个人信息中有一类信息因其性质特殊而具有敏感性,若被不当收集或处理可能会对当事人权益造成严重侵害,故称为敏感个人信息。作为个人信息保护法领域的一个重要议题,欧盟、日本、澳洲等许多法域都对敏感个人信息进行了明确规定,而我国法律目前并未引入“敏感个人信息”或类似概念,相应保护制度也十分不足。本文第一部分探究“敏感个人信息”概念的起源。研究发现,敏感个人信息问题早在上世纪80年代就在经济合作与发展组织发布的《OECD关于隐私保护与个人数据跨界流动的指南》中被专家组讨论,后经欧洲理事会《关于个人数据自动化处理的个人保护公约》引进第一次被写入国际公约,自此被欧洲各缔约国接受。此外,该概念在联合国于1990年发布的《电子化个人数据档案规范指南》中亦有所体现。本文第二部分研究“敏感个人信息”概念的具体内涵。本部分主要采用比较研究的方法,选取欧盟、日本、澳大利亚、瑞士、我国台湾地区及澳门特别行政区等法域的相关法律规定进行研究。比较各域外立法例中敏感个人信息的定义可以发现,无论其社会文化传统如何,有一些个人信息被普遍认为具有敏感性,比如“种族”、“政治观点”、“宗教信仰”、“工会成员资格”、“性生活”、以及“健康”信息,亦有许多法域将“刑事犯罪信息”列为敏感个人信息。此外,“性取向”、“遗传信息”以及“生物识别信息”等新型个人信息正逐渐被认定为敏感个人信息,这一趋势在欧盟和澳大利亚对敏感个人信息概念的革新中得到了体现。本文第三部分研究“敏感个人信息”概念的界定方法。结合文章第二部分对各法域相关规定的比较分析可知,绝大多数引入了“敏感个人信息”或类似概念的法域都使用了“列举”的方式来界定敏感个人信息。除此之外,学理上还存在“情境说”、“目的说”及“隐私说”等界定敏感个人信息的方法,且各有其利弊。本文认为,“列举法”不仅是域外立法在界定敏感个人信息时的通行做法,而且具有最强的法律确定性,适合我国在引入“敏感个人信息”概念时使用。本文第四部分研究敏感个人信息的区别保护机制及其民法价值。域外立法例对于敏感个人信息一般采取“禁止处理”的保护原则,以防止敏感个人信息被不当收集或利用,从而加强对其保护。作为该原则的例外,各法域一般都对可以处理敏感个人信息的例外情形进行了详尽规定,其中以“当事人同意”尤为重要,是私法自治原则在个人信息保护领域的体现。确立敏感个人信息的区别保护机制具有重要的民法意义,不仅有利于保护个人信息权、隐私权等人格权益,还有利于促进信息自主与信息自由间的平衡。此外,对敏感个人信息进行区别保护还有助于确立信息控制者的义务以及个人信息侵权责任的认定,具有重要的民法价值。为加强对敏感个人信息的保护以及平衡个人信息保护与利用间的冲突,我国应该在未来制定个人信息保护法时引入“敏感个人信息”概念,并在充分考虑我国社会民情的基础上,采用列举具体信息类别的方式对其进行界定,并确立原则上禁止处理敏感个人信息,仅在法律规定的例外情形下方可处理的区别保护机制。