韓旭至

一、問題與方法

針對敏感個人信息處理的多種告知同意理論模型已為立法所揚棄。例如，不少學者主張，信息處理者應在清晰、明確告知后獲得信息主體的明示同意，(1)參見呂炳斌：《個人信息保護的“同意”困境及其出路》，載《法商研究》2021年第2期，第87-101頁；田野、張晨輝：《論敏感個人信息的法律保護》，載《河南社會科學》2019年第7期，第43-49頁。并構(gòu)建相應的同意撤回機制。(2)參見萬方：《個人信息處理中的“同意”與“同意撤回”》，載《中國法學》2021年第1期，第167-188頁。在我國《個人信息保護法》中，這些關(guān)于敏感個人信息告知同意的特殊主張已經(jīng)升格為告知同意的一般要求。值得辨析的是，主張結(jié)合信息處理的具體場景、處理目的、處理方式進行動態(tài)分析的場景理論能否直接用于解釋敏感個人信息處理的告知同意規(guī)范。在敏感個人信息的界定中，即有學者主張“兼顧敏感個人信息利用的情景、目的”。(3)張勇：《敏感個人信息的公私法一體化保護》，載《東方法學》2022年第1期，第69頁。針對敏感個人信息處理的告知同意，又形成了分層同意、動態(tài)同意的理論，主張“從整齊劃一的同意向基于信息分類、場景化風險評估的分層同意轉(zhuǎn)變，從一次性同意向持續(xù)的信息披露與動態(tài)同意轉(zhuǎn)變”。(4)田野：《大數(shù)據(jù)時代知情同意原則的困境與出路——以生物資料庫的個人信息保護為例》，載《法制與社會發(fā)展》2018年第6期，第111頁。

場景理論與我國敏感個人信息保護的制度邏輯存在沖突。一方面，場景理論被大量誤讀，成了“具體問題具體分析”的代名詞。尼森博姆(Helen Nissenbaum)所提出的“情境完整性理論”，旨在從社群規(guī)范的角度對美國法中的隱私概念進行解構(gòu)。(5)Helen Nissenbaum, Privacy in Context: Technology, Policy, and the Integrity of Social Life, Stanford University Press, 2009, pp.149-150.直接適用場景理論將與我國敏感個人信息的法律界定相沖突。根據(jù)《個人信息保護法》第28條第1款，敏感個人信息的風險判斷存在確定的前提，即“一旦泄露或者非法使用”，此時具體的信息處理場景已不再相關(guān)，其關(guān)注的是信息脫離原處理場景后所對應的“高概率權(quán)益受侵害可能”。另一方面，分層同意、動態(tài)同意的基本邏輯不符合我國法律規(guī)定?！秱€人信息保護法》中的同意是一種擇入機制(opt-in)，分層或動態(tài)地適用“擬制同意”“有條件的寬泛同意+退出權(quán)”的擇出機制(opt-out)不符合同意的法定要求。(6)個人信息保護法并不排斥擇出機制。例如，其第27條處理公開個人信息的規(guī)定就采取了擇出機制：一方面基于無須個人同意的合法性基礎(chǔ)處理個人信息，另一方面賦予個人拒絕權(quán)。該種擇出機制不可亦無法用以解釋同意。在解釋論意義上，區(qū)分敏感個人信息與一般個人信息，對應不同的告知同意要求，是立法所唯一認可的告知同意分類方式。(7)本文并不否認，在“具體問題具體分析”的意義上，告知同意的內(nèi)容與形式的判斷事實上確實需要結(jié)合具體場景進行。無論是個人信息的處理目的、處理方式，處理的個人信息種類、保存期限，還是信息處理的必要性與對個人權(quán)益影響的告知事項，均需要信息處理者根據(jù)客觀的具體情況進行告知，在此基礎(chǔ)上，信息主體方可針對告知的內(nèi)容進行具體的同意。然而，難以直接適用場景理論解釋敏感個人信息處理的告知同意規(guī)范的原因在于，場景理論并不會對敏感個人信息告知同意規(guī)范的整體適用邏輯產(chǎn)生影響，不會因為不同場景而存在不一樣的告知同意標準。

必須回到條文的規(guī)范目的，以探尋恰當?shù)慕忉屄窂?。敏感個人信息處理的同意規(guī)定在《個人信息保護法》第29條之中。該條的規(guī)范目的在于強化個人對敏感個人信息處理的認知與控制，從而最終實現(xiàn)對敏感個人信息的充分保護。敏感個人信息處理的同意與一般個人信息處理的同意相區(qū)分，將起到警示的作用，使得信息主體充分認識到敏感個人信息處理的情況。(8)參見程嘯：《個人信息保護法理解與適用》，中國法制出版社2021年版，第273頁。此時，信息主體可以只同意處理一般個人信息，而不對敏感個人信息處理表示同意，亦更加尊重了信息主體的決定權(quán)。另外，單獨同意實際上提高了信息處理者的義務要求。實踐中，每一次同意彈窗的出現(xiàn)均會使得企業(yè)流失一定客戶。由于《個人信息保護法》關(guān)于同意的一般規(guī)則已屬于明示同意，為更好地保護與自然人人格尊嚴以及人身、財產(chǎn)安全息息相關(guān)的敏感個人信息，法律規(guī)定了單獨同意、書面同意的更高要求。

敏感個人信息處理的告知則規(guī)定于《個人信息保護法》第30條。該條的規(guī)范目的則在于實現(xiàn)公開、透明原則，保障信息主體的知情權(quán)，使得信息主體在獲得充分告知的前提下作出同意的決定。(9)參見龍衛(wèi)球主編：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021年版，第145頁。告知作為“信息處理者的一種公法上的義務”，目的是確保同意這種“私法上個人信息自決權(quán)益”的行使。(10)同注②，第168頁。尤其是關(guān)于必要性以及對個人權(quán)益影響的告知事項，更是有助于個人全盤考慮、充分衡量利弊得失后作出決策。即便處理敏感個人信息的合法性基礎(chǔ)為同意以外的其他法定事由，特殊的告知規(guī)定也能起到提高個人警惕、加強防備的作用。(11)參見張新寶主編：《〈中華人民共和國個人信息保護法〉釋義》，人民出版社2021年版，第252頁。

