时 诚

(西南政法大学 民商法学院， 重庆 401120)

在数字经济时代，伴随数字化技术应用领域的不断扩展，个人信息已经成为自然人与信息处理者之间相互博弈的资源。一方面，信息处理者以提高数字经济效益、增强社会福祉为出发点，主张对个人信息资源进行自由开发利用；另一方面，如果片面强调信息资源的利用，则必然会侵害自然人的个人信息权益，损及其人格尊严、个人自由[1]。为协调个人信息保护与利用的关系，2021年8月20日通过的《个人信息保护法》第1条将“规范个人信息处理活动”作为其立法目的之一，并试图围绕其构建系统化、体系化的个人信息处理制度。

本文拟从个人信息处理的规范涵义出发，通过探讨《个人信息保护法》中个人信息处理制度的创新与不足，提出在解释论上细化和完善相关条款的建议，以奠定数字经济时代个人信息处理的法律基础。

一、个人信息处理的规范涵义

明确个人信息处理的规范涵义，是建立科学合理的个人信息处理制度的重要前提。根据《个人信息保护法》第4条第2款，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等，其可以从法律地位、制度功能、价值评判等角度进行观察。

(一)法律地位：规范个人信息处理活动是个人信息保护法的立法目的

目前，全世界已经有140多个国家和地区制定了个人信息保护法。从该法律的发展历程来看，之所以各国普遍关注自然人的个人信息保护问题，起源于计算机技术广泛应用于收集、存储、使用、加工、传输等个人信息处理活动，进而大幅增加了自然人个人信息遭受泄露、非法使用的风险。在步入数字经济时代后，伴随社会数字化进程的不断推进，数据愈发成为重要的生产要素，仅仅依靠侵权法、刑法、消费者权益保护法等综合性法律对个人信息权益提供事后救济，已经不足以应对数字经济时代的个人信息保护危机。为防范个人信息处理活动中可能出现的权益侵害风险，有必要制定个人信息保护法规范个人信息处理活动而确保自然人的人身权益、财产权益免遭侵害[2]。例如，欧盟《一般数据保护条例》(GDPR)第1条将个人数据处理中自然人的权益保护作为其立法目的，并设立专章(第二章)对个人数据处理的原则和合法性事由作出了详细规定。

值得注意的是，保护自然人的个人信息权益并不意味着全面禁止商业化的个人信息处理活动。相反，“个人信息的合理使用并不必然排除出于商业目的的使用”(1)凌某某诉北京微播视界科技有限公司隐私权、个人信息权益网络侵权责任纠纷案，北京互联网法院民事判决书(2019)京0491民初6694号。。这是因为，个人信息对自然人与信息处理者而言具有不同的规范价值：信息处理者依据法律规定或当事人约定处理个人信息，其商业化利用的核心是个人信息中的财产性利益[3]148；而法律保护自然人个人信息权益的目的在于维护其人格尊严、个人自由，其个人信息本身并不具有财产价值，真正蕴含重要财产价值的是众多个人信息的集合[4]。可见，个人信息商业化利用的本质是信息处理者合理使用或自然人许可其使用个人信息的活动，自然人在个人信息上享有的人格权益并未因信息处理活动而消灭[5]。

(二)制度功能：个人信息处理制度旨在协调保护个人信息与维护公共利益的关系

个人信息处理制度的目标在于协调保护个人信息与维护公共利益的关系，其理论基础是权益限制理论。权益限制是规范视野中的常见现象，限制自然人民事权益的路径主要包括：一是权益冲突，即由于权益边界的模糊性、交叉性而导致的，两个以上主体之间存在的权益矛盾关系[6]，如著作权与肖像权的冲突、娱乐权与休息权的冲突等，其以牺牲(限制)其中一个主体的利益作为实现另一主体利益的代价；二是基于公共利益的权益限制，如隐私权在一定程度上要受到舆论监督权、公众知情权的限制。

