論敏感個人信息的合理使用

李世剛 屈 然

內容提要 為平衡個人信息的保護與利用，促進數字經濟的有序發展，《個人信息保護法》第13條確立的個人信息合理使用制度應被解釋為可適用于敏感個人信息。有關敏感個人信息處理需要獲得“單獨同意”“監護人同意”的特殊規則，系針對處理個人信息需取得信息主體同意之一般規定的特別規定，并非排斥、否認《個人信息保護法》第13條第1款第2—7項所列個人信息合理使用情形在敏感個人信息處理領域的適用。在依據第13條合理使用敏感個人信息時，一方面應受《個人信息保護法》第28條“特定的目的”和“充分的必要性”之規定的“雙重約束”；另一方面應始終圍繞保護信息主體人格權益對合理使用情形加以嚴格解釋，防止寬泛適用導致合理使用制度的濫用。

一、引言

《中華人民共和國民法典》（以下簡稱《民法典》）確立了個人信息保護的私法框架，將“知情-同意”原則設定為個人信息處理行為合法性的基礎（第1035條）。同時，為平衡個人信息的保護和利用，例外地設立了個人信息的合理使用制度，允許個人信息處理者不經信息主體或監護人同意直接處理個人信息，基于法律規定而賦予處理行為以合法性。例如《民法典》第1036條及第999條列舉了個人信息合理使用的若干情形。更進一步的是，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第1條明確將“促進個人信息合理利用”作為其立法目的，且第13條在“取得個人的同意”外還列舉了6項合理使用個人信息的更加具體之情形。

不過，敏感個人信息合理使用的正當性及其邊界依然需要在理論上進行探討。例如，《個人信息保護法》第13條確立的合理使用制度是否適用于敏感個人信息？基于處理敏感個人信息可能使自然人的權益面臨高度風險，第13條關于個人信息合理使用的一般規則可否不加嚴格限制即作為敏感個人信息的處理規則？面對比較法對個人信息權益克減的趨勢以及敏感個人信息的特殊性，解釋論上需要對此予以回應。

二、敏感個人信息合理使用的體系解釋

為平衡個人信息保護立法所兼顧的“保護個人信息權益”和“促進個人信息合理利用”的立法目的，《民法典》在確認個人信息權益性質、內容及保護規則的同時，設定了個人信息合理使用制度。《民法典》第1036條為信息處理者列舉了多種不經自然人同意而得以合法處理個人信息的情境，阻卻信息處理者處理個人信息行為的違法性，如處理自然人自行公開或其他已經合法公開的信息，以及為維護公共利益或該自然人合法權益。此外，第999條還規定“為公共利益實施新聞報道、輿論監督等行為的，可以合理使用民事主體的個人信息”。由于上述規范并未對個人信息的種類作區分，《民法典》中個人信息合理使用制度應當被認為同時適用于敏感個人信息和非敏感個人信息。

而在《個人信息保護法》第二章“個人信息處理規則”框架內，立法者于第一節“一般規定”之后設立第二節“敏感個人信息的處理規則”，顯然是將后者作為前者的特別規定——該第二節有特別規定的，應適用該節規定；沒有特殊規定的，則優先適用第一節的“一般規定”。由此，第二節中第29條和第31條的解釋成為敏感個人信息合理使用制度的關鍵。第29條和第31條分別確立了處理敏感個人信息的“單獨同意”規則和處理不滿十四周歲未成年人個人信息的“監護人同意”制度。就二者與第一節中規定處理個人信息7類合法情形的第13條第1款的關系，可以有兩種解釋：一種解釋是第29條和第31條排除第13條第1款之全部7類合法情形，即在一切情形下，處理敏感個人信息均應當取得信息主體的單獨同意，并且于處理不滿十四周歲未成年人個人信息時，還應取得未成年人父母或者其他監護人的同意。申言之，在此種理解下，不存在敏感個人信息的合理使用制度。另一種解釋是第29條和第31條確立的“單獨同意”規則和“監護人同意”制度僅作為第13條第1款第1項“取得個人同意”之例外，不排除、不否認第13條第1款第2到7項可適用于敏感個人信息。后一種解釋更符合《個人信息保護法》《民法典》及其他法律規范的體系目標，有助于相關規范的協調從而保障法秩序之統一，切合《個人信息保護法》的立法目的，兼顧民事權益保護和數字經濟發展的雙重目標。

1.《個人信息保護法》之外部體系視角

（1）《憲法》第51條為個人信息權益之克減提供了憲法依據

《憲法》第51條規定，“公民在行使自由和權利的時候，不得損害國家的、社會的、集體的利益和其他公民的合法的自由和權利”。盡管信息主體對個人信息享有知情權、同意權和拒絕權等一系列權能，但當個人信息權益與公共利益、他人的合法權益產生沖突，經利益衡量后，信息主體往往會被要求讓渡相應的個人信息權益。

