引言

　　數(shù)字經(jīng)濟(jì)方興未艾， 正在日益與互聯(lián)網(wǎng)、人工智能、云計(jì)算等行業(yè)深度融合發(fā)展。數(shù)據(jù)是數(shù)字經(jīng)濟(jì)的重要支撐， 已成為除土地、勞動(dòng)力、資本和技術(shù)外的第五類“生產(chǎn)要素”。數(shù)據(jù)保護(hù)與規(guī)范亟需法律從個(gè)人信息與隱私保護(hù)、企業(yè)數(shù)據(jù)權(quán)益、國家安全與監(jiān)管等維度作出系統(tǒng)性的制度安排。作為數(shù)據(jù)保護(hù)制度的基礎(chǔ)法律， 《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》的重要性毋庸置疑。2021年4月29日， 《個(gè)人信息保護(hù)法（草案二次審議稿）》《數(shù)據(jù)安全法（草案二次審議稿）》公布。從企業(yè)使用數(shù)據(jù)和合規(guī)遵從的視角， 通力網(wǎng)安數(shù)據(jù)業(yè)務(wù)小組對(duì)審議稿作出系列解讀， 本文為第五篇《敏感個(gè)人信息的處理要點(diǎn)》。

　　相比于一般的個(gè)人信息， 敏感個(gè)人信息一旦遭到泄露或?yàn)E用， 可能對(duì)個(gè)人人身或財(cái)產(chǎn)安全造成更大的損害， 因此敏感個(gè)人信息亦應(yīng)受到更加嚴(yán)格的保護(hù)。正因如此， 《個(gè)人信息保護(hù)法（草案二次審議稿）》（以下簡(jiǎn)稱“《二審稿》”）設(shè)專節(jié)對(duì)于敏感個(gè)人信息及其處理規(guī)則作出了規(guī)定。本文試從《二審稿》的規(guī)定出發(fā)， 梳理現(xiàn)行法律法規(guī)下不同行業(yè)下敏感個(gè)人信息的處理要點(diǎn)， 并結(jié)合我們的執(zhí)業(yè)經(jīng)驗(yàn)就敏感個(gè)人信息的處理提供實(shí)務(wù)見解與建議。

　　一

　　《二審稿》對(duì)敏感個(gè)人信息處理提出的要求

　　作為中國個(gè)人信息保護(hù)領(lǐng)域的首部綜合性法律， 基于現(xiàn)行個(gè)人信息保護(hù)要求和實(shí)踐中的監(jiān)管經(jīng)驗(yàn)， 《二審稿》對(duì)于敏感個(gè)人信息的處理提出了更高的要求。依據(jù)《二審稿》第二章第二節(jié)以及第五章規(guī)定， 處理敏感個(gè)人信息應(yīng)當(dāng)同時(shí)滿足下列條件：

　　1） 具有“特定的目的”和“充分的必要性”；

　　2） 基于個(gè)人同意處理敏感個(gè)人信息時(shí)， 應(yīng)當(dāng)取得單獨(dú)同意；

　　3） 處理敏感個(gè)人信息的告知事項(xiàng)， 除一般個(gè)人信息相關(guān)告知事項(xiàng)以外， 還包括處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人的影響； 以及

　　4） 對(duì)敏感個(gè)人信息處理活動(dòng)進(jìn)行事前的風(fēng)險(xiǎn)評(píng)估， 并妥善保管風(fēng)險(xiǎn)評(píng)估報(bào)告和處理情況記錄。

