班时受到被告谢某的“调戏”、被人“敲门窗”，后将该信息向单位领导被告时某汇报，时某未经原告同意，在召开全单位职工大会时提及此事，显然侵害了原告的隐私权。[28]
    （二）敏感的个人信息与非敏感的个人信息
    个人信息的另外一个重要分类就是分为敏感的个人信息（personal sensitive information）与非敏感的个人信息。敏感的个人信息，也被称为特殊的个人信息。对于何为敏感的个人信息，各国（地区）法上有不同的界定。欧盟的《一般数据保护条例》第9条第1款将之界定为“揭示种族或者民族出身，政治观点、宗教或者哲学信仰，工会成员的个人数据，以及以唯一识别自然人为目的的基因数据、生物特征数据，健康数据，自然人的性生活或者性取向的数据”。德国《联邦数据保护法》则将之界定为“有关个人种族血统、政治观点、宗教或哲学信仰、工会成员资格、健康状况或者性生活的信息”。巴西《通用数据保护法》第5条规定，“关于种族或族裔、宗教信仰、政治观点、工会或宗教、哲学或政治组织成员身份的个人数据，与自然人有关的健康或性生活数据、基因或生物数据”，属于个人敏感数据。我国台湾“个人资料保护法”将“有关病历、医疗、基因、性生活、健康检查及犯罪前科”的个人资料规定为特殊的个人资料。
    我国目前尚无个人信息保护法，也没有法律法规和司法解释对敏感的个人信息作出界定，只有一些国家标准中有相应的规定。例如，《信息安全技术　个人信息安全规范》将个人敏感信息界定为“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。该规范认为，个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。
    本书认为，所谓敏感的个人信息，主要是指那些涉及自然人人格尊严、人格自由或者其他重大权益的个人信息，这些个人信息倘若被非法处理，将会对所涉自然人的人格尊严、人格自由或者其他重大的人身权益、财产权益造成严重的威胁或损害。例如，自然人的生物识别信息具有唯一性和不可更改性，且由于人工智能技术的发展，这些生物识别信息往往与自然人的财产、隐私等密切关联，一旦被他人非法获取，就有可能给自然人造成重大的财产损失或者隐私权等被侵害的严重后果。再如，个人的政治观点或者宗教信仰信息，涉及宪法上的言论自由、宗教信仰自由等基本权利，这些个人信息若被非法收集、处理，很有可能会侵害到自然人的上述基本权利以及其他相关的基本权利，如政府针对特定宗教信仰的人进行迫害，或者在选举时通过各种方式对其进行人格操控等。依据这一界定，以下个人信息应当归入敏感的个人信息：（1）种族或民族信息；（2）宗教信仰信息；（3）政治主张信息；（4）生物识别信息；（5）基因信息；（6）医疗健康信息；（7）性生活与性取向信息；（8）储蓄、证券等金融账户信息。
    正是由于敏感的个人信息对自然人是非常重要的个人信息，故此，对于敏感的个人信息的收集、处理，有一套不同于非敏感的个人信息的收集、处理的规则。主要表现在：首先，为了更好地保护敏感的个人信息，对于这些个人信息采取的是原则上禁止处理，除非存在法定的例外情形，例如经过自然人的单独同意、为了维护公共利益等。至于非敏感的个人信息，只要履行告知并取得同意，即可进行收集和处理。例如，《欧盟一般数据