人臉識別在新冠肺炎疫情防控中提供了高效的手段，同時也引發了人們對收集和處理人臉信息等生物識別信息邊界的關注。我國《個人信息保護法》要求，在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的，不得用于其他目的；取得個人單獨同意的除外。由于敏感個人信息與自然人的人格尊嚴等基本權利、重大人身利益和財產利益具有極為密切的聯系，對此類個人信息的處理會對自然人的基本權利和人身財產安全產生重大風險，我國《個人信息保護法》借鑒了歐盟、美國等法域的立法經驗并結合我國實際，對敏感個人信息的處理進行了專門規定。敏感個人信息的保護是我國《個人信息保護法》的重要內容之一。

首先，《個人信息保護法》對敏感個人信息進行了定義和列舉。

《個人信息保護法》規定將敏感個人信息定義為一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，同時列舉了敏感個人信息的種類，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。《個人信息保護法》將不滿十四周歲未成年人的個人信息列為敏感個人信息，強化了對未成年人個人信息權益的保護。

敏感個人信息和非敏感個人信息是我國《個人信息保護法》從規范個人信息處理行為的角度對個人信息進行的一種重要分類，有針對性地提高處理者在處理敏感個人信息時的法定義務，更加充分地保護個人信息權益。

我國《個人信息保護法》在列舉敏感個人信息種類中的“等”字，應采“等外”之意，表示列舉未盡。縱使不在法律明文列舉之列，因其在特定場景所具有的高度敏感性，也應納入敏感個人信息的保護范疇。技術的發展及場景的變化，也為新型的敏感個人信息特殊保護留下空間。

其次，《個人信息保護法》對敏感個人信息規定了專門的處理規則。

我國《個人信息保護法》在區分敏感個人信息與非敏感個人信息的基礎上，在第二章專節規定了“敏感個人信息的處理規則”，對處理敏感個人信息的前提進行了限制，要求只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。以此為基礎，《個人信息保護法》規定了一些僅適用于敏感個人信息的特殊處理規則，知情同意原則是個人信息保護領域公認的首要原則，既適用于敏感個人信息，也適用于非敏感個人信息，意在實現與加強個人自決。針對敏感個人信息的處理，《個人信息保護法》提出了更高的要求，要求處理敏感個人信息應當取得個人的單獨同意。這意味著在處理敏感個人信息時，概括同意或推定同意的授權模式為法律所禁止。法律、行政法規規定處理敏感個人信息應當取得書面同意的，還應取得書面同意。

《個人信息保護法》對敏感個人信息處理者的告知義務提出了更高的要求。《個人信息保護法》第17條第1款規定：“個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（1）個人信息處理者的名稱或者姓名和聯系方式；（2）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（3）個人行使本法規定權利的方式和程序；（4）法律、行政法規規定應當告知的其他事項。”第30條規定：“個人信息處理者處理敏感個人信息的，除本法第17條第1款規定的事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響；依照本法規定可以不向個人告知的除外。”

《個人信息保護法》不僅將不滿十四周歲未成年人的個人信息列為敏感個人信息，還要求個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意。個人信息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規則。《個人信息保護法》將不滿十四周歲未成年人的個人信息作為敏感個人信息，回應了現實中兒童信息泄露等問題，對未成年人個人信息處理進行了更嚴格的規范，有利于切實維護未成年人的合法利益并促進未成年人健康成長。

《個人信息保護法》還規定，法律、行政法規對處理敏感個人信息規定應當取得相關行政許可或者作出其他限制的，從其規定。

再次，個人信息處理者處理敏感個人信息應當事前進行個人信息保護影響評估。

對處理敏感個人信息等幾種特定情形，《個人信息保護法》規定應在事前進行個人信息保護影響評估，并對處理情況進行記錄。個人信息保護影響評估本質上是風險評估。由于處理敏感個人信息可能對自然人的權利和自由帶來高度風險，對此類處理進行事前風險評估可以防患于未然。《個人信息保護法》要求個人信息保護影響評估應當包括下列內容：（1）個人信息的處理目的、處理方式等是否合法、正當、必要；（2）對個人權益的影響及安全風險；（3）所采取的保護措施是否合法、有效并與風險程度相適應。個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