　　1. 充分的必要性

　　《民法典》和《網(wǎng)絡(luò)安全法》均對(duì)個(gè)人信息處理提出了“正當(dāng)、合法、必要”的原則性要求。但是《民法典》和《網(wǎng)絡(luò)安全法》均未對(duì)處理敏感個(gè)人信息時(shí)的“充分的必要性”要求進(jìn)行進(jìn)一步解釋。從文義解釋的角度來看，  “必要”原則指的是在處理個(gè)人信息時(shí)應(yīng)限定于實(shí)現(xiàn)目的所需最少個(gè)人信息和對(duì)個(gè)人主體影響最低的方式。在這一方面， 2019年11月發(fā)布的《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》（“《違法違規(guī)認(rèn)定方法》”）將“收集的個(gè)人信息類型或打開的可收集個(gè)人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無關(guān)”、“收集個(gè)人信息的頻度等超出業(yè)務(wù)功能實(shí)際需要”， “因用戶不同意收集非必要個(gè)人信息或打開非必要權(quán)限， 拒絕提供業(yè)務(wù)功能”， “要求用戶一次性同意打開多個(gè)可收集個(gè)人信息的權(quán)限， 用戶不同意則無法使用”等行為認(rèn)定為“違反必要原則， 收集與其提供服務(wù)無關(guān)的信息”的違法行為。《違法違規(guī)認(rèn)定方法》不僅僅從收集信息的類型這一層面進(jìn)行“必要性”的認(rèn)定， 還從處理頻率、收集方式等層面考慮， 意味著除了收集個(gè)人信息的范圍之外， “必要”原則亦對(duì)個(gè)人信息的處理行為進(jìn)行限制。2021年5月1日生效的《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》（以下簡(jiǎn)稱“《必要個(gè)人信息規(guī)定》”）則進(jìn)一步規(guī)定39類服務(wù)收集的“必要個(gè)人信息”的范圍， 同時(shí)《必要個(gè)人信息規(guī)定》亦對(duì)收集“非必要個(gè)人信息”的行為作出限制， 不允許因用戶不同意提供非必要個(gè)人信息而拒絕用戶使用其基本功能服務(wù)。我們理解， 《必要個(gè)人信息規(guī)定》亦遵循了《違法違規(guī)認(rèn)定方法》的精神， 從收集個(gè)人信息范圍和處理個(gè)人信息行為兩方面對(duì)“必要性”原則進(jìn)行解釋。在實(shí)踐中， 監(jiān)管部門亦從“范圍”和“行為”兩方面進(jìn)行考察， 例如上海市通信管理局在2021年2月25日通報(bào)的一批侵害用戶權(quán)益典型案例中， 曾將“社交類App應(yīng)用嵌入的SDK插件存在高頻率收集讀取手機(jī)狀態(tài)和身份等個(gè)人隱私信息行為， 收集個(gè)人信息的頻度超出業(yè)務(wù)功能實(shí)際需要”認(rèn)定為“違反必要原則， 收集與其提供的服務(wù)無關(guān)的個(gè)人信息”的行為。

　　而關(guān)于如何理解“充分的必要性”以及其具體判斷方法， 歐洲數(shù)據(jù)保護(hù)專員公署（European Data Protection Supervisor, 簡(jiǎn)稱“EDPS”）2019年發(fā)布的《關(guān)于評(píng)估限制隱私權(quán)和個(gè)人數(shù)據(jù)基本權(quán)利的措施必要性的指南》 可資借鑒[1]。依據(jù)上述指南的規(guī)定， 在判斷必要性時(shí)， 首先應(yīng)說明待議的個(gè)人信息處理行為如何能實(shí)現(xiàn)處理目的， 再將待議方案與對(duì)個(gè)人信息主體權(quán)益侵害更小的替代方案進(jìn)行比較， 說明侵害更小的替代方案不能同樣有效地實(shí)現(xiàn)個(gè)人信息處理目的， 方可證明必要性的存在。

　　綜上所述， 雖然現(xiàn)行中國法律對(duì)“充分的必要性”并未進(jìn)行進(jìn)一步的解釋， 但是結(jié)合已有的法律規(guī)定和監(jiān)管實(shí)踐， 我們理解在判斷“充分的必要性”時(shí)不僅僅需要考慮收集個(gè)人信息的范圍的“必要性”， 處理個(gè)人信息行為的“必要性”亦需要進(jìn)行考察。而《二審稿》提出處理敏感個(gè)人信息應(yīng)基于“充分的必要性”， 則必然會(huì)對(duì)“必要”原則提出更高的要求， 我們期待監(jiān)管部門在此方面給予進(jìn)一步的回應(yīng)。