此外，《個人信息保護法》第1條載明了“保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用”的立法目的。從比較法來看，我國關(guān)于敏感個人信息處理的告知同意規(guī)定較為嚴苛。例如，我國關(guān)于告知的一般要求已經(jīng)涵蓋了美國伊利諾伊州《生物識別信息隱私法》(BIPA)第15條特別列舉的所有告知事項。(12)BIPA第15條規(guī)定，信息處理者必須制定書面的信息保護政策并公開此政策；在信息處理前，應向信息主體告知相關(guān)信息收集或存儲的狀態(tài)、具體目的和期限。單獨同意、書面同意的要求顯然亦強于歐盟《通用數(shù)據(jù)保護條例》(GDPR)第9條第2款第a項中的明確同意要求。(13)GDPR第9條第2款第a項中敏感個人信息處理的同意，不僅必須滿足該法第7條關(guān)于有效同意的規(guī)定，而且信息主體的同意還必須是在信息處理者明確告知將對特定的敏感個人信息進行處理后作出的。See Paul Voigt, Axel von dem Bussche, The EU General Data Protection Regulation (GDPR): A Practical Guide, Springer, 2017, p.112.個人信息保護切不可以禁錮信息流動為代價。敏感個人信息保護規(guī)范的解釋適用必須平衡敏感個人信息保護與信息合理利用的關(guān)系。

在上述認識下，本文將以法教義學的立場對《個人信息保護法》第29條、第30條進行分析，以進一步厘清三大基本問題：一是兩個特殊告知事項的規(guī)范內(nèi)涵，即信息處理者應如何履行處理敏感個人信息的特殊告知義務。二是敏感個人信息處理的單獨同意與書面同意的實現(xiàn)路徑，即針對處理敏感個人信息的同意在內(nèi)容、對象、方式上的要求。三是敏感個人信息告知同意的法律限度，即何時能排除告知同意，何種情形中取得告知同意亦可能構(gòu)成違法處理敏感個人信息。

二、特殊告知事項的規(guī)范內(nèi)涵

必要性與對個人權(quán)益影響兩項內(nèi)容是《個人信息保護法》第30條在該法第17條第1款所規(guī)定的5項告知事項外，針對處理敏感個人信息規(guī)定的特殊告知事項。其中，必要性的告知與敏感個人信息處理的必要性要求緊密相連，應展示個人信息處理與提供相關(guān)具體的服務/功能之間的必然聯(lián)系。對個人權(quán)益影響的告知應根據(jù)個人信息保護影響評估的結(jié)果進行，并充分考慮泄露或者非法使用的可能后果、信息處理的應用場景/行業(yè)、信息處理者的信息收集能力/成本等具體因素。

(一)特殊告知事項之一：處理的必要性

必要性的告知要求來源于必要原則。強調(diào)必要性告知展現(xiàn)了基于“告知同意”處理敏感個人信息的特殊邏輯結(jié)構(gòu)，即不能通過“告知同意”處理沒有必要的敏感個人信息。對于一般個人信息而言，信息處理者若希望處理與業(yè)務功能有關(guān)的非必要信息，則必須告知用戶并獲得其同意?！禔pp違法違規(guī)收集使用個人信息自評估指南》第26段即指出，“當App運營者收集的個人信息超出必要信息范圍時，應向用戶明示所收集個人信息目的并經(jīng)用戶自主選擇同意”。此時，告知同意是處理非必要個人信息唯一可行的合法性基礎(chǔ)。然而，對于敏感個人信息而言，《個人信息保護法》第28條第2款明確指出“特定的目的和充分的必要性”本身就是信息處理者合法處理的重要前提。強調(diào)必要性的告知，絕不意味著可以以“告知同意”為由，在沒有達到充分必要性前提之時處理敏感個人信息。

告知處理敏感個人信息的必要性，顯然要求信息處理者先自行對必要性進行評估，但這并不意味著將必要性充分與否的判斷權(quán)交給信息處理者來自行決定。多年前，基于隱私權(quán)的保護邏輯，部分法院在未對用人單位是否屬于特殊行業(yè)進行分析的情況下，直接判定用人單位在入職體檢中獲取應聘者是否攜帶乙肝病毒、是否具有基因缺陷等健康信息的行為因未泄露信息而合法。(14)參見重慶市渝北區(qū)人民法院(2009)渝北法民初字第2897號民事判決書；唐夢：《基因歧視第一案原告一審敗訴》，載《南方日報》2010年6月4日，第A13版。實際上，此舉起到了將健康信息獲取的必要性交由用人單位自行判斷的效果。在《個人信息保護法》的規(guī)范中，相關(guān)判決值得重新反思。個人信息處理的必要性是客觀的。理論上，為實現(xiàn)《個人信息保護法》第28條第2款“充分的必要性”的要求，敏感個人信息處理受比例原則的約束，相關(guān)信息處理“應當保持最大的克制”。(15)同注，第235頁。用人單位必須清晰地向勞動者告知其基于何種正當理由，必須獲取勞動者的何種健康信息。若個人在收到必要性的告知后認為相關(guān)個人信息處理沒有必要或必要性并不充分，就可以不同意相關(guān)信息處理，從而充分保障個人的知情權(quán)、決定權(quán)。對于信息處理者而言，其在履行必要性告知義務的時候，亦必須對處理敏感個人信息的必要性有清晰的認識。

簡單來講，敏感個人信息處理的必要性要求“收集敏感個人信息對于實現(xiàn)特定的處理目的是極為必要”。(16)同注⑧，第276頁。若不進行相關(guān)處理，信息處理者將無法提供相關(guān)服務，或無法履行相關(guān)法律義務、保護相關(guān)正當利益。以提供相關(guān)服務的必要性為例，可依據(jù)《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》進行判定。根據(jù)該規(guī)定第3條，“必要個人信息，是指保障App基本功能服務正常運行所必需的個人信息，缺少該信息App即無法實現(xiàn)基本功能服務。具體是指消費側(cè)用戶個人信息，不包括服務供給側(cè)用戶個人信息”。該規(guī)定第5條更是進一步詳細規(guī)定了39類常見類型App的必要個人信息范圍。

