敏感个人信息的处理规则

第二节 敏感 个人信息的处理规则

第二十八条 【敏感个人信息的定义及处理】

【条文主旨】

本条是关于敏感个人信息的定义及处理的规定。

【条文理解】

本条作为个人信息保护法第二章第二节“敏感个人信息的处理规则”首个条款，对敏感个人信息定义以及敏感个人信息处理的前提予以阐述。在对敏感个人信息的界定上，通过“概括+列举”的方法明确敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，同时列举了属于该范围的敏感个人信息，如生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。“概括+列举”方法的使用能最大程度地确定敏感个人信息的范围，与一般个人信息划分界限。

一方面，本条文在对“敏感个人信息”概念的解释上，明确了客观侵害行为的类型，确认了可能受到侵害的客体种类。通过对条文的理解，只要符合行为要件和客体要件，便可对敏感个人信息予以界定。易言之，只要行为要件存在“泄露”或“非法使用”两种情况之一，危害到人格尊严或人身、财产安全两种客体之一，即属于本条所规定的敏感个人信息。从行为要件层面上看，侵害行为包括“泄露”和“非法使用”：“泄露”是指个人信息一旦被泄露，将导致个人信息的主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控；“非法使用”应指的是敏感个人信息被用于非法途径，如信息主体的身份证复印件被他人用于违法活动。从客体层面上看，敏感个人信息主要涉及自然人的人格尊严或者人身、财产安全两大方面。“人格尊严”主要是因为敏感个人信息所记录的并非简单的文字描述，更多的是文本背后所承载的人格权益和价值；“人身、财产安全”则是考虑某些敏感个人信息与自然人的生命财产安全息息相关，一旦被侵害，极容易导致自然人“人财两空”，典型如金融账户、医疗健康等信息。

另一方面，本条还通过“列举式”的方法对属于敏感个人信息范畴的信息予以明确，但不管是生物识别信息抑或是医疗健康信息，此类信息更多的是对于客体的具象化。换言之，条文中所列举的生物识别等信息均涉及自然人的人格尊严或人身、财产安全，对自然人具有十分重要的意义。但是值得我们注意的是，本条同时还将“不满十四周岁未成年人的个人信息”纳入敏感个人信息的范围，此种做法主要是考虑到不满十四周岁未成年人作为无民事行为能力人或限制民事行为能力人，无法对个人信息的处理予以准确、清晰的回应，因此需要对其个人信息予以特殊的保护。

本条第二款规定了处理敏感个人信息的前提要件，包括目的、必要性以及保护措施三大层面。首先，从目的层面上看，法律明确规定处理敏感个人信息应坚持“目的特定”，意味着敏感个人信息处理者在处理个人信息的过程中，不能随意扩大或超出原有目的范围，如果目的发生变化，应根据本法第十四条规定重新获取信息主体的同意。其次，从必要性的层面上看，法律要求处理敏感个人信息必须具备“充分的必要性”，对敏感个人信息处理的必要性提出了程度上的要求。个人信息保护法并未就“充分的必要性”予以进一步解释，但从保护敏感个人信息的角度出发，“充分的必要性”应该体现在敏感个人信息处理活动的全过程，包括收集、处理以及存储等环节中，^[31]避免敏感个人信息被滥用。最后，从保护措施层面上看，法律要求采取严格的保护措施，在敏感个人信息处理的各个环节中，采取安全、可靠的保护手段，保护敏感个人信息不被泄露、非法使用。此外，以上三者并非“或者”的关系，而是并列关系，即只有三者具备的情况下，敏感个人信息才能被处理。

【适用指南】

本条对敏感个人信息的范围予以界定，同时还规定了处理敏感个人信息的前提条件，要求个人信息处理者“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下”才能处理敏感个人信息。因此，本条从适用的角度而言，主要可以分为敏感个人信息的识别判断标准和处理敏感个人信息的前提条件两部分，具体如下：