（2）《民法典》與《個人信息保護法》構成個人信息權益保護的一般法和特別法之關系

特別法不應該違背《民法典》的基本原則，即使特別法與《民法典》發生沖突時，也要以基礎性法律所體現的價值為依據進行解釋，并在《民法典》框架體系內展開[1]王利明：《論〈個人信息保護法〉與〈民法典〉的適用關系》，《湖湘法學評論》2021年第1期。。

有觀點認為，《個人信息保護法》是個人信息保護領域的基本法律，它明確了個人信息保護的基本原則和制度，不能將《個人信息保護法》視為民法的特別法[1]周漢華：《個人信息保護的法律定位》，《法商研究》2020年第3期。。誠然，《個人信息保護法》是個人信息保護領域基礎性和專門性的法律，但就保護對象而言，個人信息權益是自然人人格權益的構成部分，無論是通過公法還是私法路徑對其予以保護均不能改變其作為民事權益的性質。《民法典》確立了個人信息權益在人格權體系中的地位以及我國個人信息保護的基本模式與路徑，而《個人信息保護法》則是具體通過公法手段與私法手段對個人權益進行保護的法律。《民法典》作為基本法律，具有普通法的地位和一般性，而《個人信息保護法》作為單行法，其中的私法規范具有特別法的屬性，對《民法典》作出了大量的補充和例外規定。在單行法有規定的情況下，單行法應予以優先適用；而在單行法沒有規定的情況下，應適用作為一般法的《民法典》。但《個人信息保護法》不能違背《民法典》的基本原則，如關于合法、正當、必要等處理原則、免責事由和侵權責任等[2]石佳友：《〈個人信息保護法〉與〈民法典〉如何銜接協調》，《人民論壇》2021年第2期。，《個人信息保護法》僅是在此基礎上對上述制度和規則作出了細化規定。

就個人信息合理使用制度而言，《個人信息保護法》第13條所規定的合理使用情形是對《民法典》第1036條、第999條信息處理者免責條款的整合與細化，適用于包括敏感個人信息在內的全部個人信息。《個人信息保護法》第29條和第31條宜解釋為僅針對第13條第1款第1項“取得個人同意”之特別規定，即“單獨同意”和“監護人同意”規則，并非針對第13條第1款第2到7項之情形，更不意味著對這些情形的排斥或否認。如此，《個人信息保護法》規定的個人信息合理使用制度與《民法典》保持整體一致，避免了《個人信息保護法》在具體適用時與《民法典》產生柔性或剛性沖突[3]夏偉：《個人信息嵌套保護模式的提出與構造》，《中國政法大學學報》2021年第5期。。

（3）《個人信息保護法》下的敏感個人信息合理使用制度的解釋應與其他法律、規范保持一致

除了《民法典》和《個人信息保護法》，也有其他法律、規范對敏感個人信息的合理使用作出了具體規定。《電子商務法》第25條規定：“有關主管部門依照法律、行政法規的規定要求電子商務經營者提供有關電子商務數據信息的，電子商務經營者應當提供。”此處并未對提供的“電子商務數據信息”做匿名化處理之限定，亦即包括了敏感個人信息。顯然，“提供”屬于《個人信息保護法》所規范的個人信息“處理”情形之一。可見，電子商務經營者根據本條規定“提供”個人信息無需信息主體同意，屬于《個人信息保護法》第13條第1款第3項“為履行法定職責或法定義務所必需”之情形，涉及對敏感個人信息的合理使用。《電子商務法》規定了敏感個人信息合理使用制度。《深圳經濟特區數據條例》第16條亦指出，數據處理者應當在處理個人數據前征得自然人的同意，法律、行政法規以及該條例另有規定的除外；第18條涉及敏感個人數據的處理規則，即在處理前應征得該自然人的明示同意；第20條將未滿十四周歲未成年人個人數據視為敏感個人數據，規定處理前須征得其監護人的明示同意。然而，設置在上述條文之后的第21條規定了處理個人數據可以不征得數據主體同意的情形，包括處理數據主體自行公開或其他已合法公開的數據，為公共利益處理個人數據，為保護數據主體和第三人之利益而處理個人數據。通過體系解釋，第21條作為自然人同意規則之例外（即合理使用之場景），適用于該條之前列舉的包括敏感個人數據在內的個人數據。在國家標準層面，2020年修訂的國家推薦性標準《信息安全技術 個人信息安全規范》（GB/T 35273—2020）亦規定了征得授權同意的例外情形，未對敏感個人信息和非敏感個人信息作區分[4]如《信息安全技術 個人信息安全規范》（GB/T 35273—2020）第5.6條規定了“征得授權同意的例外”，第9.5條規定了“共享、轉讓、公開披露個人信息時事先征得授權同意的例外”。。

