周 艷

（安徽大學(xué)法學(xué)院,安徽 合肥 230031）

1 提出問(wèn)題

保護(hù)個(gè)人信息安全與促進(jìn)數(shù)據(jù)流動(dòng)利用之利益平衡是大數(shù)據(jù)時(shí)代世界各國(guó)個(gè)人信息保護(hù)立法的核心議題。但是，目前我國(guó)現(xiàn)有的相關(guān)立法仍有待完善，而域外關(guān)于敏感個(gè)人信息保護(hù)立法有值得借鑒之處。因此，如何借鑒域外關(guān)于敏感個(gè)人信息的保護(hù)，持續(xù)完善符合我國(guó)國(guó)情的保護(hù)立法是本文研究的重點(diǎn)問(wèn)題。

1.1 敏感個(gè)人信息的重要性

張新寶（2021）提出保護(hù)敏感個(gè)人信息具有保護(hù)信息主體合法權(quán)益、調(diào)和信息保護(hù)和信息利用的關(guān)系以及警示這三方面的作用[1]。在大數(shù)據(jù)時(shí)代，敏感個(gè)人信息一旦被獲取，信息處理者可以通過(guò)網(wǎng)絡(luò)技術(shù)對(duì)個(gè)人構(gòu)建“畫(huà)像”，實(shí)現(xiàn)其目的，甚至是侵害信息主體的權(quán)益。例如，售樓部在未得到信息主體知情同意的情形下，暗中安裝人臉識(shí)別系統(tǒng)，對(duì)顧客進(jìn)行身份定位，甚至還區(qū)別對(duì)待消費(fèi)者，根據(jù)消費(fèi)者的消費(fèi)記錄推送相應(yīng)的產(chǎn)品及服務(wù)。

1.2 我國(guó)現(xiàn)有保護(hù)規(guī)范的不足

《中華人民共和國(guó)個(gè)人信息保護(hù)法》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）、《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)指南》）、《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《個(gè)人信息安全規(guī)范》）是我國(guó)關(guān)于敏感個(gè)人信息保護(hù)的法律規(guī)范。其中，《個(gè)人信息保護(hù)指南》和《個(gè)人信息安全規(guī)范》都是規(guī)范性文件。而《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息的定義不夠具體，且沒(méi)有明確界分敏感個(gè)人信息與隱私權(quán)之前的關(guān)系。同時(shí)，關(guān)于敏感個(gè)人信息的處理規(guī)則形式化。由此可見(jiàn)，我國(guó)關(guān)于敏感個(gè)人信息保護(hù)的法律規(guī)范還有待完善。

1.3 域外經(jīng)驗(yàn)借鑒的可行性

放眼域外，歐洲理事會(huì)各成員國(guó)早在1981年就簽署了《個(gè)人數(shù)據(jù)自動(dòng)化處理中的個(gè)人保護(hù)公約》（以下簡(jiǎn)稱《108公約》），涵蓋了尊重個(gè)人隱私和促進(jìn)數(shù)據(jù)自由流動(dòng)的內(nèi)容。歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）于2018年正式實(shí)施，是歐盟最具代表性的數(shù)據(jù)安全立法，條例強(qiáng)化數(shù)據(jù)主體權(quán)力并完善了相關(guān)機(jī)制。需要注意的是，在借鑒其他國(guó)家和地區(qū)關(guān)于敏感個(gè)人信息保護(hù)立法時(shí)，既要考慮共性問(wèn)題，也要考慮到國(guó)情的差異。

2 國(guó)內(nèi)關(guān)于敏感個(gè)人信息的保護(hù)

2.1 敏感個(gè)人信息的界定

我國(guó)采用的是“定義＋列舉”的模式。從時(shí)間上可以看出《個(gè)人信息安全指南》《個(gè)人信息安全規(guī)范》和《個(gè)人信息保護(hù)法》關(guān)于敏感個(gè)人信息的定義，偏向于人身安全、財(cái)產(chǎn)權(quán)益受到侵害角度，列舉的類型也不同。

