引言

　　數(shù)字經(jīng)濟方興未艾， 正在日益與互聯(lián)網(wǎng)、人工智能、云計算等行業(yè)深度融合發(fā)展。數(shù)據(jù)是數(shù)字經(jīng)濟的重要支撐， 已成為除土地、勞動力、資本和技術(shù)外的第五類“生產(chǎn)要素”。數(shù)據(jù)保護與規(guī)范亟需法律從個人信息與隱私保護、企業(yè)數(shù)據(jù)權(quán)益、國家安全與監(jiān)管等維度作出系統(tǒng)性的制度安排。作為數(shù)據(jù)保護制度的基礎(chǔ)法律， 《個人信息保護法》和《數(shù)據(jù)安全法》的重要性毋庸置疑。2021年4月29日， 《個人信息保護法（草案二次審議稿）》《數(shù)據(jù)安全法（草案二次審議稿）》公布。從企業(yè)使用數(shù)據(jù)和合規(guī)遵從的視角， 通力網(wǎng)安數(shù)據(jù)業(yè)務(wù)小組對審議稿作出系列解讀， 本文為第五篇《敏感個人信息的處理要點》。

　　相比于一般的個人信息， 敏感個人信息一旦遭到泄露或濫用， 可能對個人人身或財產(chǎn)安全造成更大的損害， 因此敏感個人信息亦應(yīng)受到更加嚴格的保護。正因如此， 《個人信息保護法（草案二次審議稿）》（以下簡稱“《二審稿》”）設(shè)專節(jié)對于敏感個人信息及其處理規(guī)則作出了規(guī)定。本文試從《二審稿》的規(guī)定出發(fā)， 梳理現(xiàn)行法律法規(guī)下不同行業(yè)下敏感個人信息的處理要點， 并結(jié)合我們的執(zhí)業(yè)經(jīng)驗就敏感個人信息的處理提供實務(wù)見解與建議。

　　一

　　《二審稿》對敏感個人信息處理提出的要求

　　作為中國個人信息保護領(lǐng)域的首部綜合性法律， 基于現(xiàn)行個人信息保護要求和實踐中的監(jiān)管經(jīng)驗， 《二審稿》對于敏感個人信息的處理提出了更高的要求。依據(jù)《二審稿》第二章第二節(jié)以及第五章規(guī)定， 處理敏感個人信息應(yīng)當同時滿足下列條件：

