敏感個人信息和非敏感個人信息是我國《個人信息保護法》從規範個人信息處理行為的角度對個人信息進行的重要分類,完善了處理者處理敏感個人信息的法定義務,更加充分地保護個人信息權益。
我國《個人信息保護法》敏感個人信息清單中的“平等”二字,應采用“平等”的含義,表示清單無止境。即使法律中沒有明確列出,但由於其在特定場景下的高度敏感性,也應納入個人敏感信息的保護範圍。技術的發展,場景的變化,也為新的個人敏感信息的特殊保護留下了空間。
其次,《個人信息保護法》規定了處理敏感個人信息的特殊規則。
我國《個人信息保護法》在區分敏感個人信息和非敏感個人信息的基礎上,在第二章規定了“處理敏感個人信息的規則”,對處理敏感個人信息的前提進行了限制,要求個人信息處理者只有在具有特定目的和充分必要並采取嚴格保護措施的情況下,才能處理敏感個人信息。在此基礎上,《個人信息保護法》規定了壹些僅適用於敏感個人信息的特殊處理規則。知情同意原則是個人信息保護領域公認的第壹原則,既適用於敏感的個人信息,也適用於非敏感的個人信息,旨在實現和強化個人自決。針對個人敏感信息的處理,《個人信息保護法》提出了更高的要求,要求個人敏感信息的處理應當取得個人單獨同意。這意味著在處理敏感個人信息時,法律禁止壹般同意或推定同意的授權模式。法律、行政法規規定處理個人敏感信息應當取得書面同意的,還應當取得書面同意。
《個人信息保護法》對敏感個人信息處理者的披露義務提出了更高的要求。《個人信息保護法》第17條第1款規定:“個人信息處理者在處理個人信息前,應當以醒目的方式和清晰易懂的語言,真實、準確、完整地告知個人下列事項:(1)個人信息處理者的姓名或者名稱、聯系方式;(二)個人信息處理的目的和方式,處理的個人信息的種類和保存期限;(三)個人行使本法規定的權利的方式和程序;(四)法律、行政法規規定應當告知的其他事項。”第三十條規定:“個人信息處理者在處理個人敏感信息時,除本法第17條第1款規定的事項外,還應當告知個人處理個人敏感信息的必要性以及對個人權益的影響;除依照本法規定外,不必通知個人。”
《個人信息保護法》不僅將未滿14周歲未成年人的個人信息列為敏感個人信息,還要求個人信息處理者在處理未滿14周歲未成年人的個人信息時,必須征得未成年人父母或者其他監護人的同意。個人信息處理者應當制定處理十四周歲以下未成年人個人信息的特別規則。《個人信息保護法》將14周歲以下未成年人的個人信息作為敏感個人信息,回應了現實中兒童信息泄露的問題,更加嚴格地規範了未成年人個人信息的處理,有利於有效維護未成年人的合法利益,促進其健康成長。
《個人信息保護法》還規定,法律、行政法規規定處理個人敏感信息應當取得相關行政許可或者其他限制的,從其規定。