个人信息不仅附着了自然人的人格权益，而且承载了不特定多数人的(公共)利益，限制自然人个人信息权益的主要理由是公共利益。一方面，对于自然人而言，个人信息是维护其人格尊严、个人自由的重要屏障[7]，信息处理者应当尊重自然人的自主意志[8]；另一方面，数字经济时代的来临不仅使得人类活动愈发朝向数字化、智能化的方向发展，也迫使自然人为实现公共利益而让渡部分个人信息权益，从而激发企业创新活力、提升政府的服务质量。为协调保护个人信息与维护公共利益的关系，有必要建立完善的个人信息处理制度，将企业、政府等信息处理者的行为纳入法律的预设轨道。

(三)价值评判：个人信息处理的合法性判断具有划定权益边界的作用

自然人的个人信息权益与公共利益的保护位阶不能绝对化，而应通过个人信息处理活动的合法性判断划定个人信息权益的边界[9]。

其一，合法的个人信息处理是自然人个人信息自决权的行使或对个人信息权益的限制。知情同意是最基本的个人信息处理的合法性事由，要求信息处理者的行为建立在自然人充分知情且同意的基础之上，是自然人信息自决和自主意志的体现。但知情同意却非个人信息处理的唯一合法性事由，还包括法律、行政法规规定的其他情形[10]。特别是当个人信息涉及公众知情权、公共安全等公共利益时，个人信息处理是保障公众知情权、采取公共管理措施的重要工具[11]。在符合法律规定的情形下，自然人的个人信息权益应部分地让位于公共利益，以充分实现个人信息的社会价值。

其二，违法的个人信息处理构成对自然人个人信息权益的侵害，信息处理者将承担相应的法律责任。主要包括下列情形：一是信息处理者未经自然人同意且以不符合法定事由的方式处理个人信息。例如，“微信读书收集原告微信好友列表，向原告并未主动添加关注的微信好友自动公开读书信息，并未以合理的‘透明度’告知原告并获得原告的同意”(2)黄女士与腾讯科技(北京)有限公司等网络侵权责任纠纷案，北京互联网法院(2019)京0491民初16142号民事判决书。。二是信息处理者虽经自然人同意，但并未明示个人信息处理的目的、方式、范围，或者个人信息处理不符合合法、正当、必要原则，构成对个人信息的过度处理。例如，根据《网络安全法》第30条，网信部门在履行职务中获取的个人信息，只得用于维护信息网络安全；如果超越该目的范围处理个人信息，则不符合信息处理的必要性原则，侵害网络用户的个人信息权益。三是信息处理者违反安全保障义务导致个人信息泄露、篡改、丢失等。例如，因东航和趣拿公司的安全管理存在漏洞导致用户的个人信息泄露造成损害的，信息处理者应当承担侵权责任(3)庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案，北京市第一中级人民法院民事判决书(2017)京01民终509号。。

二、个人信息处理的合法性事由

《个人信息保护法》第13条第1款规定了7项个人信息处理的合法性事由。其中，知情同意属于信息处理者基于自然人同意而处理其个人信息的情形；而其他合法性事由则是法律基于公共利益等对自然人个人信息权益的限制。

(一)知情同意

1.知情同意在个人信息保护中的基石性地位

自1970年德国黑森州的《数据保护法》确立知情同意规则以来，知情同意逐渐成为各国普遍认可的个人信息处理的合法性事由。例如，欧盟《一般数据保护条例》第6条第1款第(a)项确认了经过自然人同意的个人数据处理的合法性，并于第7条和第8条分别规定了同意的条件和儿童同意的特殊规则。从我国个人信息保护的立法进程来看，自2012年12月28日《全国人民代表大会常务委员会关于加强网络信息保护的决定》首次以法律的形式确立知情同意规则以来，一直被我国个人信息保护立法所采纳。《民法典》第1035条也明确对知情同意规则作出了规定。然而，伴随数字经济的发展与大数据技术的普及，知情同意的理论与实践基础却频繁遭受学者们的质疑，如同意不能消除自然人与信息处理者的信息不对称、同意缺乏必要性与真实性[12]、同意为自然人和信息处理者带来沉重负担等[13]。

