一、國家制定《個人信息保護(hù)法》保護(hù)自然人的個人信息權(quán)益

　　8月20日頒布的《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）旨在保護(hù)個人信息權(quán)益，規(guī)范個人信息處理活動，促進(jìn)個人信息合理利用。自然人的個人信息受法律保護(hù)，任何組織、個人不得侵害自然人的個人信息權(quán)益。依據(jù)《個人信息保護(hù)法》，處理個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則，應(yīng)當(dāng)具有明確、合理的目的，遵循公開、透明原則，保證個人信息質(zhì)量和保障個人信息安全。而“告知-同意”是落實這些法律原則的主要實施機制。法律規(guī)定了個人信息保護(hù)的原則和處理規(guī)則，規(guī)定了個人信息跨境提供的規(guī)則、個人在個人信息處理活動中的權(quán)利、個人信息處理者的義務(wù)、履行個人信息保護(hù)職責(zé)的部門以及法律責(zé)任等內(nèi)容，特別規(guī)定了敏感個人信息的處理規(guī)則和國家機關(guān)處理個人信息的特別規(guī)定。

　　個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，但是不包括匿名化處理后的信息。法律使用了個人信息處理這樣一個概括性概念，與國際特別是歐盟的GDPR（通用數(shù)據(jù)保護(hù)條例）一致，指收集、存儲、使用、加工、傳輸、提供、公開、刪除等一切處理個人信息的行為。個人信息權(quán)益是指自然人基于個人信息享有的人身和財產(chǎn)安全、人格尊嚴(yán)等，法律規(guī)定的“個人在個人信息處理活動中的權(quán)利”，包括知情權(quán)、決定權(quán)、限制或者拒絕權(quán)、查閱復(fù)制和“攜帶”權(quán)以及更正和補充請求權(quán)、刪除請求權(quán)等，是用以保護(hù)和實現(xiàn)個人人身和財產(chǎn)安全、人格尊嚴(yán)等權(quán)益的手段和維權(quán)路徑。

　　二、敏感個人信息的概念與分類

　　個人信息可以分為一般個人信息與敏感個人信息。敏感個人信息是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。敏感信息之外的其他個人信息屬于一般個人信息。法律為了強化對敏感個人信息的保護(hù)，對其設(shè)置了特殊的處理規(guī)則。敏感個人信息的保護(hù)，是個人信息保護(hù)法的重中之重。

　　依據(jù)法律的規(guī)定，敏感個人信息分為三類：

　　一是一旦泄露或者非法使用容易導(dǎo)致自然人人格尊嚴(yán)受到侵害的個人信息，如人臉信息等生物識別信息、宗教信仰和特定身份信息、醫(yī)療健康信息等。這些個人信息如果被泄露（盡管收集可能是合法的）或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害，被他人非法歧視等。

　　二是一旦泄露或者非法使用容易導(dǎo)致自然人人身、財產(chǎn)安全受到危害的個人信息，如生物識別信息、行蹤軌跡信息、金融賬戶及相關(guān)的信息等。這些個人信息如果被泄露（盡管收集可能是合法的）或者非法使用，容易導(dǎo)致自然人的人身、財產(chǎn)安全受到危害。比如，個人的行蹤信息被泄露或者被犯罪分子掌控，就可能危及該特定個人的人身安全；個人的金融賬戶包括儲蓄賬戶及取款密碼等泄露或者被犯罪分子掌控，就可能危及該特定個人的財產(chǎn)安全，導(dǎo)致存款被盜取造成其財產(chǎn)損失。

　　三是不滿十四周歲未成年人的個人信息?！秱€人信息保護(hù)法》草案三次審議稿增加這一規(guī)定，將不滿十四周歲未成年人的個人信息規(guī)定為敏感個人信息，受到強化保護(hù)。也就是說，涉及不滿十四周歲未成年人的個人信息，均屬于敏感信息。

