梳理敏感個(gè)人信息管理要點(diǎn)

文/張?chǎng)硒?/p>

作者單位 上海江三角律師事務(wù)所

個(gè)人信息在現(xiàn)代社會(huì)中扮演著極為重要的角色。由于電子產(chǎn)品的大量普及，與個(gè)人信息相關(guān)的數(shù)據(jù)活動(dòng)每時(shí)每刻都在發(fā)生。

大數(shù)據(jù)時(shí)代，鮮有人能夠逃脫自己的信息被收集、分析和利用的情況。新冠肺炎疫情防控期間更是如此，出入公共場(chǎng)所的健康碼、行程碼都是個(gè)人信息被分析和利用的直接例證。

然而，伴隨著個(gè)人信息數(shù)據(jù)指數(shù)級(jí)的增長，信息安全問題也日漸凸顯。明星人臉數(shù)據(jù)泄露、動(dòng)物園未經(jīng)許可采集游客人臉數(shù)據(jù)、用戶數(shù)據(jù)被泄露給第三方，這些信息安全案件近兩年開始頻繁地進(jìn)入大眾視野。由于《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)保法》）的內(nèi)容范圍廣，本文將擇取敏感個(gè)人信息作為焦點(diǎn)，闡述法律的出臺(tái)會(huì)給企業(yè)經(jīng)營管理帶來哪些啟示。

敏感個(gè)人信息的特征與種類

《個(gè)保法》第二十八條規(guī)定，敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。

從法條的表述可知，敏感個(gè)人信息屬于個(gè)人信息的子集，是在滿足個(gè)人信息構(gòu)成要件的基礎(chǔ)上，另外包含獨(dú)有特征的個(gè)人信息，即泄露或非法使用會(huì)產(chǎn)生利益損害。條文表述的是受到危害的現(xiàn)實(shí)可能性，并且在《個(gè)保法》二審稿中，“嚴(yán)重危害”中的“嚴(yán)重”二字被刪去，只要存在造成一般損害的現(xiàn)實(shí)可能性，這種個(gè)人信息即屬于敏感個(gè)人信息范疇。

除上述描述性標(biāo)準(zhǔn)外，法條后半段以有限列舉的方式，羅列了目前實(shí)務(wù)中常見的敏感個(gè)人信息大類別，包括了生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等類別。雖然這些類別較為籠統(tǒng)，但有助于企業(yè)快速識(shí)別所要處理的信息。除此之外，不滿十四周歲未成年人的個(gè)人信息被單獨(dú)提了出來，是較為特殊的敏感個(gè)人信息，這表現(xiàn)在其合規(guī)處理的規(guī)定相對(duì)更為嚴(yán)格，需要企業(yè)尤其關(guān)注。

敏感個(gè)人信息的梳理和識(shí)別

信息識(shí)別是分類管理、處理的前提。屬于一般個(gè)人信息的，達(dá)到一般處理規(guī)則要求的程度即可，屬于敏感個(gè)人信息的，需達(dá)到特殊規(guī)則要求的程度。企業(yè)可以經(jīng)營管理的不同場(chǎng)景作為角度進(jìn)行切分，分別對(duì)特定場(chǎng)景內(nèi)產(chǎn)生、存在的個(gè)人信息進(jìn)行識(shí)別。

實(shí)務(wù)中，與個(gè)人信息緊密聯(lián)系的場(chǎng)景大致有企業(yè)人力資源管理場(chǎng)景、主營業(yè)務(wù)經(jīng)營場(chǎng)景、遵守監(jiān)管規(guī)定和企業(yè)內(nèi)控制度場(chǎng)景三種。每個(gè)場(chǎng)景中，企業(yè)需要意識(shí)到并梳理涉及的個(gè)人信息總共有哪些，而后再逐一分析歸類。比如，在人力資源管理的場(chǎng)景中，采集員工的聯(lián)系電話和常住地址屬一般個(gè)人信息，但是為了考勤而使用電子設(shè)備采集的人臉信息，則屬于敏感個(gè)人信息。再比如，低幼教育機(jī)構(gòu)為開展教學(xué)活動(dòng)而采集的低齡學(xué)員信息，屬于敏感個(gè)人信息；金融機(jī)構(gòu)受監(jiān)管要求或者按內(nèi)控制度規(guī)定收集的員工相關(guān)信息，也存在敏感個(gè)人信息。