对于敏感个人信息的识别判断标准，学界一直有不同观点。在本条规定出台之前，有学者认为敏感个人信息中的“敏感”应以个人的主观反应为标准^[32]，而有些学者则主张以客观权益侵害风险为标准^[33]，双方各执一词。本次个人信息保护法对敏感个人信息规定了清晰的识别判断标准，通过采取“行为要件+客体要件”的模式判断相关信息是否属于敏感个人信息。以行为要件为基准，对此判断方法描述如下：一是如果某信息因其“泄露”行为，使得自然人人格尊严或者人身、财产安全受损，那么该信息属于敏感个人信息；二是如果某信息因其“非法使用”行为，使得上述客体遭受损害，那么该信息属于敏感个人信息。此外，还需要注意例外情况，即“不满十四周岁未成年人的个人信息”同样属于敏感个人信息。

对于处理敏感个人信息的前提条件，本条规定处理敏感个人信息必须具备特定的目的、充分的必要性，并采取严格保护措施三种条件，对敏感个人信息的处理采取特殊的规则。因此，要求个人信息处理者应对自身业务可能涉及的敏感个人信息认真梳理识别，同时经过内部充分论证，确定处理敏感个人信息的特定目的以及处理个人信息的充分必要性，并对敏感个人信息的处理做好相关的严格保护措施，构建敏感个人信息处理的内部评估以及制度保障机制，确保个人信息合规有序处理，保障公民个人信息合法权益。

【相关规定】

《中华人民共和国宪法》第三十八条。

第二十九条 【敏感个人信息的单独同意】

【条文主旨】

本条是关于敏感个人信息单独同意条款的规定。

【条文理解】

本条规定了敏感个人信息的处理规则，要求处理敏感个人信息应当取得个人的单独同意；对于法律、行政法规规定的特殊情况，还规定应当取得书面同意，即对其取得同意的形式提出了要求。本次个人信息保护法将个人信息的类型区分为一般个人信息和敏感个人信息，同时还设专节对敏感个人信息的处理规则予以规定，其主要原因在于敏感个人信息本身的特殊性和重要性。首先，根据个人信息保护法第二十八条规定“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息”，相较于一般个人信息，敏感个人信息承载了更为紧密的人格尊严和人身财产安全利益，其重要性程度更高。如果敏感个人信息的处理规则采取“普通同意”模式，则个人信息处理者可以轻而易举地获取敏感个人信息，敏感个人信息所承载的人格利益和人身、财产安全利益则无法被有针对性地保护。其次，从权利救济的角度上看，“普通同意”的责任规则保护模式无法保护信息主体免受不法侵害。在实践中，“普通同意”模式常常会因为结构性问题和信息主体的认知问题而陷入“同意”困境。^[34]最后，信息技术的飞快发展意味着信息传播愈发迅速，在这种环境下敏感个人信息如果被“泄露”或“非法使用”，那么对于信息主体的权益无疑是巨大的损害，而这种损害是难以恢复的。^[35]因此，对敏感个人信息区分不同的处理规则，要求其取得个人的单独同意，有利于更好地规范个人信息处理活动，保障个人信息的合法权益。

与此同时，在对处理敏感个人信息应当取得个人单独同意的原因予以解释后，还须明确“单独同意”在处理敏感个人信息中的具体要点。在个人信息保护法中，需要“单独同意”的情形包括：（1）向第三方提供个人信息（第二十三条）；（2）公开个人信息（第二十五条）；（3）在公共场所安装图像采集、个人身份识别设备，用于维护公共安全之外的其他目的（第二十六条）；（4）处理敏感个人信息（第二十九条）；（5）个人信息跨境传输（第三十九条），其具体要求包括三方面：一是个人信息处理者须全面履行告知义务，确保信息主体的同意是建立在其充分知情的基础上，对于个人信息处理者的告知义务详见个人信息保护法第三十条的解读；二是单独同意的作出必须是信息主体针对某类特定的个人信息所作出的独立、明确的意思表示，避免信息主体的敏感个人信息未在充分知情的情况下被处理，体现信息主体对敏感个人信息的自决权利；三是敏感个人信息的同意必须是根据敏感个人信息处理的特定目的而作出的特定同意，即处理目的和同意内容是一一对应关系。敏感个人信息处理者必须具备“特定目的”才能处理敏感个人信息，而信息主体也正是基于此特定目的作出判断，最终确认是否同意个人信息处理者处理敏感个人信息。因此，如果此时敏感个人信息处理者任意变更或超出原本特定目的范围，则应重新获取信息主体的“单独同意”。