可見，從《民法典》及其他法律規范看，對《個人信息保護法》第13條作可適用于敏感個人信息的解釋是恰當的。不同效力等級的規范性法律文件所構成之法律體系應當具備統一性和協調性[1]王學輝：《“依法治法”的整體性圖式構建——基于“法”的多重含義的統合與超越》，《當代法學》2011年第1期。，維護法制的統一是維護法制尊嚴的前提和基礎。若法律規定的行為模式不統一，將影響法律的有效施行，可能使法律調整社會關系的功能落空，立法目的難以有效實現[2]楊宗科：《論〈國家安全法〉的基本法律屬性》，《比較法研究》2019年第4期。。法秩序的統一性要求法律應被作為一個整體來解釋，排除法律規范之間的矛盾，從而保障法的安定性。法律的解釋應當先探求由多數法規范有意義的結合狀況所顯現的“主導形象”，然后以此為基準來解釋個別規范[3]卡爾·拉倫茨：《法學方法論》，陳愛娥譯，商務印書館2004年版，第344頁。。因此，在不同種類法律規范之間、上位法與下位法之間，應當統一敏感個人信息合理使用的基本制度，維護法秩序的統一性。

2.《個人信息保護法》內部體系之視角

為保證規范的協調與統一，還需要從《個人信息保護法》內部考察該法與敏感個人信息合理使用相關的條文。

第一，就立法目的而言，確立敏感個人信息合理使用制度符合《個人信息保護法》“促進個人信息合理利用”之立法目的。《個人信息保護法》第1條明確指出“保護個人信息權益”和“促進個人信息合理利用”為立法宗旨，表明對個人信息的保護并非其唯一立法目的。為確保信息主體個人權益和公共利益之平衡，《個人信息保護法》于第13條開啟了個人信息于“同意”外利用之可能性，系立法者基于“促進個人信息合理利用”、利于數字經濟有序發展之考量。信息分享或流通規則是個人信息作為生產要素和資源化利用的關鍵。建立個人信息流通利用或再利用的渠道，是實現信息社會化的必經之路[4]高富平：《制定一部促進個人信息流通利用的〈個人信息保護法〉》，《探索與爭鳴》2020年第11期。。隨著大型互聯網平臺的發展，這種資源交換的廣度、深度和便捷度更為突出。過于嚴苛地束縛信息的流通和利用，抑制了信息處理者的創新行為，不利于數字經濟的發展[5]任龍龍：《論同意不是個人信息處理的正當性基礎》，《政治與法律》2016年第1期。。敏感個人信息是個人信息的重要組成部分，為保證“促進個人信息合理利用”立法目的之落實，應當通過敏感個人信息的合理使用制度對個人信息權益的邊界進行適當限制。當然始終需要強調的是，基于敏感個人信息的特殊性，理應在其合理使用的場域下對其施以更高水平保護。適用敏感個人信息合理使用制度時應對《個人信息保護法》第13條列舉情形做嚴格解釋，結合“特定的目的和充分的必要性，采取嚴格保護措施”，在確保敏感個人信息合理使用的同時，維護信息主體的人格尊嚴及人身、財產安全。

第二，就體系而言，審視《個人信息保護法》的體例結構可知，第13條位于第二章“個人信息處理規則”第一節“一般規定”中。根據體系解釋，該條規定屬于在法律沒有相反規定的情況下可以普遍適用于個人信息處理的共通規定。一方面，第13條第2款指出：“依照本法其他有關規定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意。”由此，處于同一章第二節“敏感個人信息的處理規則”之下的規定，包括對于取得個人“單獨同意”“監護人同意”等涉及信息主體同意的要求，均屬于第13條第2款應當取得個人同意的“本法其他有關規定”，應適用第13條第2款的但書規定。由上可推導出，在第13條第1款第2項到第7項情形下，處理敏感個人信息不需要取得個人的單獨同意；處理不滿十四周歲未成年人的個人信息時，亦不需要其父母或其他監護人的同意。另一方面，如果立法者希望通過“單獨同意”和“監護人同意”制度排除第13條在敏感個人信息領域的適用，則第二節“敏感個人信息的處理規則”的表述應當仿效該章第三節“國家機關處理個人信息的特別規定”之“本節有特別規定的，適用本節規定”的表述，而事實上并沒有采用。是故，可將第29條和第31條“單獨同意”和“監護人同意”制度僅置于“知情-同意”規則下進行解釋。