必要性的告知也需要符合《個人信息保護法》第17條第1款“清晰易懂”“真實、準確、完整”的要求。因此，必要性的告知不能是“若無敏感個人信息，則無法提供相關(guān)服務”的簡單聲明。必要性的告知至少應展示敏感個人信息處理與提供相關(guān)具體的服務/功能之間的邏輯關(guān)系，并對必要性進行分析。已有學者從“數(shù)據(jù)生命周期”的角度對必要性的告知要求進行描述指出，收集時需指明為實現(xiàn)合法、特定的目的，該信息處理方案是充足、相關(guān)且不過量的，并不存在其他可替代的對個人影響更小的方式；存儲時需告知處理目的之達成能否無須存儲信息、能否利用匿名化信息、能否存儲更短的時間；公開時需說明不公開、脫敏公開、一定范圍內(nèi)公開等方式均不足以實現(xiàn)處理目的。(17)同注，第252-253頁。唯有如此，方可向個人充分展示信息處理的必要性。

(二)特殊告知事項之二：對個人權(quán)益的影響

《個人信息保護法》第28條第1款從“容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害”的角度對敏感個人信息進行界定，高度關(guān)注處理敏感個人信息對個人權(quán)益的影響。對個人權(quán)益的影響的范圍廣泛。一方面，個人權(quán)益包含了所有法律上認可的權(quán)益，既包括私法上的人身、財產(chǎn)權(quán)益，也包括公法上的人格尊嚴和人身自由等基本權(quán)利；另一方面，影響也包括了現(xiàn)實存在的影響以及可能帶來的不利后果?！度祟愡z傳資源管理條例》第12條第1款、《征信業(yè)管理條例》第14條第2款、“公共及商用服務信息系統(tǒng)個人信息保護指南”(GB/Z 28828-2012)第5.2.2條即分別就不同情形提出了告知“對健康可能產(chǎn)生的影響、個人隱私保護措施”“提供該信息可能產(chǎn)生的不利后果”“提供個人信息后可能存在的風險”以及“個人信息主體不提供個人信息可能出現(xiàn)的后果”等要求。

具體而言，信息處理者應根據(jù)個人信息保護影響評估的結(jié)果，向信息主體履行相關(guān)告知義務。根據(jù)《個人信息保護法》第55條的規(guī)定，處理敏感個人信息，個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄。又根據(jù)《個人信息保護法》第56條，“對個人權(quán)益的影響及安全風險”本身就是個人信息保護影響評估應當包括的重要內(nèi)容。參照“個人信息安全影響評估指南”(GB/T 39335-2020)的規(guī)定，可從“影響個人自主決定權(quán)”“引發(fā)差別性待遇”“個人名譽受損和遭受精神壓力”“個人財產(chǎn)受損”四個維度，對個人信息主體的權(quán)益進行影響程度評價，并將影響程度分為“嚴重”“高”“中”“低”四個等級。例如，健康生理信息的泄露、濫用等可能會對個人生理、心理產(chǎn)生較嚴重的影響。此外，結(jié)合《個人信息保護法》第28條第1款敏感個人信息的定義，更應從泄露或者非法使用的角度進一步判斷對個人權(quán)益的影響。信息處理者必須全面、詳盡地向個人告知相關(guān)影響。

值得注意的是，對個人權(quán)益的影響亦必須結(jié)合應用場景/行業(yè)、信息處理者的信息收集能力/成本等具體因素進行具體判斷。不同的應用場景中，處理敏感個人信息所產(chǎn)生的影響大不相同。隨著信息處理技術(shù)的發(fā)展與信息處理能力的提升，即便是匿名信息亦可能轉(zhuǎn)化為個人信息。此外，與必要性的告知一致，個人權(quán)益影響的告知亦需要符合《個人信息保護法》第17條第1款的基本要求，在此不再贅述。

(三)特殊的告知形式

告知的形式要求，有助于解決信息不對稱問題，使得信息主體能有效閱讀、理解相關(guān)內(nèi)容。(18)同注①，呂炳斌文，第87-101頁。地方立法、國家標準以及其他規(guī)范性文件對敏感個人信息處理的告知形式通常規(guī)定為“更加顯著或突出”。例如，《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》第14條第2款規(guī)定，處理敏感個人數(shù)據(jù)應“以更加顯著的標識或者突出顯示的形式告知”。參照《App違法違規(guī)收集使用個人信息自評估指南》第8點，“顯著標識”即“字體加粗、標星號、下劃線、斜體、顏色等”。2020年，浙江省杭州市余杭區(qū)人民檢察院針對某短視頻App“未以顯著、清晰的方式告知并征得兒童監(jiān)護人明示同意的情況下，允許兒童注冊賬號”，并收集相關(guān)兒童個人信息的行為，提起了民事公益訴訟，最終調(diào)解結(jié)案。(19)參見最高人民檢察院第三十五批指導性案例：“浙江省杭州市余杭區(qū)人民檢察院對北京某公司侵犯兒童個人信息權(quán)益提起民事公益訴訟案”(檢例第141號)。

雖然，《個人信息保護法》并未直接對敏感個人信息告知的形式進行規(guī)定，但結(jié)合敏感個人信息同意的特殊規(guī)定可知，應區(qū)分基于同意處理敏感個人信息的告知與基于其他合法性基礎(chǔ)處理敏感個人信息的告知?；谄渌戏ㄐ曰A(chǔ)處理敏感個人信息的，更加顯著或突出的告知可以滿足形式要求?；谕馓幚砻舾袀€人信息的告知，應是一種與單獨同意對應的單獨告知。若僅僅采取突出顯示的告知方式，一是較難實現(xiàn)單獨同意，二是將“降低制度實效，與立法初衷相違”。(20)同注，第254頁。此時，更加顯著或突出的要求已經(jīng)升級為單獨告知的要求，即將處理敏感個人信息與一般個人信息的告知相獨立，單獨告知所處理的敏感個人信息內(nèi)容，而不能采取一攬子的告知同意方式。