　　1） 具有“特定的目的”和“充分的必要性”；

　　2） 基于個人同意處理敏感個人信息時， 應(yīng)當取得單獨同意；

　　3） 處理敏感個人信息的告知事項， 除一般個人信息相關(guān)告知事項以外， 還包括處理敏感個人信息的必要性以及對個人的影響； 以及

　　4） 對敏感個人信息處理活動進行事前的風險評估， 并妥善保管風險評估報告和處理情況記錄。

　　1. 充分的必要性

　　《民法典》和《網(wǎng)絡(luò)安全法》均對個人信息處理提出了“正當、合法、必要”的原則性要求。但是《民法典》和《網(wǎng)絡(luò)安全法》均未對處理敏感個人信息時的“充分的必要性”要求進行進一步解釋。從文義解釋的角度來看，  “必要”原則指的是在處理個人信息時應(yīng)限定于實現(xiàn)目的所需最少個人信息和對個人主體影響最低的方式。在這一方面， 2019年11月發(fā)布的《App違法違規(guī)收集使用個人信息行為認定方法》（“《違法違規(guī)認定方法》”）將“收集的個人信息類型或打開的可收集個人信息權(quán)限與現(xiàn)有業(yè)務(wù)功能無關(guān)”、“收集個人信息的頻度等超出業(yè)務(wù)功能實際需要”， “因用戶不同意收集非必要個人信息或打開非必要權(quán)限， 拒絕提供業(yè)務(wù)功能”， “要求用戶一次性同意打開多個可收集個人信息的權(quán)限， 用戶不同意則無法使用”等行為認定為“違反必要原則， 收集與其提供服務(wù)無關(guān)的信息”的違法行為?！哆`法違規(guī)認定方法》不僅僅從收集信息的類型這一層面進行“必要性”的認定， 還從處理頻率、收集方式等層面考慮， 意味著除了收集個人信息的范圍之外， “必要”原則亦對個人信息的處理行為進行限制。2021年5月1日生效的《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》（以下簡稱“《必要個人信息規(guī)定》”）則進一步規(guī)定39類服務(wù)收集的“必要個人信息”的范圍， 同時《必要個人信息規(guī)定》亦對收集“非必要個人信息”的行為作出限制， 不允許因用戶不同意提供非必要個人信息而拒絕用戶使用其基本功能服務(wù)。我們理解， 《必要個人信息規(guī)定》亦遵循了《違法違規(guī)認定方法》的精神， 從收集個人信息范圍和處理個人信息行為兩方面對“必要性”原則進行解釋。在實踐中， 監(jiān)管部門亦從“范圍”和“行為”兩方面進行考察， 例如上海市通信管理局在2021年2月25日通報的一批侵害用戶權(quán)益典型案例中， 曾將“社交類App應(yīng)用嵌入的SDK插件存在高頻率收集讀取手機狀態(tài)和身份等個人隱私信息行為， 收集個人信息的頻度超出業(yè)務(wù)功能實際需要”認定為“違反必要原則， 收集與其提供的服務(wù)無關(guān)的個人信息”的行為。

　　而關(guān)于如何理解“充分的必要性”以及其具體判斷方法， 歐洲數(shù)據(jù)保護專員公署（European Data Protection Supervisor, 簡稱“EDPS”）2019年發(fā)布的《關(guān)于評估限制隱私權(quán)和個人數(shù)據(jù)基本權(quán)利的措施必要性的指南》 可資借鑒[1]。依據(jù)上述指南的規(guī)定， 在判斷必要性時， 首先應(yīng)說明待議的個人信息處理行為如何能實現(xiàn)處理目的， 再將待議方案與對個人信息主體權(quán)益侵害更小的替代方案進行比較， 說明侵害更小的替代方案不能同樣有效地實現(xiàn)個人信息處理目的， 方可證明必要性的存在。

　　綜上所述， 雖然現(xiàn)行中國法律對“充分的必要性”并未進行進一步的解釋， 但是結(jié)合已有的法律規(guī)定和監(jiān)管實踐， 我們理解在判斷“充分的必要性”時不僅僅需要考慮收集個人信息的范圍的“必要性”， 處理個人信息行為的“必要性”亦需要進行考察。而《二審稿》提出處理敏感個人信息應(yīng)基于“充分的必要性”， 則必然會對“必要”原則提出更高的要求， 我們期待監(jiān)管部門在此方面給予進一步的回應(yīng)。

　　2. 單獨同意

　　根據(jù)《二審稿》第30條要求， 基于個人同意處理敏感個人信息的， 個人信息處理者應(yīng)當取得個人的單獨同意。也就是說， 在獲取個人信息主體同意時， 個人信息處理者應(yīng)當首先區(qū)分一般個人信息與敏感個人信息， 并就敏感個人信息處理獲取個人單獨同意。

　　但令人遺憾的是， 《二審稿》仍然未能明確“單獨同意”實現(xiàn)的具體方式， 給組織和企業(yè)處理敏感個人信息帶來不確定性。根據(jù)我們的觀察， 為盡可能地實現(xiàn)“單獨同意”的要求， 企業(yè)往往會采取下列一種或者多種策略：