“定義＋列舉”的模式有利有弊，其利在于對(duì)敏感個(gè)人信息的定義使敏感個(gè)人信息的內(nèi)容具有彈性；其弊在于存在外延不確定的問(wèn)題。我國(guó)學(xué)者在此定義的內(nèi)容下提出了許多關(guān)于敏感個(gè)人信息界定的標(biāo)準(zhǔn)。第一，從人格尊嚴(yán)角度出發(fā)?！秱€(gè)人信息保護(hù)法》明確規(guī)定，敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息[2]?！睹穹ǖ洹啡烁駲?quán)編突破以往立法對(duì)個(gè)人信息保護(hù)的規(guī)定，首次對(duì)處理他人的私密信息作出禁止性規(guī)定，即“任何組織或者個(gè)人不得處理他人的私密信息”。由此可知，敏感個(gè)人信息與個(gè)人人格息息相關(guān)。人體基因的泄露會(huì)造成個(gè)人在就業(yè)、保險(xiǎn)等社會(huì)生活中遭受各種不公平的歧視[3]。這種判斷標(biāo)準(zhǔn)存在問(wèn)題，敏感個(gè)人信息含有人格尊嚴(yán)內(nèi)容，外延性更廣，但是人格尊嚴(yán)不等于敏感個(gè)人信息，因此不能僅從人格尊嚴(yán)角度判斷。第二，從人身、財(cái)產(chǎn)安全角度出發(fā)。個(gè)人信息具有雙重屬性——人身價(jià)值和財(cái)產(chǎn)利益。敏感個(gè)人信息的泄露和非法使用，除了會(huì)危害人格尊嚴(yán)，也會(huì)影響個(gè)人的人身安全和財(cái)產(chǎn)安全。關(guān)于人身安全，信息收集者可以通過(guò)信息的收集處理，跟蹤他人，對(duì)他人的人身造成威脅。例如徐某某一案中，徐某某利用某App后臺(tái)推送的含有兒童個(gè)人信息的短視頻，通過(guò)其私信功能聯(lián)系多名兒童，并對(duì)其中3名兒童實(shí)施猥褻犯罪①。關(guān)于財(cái)產(chǎn)安全，安徽警方破獲的全省首例利用人臉識(shí)別犯罪案②，就是通過(guò)人臉識(shí)別技術(shù)辦手機(jī)卡從而影響權(quán)利人的消費(fèi)信譽(yù)。還有一些不法分子偽造人臉?lè)欠ǜ`取他人財(cái)物。第三，從未成年人角度出發(fā)，《個(gè)人信息保護(hù)法》將不滿十四周歲的未成年人的信息納入敏感個(gè)人信息范疇，加強(qiáng)了對(duì)未成年人個(gè)人信息保護(hù)的力度。在比較法上，其他國(guó)家和地區(qū)并沒(méi)有像我國(guó)一樣將不滿十四周歲的未成年人信息納入敏感個(gè)人信息范疇。這是我國(guó)對(duì)不滿十四周歲的未成年人的特有保護(hù)，是我國(guó)敏感個(gè)人信息保護(hù)法律體系的特色。

2.2 敏感個(gè)人信息的處理規(guī)則

關(guān)于敏感個(gè)人信息的處理，《個(gè)人信息保護(hù)法》采用的是原則上同意，例外情況下禁止的模式。同時(shí)看似嚴(yán)格規(guī)定了敏感個(gè)人信息的處理規(guī)則，但是其中適用的空間很大，對(duì)司法者來(lái)說(shuō)，裁量權(quán)過(guò)大；對(duì)信息處理者來(lái)說(shuō)，有充分利用的空間；對(duì)信息主體來(lái)說(shuō)，信息保護(hù)規(guī)則流于形式。