另外，本条也规定了书面同意的情形，要求“法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定”。对于“书面同意”的规定，有学者在个人信息保护法草案出台时，便认为“仅在此处强调同意的要式并无必要”，建议予以删除。^[36]本次个人信息保护法仍规定了“书面同意”的要求，但是尚未明确须取得“书面同意”的具体情形，对该条文的适用还需结合相关法律、行政法规的要求。

【适用指南】

根据本条规定，处理敏感个人信息应当取得个人的单独同意，同时结合个人信息保护法第四条第二款规定“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”。因此，个人信息处理者在处理敏感个人信息时应做到：一方面，在对个人信息处理的全过程中，尊重信息主体的合法权益，充分履行告知义务，获取信息主体的“单独同意”；另一方面，对于“单独同意”的规定应具体落实到各个业务场景中，构建一套符合法律规定、可行性高的业务方案，在保障个人信息合法权益的基础上推动个人信息的流通使用。

另外，本条在适用上还存在一个问题，即本条所规定的“单独同意”能否被个人信息保护法第十三条所规定的事项所豁免。根据个人信息保护法第十三条的规定，有第十三条中第二项至第七项规定情形的，不需取得个人同意。此时，对敏感个人信息的处理如果涉及第十三条第二项至第七项规定情形的，那么“单独同意”是否能被豁免？值得注意的是，首先，“单独同意”作为法律规定的处理敏感个人信息的特殊措施之一，不同于一般个人信息处理的“同意”，如果“单独同意”能被个人信息保护法第十三条规定的事项所豁免，那么法律便不需对“同意”和“单独同意”相关字眼予以区分。其次，根据个人信息保护法第十三条第二款规定的“依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意”，其明确指出如存在相关豁免情形，不需要取得个人“同意”。从文义解释的角度出发，此时的“同意”应指的是一般个人信息处理中的“同意”，区别于敏感个人信息的“单独同意”。再次，我们可从《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》中得到启示。根据该规定第二条规定“信息处理者处理人脸信息有下列情形之一的，人民法院应当认定属于侵害自然人人格权益的行为：……（三）基于个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意……”此处将“基于个人同意处理人脸信息的”与“单独同意”区分开来，体现了对敏感个人信息的特别保护。最后，假设“单独同意”能被个人信息保护法十三条规定的情形豁免，可能存在相关不合理之处。如满足豁免情形中的“为订立、履行个人作为一方当事人的合同所必需”则无须取得个人同意，但是敏感个人信息作为与信息主体切身利益相关的信息，是否能因订立、履行合同所必需而被处理，值得我们进一步思考。

【相关规定】

《中华人民共和国个人信息保护法》第四条、第十三条、第二十八条；《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第二条。

第三十条 【处理敏感个人信息的告知义务】

【条文主旨】

本条是关于个人信息处理者处理敏感个人信息时应履行的告知义务的规定。

【条文理解】

本条规定了个人信息处理者处理敏感个人信息时，应全面充分履行告知义务，尊重信息主体的知情权；同时，本条也规定了告知义务的除外情形，即依照本法规定可以不向个人告知的除外。对于处理敏感个人信息时，应充分履行告知义务，这既是对信息主体知情权的尊重，同样也是有序进行个人信息处理活动的应有之义。对于处理敏感个人信息应履行的告知义务包括：一方面，需依照个人信息保护法第十七条第一款规定“……在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：（一）个人信息处理者的名称或者姓名和联系方式；（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；（三）个人行使本法规定权利的方式和程序；（四）法律、行政法规规定应当告知的其他事项”。另一方面，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响，其中“必要性”以及“对个人权益的影响”是敏感个人信息处理的增强规定，对于二者需进一步探究，以此厘清法律要求。

