文/张鑫鸿

作者单位 上海江三角律师事务所

个人信息在现代社会中扮演着极为重要的角色。由于电子产品的大量普及，与个人信息相关的数据活动每时每刻都在发生。

大数据时代，鲜有人能够逃脱自己的信息被收集、分析和利用的情况。新冠肺炎疫情防控期间更是如此，出入公共场所的健康码、行程码都是个人信息被分析和利用的直接例证。

然而，伴随着个人信息数据指数级的增长，信息安全问题也日渐凸显。明星人脸数据泄露、动物园未经许可采集游客人脸数据、用户数据被泄露给第三方，这些信息安全案件近两年开始频繁地进入大众视野。由于《中华人民共和国个人信息保护法》（以下简称《个保法》）的内容范围广，本文将择取敏感个人信息作为焦点，阐述法律的出台会给企业经营管理带来哪些启示。

敏感个人信息的特征与种类

《个保法》第二十八条规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

从法条的表述可知，敏感个人信息属于个人信息的子集，是在满足个人信息构成要件的基础上，另外包含独有特征的个人信息，即泄露或非法使用会产生利益损害。条文表述的是受到危害的现实可能性，并且在《个保法》二审稿中，“严重危害”中的“严重”二字被删去，只要存在造成一般损害的现实可能性，这种个人信息即属于敏感个人信息范畴。

除上述描述性标准外，法条后半段以有限列举的方式，罗列了目前实务中常见的敏感个人信息大类别，包括了生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等类别。虽然这些类别较为笼统，但有助于企业快速识别所要处理的信息。除此之外，不满十四周岁未成年人的个人信息被单独提了出来，是较为特殊的敏感个人信息，这表现在其合规处理的规定相对更为严格，需要企业尤其关注。

敏感个人信息的梳理和识别

信息识别是分类管理、处理的前提。属于一般个人信息的，达到一般处理规则要求的程度即可，属于敏感个人信息的，需达到特殊规则要求的程度。企业可以经营管理的不同场景作为角度进行切分，分别对特定场景内产生、存在的个人信息进行识别。

实务中，与个人信息紧密联系的场景大致有企业人力资源管理场景、主营业务经营场景、遵守监管规定和企业内控制度场景三种。每个场景中，企业需要意识到并梳理涉及的个人信息总共有哪些，而后再逐一分析归类。比如，在人力资源管理的场景中，采集员工的联系电话和常住地址属一般个人信息，但是为了考勤而使用电子设备采集的人脸信息，则属于敏感个人信息。再比如，低幼教育机构为开展教学活动而采集的低龄学员信息，属于敏感个人信息；金融机构受监管要求或者按内控制度规定收集的员工相关信息，也存在敏感个人信息。

值得注意的是，敏感个人信息的梳理和识别工作，具有长期性、随时性的特征。随着技术设备的运用、业务的变化、新监管规定的出台，个人信息收集的范围和程度也将随之变化。企业应当注意适时开展敏感个人信息的评估、识别工作。

敏感个人信息的合规处理

●处理的前提

敏感个人信息的处理，需同时满足一般处理前提和特殊处理前提。一般处理前提在《个保法》第十三条中提及，包括取得个人同意、实施人力资源管理所必需、应对突发公共卫生事件等情形；特殊处理前提则在《个保法》第二十八条中提及，要求必须具有特定的目的和充分必要性，并已经采取严格保护措施的情形下，方可处理敏感个人信息。因此，充分的论证工作是企业决定处理敏感个人信息的前置性工作。

●特殊的告知同意规则

告知同意规则作为《个保法》确立的基本规则，在敏感个人信息处理方面存在特殊要求。在一般规则中，个人的同意，应当在充分知情的前提下，自愿明确作出。而对于敏感个人信息，《个保法》明确规定应当取得个人的单独同意。这可以理解为一事一议，禁止一揽子授权同意。与此同时，法律、行政法规规定应当取得书面规定的，企业应当遵照执行。

