敏感個人信息保護的制度缺陷與完善路徑

周千樹

（重慶大學法學院，重慶 400000）

1.問題提出

敏感個人信息是指一旦泄露或非法使用將容易導致個人人格尊嚴或人身財產安全受到侵害的一類個人信息，具體包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡以及不滿14周歲未成年人的個人信息等類型。敏感性作為敏感個人信息最為核心的特征，可將其進一步解釋為緊密性與容易性，即具備敏感性特征的信息與人格尊嚴保護和人身財產安全之間具有更為緊密的聯系，其在被泄露或非法使用的情形下將更容易導致侵權結果的發生。申言之，具備敏感性特征的個人信息實際代表了個人在信息處理過程中最為根本的利益，同時也象征著個人信息處理行為的底線。通過對敏感性與非敏感性信息的區分，可以使個人更為準確地把握其在信息處理過程中的核心權益，同時也能為信息處理者提供行為預期以降低其履行義務的合規成本。

敏感個人信息關涉利益重大，因而有必要對其采取更為強力的保護制度。《個保法》中先后通過對適用于敏感個人信息的知情同意規則、信息處理標準、具體保護舉措等內容進行特別規定以構建敏感個人信息的專屬保護制度。不可否認的是，這些特別規定已能初步實現敏感性保護目標并對個人信息處理行為產生有效指引。但問題在于，部分特別規定存在著模糊性、片面性、抽象性的缺陷，例如《個保法》中僅通過擴張告知內容與規定單獨同意形式仍難以完全構建起適應于敏感性保護需求的知情同意規則；又如《個保法》中對于適用于敏感個人信息保護的安全技術措施的規定較為籠統，這將不利于保護措施的具體落實。制度規定的缺陷將對敏感個人信息保護目標產生實現阻礙，甚至于造成與立法初衷相悖的結果。至此，我們有必要對《個保法》中部分適用于敏感個人信息保護的特殊規定加以討論，以進一步明確敏感個人信息的保護路徑并完善其保護制度。

2.細化知情同意規則

在《個保法》中，立法者有意通過對知情同意規則的特殊規定來構建起敏感個人信息保護的基本框架，但實際上，這些特殊規定并未能完全切中敏感個人信息知情同意保護之要害，因此，需對其進行進一步探討。

2.1 完善知情保護規則

《個保法》中并未單獨構建適用于敏感個人信息的知情保護規則，而僅在一般個人信息知情保護制度的基礎上，通過擴充告知內容的方式來強化敏感信息處理者的告知義務。顯然，僅通過對告知內容擴充無法完全實現對敏感個人信息的知情保護，原因在于擴充告知內容僅是對信息主體知情權實現進行了形式上完善，并未能充分調動信息處理者對其處理行為的披露積極性。作為與人格尊嚴、人身財產安全具有緊密聯系的敏感個人信息，需要的是一套更為持續有效的信息披露制度，以確保個人能及時把控處理行為并進行風險預防與侵權應對。倘若信息處理者在履行敏感個人信息處理披露義務時仍保持著一般注意狀態，這將使得個人信息權益處于極度危險之中。至此，應通過更為廣泛的特別規定構建起全流程、多角度、高效率的知情保護制度，充分激發信息處理者對于信息披露的主動性并使其時刻處于對信息披露的特別注意狀態，從而幫助個人打破算法黑箱的固有弊端，實現對信息處理全過程的知情、參與、支配。

首先，應要求敏感個人信息處理者對其信息處理行為進行持續披露，信息處理者的披露義務應貫穿處理行為始終。從信息收集前置程序起，信息處理者就應通過用戶協議將法定應告知事項向個人說明并就處理目的、范圍、期限等重要內容作出承諾。在進入信息處理階段后，信息處理者應自覺將各環節的信息處理情況向個人匯報，并主動提醒個人注意不同環節可能存在的侵權風險，使個人能及時行使權利并采取針對性防御措施。對于可能變更或超越初始授權的處理行為，信息處理者應在處理之前將變更或越權處理的原因向個人披露，以取得其對該處理行為的重新或單獨同意。在信息處理完畢后，信息處理者應就其對敏感個人信息的處置方式、處置完成時間、處置效果等事項進行說明，以保證個人對其敏感信息存續狀態的把握。