一是对于告知处理敏感个人信息的“必要性”。根据个人信息保护法第二十八条规定，个人信息处理者处理敏感个人信息必须具备“充分的必要性”，依照上文的论述，此处的必要性包括处理敏感个人信息全流程的必要性。这便意味着个人信息处理者应当向个人告知处理敏感个人信息全流程的必要性，包括信息的收集、处理、存储等各个环节。二是对个人权益的影响。从文义解释的角度入手，对个人权益的影响即处理敏感个人信息可能会给信息主体带来的利与弊，包括但不限于处理敏感个人信息会给个人的人格尊严以及人身、财产安全带来一定影响。对个人权益影响的告知有利于使信息主体更加清楚地了解敏感个人信息处理的情况，协助其作出决定。

另外，本条还规定了告知义务的除外情形，主要包括：法律、行政法规规定应当保密或者不需要告知的情形、紧急情况无法及时告知的或者告知将妨碍国家机关履行法定职责等情况。除了以上几种情况外，个人信息处理者在处理敏感个人信息时应当充分履行告知义务，保障信息主体合法权益。

【适用指南】

本条主要规定了处理敏感个人信息时应履行的告知义务。在适用上，首先，个人信息处理者除了依法可不履行告知义务的情况外，还应当以显著方式、清晰易懂的语言真实、准确、完整地告知第十七条第一款规定的事项；其次，还应当告知处理敏感个人信息的必要性和对个人权益的影响。一方面，虽然目前对于“充分的必要性”还未有明确定义，但可根据实践中的相关文件对个人信息处理者的业务予以规范。如《App违法违规收集使用个人信息行为认定方法》第四条规定，个人信息处理者可能需要告知的内容还包括处理敏感个人信息与所开展业务的关联程度、信息收集的范围、信息收集的频率以及开通信息处理的权限范围等，对收集敏感个人信息的必要性予以告知。另一方面，个人处理者还应如实告知该处理活动可能给信息主体个人权益带来的影响，包括有利影响和不利影响。其中不利影响应包括个人信息处理活动可能给信息主体带来的人格尊严或者人身、财产安全方面的影响。总而言之，个人信息处理者需根据自己的业务活动特点，根据不同场景制定对应的方案，以确保合法合规履行自己的义务。

【相关规定】

《中华人民共和国民法典》第一千零三十五条；《中华人民共和国网络安全法》第四十一条；《中华人民共和国个人信息保护法》第五条、第二十八条；《App违法违规收集使用个人信息行为认定方法》第四条。

第三十一条 【不满十四周岁未成年人个人信息处理】

【条文主旨】

本条是关于处理不满十四周岁未成年人个人信息的规定。

【条文理解】

本条规定了个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意，同时还应当制定专门的个人信息处理规则。在本次个人信息保护法出台之前，保护未成年人个人信息一直是实务中的热点问题。我国宪法第四十九条第一款明确规定“……儿童受国家的保护”；民法典第一千零三十五条第一款第一项强调，未成年人的信息处理要得到其监护人的同意；另外，2019年所发布的《儿童个人信息网络保护规定》就儿童的个人信息保护予以专门立法；此后的未成年人保护法第七十二条第一款也明确规定“信息处理者通过网络处理未成年人个人信息的，应当遵循合法、正当和必要的原则。处理不满十四周岁未成年人个人信息的，应当征得未成年人的父母或者其他监护人同意，但法律、行政法规另有规定的除外”。不同于以往立法的是，此次个人信息保护法加强了对不满十四周岁的未成年人个人信息的保护，通过将不满十四周岁未成年人的个人信息定义为敏感个人信息，采取不同于一般个人信息的处理规则，即要求只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

对未成年人个人信息予以保护的主要原因：一是目前未成年人网民成为我国网民总人数中的重要组成部分。根据2021年2月3日共青团中央维护青少年权益部、中国互联网络信息中心发布的《2020年全国未成年人互联网使用情况研究报告》显示，截至2020年，城镇未成年人互联网普及率达到95.0%，农村为94.7%，^[37]这意味着未成年人个人信息在网络暴露的情况更加普遍。二是根据民法典规定，不满十四周岁的未成年人属于无民事行为能力人或者限制行为能力人，其对于个人信息处理的知情同意能力较弱，很难就个人信息的处理对个人信息权益产生的影响进行判断，因此需要得到其监护人的同意，以保护这些未成年人。三是本次个人信息保护法第三十一条是对我国宪法中保护未成年人立法精神的贯彻，个人信息保护领域必须重视儿童个人信息合法权益的保护，同样也是回应了民法典及未成年人保护法的立法规定，与其保持一致。