首先，根據(jù)《個(gè)人信息保護(hù)法》第二十八條，“只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息”。如何理解“特定的目的”和“充分的必要性”？王利明（2022）認(rèn)為，不能泛泛而談，必須用法律法規(guī)加以明確的規(guī)定。他認(rèn)為“特定的目的”必須是具體、明確、特定的。要具體問(wèn)題具體分析，結(jié)合具體的場(chǎng)景判斷。同時(shí)，也要與“充分的必要性”相結(jié)合。但是，我國(guó)目前關(guān)于此條規(guī)定并沒(méi)有明確的司法解釋，從而使得本條規(guī)定被任意應(yīng)用，最終導(dǎo)致司法者掌握了決定權(quán)，法官的裁量權(quán)被過(guò)度擴(kuò)大。同時(shí)，在實(shí)踐中信息處理者根據(jù)自己的利益按照自己的意愿來(lái)利用“特定的目的和充分的必要性”這條規(guī)則，例如售樓部安裝人臉識(shí)別系統(tǒng)以及小區(qū)未經(jīng)同意安裝人臉識(shí)別系統(tǒng)等，使信息主體的權(quán)益受損。

其次，根據(jù)《個(gè)人信息保護(hù)法》第二十九條，“處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意；法律、行政法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書(shū)面同意的，從其規(guī)定”。對(duì)于該條的理解也有很大的空間，實(shí)踐中主要的困境在于同意的內(nèi)容和形式上，是默示同意還是明示同意？同意的內(nèi)容是什么？范圍有沒(méi)有限制？“個(gè)人單獨(dú)同意”的規(guī)定有很大的處理空間，強(qiáng)制同意也是同意，附條件同意也是同意。在實(shí)踐中，許多信息主體為了獲得相應(yīng)的服務(wù)而不得不同意，使敏感個(gè)人信息的“個(gè)人單獨(dú)同意”規(guī)則流于形式；也有為了盡快獲得相應(yīng)的服務(wù)而同意，忽略了其中的風(fēng)險(xiǎn)。

最后，根據(jù)《個(gè)人信息保護(hù)法》第十七條，“個(gè)人信息處理者在處理個(gè)人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng)：（一）個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式；（二）個(gè)人信息的處理目的、處理方式，處理的個(gè)人信息種類、保存期限；（三）個(gè)人行使本法規(guī)定權(quán)利的方式和程序；（四）法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。前款規(guī)定事項(xiàng)發(fā)生變更的，應(yīng)當(dāng)將變更部分告知個(gè)人。個(gè)人信息處理者通過(guò)制定個(gè)人信息處理規(guī)則的方式告知第一款規(guī)定事項(xiàng)的，處理規(guī)則應(yīng)當(dāng)公開(kāi)，并且便于查閱和保存”。然而在現(xiàn)實(shí)生活中，諸多App的隱私協(xié)議也是告知，冗長(zhǎng)的文字讓使用者根本無(wú)法閱讀下去，但是如果不同意該協(xié)議，就不能使用該App，這種并不平等的協(xié)議也是“告知”。信息處理者往往利用法律的漏洞收集個(gè)人信息，從而侵害信息主體的權(quán)益。

3 域外關(guān)于敏感個(gè)人信息的保護(hù)

3.1 敏感個(gè)人信息的界定及比較

3.1.1 域外對(duì)敏感個(gè)人信息的界定

《108公約》作為世界上第一部關(guān)于數(shù)據(jù)保護(hù)的國(guó)際公約，規(guī)定了原則上不得自動(dòng)處理敏感個(gè)人信息。歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）采取了“定義＋列舉”的方式對(duì)敏感個(gè)人信息進(jìn)行界定，列舉的敏感個(gè)人信息內(nèi)容與《108公約》有重合之處。美國(guó)和歐盟一致通過(guò)的《安全港隱私保護(hù)原則》注重對(duì)個(gè)人經(jīng)濟(jì)關(guān)系的保護(hù)，把“貿(mào)易組織的成員資格”列為敏感個(gè)人信息。

域外對(duì)敏感個(gè)人信息的定義各具特色，與本國(guó)（本地區(qū)）的實(shí)際情況相聯(lián)系。我國(guó)不應(yīng)該直接照搬，應(yīng)該根據(jù)我國(guó)國(guó)情來(lái)完善敏感個(gè)人信息的定義。

