敏感个人信息的界定及其完善

敏感个人信息的界定是我国《个人信息保护法》的重要内容。因为比非敏感个人信息更能反映和影响个人信息主体的重大利益，《个人信息保护法》对敏感个人信息采用更为严格的保护制度。《个人信息保护法》第28条第1款对敏感个人信息的界定采取客观风险标准。在法学视角下，“敏感”与“高度损害风险”相关联，敏感个人信息处理的损害风险程度较高。损害风险可以单独或同时来源于个人信息内容的固有性、个人信息被非法使用时的工具性以及非敏感个人信息与敏感个人信息的关联性。《个人信息保护法》对敏感个人信息的界定尚不能涵盖所有损害风险来源，应在第28条第1款的基础上辅以场景化路径界定敏感个人信息，具体以个人信息是否揭示或关联敏感内容、受损害主体是否包括其他关联利益人为客观考虑因素。