　　1） 個人信息處理者在其公示的個人信息保護政策中， 為敏感個人信息處理設(shè)置專門的章節(jié)；

　　2） 以彈窗方式單獨顯示敏感個人信息處理的目的、方式和范圍， 例如微信小程序多以彈窗方式向用戶告知收集位置信息并獲取用戶同意；

　　3） 為敏感個人信息準備單獨的協(xié)議， 例如阿里云為其人臉分析服務(wù)準備了單獨的《人臉識別服務(wù)協(xié)議》以向用戶說明處理目的、方式和范圍。

　　不過上述方式能否滿足處理敏感個人信息的“單獨同意”要求， 仍然有待主管部門給予進一步的解釋。

　　3. 額外的告知事項

　　《二審稿》第17條對處理個人信息的告知義務(wù)進行了原則性的規(guī)定， 而第31條在此基礎(chǔ)之上對“處理敏感個人信息”提出了額外的告知義務(wù)。依據(jù)第31條的要求， 在處理敏感個人信息時， 相關(guān)個人還應(yīng)當知悉處理敏感個人信息的必要性以及對其個人的影響。

　　根據(jù)該等要求， 我們理解個人信息處理者應(yīng)當先內(nèi)部梳理處理敏感個人信息的范圍， 并核實和記錄處理個人敏感信息的“必要性”， 以及對個人主體的影響（例如是否會導(dǎo)致特定服務(wù)不能實現(xiàn)或者導(dǎo)致服務(wù)的質(zhì)量下降）， 最后在對外公示的《個人信息保護政策》中向相關(guān)用戶明示上述內(nèi)容， 并獲取用戶的單獨同意。

　　二

　　其他法律法規(guī)對敏感個人信息處理提出的要求

　　除《二審稿》之外， 許多單行法律法規(guī)規(guī)定了各個行業(yè)和領(lǐng)域的敏感個人信息處理規(guī)則。常見的單行法律法規(guī)（并非全部）中對處理敏感個人信息提出的要求示例如下：

　　1. 網(wǎng)絡(luò)交易信息

　　2021年5月1日生效的《網(wǎng)絡(luò)交易監(jiān)督管理辦法》（以下簡稱“《管理辦法》”）對于網(wǎng)絡(luò)交易信息的處理提出了特別的要求。

　　首先， 《管理辦法》第13條定義了網(wǎng)絡(luò)交易環(huán)境下的“敏感信息”， 包括（但不限于）個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤信息。盡管《管理辦法》使用的措辭“敏感信息”不同于《二審稿》中的“敏感個人信息”， 上述四類個人信息不僅符合《二審稿》和《信息安全技術(shù) – 個人信息安全規(guī)范 （GB/T 35273-2020）下》（以下簡稱“《個人信息安全規(guī)范》”）對于“敏感個人信息”和“個人敏感信息”的定義， 監(jiān)管部門通常亦將其認定為敏感個人信息。

　　其次， 《管理辦法》明確了敏感信息獲取“單獨同意”的方式， 即網(wǎng)絡(luò)交易經(jīng)營者收集、使用多種敏感信息， 應(yīng)就每一種敏感信息逐項取得消費者同意。值得注意的是， 網(wǎng)絡(luò)交易語境下對敏感個人信息的“單獨同意”采取了較為嚴格的解釋， 值得網(wǎng)絡(luò)交易經(jīng)營者重視。

　　2. 消費者金融信息

　　《中國人民銀行金融消費者權(quán)益保護實施辦法》（以下簡稱“《實施辦法》”）適用于金融機構(gòu)處理消費者個人信息的情形?！秾嵤┺k法》將銀行和支付機構(gòu)通過開展業(yè)務(wù)等途徑處理的消費者信息稱為消費者金融信息， 并明確列舉消費者金融信息包括個人身份信息、財產(chǎn)信息、賬戶信息、信用信息、金融交易信息等信息。