3.1.2 域外關(guān)于敏感個(gè)人信息的界定模式

第一種，列舉式模式。我國(guó)在界定敏感個(gè)人信息的過(guò)程中采取了列舉式的模式。列舉的方式可以直截了當(dāng)?shù)刂赋瞿男儆诿舾袀€(gè)人信息，不需要司法機(jī)關(guān)和信息處理者再加以判斷。

第二種，綜合考量模式。綜合考量模式是指綜合數(shù)據(jù)處理的情景、目的等因素來(lái)判斷數(shù)據(jù)是否敏感[4]。許多學(xué)者認(rèn)為隨著科學(xué)技術(shù)的發(fā)展，敏感個(gè)人信息的范圍不斷擴(kuò)大，采用“定義＋列舉”的方式不能較好地保護(hù)新出現(xiàn)的敏感個(gè)人信息，因此主張采用綜合考量模式。美國(guó)學(xué)者尼森鮑姆（Helen Nissenbaum）提出“場(chǎng)景完整性理論”，聯(lián)系隱私保護(hù)和特殊情境規(guī)范，充分尊重個(gè)人信息最初獲取的情景，后續(xù)傳播和利用不得超出最初的情境。Simitis教授認(rèn)為，敏感不應(yīng)被認(rèn)為是一個(gè)先驗(yàn)概念，任何個(gè)人數(shù)據(jù)在某種情況下都可能是敏感的，應(yīng)該依據(jù)數(shù)據(jù)的背景和環(huán)境來(lái)判斷該信息是否為敏感個(gè)人信息，從而決定如何處理它。綜合考量模式很容易在各國(guó)（或地區(qū)）的立法中看出來(lái)，隨著時(shí)代的變遷，敏感個(gè)人信息的內(nèi)容也有所變化，之前司法認(rèn)為不是敏感個(gè)人信息的內(nèi)容得到了法律的承認(rèn)。由此可見(jiàn)，不應(yīng)該用一成不變的眼光來(lái)界定敏感個(gè)人信息。

3.2 敏感個(gè)人信息的處理規(guī)則及比較

《108公約》規(guī)定原則上不得自動(dòng)處理敏感個(gè)人信息。2021年，美國(guó)弗吉尼亞州通過(guò)的《消費(fèi)者數(shù)據(jù)保護(hù)法》（CDPA）對(duì)不同公民數(shù)據(jù)的分類及行政商用進(jìn)行了詳細(xì)的處理要求[5],國(guó)家和企業(yè)處理敏感個(gè)人信息時(shí)，分別有不同的規(guī)則。這種細(xì)致的規(guī)定可以有效保護(hù)敏感個(gè)人信息以及保護(hù)信息主體的人身財(cái)產(chǎn)安全和人格權(quán)益。

歐盟GDPR在敏感個(gè)人信息的內(nèi)容上規(guī)定了可以處理敏感個(gè)人信息的除外事項(xiàng)以及根據(jù)數(shù)據(jù)主體的不同規(guī)定不同的處理敏感個(gè)人信息方式。GDPR嚴(yán)格限定了敏感個(gè)人信息的處理的條件，符合第9條第2款的要求，才能對(duì)敏感個(gè)人信息進(jìn)行處理。根據(jù)數(shù)據(jù)主體是否成年、授權(quán)方式、權(quán)限內(nèi)容以及取消授權(quán)情況的內(nèi)容不同。和美國(guó)一樣，GDPR也從主體的不同區(qū)分處理內(nèi)容。但是，GDPR在敏感個(gè)人信息規(guī)定上更嚴(yán)格。從某種角度上看，這不利于數(shù)據(jù)的流動(dòng)，在一定程度上可能會(huì)限制社會(huì)發(fā)展。

