本报简介敏感个人信息处理的规范化及法治保障
8月9日,全国信息安全标准化技术委员会发布《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》(以下简称《安全要求》),向社会公开征求意见,在国家标准层面对个人信息保护法中关于敏感个人信息保护的安全要求进行细化,为相关实践提供规范化指引。
敏感个人信息的内涵、类型及识别
《安全要求》对《中华人民共和国个人信息保护法》第二十八条第一款列举的敏感个人信息的内涵、具体类别和典型示例进一步明确。如何界定敏感个人信息,是敏感个人信息特殊保护的首要问题。《中华人民共和国个人信息保护法》第二十八条第一款规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。这里对敏感个人信息进行非穷尽式列举,旨在凸显重要的敏感个人信息,为相关实践提供明确指引,并不意味着限定了敏感个人信息的具体类型。《安全要求》在常见敏感个人信息类别界定中,明确指出除个人信息保护法所明确列举的敏感个人信息外,还存在其他应作为敏感个人信息予以保护的信息。这为敏感个人信息的保护提供了准确的范围界定。
换言之,在实践中,必须结合个人信息保护法对敏感个人信息的定义,具体识别出那些“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。基于敏感个人信息的可识别性标准,即使不涉及上述常见敏感个人信息的直接泄露或非法使用,若个人信息能够在技术上被汇聚融合,并对个人权益产生重大影响,也应被视为敏感个人信息。这在《安全要求》中有明确体现,并形成了整体性判断标准。但仍需进一步研究,如何提高敏感信息识别的具象性和可操作性。
敏感个人信息处理的一般及特殊安全要求
根据个人信息保护法规定,个人信息处理者处理敏感个人信息,必须同时满足目的限制、最小必要和安全保护这三大原则,即“具有特定的目的和充分的必要性,并采取严格保护措施”,并取得个人的单独同意或书面同意;处理不满14周岁未成年人个人信息,须取得其父母或监护人的同意,并制定专门规则;应当遵守法律、行政法规规定的其他限制条件。此外,个人信息处理者还必须履行事前影响评估等敏感个人信息处理义务。《安全要求》在此基础上进行了更细致的规定。
在敏感个人信息收集和处理过程中,贯彻落实告知同意原则是敏感个人信息处理法治化的核心。对此,《安全要求》进一步明确收集敏感个人信息前应采用增强告知形式,如以单独弹窗、短信、填写框、动画、转至单独提示界面等方式告知个人信息主体。若利用App持续收集敏感个人信息(如录音、录像、连续的位置轨迹),则应提供持续提示或间隔提示机制。同时,若基于个人同意处理敏感个人信息,则需取得个人信息主体的单独同意,并在特定场景下根据法律法规要求取得个人信息主体的书面同意(如人类遗传资源采集、个人征信查询、向第三方提供信贷信息以及房地产经纪服务中提供房地产交易相关信息等场景)。《安全要求》提供处理敏感个人信息取得个人书面同意模板作为参考;对告知同意过程中的其他具体细节(如同意的撤回)作了规定。需要注意的是,并非在所有情形下,敏感个人信息的收集和处理,均需遵循告知同意原则。个人信息保护法也规定了个人信息合理使用的情形,但《安全要求》并未对此问题作出明确回应。建议考虑增加相关细节,提高可操作性。
在上述基础上,《安全要求》明确敏感个人信息处理过程中的安全保护要求和安全管理要求,以增强敏感个人信息处理的规范性。例如,明确了敏感个人信息的加密和访问限制,敏感个人信息展示界面的保护功能添加、应用及API资产清单的定期梳理和审计工作,敏感个人信息处理的监测分析及预警响应机制,敏感个人信息过期自动删除机制,敏感个人信息的分类管理、安全管理策略的建立、数据安全能力的要求、数据跨境的风险评估等。此外,《安全要求》还针对七类常见敏感个人信息的处理提出了特殊安全要求,包括生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息及不满十四周岁未成年人信息。这将有助于严格防范特定类型的敏感个人信息泄露和滥用,并防范未满十四周岁未成年人的个人信息泄露风险。
敏感个人信息处理的法治化保障路径
尽管我国有关个人信息的法律体系已初具规模,但关于敏感个人信息的处理,仍需进一步以法治化来提供完整保障。虽然《安全要求》进一步明确了敏感个人信息处理的规范性要求,但仍需针对实践中信息处理环节敏感个人信息的泄露和滥用,探索进一步的争议解决方案和救济途径。这要求有针对性地构建法治化保障路径。
首先,就敏感个人信息的侵权救济而言,民事手段具有便利性,《中华人民共和国民法典》第一千零三十八条也对此作了规定。其次,涉及平台型企业未能履行敏感个人信息处理要求时,也存在行政法介入的空间。例如,涉及敏感个人信息跨境流动以及政府部门的相关敏感个人信息处理时,均需探索行政法手段的介入途径。最后,敏感个人信息的不当处理,不仅可能对个体的人格尊严、信息主体权益、人身安全和财产安全构成严重威胁,还可能成为各类人身犯罪、财产犯罪和网络犯罪的重要环节,因而刑法保护至关重要。在这方面,现行刑法中关于侵犯公民个人信息罪的规定还需进一步完善。《中华人民共和国刑法》第二百五十三条之一将侵犯公民个人信息的行为方式限定为出售和提供行为,而并未将敏感个人信息的滥用或不当处理纳入刑法规制范围。这意味着刑法学者迫切需要研究能否在刑法解释学层面将个人信息滥用(尤其是敏感个人信息的滥用行为)纳入刑法调整范围,完善相关司法解释,或者通过刑法修正完善侵犯公民个人信息罪的罪状。
(作者单位:大连海事大学法学院)