诚然，知情同意规则的实施现状并不令人满意，自然人通常缺乏足够的耐心和时间阅读冗长晦涩的个人信息保护政策。但是，个人信息承载着自然人的人格权益，任何个人信息处理行为都可能会产生侵害自然人人身权益、财产权益的潜在风险。在此意义上，个人信息作为保护自然人人身权益、财产权益免受非法侵害的法律屏障，并非任由他人处理的公共物品。如果否认知情同意规则的合法性，完全将个人信息处理行为交由公法规制，则“漠视了个人信息上承载的民事权益，只能导致大量以维护公共利益之名而行侵害私权利之实的恶行，最终的结果是既无法维护公共利益，更无法保护民事权益”[14]。可见，在数字经济时代，尽管知情同意规则的地位正在衰退，但其仍是个人信息保护的重要基石，具有保障个人信息自决权、彰显自然人自主意思的功能价值[15]，是最基本的个人信息处理的合法性事由。正因如此，与2020年10月21日公布的《个人信息保护法(草案)》相比，《个人信息保护法》第13条增加1款，意在于将第1款第一项规定的知情同意作为个人信息处理的基础性合法事由，而第二项到第七项规定的其他情形则是知情同意的例外。

2.知情同意的构成要件

知情同意规则由知情和同意两个部分构成，其根据《个人信息保护法》第14条到第18条须满足如下条件：

其一，告知信息处理事项。信息处理者应以显著方式、清晰易懂的语言告知个人信息处理的各种事项，包括信息处理者的身份和联系方式、个人信息处理的目的和方式、个人信息的种类和保存期限、自然人的权利等，从而确保自然人在充分知情的基础上作出是否同意的选择。例如，在黄某诉腾讯微信读书案中，法院认为，“原告用微信登陆微信读书时，单独拉起微信的授权页面，授权内容为‘寻找与你共同使用该应用的好友’，一般用户即可知晓微信读书经过用户授权则获得用户的微信列表。故仅从知悉收集信息的内容来看，达到了用户知情的标准”(4)黄女士与腾讯科技(北京)有限公司等网络侵权责任纠纷案，北京互联网法院(2019)京0491民初16142号民事判决书。。但如果信息处理者告知义务的履行将违反法律、行政法规规定的保密义务，或者信息处理者待告知的事项属于自然人明知应告知之内容(如医疗机构处理患者的个人信息)，则在不损害自然人人身权益、财产权益和其他重大利益的情况下，可以免除信息处理者的告知义务[16]218。

其二，公开信息处理规则。知情不仅要求信息处理者明示信息处理的各种事项，还应以其公开信息处理规则为必要。信息处理规则属于信息处理者一方掌握的信息。为最大程度地消除信息处理过程中可能出现的信息不对称现象，信息处理者应公开阐述信息处理的深度和广度、信息处理设备、信息处理的智能化程度和由此带来的风险、经过处理后信息的流向等。例如，“在《使用百度前必读》中，百度网讯公司已经明确说明cookie技术、使用cookie技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制”(5)朱烨与北京百度网讯科技公司隐私权纠纷上诉案，江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。，其行为符合公开信息处理规则的要求。

其三，征得自然人或其监护人同意。除非法律、行政法规另有规定，信息处理者在告知信息处理事项并公开处理规则后，还应征得自然人或其监护人的同意。在法律、行政法规没有作出特别规定的场合，同意既包括自然人的明示同意，也可涵盖自然人的默示同意(6)例如，“朱烨在百度网讯公司已经明确告知上述事项后，仍然使用百度搜索引擎服务，应视为对百度网讯公司采用默认‘选择同意方式’的认可”。朱烨与北京百度网讯科技公司隐私权纠纷上诉案，江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。；既包括口头同意，也包括书面同意。如果自然人已满十四周岁，则信息处理者应征得自然人本人同意，否则应征得其父母或其他监护人同意。而自然人撤回同意的，不影响撤回同意前个人信息处理的合法性。

(二)知情同意以外的其他合法性事由

个人信息上不仅附着了自然人的人格权益，而且承载了公共利益。当法律基于公共利益等因素的考量，可限制自然人的个人信息权益，规定信息处理者无须经过自然人同意即可处理其个人信息的情形。例如，欧盟《一般数据保护条例》第6条第1款(第a项除外)规定了知情同意以外的个人数据处理的合法性事由。而我国《个人信息保护法》第13条第1款第二项到第七项则确立了以下几类个人信息处理的合法性事由。