英國(guó)《個(gè)人資料保護(hù)法》附表3嚴(yán)格規(guī)定了敏感個(gè)人信息的處理規(guī)則——只有滿足十大條件才能處理敏感個(gè)人信息[6]。英國(guó)的嚴(yán)格規(guī)定避免了敏感個(gè)人信息被違法收集使用以及濫用，保護(hù)了信息主體的敏感個(gè)人信息，維護(hù)了信息主體的人身權(quán)益和財(cái)產(chǎn)權(quán)益，也維護(hù)了社會(huì)的數(shù)據(jù)安全，以免造成混亂。

美國(guó)的CDPA、歐盟的GDPR以及英國(guó)的《個(gè)人資料保護(hù)法》在敏感個(gè)人信息的保護(hù)上都有嚴(yán)格且細(xì)致的規(guī)定。隨著經(jīng)濟(jì)社會(huì)的持續(xù)發(fā)展，我國(guó)民眾對(duì)敏感個(gè)人信息的重視程度日益提升，但是僅僅依據(jù)《個(gè)人信息保護(hù)法》中的幾條看似嚴(yán)格卻寬泛的規(guī)定，難以完全有效保護(hù)信息主體的權(quán)益。

4 完善我國(guó)敏感個(gè)人信息保護(hù)的建議

4.1 進(jìn)一步明確敏感個(gè)人信息的定義

我國(guó)首先應(yīng)該進(jìn)一步明確敏感個(gè)人信息的定義。在《個(gè)人信息保護(hù)法》發(fā)布后，應(yīng)該按照《個(gè)人信息保護(hù)法》的定義理解，明確適用。其次可以在采用“定義＋列舉”的模式下，使用“場(chǎng)景完整性理論”。在科技發(fā)展迅速的時(shí)代，萬(wàn)事萬(wàn)物瞬息萬(wàn)變。抓住敏感個(gè)人信息的核心：敏感性、人格權(quán)益和人身財(cái)產(chǎn)安全，結(jié)合具體的場(chǎng)景判斷是否為敏感個(gè)人信息。在結(jié)合具體場(chǎng)景時(shí)，需要考慮損害的后果、損害的程度以及損害的現(xiàn)實(shí)性。某些個(gè)人信息在某些情況下可能并不屬于敏感個(gè)人信息，不具有“敏感”的性質(zhì)，對(duì)人身財(cái)產(chǎn)安全并無(wú)多大影響；但是在其他技術(shù)的結(jié)合下，可能就具備了敏感的性質(zhì)，在特定情況下就屬于敏感個(gè)人信息了。因此，判斷信息是否為敏感個(gè)人信息，不能單一地從定義以及法律列舉的種類判斷是否為敏感個(gè)人信息，要結(jié)合具體情形。最后，區(qū)分隱私權(quán)的內(nèi)容和敏感個(gè)人信息的內(nèi)容。隱私權(quán)和敏感個(gè)人信息在權(quán)益內(nèi)容、保護(hù)客體和損害后果以及權(quán)利屬性上存在差別[7]。

第一，從權(quán)益內(nèi)容上看，敏感個(gè)人信息權(quán)益包括精神利益和財(cái)產(chǎn)利益，范圍大于隱私權(quán)的內(nèi)容。敏感個(gè)人信息的內(nèi)容會(huì)涉及信息主體的財(cái)產(chǎn)權(quán)益，比如通過(guò)人臉識(shí)別可以解鎖支付寶，盜取個(gè)人財(cái)產(chǎn)。第二，從保護(hù)客體和損害后果來(lái)看，隱私權(quán)的客體是權(quán)利，是民法典規(guī)定的人格權(quán)利，而敏感個(gè)人信息的客體則是權(quán)益，與法律規(guī)定的權(quán)利性保護(hù)有差別。侵犯隱私權(quán)的損害后果體現(xiàn)為他人的人格權(quán)利受到損害，是侵權(quán)人擾亂權(quán)利主體的私生活。侵犯敏感個(gè)人信息的損害后果包括人格權(quán)益以及人身財(cái)產(chǎn)安全，范圍更廣。第三，從權(quán)利特點(diǎn)和保護(hù)方式上看，敏感個(gè)人信息權(quán)益是一種積極、自決的權(quán)益，隱私權(quán)則是消極、防御性的權(quán)利。敏感個(gè)人信息看似和隱私權(quán)存在交叉的地方，但是聯(lián)系具體場(chǎng)景能清晰認(rèn)識(shí)到兩者之間的本質(zhì)差異，就可以分辨隱私權(quán)和敏感個(gè)人信息的內(nèi)容。