值得注意的是，敏感個(gè)人信息的梳理和識(shí)別工作，具有長期性、隨時(shí)性的特征。隨著技術(shù)設(shè)備的運(yùn)用、業(yè)務(wù)的變化、新監(jiān)管規(guī)定的出臺(tái)，個(gè)人信息收集的范圍和程度也將隨之變化。企業(yè)應(yīng)當(dāng)注意適時(shí)開展敏感個(gè)人信息的評(píng)估、識(shí)別工作。

敏感個(gè)人信息的合規(guī)處理

●處理的前提

敏感個(gè)人信息的處理，需同時(shí)滿足一般處理前提和特殊處理前提。一般處理前提在《個(gè)保法》第十三條中提及，包括取得個(gè)人同意、實(shí)施人力資源管理所必需、應(yīng)對(duì)突發(fā)公共衛(wèi)生事件等情形；特殊處理前提則在《個(gè)保法》第二十八條中提及，要求必須具有特定的目的和充分必要性，并已經(jīng)采取嚴(yán)格保護(hù)措施的情形下，方可處理敏感個(gè)人信息。因此，充分的論證工作是企業(yè)決定處理敏感個(gè)人信息的前置性工作。

●特殊的告知同意規(guī)則

告知同意規(guī)則作為《個(gè)保法》確立的基本規(guī)則，在敏感個(gè)人信息處理方面存在特殊要求。在一般規(guī)則中，個(gè)人的同意，應(yīng)當(dāng)在充分知情的前提下，自愿明確作出。而對(duì)于敏感個(gè)人信息，《個(gè)保法》明確規(guī)定應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。這可以理解為一事一議，禁止一攬子授權(quán)同意。與此同時(shí)，法律、行政法規(guī)規(guī)定應(yīng)當(dāng)取得書面規(guī)定的，企業(yè)應(yīng)當(dāng)遵照?qǐng)?zhí)行。

在告知方面，一般規(guī)則中已經(jīng)對(duì)告知的內(nèi)容范圍和基本要求做了明確規(guī)定，在此不再贅述。而敏感個(gè)人信息的處理，則在一般告知的基礎(chǔ)上，還應(yīng)當(dāng)額外告知必要性，以及對(duì)個(gè)人權(quán)益的影響。除非滿足《個(gè)保法》規(guī)定的例外情形，比如法律明文規(guī)定需要保密的情形。

●對(duì)未成年人個(gè)人信息的絕對(duì)保護(hù)

《個(gè)保法》與《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》均對(duì)涉及不滿十四周歲未成年人的個(gè)人信息處理進(jìn)行了明確的規(guī)定，兩部規(guī)范性文件的內(nèi)容相互補(bǔ)充。若企業(yè)以未成年人為主要受眾對(duì)象開發(fā)產(chǎn)品或服務(wù)，涉及其個(gè)人信息處理的，應(yīng)當(dāng)注意遵照?qǐng)?zhí)行。

根據(jù)《個(gè)保法》的規(guī)定，考慮到未成年人的認(rèn)知能力有限，因此同意意思表示的主體，變更為未成年人的父母或者監(jiān)護(hù)人。并且企業(yè)經(jīng)營管理過程中需要處理未成年人信息的，還應(yīng)當(dāng)另行制定專門的規(guī)則。

根據(jù)《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》，企業(yè)需指定專人負(fù)責(zé)未成年人個(gè)人信息保護(hù)，制定專門的保護(hù)規(guī)則和協(xié)議，對(duì)企業(yè)內(nèi)部工作人員以最小授權(quán)為原則，對(duì)受托處理未成年人個(gè)人信息的第三方負(fù)有安全評(píng)估義務(wù)等。這些都對(duì)企業(yè)建立未成年人個(gè)人信息保護(hù)機(jī)制提出了具體要求。

管理要求與難點(diǎn)

●敏感個(gè)人信息匿名化處理與重識(shí)別攻擊

根據(jù)《個(gè)保法》的規(guī)定，企業(yè)作為個(gè)人信息的處理者，有義務(wù)在處理過程中采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施。此舉的目的，在于從技術(shù)層面保證個(gè)人信息的安全性，即便其因意外或非意外原因暴露于公眾視野，也不至于被第三人識(shí)別定位到具體的個(gè)人。