1.订立或履行自然人作为一方当事人的合同

在合同缔结或履行过程中，一方当事人不可避免地需要收集、使用对方的个人信息。对此，《个人信息保护法》第13条第1款第二项将信息处理者为订立或履行自然人作为一方当事人的合同所必需的情形作为个人信息处理的合法性事由。其不仅适用于信息处理是履行自然人与信息处理者的合同所必需的场合，还可以包含在合同订立前，信息处理是根据自然人的请求而履行先合同行为所必需的情形。此外，在信息处理者与第三方为维护自然人利益所订立的合同中，《个人信息保护法》第13条第1款第二项虽未明确规定为合同订立或履行所必需的个人信息处理的合法性，但在紧急情况下该情形也可纳入第四项为维护自然人合法权益的范围。

2.履行法定职责或法定义务

《个人信息保护法》第13条第1款第三项规定，信息处理者有权在为履行法定职责或法定义务所必需时处理自然人的个人信息。该条款是法律基于公共利益而授权信息处理者处理个人信息的权限，其前提是作为信息处理者的国家机关负有法定职责或非国家机关负有法定义务。例如，《网络安全法》第50条规定了国家网信部门和有关部门对禁止发布或传输的信息的处置职责。而国家网信部门和有关部门为履行该职责必然会实施个人信息的收集、存储等，其有权据此证成个人信息处理的合法性。

3.应对突发公共卫生事件或保护自然人合法权益

《个人信息保护法》第13条第1款第四项规定了两类个人信息处理的合法性事由，包括：

其一，为应对突发公共卫生事件所必需处理个人信息的。在突发公共卫生事件中，出于维护公共卫生利益的需要，自然人应让渡个人信息上的部分权益，以实现不特定多数人的利益[17]。例如，在新冠肺炎疫情期间，个人信息是记录疫情期间人员动向、排查患病人员的重要工具，有关部门有权基于疫情防控的需要收集自然人的健康码、出行记录、个人行踪等个人信息[18]。当然，即便是在应对突发公共卫生事件期间，个人信息处理也应维持在必要范围之内，以防止假借应对突发公共卫生事件之名而为侵害个人信息权益之实。例如，“被告未经相关权威机构授权及原告等名单当事人的同意，且明知侵犯相关当事人隐私的情况下，以‘目前是非常时期，没有什么东西比安全和生命更重要’‘目的在于希望涉及到的群众主动配合官方’为借口擅自将涉及原告姓名、家庭住址、身份证号码、手机号码等个人信息的案涉文章发布在公众平台，侵害了原告的合法权益，应承担相应的侵权责任”(7)赵某与重庆扬啟企业营销策划有限公司隐私权纠纷案，重庆市渝北区人民法院民事判决书(2020)渝0112民初24368号。。

其二，在紧急情况下为保护自然人生命健康和财产安全所必需处理个人信息的。相较于个人信息权益，自然人的生命权、身体权、健康权等人身权利以及权利化的财产权益具有更高的保护位阶，法律通常对后者予以优先保护。当自然人的个人信息权益与其他合法权益发生冲突时，信息处理者有权出于维护自然人合法权益的需要处理个人信息。例如，当自然人突发疾病急需紧急医疗而又难以征得本人或其监护人同意时，医疗机构有权基于维护自然人生命权、健康权之目的处理其个人信息，以便于对该自然人进行紧急救治。

4.实施新闻报道、舆论监督

新闻单位或其他媒体机构在实施新闻报道、舆论监督的过程中，不可避免地会收集、使用自然人的个人信息，如姓名、性别、个人行踪、健康信息等。倘若新闻单位或其他媒体机构在处理这些个人信息时都须经过自然人的知情同意，则不仅有害于新闻报道的正常进行，而且不利于公众知情权、舆论监督权之实现。因此，《个人信息保护法》第13条第1款第五项规定，在满足下列条件时，新闻单位或其他媒体机构有权合理使用个人信息：

其一，实施新闻报道、舆论监督等行为。所谓新闻报道，是指依法设立的新闻单位或其他媒体机构通过报纸、电视台、互联网等媒体途径或其他途径对已经发生事件的报道，具有准确性、及时性等特点；所谓舆论监督，是指社会公众通过新闻媒体或其他媒介对社会运行中发生的事件或现象予以监督并发表评论、意见的活动，其本质是公众监督。