4.2 完善敏感個(gè)人信息的處理規(guī)則

第一，在原則之下，應(yīng)該詳細(xì)列清具體規(guī)則。對(duì)于“特定的目的”“充分的必要性”“告知同意”這些詞，法律適用存在很大的空間，應(yīng)該加以具體的規(guī)定。

首先，“特定的目的”。目的必須是特定、具體的。例如在使用人臉識(shí)別系統(tǒng)時(shí)，應(yīng)該具有特定具體的目的，銀行使用人臉識(shí)別系統(tǒng)是為了交易安全，小區(qū)使用人臉識(shí)別系統(tǒng)是為了維護(hù)小區(qū)居民的安全，那售樓處使用人臉識(shí)別系統(tǒng)的目的是什么？為了區(qū)分顧客，對(duì)其身份定位？這一目的雖特定具體，但違背了公共利益?？梢詮膬蓚€(gè)層面來(lái)理解“特定的目的”，第一個(gè)層面，“特定的目的”必須滿足信息主體的合理期待，比如基于交易安全、人身安全等理由，而不是利用敏感個(gè)人信息區(qū)別對(duì)待信息主體。第二個(gè)層面，“特定的目的”是維護(hù)公共利益，一般體現(xiàn)為公共權(quán)力機(jī)關(guān)為了公共利益遵守嚴(yán)格的程序和敏感個(gè)人信息處理規(guī)則處理敏感個(gè)人信息。

其次，“充分的必要性”。充分的必要性要結(jié)合特定的目的，體現(xiàn)為實(shí)現(xiàn)特定目的而需要的信息以及為了達(dá)到該目的僅需通過(guò)一種手段方式。例如，維護(hù)小區(qū)安全不僅僅只有人臉識(shí)別這一個(gè)途徑，還可以通過(guò)其他方式（設(shè)門禁卡）。又如，員工入職時(shí)，用人單位需要收集員工個(gè)人信息，但是有些信息則無(wú)必要收集，比如宗教信仰、財(cái)務(wù)狀況等。信息處理者非必要不處理個(gè)人信息，在有其他的選擇之下，考慮到個(gè)人信息的性質(zhì)，權(quán)衡選擇?！俺浞值谋匾浴币紤]到信息主體的選擇權(quán)，提供其他選擇，在別無(wú)選擇以及最優(yōu)選擇的情況下，可以收集使用敏感個(gè)人信息。

最后，“告知同意”。有學(xué)者提出，人臉識(shí)別技術(shù)對(duì)法律的沖擊之一就是使告知同意規(guī)則失靈[8]。有學(xué)者提出，要嚴(yán)格限縮告知同意規(guī)則[9]。也有學(xué)者提出，知情同意要以告知義務(wù)的充分履行作為前提，從嚴(yán)限制概括同意的適用，也可以利用技術(shù)的發(fā)展引用動(dòng)態(tài)知情模式[10]。信息處理者處理敏感個(gè)人信息如何告知？第一，形式上，敏感個(gè)人信息必須要以書(shū)面的形式告知，不能同于一般個(gè)人信息可以口頭告知。第二，內(nèi)容上，明確詳細(xì)告知用戶所有事項(xiàng)，同時(shí)對(duì)于不易理解的，要充分解釋其內(nèi)容，且應(yīng)該簡(jiǎn)要明了地告知用戶。第三，時(shí)間上，要給予用戶充分的思考時(shí)間。信息處理者如何落實(shí)同意原則？在告知義務(wù)充分履行的前提下，用戶同意也應(yīng)該是書(shū)面同意。同意的內(nèi)容限于個(gè)人信息處理者收集、存儲(chǔ)人臉部信息，不包括使用、加工、傳輸、公開(kāi)等。如果要進(jìn)行以上操作，應(yīng)該征得個(gè)人信息主體特別同意。參考2016年新浪微博訴脈脈非法抓取用戶信息不正當(dāng)競(jìng)爭(zhēng)案，個(gè)人信息處理者處理敏感個(gè)人信息，要遵守“三重授權(quán)原則”，具體內(nèi)容：（1）數(shù)據(jù)企業(yè)處理人臉信息，要得到用戶的授權(quán)。（2）數(shù)據(jù)企業(yè)超出范圍使用，或者轉(zhuǎn)讓給其他企業(yè)使用，要再次得到用戶的有效授權(quán)[11]。（3）也可以從第三方機(jī)構(gòu)介入出發(fā)，利用第三方主體對(duì)“告知同意”規(guī)則進(jìn)行有效監(jiān)督，在多維度上落實(shí)“告知同意”規(guī)則[12]。