綜上，根據《個人信息保護法》的立法目的和條文體系設置，應當將第二節“敏感個人信息的處理規則”中第29條和第31條的適用場景限定于第13條第1款第1項“取得個人的同意”之情形。

三、敏感個人信息合理使用的比較法觀察

在比較法上，基于保護公共利益等個人信息權益克減事由，在敏感個人信息領域不乏合理使用之立法例，并且為順應數字經濟的發展，對敏感個人信息合理使用情形的列舉呈現擴張趨勢。

1.敏感個人信息合理使用場域的擴張

通過對比較法的考察，為兼顧公共利益、他人利益甚至自然人本人利益，各國普遍在保護個人信息主體權益的基礎上創設克減機制，不存在絕對禁止處理敏感個人信息的規定，只是在法律術語或表述上存在差異。

整體而言，有的法域在禁止處理敏感個人信息的同時，允許例外情形的存在，如歐盟《一般數據保護條例》（GDPR）就屬此類，在“知情-同意”原則外，依據規定可以合理使用敏感個人信息。有的立法例則采取分散立法模式，如美國在較為敏感的領域采取單獨立法的模式許可敏感個人信息的合理使用，而加拿大和新加坡則側重于保護信息（數據）處理者的商業利益，為提高個人信息處理者間的商業交易效率，非交易相對方的個人信息權益應做出相應的讓渡。

具體而言，敏感個人信息在GDPR中被稱為“特殊種類個人數據”（special categories of personal data）。在其“鑒于條款”第51條中，歐盟委員會指出特殊種類個人數據即等同于“敏感數據”（sensitive data）——此系1981年歐洲理事會在《關于個人數據自動化處理的個人保護公約》（簡稱“108號公約”）中提出的概念[1]R.Wong,"Data Protection Online:Alternative Approaches to Sensitive Data?",Journal of International Commercial Law and Technology,2007,2(1),p3.。根據該公約，除非國內法已經提供適當保障，否則禁止自動處理有關種族出身、政治觀點、宗教或其他信仰、健康或性生活以及與違法行為、刑事訴訟和定罪有關的個人數據（第6條）。GDPR第9條第1款規定了特殊種類個人數據禁止處理之規則，第2款則出于公共利益等克減事由列舉了除同意外的9種例外情形。敏感數據的合理使用本質上是對個人信息主體權益的克減。早在《歐洲保障人權和基本自由公約》（簡稱《歐洲人權公約》）中對隱私權之限制便采用原則上禁止、例外情形允許的模式。該公約明確禁止干涉隱私權，除非“依照法律”和“民主社會之必要”以滿足特定的、令人信服的公共利益（第8條）。不過，《歐洲人權公約》未對隱私權克減的情形進行列舉。前述“108號公約”則將個人數據作為獨立于隱私權的單獨概念進行保護，并引入“敏感數據”術語。遺憾的是，“108號公約”僅規定了數據處理的基本原則（第5條），個人信息處理的詳細法律依據缺位是不爭的事實。隨后《第95/46/EC號保護個人在數據處理和自動移動中權利的指令》（簡稱“95指令”）在同意之外羅列了4種構成處理特殊種類個人數據合法性依據的要件，包括為雇傭之必要、為自然人的核心利益之必要、非營利機構合法活動之需要以及數據主體明顯公開的或為捍衛法律訴求之必需（第8條第2款）。“95指令”因GDPR的實施而被廢止，GDPR第9條將除同意外的合理使用特殊種類個人數據的情形擴充至9種。歐盟“95指令”第29條數據保護工作組（即“歐盟第29條工作組”）在第6/2014號意見書中認為，“個人信息權和隱私權一樣，都不是絕對權，應當置于特定場景下進行解釋”。數據處理者提供適當保障，可以與他人的權利相權衡或以公共利益為由進行限制，強調數據使用價值的實現。可見，敏感個人信息合理使用制度的應用在歐洲呈現持續擴大的態勢。

