周千树

（重庆大学法学院，重庆 400000）

1.问题提出

敏感个人信息是指一旦泄露或非法使用将容易导致个人人格尊严或人身财产安全受到侵害的一类个人信息，具体包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满14周岁未成年人的个人信息等类型。敏感性作为敏感个人信息最为核心的特征，可将其进一步解释为紧密性与容易性，即具备敏感性特征的信息与人格尊严保护和人身财产安全之间具有更为紧密的联系，其在被泄露或非法使用的情形下将更容易导致侵权结果的发生。申言之，具备敏感性特征的个人信息实际代表了个人在信息处理过程中最为根本的利益，同时也象征着个人信息处理行为的底线。通过对敏感性与非敏感性信息的区分，可以使个人更为准确地把握其在信息处理过程中的核心权益，同时也能为信息处理者提供行为预期以降低其履行义务的合规成本。

敏感个人信息关涉利益重大，因而有必要对其采取更为强力的保护制度。《个保法》中先后通过对适用于敏感个人信息的知情同意规则、信息处理标准、具体保护举措等内容进行特别规定以构建敏感个人信息的专属保护制度。不可否认的是，这些特别规定已能初步实现敏感性保护目标并对个人信息处理行为产生有效指引。但问题在于，部分特别规定存在着模糊性、片面性、抽象性的缺陷，例如《个保法》中仅通过扩张告知内容与规定单独同意形式仍难以完全构建起适应于敏感性保护需求的知情同意规则；又如《个保法》中对于适用于敏感个人信息保护的安全技术措施的规定较为笼统，这将不利于保护措施的具体落实。制度规定的缺陷将对敏感个人信息保护目标产生实现阻碍，甚至于造成与立法初衷相悖的结果。至此，我们有必要对《个保法》中部分适用于敏感个人信息保护的特殊规定加以讨论，以进一步明确敏感个人信息的保护路径并完善其保护制度。

2.细化知情同意规则

在《个保法》中，立法者有意通过对知情同意规则的特殊规定来构建起敏感个人信息保护的基本框架，但实际上，这些特殊规定并未能完全切中敏感个人信息知情同意保护之要害，因此，需对其进行进一步探讨。

2.1 完善知情保护规则

《个保法》中并未单独构建适用于敏感个人信息的知情保护规则，而仅在一般个人信息知情保护制度的基础上，通过扩充告知内容的方式来强化敏感信息处理者的告知义务。显然，仅通过对告知内容扩充无法完全实现对敏感个人信息的知情保护，原因在于扩充告知内容仅是对信息主体知情权实现进行了形式上完善，并未能充分调动信息处理者对其处理行为的披露积极性。作为与人格尊严、人身财产安全具有紧密联系的敏感个人信息，需要的是一套更为持续有效的信息披露制度，以确保个人能及时把控处理行为并进行风险预防与侵权应对。倘若信息处理者在履行敏感个人信息处理披露义务时仍保持着一般注意状态，这将使得个人信息权益处于极度危险之中。至此，应通过更为广泛的特别规定构建起全流程、多角度、高效率的知情保护制度，充分激发信息处理者对于信息披露的主动性并使其时刻处于对信息披露的特别注意状态，从而帮助个人打破算法黑箱的固有弊端，实现对信息处理全过程的知情、参与、支配。

首先，应要求敏感个人信息处理者对其信息处理行为进行持续披露，信息处理者的披露义务应贯穿处理行为始终。从信息收集前置程序起，信息处理者就应通过用户协议将法定应告知事项向个人说明并就处理目的、范围、期限等重要内容作出承诺。在进入信息处理阶段后，信息处理者应自觉将各环节的信息处理情况向个人汇报，并主动提醒个人注意不同环节可能存在的侵权风险，使个人能及时行使权利并采取针对性防御措施。对于可能变更或超越初始授权的处理行为，信息处理者应在处理之前将变更或越权处理的原因向个人披露，以取得其对该处理行为的重新或单独同意。在信息处理完毕后，信息处理者应就其对敏感个人信息的处置方式、处置完成时间、处置效果等事项进行说明，以保证个人对其敏感信息存续状态的把握。