在被稱為“人臉識別第一案”的“郭某訴杭州野生動物世界案”中，郭某的第一項訴訟請求即確認采集敏感個人信息的相關(guān)店堂告示內(nèi)容無效。一審法院根據(jù)《合同法》《消費者權(quán)益保護法》認為，“店堂告示以醒目的文字告知購卡人需要提供包括指紋在內(nèi)的部分個人信息”，“未作出排除或者限制消費者權(quán)利、減輕或者免除經(jīng)營者責任、加重消費者責任等對消費者不公平、不合理的規(guī)定”，不屬于無效內(nèi)容。二審法院亦認為，郭某“知情后同意辦理指紋年卡，其選擇權(quán)并未受到限制”。(21)杭州市中級人民法院(2020)浙01民終10940號民事判決書。盡管該案審理時《個人信息保護法》尚未出臺，但不妨礙對案件進行重新分析。如前所述，該案中因店堂告示處理敏感個人信息的告知內(nèi)容與其他內(nèi)容相混雜，簡單的突出顯示無法滿足單獨告知的形式要求。在告知的內(nèi)容上，案涉店堂告示亦未對《個人信息保護法》第17條、第30條列舉的7個事項進行全面告知。因此，若當下對類似案件進行審理，將得出全然不同的結(jié)論。此外，對告知事項進行審查的重要意義還在于，在告知同意的框架中，不履行告知義務的直接后果是，信息主體所作出的同意無效。根據(jù)《個人信息保護法》第14條，有效的同意“應當由個人在充分知情的前提下自愿、明確作出”，告知的無效必將導致同意因不滿足充分知情的前提而無效。

具體而言，信息處理者可通過特定交互界面或設計有效實現(xiàn)單獨告知。參照“App個人信息安全測評規(guī)范(征求意見稿)”第6.5.2.3.1點、“App個人信息安全防范指引(征求意見稿)”第6.1.4.2.1點，敏感個人信息的單獨告知可采取單獨的彈窗、界面、提示條、提示音等形式，在進行相關(guān)信息處理之前進行告知。例如，首次使用地圖類App時，用戶會收到單獨彈窗告知將采集位置信息并詢問是否同意。此外，信息處理過程中的告知，不屬于《個人信息保護法》所規(guī)范的范疇。部分學者將“用戶使用過程中以即時通知的方式向用戶提供關(guān)于具體個人信息處理行為的提示”誤以為屬于一種特殊的告知方式，并以iOS系統(tǒng)的告知為例進行說明。(22)同注⑨，第147頁；同注，第254頁。然而，iOS系統(tǒng)的告知通常并非信息處理者的告知，而是設備系統(tǒng)對第三方個人信息處理行為的提示，更為重要的是，這種“即時告知”并不符合《個人信息保護法》第17條第1款在處理個人信息前進行告知的時間要求。

三、告知后同意的實現(xiàn)路徑

根據(jù)《個人信息保護法》第29條，基于個人同意處理敏感個人信息的，同意不僅應當由個人在充分知情的前提下自愿、明確作出，而且還必須是單獨同意。單獨同意是一般同意的具體化，指就特定的事項專門取得信息主體的同意。為滿足單獨同意的要求，處理敏感個人信息與一般個人信息的同意應相互獨立，信息處理者單獨就敏感個人信息的處理取得信息主體的同意，而不能采取一攬子同意的方式。此外，處理敏感個人信息的書面同意應根據(jù)法律、行政法規(guī)確定。書面同意，即采取合同書、信件、電報、電傳、傳真等可以有形地表現(xiàn)所載內(nèi)容的形式所作出的同意。書面同意是在單獨同意基礎(chǔ)上對同意的形式要求，本身也應符合單獨同意的要求。

(一)單獨同意：內(nèi)容、對象與方式的基本要求

敏感個人信息處理的單獨同意是指，信息處理者必須就具體的敏感個人信息處理行為本身單獨取得信息主體“明確、自愿”的同意。單獨同意對同意內(nèi)容的特定化提出了更高的要求，也被稱為“獨立且明確的專項同意”，(23)同注⑨，第142頁。而不可以是概括的、一攬子的同意。

第一，在同意所針對的內(nèi)容上，單獨同意要求只針對敏感個人信息處理本身，不能與一般信息處理一并一攬子同意。《個人信息保護法》通過前，實踐中常通過統(tǒng)一的個人信息保護政策獲得信息主體同意，即不符合“單獨同意”的要求。必須澄清的是，敏感個人信息的單獨同意從未要求“信息處理者就每一個類型的每一項敏感個人信息，需獲得分別同意、逐項同意”。(24)同注，第244頁。此種誤解源于《網(wǎng)絡交易監(jiān)督管理辦法》第13條第2款關(guān)于敏感個人信息逐項同意的規(guī)定?！毒W(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》第73條第8項亦錯誤地將單獨同意理解為逐項同意。這一解釋不符合單獨同意的文義解釋，逐項同意實際上是在單獨同意基礎(chǔ)上的更高的要求，屬于限縮解釋。對于限縮解釋則必須有實踐與法律體系上的合理事由。然而，實踐中要求信息處理者針對每一項敏感個人信息處理單獨進行一次告知同意，是難以操作和實現(xiàn)的。用戶面對源源不斷的同意彈窗亦將消解單獨同意的作用，與單獨同意的規(guī)范目的不符。

更為重要的是，這一解讀并不符合《個人信息保護法》的體系解釋。一方面，以《個人信息保護法》第23條中的單獨同意即為針對“接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類”整體而言的單獨同意，而不是對其中每一項內(nèi)容分別作一次告知與同意，更不是就個人信息種類中所涉及的每一項個人信息進行同意。與之類似，《個人信息保護法》第39條關(guān)于個人信息跨境的單獨同意的規(guī)定亦只能解讀為針對該條所規(guī)定的單獨告知事項的單獨同意。另一方面，從敏感個人信息的定義來看，未滿14周歲兒童的個人信息本身就是敏感個人信息，對于兒童信息的處理無法適用逐項同意的要求。若采用逐項同意，監(jiān)護人將需要對所有類型的兒童個人信息處理逐一同意；不僅事實上監(jiān)護人難以完成如此煩瑣的同意操作，而且信息處理者亦無法根據(jù)一個明確的內(nèi)容劃分標準確定兒童個人信息的所有類型以供監(jiān)護人逐項同意。從《個人信息保護法》第28條第1款關(guān)于敏感個人信息的列舉項來看，兒童個人信息與其他列舉項的最大差異即在于并未采取內(nèi)容標準而采用了主體標準。從兒童這一特殊主體出發(fā)，兒童個人信息本身就是一個整體概念。《個人信息保護法》第31條所規(guī)定的兒童的父母或者其他監(jiān)護人的同意本身就是針對兒童個人信息處理整體作出的單獨同意。亦唯有如此理解，《個人信息保護法》第29條與第31條在體系上方可融洽。

