2021年11月1日起实施的《中华人民共和国个人信息保护法》规定了个人信息处理的基本规则,构建了个人信息保护的法律框架,筑牢了个人信息处理的安全边界。敏感个人信息涉及自然人的人格尊严、人身利益和财产安全等,个人信息保护法对此进行专门规定,进一步明确了敏感个人信息的界定标准和处理规则,为敏感个人信息保护提供了基本法律指引。
明确敏感个人信息的界定标准
根据《中华人民共和国民法典》第一千零三十四条的规定,个人信息作为人格权的一种,其关乎人格尊严。将个人信息区分为“敏感个人信息”与“非敏感个人信息”,是因为在难以计数和范围广阔的个人信息中,敏感个人信息承载了更高的人格尊严,且敏感个人信息的泄露与非法使用更容易引发权益侵害。因此,需要对敏感个人信息进行特殊保护。
以“客观权益侵害风险”为法律基准。个人信息保护法第二十八条第一款规定:“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”该款明确规定了敏感个人信息的法律基准,即“敏感个人信息”是一旦泄露或非法使用,容易使自然人人格尊严受到侵害或者人身、财产安全受到危害的个人信息。对于敏感个人信息的法律基准,学界主要存在三种观点:“主观说”(个体主观反应基准)、“客观说”(客观权益侵害基准)与“折中说”(兼采主客观基准)。以人格尊严受到侵害或人身安全受到危害的客观结果,作为法律判断基准,明确回应了学界有关敏感个人信息法律基准的相关争议。
采取“列举定义+等外”的涵盖模式。个人信息保护法第二十八条第一款,采取列举式定义模式,将与自然人生活密切相关的个人信息进行规定,即“生物识别”“宗教信仰”“特定身份”“医疗健康”“金融账户”“行踪轨迹”六类。上述列举规定,一定程度上做到了与《信息安全技术 个人信息安全规范》(以下简称《个人信息安全规范》)分类的衔接。同时《个人信息安全规范》关于个人信息的规定,也为个人信息保护法中敏感个人信息的判定提供了参照基准,但《个人信息安全规范》对个人信息的各项列举中,既涉及敏感个人信息,也涉及非敏感个人信息。因此,对敏感个人信息的判断,仍然应该在坚持列举定义的基础上,参考《个人信息安全规范》规定,结合实践中的具体场景进行认定。同时,应对该款中“等”做广义理解。这里的“等”应属“等外”模式,它不仅为未来社会发展中可能出现的特殊信息预留了一定立法空间,也为敏感信息的判定预留了解释可能。
规范敏感个人信息处理的前提
个人信息保护法第二十八条第二款规定:“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”该款以“特定的目的”“充分的必要性”“严格保护措施”为处理敏感个人信息的前提,为审查敏感个人信息处理行为的合法性提供了具体指引。
“特定的目的”。所谓特定目的,是指某一具体且确定的目的。个人信息保护法第六条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。”它规定了一般个人信息处理的原则,要求处理个人信息需要具有明确、合理的目的。和一般个人信息的处理相比,敏感个人信息处理的前提更严格,处理者必须在遵循一般个人信息处理前提的基础之上,根据敏感个人信息的要求进行实际推断,进而对其是否具有“特定性”进行综合判断。
“充分的必要性”。充分的必要性,是指对处理敏感个人信息之必要性的判断应当更加谨慎。个人信息保护法第五条规定:“处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。”该条作为个人信息处理的基本原则,明确规定了一般个人信息的处理行为的基本遵循。对于敏感个人信息而言,强调“充分的必要性”,这也是敏感个人信息处理的必要流程或必须程序,如不处理敏感个人信息则会影响相关活动的正常进行。
“严格保护措施”。严格保护措施是指相较于一般个人信息处理活动而言,敏感个人信息的处理应采取更为充分的保护措施,以保障其所处理的敏感个人信息的安全。例如,《个人信息安全规范》(6.3个人敏感信息的传输和存储)规定:“传输和存储个人敏感信息时,应采用加密等安全措施;个人生物识别信息应与个人身份信息分开存储等”。这要求对敏感个人信息的保护应该落实加密等安全举措,以确保敏感个人信息处理的安全。就具体的严格保护举措而言,可以包括事前进行个人信息保护影响评估、制定相应内部管理制度和操作规程,以及对敏感个人信息作去标识化、匿名化处理等。