美國在個人信息保護方面采用分散立法模式，應用隱私權保護個人信息，從社會宏觀經濟利益角度切入，主張以自律模式處理個人信息問題，個人信息流通的限度較大。美國《隱私權法案》第12條規定，在緊急情況下，為了自然人的健康或安全而使用個人記錄，行政機關披露個人記錄無需征得本人同意。在諸如兒童信息、醫療檔案、金融數據等較為敏感的領域，美國立法機關采取單獨立法的方式保護個人信息，列舉可以不經信息主體同意使用個人信息的場景。例如《健康保險攜帶和責任法案》（Health Insurance Portability and Accountability Act/1996）規定，出于公共利益之目的，法律法規要求披露相關信息，或基于疾病防治之目的在公共健康監管部門要求下披露，或出于研究目的收集有限的數據集時，可以不經個人同意而披露或收集健康信息（45 C.F.R.§164.502）。在司法領域，美國法院在處理數據協助義務案件時一般會應用“第三方原則”，即第三方機構（如醫院、電信運營商、保險公司等）應政府部門要求提供其掌握的個人信息，不受美國憲法第四修正案（公民免受無理由搜查和扣押）的限制[1]韓新遠：《個人行為軌跡信息的法律屬性與分類保護研究》，《交大法學》2021年第3期。。

與GDPR的定位不同，加拿大《個人信息保護與電子資料法》（The Personal Information Protection and Electronic Documents Act,PIPEDA）和新加坡《個人數據保護法》（Personal Data Protection Act 2012）側重保護信息（數據）處理者的商業利益，秉持的是平衡個人信息保護和商業發展的理念。二者均未區分敏感個人信息和非敏感個人信息，而采用一體化保護模式。列舉了大量無需信息主體同意，甚至無需知情即可被信息處理者收集、使用和披露個人信息的情形。值得關注的是，除了為公共利益和自然人的重大利益等情形外，兩部法律都對個人信息處理者間商業交易涉及的部分個人信息作出合理使用的規定：如果信息處理者間為完成預期商業交易之必要，為交易相關之特定目的，并采取相應安全保障措施的，可以在信息主體不知情或未經同意的情況下使用和披露個人信息[2]Art.7.2(1),PIPEDA;Art.1(3),Part 4,First Schedule,Personal Data Protection Act 2012.。

2.敏感個人信息合理使用場域擴張的正當性

很顯然，通過敏感個人信息的合理使用促進個人信息的流通，是比較法的共同趨勢。

比較法的經驗普遍顯示，信息主體的個人信息權益在與公共利益沖突的特定場景下應作出讓渡。GDPR在“鑒于條款”中明確個人數據權利應當根據比例原則與其他基本權利保持平衡；加拿大《個人信息保護與電子資料法》和新加坡《個人數據保護法》更是為了個人信息處理者間的商業交易效率，設定了對非交易相對方個人信息的合理使用規則。

更進一步，在比較法上，敏感個人信息合理使用情形的列舉呈現擴張趨勢。即使被稱為“最嚴格數據保護法”的GDPR，為順應科技的發展和社會之變遷，也從“籠統”到“具體”，使敏感個人信息合理使用的情形更加具象和多元化。“變革的出發點之一便是回應過去二十余年信息技術浪潮快速更迭帶來的數據保護新問題。”[3]張新寶、葛鑫：《個人信息保護法（專家建議稿）及立法理由》，中國人民大學出版社2021年版，第23頁。現階段，在保護個人信息權益的同時，設置敏感個人信息的合理使用制度，推動信息合法流通，有助于構筑國家數字經濟發展新優勢與公平競爭的法治環境。鑒于此，確立敏感個人信息的合理使用制度已成為數字經濟時代不可抵擋之趨勢。

比較法對敏感個人信息權益的克減情形，可能發生在個人信息權益與公共利益、自然人利益沖突等不同的場景。在敏感個人信息合理使用中，公共利益保護是主要的面向。“個人權利是公共權力正當性的根據，公共權力的行使也應當以擴展個人權利為目的。”基于公權力整合個人和群體利益有差異的職能，可以也必須對個人的權益進行相應限制。但對損害公共利益的行為進行干涉，應當考慮干涉的可能性、必要性和效率性而作出合理的選擇[1]葉傳星：《在私權利、公權力和社會權力的錯落處——“黃碟案”的一個解讀》，《法學家》2003年第3期。。因此，應當對敏感個人信息合理使用的情形進行嚴格的分析與考量，以期尋求信息主體權益與公共利益的平衡。

四、敏感個人信息合理使用的限制

《個人信息保護法》將敏感個人信息定義為“一旦泄露或非法使用，容易導致自然人的人格尊嚴受到侵害或人身、財產安全受到危害的個人信息”（第28條第1款）。從規范體系考察，處理敏感個人信息與非敏感個人信息的要求區別于是否具有“特定的目的和充分的必要性”（第28條第2款），由此使得二者合理使用的規范方式有所不同，即以特殊、一般之方式分別予以解釋。基于前者的高度敏感性，對其進行保護必然區別于一般的個人信息。可見，若簡單地將《個人信息保護法》第13條適用于敏感個人信息，將導致敏感個人信息的處理規則基本上與非敏感個人信息沒有差別[2]程嘯：《怎樣建立完善個人信息處理規則》，《經濟參考報》2020年11月3日。。因此，敏感個人信息合理使用場景之認定，自然應采取更高程度的約束條件和更加嚴格的解釋標準。