　　《實施辦法》關(guān)于告知的要求較《二審稿》的規(guī)定更為寬松?！秾嵤┺k法》允許銀行、支付機構(gòu)通過格式條款而非單獨的彈窗向消費者告知收集消費者金融信息的目的、方式、內(nèi)容和使用范圍， 但要求銀行、支付機構(gòu)以顯著方式提示同意的可能后果。同時， 針對目前金融消費者知情權(quán)利沒有得到充分保護的現(xiàn)狀， 《實施辦法》亦對收集消費者金融信息的方式提出特殊要求， 例如“顯著告知”、“業(yè)務(wù)關(guān)聯(lián)”和“不得強制收集消費者金融信息”等要求。

　　值得注意的是， 《個人信息保護法（草案）（一審稿）》規(guī)定， 法律、行政法規(guī)規(guī)定處理敏感個人信息作出更嚴格限制的， 從其規(guī)定。《二審稿》將“嚴格”二字刪去， 將上一句改為“法律、行政法規(guī)對處理敏感個人信息規(guī)定作出其他限制的， 從其規(guī)定”?！抖徃濉返男薷牟⑽疵鞔_敏感個人信息保護的一般法和特別法的法律適用規(guī)則。其他法律或行政法規(guī)就同一敏感個人信息處理事項（例如向個人告知的方式）作出比《二審稿》更為寬松的規(guī)定時， 究竟應(yīng)適用《二審稿》的規(guī)定還是其他法律、行政法規(guī)的規(guī)定， 答案尚不明確。鑒于《實施辦法》關(guān)于告知的要求較《二審稿》的規(guī)定更為寬松， 并且從法律效力位階的角度來看《實施辦法》并不屬于法律或行政法規(guī)， 因此， 如果《個人信息保護法》中關(guān)于敏感個人信息處理的法律適用的規(guī)定按照《二審稿》第32條的現(xiàn)狀發(fā)布， 銀行、支付機構(gòu)就消費者金融信息處理相關(guān)事項的告知方式是否仍然適用《實施辦法》下的規(guī)定， 仍有待主管部門給出進一步的解釋。

　　3. 人類遺傳資源信息

　　《人類遺傳資源管理條例》（以下簡稱“《管理條例》”）規(guī)范在中國境內(nèi)進行的人類遺傳資源采集、保藏、利用和對外提供等活動。其中， “人類遺傳資源”包括“人類遺傳資源材料”和 “人類遺傳資源信息”。“人類遺傳資源信息”， 根據(jù)《管理條例》的規(guī)定， 指的是“所有利用含有人體遺傳物質(zhì)的器官、組織、細胞等遺傳材料產(chǎn)生的信息”。未經(jīng)匿名化處理的人類遺傳資源信息在一定的條件下能夠識別特定自然人， 或者在特定自然人已識別的情況下屬于與自然人有關(guān)的信息， 因此特定的人類遺傳資源信息也屬于“個人信息”的范疇。同時， 此類人類遺傳資源信息擁有“個人生物特征信息”的屬性， 因此能夠作為《二審稿》下的“敏感個人信息”受到法律保護。

　　《管理條例》對于我國人類遺傳資源信息的采集、保藏、利用、對外提供活動作出了嚴格規(guī)范， 包括事前審批制度、對外資的限制、符合倫理原則等。人類遺傳資源信息處理的主要要點如下：

　　1） 采集人類資源前， 應(yīng)當全面、完整、真實、準確地向人類遺傳資源提供者告知采集目的、采集用途、采集人類遺傳資源對健康可能產(chǎn)生的影響， 取得人類遺傳資源提供者的書面同意， 保證提供者自愿參與和隨時無條件退出的權(quán)利；

　　2） 保藏我國人類遺傳資源， 僅當科技部批準后方能實施；

　　3） 利用我國人類遺傳資源開展國際合作科學(xué)研究， 僅當科技部批準后方能實施；

　　4） 向外方單位提供人類遺傳資源信息能影響我國公眾健康、國家安全和社會公共利益的， 應(yīng)當事先通過科技部的安全審查。將人類遺傳資源信息向外方單位提供或開放使用， 應(yīng)向科技部備案并提交信息備份；