　　三、強化敏感個人信息保護(hù)的法理

　?。ㄒ唬┥踩珜€人的極端重要性

　　生命作為人之存在的邏輯前提，是人從事一切活動的基本要求，集中體現(xiàn)人的價值與尊嚴(yán)。由于生命對個人具有極端重要性，法律應(yīng)當(dāng)將其作為最高利益予以保護(hù)。在憲法體系中，生命權(quán)是一種具有普世價值的基本人權(quán)，也被認(rèn)為是第一人權(quán)，在基本權(quán)利中居于優(yōu)先地位。只有生命權(quán)受到尊重和保障，才有可能實現(xiàn)憲法規(guī)定的國家目標(biāo)，憲法規(guī)定的其他基本權(quán)利與自由才有意義。

　　在民法體系中，《民法典》第1002條將生命權(quán)規(guī)定為各項具體人格權(quán)之首。依照該條規(guī)定，自然人的生命安全和生命尊嚴(yán)受法律保護(hù)，任何組織或者個人不得侵害他人的生命權(quán)。在個人信息處理活動中，法律同樣應(yīng)當(dāng)優(yōu)先保護(hù)個人的生命權(quán)。由于敏感個人信息的泄露或者非法使用可能導(dǎo)致個人的生命安全受到危害，敏感個人信息的處理應(yīng)當(dāng)在充分保護(hù)個人生命安全的前提下進(jìn)行。

　?。ǘ┴敭a(chǎn)安全對個人的重要性

　　《憲法》第13條第1款規(guī)定：“公民的合法的私有財產(chǎn)不受侵犯?！薄睹穹ǖ洹返?13條規(guī)定：“民事主體的財產(chǎn)權(quán)利受法律平等保護(hù)?！薄叭裘?，則無恒產(chǎn)，因無恒心?！北Ｗo(hù)個人財產(chǎn)的恒定與安全，是法治的基礎(chǔ)，也是整個社會存在的基礎(chǔ)。當(dāng)敏感個人信息被泄露或者非法使用，進(jìn)而導(dǎo)致個人財產(chǎn)遭受侵害時，敏感個人信息在其中僅起到媒介或者手段的作用，直接造成個人財產(chǎn)損失的往往是他人實施的侵害行為。但是，敏感個人信息的不當(dāng)處理可能大幅提高個人財產(chǎn)遭受他人侵害的可能性，使得個人的財產(chǎn)安全面臨嚴(yán)重威脅。為了保護(hù)個人財產(chǎn)不受侵害，法律應(yīng)當(dāng)強化對敏感個人信息的保護(hù)，賦予個人對其敏感個人信息更強的控制力。

　?。ㄈ┤烁褡饑?yán)對個人的重要性

　　《憲法》第38條規(guī)定：“中華人民共和國公民的人格尊嚴(yán)不受侵犯。禁止用任何方法對公民進(jìn)行侮辱、誹謗和誣告陷害。”《民法典》第109條規(guī)定：“自然人的人身自由、人格尊嚴(yán)受法律保護(hù)?！比烁褡饑?yán)是自然人作為法律上的“人”應(yīng)當(dāng)受到的基本禮遇和尊重。人格尊嚴(yán)要求將人視為價值，以保有人的精神本質(zhì)構(gòu)成為終極目標(biāo)，否認(rèn)與排斥任何削弱與貶損人的精神完整性，及有損人格發(fā)展的行為。敏感個人信息與個人的人格尊嚴(yán)高度相關(guān)，因此處理敏感個人信息應(yīng)當(dāng)符合更為嚴(yán)格的條件。一方面，處理者應(yīng)當(dāng)防止其自身的處理活動得出有損個人人格尊嚴(yán)的結(jié)果；另一方面，處理者也應(yīng)當(dāng)防止敏感個人信息被泄露或者非法使用，避免個人的人格尊嚴(yán)遭受侵害。