1.特定目的原則和充分必要性原則

根據《個人信息保護法》第28條第2款，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。本條作為處理敏感個人信息的特別條款，應適用于敏感個人信息處理的全部情形。第13條第1款第2—7項所規定的情形本身，并不符合特定目的和充分必要性，不能僅以第2—7項的情形作為敏感個人信息合理使用的合法性基礎。敏感個人信息的合理使用應受上述第2—7項的情形和第28條“特定的目的”和“充分的必要性”之規定的“雙重約束”，但《個人信息保護法》未對“特定的目的”和“充分的必要性”進行具體說明。

特定目的原則在比較法上有可供參考之對象。例如GDPR強調“特定目的原則”之使用，要求處理個人信息必須具備“特定的、明確的、合法的目的”（第5條第1款第b項）。該原則被認為體現在敏感個人信息合理使用的兩個階段：一是收集階段，個人信息處理者應有特定的收集、使用目的；二是使用階段的使用限制，要求信息處理者在實際使用敏感個人信息時，目的不得與法律規定的可合理使用的目的相違背[3]龍衛球主編：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021年版，第136頁。。“特定”是指目的應當在不遲于收集個人信息時確定，目的描述必須提供足夠的細節，使之具備辨識度[4]Article 29 Data Protection Working Party,Opinion 03/2013 on purpose limitation 15(Article 29 Data Protection Working Party 00569/13/EN 2013),Adopted on 2 April 2013,p.15．。因此，目的不能過于模糊或流于一般化，諸如“法定職責目的”“公共利益目的”“財產安全目的”等表述就不符合“特定”的要求。在合理使用敏感個人信息時，處理者必須告知信息主體某項具體法定職責或義務、特定突發公共衛生事件或為何種公共利益而處理敏感個人信息，除非有法律、行政法規規定應當保密或者不需要告知的情形。

充分必要性原則的核心功能在于防止個人信息處理者以“合理使用”為名，對敏感個人信息進行過度處理。對于一般的個人信息，其處理只需有“必要性”即可，但對于敏感個人信息而言，處理必須具備“充分的必要性”[5]王利明：《敏感個人信息保護的基本問題——以〈民法典〉和〈個人信息保護法〉的解釋為背景》，《當代法學》2022年第1期。，這實質上是對信息處理程度進一步降低。如依《信息安全技術 個人信息安全規范》（GB／T 35273—2020）與《深圳經濟特區數據條例》“最小必要原則”的具體要求，信息處理者只能處理最少量的敏感個人信息類型和數量。個人信息的存儲時間亦受嚴格限制，在不需要時應及時刪除或作匿名化處理，以此降低信息主體權益受到侵害的風險。

2.敏感個人信息合理使用情形的嚴格解釋

由于敏感個人信息與自然人的人格尊嚴等基本權利、重大人身利益或財產利益具有極為密切的聯系，《個人信息保護法》第13條第1款第2到7項列舉之情形，理應基于敏感個人信息的特殊性，作出區分于非敏感個人信息的更為嚴格的解釋。

以GDPR為例，考慮到個人信息的敏感度會隨文化背景、科技發展和公眾心理的變化而在不同地域和不同時代呈現迥然的樣貌[1]K.Mc Cullagh,"Data Sensitivity:Proposals for Resolving the Conundrum",Journal of International Commercial Law&Technology,2009(2),p.199.，歐盟各成員國可以對處理特殊種類個人數據的具體情形施以更詳細的規定，原則上不低于GDPR的基本要求[2]李世剛、包丁裕睿、王崢：《歐盟一般數據保護條例：文本和實用工具》，人民日報出版社2018年版，第5頁。。

