大陆个人信息保护法专题文章(六)—《个人信息保护法》下敏感个人信息的处理要求及建议(中国大陆)

张凯旋 律师、黃郁婷 顾问[1]

2021年11月1日,《个人信息保护法》开始施行,该法规从个人信息的处理、个人信息的跨境提供、个体对于个人信息的权利、个人信息处理者的义务等方面规定了个人信息的保护。《个人信息保护法》也对敏感个人信息的处理做了专门的规定。本文以下针对该法中关于敏感个人信息的处理规定简单说明。

一、敏感个人信息的定义及常见类型

根据《个人信息保护法》第28条的规定,敏感个人信息指的是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

除《个人信息保护法》外,国家市场监督管理总局及国家标准化管理委员会发布的《信息安全技术——个人信息安全规范》(下称“《安全规范》”)中,亦对敏感个人信息进行了类似的定义,并给出了更为详细的举例如下,可供参考以便解释《个人信息保护法》下的敏感个人信息范围:

表B.1 个人敏感信息举例

个人财产信息 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息
个人健康生理信息 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等
个人生物识别信息 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等
个人身份信息 身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等
其他信息 性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等

二、对处理敏感个人信息的要求

个人信息处理者处理敏感个人信息的,(1)应当具有特定的目的和充分的必要性;(2)在事前进行个人信息保护影响评估;(3)采取严格保护措施;(4)并对处理情况进行记录。

《个人信息保护法》对敏感个人信息规定了特殊的“告知—同意”规则:

(一) 单独同意:处理敏感个人信息应当取得个人的单独同意,如果法律、行政法规特别规定处理敏感个人信息应当取得书面同意的,从其规定。

(二) 额外告知:处理敏感个人信息的,除《个人信息保护法》第十七条第一款规定的处理一般个人信息应告知的事项外,敏感个人信息处理者还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。

(三) 未成年人的同意取得方式:个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意,并应当制定专门的个人信息处理规则。

三、企业处理敏感个人信息时的应注意事项

《个人信息保护法》除规范一般个人信息的处理外,也给处理敏感个人信息的处理者附加了更高的要求,要求企业在必要的情况下才能对敏感个人信息进行处理,企业应从以下几个角度对敏感个人信息处理的合规性进行审视和调整:

(一) 准确识别,特殊管理

企业在处理个人信息前,需先对个人信息的性质进行识别,判定需处理的信息是否属于敏感个人信息,判定标准可以按照《个人信息保护法》第28条定义的原则,并可参考《安全规范》所举出的常见敏感个人信息。同时,因未满14周岁的未成年人的个人信息均属于敏感个人信息,企业还需要对信息主体的年龄进行识别。

(二) 充分告知,单独同意

在处理敏感个人信息前的告知上,除应当告知处理者的名称或者姓名和联系方式,处理目的、处理方式,处理的个人信息种类、保存期限,行使权利的方式和程序等一般告知事项外,还应当告知处理敏感个人信息的必要性以及对个人权益的影响。

在处理敏感个人信息前的同意上,企业还应设置单独的同意机制,而不能与一般个人信息一同取得个体的同意。在处理未满14周岁的未成年人信息上,企业还应设计征得父母或监护人同意的特別机制。

(三) 评估影响,保存记录

作为个人信息处理者的企业应建立健全的个人信息处理机制,如处理信息涉及敏感个人信息的,应当特別針對个人信息处理的目的、方式、对个人权益的影响、安全风险、保护措施等进行评估,并妥善保存评估记录和处理情况至少三年时间。


[1] 作者为上海理慈律师事务所律师与顾问,惟本文内容为个人意见,不代表事务所立场。