其次，应要求敏感个人信息处理者对其信息处理行为进行有效披露。在信息处理的相关规则中应指明处理行为的披露范围，信息处理者应使用清晰、简洁的语言披露信息并对关系人格尊严和人身财产安全的事项进行着重提示。对于专业术语，信息处理者还应用浅显易懂的语言向用户释明。同时，信息处理者也应当注重信息披露的时效性以及时地履行其告知义务，如应在变更或超越授权的处理事项发生之前主动向个人告知并征求其意见、应在损害行为发生之前提醒个人采取必要的规避措施等。除此之外，由于敏感个人信息直接关系人格尊严与人身财产安全，信息处理者在进行告知、汇报、询问时也应当一并向个人强调其享有的权利及可用之维权手段，并将不同侵权后果所对应的权益救济方案一并说明[1]。

2.2 完善同意保护规则

与知情保护规则的规定方式相同，《个保法》要求敏感个人信息处理者在履行征求个人对其信息处理授权的义务时，除了应达到一般的履行要求之外，还应单独取得个人对其敏感信息处理行为的同意。单独同意无疑是《个保法》中实现对敏感个人信息同意保护的关键，但遗憾的是，对于这一关键因素的具体含义立法中未作示明。在现目前的学界与实务界中，对于单独同意的含义存在着“特别授权”与“逐项同意”两种不同的理解。特别授权侧重于强调信息处理者应取得个人对其敏感信息处理授权的单独同意，而不能混同于一般个人信息概括取得对敏感个人信息的处理授权；而逐项同意偏重于要求信息处理者应逐环节取得个人对其敏感信息处理的同意，个人可以选择对信息处理的全环节亦或是个别环节进行授权。显然，特别授权、逐项同意都是与单独同意制度的敏感性保护目标相契合的。至此，不妨以特别授权与逐项同意作为制度完善的讨论基础，为敏感个人信息同意保护规则构建提出建议。

一方面，个人信息处理者应取得个人对其敏感信息处理的特别授权。在进行信息处理之前，信息处理者应特别就其敏感个人信息处理行为取得个人的意见，不得不加区分的一并取得个人对其全部个人信息处理的授权。最高法《人脸识别司法解释》中强调，信息处理者以与其他授权捆绑等方式取得个人人脸信息处理权限为由抗辩的，人民法院不予支持。该规定体现了司法裁判领域对于适用特别授权规则的支持态度，为了将特别授权的保护效用落于实践，需要对信息处理者取得敏感个人信息处理授权的形式进行明确。在征求个人的处理意见时，信息处理者应分别告知一般个人信息与敏感个人信息的处理情形，并要求个人对不同类型信息的处理请求分别表态。信息处理者在设计用户协议时应当单独设置征求敏感个人信息处理意见的部分并预留“同意”或“拒绝”的意见选项，确保个人能对敏感信息处理进行单独授权。

另一方面，个人信息处理者应在特别授权的基础上，逐项取得个人对其敏感信息处理的同意。由于个人信息权益在不同处理环节与情境中面临的风险和需要的关注各有不同，故需要通过逐项同意的方式对各处理环节中的敏感个人信息进行有针对的保护。具体而言，信息处理者可在征求个人特别授权的用户协议之基础上，进一步按照信息处理的不同环节分别设置多个需同意的项目，以逐环节取得个人对其信息处理的意见。在逐项同意规则要求之下，信息处理者被赋予了更为广泛的作为义务，其需要构建持续有效的信息披露机制为规则实践提供支持、需要从整体及局部多个角度对个人信息权益保护与风险防范作出制度设计，帮助信息处理者形成对敏感性处理行为的特别注意状态，从而更好地实现敏感个人信息保护的目标[2]。

3.增强安全技术措施

《个保法》中明确规定信息处理者在信息处理过程中应采取加密、去标识化等安全技术措施，但对于这些措施的具体落实未作说明。为了实现敏感性保护目的，需要对安全技术措施的现实适用进行探讨。

3.1 数据加密

在大数据信息时代，敏感个人信息多以数据的形式留存于网络空间并被互联网企业加以处理，因此，为了保护敏感个人信息，就必须对以其为承载内容的数据加以保护。数据加密作为最为基础的数据保护方法，可以通过对其特别适用来实现敏感性保护目的。