　　2. 單獨(dú)同意

　　根據(jù)《二審稿》第30條要求， 基于個(gè)人同意處理敏感個(gè)人信息的， 個(gè)人信息處理者應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。也就是說， 在獲取個(gè)人信息主體同意時(shí)， 個(gè)人信息處理者應(yīng)當(dāng)首先區(qū)分一般個(gè)人信息與敏感個(gè)人信息， 并就敏感個(gè)人信息處理獲取個(gè)人單獨(dú)同意。

　　但令人遺憾的是， 《二審稿》仍然未能明確“單獨(dú)同意”實(shí)現(xiàn)的具體方式， 給組織和企業(yè)處理敏感個(gè)人信息帶來不確定性。根據(jù)我們的觀察， 為盡可能地實(shí)現(xiàn)“單獨(dú)同意”的要求， 企業(yè)往往會(huì)采取下列一種或者多種策略：

　　1） 個(gè)人信息處理者在其公示的個(gè)人信息保護(hù)政策中， 為敏感個(gè)人信息處理設(shè)置專門的章節(jié)；

　　2） 以彈窗方式單獨(dú)顯示敏感個(gè)人信息處理的目的、方式和范圍， 例如微信小程序多以彈窗方式向用戶告知收集位置信息并獲取用戶同意；

　　3） 為敏感個(gè)人信息準(zhǔn)備單獨(dú)的協(xié)議， 例如阿里云為其人臉分析服務(wù)準(zhǔn)備了單獨(dú)的《人臉識(shí)別服務(wù)協(xié)議》以向用戶說明處理目的、方式和范圍。

　　不過上述方式能否滿足處理敏感個(gè)人信息的“單獨(dú)同意”要求， 仍然有待主管部門給予進(jìn)一步的解釋。

　　3. 額外的告知事項(xiàng)

　　《二審稿》第17條對(duì)處理個(gè)人信息的告知義務(wù)進(jìn)行了原則性的規(guī)定， 而第31條在此基礎(chǔ)之上對(duì)“處理敏感個(gè)人信息”提出了額外的告知義務(wù)。依據(jù)第31條的要求， 在處理敏感個(gè)人信息時(shí)， 相關(guān)個(gè)人還應(yīng)當(dāng)知悉處理敏感個(gè)人信息的必要性以及對(duì)其個(gè)人的影響。

　　根據(jù)該等要求， 我們理解個(gè)人信息處理者應(yīng)當(dāng)先內(nèi)部梳理處理敏感個(gè)人信息的范圍， 并核實(shí)和記錄處理個(gè)人敏感信息的“必要性”， 以及對(duì)個(gè)人主體的影響（例如是否會(huì)導(dǎo)致特定服務(wù)不能實(shí)現(xiàn)或者導(dǎo)致服務(wù)的質(zhì)量下降）， 最后在對(duì)外公示的《個(gè)人信息保護(hù)政策》中向相關(guān)用戶明示上述內(nèi)容， 并獲取用戶的單獨(dú)同意。

　　二

　　其他法律法規(guī)對(duì)敏感個(gè)人信息處理提出的要求

　　除《二審稿》之外， 許多單行法律法規(guī)規(guī)定了各個(gè)行業(yè)和領(lǐng)域的敏感個(gè)人信息處理規(guī)則。常見的單行法律法規(guī)（并非全部）中對(duì)處理敏感個(gè)人信息提出的要求示例如下：

　　1. 網(wǎng)絡(luò)交易信息

　　2021年5月1日生效的《網(wǎng)絡(luò)交易監(jiān)督管理辦法》（以下簡(jiǎn)稱“《管理辦法》”）對(duì)于網(wǎng)絡(luò)交易信息的處理提出了特別的要求。