第二，對(duì)未成年人信息作詳細(xì)保護(hù)。歐盟GDPR針對(duì)數(shù)據(jù)主體是否成年，數(shù)據(jù)主體的授權(quán)方式、授權(quán)內(nèi)容以及取消授權(quán)的規(guī)則不同。我國(guó)只有《個(gè)人信息保護(hù)法》第三十一條規(guī)定了“個(gè)人信息處理者處理不滿十四周歲未成年人個(gè)人信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意”。在取得同意的規(guī)則上，未成年沒(méi)有權(quán)利處理其信息，需要征求其監(jiān)護(hù)人的同意。制定專門的個(gè)人信息處理規(guī)則是用來(lái)約束信息處理者，要求信息處理者區(qū)分對(duì)待未成年人信息和一般個(gè)人信息。該條對(duì)于未成年人信息的保護(hù)的內(nèi)容實(shí)在過(guò)少，也不具體，以至于實(shí)踐中關(guān)于未成年人的個(gè)人信息被侵犯的案件并不少見(jiàn)。我國(guó)可以參考?xì)W盟GDPR的規(guī)定，詳細(xì)列舉收集處理未成年人信息的規(guī)則。具體來(lái)講：（1）規(guī)定收集未成年人信息應(yīng)該落實(shí)告知同意的規(guī)則，告知同意規(guī)則要落于實(shí)處，不能泛泛而談。拿某游戲舉例，未成年人可以利用規(guī)則讓游戲平臺(tái)收集其監(jiān)護(hù)人或者其他成年人的信息，來(lái)延長(zhǎng)自己的游戲時(shí)間。（2）非必要以及沒(méi)有特定必要目的不可以收集未成年人信息，原則上禁止，特殊必要情況下才可以允許收集未成年人信息。（3）監(jiān)護(hù)人享有撤銷的權(quán)利，該權(quán)利的行使不能嚴(yán)苛。

5 結(jié)語(yǔ)

敏感個(gè)人信息關(guān)系到信息主體的人身權(quán)益和財(cái)產(chǎn)權(quán)益，對(duì)個(gè)人乃至社會(huì)十分重要。敏感個(gè)人信息的保護(hù)主要在于其界定以及處理上。本文從國(guó)內(nèi)外關(guān)于敏感個(gè)人信息的定義和處理規(guī)則的法律規(guī)范出發(fā)，結(jié)合我國(guó)的實(shí)際情況，提出完善我國(guó)敏感個(gè)人信息保護(hù)立法的路徑。

注釋：

①浙江省杭州市余杭區(qū)人民檢察院對(duì)北京某公司侵犯兒童個(gè)人信息權(quán)益提起民事公益訴訟北京市人民檢察院督促保護(hù)兒童個(gè)人信息權(quán)益行政公益訴訟案，檢例141號(hào)。

②范天嬌.安徽警方破獲全省首例利用人臉識(shí)別犯罪案[EB/OL].中國(guó)青年網(wǎng),(2021-10-27)[2022-09-26].https://baijiahao.baidu.com/s?id=1714719064000484261&wf r=spider&for=pc.