其二，实施新闻报道、舆论监督之目的在于维护公共利益。并非新闻单位或其他媒体机构实施的任何新闻报道、舆论监督行为都有权处理个人信息，而须以维护公共利益作为其目的限制。如果新闻报道、舆论监督是为了报道娱乐新闻、披露某个明星的隐私或不道德行为，由于其并不涉及公共利益，信息处理者在未经自然人同意的情况下无权处理其个人信息[21]34。

其三，新闻单位或其他媒体机构的信息处理行为必须合理。所谓“合理”，不仅意味着信息处理者应当满足《个人信息保护法》第5条到第9条规定的个人信息处理的基本原则，还要求新闻报道、舆论监督不能侵害自然人的肖像权、隐私权等人格权益，否则应当承担法律责任。

5.处理已公开的个人信息

已公开的个人信息集中体现了自然人在社会交往中的形象，是每个自然人参与社会生活的基础[19]。根据《个人信息保护法》第13条第1款第六项，在满足下列条件时，信息处理者有权处理已公开的个人信息：

其一，个人信息已经公开。其指某人将能够识别特定自然人的信息公诸于众，从而使得不特定人群可以通过合法方式予以获取。信息公开的对象须为不特定的人，如果自然人在微信朋友圈、仅好友可见的新浪微博等网络空间公开其个人信息，由于该信息只有特定人群才能获取，故不属于已公开的个人信息。

其二，个人信息的公开须合法。只要个人信息经过合法公开，就成为公共领域的数据，任何组织和个人都有权在不违反法律规定的情况下对其进行处理。合法公开的个人信息可分为两种：一是自然人自行公开的信息。例如，某人在微信公众号上发布的个人简介、工作单位、电子邮箱等；二是其他已经合法公开的信息，主要包括基于政府机关的行政行为(如股权变更信息)、基于司法机关的司法行为(如裁判文书)而公开的个人信息等[20]。

其三，个人信息处理须维持在合理的范围之内。并非所有合法公开的信息都可任由他人无条件地处理，而须保持在合理的范围之内。该要求既是正当性原则和必要性原则的具体体现，又是保护自然人个人信息权益的重要措施。不合理的信息处理可能会对已公开的信息内容作出实质性改变，扭曲自然人在社会生活中的形象，不利于自然人的人格发展。

其四，个人明确拒绝或对个人权益有重大影响的除外。这主要包括：一是自然人明确拒绝处理已公开的个人信息，如科研工作者在学术会议上报告其论文或实验数据后，公开发表任何人不得擅自公开的声明。 二是个人信息处理将侵害自然人人身权益、财产权益或其他重大利益。 例如，在苏州贝尔塔数据技术有限公司与伊日克斯庆一般人格权纠纷案中，二审法院认为，“个人信息主体对信息传播控制的人格权益显然高于已经合法公开的个人信息流通所产生的潜在财产权益，个人信息主体对其个人信息传播控制的权利更不因个人信息已经合法公开而被当然剥夺”。 因此，“在伊某联系贝尔塔公司要求删除文书之后，贝尔塔公司仍以中国裁判文书网已公开诉争文书为由拒绝删除涉案文书，则构成对伊某个人信息的非法公开使用”(8)苏州贝尔塔数据技术有限公司与伊日克斯庆一般人格权纠纷案，江苏省苏州市中级人民法院民事判决书(2019)苏05民终4745号。。

除上述个人信息处理的合法性事由外，《个人信息保护法》第13条第1款第七项还设立了兜底性条款，法律、行政法规可基于维护公共利益的需要创设个人信息处理的合法性事由。

三、敏感个人信息处理的特殊规则

与一般个人信息处理活动相比，敏感个人信息一经泄露或非法处理即会产生侵害权利的高度风险，应当受到法律的严格限制。对此，《个人信息保护法》第二章第二节规定了“敏感个人信息的处理规则”，旨在为敏感个人信息提供更高程度的保护。

