一、國家制定《個人信息保護法》保護自然人的個人信息權益

　　8月20日頒布的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）旨在保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用。自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。依據《個人信息保護法》，處理個人信息應當遵循合法、正當、必要和誠信原則，應當具有明確、合理的目的，遵循公開、透明原則，保證個人信息質量和保障個人信息安全。而“告知-同意”是落實這些法律原則的主要實施機制。法律規定了個人信息保護的原則和處理規則，規定了個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門以及法律責任等內容，特別規定了敏感個人信息的處理規則和國家機關處理個人信息的特別規定。

　　個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，但是不包括匿名化處理后的信息。法律使用了個人信息處理這樣一個概括性概念，與國際特別是歐盟的GDPR（通用數據保護條例）一致，指收集、存儲、使用、加工、傳輸、提供、公開、刪除等一切處理個人信息的行為。個人信息權益是指自然人基于個人信息享有的人身和財產安全、人格尊嚴等，法律規定的“個人在個人信息處理活動中的權利”，包括知情權、決定權、限制或者拒絕權、查閱復制和“攜帶”權以及更正和補充請求權、刪除請求權等，是用以保護和實現個人人身和財產安全、人格尊嚴等權益的手段和維權路徑。

　　二、敏感個人信息的概念與分類

　　個人信息可以分為一般個人信息與敏感個人信息。敏感個人信息是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。敏感信息之外的其他個人信息屬于一般個人信息。法律為了強化對敏感個人信息的保護，對其設置了特殊的處理規則。敏感個人信息的保護，是個人信息保護法的重中之重。

　　依據法律的規定，敏感個人信息分為三類：

　　一是一旦泄露或者非法使用容易導致自然人人格尊嚴受到侵害的個人信息，如人臉信息等生物識別信息、宗教信仰和特定身份信息、醫療健康信息等。這些個人信息如果被泄露（盡管收集可能是合法的）或者非法使用，容易導致自然人的人格尊嚴受到侵害，被他人非法歧視等。

　　二是一旦泄露或者非法使用容易導致自然人人身、財產安全受到危害的個人信息，如生物識別信息、行蹤軌跡信息、金融賬戶及相關的信息等。這些個人信息如果被泄露（盡管收集可能是合法的）或者非法使用，容易導致自然人的人身、財產安全受到危害。比如，個人的行蹤信息被泄露或者被犯罪分子掌控，就可能危及該特定個人的人身安全；個人的金融賬戶包括儲蓄賬戶及取款密碼等泄露或者被犯罪分子掌控，就可能危及該特定個人的財產安全，導致存款被盜取造成其財產損失。

　　三是不滿十四周歲未成年人的個人信息。《個人信息保護法》草案三次審議稿增加這一規定，將不滿十四周歲未成年人的個人信息規定為敏感個人信息，受到強化保護。也就是說，涉及不滿十四周歲未成年人的個人信息，均屬于敏感信息。

　　三、強化敏感個人信息保護的法理

　?。ㄒ唬┥踩珜€人的極端重要性

　　生命作為人之存在的邏輯前提，是人從事一切活動的基本要求，集中體現人的價值與尊嚴。由于生命對個人具有極端重要性，法律應當將其作為最高利益予以保護。在憲法體系中，生命權是一種具有普世價值的基本人權，也被認為是第一人權，在基本權利中居于優先地位。只有生命權受到尊重和保障，才有可能實現憲法規定的國家目標，憲法規定的其他基本權利與自由才有意義。

　　在民法體系中，《民法典》第1002條將生命權規定為各項具體人格權之首。依照該條規定，自然人的生命安全和生命尊嚴受法律保護，任何組織或者個人不得侵害他人的生命權。在個人信息處理活動中，法律同樣應當優先保護個人的生命權。由于敏感個人信息的泄露或者非法使用可能導致個人的生命安全受到危害，敏感個人信息的處理應當在充分保護個人生命安全的前提下進行。