　　首先， 《管理辦法》第13條定義了網(wǎng)絡(luò)交易環(huán)境下的“敏感信息”， 包括（但不限于）個(gè)人生物特征、醫(yī)療健康、金融賬戶、個(gè)人行蹤信息。盡管《管理辦法》使用的措辭“敏感信息”不同于《二審稿》中的“敏感個(gè)人信息”， 上述四類個(gè)人信息不僅符合《二審稿》和《信息安全技術(shù) – 個(gè)人信息安全規(guī)范 （GB/T 35273-2020）下》（以下簡(jiǎn)稱“《個(gè)人信息安全規(guī)范》”）對(duì)于“敏感個(gè)人信息”和“個(gè)人敏感信息”的定義， 監(jiān)管部門通常亦將其認(rèn)定為敏感個(gè)人信息。

　　其次， 《管理辦法》明確了敏感信息獲取“單獨(dú)同意”的方式， 即網(wǎng)絡(luò)交易經(jīng)營者收集、使用多種敏感信息， 應(yīng)就每一種敏感信息逐項(xiàng)取得消費(fèi)者同意。值得注意的是， 網(wǎng)絡(luò)交易語境下對(duì)敏感個(gè)人信息的“單獨(dú)同意”采取了較為嚴(yán)格的解釋， 值得網(wǎng)絡(luò)交易經(jīng)營者重視。

　　2. 消費(fèi)者金融信息

　　《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》（以下簡(jiǎn)稱“《實(shí)施辦法》”）適用于金融機(jī)構(gòu)處理消費(fèi)者個(gè)人信息的情形。《實(shí)施辦法》將銀行和支付機(jī)構(gòu)通過開展業(yè)務(wù)等途徑處理的消費(fèi)者信息稱為消費(fèi)者金融信息， 并明確列舉消費(fèi)者金融信息包括個(gè)人身份信息、財(cái)產(chǎn)信息、賬戶信息、信用信息、金融交易信息等信息。

　　《實(shí)施辦法》關(guān)于告知的要求較《二審稿》的規(guī)定更為寬松。《實(shí)施辦法》允許銀行、支付機(jī)構(gòu)通過格式條款而非單獨(dú)的彈窗向消費(fèi)者告知收集消費(fèi)者金融信息的目的、方式、內(nèi)容和使用范圍， 但要求銀行、支付機(jī)構(gòu)以顯著方式提示同意的可能后果。同時(shí)， 針對(duì)目前金融消費(fèi)者知情權(quán)利沒有得到充分保護(hù)的現(xiàn)狀， 《實(shí)施辦法》亦對(duì)收集消費(fèi)者金融信息的方式提出特殊要求， 例如“顯著告知”、“業(yè)務(wù)關(guān)聯(lián)”和“不得強(qiáng)制收集消費(fèi)者金融信息”等要求。

　　值得注意的是， 《個(gè)人信息保護(hù)法（草案）（一審稿）》規(guī)定， 法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息作出更嚴(yán)格限制的， 從其規(guī)定?！抖徃濉穼ⅰ皣?yán)格”二字刪去， 將上一句改為“法律、行政法規(guī)對(duì)處理敏感個(gè)人信息規(guī)定作出其他限制的， 從其規(guī)定”?！抖徃濉返男薷牟⑽疵鞔_敏感個(gè)人信息保護(hù)的一般法和特別法的法律適用規(guī)則。其他法律或行政法規(guī)就同一敏感個(gè)人信息處理事項(xiàng)（例如向個(gè)人告知的方式）作出比《二審稿》更為寬松的規(guī)定時(shí)， 究竟應(yīng)適用《二審稿》的規(guī)定還是其他法律、行政法規(guī)的規(guī)定， 答案尚不明確。鑒于《實(shí)施辦法》關(guān)于告知的要求較《二審稿》的規(guī)定更為寬松， 并且從法律效力位階的角度來看《實(shí)施辦法》并不屬于法律或行政法規(guī)， 因此， 如果《個(gè)人信息保護(hù)法》中關(guān)于敏感個(gè)人信息處理的法律適用的規(guī)定按照《二審稿》第32條的現(xiàn)狀發(fā)布， 銀行、支付機(jī)構(gòu)就消費(fèi)者金融信息處理相關(guān)事項(xiàng)的告知方式是否仍然適用《實(shí)施辦法》下的規(guī)定， 仍有待主管部門給出進(jìn)一步的解釋。