在告知方面，一般规则中已经对告知的内容范围和基本要求做了明确规定，在此不再赘述。而敏感个人信息的处理，则在一般告知的基础上，还应当额外告知必要性，以及对个人权益的影响。除非满足《个保法》规定的例外情形，比如法律明文规定需要保密的情形。

●对未成年人个人信息的绝对保护

《个保法》与《儿童个人信息网络保护规定》均对涉及不满十四周岁未成年人的个人信息处理进行了明确的规定，两部规范性文件的内容相互补充。若企业以未成年人为主要受众对象开发产品或服务，涉及其个人信息处理的，应当注意遵照执行。

根据《个保法》的规定，考虑到未成年人的认知能力有限，因此同意意思表示的主体，变更为未成年人的父母或者监护人。并且企业经营管理过程中需要处理未成年人信息的，还应当另行制定专门的规则。

根据《儿童个人信息网络保护规定》，企业需指定专人负责未成年人个人信息保护，制定专门的保护规则和协议，对企业内部工作人员以最小授权为原则，对受托处理未成年人个人信息的第三方负有安全评估义务等。这些都对企业建立未成年人个人信息保护机制提出了具体要求。

管理要求与难点

●敏感个人信息匿名化处理与重识别攻击

根据《个保法》的规定，企业作为个人信息的处理者，有义务在处理过程中采取相应的加密、去标识化等安全技术措施。此举的目的，在于从技术层面保证个人信息的安全性，即便其因意外或非意外原因暴露于公众视野，也不至于被第三人识别定位到具体的个人。

早先，单纯匿名化的操作（将身份信息使用合成标识符进行替换，切断敏感信息与真实个人之间的联系）即可达成保护目的。但随着现今个人信息数据的爆炸式增长，运用多维度匿名数据综合分析依旧可以较为精确地定位到个人，这被称为匿名数据的重识别攻击（Re-Identification Attacks）。比如，攻击人员通过将网络剧集服务提供商的匿名数据链接到公共IMDb 数据库的相应评级数据进行交叉参考验证，最后发现获悉匿名订阅者观看的六部电影的大致日期，就能以很高的概率精确识别个人身份。

但《个保法》并未规定采取的加密措施应达到何种程度，仅规定采取加密措施是处理者的义务。这就导致企业难以把握个人信息加密的程度。如果以极力降低个人信息处理风险为目的，则需要使用多重复杂加密措施，但这将增加企业数据处理的成本。若企业仅采用一般加密措施，一旦由于重识别攻击而导致个人信息被泄露或非法利用，企业是否会被认为未履行《个保法》规定的义务，尚未可知。

●从0到1构建个人信息保护制度及其有效性评估

无论是基于《个保法》的明文要求，还是基于实际管理需求，企业应当从无到有构建完整的个人信息保护的基本制度，对信息的识别、处理规则、权责界定、流程构建等内容进行明确。但个人信息保护对于企业来说尚属全新领域，在没有先例可供借鉴的情况下，制度内容是否合理、制度流程是否能够有效衔接、是否涵盖了个人信息保护的重要方面，都需要企业在日常经营管理过程中不断观察、反馈和修正。

●第三方个人信息处理供应商行为管理

《个保法》第二十一条规定，委托处理个人信息的，应当对受托人的处理活动进行监督。但在实务中，对信息处理的受托人（供应商）的处理行为，企业并不一定都具备技术层面的监督能力。企业个人信息保护的各项要求，需加入供应商行为准则中，并且供应商准入应建立安全性评估流程。对于已经实际委托的供应商，需接受企业定期或不定期的检查，提交相应的个人信息处理安全性报告进行审查和备案。

随着个人信息应用愈发广泛和普及、公民信息安全意识的不断提升以及法律法规的不断完善，个人信息安全的监督、监管必将走向常态化。企业作为个人信息处理的重要主体，承载着安全保护的主要义务。企业对个人信息保护的缺失，将会直接导致涉诉法律风险以及监管责任的产生，进而对企业声誉产生深远影响。