　　5） 禁止外方單位在我國境內(nèi)采集、保藏我國人類遺傳資源、向境外提供我國人類遺傳資源。

　　4. 個人生物識別信息

　　個人生物識別信息目前還沒有法律層面的明確定義。依據(jù)《個人信息安全規(guī)范》的規(guī)定， 常見的個人生物識別信息包括人臉識別信息、基因信息、指紋信息、聲紋信息等?！睹穹ǖ洹返?034條明確將生物識別信息列入個人信息的范疇， 而《個人信息安全規(guī)范》的附錄B亦將個人生物識別信息列為個人敏感信息。個人生物識別信息的唯一性使得此類信息一旦泄露無法通過修改的方式彌補， 將給個人造成不可逆轉(zhuǎn)和難以消除的侵害， 因此有必要專門針對個人生物識別信息進行規(guī)范。

　　《個人信息安全規(guī)范》對個人生物識別信息這類敏感個人信息在存儲、披露環(huán)節(jié)提出了特殊要求， 主要處理要點包括：

　　1） 個人生物識別信息與個人身份信息分開存儲；

　　2） 原則上不存儲原始的個人生物識別信息， 而應(yīng)盡可能采取其他對個人權(quán)益侵害更小的替代措施， 例如僅存儲摘要信息、利用個人生物識別信息完成認證后刪除原始圖像；

　　3） 不得公開披露個人生物識別信息。

　　三

　　敏感個人信息處理規(guī)則對企業(yè)的影響

　　隨著數(shù)字化進程的加速， 越來越多的行業(yè)開始需要處理敏感個人信息。例如， 人臉信息等個人生物信息在當今社會被廣泛應(yīng)用于識別和認證自然人的身份， 因此包括App運營者在內(nèi)收集使用人臉信息的企業(yè)， 都屬于敏感個人信息的處理者。再如醫(yī)療健康領(lǐng)域， 醫(yī)療健康類敏感個人信息的處理則涉及醫(yī)療機構(gòu)、醫(yī)藥和醫(yī)療器械企業(yè)、接受委托處理醫(yī)療健康信息的CRO等第三方機構(gòu)、互聯(lián)網(wǎng)醫(yī)院、健康醫(yī)療信息服務(wù)平臺等多方主體。人臉識別、醫(yī)療健康、金融、網(wǎng)絡(luò)交易、人類遺傳資源等行業(yè)均屬于敏感個人信息處理活動受到強監(jiān)管的重點行業(yè)。

　　敏感個人信息本身的特殊性決定了此類信息處理存在特殊限制， 因此敏感個人信息處理者更應(yīng)謹慎處理敏感個人信息， 避免承擔更加嚴重的違法責任。例如， 2017年頒布的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》將非法獲取、出售、提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息等敏感個人信息的行為規(guī)定為侵犯公民個人信息罪的“嚴重情節(jié)”。

　　《二審稿》的出臺為敏感個人信息重點企業(yè)就如何合規(guī)處理敏感個人信息提出了若干啟示。我們建議大量處理敏感個人信息的企業(yè)提前采取下列合規(guī)措施， 以滿足將要適用的合規(guī)要求：

　　1） 識別并判斷企業(yè)日常業(yè)務(wù)中收集處理的敏感個人信息種類和數(shù)量， 明確合規(guī)義務(wù)范圍；

　　2） 重新審視敏感個人信息保護相關(guān)規(guī)則， 梳理適用于企業(yè)的敏感個人信息處理規(guī)則；

　　3） 根據(jù)適用的處理規(guī)則與合規(guī)要點， 審視現(xiàn)有的敏感個人信息合規(guī)實踐是否與法律要求的一致；

　　4） 對敏感個人信息處理活動在事前進行風險評估， 并妥善保管風險評估報告和處理情況記錄。