第二，在同意所針對的處理行為上，單獨同意表現(xiàn)為針對具體信息處理行為的同意，而非針對將來信息處理行為的概括同意。然而，這并不意味著“一處理”對應“一同意”。(25)參見江必新、李占國主編：《中華人民共和國個人信息保護法條文解讀與法律適用》，中國法制出版社2021年版，第105頁。首先，每一個處理目的都需獲得同意，不等于一個處理目的對應一項同意。同意必須針對特定的處理目的、處理方式和處理的個人信息種類作出，本身就是同意的一般要求。據(jù)此，《個人信息保護法》第14條第2款規(guī)定相關(guān)事項發(fā)生變更的，應當重新取得個人同意。GDPR序言第32條亦指出，“同意應涵蓋為相同的一個或多個目的進行的所有數(shù)據(jù)處理活動。數(shù)據(jù)處理涉及多個目的的，每一個目的均須征得數(shù)據(jù)主體的同意”。這些規(guī)定均不排除在清晰、明確的告知相關(guān)事項后，信息主體可以針對多個處理目的或處理方式作出一個同意。其次，具體的信息處理行為并不等于單次信息處理行為，同一業(yè)務場景下所進行的同類敏感個人信息處理行為只需在初次處理時獲得一次單獨同意。而單獨同意所反對的概括同意指向的是針對可能發(fā)生的信息處理行為，而作出的一個空白的、不明確的同意，而非否定對一切將來發(fā)生的信息處理行為的同意。事先的同意本來就是面向即將發(fā)生的信息處理行為。同一業(yè)務場景中，處理目的、處理方式和處理的個人信息種類均未發(fā)生變化，因此無須根據(jù)《個人信息保護法》第14條第2款重新取得同意。以手機App人臉識別登錄為例，只需在首次使用時獲得單獨同意，除非相關(guān)信息處理情況發(fā)生變化，否則無須重復提示。

第三，在單獨同意的方式上，單獨同意在單獨告知后作出。具體的同意方式可參照“個人信息告知同意指南(征求意見稿)”第9.1條，采取設置交互式界面，由個人信息主體主動填寫、輸入個人信息表示意愿，由個人信息主體開啟可收集個人信息的API(應用程序編程接口)權(quán)限表示意愿，個人信息主體通過紙質(zhì)或電子的書面聲明、簽字確認表示意愿，個人信息主體通過電子簽名方式表示意愿，個人信息主體通過電話錄音、視頻錄像等方式表示意愿等多種形式。其中，基于同意的明確性要求，參照GDPR第32條的規(guī)定，沉默、預先打鉤或不行動不應構(gòu)成同意。

也就是說，結(jié)合同意的內(nèi)容、同意針對的處理行為、同意的方式，可判斷相關(guān)行為是否構(gòu)成敏感個人信息處理的單獨同意。例如，前述“人臉識別第一案”中，爭議點之一即郭某與妻子到“年卡中心”拍照這一行為是否構(gòu)成對野生動物世界收集人臉識別信息的同意。該案中，一審法院與二審法院均認為，拍照行為不構(gòu)成收集敏感個人信息的同意。(26)參見杭州市富陽區(qū)人民法院(2019)浙0111民初6971號民事判決書，杭州市中級人民法院(2020)浙01民終10940號民事判決書。以《個人信息保護法》視野對這起案件事實進行回顧觀察亦可得出相同結(jié)論。首先，從同意的內(nèi)容來看，拍照行為并未明確指向敏感個人信息處理的內(nèi)容。照片與人臉信息存在差異。參照GDPR序言第51條的規(guī)定，只有通過特定的技術(shù)手段對自然人的臉部特征進行獨特的識別或認證時，才屬于人臉信息處理。郭某從未明確針對人臉識別這一特定的敏感個人信息處理內(nèi)容本身表示同意。其次，從同意針對的處理行為來看，同意拍照不代表同意將照片用于其他處理目的。誠如二審法院判決所指出，雖然“年卡辦理流程”涉及拍照，“但提供照片僅系為了配合指紋年卡的使用，不應視為其已授權(quán)同意野生動物世界將照片用于人臉識別”。(27)同注。最后，從同意的方式來看，通過拍照這一作為的方式表示的同意本身是不夠明確的，其無法明確指向敏感個人信息處理。因此，該案中野生動物世界確未獲得有效單獨同意。

(二)書面同意：外觀形式的進一步限制

書面同意作為一種特殊的單獨同意并非我國立法所首創(chuàng)。域外法中，亦不乏敏感個人信息書面同意的規(guī)定。BIPA第15條第b款第1項指出，收集、存儲、購買個人生物識別信息需要書面告知信息主體并取得書面同意。2021年美國統(tǒng)一法律委員會通過的《美國統(tǒng)一個人數(shù)據(jù)保護法》(UDPA，無法律效力)第8條第7款進一步對書面同意的簽名進行了強調(diào)，指出“控制者不得以不相容數(shù)據(jù)實踐的方式處理數(shù)據(jù)主體的敏感數(shù)據(jù)，除非每一項數(shù)據(jù)實踐均取得數(shù)據(jù)主體的明確同意并簽名記錄”。我國臺灣地區(qū)有關(guān)個人資料保護法的規(guī)定第6條第1款第6項將對敏感個人信息處理的同意限定為書面同意。

書面同意強調(diào)同意采取書面形式，但不等同于紙質(zhì)同意。有學者將《個人信息保護法》第29條中的書面同意解讀為“處理者必須取得個人親筆簽名的針對其敏感個人信息的處理表示同意的紙質(zhì)同意書”。(28)同注⑧，第273頁。此觀點值得商榷。一方面，書面形式只與口頭形式對應，并不排除電子方式。參照《民法典》第469條第2至3款的規(guī)定判斷法律中的書面形式要求。該條指出，“書面形式是合同書、信件、電報、電傳、傳真等可以有形地表現(xiàn)所載內(nèi)容的形式。以電子數(shù)據(jù)交換、電子郵件等方式能夠有形地表現(xiàn)所載內(nèi)容，并可以隨時調(diào)取查用的數(shù)據(jù)電文，視為書面形式”。另一方面，個人信息處理多以電子方式進行，部分域外立法甚至將非結(jié)構(gòu)化、非電子化的信息處理排除在個人信息保護制度之外，無法也難以要求信息主體在紙質(zhì)同意書上簽名。信息主體在電子文件上通過電子簽名進行的書面同意，應依《電子簽名法》判斷其效力。我國臺灣地區(qū)有關(guān)個人資料保護規(guī)定的施行細則第14條亦指出，“書面同意之方式，依電子簽章法之規(guī)定，得以電子文件為之”。以向征信機構(gòu)查詢個人信息為例，雖然銀行柜臺辦理業(yè)務時可能需要紙質(zhì)簽名，但在手機銀行、網(wǎng)上銀行、各類個人金融App中，均通過電子認證方式進行。實踐中，這些方式均被認為符合《征信業(yè)管理條例》第18條第1款“取得信息主體本人的書面同意并約定用途”的要求。