　?。ㄋ模娀瘜ξ闯赡耆说膫€人信息保護(hù)的特殊意義

　　依照《未成年人保護(hù)法》第4條的規(guī)定，處理涉及未成年人事項，應(yīng)當(dāng)給予未成年人特殊、優(yōu)先保護(hù)，尊重未成年人人格尊嚴(yán)，保護(hù)未成年人隱私權(quán)和個人信息，以及適應(yīng)未成年人身心健康發(fā)展的規(guī)律和特點?；诖?，《未成年人保護(hù)法》第72條和《個人信息保護(hù)法》第31條對未成年人個人信息的處理作出了特別規(guī)定。原因在于，未成年人心智尚未成熟，其個人信息一旦被泄露或者非法使用，容易對其人格的健康、自由發(fā)展產(chǎn)生不利影響。在個人信息處理活動中，未成年人沒有足夠的認(rèn)識能力和控制能力，也缺乏足夠的自我保護(hù)能力，其權(quán)益無疑更容易受到侵害，在個人信息保護(hù)與利用方面，更應(yīng)為未成年人提供特殊保護(hù)。對于未成年人的保護(hù)，家庭承擔(dān)著首要、特殊的職責(zé)，未成年人的父母或者其他監(jiān)護(hù)人應(yīng)當(dāng)依法履行其保護(hù)職責(zé)?！睹穹ǖ洹返?4條第1款規(guī)定：“監(jiān)護(hù)人的職責(zé)是代理被監(jiān)護(hù)人實施民事法律行為，保護(hù)被監(jiān)護(hù)人的人身權(quán)利、財產(chǎn)權(quán)利以及其他合法權(quán)益等。”因此，在未成年人的個人信息保護(hù)中，應(yīng)當(dāng)充分發(fā)揮未成年人的父母以及其他監(jiān)護(hù)人的重要作用。

　　四、強化敏感個人信息保護(hù)的法律規(guī)則

　?。ㄒ唬┨幚砻舾袀€人信息的前提：特定目的、充分的必要性以及嚴(yán)格保護(hù)措施

　　《個人信息保護(hù)法》第28條第2款規(guī)定：“只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個人信息處理者方可處理敏感個人信息?！彼^特定目的，是指某一具體且確定的目的，這一要求與《個人信息保護(hù)法》第6條所規(guī)定的“明確、合理的目的”相比而言更高。例如，處理者如基于疫情防控目的處理個人的生物識別信息等敏感個人信息，則處理者不得將此等敏感個人信息用于其他與疫情防控?zé)o關(guān)的處理目的。

　　即使是諸如日常公共管理等其他與公共利益相關(guān)的處理目的，也不能為處理者的后續(xù)處理活動提供合法性基礎(chǔ)。所謂充分的必要性，是指對于處理敏感個人信息之必要性的判斷應(yīng)當(dāng)更加謹(jǐn)慎。例如，在小區(qū)門禁管理的場景下，物業(yè)服務(wù)企業(yè)收集并保存業(yè)主或者物業(yè)使用人的姓名、手機號碼等一般個人信息的行為通常符合必要原則的要求，但其將人臉識別作為業(yè)主或者物業(yè)使用人出入物業(yè)服務(wù)區(qū)域的唯一驗證方式的行為則違反了必要原則，業(yè)主或者物業(yè)使用人有權(quán)拒絕并要求其提供替代措施。

　　所謂嚴(yán)格保護(hù)措施，是指處理者應(yīng)當(dāng)采取與一般個人信息處理相比更為充分的保護(hù)措施，以保障其所處理的敏感個人信息的安全，包括事前進(jìn)行個人信息保護(hù)影響評估、制定相應(yīng)內(nèi)部管理制度和操作規(guī)程、提高敏感個人信息處理的操作權(quán)限、制定并組織實施敏感個人信息安全事件應(yīng)急預(yù)案、以及對敏感個人信息作去標(biāo)識化、匿名化處理等。

