張凱旋 律師、黃郁婷 顧問[1]
2021年11月1日,《個人信息保護法》開始施行,該法規從個人信息的處理、個人信息的跨境提供、個體對於個人信息的權利、個人信息處理者的義務等方面規定了個人信息的保護。《個人信息保護法》也對敏感個人信息的處理做了專門的規定。本文以下針對該法中關於敏感個人信息的處理規定簡單說明。
一、敏感個人信息的定義及常見類型
根據《個人信息保護法》第28條的規定,敏感個人信息指的是一旦洩露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融帳戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
除《個人信息保護法》外,國家市場監督管理總局及國家標準化管理委員會發布的《信息安全技術——個人信息安全規範》(下稱“《安全規範》”)中,亦對敏感個人信息進行了類似的定義,並給出了更為詳細的舉例如下,可供參考以便解釋《個人信息保護法》下的敏感個人信息範圍:
表B.1 個人敏感信息舉例
| 個人財產信息 | 銀行帳戶、鑒別信息(口令)、存款信息(包括資金數量、支付收款記錄等)、房產信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等,以及虛擬貨幣、虛擬交易、遊戲類兌換碼等虛擬財產信息 |
| 個人健康生理信息 | 個人因生病醫治等產生的相關記錄,如病症、住院志、醫囑單、檢驗報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現病史、傳染病史等 |
| 個人生物識別信息 | 個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特徵等 |
| 個人身份信息 | 身份證、軍官證、護照、駕駛證、工作證、社保卡、居住證等 |
| 其他信息 | 性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內容、通訊錄、好友清單、群組列表、行蹤軌跡、網頁流覽記錄、住宿信息、精准定位信息等 |
二、對處理敏感個人信息的要求
個人信息處理者處理敏感個人信息的,(1)應當具有特定的目的和充分的必要性;(2)在事前進行個人信息保護影響評估;(3)採取嚴格保護措施;(4)並對處理情況進行記錄。
《個人信息保護法》對敏感個人信息規定了特殊的“告知—同意”規則:
(一) 單獨同意:處理敏感個人信息應當取得個人的單獨同意,如果法律、行政法規特別規定處理敏感個人信息應當取得書面同意的,從其規定。
(二) 額外告知:處理敏感個人信息的,除《個人信息保護法》第十七條第一款規定的處理一般個人信息應告知的事項外,敏感個人信息處理者還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響。
(三) 未成年人的同意取得方式:個人信息處理者處理不滿十四周歲未成年人個人信息的,應當取得未成年人的父母或者其他監護人的同意,並應當制定專門的個人信息處理規則。
三、企業處理敏感個人信息時的應注意事項
《個人信息保護法》除規範一般個人信息的處理外,也給處理敏感個人信息的處理者附加了更高的要求,要求企業在必要的情況下才能對敏感個人信息進行處理,企業應從以下幾個角度對敏感個人信息處理的合規性進行審視和調整:
(一) 準確識別,特殊管理
企業在處理個人信息前,需先對個人信息的性質進行識別,判定需處理的信息是否屬於敏感個人信息,判定標準可以按照《個人信息保護法》第28條定義的原則,並可參考《安全規範》所舉出的常見敏感個人信息。同時,因未滿14周歲的未成年人的個人信息均屬於敏感個人信息,企業還需要對信息主體的年齡進行識別。
(二) 充分告知,單獨同意
在處理敏感個人信息前的告知上,除應當告知處理者的名稱或者姓名和聯繫方式,處理目的、處理方式,處理的個人信息種類、保存期限,行使權利的方式和程序等一般告知事項外,還應當告知處理敏感個人信息的必要性以及對個人權益的影響。
在處理敏感個人信息前的同意上,企業還應設置單獨的同意機制,而不能與一般個人信息一同取得個體的同意。在處理未滿14周歲的未成年人信息上,企業還應設計徵得父母或監護人同意的特別機制。
(三) 評估影響,保存記錄
作為個人信息處理者的企業應建立健全的個人信息處理機制,如處理信息涉及敏感個人信息的,應當特別針對個人信息處理的目的、方式、對個人權益的影響、安全風險、保護措施等進行評估,並妥善保存評估記錄和處理情況至少三年時間。
[1] 作者为上海理慈律师事务所律师与顾问,惟本文内容为个人意见,不代表事务所立场。