　?。ǘ┴敭a安全對個人的重要性

　　《憲法》第13條第1款規定：“公民的合法的私有財產不受侵犯。”《民法典》第113條規定：“民事主體的財產權利受法律平等保護?！薄叭裘?，則無恒產，因無恒心。”保護個人財產的恒定與安全，是法治的基礎，也是整個社會存在的基礎。當敏感個人信息被泄露或者非法使用，進而導致個人財產遭受侵害時，敏感個人信息在其中僅起到媒介或者手段的作用，直接造成個人財產損失的往往是他人實施的侵害行為。但是，敏感個人信息的不當處理可能大幅提高個人財產遭受他人侵害的可能性，使得個人的財產安全面臨嚴重威脅。為了保護個人財產不受侵害，法律應當強化對敏感個人信息的保護，賦予個人對其敏感個人信息更強的控制力。

　　（三）人格尊嚴對個人的重要性

　　《憲法》第38條規定：“中華人民共和國公民的人格尊嚴不受侵犯。禁止用任何方法對公民進行侮辱、誹謗和誣告陷害?！薄睹穹ǖ洹返?09條規定：“自然人的人身自由、人格尊嚴受法律保護?！比烁褡饑朗亲匀蝗俗鳛榉缮系摹叭恕睉斒艿降幕径Y遇和尊重。人格尊嚴要求將人視為價值，以保有人的精神本質構成為終極目標，否認與排斥任何削弱與貶損人的精神完整性，及有損人格發展的行為。敏感個人信息與個人的人格尊嚴高度相關，因此處理敏感個人信息應當符合更為嚴格的條件。一方面，處理者應當防止其自身的處理活動得出有損個人人格尊嚴的結果；另一方面，處理者也應當防止敏感個人信息被泄露或者非法使用，避免個人的人格尊嚴遭受侵害。

　?。ㄋ模娀瘜ξ闯赡耆说膫€人信息保護的特殊意義

　　依照《未成年人保護法》第4條的規定，處理涉及未成年人事項，應當給予未成年人特殊、優先保護，尊重未成年人人格尊嚴，保護未成年人隱私權和個人信息，以及適應未成年人身心健康發展的規律和特點。基于此，《未成年人保護法》第72條和《個人信息保護法》第31條對未成年人個人信息的處理作出了特別規定。原因在于，未成年人心智尚未成熟，其個人信息一旦被泄露或者非法使用，容易對其人格的健康、自由發展產生不利影響。在個人信息處理活動中，未成年人沒有足夠的認識能力和控制能力，也缺乏足夠的自我保護能力，其權益無疑更容易受到侵害，在個人信息保護與利用方面，更應為未成年人提供特殊保護。對于未成年人的保護，家庭承擔著首要、特殊的職責，未成年人的父母或者其他監護人應當依法履行其保護職責。《民法典》第34條第1款規定：“監護人的職責是代理被監護人實施民事法律行為，保護被監護人的人身權利、財產權利以及其他合法權益等。”因此，在未成年人的個人信息保護中，應當充分發揮未成年人的父母以及其他監護人的重要作用。

　　四、強化敏感個人信息保護的法律規則

　?。ㄒ唬┨幚砻舾袀€人信息的前提：特定目的、充分的必要性以及嚴格保護措施

　　《個人信息保護法》第28條第2款規定：“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息?！彼^特定目的，是指某一具體且確定的目的，這一要求與《個人信息保護法》第6條所規定的“明確、合理的目的”相比而言更高。例如，處理者如基于疫情防控目的處理個人的生物識別信息等敏感個人信息，則處理者不得將此等敏感個人信息用于其他與疫情防控無關的處理目的。