綜上，我國《個人信息保護法》區分敏感與非敏感的個人信息，并在此基礎上確定了敏感個人信息的特殊處理規則，與世界主流個人數據保護立法一致，體現了對與人格尊嚴或人身、財產安全密切相關的個人信息的傾斜保護，能更有效地防范個人信息風險，更全面保護個人信息主體的利益。同時，區別對待不同種類的個人信息，能提高對處理行為的可預測性，明確了企業合規重點，在一定程度上降低企業的合規成本，有利于數字經濟發展。

《個人信息保護法》：構筑新時代個人信息權益保護的安全防護網

作者：趙精武北京航空航天大學法學院副教授，工業和信息化法治研究院研究員

《中華人民共和國個人信息保護法》即將于2021年11月1日起正式施行，這標志著我國個人信息保護立法體系進入新的階段。個人信息保護的相關制度在《網絡安全法》就已經有了專章規定，其后的《民法典》人格權編和《數據安全法》也先后規定了涉及個人信息的具體保護制度。相較于前述立法活動，《個人信息保護法》的出臺為個人信息權益保護、信息處理者的義務以及主管機關的職權范圍提供了全面的、體系化的法律依據。個人面對非法收集和處理個人信息的侵權行為能夠獲得更具體、更多樣的救濟方式，權利保障范圍涵蓋個人信息收集、存儲、使用、加工、傳輸、提供、公開、刪除等多個環節以及敏感個人信息處理、個人信息跨境提供等特定場景。個人信息權益得到切實有效的制度保障，也為信息產業明確了經營行為的合法性邊界，與《國家安全法》《網絡安全法》《民法典》和《數據安全法》等法律法規共同構建起個人信息保護的法治堤壩。

一、個人信息處理活動的基本原則框架：合法、正當、必要與誠信

《個人信息保護法》的出臺可謂是順應人民群眾最迫切的利益訴求。在數字經濟時代，個人與網絡信息服務提供者之間存在明顯的信息鴻溝，為了能夠獲得相應的信息服務使用權限，個人不得不“主動”提供自己的個人信息，但是卻無法真正知曉自己的個人信息究竟將如何被處理以及誰將擁有自己的個人信息。更有甚者，個人信息買賣已然成為完整的黑灰產業鏈條，個人的財產安全和人身安全受到嚴重威脅。為了充分保護個人信息權益，同時也是為了規范個人信息處理活動，促進信息產業發展，《個人信息保護法》順勢而為，明確了個人信息處理活動應當以合法、正當、必要和誠信作為基本原則，即任何類型和任何階段的個人信息處理行為均應當滿足這些原則性要求，即便現行立法沒有明確規定特定個人信息處理行為是否滿足法定義務，如若相關行為違背合法、正當、必要和誠信四項基本原則之一，也應當承擔相應的民事法律責任，情節嚴重的，應當承擔刑事責任。換言之，這四項基本原則構成了《個人信息保護法》的內容主線：第一，合法性原則要求個人信息處理行為應當滿足法律法規規定，這里的“法”并不單一局限于《個人信息保護法》，還包括《網絡安全法》《數據安全法》《民法典》《刑法》《關鍵信息基礎設施安全保護條例》等法律法規。第二，正當性原則要求個人信息處理行為應當符合立法宗旨和法律價值，不得以謀求自身利益而侵害其他個人的個人信息權益。在實踐中，部分APP運營者在用戶注冊階段以不顯著、不直接的方式向用戶展示個人信息處理的目的、范圍和方式等重要信息，這種行為顯然違背了正當性原則。第三，必要性原則要求個人信息的收集范圍和處理方式應當僅以實現相應的信息服務功能和業務目的為必要。該原則強有力地回應了當下社會對APP運營者肆意收集處理個人信息行為的擔憂和質疑，避免個人為獲取相應信息服務而被動提供個人信息的問題惡化。例如，地圖導航類APP運營者的個人信息收集范圍僅應當以地理位置信息為限，職業、工資、旅游偏好等其他與地圖導航功能無關的個人信息顯然不在“與處理目的直接相關”的范圍之內。第四，誠信原則強調個人信息處理者不得利用自身的優勢地位侵害個人信息權益。一方面，個人信息處理者應當誠實信用地按照約定的處理目的和范圍處理個人信息；另一方面，個人信息處理者不應當故意隱瞞、有意淡化事關個人信息權益的提示說明事項。

