■ 劉 穎

人臉識別在新冠肺炎疫情防控中提供了高效的手段，同時也引發(fā)了人們對收集和處理人臉信息等生物識別信息邊界的關注。我國《個人信息保護法》要求，在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規(guī)定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的；取得個人單獨同意的除外。由于敏感個人信息與自然人的人格尊嚴等基本權利、重大人身利益和財產(chǎn)利益具有極為密切的聯(lián)系，對此類個人信息的處理會對自然人的基本權利和人身財產(chǎn)安全產(chǎn)生重大風險，我國《個人信息保護法》借鑒了歐盟、美國等法域的立法經(jīng)驗并結合我國實際，對敏感個人信息的處理進行了專門規(guī)定。敏感個人信息的保護是我國《個人信息保護法》的重要內(nèi)容之一。

一、《個人信息保護法》對敏感個人信息進行了定義和列舉

《個人信息保護法》規(guī)定將敏感個人信息定義為一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，同時列舉了敏感個人信息的種類，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息?！秱€人信息保護法》將不滿十四周歲未成年人的個人信息列為敏感個人信息，強化了對未成年人個人信息權益的保護。

敏感個人信息和非敏感個人信息是我國《個人信息保護法》從規(guī)范個人信息處理行為的角度對個人信息進行的一種重要分類，有針對性地提高處理者在處理敏感個人信息時的法定義務，更加充分地保護個人信息權益。

我國《個人信息保護法》在列舉敏感個人信息種類中的“等”字，應采“等外”之意，表示列舉未盡?？v使不在法律明文列舉之列，因其在特定場景所具有的高度敏感性，也應納入敏感個人信息的保護范疇。技術的發(fā)展及場景的變化，也為新型的敏感個人信息特殊保護留下空間。

二、《個人信息保護法》對敏感個人信息規(guī)定了專門的處理規(guī)則

我國《個人信息保護法》在區(qū)分敏感個人信息與非敏感個人信息的基礎上，在第二章專節(jié)規(guī)定了“敏感個人信息的處理規(guī)則”，對處理敏感個人信息的前提進行了限制，要求只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。以此為基礎，《個人信息保護法》規(guī)定了一些僅適用于敏感個人信息的特殊處理規(guī)則，知情同意原則是個人信息保護領域公認的首要原則，既適用于敏感個人信息，也適用于非敏感個人信息，意在實現(xiàn)與加強個人自決。針對敏感個人信息的處理，《個人信息保護法》提出了更高的要求，要求處理敏感個人信息應當取得個人的單獨同意。這意味著在處理敏感個人信息時，概括同意或推定同意的授權模式為法律所禁止。法律、行政法規(guī)規(guī)定處理敏感個人信息應當取得書面同意的，還應取得書面同意。

《個人信息保護法》對敏感個人信息處理者的告知義務提出了更高的要求?！秱€人信息保護法》第17 條第1款規(guī)定：“個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（1）個人信息處理者的名稱或者姓名和聯(lián)系方式；（2）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（3）個人行使本法規(guī)定權利的方式和程序；（4）法律、行政法規(guī)規(guī)定應當告知的其他事項?！钡?0 條規(guī)定：“個人信息處理者處理敏感個人信息的，除本法第17 條第1款規(guī)定的事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響；依照本法規(guī)定可以不向個人告知的除外。”

《個人信息保護法》不僅將不滿十四周歲未成年人的個人信息列為敏感個人信息，還要求個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監(jiān)護人的同意。個人信息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規(guī)則?！秱€人信息保護法》將不滿十四周歲未成年人的個人信息作為敏感個人信息，回應了現(xiàn)實中兒童信息泄露等問題，對未成年人個人信息處理進行了更嚴格的規(guī)范，有利于切實維護未成年人的合法利益并促進未成年人健康成長。

《個人信息保護法》還規(guī)定，法律、行政法規(guī)對處理敏感個人信息規(guī)定應當取得相關行政許可或者作出其他限制的，從其規(guī)定。

三、個人信息處理者處理敏感個人信息應當事前進行個人信息保護影響評估

對處理敏感個人信息等幾種特定情形，《個人信息保護法》規(guī)定應在事前進行個人信息保護影響評估，并對處理情況進行記錄。個人信息保護影響評估本質(zhì)上是風險評估。由于處理敏感個人信息可能對自然人的權利和自由帶來高度風險，對此類處理進行事前風險評估可以防患于未然?！秱€人信息保護法》要求個人信息保護影響評估應當包括下列內(nèi)容：（1）個人信息的處理目的、處理方式等是否合法、正當、必要；（2）對個人權益的影響及安全風險；（3）所采取的保護措施是否合法、有效并與風險程度相適應。個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

綜上，我國《個人信息保護法》區(qū)分敏感與非敏感的個人信息，并在此基礎上確定了敏感個人信息的特殊處理規(guī)則，與世界主流個人數(shù)據(jù)保護立法一致，體現(xiàn)了對與人格尊嚴或人身、財產(chǎn)安全密切相關的個人信息的傾斜保護，能更有效地防范個人信息風險，更全面保護個人信息主體的利益。同時，區(qū)別對待不同種類的個人信息，能提高對處理行為的可預測性，明確了企業(yè)合規(guī)重點，在一定程度上降低企業(yè)的合規(guī)成本，有利于數(shù)字經(jīng)濟發(fā)展。