(一)敏感个人信息与一般个人信息的区分

如何区分敏感个人信息与一般个人信息，是确定敏感个人信息的处理对象、构建敏感个人信息处理制度的先决性问题。对此，比较法上通常采取列举的方式确立敏感个人信息的范围或类型。例如，欧盟《一般数据保护条例》第9条规定，敏感个人数据包括种族、民族、政治观点、宗教或哲学信仰、工会成员资格、基因、生物特征、健康、性生活或性取向等。美国弗吉尼亚《消费者数据保护法》(CDPA)在第59.1-571节的定义中规定，敏感个人数据包括：有关种族或族裔血统、宗教信仰、心理或身体健康诊断、性取向、公民或移民身份的个人数据；仅基于识别特定自然人之目的而处理的遗传或生物识别数据；儿童个人数据；精确地理位置数据。《个人信息保护法》第28条第1款在借鉴比较法的基础上，结合我国历史发展、文化背景、意识形态等现实情况[22]，将敏感个人信息界定为一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，并列举了生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息等敏感个人信息的具体类型。

敏感个人信息与一般个人信息的区分意义在于：其一，实现个人信息保护与利用的平衡。在数字经济时代，能够被识别的特定自然人的信息种类十分丰富，特别是能够间接识别或关联到特定自然人的信息，其类型随着数字化技术的发展已经得到广泛拓展。然而，这些个人信息的重要性程度却是不可等量齐观的。一般认为，敏感个人信息附着的人格尊严要素明显高于一般个人信息[23]。例如，自然人的姓名、身高体重、电话号码等个人信息，与人格尊严、个人自由的关联程度明显要低于宗教信仰、个人行踪等敏感个人信息，当后者遭受泄露或非法处理时通常会对自然人造成更高程度的损害。因此，根据个人信息的处理风险对其进行划分，有利于为不同类型的个人信息设置差别化的处理条件，从而实现强化敏感个人信息保护、促进一般个人信息利用之目的。其二，旨在对敏感个人信息处理提出更高的要求。这一点不同于《民法典》人格权编第六章对私密信息与非私密信息的区分。后者在于合理划分隐私权与个人信息权益的界限，是评价侵害个人信息权益的侵权责任是否成立的要素[24]。某类个人信息是否属于私密信息，应结合具体场景进行动态判断。而前者则是基于个人信息泄露或非法处理的潜在风险进行的分类，某类个人信息是否属于敏感个人信息，取决于社会一般人对潜在危险结果的判断。正如有的法院所指出的，“个人敏感信息更强调不当利用给信息主体带来的客观风险，该风险包括人身、财产风险；私密信息更强调因信息涉及人格利益而不愿为他人知晓的主观意愿”(9)黄某诉腾讯科技(深圳)有限公司等隐私权、个人信息权益网络侵权责任纠纷案，北京互联网法院民事判决书(2019)京0491民初16142号。。

(二)敏感个人信息处理的额外要求

《个人信息保护法》规定的敏感个人信息处理的额外要求主要包括下列4项，其中第一项和第四项是对敏感个人信息处理的所有合法性事由的额外要求，而另外两项则是对知情同意规则的强化。

其一，在处理目的与必要性上，《个人信息保护法》第28条第2款规定，与一般个人信息不同，只有在信息处理者具有特定目的与充分必要性并采取严格保护措施的情形下，方可处理敏感个人信息。这一规定旨在排除基于概括化目的和不具有充分必要性(如扫码点餐)的敏感个人信息处理的合法性，以防止因敏感个人信息处理的条件和程序过于简单而对自然人的人格尊严、个人自由造成较高的侵害风险。

其二，在同意标准上，敏感个人信息采用单独同意标准，信息处理者应征得自然人对敏感个人信息具体处理细节的单独同意；如果信息处理行为超越同意的边界，则需要重新征得自然人同意；而法律、行政法规要求信息处理者取得书面同意的，还必须征得自然人的书面同意(《个人信息保护法》第29条)。相反地，信息处理者在处理一般个人信息时只需要经过自然人的概括同意，而并不要求同意的独立性、具体性，信息处理者有权基于自然人概括宽泛的承诺对其一般个人信息进行处理。

其三，在告知事项上，信息处理者处理敏感个人信息的，须向自然人履行更多的告知事项，即除告知《个人信息保护法》第17条第1款规定的事项外，还应向自然人告知处理敏感个人信息的必要性及其对自然人权益的影响(《个人信息保护法》第30条)。