另外，本条还规定了个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。有学者指出，这一规定主要是为了强化对未成年人的保护，以贯彻我国未成年人保护法等确立的未成年人利益最大化原则，与个人信息保护法第二十八条的规定保持了协调。^[38]毫无疑问的是，不满十四周岁的未成年人的个人信息作为敏感个人信息，理应对其采取特殊的保护措施，以切实保障未成年人的合法权益。但需要注意的是，此条规定中并没有就专门的个人信息处理规则的设立标准、设立方式等具体问题展开说明，后续还需要予以明确指引。

【适用指南】

本条的适用对象为个人信息处理者，但对于不满十四周岁未成年人个人信息的保护除了规范个人信息处理者的行为之外，还需要社会合力，共同营造良好的保护未成年人的网络环境。

对于个人信息处理者来说，应做到如下几点：一是严格遵守个人信息保护法规定，在个人信息处理的全过程，坚持合法、正当、必要原则，获取不满十四周岁未成年人监护人的同意，采取合法正当的处理方式，将对未成年人个人信息的处理限制到最小的范围内，减少对未成年人的影响。二是在处理不满十四周岁未成年人的个人信息时，应严格设定信息的访问权限，控制信息的分享范围，防止信息泄露。三是对于不满十四周岁未成年人个人信息的处理设立专门的个人信息处理规则，在业务活动中制定专门的用户协议，安排专人负责信息的处理事项，确保未成年人个人信息得到妥当保护。

另外，对于不满十四周岁未成年人个人信息的保护还需社会的共同合力，一方面需要尽快出台行业规范、行业准则，为实践中个人信息的处理提供明确指引；另一方面不满十四周岁未成年人的父母或者监护人应加强对未成年人个人信息保护的意识教育，履行为未成年人提供生活、健康、安全等方面的保障的义务，从而更好地实现未成年人的个人信息保护。

【相关规定】

《中华人民共和国个人信息保护法》第二十八条；《中华人民共和国宪法》第四十九条；《中华人民共和国民法典》第一千零三十五条；《中华人民共和国未成年人保护法》第七十二条；《儿童个人信息网络保护规定》。

第三十二条 【敏感个人信息处理的兜底条款】

【条文主旨】

本条是关于敏感个人信息处理兜底条款的规定。

【条文理解】

本条规定了敏感个人信息处理的兜底性内容，法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的，从其规定。本条作为兜底条款，为后续立法留下空间。随着科学技术的迅速发展，新的使用敏感个人信息的技术不断出现，此条可对本法出台之后出现的新情况予以规制。其中，本条规定允许行政主体设置相关行政许可或其他限制规定，限制敏感个人信息的处理，这意味着行政主体可以作为“规制者”，提前介入个人信息处理活动。^[39]在数字经济时代，个人信息的流通频率加快，信息暴露的可能性愈来愈高。敏感个人信息作为个人信息中最有价值的部分，应重视并加强保护工作，保障个人信息主体合法权益。通过规定敏感个人信息处理的兜底条款，及时应对可能存在的新变化、新挑战，是有效保护个人信息合法权益，确保社会长治久安的应有之策。

【适用指南】

从法律适用的角度看，本条并未给予实践明确的指引。个人信息处理者处理敏感个人信息时，一方面，应严格遵守个人信息保护法第二十八条至第三十一条的规定，积极履行相关义务，依法合规开展业务活动；另一方面，个人信息处理者也应及时跟进敏感个人信息的相关立法动态，熟悉掌握特殊类型敏感个人信息的专门文件，法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的，从其规定。

【相关规定】

《中华人民共和国个人信息保护法》第二十八条至第三十一条；《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十条。