近日，中国人民大学民商事法律科学研究中心和英国杜伦大学法学院联合举办的“个人信息保护法中英研讨会”在京召开。北京大学法学院副院长、教授薛军就“中国法上个人信息的分类”话题展开讨论。

近年来，与个人信息保护相关的法规制度设计逐渐完善。在《网络安全法》、《民法典》中，都有保护个人信息的相关规定。去年，专门针对该领域的《个人信息保护法（草案）》对外发布。

薛军研究发现，在设计个人信息保护相关制度时，不同的法规分别引入了一些非常重要但也容易引发困惑的分类。

比如《民法典》规定，自然人享有隐私权。任何组织或个人不得以窥探、侵扰、泄露、公开等方式侵害他人隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。这意味着在中国法上引入了私密信息与非私密信息的分类。

而对于什么是私密信息，立法并未给出明确的定义。

《个人信息保护法（草案）》中又引入了“敏感个人信息”定义。草案规定，敏感个人信息是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。这意味着中国法上引入了敏感个人信息与非敏感个人信息的划分。

对于上述情况，薛军表示，立法上对个人信息作出的不同划分，如果不在适用层面作出准确的界定和理解，可能会产生一些混乱。他建议，如果采用私密信息和非私密个人信息的划分，适用的领域应限缩在民法领域。

当出现侵犯个人信息的情况时，《民法典》规定，对于个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

对此，薛军表示，这主要是在民事保护方式和民事责任承担上有所区别。

此外，考虑到私密信息也是个人信息，如果要追究侵犯个人信息以及未履行保护个人信息职责的相关行政责任、刑事责任，依然适用个人信息保护的相关规定。

“不是说在民法上受到‘隐私权’这套模式的保护，在行政责任等的构成上，就不适用其他法律关系中个人信息保护相关的规定。”薛军强调。

如果私密信息和敏感信息发生交叉怎么办？

薛军表示，两者之间必然会有交叉。以病历资料为例，它属于个人信息保护法框架中的敏感信息，适用于该框架下的规则，比如特殊的告知同意规则等。同时，这不影响它适用民法中隐私权保护的相关规定。在追究相关当事人民事责任的时候，可以适用民法典的规定。在其他情况下，适用个人信息保护法等法律的规定。

文/南都个人信息保护课题组 尤一炜

编辑：蒋琳