早先，單純匿名化的操作（將身份信息使用合成標(biāo)識(shí)符進(jìn)行替換，切斷敏感信息與真實(shí)個(gè)人之間的聯(lián)系）即可達(dá)成保護(hù)目的。但隨著現(xiàn)今個(gè)人信息數(shù)據(jù)的爆炸式增長，運(yùn)用多維度匿名數(shù)據(jù)綜合分析依舊可以較為精確地定位到個(gè)人，這被稱為匿名數(shù)據(jù)的重識(shí)別攻擊（Re-Identification Attacks）。比如，攻擊人員通過將網(wǎng)絡(luò)劇集服務(wù)提供商的匿名數(shù)據(jù)鏈接到公共IMDb 數(shù)據(jù)庫的相應(yīng)評(píng)級(jí)數(shù)據(jù)進(jìn)行交叉參考驗(yàn)證，最后發(fā)現(xiàn)獲悉匿名訂閱者觀看的六部電影的大致日期，就能以很高的概率精確識(shí)別個(gè)人身份。

但《個(gè)保法》并未規(guī)定采取的加密措施應(yīng)達(dá)到何種程度，僅規(guī)定采取加密措施是處理者的義務(wù)。這就導(dǎo)致企業(yè)難以把握個(gè)人信息加密的程度。如果以極力降低個(gè)人信息處理風(fēng)險(xiǎn)為目的，則需要使用多重復(fù)雜加密措施，但這將增加企業(yè)數(shù)據(jù)處理的成本。若企業(yè)僅采用一般加密措施，一旦由于重識(shí)別攻擊而導(dǎo)致個(gè)人信息被泄露或非法利用，企業(yè)是否會(huì)被認(rèn)為未履行《個(gè)保法》規(guī)定的義務(wù)，尚未可知。

●從0到1構(gòu)建個(gè)人信息保護(hù)制度及其有效性評(píng)估

無論是基于《個(gè)保法》的明文要求，還是基于實(shí)際管理需求，企業(yè)應(yīng)當(dāng)從無到有構(gòu)建完整的個(gè)人信息保護(hù)的基本制度，對(duì)信息的識(shí)別、處理規(guī)則、權(quán)責(zé)界定、流程構(gòu)建等內(nèi)容進(jìn)行明確。但個(gè)人信息保護(hù)對(duì)于企業(yè)來說尚屬全新領(lǐng)域，在沒有先例可供借鑒的情況下，制度內(nèi)容是否合理、制度流程是否能夠有效銜接、是否涵蓋了個(gè)人信息保護(hù)的重要方面，都需要企業(yè)在日常經(jīng)營管理過程中不斷觀察、反饋和修正。

●第三方個(gè)人信息處理供應(yīng)商行為管理

《個(gè)保法》第二十一條規(guī)定，委托處理個(gè)人信息的，應(yīng)當(dāng)對(duì)受托人的處理活動(dòng)進(jìn)行監(jiān)督。但在實(shí)務(wù)中，對(duì)信息處理的受托人（供應(yīng)商）的處理行為，企業(yè)并不一定都具備技術(shù)層面的監(jiān)督能力。企業(yè)個(gè)人信息保護(hù)的各項(xiàng)要求，需加入供應(yīng)商行為準(zhǔn)則中，并且供應(yīng)商準(zhǔn)入應(yīng)建立安全性評(píng)估流程。對(duì)于已經(jīng)實(shí)際委托的供應(yīng)商，需接受企業(yè)定期或不定期的檢查，提交相應(yīng)的個(gè)人信息處理安全性報(bào)告進(jìn)行審查和備案。

隨著個(gè)人信息應(yīng)用愈發(fā)廣泛和普及、公民信息安全意識(shí)的不斷提升以及法律法規(guī)的不斷完善，個(gè)人信息安全的監(jiān)督、監(jiān)管必將走向常態(tài)化。企業(yè)作為個(gè)人信息處理的重要主體，承載著安全保護(hù)的主要義務(wù)。企業(yè)對(duì)個(gè)人信息保護(hù)的缺失，將會(huì)直接導(dǎo)致涉訴法律風(fēng)險(xiǎn)以及監(jiān)管責(zé)任的產(chǎn)生，進(jìn)而對(duì)企業(yè)聲譽(yù)產(chǎn)生深遠(yuǎn)影響。