首先，个人信息处理者应构建敏感个人信息数据处理的专属加密体系。具体而言，可从数据传输、数据存储、数据完整性鉴别、密钥管理等多环节着手。其一，数据传输环节。对于敏感个人信息数据的传输加密应覆盖各涉及数据流动的处理阶段，做到一传输就加密，直至数据被删除或销毁时才应终止。其二，数据存储环节。对于储存于数据库中的敏感个人信息数据，应同时采用密文储存与存取控制的方法进行保护，通过设置更为复杂的加密算法转换、附加密码、加密模块，严格审查数据使用者资格的方式加大数据出库的难度。其三，数据完整性鉴别环节。对于敏感个人信息数据在传输、存储、处理过程中介入对象的身份或相关的介入数据内容应进行及时、有效、重复的验证，并在预先设置验证参数时进行严格限制。其四，密钥管理环节。对于敏感个人信息数据的专用密钥应严格管理，对其产生、分配、保存、更换、销毁等各环节应严格保密。同时，也可借助法律手段对密钥技术加以保护。

其次，个人信息处理者应采取合适的加密技术对敏感个人信息数据进行保护，除了最为基础的防火墙、入侵检测、防病毒等安全防护手段，信息处理者还可将硬盘加密、驱动层加密等更为高效的技术算法运用于对敏感个人信息数据的加密保护。为了更好地实现敏感性保护目标，信息处理者还可将多项加密技术组合适用或对加密技术进行专门研发。除此之外，敏感个人信息数据的加密保护机制还应处于持续更新的状态以适应日益严苛的敏感性保护需求。

3.2 数据脱敏

数据脱敏是指通过脱敏规则将数据变形从而将其中所包含的敏感性内容脱去以实现信息保护要求的一种安全技术措施。目前，理论界与实务界中对于敏感个人信息数据脱敏技术使用标准仍较模糊，对于该措施的具体使用仍有可讨论空间。

敏感个人信息数据的脱敏应是彻底脱敏，对于脱敏彻底与否的争论，实际反映了不同主体之间对于数据使用与数据保护利益取舍的差异态度。从法益平衡的角度上看，个人对其敏感个人信息的处理授权已在极大程度上让渡自身权益。因敏感个人信息关系人格尊严与人身财产安全，故个人完全可能因其授权行为而招致难以预测的侵权危机。因此，为了维护利益平衡，应对敏感个人信息的使用范围与使用程度作出明确限制，从而实现对个人已让渡权益的弥补。申言之，个人信息处理者应明确把握敏感性处理行为的许可范围，不得将敏感个人信息用于经营牟利或是超越法定以及约定授权的处理。在未取得个人就敏感信息的进一步处理授权时，信息处理者应毫不犹豫地进行彻底脱敏处理，以迅速终止个人信息权益因敏感性处理行为所致的摇摆不定状态。

值得强调的是，敏感个人信息数据的脱敏还应是不可逆脱敏。数据脱敏技术的使用目的在于，通过完全脱去数据中的敏感性内容使其不再具有人身专属性且不能识别特定对象，从而保障个人信息权益不会因数据交易或转让行为而受到损害，不可逆的脱敏结果显然更符合采用脱敏技术进行数据处理的初衷。当数据不再可以通过一定的技术手段恢复至脱敏前的完整状态时，其便可以兼顾保护个人信息权益与满足社会公共利益的需要。而相较之下的可逆数据脱敏，虽有助于维护其他信息处理主体的数据利益，但其可逆的脱敏结果将使个人处于不可预估的侵权危机之中并面临人格尊严与人身财产安全受损的风险[3]。

4.结语

《个保法》中敏感个人信息保护制度规定之缺陷，将对敏感性保护目的的实现产生阻碍。为了平衡个人信息权益与算法权力冲突、保护人格尊严与人身财产安全，有必要将该部分存在缺陷的制度规定进行完善。其一，应进一步细化敏感性知情同意规则，通过要求信息处理者建立持续有效的信息披露机制与兼顾特别授权与逐项同意的授权处理机制，提高信息处理者对其敏感性信息处理行为注意程度，并实现个人对信息处理全过程的知情、参与、支配；其二，应增强敏感个人信息的安全保护措施，通过指示信息处理者构建敏感个人信息数据处理的专属加密体系与正确适用数据脱敏等安全技术措施，赋予其更为积极的作为义务，以更为妥善地保护个人信息权益。另外，《个保法》还存在着对敏感个人信息处理标准的规定过于抽象、对于个人信息保护影响评估等措施适用的体系规定仍未完善等问题。这些问题也将在不同程度上影响敏感个人信息保护目标的实现，其仍有待于立法与司法实践之深究，敏感个人信息保护制度的构建完备仍任重道远。