書面同意是在單獨同意基礎(chǔ)上的更強的形式要求，體現(xiàn)了法律、行政法規(guī)對特定敏感個人信息的重點保護。書面同意作為一種形式強制，被認為具有緩解信息不對稱、勸誡謹慎行事、確保同意的明確與堅定、證據(jù)固定四種功能。(29)同注，第247頁。在敏感個人信息處理的告知同意中，書面同意往往又對應著書面告知。同時，亦不可借助書面形式進行一攬子的同意。書面同意必須符合單獨同意的要求。若通過書面形式規(guī)避單獨同意，則將直接與書面同意的規(guī)范目的相沖突。

《個人信息保護法》第29條將敏感個人信息處理的書面同意限定在法律、行政法規(guī)規(guī)定之中。現(xiàn)行的相關(guān)規(guī)定體現(xiàn)了對特殊類型的個人敏感個人信息處理以及特殊行業(yè)的敏感個人信息處理的限制。一方面，通過基因檢測，可獲知性別、種族、遺傳病、其他潛在健康風險、潛在的個性特征等一系列信息。而基因信息的泄漏或非法利用容易導致基因歧視，確有特別保護的必要?！度祟愡z傳資源管理條例》第12條第1款規(guī)定了采集人類遺傳資源應“征得人類遺傳資源提供者書面同意”。另一方面，征信信息的作用即在于對個人信用進行評價，對個人貸款利率、保險費率、交易機會等產(chǎn)生直接影響，在失信聯(lián)合懲戒、數(shù)字信用共治機制中將可能對個人產(chǎn)生嚴重的不利影響，亦有特別限制的必要?！墩餍艠I(yè)管理條例》(2013)第14條第2款規(guī)定了征信機構(gòu)原則上不得采集收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額信息，除非取得書面同意。該條例第18條第1款、第28條第2款、第29條第2款亦對特定信息處理的書面同意進行了規(guī)定。在“深圳市國銀盛達融資擔保有限公司與黃某勇侵權(quán)責任糾紛案”中，擔保公司對黃某勇的借款進行代償后，向征信機構(gòu)報送了黃某勇不良信用記錄信息。然而，由于擔保公司并未事先取得黃某勇關(guān)于報送信用信息的書面同意，法院據(jù)前述規(guī)定判決擔保公司構(gòu)成侵權(quán)。(30)參見四川省廣安市中級人民法院(2019)川16民終1646號民事判決書。

四、告知同意的法律限度

敏感個人信息處理中的告知同意規(guī)則雖然重要，但絕非不可或缺。一方面，在特定情形中，法律、行政法規(guī)豁免了信息處理者的告知義務；在基于同意以外的合法性基礎(chǔ)處理敏感個人信息時，更無告知同意的適用空間。另一方面，告知同意并不必然賦予敏感個人信息處理行為以合法性，必須結(jié)合法律的其他要求進行判斷。

(一)無須告知同意的情形

一方面，處理敏感個人信息的告知并非絕對的。根據(jù)《個人信息保護法》第18條、第30條、第35條的規(guī)定，存在無須告知的三種情形：第一，法律、行政法規(guī)規(guī)定應當保密或者不需要告知(《個人信息保護法》第18條第1款)。雖然《個人信息保護法》第30條采取了“依照本法”的表述，但《個人信息保護法》第18條第1款的這一規(guī)定又將相關(guān)例外的法源擴展至法律、行政法規(guī)之中。例如，有關(guān)機關(guān)依《人民警察法》第16條、《反恐怖主義法》第45條采取技術(shù)偵查措施，依《反洗錢法》第8條調(diào)查可疑交易活動，均無須告知信息主體?！墩餍艠I(yè)管理條例》第15條后半句亦指出，信息提供者向征信機構(gòu)提供依照法律、行政法規(guī)規(guī)定的公開不良信息，無須告知信息主體。第二，緊急情況下為保護自然人的生命健康和財產(chǎn)安全無法及時向個人告知的可暫不履行告知義務，但信息處理者應當在緊急情況消除后及時告知(《個人信息保護法》第18條第2款)。例如，醫(yī)療機構(gòu)為搶救患者而處理其病歷資料時，可暫不履行告知義務，但事后應及時告知患者相關(guān)健康信息處理情況。第三，告知將妨礙國家機關(guān)履行法定職責，則無須告知(《個人信息保護法》第35條)。例如，稅務機關(guān)依《稅收征收管理法》第54條第1項“檢查納稅人的賬簿、記賬憑證、報表和有關(guān)資料，檢查扣繳義務人代扣代繳、代收代繳稅款賬簿、記賬憑證和有關(guān)資料”。此時提前告知，個人可能轉(zhuǎn)移、篡改、銷毀有關(guān)資料，嚴重妨礙稅務機關(guān)履行稅收征收管理的法定職責。

