一、国家制定《个人信息保护法》保护自然人的个人信息权益

　　8月20日颁布的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）旨在保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。依据《个人信息保护法》，处理个人信息应当遵循合法、正当、必要和诚信原则，应当具有明确、合理的目的，遵循公开、透明原则，保证个人信息质量和保障个人信息安全。而“告知-同意”是落实这些法律原则的主要实施机制。法律规定了个人信息保护的原则和处理规则，规定了个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门以及法律责任等内容，特别规定了敏感个人信息的处理规则和国家机关处理个人信息的特别规定。

　　个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，但是不包括匿名化处理后的信息。法律使用了个人信息处理这样一个概括性概念，与国际特别是欧盟的GDPR（通用数据保护条例）一致，指收集、存储、使用、加工、传输、提供、公开、删除等一切处理个人信息的行为。个人信息权益是指自然人基于个人信息享有的人身和财产安全、人格尊严等，法律规定的“个人在个人信息处理活动中的权利”，包括知情权、决定权、限制或者拒绝权、查阅复制和“携带”权以及更正和补充请求权、删除请求权等，是用以保护和实现个人人身和财产安全、人格尊严等权益的手段和维权路径。

　　二、敏感个人信息的概念与分类

　　个人信息可以分为一般个人信息与敏感个人信息。敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。敏感信息之外的其他个人信息属于一般个人信息。法律为了强化对敏感个人信息的保护，对其设置了特殊的处理规则。敏感个人信息的保护，是个人信息保护法的重中之重。

　　依据法律的规定，敏感个人信息分为三类：

　　一是一旦泄露或者非法使用容易导致自然人人格尊严受到侵害的个人信息，如人脸信息等生物识别信息、宗教信仰和特定身份信息、医疗健康信息等。这些个人信息如果被泄露（尽管收集可能是合法的）或者非法使用，容易导致自然人的人格尊严受到侵害，被他人非法歧视等。

　　二是一旦泄露或者非法使用容易导致自然人人身、财产安全受到危害的个人信息，如生物识别信息、行踪轨迹信息、金融账户及相关的信息等。这些个人信息如果被泄露（尽管收集可能是合法的）或者非法使用，容易导致自然人的人身、财产安全受到危害。比如，个人的行踪信息被泄露或者被犯罪分子掌控，就可能危及该特定个人的人身安全；个人的金融账户包括储蓄账户及取款密码等泄露或者被犯罪分子掌控，就可能危及该特定个人的财产安全，导致存款被盗取造成其财产损失。

　　三是不满十四周岁未成年人的个人信息。《个人信息保护法》草案三次审议稿增加这一规定，将不满十四周岁未成年人的个人信息规定为敏感个人信息，受到强化保护。也就是说，涉及不满十四周岁未成年人的个人信息，均属于敏感信息。

　　三、强化敏感个人信息保护的法理

　　（一）生命安全对个人的极端重要性

　　生命作为人之存在的逻辑前提，是人从事一切活动的基本要求，集中体现人的价值与尊严。由于生命对个人具有极端重要性，法律应当将其作为最高利益予以保护。在宪法体系中，生命权是一种具有普世价值的基本人权，也被认为是第一人权，在基本权利中居于优先地位。只有生命权受到尊重和保障，才有可能实现宪法规定的国家目标，宪法规定的其他基本权利与自由才有意义。

　　在民法体系中，《民法典》第1002条将生命权规定为各项具体人格权之首。依照该条规定，自然人的生命安全和生命尊严受法律保护，任何组织或者个人不得侵害他人的生命权。在个人信息处理活动中，法律同样应当优先保护个人的生命权。由于敏感个人信息的泄露或者非法使用可能导致个人的生命安全受到危害，敏感个人信息的处理应当在充分保护个人生命安全的前提下进行。

　　（二）财产安全对个人的重要性

　　《宪法》第13条第1款规定：“公民的合法的私有财产不受侵犯。”《民法典》第113条规定：“民事主体的财产权利受法律平等保护。”“若民，则无恒产，因无恒心。”保护个人财产的恒定与安全，是法治的基础，也是整个社会存在的基础。当敏感个人信息被泄露或者非法使用，进而导致个人财产遭受侵害时，敏感个人信息在其中仅起到媒介或者手段的作用，直接造成个人财产损失的往往是他人实施的侵害行为。但是，敏感个人信息的不当处理可能大幅提高个人财产遭受他人侵害的可能性，使得个人的财产安全面临严重威胁。为了保护个人财产不受侵害，法律应当强化对敏感个人信息的保护，赋予个人对其敏感个人信息更强的控制力。

　　（三）人格尊严对个人的重要性

　　《宪法》第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”《民法典》第109条规定：“自然人的人身自由、人格尊严受法律保护。”人格尊严是自然人作为法律上的“人”应当受到的基本礼遇和尊重。人格尊严要求将人视为价值，以保有人的精神本质构成为终极目标，否认与排斥任何削弱与贬损人的精神完整性，及有损人格发展的行为。敏感个人信息与个人的人格尊严高度相关，因此处理敏感个人信息应当符合更为严格的条件。一方面，处理者应当防止其自身的处理活动得出有损个人人格尊严的结果；另一方面，处理者也应当防止敏感个人信息被泄露或者非法使用，避免个人的人格尊严遭受侵害。

