加强敏感个人信息保护是政府的责任与义务。政府信息公开中敏感个人信息保护意味着政府机关不仅应履行尊重私人生活、避免干预个人安宁的消极义务，还应通过积极保护，增强个人对抗政府公开敏感个人信息中尊严减损的风险。《个人信息保护法》主要以私人机构处理个人信息活动为场景，建构了处理个人信息活动的规制框架。尽管该法对行政机关与私人机构处理敏感个人信息活动规定了“一体调整”模式，但从公法角度分析，行政机关处理敏感个人信息的活动具有行政性、高权性、强制性等典型的行政行为特征，除了法律上应对敏感个人范围作出合理界定以外，宜加强运用公法的手段与方式予以保护：即限制性原则适用的具象化，告知规则的补强以及公法责任追究机制的引入。

敏感个人信息；政府信息公开；“一体调整”模式

究竟应当给予敏感个人信息以怎样的特殊保护，界定清楚敏感个人信息的内涵与外延至关重要。学理上，对于“敏感个人信息”的表述学界已有基本共识，强调该信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。至于具体判断标准，遍观各国立法实践，主要形成了以欧盟为代表的“列举模式”和以美国为代表的“场景模式”，前者由立法机关主导，依据敏感度和风险性对敏感个人信息作出归类并在法律条文中予以尽量明确；而后者则授予行政机关广泛的裁量权，允许其综合考量处理目的和具体操作情景作出个案判断。以实践效果观之，两种判断模式各有利弊。我国在借鉴比较法经验基础之上，在《个人信息保护法》中作出了折中制度安排，即采取“概括+列举”的方式。

《个人信息保护法》首次正式从法律上采用了“敏感个人信息”这一概念，并建立特殊的处理规则予以保护。而应如何界定“敏感个人信息”的范围，《个人信息保护法》第28条第1款已经明确要求根据个人信息是否关涉人格尊严、人身与财产安全或不满14周岁未成年人进行判断。

首先是基于对人格尊严的保护。与人格尊严紧密相连是敏感个人信息与一般个人信息最明显的区别之一，一旦其被泄露或非法使用，信息主体的人格尊严很容易受到损害。比如，个人性取向的泄露会造成个人在就学、就业等社会活动中遭受不平等对待。

其次是基于对人身、财产安全的保护。一方面，涉及人身安全的信息主要是关涉信息主体生命、健康、身体安全的信息。如果这些信息受到侵害，个人的人身安全很可能也会受到损害，因此将其定性为敏感个人信息。比如，家庭信息一旦被公开，很可能因亲属关系而遭受打击报复，使其人身安全面临重大风险。另一方面，财产权是公民所享有的基本权利，公民的合法财产受到法律保护，敏感个人信息自然也应包括关涉信息主体财产安全的信息。比如，个人贷款情况、征信记录以及银行流水账单等信息被泄露，各种电信诈骗将纷至沓来，严重威胁个人的财产安全。

最后，《个人信息保护法》还将未满14周岁未成年人的所有信息均纳入敏感个人信息的范畴予以特殊保护。这主要是考虑到未成年人心智还未健全，个人信息一旦泄露，很可能被别有用心的人利用来对家长进行威胁或对未成年人直接实施侵害。

依据《个人信息保护法》第28条第1款的规定，个人一般信息与个人敏感信息的核心区别在于敏感性，即“一旦泄露或非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。尽管囿于语言本身的模糊性和不确定性，学界对于“敏感”一词的意涵存在较大争议，但也达成了一些共识：

一方面，是否会产生损害结果是个人敏感信息判断的重要标识。事实上，对敏感个人信息予以特殊保护很重要的原因就是基于不当披露会对信息主体造成实质意义的不利。通常情况下，个人一般信息的披露是不会对个人造成任何负面影响的，而敏感信息的披露则会对信息主体的利益造成损害，主要包括财产性损害和非财产性损害。《个人信息保护法》第28条已经明确损害人格尊严和财产安全的个人信息就是敏感信息，而前者就是典型的非财产性损害。质言之，如果没有损害的发生，那么与个人相关的信息就不是敏感信息。

另一方面，是否敏感的判定标准较为主观，不同主体的认知是不一样的。尽管理论界与实务界作出种种努力，想就“敏感”一词的内涵作出较为清晰的界定，但囿于“敏感”本身所具有很强的主观性，常常与个人的经历、经验和行为有密切关系，特别是对于非财产性的损害，不同个体的认知并不一样，甚至还可能出现对立的情形。比如个人的婚恋情况，大部分普通人都视其为个人敏感信息，不愿主动披露；而对于部分名人而言，主动披露这类信息却有助于提升其公众关注度。另外从比较法角度而言，大部分国家在立法条文中都回避了对“敏感性”的意涵与特征作出较为明确表述，而只是通过具体列举的方式确定哪些个人信息属于敏感个人信息。因此，《个人信息保护法》第28条也充分借鉴了国外立法经验，具体列举了敏感个人信息的种类，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满14周岁未成年人的个人信息。

随着《中华人民共和国民法典》（以下简称《民法典》）《个人信息保护法》《中华人民共和国网络安全法》（以下简称《网络安全法》）等相关法律的颁布，针对敏感个人信息保护的法律制度已经初步建立。但目前的法律制度主要是围绕民事主体间的处理个人信息行为展开设计的，事实上，凭借突飞猛进的数字技术发展，政府建立了庞大的个人信息数据资源库，已经掌握大量个人信息。若不加以规制，存在泄露敏感个人信息的风险。

2008年颁行的《中华人民共和国政府信息公开条例》（以下简称《政府信息公开条例》）第5条规定，“行政机关公开政府信息，应当坚持以公开为常态，不公开为例外”。2024年8月，中共中央办公厅、国务院办公厅印发《关于全面推进政务公开工作的意见》明确要求推进“决策公开、执行公开、管理公开、服务公开、结果公开以及重点领域信息公开”。毋庸讳言，在国家法律与政策的持续推动下，政府信息公开的广度与深度都明显增强。但是在公开过程中因个人信息泄露引发纠纷的案例也明显增多。比如2020年，江西省乐安县农业农村局在县人民政府官方网站“政府信息公开”栏目中公开了四份涉及农机购置补贴情况的政府信息，因未对相关个人信息进行去标识化或匿名化处理，致使多达1044人（次）农户（含部分单位）的个人信息被泄露。值得警惕的是，这起案例也并非孤例，在其他地区也发生过类似的案件，加强政府信息公开过程中敏感个人信息的保护迫在眉睫。