另一方面，敏感個人信息處理的合法性基礎(chǔ)亦不限于同意?！秱€人信息保護法》第29條刪去了《個人信息保護法(二次審議稿)》中“基于個人同意處理敏感個人信息的”前半句，且2021年4月22日法工委發(fā)言人談道“只有在具有特定目的和充分必要性的情形下，方可處理敏感個人信息，并應取得個人的單獨同意或書面同意，在事前進行風險評估”時，(31)《法工委發(fā)言人：個人信息保護法草案將設置嚴格的法律責任》，中國人大網(wǎng)：http://www.npc.gov.cn/npc/c30834/202104/dc402598cff8442a9d6b234b4a48d2fe.shtml，最后訪問時間：2022年4月8日。似乎將同意與敏感個人信息處理的其他條件相并列?！渡虾Ｊ袛?shù)據(jù)條例》第22條亦在同一條款中規(guī)定了處理生物識別信息的應具有特定的目的和充分的必要性并采取嚴格的保護措施，以及應當取得個人的單獨同意。凡此種種，使得部分實務工作者誤以為立法者將同意規(guī)定為敏感個人信息處理的唯一合法性基礎(chǔ)。這一理解顯然有誤。《個人信息保護法》第29條適用的前提是基于同意處理敏感個人信息的情形，即便立法過程中將相關(guān)表述刪除，這一前提也是不言而喻的。敏感個人信息處理的單獨同意或書面同意本身就是一種特殊的同意，而同意又只是個人信息處理的合法性基礎(chǔ)之一。從域外法來看，GDPR第9條第2款中敏感個人信息處理的合法情形也不限于同意，還包括履行法律責任、維護數(shù)據(jù)主體或其他人的重大利益、慈善機構(gòu)或非營利機構(gòu)的數(shù)據(jù)處理、由數(shù)據(jù)主體明確公開的數(shù)據(jù)、司法活動中的數(shù)據(jù)處理、有重大公共利益的理由、處理敏感數(shù)據(jù)的其他理由等情形。德國《聯(lián)邦數(shù)據(jù)保護法》(BDSG)第22條更是完全在同意以外對敏感個人信息處理進行了規(guī)定，為履行法律義務、維護公共利益、維護公共安全等目的，并符合特定的限制條件，即可處理敏感個人信息。

具體而言，依據(jù)《個人信息保護法》第13條第1款第2、3、4、5、7項的合法性基礎(chǔ)，(32)敏感個人信息處理無法適用《個人信息保護法》第13條第1款第6項，不可以“處理公開的個人信息”為由排除告知同意。由《個人信息保護法》第27條可知，“個人信息處理者處理已公開的個人信息，對個人權(quán)益有重大影響的”，應當依法取得個人同意。敏感個人信息處理顯然屬于此處對個人權(quán)益有重大影響的范疇，應適用告知同意的規(guī)定。信息主體無須個人同意亦可處理敏感個人信息：第一，為締約或履約所必需。例如，雇主為雇員設立公積金賬戶，并處理相關(guān)金融賬戶信息。第二，為履行法定職責或者義務所必需。例如，偵查人員根據(jù)《刑事訴訟法》第132條的規(guī)定，提取犯罪嫌疑人的指紋信息，采集血液、尿液等生物樣本，顯然無須取得個人同意。第三，為應對突發(fā)公共衛(wèi)生事件或緊急情況所必需。例如，為疫情防控的目的，在確有必要之時，無須同意即可處理相關(guān)醫(yī)療健康信息、行蹤軌跡信息。2022年春季上海疫情突發(fā)，部分市民收到短信提示“根據(jù)有關(guān)大數(shù)據(jù)排查情況，您近期可能存在與新冠病毒感染者直接或間接接觸的風險”，即屬此例。第四，為公共利益實施新聞報道、輿論監(jiān)督等行為。例如，在“施某某等訴徐某某肖像權(quán)、名譽權(quán)、隱私權(quán)糾紛案”中，第三人將幼童受傷的相關(guān)照片進行面部模糊處理后發(fā)布到微博以舉報養(yǎng)父虐童，隨即撤下。法院認為，第三人對兒童信息的披露信息行為雖然未經(jīng)同意，但符合社會公共利益和兒童利益最大化原則，不構(gòu)成侵權(quán)。(33)參見江蘇省南京市江寧區(qū)人民法院(2015)江寧少民初字第7號民事判決書。第五，法律、行政法規(guī)規(guī)定的其他情形。例如，前述疫情期間健康信息處理的合法性基礎(chǔ)不僅來自《個人信息保護法》第13條第1款第4項，還來自《傳染病防治法》第12條所規(guī)定的，個人需要向疾控機構(gòu)、醫(yī)療機構(gòu)如實提供有關(guān)情況；以及《突發(fā)公共衛(wèi)生事件應急條例》第21條、第36條、第40條分別對單位和個人的報送義務，指定專業(yè)技術(shù)機構(gòu)的調(diào)查權(quán)力，街道、鄉(xiāng)鎮(zhèn)以及居民委員會、村民委員會協(xié)助衛(wèi)生行政主管部門和其他有關(guān)部門、醫(yī)療衛(wèi)生機構(gòu)進行疫情信息收集和報告的規(guī)定。同時，《執(zhí)業(yè)醫(yī)師法》《后天免疫缺乏癥候群防治條例》《艾滋病防治條例》等法律、行政法規(guī)均規(guī)定了相關(guān)健康信息的報送、報告義務。歐洲數(shù)據(jù)保護委員即指出，為應對新冠肺炎疫情，各國可基于GDPR第9條第2款中的多種合法性事由處理健康信息。(34)Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak, European Data Protection Board: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf，最后訪問時間：2022年4月8日。美國法上，亦有“伴侶通知”(partner notification)的規(guī)定，以保證第三人對傳染病信息的知情權(quán)。(35)參見李燕：《限制與保護：公共健康領(lǐng)域的個人隱私權(quán)》，載《政法論叢》2017年第2期，第76-83頁。綜上可見，在同意之外還存在眾多合法處理敏感個人信息的情形。

值得注意的是，上述情形中敏感個人信息的處理雖然無須同意，但亦必須符合《個人信息保護法》第28條第2款的前提性要求，即滿足特定的目的、充分的必要性、嚴格保護措施三個條件。(36)三個前提條件是對目的限制原則、最小必要原則、安全保護原則的具體化與強化，是對敏感個人信息處理的特殊限制。例如，前述應對突發(fā)公共衛(wèi)生事件所需收集敏感個人信息的情形中，若將所收集的個人信息用于其他無關(guān)的政務服務，即不具特定的目的。又如雇主處理雇員敏感個人信息類型中，若非食品加工等特殊行業(yè)的雇主收集雇員是否攜帶乙肝病毒的信息，即不具有充分的必要性。此外，若沒有根據(jù)敏感個人信息處理的具體情形而采取相關(guān)物理措施、技術(shù)措施、組織措施，則未達到嚴格保護措施的要求。具體而言，這是《個人信息保護法》第28條第2款的具體要求，在此不作累述。同時，無須同意并不等于無須告知?！秱€人信息保護法》關(guān)于告知的一般要求(第17條)，因合并、分立、解散、被宣告破產(chǎn)等原因轉(zhuǎn)移個人信息時的告知事項要求(第22條)，公共場所安裝圖像采集、個人身份識別設備的提示要求(第26條)，國家機關(guān)為履行法定職責處理個人信息時的告知義務(第35條)，均不必然對應同意。告知是個人信息處理前的一般要求，無須告知僅限于前文所述的法定情形。