　　（二）處理敏感個人信息的必要條件

　　《個人信息保護(hù)法》第29條規(guī)定：“處理敏感個人信息應(yīng)當(dāng)取得個人的單獨同意；法律、行政法規(guī)規(guī)定處理敏感個人信息應(yīng)當(dāng)取得書面同意的，從其規(guī)定?！薄秱€人信息保護(hù)法》第13條第1款第1項所規(guī)定的個人同意，既包括概括同意，也包括單獨同意，前者指個人針對不特定種類個人信息的處理統(tǒng)一作出的同意，后者指個人針對某一特定種類個人信息的處理作出的獨立的、不與其他個人信息相混同的同意。

　　為了強化一般個人信息的利用，個人可以對一般個人信息的處理統(tǒng)一作出概括同意，從而降低取得個人同意環(huán)節(jié)的溝通成本；為了強化敏感個人信息的保護(hù)，法律要求處理者處理敏感個人信息只能基于個人的單獨同意。單獨同意可以對個人進(jìn)行提示，避免其敏感個人信息在其沒有充分認(rèn)知的情況下被處理，并促使個人慎重考慮同意處理所可能帶來的后果，增強個人對其敏感個人信息的實際控制力。

　?。ㄈ┨幚砻舾袀€人信息應(yīng)盡的義務(wù)

　　《個人信息保護(hù)法》第30條規(guī)定：“個人信息處理者處理敏感個人信息的，除本法第十七條第一款規(guī)定的事項外，還應(yīng)當(dāng)向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響；依照本法規(guī)定可以不向個人告知的除外?！?/p>

　　依照《個人信息保護(hù)法》第17條第1款的規(guī)定，處理者在處理個人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實、準(zhǔn)確、完整地向個人告知：1. 處理者的名稱或者姓名和聯(lián)系方式；2. 個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；3. 個人行使本法規(guī)定權(quán)利的方式和程序；4. 法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項。該條款規(guī)定的事項屬于處理個人信息如無例外均應(yīng)當(dāng)告知的事項，在處理敏感個人信息的情形自然也應(yīng)當(dāng)告知。

　　此外，敏感個人信息的處理可能顯著地增進(jìn)個人利益或者公共利益（充分的必要性），但同時也可能給個人的人格尊嚴(yán)以及人身、財產(chǎn)安全帶來一定影響。因此，處理者還應(yīng)當(dāng)告知處理敏感個人信息的必要性以及對個人權(quán)益的影響，協(xié)助個人清楚地了解處理敏感個人信息的利弊，為個人作出自主決定提供前提條件。

　　但是，依照《個人信息保護(hù)法》第18條第1款以及第35條的規(guī)定，有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，或者在國家機關(guān)處理敏感個人信息的情形，告知將妨礙國家機關(guān)履行法定職責(zé)的，處理者可以不向個人告知前述事項。

　?。ㄋ模┪闯赡耆藗€人信息的處理規(guī)則

　　《個人信息保護(hù)法》第31條規(guī)定：“個人信息處理者處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。個人信息處理者處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)制定專門的個人信息處理規(guī)則?！?/p>

　　依照《未成年人保護(hù)法》第16條的規(guī)定，未成年人的父母或者其他監(jiān)護(hù)人應(yīng)當(dāng)履行為未成年人提供生活、健康、安全等方面的保障的義務(wù)。處理未成年人的個人信息可能給未成年人的權(quán)益帶來一定影響，處理者在處理前，理應(yīng)取得其監(jiān)護(hù)人的同意。為了實現(xiàn)對未成年人的特殊、優(yōu)先保護(hù)，處理者還應(yīng)當(dāng)建立專門的個人信息處理規(guī)則。例如，處理者應(yīng)當(dāng)對未成年人個人信息單獨歸類并進(jìn)行相應(yīng)管理，建立便于未成年人及其監(jiān)護(hù)人行使個人權(quán)利的機制（尤其是更正、刪除權(quán)，《未成年人保護(hù)法》第72條第2款），將未成年人個人信息的處理限于有利于未成年人生活、成長等特定目的。