二、個人信息權益保護方式：權利與義務的一體化

在歐盟《通用數據保護條例》出臺之后，全球各國個人信息立法曾一度或多或少受到歐盟個人數據權利體系的理論影響，刪除權、更正權、查詢權等具體權利似乎成為個人信息保護領域的“制度范本”。我國《個人信息保護法》則立足于中國本土實踐，向全世界提供了全新的個人信息保護思路：重視個人信息權益的實質性保護，以權利與義務的一體化要求為導向。從《個人信息保護法》的第四章和第五章內容來看，個人在個人信息處理活動中享有查閱、復制、更正、補充、請求刪除個人信息等具體權利。并且，個人信息處理者也應當積極履行法定義務，確保個人權利能夠有效實現，倘若個人信息處理者設置各種不合理非必要的維權程序、客服流程等“維權門檻”，既違背了個人信息處理行為的基本原則，也構成了法定義務履行不充分。

個人在個人信息處理活動中行使權利有兩個前提條件：第一，個人對個人信息處理應當享有充分知情權和決定權。所謂的知情權是指個人有權知曉其個人信息的收集處理目的、范圍和方式，并且這種知情應當是以清晰易懂的顯著方式予以實現。換言之，如果個人信息處理者為避免承擔法律責任將所有個人信息處理事項事無巨細地向用戶直接展示，又或是以小號字體、密集文字排版等方式告知用戶個人信息處理活動，則顯然構成對個人信息知情權的實質侵害。第二，個人在實現知情權之后應當能夠獨立自主地決定是否提供個人信息以及決定個人信息的實際處理范圍和方式。在實踐中，部分用戶即便知曉個人信息處理的相關事項，但囿于使用特定信息服務的需要以及行業內格式合同的泛濫，用戶無力決定個人信息的具體處理方式。為了解決此類問題，《個人信息保護法》明確個人有權限制或限制對其個人信息處理。此外，決定權也有其例外情形。

三、充足的安全感：國家機關全方位保護個人信息

《個人信息保護法》提供的個人信息保護路徑并不局限權利與義務的一致性要求，還包括專門的國家機關履行個人信息保護職責，提供全方位的個人信息保護和救濟方式。《個人信息保護法》所提供的充足安全感既來自于國家機關處理個人信息的特別規定，也來源于國家機關履行職責的專門規定。一方面，《個人信息保護法》規定國家機關處理個人信息同樣應當遵守法律、行政法規規定的權限和程序。個人信息權益受到前所未有的重視，即便個人信息處理者是國家機關，其收集處理范圍和限度同樣不得超出履行法定職責之需要。并且，國家機關處理個人信息之前，應當依照規定，履行告知義務。另一方面，《個人信息保護法》明確規定了國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作。具體而言，除了日常熟知的個人信息保護宣傳教育，接受、處理與個人信息保護相關的投訴、舉報，調查、處理違法處理個人信息等活動之外，還包括個人信息保護評估、個人信息跨境傳輸安全評估、第三方安全認證體系、個人信息保護技術標準制定等具體領域的工作內容。此外，為了切實解決近期出現的“監控偷拍人臉識別”“大數據殺熟”等社會熱點問題，《個人信息保護法》還專門規定國家網信部門統籌協調有關部門依據本法推進人臉識別、人工智能等新技術、新應用領域個人信息保護規則、標準制定工作。

個人信息保護絕不能停留于紙面的權利宣誓與義務要求，更要重視之后法律實施過程中可能面臨的新問題和新挑戰，平衡個人信息權益與信息產業良性發展的雙重訴求，個人信息保護還需要有效統籌協調立法、執法和司法三個環節，要讓老百姓看得到、摸得著、感受得到真正的個人信息權益保護，推進個人信息保護工作的縱深化發展。