GDPR第9條第2款是歐盟特殊種類個人數據處理的一般規則，各成員國可以根據本國情況變通、選擇或保留，原則上不低于其基本要求，各成員國實際制定的標準往往高于GDPR[3]Ana-Elena Iunker,"Applicability of Article 9 of the Regulation(EU)2016/679 on the Protection of Personal Sensitive Data during COVID-19 Pandemic",Conferinta Internationalǎde Drept,Studii Europene si Relatii Internationale,2020,8(8),p.360.。以英國對GDPR第9條第2款第e項（對由數據主體“明顯地公開”的特殊種類個人數據的處理不予禁止且無須數據主體的同意）的適用為例，英國信息專員辦公室（ICO）對“由數據主體”（by the data subject）和“明顯地公開”（manifestly public）分別作出嚴格解釋。首先，“明顯地公開”的條件相當于必須通過一個無障礙獲取測試，即任何人均可無障礙地獲取該個人信息，并且這些信息能夠讓普通公眾實際獲取。“明顯地公開”解釋的關鍵不在于個人信息在理論上是否屬于公共領域（如在圖書館的出版物中或法庭上提及），而在于該信息在實踐中是否具有實際的公共屬性。其次，關于“由數據主體”之要件，ICO強調了數據主體的意識和自愿的重要性，即應當是個人主動選擇將他們的特殊種類個人數據予以公開。例如，數據主體在博客發布自己的健康狀況和政治觀點等，并不能被想當然地解釋為數據主體已明顯地將個人信息予以公開。若數據主體對誰能夠實際訪問數據存在誤解，可能造成對個人數據的披露并非出于自愿，結果或將導致處理該特殊種類個人數據的免責事由無效[4]Information Commissioner's Office(UK),"What are the Conditions for Processing?",available at https://ico.org.uk/fororganisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/special-category-data/whatare-the-conditions-for-processing/,last visited on 8 June 2022.。除此之外，某些歐盟會員國利用GDPR第9條第4款禁止處理特定類型的遺傳數據。例如，希臘禁止為健康和人壽保險目的而處理遺傳數據[5]Art 23,Law 4624/2019(Greece).。

五、敏感個人信息合理使用的展開

綜上，我國《個人信息保護法》在征得特別同意之外未單獨列舉敏感個人信息合理使用的情形，第13條關于個人信息合理使用的一般規則可以適用于敏感個人信息，只是必須附加嚴格限制。當然，于實踐中，第13條所列舉的合理使用情況，還需結合敏感個人信息的特點不斷完善。

1.為合同、人力資源管理所必需

《個人信息保護法》第13條第1款第2項規定：“為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需。”通過對第13條進行文義解釋和體系解釋，本項合理使用場景應適用于敏感個人信息，處理時不需要取得信息主體的“單獨同意”或“監護人同意”。

不過，值得注意的是，比較法上對此呈現出不同的立法例。盡管GDPR第6條（數據處理的一般規則）規定，“為合同所必需”是合理使用一般個人數據的合法性基礎。但是，在涉及特殊種類個人數據（即敏感個人信息）時，“第29條工作組”在2018年發布的《關于GDPR“同意”指南》中強調，GDPR第9條第2款不承認“為合同所必需”是一般禁止處理特殊種類個人數據的例外。因此，就此類數據而言，如果第（b）至（j）項的例外都不適用，則應按照GDPR中的有效同意條件，獲得明確同意才是處理此類數據的合法例外[1]Article 29 Data Protection Working Party,Guidelines on consent under Regulation 2016/679,Adopted on 10 April 2018,p.19.。歐盟數據保護委員會（EDPB）于2020年發布《關于GDPR“同意”指南》，對上述觀點予以認可[2]European Data Protection Board,Guidelines 05/2020 on consent under Regulation 2016/679,Version 1.1,Adopted on 4 May 2020,p.21.。我國也有學者指出，為訂立、履行合同而必需獲取或使用自然人個人信息，本質上仍是當事人基于意思自治而進行的同意。因此應將這種情形從個人信息合理使用的依據中排除，否則將與私法自治原則相抵觸[3]程嘯：《論我國民法典中的個人信息合理使用制度》，《中外法學》2020年第4期。。

2.為履行法定職責或者法定義務所必需

滿足《個人信息保護法》第13條第1款第3項規定的“為履行法定職責或者法定義務所必需”，可不需取得個人同意處理其個人信息。這里的“法定職責”和“法定義務”必須是法律具體的規定，應清晰、明確、有可預見性。也就是說，只有法律明確規定了信息處理的性質和目的，個人信息處理者方可基于本項合理使用敏感個人信息。

個人信息處理者履行該法定職責或法定義務還應當遵循比例原則。近年來，比例原則的適用在我國呈現不斷擴張的趨勢，不僅行政法、刑法等公法領域強調比例原則的指導價值，私法領域也逐漸認可比例原則的作用。更有學者主張比例原則應當作為民法的一項基本原則，強調比例原則在私法領域的普適性[4]鄭曉劍：《比例原則在民法上的適用及展開》，《中國法學》2016年第2期。。無論國家機關還是非國家機關，在履行法定職責和法定義務而合理使用敏感個人信息時，均應遵循比例原則。根據比例原則，處理敏感個人信息應當考慮個人信息處理者法定義務或法定職責與信息主體個人信息權益的均衡性，對信息主體利益可能造成的損害應與所要實現的法定目的具有相稱性，不能顯著失衡。相稱性內蘊多元的價值評價，需要在具體個案中綜合考量。