其次，應要求敏感個人信息處理者對其信息處理行為進行有效披露。在信息處理的相關規則中應指明處理行為的披露范圍，信息處理者應使用清晰、簡潔的語言披露信息并對關系人格尊嚴和人身財產安全的事項進行著重提示。對于專業術語，信息處理者還應用淺顯易懂的語言向用戶釋明。同時，信息處理者也應當注重信息披露的時效性以及時地履行其告知義務，如應在變更或超越授權的處理事項發生之前主動向個人告知并征求其意見、應在損害行為發生之前提醒個人采取必要的規避措施等。除此之外，由于敏感個人信息直接關系人格尊嚴與人身財產安全，信息處理者在進行告知、匯報、詢問時也應當一并向個人強調其享有的權利及可用之維權手段，并將不同侵權后果所對應的權益救濟方案一并說明[1]。

2.2 完善同意保護規則

與知情保護規則的規定方式相同，《個保法》要求敏感個人信息處理者在履行征求個人對其信息處理授權的義務時，除了應達到一般的履行要求之外，還應單獨取得個人對其敏感信息處理行為的同意。單獨同意無疑是《個保法》中實現對敏感個人信息同意保護的關鍵，但遺憾的是，對于這一關鍵因素的具體含義立法中未作示明。在現目前的學界與實務界中，對于單獨同意的含義存在著“特別授權”與“逐項同意”兩種不同的理解。特別授權側重于強調信息處理者應取得個人對其敏感信息處理授權的單獨同意，而不能混同于一般個人信息概括取得對敏感個人信息的處理授權；而逐項同意偏重于要求信息處理者應逐環節取得個人對其敏感信息處理的同意，個人可以選擇對信息處理的全環節亦或是個別環節進行授權。顯然，特別授權、逐項同意都是與單獨同意制度的敏感性保護目標相契合的。至此，不妨以特別授權與逐項同意作為制度完善的討論基礎，為敏感個人信息同意保護規則構建提出建議。

一方面，個人信息處理者應取得個人對其敏感信息處理的特別授權。在進行信息處理之前，信息處理者應特別就其敏感個人信息處理行為取得個人的意見，不得不加區分的一并取得個人對其全部個人信息處理的授權。最高法《人臉識別司法解釋》中強調，信息處理者以與其他授權捆綁等方式取得個人人臉信息處理權限為由抗辯的，人民法院不予支持。該規定體現了司法裁判領域對于適用特別授權規則的支持態度，為了將特別授權的保護效用落于實踐，需要對信息處理者取得敏感個人信息處理授權的形式進行明確。在征求個人的處理意見時，信息處理者應分別告知一般個人信息與敏感個人信息的處理情形，并要求個人對不同類型信息的處理請求分別表態。信息處理者在設計用戶協議時應當單獨設置征求敏感個人信息處理意見的部分并預留“同意”或“拒絕”的意見選項，確保個人能對敏感信息處理進行單獨授權。

另一方面，個人信息處理者應在特別授權的基礎上，逐項取得個人對其敏感信息處理的同意。由于個人信息權益在不同處理環節與情境中面臨的風險和需要的關注各有不同，故需要通過逐項同意的方式對各處理環節中的敏感個人信息進行有針對的保護。具體而言，信息處理者可在征求個人特別授權的用戶協議之基礎上，進一步按照信息處理的不同環節分別設置多個需同意的項目，以逐環節取得個人對其信息處理的意見。在逐項同意規則要求之下，信息處理者被賦予了更為廣泛的作為義務，其需要構建持續有效的信息披露機制為規則實踐提供支持、需要從整體及局部多個角度對個人信息權益保護與風險防范作出制度設計，幫助信息處理者形成對敏感性處理行為的特別注意狀態，從而更好地實現敏感個人信息保護的目標[2]。

3.增強安全技術措施

《個保法》中明確規定信息處理者在信息處理過程中應采取加密、去標識化等安全技術措施，但對于這些措施的具體落實未作說明。為了實現敏感性保護目的，需要對安全技術措施的現實適用進行探討。

3.1 數據加密

在大數據信息時代，敏感個人信息多以數據的形式留存于網絡空間并被互聯網企業加以處理，因此，為了保護敏感個人信息，就必須對以其為承載內容的數據加以保護。數據加密作為最為基礎的數據保護方法，可以通過對其特別適用來實現敏感性保護目的。