其四，在限制条件上，敏感个人信息的处理相较于一般个人信息而言应受到更多的限制：一是当法律、行政法规对敏感个人信息处理作出更加严格的限制时(如要求其获得行政许可)，信息处理者须符合法律、行政法规的相关要求，否则其信息处理行为即构成违法(《个人信息保护法》第32条)；二是《个人信息保护法》第55条规定，信息处理者负有在实施敏感个人信息处理前进行个人信息保护影响评估并记录处理情况的义务，且该记录须至少保存三年。

四、个人信息处理的制度完善

尽管《个人信息保护法》在个人信息处理制度上不乏创新之处，但也存在一些不足，如知情同意标准的设置较为僵化、知情同意以外的其他个人信息处理的合法性事由不够完善、敏感个人信息处理的规定过于笼统等。针对上述问题，有必要在解释论上继续完善个人信息处理制度。

(一)构建知情同意的动态信息披露机制

在知情同意规则上，《个人信息保护法》第14条和第29条分别针对一般个人信息与敏感个人信息构建了不同的同意标准。其中，敏感个人信息采用单独同意标准，有利于自然人在获得个人信息处理的全部资讯的基础上作出同意决定；而一般个人信息采纳概括同意标准，信息处理者只需要笼统地、一次性地告知信息处理的潜在风险，自然人可能并不知悉信息处理中究竟能用到哪些信息、这些信息会被传输至何处，因此自然人作出的同意决定未必符合其内心真意，也不能适应数字经济时代个人信息频繁处理的需要。为保障自然人在个人信息处理的各个环节都能有效追踪其信息处理状况，应当在对一般个人信息采用概括同意标准的同时，引入动态信息披露机制。

动态信息披露机制主要包括以下措施：其一，信息处理者负有对信息处理目的、方式、范围等事项的持续告知义务，自然人有权随时了解信息处理的最新动向，全程追踪信息处理过程[25]。其二，信息处理者可以采纳概括告知的方式披露信息处理事项，但不能遗漏重要事项，特别是可能会对自然人的同意产生实质性影响的信息。其三，信息处理者须采取能够引起自然人注意的方式进行信息披露，尽量选用通俗易懂的语言，并对其中的关键信息采取加粗加黑等重要标识(10)例如，“百度网讯公司将《使用百度前必读》的链接设置于首页下方与互联网行业通行的设计位置相符，链接字体虽小于处于首页中心位置的搜索栏字体，但该首页的整体设计风格为简约型，并无过多图片和文字，网络用户施以普通注意义务足以发现该链接”，参见朱烨与北京百度网讯科技公司隐私权纠纷上诉案，江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。。其四，自然人或其监护人的同意也应具有动态性，可根据个人偏好个性化地选择知情的手段、频率与内容，并根据信息处理状况随时选择加入、退出或限缩处理范围，从而有利于提高自然人在信息处理中的参与度[26]。

(二)完善知情同意以外的其他合法性事由

在知情同意以外的其他个人信息处理的合法性事由上，《个人信息保护法》第13条第1款虽规定了5项具体事由并附有兜底性条款，但其具体内容较为简单，且在很多事由中采取了“公共利益”等不确定性概念，在实践中有必要对其进行细化或完善。

其一，细化个人信息处理合法性事由中公共利益的涵义。公共利益属于不确定性概念，其不足是：“权利寻找者依据模糊的法律表述，不能预见法官在具体情况下如何裁判——它提供很少的‘导向确定性’……这确实让人担忧。”[27]38《个人信息保护法》第13条第1款第五项将新闻报道、舆论监督中的个人信息处理限定在维护公共利益的目的范围内，但并未明确公共利益的具体内涵。为了满足法治国家对法律确定性的需求、防止公益行为对私人自治领域的过度介入，个人信息保护法有必要详细列举基于维护公共利益的需要而处理个人信息的情形[28]。例如，欧盟《一般数据保护条例》第23条第1款将国家安全；国防；公共安全；预防、调查、侦查、起诉刑事违法或执行刑罚；欧盟及其成员国的经济或金融利益；维护司法独立与司法诉讼；违反职业道德的预防、调查、保护、起诉；与官方权威相联系的监督、检查或规制；保护数据主体或其他人的权利与自由；实施某种民事法律主张等作为对自然人个人信息权益的限制。对此，我国司法实践中可将为维护公共利益而处理个人信息的情形界定为保障公众知情权、维护公共安全、强化社会保障、监督行政行为、维系公序良俗等。