(二)告知同意≠合法處理

告知同意的性質(zhì)決定了符合《個人信息保護法》第29條、第30條，并不必然賦予敏感個人信息處理合法性。理論上關(guān)于同意的性質(zhì)存在較大爭議，至少有屬于法律行為的意思表示、數(shù)據(jù)信托的授權(quán)行為、法定的免責事由、個人信息權(quán)的行使方式、受限的私權(quán)處分以及類似知識產(chǎn)權(quán)的許可使用等多種觀點。(37)同注②，第167-188頁；同注①，呂炳斌文，第87-101頁；Robert Walters, Leon Trakman, Bruno Zeller, Data Protection Law：A Comparative Analysis of Asia-Pacific and European Approaches, Springer, 2019, p.306.實際上，個人信息保護制度中的同意應屬準法律行為。從《民法典》第1036條將同意作為免責事由之一，到《個人信息保護法》第13條將同意規(guī)定為個人信息處理的合法性基礎(chǔ)之一，信息處理合法的結(jié)果皆源于法律之直接規(guī)定。同意并非授權(quán)/設權(quán)行為，不能直接導致信息處理行為合法。信息處理行為是否合法，必須結(jié)合法律具體規(guī)定進行判斷。誠如有學者所言，“告知同意原則要受通信自由和通信秘密憲法權(quán)利的限制，要受隱私權(quán)的限制，還要受目的原則與必要原則的限制”。(38)張新寶：《個人信息收集：告知同意原則適用的限制》，載《比較法研究》2019年第6期，第1頁。敏感個人信息處理更被認為是告知同意有效性限度的突出體現(xiàn)。(39)參見武騰：《最小必要原則在平臺處理個人信息實踐中的適用》，載《法學研究》2021年第6期，第71-89頁。

第一，根據(jù)《民法典》第1035條第1款，同意是個人信息處理的條件之一，處理個人信息還必須遵循合法、正當、必要原則，不得過度處理，且公開處理信息的規(guī)則，明示處理信息的目的、方式和范圍，不違反法律、行政法規(guī)的規(guī)定和雙方的約定。敏感個人信息處理更是必須符合《個人信息保護法》第28條第2款的前提要求，即具有特定的目的和充分的必要性，并采取嚴格保護措施。若不符合上述規(guī)定，即便取得了單獨同意，相關(guān)處理行為也是不合法的。我國臺灣地區(qū)有關(guān)個人資料保護法的規(guī)定第6條第1款第6項亦明確指出“逾越特定目的之必要范圍或其他法律另有限制不得僅依當事人書面同意搜集、處理或利用”。

第二，在特定敏感個人信息處理中，法律、行政法規(guī)排除了告知同意的適用。結(jié)合《征信業(yè)管理條例》第14條第1款與第2款的規(guī)定可知，“征信機構(gòu)明確告知信息主體提供該信息可能產(chǎn)生的不利后果，并取得其書面同意”后可以采集第2款所列舉的“收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù)額信息”，即便取得個人同意亦不可采集第1款所禁止采集的“宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息”。域外法中，亦存在對排除同意規(guī)則的規(guī)定。GDPR第9條第2款第a項即指出，歐盟或成員國可以通過法律將同意排除在敏感個人信息處理的合法性基礎(chǔ)之外。

第三，在特定的敏感個人信息處理情形中，告知同意機制往往難以有效發(fā)揮作用。例如，人臉識別就常在權(quán)力/地位不對等的環(huán)境中被使用，難以確保同意符合《個人信息保護法》第14條“在充分知情的前提下自愿、明確作出”的要求。(40)參見韓旭至：《刷臉的法律治理：由身份識別到識別分析》，載《東方法學》2021年第5期，第69-69頁。英國信息專員亦表示，面對不特定主體自動進行的人臉識別難以依靠同意而獲得合法性。(41)The use of live facial recognition technology in public places, Information Commissioner’s Office of UK: https://ico.org.uk/media/for-organisations/documents/2619985/ico-opinion-the-use-of-lfr-in-public-places-20210618.pdf，最后訪問時間：2022年4月8日。2019年瑞典適用GDPR第一案中，涉案學校采用人臉識別考勤，且征得了學生同意。瑞典數(shù)據(jù)保護局認為“鑒于信息主體和信息控制者之間的不平衡，同意不是有效的法律依據(jù)”，最終對該學校開具了1000萬瑞典克朗的罰單。(42)Facial recognition in school renders Sweden’s first GDPR fine, European Data Protection Board: https://edpb.europa.eu/news/national-news/2019/facial-recognition-school-renders-swedens-first-gdpr-fine_sv，最后訪問時間：2022年4月8日。因此，必須結(jié)合敏感個人信息處理的前提，法律、行政法規(guī)中的特殊規(guī)定，同意的有效性等因素，判斷基于同意處理敏感個人信息的合法性。

結(jié) 語

《個人信息保護法》第29條、第30條在我國法律中首次明確了敏感個人信息處理的告知同意規(guī)范，必將對我國個人信息保護實踐產(chǎn)生深遠影響。雖然敏感個人信息處理有多種合法性基礎(chǔ)，但商業(yè)實踐往往難以滿足其他合法性基礎(chǔ)的要求，此時告知同意必將成為信息處理者利用敏感個人信息最有效、最常見的路徑。此外，隨著實踐與認識的深化，敏感個人信息處理的告知同意規(guī)范亦必將進一步完善。結(jié)合《個人信息保護法》第32條與第62條第2項可知，法律、行政法規(guī)以及國家網(wǎng)信部門制定的規(guī)則與標準均可對敏感個人信息處理的告知同意作出細化規(guī)定。當前，援引該條款的司法判決以及對該條款的權(quán)威解釋均未出現(xiàn)，本文依法教義學的立場對敏感個人信息特殊告知事項、單獨同意與書面同意、例外情形進行了梳理與分析，期望助益于《個人信息保護法》的實施，服務于個人信息保護水平的提升?；蛟S，“讓子彈飛一會兒”，許多爭議將有更為清晰的答案。