首先,個人信息保護法對敏感個人信息進行了界定和列舉。
《個人信息保護法》規定,個人敏感信息是指壹旦泄露或者被非法使用,容易導致自然人人格尊嚴受到侵犯或者人身、財產安全受到危害的個人信息。同時列舉了敏感個人信息的類型,包括生物特征識別、宗教信仰、特定身份、醫療健康、財務賬戶、行蹤等信息,以及14周歲以下未成年人的個人信息。《個人信息保護法》將不滿14周歲的未成年人的個人信息列為敏感個人信息,加強了對未成年人個人信息權益的保護。
敏感個人信息和非敏感個人信息是我國《個人信息保護法》從規範個人信息處理行為的角度對個人信息進行的重要分類,完善了處理者處理敏感個人信息的法定義務,更加充分地保護個人信息權益。
我國《個人信息保護法》敏感個人信息清單中的“平等”二字,應采用“平等”的含義,表示清單無止境。即使法律中沒有明確列出,但由於其在特定場景下的高度敏感性,也應納入個人敏感信息的保護範圍。技術的發展,場景的變化,也為新的個人敏感信息的特殊保護留下了空間。
其次,《個人信息保護法》規定了處理敏感個人信息的特殊規則。
我國《個人信息保護法》在區分敏感個人信息和非敏感個人信息的基礎上,在第二章規定了“處理敏感個人信息的規則”,對處理敏感個人信息的前提進行了限制,要求個人信息處理者只有在具有特定目的和充分必要並采取嚴格保護措施的情況下,才能處理敏感個人信息。在此基礎上,《個人信息保護法》規定了壹些僅適用於敏感個人信息的特殊處理規則。知情同意原則是個人信息保護領域公認的第壹原則,既適用於敏感的個人信息,也適用於非敏感的個人信息,旨在實現和強化個人自決。針對個人敏感信息的處理,《個人信息保護法》提出了更高的要求,要求個人敏感信息的處理應當取得個人單獨同意。這意味著在處理敏感個人信息時,法律禁止壹般同意或推定同意的授權模式。法律、行政法規規定處理個人敏感信息應當取得書面同意的,還應當取得書面同意。
《個人信息保護法》對敏感個人信息處理者的披露義務提出了更高的要求。《個人信息保護法》第17條第1款規定:“個人信息處理者在處理個人信息前,應當以醒目的方式和清晰易懂的語言,真實、準確、完整地告知個人下列事項:(1)個人信息處理者的姓名或者名稱、聯系方式;(二)個人信息處理的目的和方式,處理的個人信息的種類和保存期限;(三)個人行使本法規定的權利的方式和程序;(四)法律、行政法規規定應當告知的其他事項。”第三十條規定:“個人信息處理者在處理個人敏感信息時,除本法第17條第1款規定的事項外,還應當告知個人處理個人敏感信息的必要性以及對個人權益的影響;除依照本法規定外,不必通知個人。”
《個人信息保護法》不僅將未滿14周歲未成年人的個人信息列為敏感個人信息,還要求個人信息處理者在處理未滿14周歲未成年人的個人信息時,必須征得未成年人父母或者其他監護人的同意。個人信息處理者應當制定處理十四周歲以下未成年人個人信息的特別規則。《個人信息保護法》將14周歲以下未成年人的個人信息作為敏感個人信息,回應了現實中兒童信息泄露的問題,更加嚴格地規範了未成年人個人信息的處理,有利於有效維護未成年人的合法利益,促進其健康成長。
《個人信息保護法》還規定,法律、行政法規規定處理個人敏感信息應當取得相關行政許可或者其他限制的,從其規定。
再次,個人信息處理者在處理敏感個人信息時,應事先評估個人信息保護的影響。
對於處理敏感個人信息等幾種具體情形,個人信息保護法規定,應當事先進行個人信息保護的影響評估,並記錄處理情況。個人信息保護影響評估本質上是壹種風險評估。由於敏感個人信息的處理可能給自然人的權利和自由帶來高風險,因此對此類處理進行風險前評估可以防患於未然。《個人信息保護法》要求,個人信息保護的影響評估應當包括以下內容:(1)個人信息處理的目的和方式是否合法、正當、必要;(2)對人身權利的影響和安全風險;(3)所采取的防護措施是否合法、有效並與風險程度相適應。個人信息保護影響評估報告和處理記錄應當至少保存三年。
綜上所述,我國個人信息保護法區分了敏感個人信息和非敏感個人信息,並在此基礎上確定了敏感個人信息的特殊處理規則,與國際上主流的個人數據保護立法相壹致,體現了對與人格尊嚴或人身財產安全密切相關的個人信息的傾斜保護,能夠更有效地防範個人信息風險,更全面地保護個人信息主體的利益。同時,對不同種類的個人信息區別對待,可以提高處理行為的可預見性,明確企業合規的重點,在壹定程度上降低企業的合規成本,有利於數字經濟的發展。