一、敏感与非敏感信息、私密与非私密信息的区分在侵权案件裁判中的作用
　　就人民法院审理侵害隐私权和个人信息权益的侵权案件而言，笔者认为，敏感信息与非敏感信息、私密信息与非私密信息这两种分类方法的意义体现在侵权责任构成要件的不同层次即侵害行为（即行为非法性）和侵害的民事权益类型。

　　1.在认定是否存在侵害个人信息的行为即判断个人信息处理行为非法性的阶段，敏感信息与非敏感信息的区分是十分重要的。如前所述，由于信息处理者对敏感信息和非敏感信息的处理规则和法定义务不同，故此，认定针对敏感信息和非敏感信息的处理行为的非法性时，法院所依据的法律规范也不同。当某个信息属于法律法规规章和国家标准规定的敏感信息时，法院就应当适用个人信息保护法中处理敏感信息的规范来确定处理者的义务，并据此判断信息处理行为是否非法，反之则不能适用此类专门针对敏感信息的规范。但是，对于私密信息，由于其属于隐私，受到隐私权的保护，故此只要权利人没有明确同意并且没有法律的另外规定，即可认定处理私密信息行为的非法性，即采取所谓的结果不法说。但是，认定非私密信息的非法性，仍然需要适用个人信息保护法所规定的个人信息处理规则。

　　2.在确定行为非法性之后，需要认定非法的个人信息处理行为即侵害行为所侵害的民事权益的类型究竟是什么。在该层面上，确认个人信息究竟是私密信息还是非私密信息非常重要。可以说原告所主张的被侵害的信息究竟是私密信息还是非私密信息，直接决定了侵害行为所侵害的究竟是隐私权还是侵害个人信息权益。这种判断在法院审理的几乎所有的个人信息侵权纠纷中都会存在。侵害的民事权益不同，侵权责任的构成要件、侵权责任的承担方式等也有所不同。例如，对于私密信息，适用隐私权保护的规定，权利人有权行使人格权保护请求权，并可以向法院申请人格权行为禁令。但是，对于非私密信息，则不能如此。然而，哪些是私密信息，哪些是非私密信息，不可能如同敏感信息和非敏感信息那样，由法律法规规章或标准加以确定，必须根据案件的具体情况予以具体认定。就私密信息的认定，有些是没有争议的，如个人的健康信息、犯罪记录、财产状况、性取向等当然属于私密信息。至于自然人的姓名、容貌、性别等，则不属于私密信息。尤其是有些个人信息实际上也被其他的人格权所保护，如姓名、容貌、声音等可以分别为姓名权、肖像权所保护。但是，对于读书记录、网页浏览信息、社交关系、地理位置信息等是否属于私密信息，在司法实践中则存在很大的争议。由于我国民法典上对于私密信息和非私密信息采取不同的保护方法，故此，笔者认为，不能以权利人单方面是否具有“不愿为他人知晓”的意愿为标准来确定哪些是私密信息，而应当从社会公众的一般认知和价值权衡的角度出发，逐一认定案涉个人信息是否属于私密信息。比较重要的考虑因素包括：社会公众对该信息作为私密信息的认知；该信息对于维护自然人的人身财产权益、人格尊严和人格自由的重要程度；该信息对于维护社会正常交往、信息自由的重要程度如何等。

二、敏感信息与私密信息的联系与区别
　　敏感信息与私密信息之间存在交叉的关系。有些个人信息既是私密信息也是敏感个人信息，如医疗健康、性取向；有些个人信息虽然是私密信息，却并不是敏感个人信息，如个人的嗜好、被他人性骚扰的个人信息；有些信息是敏感个人信息却未必是私密信息，如种族或民族、宗教信仰、政治主张、面貌特征等。笔者认为，区分敏感信息与私密信息的核心标准在于：就私密信息而言，需要结合具体情况从该信息自然人的人格尊严、人格自由关联紧密与否，该信息被侵害是否影响私人生活的安宁等角度来加以认定。

但是，个人信息的敏感与否，主要是从该信息被非法处理可能产生的危害后果这一客观的角度来认定的，应遵循更客观、明确的标准，否则信息处理者将无所适从。也就是说，无论自然人是否愿意为他人知晓，都不影响某一信息客观上是否属于敏感个人信息。如前所述，敏感信息和非敏感信息的区分使得处理者应遵循的个人信息处理规则和义务的不同，故此，为确保信息处理规则的稳定性与可预期性，法律法规规章和标准应当明确列明各种敏感个人信息。

目前，《草案》第29条第2款对敏感个人信息的界定为：“敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。”笔者认为，所谓敏感个人信息主要是指，那些涉及自然人人格尊严、人格自由或者其他重大权益的个人信息，这些个人信息倘若被非法处理，将会对所涉自然人的人格尊严、人格自由或者其他重大的人身权益、财产权益造成严重的威胁或损害。依据这一界定，以下信息应当归入敏感的个人信息：（1）种族或民族信息；（2）宗教信仰信息；（3）政治主张信息；（4）生物识别信息；（5）基因信息；（6）医疗健康信息；（7）性生活与性取向信息；（6）储蓄、证券等金融账户信息。在未来我国个人信息保护法正式颁布后，相信立法机关和有关部门还会颁布相应的法规规章和国家标准对于敏感信息的范围和类型予以具体化、明确化。唯其如此，处理者才能有明确的行为规范的预期，以免动辄得咎，妨碍我国网络信息产业、数字经济的发展以及损害公共利益。