　　3. 人類遺傳資源信息

　　《人類遺傳資源管理?xiàng)l例》（以下簡(jiǎn)稱“《管理?xiàng)l例》”）規(guī)范在中國境內(nèi)進(jìn)行的人類遺傳資源采集、保藏、利用和對(duì)外提供等活動(dòng)。其中， “人類遺傳資源”包括“人類遺傳資源材料”和 “人類遺傳資源信息”?！叭祟愡z傳資源信息”， 根據(jù)《管理?xiàng)l例》的規(guī)定， 指的是“所有利用含有人體遺傳物質(zhì)的器官、組織、細(xì)胞等遺傳材料產(chǎn)生的信息”。未經(jīng)匿名化處理的人類遺傳資源信息在一定的條件下能夠識(shí)別特定自然人， 或者在特定自然人已識(shí)別的情況下屬于與自然人有關(guān)的信息， 因此特定的人類遺傳資源信息也屬于“個(gè)人信息”的范疇。同時(shí)， 此類人類遺傳資源信息擁有“個(gè)人生物特征信息”的屬性， 因此能夠作為《二審稿》下的“敏感個(gè)人信息”受到法律保護(hù)。

　　《管理?xiàng)l例》對(duì)于我國人類遺傳資源信息的采集、保藏、利用、對(duì)外提供活動(dòng)作出了嚴(yán)格規(guī)范， 包括事前審批制度、對(duì)外資的限制、符合倫理原則等。人類遺傳資源信息處理的主要要點(diǎn)如下：

　　1） 采集人類資源前， 應(yīng)當(dāng)全面、完整、真實(shí)、準(zhǔn)確地向人類遺傳資源提供者告知采集目的、采集用途、采集人類遺傳資源對(duì)健康可能產(chǎn)生的影響， 取得人類遺傳資源提供者的書面同意， 保證提供者自愿參與和隨時(shí)無條件退出的權(quán)利；

　　2） 保藏我國人類遺傳資源， 僅當(dāng)科技部批準(zhǔn)后方能實(shí)施；

　　3） 利用我國人類遺傳資源開展國際合作科學(xué)研究， 僅當(dāng)科技部批準(zhǔn)后方能實(shí)施；

　　4） 向外方單位提供人類遺傳資源信息能影響我國公眾健康、國家安全和社會(huì)公共利益的， 應(yīng)當(dāng)事先通過科技部的安全審查。將人類遺傳資源信息向外方單位提供或開放使用， 應(yīng)向科技部備案并提交信息備份；

　　5） 禁止外方單位在我國境內(nèi)采集、保藏我國人類遺傳資源、向境外提供我國人類遺傳資源。

　　4. 個(gè)人生物識(shí)別信息

　　個(gè)人生物識(shí)別信息目前還沒有法律層面的明確定義。依據(jù)《個(gè)人信息安全規(guī)范》的規(guī)定， 常見的個(gè)人生物識(shí)別信息包括人臉識(shí)別信息、基因信息、指紋信息、聲紋信息等?！睹穹ǖ洹返?034條明確將生物識(shí)別信息列入個(gè)人信息的范疇， 而《個(gè)人信息安全規(guī)范》的附錄B亦將個(gè)人生物識(shí)別信息列為個(gè)人敏感信息。個(gè)人生物識(shí)別信息的唯一性使得此類信息一旦泄露無法通過修改的方式彌補(bǔ)， 將給個(gè)人造成不可逆轉(zhuǎn)和難以消除的侵害， 因此有必要專門針對(duì)個(gè)人生物識(shí)別信息進(jìn)行規(guī)范。