其二，限缩为维护自然人的合法权益而处理个人信息的情形。《个人信息保护法》第13条第1款第四项将保护自然人的生命健康与财产安全作为个人信息处理的合法性事由。然而，生命健康与财产安全并非同一位阶的利益。如果允许信息处理者为维护自然人的一般财产安全而处理其个人信息，则有可能导致个人信息合理使用抗辩的滥用，进而损及自然人的个人信息权益。为充分保障自然人的人格尊严、个人自由，建议在实践中将本条款的“财产安全”限定为“重大财产安全”，以排除信息处理者为维护自然人的一般财产安全而处理其个人信息的合法性。

其三，认可为维护自然人以外的其他民事主体的合法权益而必需处理个人信息的合法性。除维护自然人的合法权益外，为维护其他民事主体的合法权益而处理个人信息属于紧急避险的情形。这意味着当自然人的个人信息权益与第三人的合法权益发生冲突时，应当在二者之间进行利益衡量。只有当经过利益衡量后第三人合法权益的位阶高于自然人的个人信息权益，而信息处理者又来不及或无法征得自然人或其监护人同意时，法律才应认可此类信息处理行为的合法性。

(三)确立“原则禁止、法定允许”的敏感个人信息处理原则

为贯彻强化敏感个人信息保护、促进一般个人信息利用的宗旨，敏感个人信息处理的原则应有别于一般个人信息处理。对此，比较法上通常采取原则上禁止处理敏感个人信息，而在满足法律规定的例外情形下才允许对其进行处理的基本理念。例如，欧盟《一般数据保护条例》第9条规定，原则上应禁止处理敏感个人数据，只有当符合第2款规定的10种特殊情形时，如取得数据主体明确同意、数据处理对于数据控制者履行义务或行使特定权利所必需、在公共健康领域数据处理为维护公共利益所必需等，才例外地承认敏感个人数据处理的合法性。根据我国台湾地区“个人资料保护法”第6条，不得搜集、处理或利用特种个人资料，但满足该条规定的6种特殊情形之一者，不在此限。

不同于欧盟，我国《个人信息保护法》第28条第2款并未确立“原则禁止、例外允许”的敏感个人信息处理原则，而是规定只要信息处理者具有特定目的与充分必要性并采取严格保护措施，就可以对敏感个人信息进行处理。该规定虽在一定程度上强化了敏感个人信息的处理要求，但也存在如下弊端：其一，对于何谓特定目的与充分必要性，《个人信息保护法》并未作出规定，在实践中容易引发判断难题。例如，在信息处理者与第三方为维护自然人利益所订立的合同中，信息处理者为合同订立或履行所必需处理敏感个人信息的，是否属于具备特定目的与充分必要性的情形，有待商榷。其二，对于不同的信息处理者而言，个人信息处理的目的是否特定或必要性是否充分存在较大差别，这意味着敏感个人信息处理的情形可能随时处于变化状态，自然人在具体场景中很难合理预期哪些敏感个人信息可以处理，而哪些敏感个人信息不得处理。其三，除特定目的与充分必要性外，《个人信息保护法》规定的敏感个人信息处理的特殊规则都是针对知情同意而言的，敏感个人信息与一般个人信息的处理在其他合法性事由上并无二致，显然不利于预防因泄露或非法处理敏感个人信息所产生的特别风险[14]。

基于此，我国司法实践应在借鉴比较法的基础上，将《个人信息保护法》第28条第2款的“特定的目的和充分的必要性”解释为“原则禁止、法定允许”的敏感个人信息处理原则，即原则上应禁止处理敏感个人信息，除非法律存在例外规定，才会允许信息处理者处理敏感个人信息。相应地，实践中对例外允许处理敏感个人信息的条件或程序也应进行严格限制。例如，为履行法定义务所必需处理敏感个人信息的，信息处理者应在事前和事后尽到更严格安全保障措施；为统计或学术研究所必需处理敏感个人信息的，须对该敏感个人信息进行匿名化处理等。唯有如此，才能真正为自然人的敏感个人信息提供更加周全的保护。