确定敏感个人信息的处理规则
个人信息保护法第一条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”该条开宗明义,明确了个人信息保护法的调整边界,即规范个人信息的“处理”活动。个人信息保护法在本质上就是要规范利用个人信息、对个人进行识别分析的行为。该法第二十九条、第三十条、第三十一条进一步明确了敏感个人信息的处理规则,凸显了对敏感个人信息的保护力度。
“同意方式”强化。个人信息保护法第二十九条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”这里的“单独同意”,是指信息处理者在处理敏感个人信息中,必须就特定敏感个人信息的处理行为,单独取得信息主体的同意,即坚持“告知、同意”。这与第十三条规定的“个人信息处理者取得个人同意方可处理个人信息”相比,“单独同意”主要强调同意的独立性,信息主体对于敏感个人信息的同意可以独立于其他个人信息,信息处理者在实践中就敏感个人信息处理的一系列行为征得“概括同意”应当被认定为无效。“书面同意”,是指信息处理者在处理特定敏感个人信息时,根据其处理的行为和目的,征求信息主体“纸质”或“电子”形式的同意。此处的“书面形式”,可以参考民法典关于书面形式的规定做进一步司法解释。
“告知义务”提升。个人信息保护法第三十条规定:“个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。”个人信息保护法第十七条为一般个人信息处理的告知规则,第三十条针对敏感个人信息的特殊保护需求,增加了“必要性”和“对个人权益影响”事项。对于“必要性”告知事项,要求在敏感个人信息的处理中,应向信息主体告知处理敏感个人信息的必要性。这里的“必要性”可以结合个人信息保护法第二十八条第二款进行理解。“对个人权益的影响”,要求信息处理者应将对信息主体的人格尊严、人身和财产权益的影响明确告知信息主体,从而使信息主体可以综合分析,做出合理决定。
“未成年个人信息”保护。未成年人心智尚未成熟,个人信息保护意识相对薄弱,其个人信息一旦被泄露或非法使用,容易对其产生不利影响。个人信息保护法第三十一条第一款规定:“个人信息处理者处理不满十四周岁未成年人信息的,应当取得未成年人的父母或者其他监护人的同意。”将不满十四周岁的未成年人个人信息纳入敏感个人信息保护范畴,主要出于对未成年人特殊保护的综合考量,也是结合未成年人心智发展的特征来设定的。同时,确定这一年龄标准,也凸显了对未成年人信息保护的力度强化。
这里对处理未成年人信息应取得未成年人父母或监护人同意,遵循了民法典关于监护人同意制度的基本规定,主要是从保障未成年人利益立场出发,强调家庭对未成年人保护应承担首要责任。这可以更好地保护未成年个人信息的安全,维护未成年人的合法利益。个人信息保护法第三十一条第二款规定:“个人信息处理者处理不满十四周岁未成年人信息的,应该制定专门的个人信息处理规则。”鉴于处理未成年个人信息问题的复杂性,可以通过相关司法解释进一步完善未成年人个人信息保护的相关规定,构建未成年个人信息保护的法律框架。具体实践中,可以从以下几个方面努力:一是进一步完善未成年人的年龄和身份验证机制;二是信息处理者对未成年人信息进行单独归类;三是建立未成年人及其监护人对未成年人信息的更正、撤回、删除机制。
如何平衡信息保护和利用之间的关系,是互联网时代重要的法治命题。个人信息保护法的实施,无疑在“保护”和“利用”之间搭建了一座法治桥梁,划定了个人信息保护和利用的基本“场域”。信息分类是个人信息保护的重要进路,基于个人信息本身的重要性和对个人权益影响的差异,个人信息保护法对敏感个人信息保护做出了专门规定,要求信息处理者贯彻更为严格的保护举措和标准,这不仅符合大数据时代个人信息保护的基本定位,也对敏感个人信息的认定和处理起到了重要的指引作用。
(作者:□特约撰稿 赵宝 作者单位:华东政法大学法律学院)