3.為應對突發公共衛生事件或者緊急情況下為保護自然人的財產安全所必需

在《個人信息保護法》第13條第1款第4項場景下，為應對“突發公共衛生事件”，合理使用敏感個人信息的主體應僅限于與公共衛生事件相關的行政主體，并遵循法律保留原則。突發公共衛生事件屬于突發事件，依據《突發事件應對法》，在進入緊急狀態前，行政主體只能采取法律、法規、規章規定的應急處置措施（第69條）。因此，在此情形下，行政機關為應對“突發公共衛生事件”而對自然人生物識別、行蹤軌跡等敏感個人信息采取應急處置措施時，只有在法律、法規和規章的明確授權下，行政機關才可以對自然人的敏感個人信息進行合理使用。

依據該項，緊急情況下為保護自然人“財產安全”，未經信息主體同意處理敏感個人信息的，雖原則上構成合理使用，但仍須進行利益衡量，遵循特定目的原則、充分必要性原則以及公開透明原則等。以此為例，我們可以展開平衡測試，證明保護“財產安全”所帶來的利益在具體場景下大于可能給信息主體帶來的危害[1]朱曉峰：《人格權侵害民事責任認定條款適用論》，《中國法學》2021年第4期。。參考“歐盟第29條工作組”于第6/2014號意見書中對合法利益豁免機制之平衡測試的構建，結合“財產安全”之特性，平衡測試的內容具體有以下幾點：第一，評估保護財產安全所帶來的利益、財產安全受到侵害的可能性及嚴重性；第二，衡量信息處理者是否已盡到特定的信息保障義務，即滿足“特定的目的和充分的必要性”；第三，考量信息處理者是否已采用嚴格保護措施，例如匿名化處理和無條件退出機制（opt-out）等。

4.為公共利益實施新聞報道、輿論監督等行為

“公共利益”“新聞報道”“輿論監督”本身皆為內涵與外延不易把握的概念，再加上“等”字，如果不加以嚴格限制，那么《個人信息保護法》第13條第1款第5項場景的適用范圍將非常廣泛。因此無論對敏感個人信息還是對非敏感個人信息，均要嚴格解釋該項合理使用的要件，尤其要對信息主體讓渡個人信息權益所服務的公共利益的范疇進行嚴格限定。例如，未經個人同意處理其敏感個人信息的前提是實施新聞報道和輿論監督以維護公共安全、公共衛生之類的公共利益為目的，而諸如娛樂性報道或對不道德行為的監督不符合本項規定的情形，或將構成侵權[2]程嘯：《論我國民法典中的個人信息合理使用制度》，《中外法學》2020年第4期。。

5.處理個人自行公開或者其他已經合法公開的個人信息

為防止個人信息被濫用，《個人信息保護法》第13條第1款第6項亦應被嚴格解釋。“自行公開”必須強調信息主體的自主意識，應當是個人主動將其敏感個人信息予以公開，且是任何人均可無障礙地獲取。一方面，“自行公開”應當考慮信息主體具備將該信息進行公開的主觀意識和自愿性。如在信息主體入駐網絡服務平臺時，由個人信息處理者事先以合同條款告知《個人信息保護法》第13條第1款各項情形，讓用戶知悉其自行公開的敏感個人信息存在被個人信息處理者收集并為特定目的使用之可能性。另一方面，“自行公開”和“合法公開”之情形均應當考量信息發布平臺的公共程度，是否為任何人均可無障礙地獲取。因此，在此場景下，信息主體在其朋友圈或微博好友圈等特定群體可見的平臺發布敏感個人信息并不能被視為“自行公開”，個人信息處理者不得以此為由對該敏感個人信息進行處理。

六、結語

現行法律確立了敏感個人信息的合理使用制度。《個人信息保護法》第13條對于個人信息的合理使用制度應當解釋為適用于敏感個人信息，而第29條和第31條“單獨同意”和“監護人同意”規則應僅作為第13條第1款第1項的例外。合理使用敏感個人信息，一方面，應受第13條第2到7項之情形和第28條“特定的目的”和“充分的必要性”之規定的“雙重約束”；另一方面，應始終突出保護信息主體人格權益，對敏感個人信息合理使用的場景進行嚴格解釋，兼采比例原則和平衡測試，維護法律上公平價值和效率價值的統一，防止寬泛適用導致合理使用制度的濫用。合理使用制度在強調個人信息權益保護的同時為處理敏感個人信息提供了多元的正當性途徑，是法治回應科技與社會發展的必然要求，有利于增強數字經濟發展動能，健全完善平臺經濟公平競爭的法治要素。