　　《個(gè)人信息安全規(guī)范》對(duì)個(gè)人生物識(shí)別信息這類敏感個(gè)人信息在存儲(chǔ)、披露環(huán)節(jié)提出了特殊要求， 主要處理要點(diǎn)包括：

　　1） 個(gè)人生物識(shí)別信息與個(gè)人身份信息分開存儲(chǔ)；

　　2） 原則上不存儲(chǔ)原始的個(gè)人生物識(shí)別信息， 而應(yīng)盡可能采取其他對(duì)個(gè)人權(quán)益侵害更小的替代措施， 例如僅存儲(chǔ)摘要信息、利用個(gè)人生物識(shí)別信息完成認(rèn)證后刪除原始圖像；

　　3） 不得公開披露個(gè)人生物識(shí)別信息。

　　三

　　敏感個(gè)人信息處理規(guī)則對(duì)企業(yè)的影響

　　隨著數(shù)字化進(jìn)程的加速， 越來越多的行業(yè)開始需要處理敏感個(gè)人信息。例如， 人臉信息等個(gè)人生物信息在當(dāng)今社會(huì)被廣泛應(yīng)用于識(shí)別和認(rèn)證自然人的身份， 因此包括App運(yùn)營者在內(nèi)收集使用人臉信息的企業(yè)， 都屬于敏感個(gè)人信息的處理者。再如醫(yī)療健康領(lǐng)域， 醫(yī)療健康類敏感個(gè)人信息的處理則涉及醫(yī)療機(jī)構(gòu)、醫(yī)藥和醫(yī)療器械企業(yè)、接受委托處理醫(yī)療健康信息的CRO等第三方機(jī)構(gòu)、互聯(lián)網(wǎng)醫(yī)院、健康醫(yī)療信息服務(wù)平臺(tái)等多方主體。人臉識(shí)別、醫(yī)療健康、金融、網(wǎng)絡(luò)交易、人類遺傳資源等行業(yè)均屬于敏感個(gè)人信息處理活動(dòng)受到強(qiáng)監(jiān)管的重點(diǎn)行業(yè)。

　　敏感個(gè)人信息本身的特殊性決定了此類信息處理存在特殊限制， 因此敏感個(gè)人信息處理者更應(yīng)謹(jǐn)慎處理敏感個(gè)人信息， 避免承擔(dān)更加嚴(yán)重的違法責(zé)任。例如， 2017年頒布的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》將非法獲取、出售、提供行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息等敏感個(gè)人信息的行為規(guī)定為侵犯公民個(gè)人信息罪的“嚴(yán)重情節(jié)”。

　　《二審稿》的出臺(tái)為敏感個(gè)人信息重點(diǎn)企業(yè)就如何合規(guī)處理敏感個(gè)人信息提出了若干啟示。我們建議大量處理敏感個(gè)人信息的企業(yè)提前采取下列合規(guī)措施， 以滿足將要適用的合規(guī)要求：

　　1） 識(shí)別并判斷企業(yè)日常業(yè)務(wù)中收集處理的敏感個(gè)人信息種類和數(shù)量， 明確合規(guī)義務(wù)范圍；

　　2） 重新審視敏感個(gè)人信息保護(hù)相關(guān)規(guī)則， 梳理適用于企業(yè)的敏感個(gè)人信息處理規(guī)則；

　　3） 根據(jù)適用的處理規(guī)則與合規(guī)要點(diǎn)， 審視現(xiàn)有的敏感個(gè)人信息合規(guī)實(shí)踐是否與法律要求的一致；

　　4） 對(duì)敏感個(gè)人信息處理活動(dòng)在事前進(jìn)行風(fēng)險(xiǎn)評(píng)估， 并妥善保管風(fēng)險(xiǎn)評(píng)估報(bào)告和處理情況記錄。