　　（四）强化对未成年人的个人信息保护的特殊意义

　　依照《未成年人保护法》第4条的规定，处理涉及未成年人事项，应当给予未成年人特殊、优先保护，尊重未成年人人格尊严，保护未成年人隐私权和个人信息，以及适应未成年人身心健康发展的规律和特点。基于此，《未成年人保护法》第72条和《个人信息保护法》第31条对未成年人个人信息的处理作出了特别规定。原因在于，未成年人心智尚未成熟，其个人信息一旦被泄露或者非法使用，容易对其人格的健康、自由发展产生不利影响。在个人信息处理活动中，未成年人没有足够的认识能力和控制能力，也缺乏足够的自我保护能力，其权益无疑更容易受到侵害，在个人信息保护与利用方面，更应为未成年人提供特殊保护。对于未成年人的保护，家庭承担着首要、特殊的职责，未成年人的父母或者其他监护人应当依法履行其保护职责。《民法典》第34条第1款规定：“监护人的职责是代理被监护人实施民事法律行为，保护被监护人的人身权利、财产权利以及其他合法权益等。”因此，在未成年人的个人信息保护中，应当充分发挥未成年人的父母以及其他监护人的重要作用。

　　四、强化敏感个人信息保护的法律规则

　　（一）处理敏感个人信息的前提：特定目的、充分的必要性以及严格保护措施

　　《个人信息保护法》第28条第2款规定：“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。”所谓特定目的，是指某一具体且确定的目的，这一要求与《个人信息保护法》第6条所规定的“明确、合理的目的”相比而言更高。例如，处理者如基于疫情防控目的处理个人的生物识别信息等敏感个人信息，则处理者不得将此等敏感个人信息用于其他与疫情防控无关的处理目的。

　　即使是诸如日常公共管理等其他与公共利益相关的处理目的，也不能为处理者的后续处理活动提供合法性基础。所谓充分的必要性，是指对于处理敏感个人信息之必要性的判断应当更加谨慎。例如，在小区门禁管理的场景下，物业服务企业收集并保存业主或者物业使用人的姓名、手机号码等一般个人信息的行为通常符合必要原则的要求，但其将人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式的行为则违反了必要原则，业主或者物业使用人有权拒绝并要求其提供替代措施。

　　所谓严格保护措施，是指处理者应当采取与一般个人信息处理相比更为充分的保护措施，以保障其所处理的敏感个人信息的安全，包括事前进行个人信息保护影响评估、制定相应内部管理制度和操作规程、提高敏感个人信息处理的操作权限、制定并组织实施敏感个人信息安全事件应急预案、以及对敏感个人信息作去标识化、匿名化处理等。

　　（二）处理敏感个人信息的必要条件

　　《个人信息保护法》第29条规定：“处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。”《个人信息保护法》第13条第1款第1项所规定的个人同意，既包括概括同意，也包括单独同意，前者指个人针对不特定种类个人信息的处理统一作出的同意，后者指个人针对某一特定种类个人信息的处理作出的独立的、不与其他个人信息相混同的同意。

　　为了强化一般个人信息的利用，个人可以对一般个人信息的处理统一作出概括同意，从而降低取得个人同意环节的沟通成本；为了强化敏感个人信息的保护，法律要求处理者处理敏感个人信息只能基于个人的单独同意。单独同意可以对个人进行提示，避免其敏感个人信息在其没有充分认知的情况下被处理，并促使个人慎重考虑同意处理所可能带来的后果，增强个人对其敏感个人信息的实际控制力。

　　（三）处理敏感个人信息应尽的义务

　　《个人信息保护法》第30条规定：“个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。”

　　依照《个人信息保护法》第17条第1款的规定，处理者在处理个人信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知：1. 处理者的名称或者姓名和联系方式；2. 个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；3. 个人行使本法规定权利的方式和程序；4. 法律、行政法规规定应当告知的其他事项。该条款规定的事项属于处理个人信息如无例外均应当告知的事项，在处理敏感个人信息的情形自然也应当告知。

　　此外，敏感个人信息的处理可能显著地增进个人利益或者公共利益（充分的必要性），但同时也可能给个人的人格尊严以及人身、财产安全带来一定影响。因此，处理者还应当告知处理敏感个人信息的必要性以及对个人权益的影响，协助个人清楚地了解处理敏感个人信息的利弊，为个人作出自主决定提供前提条件。

　　但是，依照《个人信息保护法》第18条第1款以及第35条的规定，有法律、行政法规规定应当保密或者不需要告知的情形的，或者在国家机关处理敏感个人信息的情形，告知将妨碍国家机关履行法定职责的，处理者可以不向个人告知前述事项。

　　（四）未成年人个人信息的处理规则

　　《个人信息保护法》第31条规定：“个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。”

　　依照《未成年人保护法》第16条的规定，未成年人的父母或者其他监护人应当履行为未成年人提供生活、健康、安全等方面的保障的义务。处理未成年人的个人信息可能给未成年人的权益带来一定影响，处理者在处理前，理应取得其监护人的同意。为了实现对未成年人的特殊、优先保护，处理者还应当建立专门的个人信息处理规则。例如，处理者应当对未成年人个人信息单独归类并进行相应管理，建立便于未成年人及其监护人行使个人权利的机制（尤其是更正、删除权，《未成年人保护法》第72条第2款），将未成年人个人信息的处理限于有利于未成年人生活、成长等特定目的。