首先，個人信息處理者應構建敏感個人信息數據處理的專屬加密體系。具體而言，可從數據傳輸、數據存儲、數據完整性鑒別、密鑰管理等多環節著手。其一，數據傳輸環節。對于敏感個人信息數據的傳輸加密應覆蓋各涉及數據流動的處理階段，做到一傳輸就加密，直至數據被刪除或銷毀時才應終止。其二，數據存儲環節。對于儲存于數據庫中的敏感個人信息數據，應同時采用密文儲存與存取控制的方法進行保護，通過設置更為復雜的加密算法轉換、附加密碼、加密模塊，嚴格審查數據使用者資格的方式加大數據出庫的難度。其三，數據完整性鑒別環節。對于敏感個人信息數據在傳輸、存儲、處理過程中介入對象的身份或相關的介入數據內容應進行及時、有效、重復的驗證，并在預先設置驗證參數時進行嚴格限制。其四，密鑰管理環節。對于敏感個人信息數據的專用密鑰應嚴格管理，對其產生、分配、保存、更換、銷毀等各環節應嚴格保密。同時，也可借助法律手段對密鑰技術加以保護。

其次，個人信息處理者應采取合適的加密技術對敏感個人信息數據進行保護，除了最為基礎的防火墻、入侵檢測、防病毒等安全防護手段，信息處理者還可將硬盤加密、驅動層加密等更為高效的技術算法運用于對敏感個人信息數據的加密保護。為了更好地實現敏感性保護目標，信息處理者還可將多項加密技術組合適用或對加密技術進行專門研發。除此之外，敏感個人信息數據的加密保護機制還應處于持續更新的狀態以適應日益嚴苛的敏感性保護需求。

3.2 數據脫敏

數據脫敏是指通過脫敏規則將數據變形從而將其中所包含的敏感性內容脫去以實現信息保護要求的一種安全技術措施。目前，理論界與實務界中對于敏感個人信息數據脫敏技術使用標準仍較模糊，對于該措施的具體使用仍有可討論空間。

敏感個人信息數據的脫敏應是徹底脫敏，對于脫敏徹底與否的爭論，實際反映了不同主體之間對于數據使用與數據保護利益取舍的差異態度。從法益平衡的角度上看，個人對其敏感個人信息的處理授權已在極大程度上讓渡自身權益。因敏感個人信息關系人格尊嚴與人身財產安全，故個人完全可能因其授權行為而招致難以預測的侵權危機。因此，為了維護利益平衡，應對敏感個人信息的使用范圍與使用程度作出明確限制，從而實現對個人已讓渡權益的彌補。申言之，個人信息處理者應明確把握敏感性處理行為的許可范圍，不得將敏感個人信息用于經營牟利或是超越法定以及約定授權的處理。在未取得個人就敏感信息的進一步處理授權時，信息處理者應毫不猶豫地進行徹底脫敏處理，以迅速終止個人信息權益因敏感性處理行為所致的搖擺不定狀態。

值得強調的是，敏感個人信息數據的脫敏還應是不可逆脫敏。數據脫敏技術的使用目的在于，通過完全脫去數據中的敏感性內容使其不再具有人身專屬性且不能識別特定對象，從而保障個人信息權益不會因數據交易或轉讓行為而受到損害，不可逆的脫敏結果顯然更符合采用脫敏技術進行數據處理的初衷。當數據不再可以通過一定的技術手段恢復至脫敏前的完整狀態時，其便可以兼顧保護個人信息權益與滿足社會公共利益的需要。而相較之下的可逆數據脫敏，雖有助于維護其他信息處理主體的數據利益，但其可逆的脫敏結果將使個人處于不可預估的侵權危機之中并面臨人格尊嚴與人身財產安全受損的風險[3]。

4.結語

《個保法》中敏感個人信息保護制度規定之缺陷，將對敏感性保護目的的實現產生阻礙。為了平衡個人信息權益與算法權力沖突、保護人格尊嚴與人身財產安全，有必要將該部分存在缺陷的制度規定進行完善。其一，應進一步細化敏感性知情同意規則，通過要求信息處理者建立持續有效的信息披露機制與兼顧特別授權與逐項同意的授權處理機制，提高信息處理者對其敏感性信息處理行為注意程度，并實現個人對信息處理全過程的知情、參與、支配；其二，應增強敏感個人信息的安全保護措施，通過指示信息處理者構建敏感個人信息數據處理的專屬加密體系與正確適用數據脫敏等安全技術措施，賦予其更為積極的作為義務，以更為妥善地保護個人信息權益。另外，《個保法》還存在著對敏感個人信息處理標準的規定過于抽象、對于個人信息保護影響評估等措施適用的體系規定仍未完善等問題。這些問題也將在不同程度上影響敏感個人信息保護目標的實現，其仍有待于立法與司法實踐之深究，敏感個人信息保護制度的構建完備仍任重道遠。