　　即使是諸如日常公共管理等其他與公共利益相關的處理目的，也不能為處理者的后續處理活動提供合法性基礎。所謂充分的必要性，是指對于處理敏感個人信息之必要性的判斷應當更加謹慎。例如，在小區門禁管理的場景下，物業服務企業收集并保存業主或者物業使用人的姓名、手機號碼等一般個人信息的行為通常符合必要原則的要求，但其將人臉識別作為業主或者物業使用人出入物業服務區域的唯一驗證方式的行為則違反了必要原則，業主或者物業使用人有權拒絕并要求其提供替代措施。

　　所謂嚴格保護措施，是指處理者應當采取與一般個人信息處理相比更為充分的保護措施，以保障其所處理的敏感個人信息的安全，包括事前進行個人信息保護影響評估、制定相應內部管理制度和操作規程、提高敏感個人信息處理的操作權限、制定并組織實施敏感個人信息安全事件應急預案、以及對敏感個人信息作去標識化、匿名化處理等。

　?。ǘ┨幚砻舾袀€人信息的必要條件

　　《個人信息保護法》第29條規定：“處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定?！薄秱€人信息保護法》第13條第1款第1項所規定的個人同意，既包括概括同意，也包括單獨同意，前者指個人針對不特定種類個人信息的處理統一作出的同意，后者指個人針對某一特定種類個人信息的處理作出的獨立的、不與其他個人信息相混同的同意。

　　為了強化一般個人信息的利用，個人可以對一般個人信息的處理統一作出概括同意，從而降低取得個人同意環節的溝通成本；為了強化敏感個人信息的保護，法律要求處理者處理敏感個人信息只能基于個人的單獨同意。單獨同意可以對個人進行提示，避免其敏感個人信息在其沒有充分認知的情況下被處理，并促使個人慎重考慮同意處理所可能帶來的后果，增強個人對其敏感個人信息的實際控制力。

　?。ㄈ┨幚砻舾袀€人信息應盡的義務

　　《個人信息保護法》第30條規定：“個人信息處理者處理敏感個人信息的，除本法第十七條第一款規定的事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響；依照本法規定可以不向個人告知的除外。”

　　依照《個人信息保護法》第17條第1款的規定，處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知：1. 處理者的名稱或者姓名和聯系方式；2. 個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；3. 個人行使本法規定權利的方式和程序；4. 法律、行政法規規定應當告知的其他事項。該條款規定的事項屬于處理個人信息如無例外均應當告知的事項，在處理敏感個人信息的情形自然也應當告知。

　　此外，敏感個人信息的處理可能顯著地增進個人利益或者公共利益（充分的必要性），但同時也可能給個人的人格尊嚴以及人身、財產安全帶來一定影響。因此，處理者還應當告知處理敏感個人信息的必要性以及對個人權益的影響，協助個人清楚地了解處理敏感個人信息的利弊，為個人作出自主決定提供前提條件。

　　但是，依照《個人信息保護法》第18條第1款以及第35條的規定，有法律、行政法規規定應當保密或者不需要告知的情形的，或者在國家機關處理敏感個人信息的情形，告知將妨礙國家機關履行法定職責的，處理者可以不向個人告知前述事項。

　?。ㄋ模┪闯赡耆藗€人信息的處理規則

　　《個人信息保護法》第31條規定：“個人信息處理者處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意。個人信息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規則?！?/p>

　　依照《未成年人保護法》第16條的規定，未成年人的父母或者其他監護人應當履行為未成年人提供生活、健康、安全等方面的保障的義務。處理未成年人的個人信息可能給未成年人的權益帶來一定影響，處理者在處理前，理應取得其監護人的同意。為了實現對未成年人的特殊、優先保護，處理者還應當建立專門的個人信息處理規則。例如，處理者應當對未成年人個人信息單獨歸類并進行相應管理，建立便于未成年人及其監護人行使個人權利的機制（尤其是更正、刪除權，《未成年人保護法》第72條第2款），將未成年人個人信息的處理限于有利于未成年人生活、成長等特定目的。