正文

專家解讀|敏感個人信息保護:我國《個人信息保護法》的重要內容

2021年09月08日 15:48 來源: 中國網信網

人臉識別在新冠肺炎疫情防控中提供了高效的手段,同時也引發了人們對收集和處理人臉信息等生物識別信息邊界的關注。我國《個人信息保護法》要求,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。由于敏感個人信息與自然人的人格尊嚴等基本權利、重大人身利益和財產利益具有極為密切的聯系,對此類個人信息的處理會對自然人的基本權利和人身財產安全產生重大風險,我國《個人信息保護法》借鑒了歐盟、美國等法域的立法經驗并結合我國實際,對敏感個人信息的處理進行了專門規定。敏感個人信息的保護是我國《個人信息保護法》的重要內容之一。

首先,《個人信息保護法》對敏感個人信息進行了定義和列舉。

《個人信息保護法》規定將敏感個人信息定義為一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,同時列舉了敏感個人信息的種類,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息?!秱€人信息保護法》將不滿十四周歲未成年人的個人信息列為敏感個人信息,強化了對未成年人個人信息權益的保護。

敏感個人信息和非敏感個人信息是我國《個人信息保護法》從規范個人信息處理行為的角度對個人信息進行的一種重要分類,有針對性地提高處理者在處理敏感個人信息時的法定義務,更加充分地保護個人信息權益。

我國《個人信息保護法》在列舉敏感個人信息種類中的“等”字,應采“等外”之意,表示列舉未盡??v使不在法律明文列舉之列,因其在特定場景所具有的高度敏感性,也應納入敏感個人信息的保護范疇。技術的發展及場景的變化,也為新型的敏感個人信息特殊保護留下空間。

其次,《個人信息保護法》對敏感個人信息規定了專門的處理規則。

我國《個人信息保護法》在區分敏感個人信息與非敏感個人信息的基礎上,在第二章專節規定了“敏感個人信息的處理規則”,對處理敏感個人信息的前提進行了限制,要求只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,個人信息處理者方可處理敏感個人信息。以此為基礎,《個人信息保護法》規定了一些僅適用于敏感個人信息的特殊處理規則,知情同意原則是個人信息保護領域公認的首要原則,既適用于敏感個人信息,也適用于非敏感個人信息,意在實現與加強個人自決。針對敏感個人信息的處理,《個人信息保護法》提出了更高的要求,要求處理敏感個人信息應當取得個人的單獨同意。這意味著在處理敏感個人信息時,概括同意或推定同意的授權模式為法律所禁止。法律、行政法規規定處理敏感個人信息應當取得書面同意的,還應取得書面同意。

《個人信息保護法》對敏感個人信息處理者的告知義務提出了更高的要求?!秱€人信息保護法》第17條第1款規定:“個人信息處理者在處理個人信息前,應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項:(1)個人信息處理者的名稱或者姓名和聯系方式;(2)個人信息的處理目的、處理方式,處理的個人信息種類、保存期限;(3)個人行使本法規定權利的方式和程序;(4)法律、行政法規規定應當告知的其他事項?!钡?0條規定:“個人信息處理者處理敏感個人信息的,除本法第17條第1款規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響;依照本法規定可以不向個人告知的除外?!?/p>

《個人信息保護法》不僅將不滿十四周歲未成年人的個人信息列為敏感個人信息,還要求個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意。個人信息處理者處理不滿十四周歲未成年人個人信息的,應當制定專門的個人信息處理規則?!秱€人信息保護法》將不滿十四周歲未成年人的個人信息作為敏感個人信息,回應了現實中兒童信息泄露等問題,對未成年人個人信息處理進行了更嚴格的規范,有利于切實維護未成年人的合法利益并促進未成年人健康成長。

《個人信息保護法》還規定,法律、行政法規對處理敏感個人信息規定應當取得相關行政許可或者作出其他限制的,從其規定。

再次,個人信息處理者處理敏感個人信息應當事前進行個人信息保護影響評估。

對處理敏感個人信息等幾種特定情形,《個人信息保護法》規定應在事前進行個人信息保護影響評估,并對處理情況進行記錄。個人信息保護影響評估本質上是風險評估。由于處理敏感個人信息可能對自然人的權利和自由帶來高度風險,對此類處理進行事前風險評估可以防患于未然?!秱€人信息保護法》要求個人信息保護影響評估應當包括下列內容:(1)個人信息的處理目的、處理方式等是否合法、正當、必要;(2)對個人權益的影響及安全風險;(3)所采取的保護措施是否合法、有效并與風險程度相適應。個人信息保護影響評估報告和處理情況記錄應當至少保存三年。

綜上,我國《個人信息保護法》區分敏感與非敏感的個人信息,并在此基礎上確定了敏感個人信息的特殊處理規則,與世界主流個人數據保護立法一致,體現了對與人格尊嚴或人身、財產安全密切相關的個人信息的傾斜保護,能更有效地防范個人信息風險,更全面保護個人信息主體的利益。同時,區別對待不同種類的個人信息,能提高對處理行為的可預測性,明確了企業合規重點,在一定程度上降低企業的合規成本,有利于數字經濟發展。(作者:劉穎,廣東省法學會網絡與電子商務法學研究會會長,暨南大學法學院教授)

關閉

中共中央網絡安全和信息化委員會辦公室
中華人民共和國國家互聯網信息辦公室 © 版權所有
承辦:國家互聯網應急中心
技術支持:長安通信科技有限責任公司
京ICP備14042428號

Produced By CMS 網站群內容管理系統 publishdate:2021/09/08 17:48:30
免费三级黄色大片