敏感個人信息保護的制度缺陷與完善路徑

周千樹

（重慶大學(xué)法學(xué)院，重慶 400000）

1.問題提出

敏感個人信息是指一旦泄露或非法使用將容易導(dǎo)致個人人格尊嚴或人身財產(chǎn)安全受到侵害的一類個人信息，具體包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡以及不滿14周歲未成年人的個人信息等類型。敏感性作為敏感個人信息最為核心的特征，可將其進一步解釋為緊密性與容易性，即具備敏感性特征的信息與人格尊嚴保護和人身財產(chǎn)安全之間具有更為緊密的聯(lián)系，其在被泄露或非法使用的情形下將更容易導(dǎo)致侵權(quán)結(jié)果的發(fā)生。申言之，具備敏感性特征的個人信息實際代表了個人在信息處理過程中最為根本的利益，同時也象征著個人信息處理行為的底線。通過對敏感性與非敏感性信息的區(qū)分，可以使個人更為準確地把握其在信息處理過程中的核心權(quán)益，同時也能為信息處理者提供行為預(yù)期以降低其履行義務(wù)的合規(guī)成本。

敏感個人信息關(guān)涉利益重大，因而有必要對其采取更為強力的保護制度?！秱€保法》中先后通過對適用于敏感個人信息的知情同意規(guī)則、信息處理標準、具體保護舉措等內(nèi)容進行特別規(guī)定以構(gòu)建敏感個人信息的專屬保護制度。不可否認的是，這些特別規(guī)定已能初步實現(xiàn)敏感性保護目標并對個人信息處理行為產(chǎn)生有效指引。但問題在于，部分特別規(guī)定存在著模糊性、片面性、抽象性的缺陷，例如《個保法》中僅通過擴張告知內(nèi)容與規(guī)定單獨同意形式仍難以完全構(gòu)建起適應(yīng)于敏感性保護需求的知情同意規(guī)則；又如《個保法》中對于適用于敏感個人信息保護的安全技術(shù)措施的規(guī)定較為籠統(tǒng)，這將不利于保護措施的具體落實。制度規(guī)定的缺陷將對敏感個人信息保護目標產(chǎn)生實現(xiàn)阻礙，甚至于造成與立法初衷相悖的結(jié)果。至此，我們有必要對《個保法》中部分適用于敏感個人信息保護的特殊規(guī)定加以討論，以進一步明確敏感個人信息的保護路徑并完善其保護制度。

2.細化知情同意規(guī)則

在《個保法》中，立法者有意通過對知情同意規(guī)則的特殊規(guī)定來構(gòu)建起敏感個人信息保護的基本框架，但實際上，這些特殊規(guī)定并未能完全切中敏感個人信息知情同意保護之要害，因此，需對其進行進一步探討。

2.1 完善知情保護規(guī)則

《個保法》中并未單獨構(gòu)建適用于敏感個人信息的知情保護規(guī)則，而僅在一般個人信息知情保護制度的基礎(chǔ)上，通過擴充告知內(nèi)容的方式來強化敏感信息處理者的告知義務(wù)。顯然，僅通過對告知內(nèi)容擴充無法完全實現(xiàn)對敏感個人信息的知情保護，原因在于擴充告知內(nèi)容僅是對信息主體知情權(quán)實現(xiàn)進行了形式上完善，并未能充分調(diào)動信息處理者對其處理行為的披露積極性。作為與人格尊嚴、人身財產(chǎn)安全具有緊密聯(lián)系的敏感個人信息，需要的是一套更為持續(xù)有效的信息披露制度，以確保個人能及時把控處理行為并進行風(fēng)險預(yù)防與侵權(quán)應(yīng)對。倘若信息處理者在履行敏感個人信息處理披露義務(wù)時仍保持著一般注意狀態(tài)，這將使得個人信息權(quán)益處于極度危險之中。至此，應(yīng)通過更為廣泛的特別規(guī)定構(gòu)建起全流程、多角度、高效率的知情保護制度，充分激發(fā)信息處理者對于信息披露的主動性并使其時刻處于對信息披露的特別注意狀態(tài)，從而幫助個人打破算法黑箱的固有弊端，實現(xiàn)對信息處理全過程的知情、參與、支配。

首先，應(yīng)要求敏感個人信息處理者對其信息處理行為進行持續(xù)披露，信息處理者的披露義務(wù)應(yīng)貫穿處理行為始終。從信息收集前置程序起，信息處理者就應(yīng)通過用戶協(xié)議將法定應(yīng)告知事項向個人說明并就處理目的、范圍、期限等重要內(nèi)容作出承諾。在進入信息處理階段后，信息處理者應(yīng)自覺將各環(huán)節(jié)的信息處理情況向個人匯報，并主動提醒個人注意不同環(huán)節(jié)可能存在的侵權(quán)風(fēng)險，使個人能及時行使權(quán)利并采取針對性防御措施。對于可能變更或超越初始授權(quán)的處理行為，信息處理者應(yīng)在處理之前將變更或越權(quán)處理的原因向個人披露，以取得其對該處理行為的重新或單獨同意。在信息處理完畢后，信息處理者應(yīng)就其對敏感個人信息的處置方式、處置完成時間、處置效果等事項進行說明，以保證個人對其敏感信息存續(xù)狀態(tài)的把握。

其次，應(yīng)要求敏感個人信息處理者對其信息處理行為進行有效披露。在信息處理的相關(guān)規(guī)則中應(yīng)指明處理行為的披露范圍，信息處理者應(yīng)使用清晰、簡潔的語言披露信息并對關(guān)系人格尊嚴和人身財產(chǎn)安全的事項進行著重提示。對于專業(yè)術(shù)語，信息處理者還應(yīng)用淺顯易懂的語言向用戶釋明。同時，信息處理者也應(yīng)當注重信息披露的時效性以及時地履行其告知義務(wù)，如應(yīng)在變更或超越授權(quán)的處理事項發(fā)生之前主動向個人告知并征求其意見、應(yīng)在損害行為發(fā)生之前提醒個人采取必要的規(guī)避措施等。除此之外，由于敏感個人信息直接關(guān)系人格尊嚴與人身財產(chǎn)安全，信息處理者在進行告知、匯報、詢問時也應(yīng)當一并向個人強調(diào)其享有的權(quán)利及可用之維權(quán)手段，并將不同侵權(quán)后果所對應(yīng)的權(quán)益救濟方案一并說明[1]。

2.2 完善同意保護規(guī)則

與知情保護規(guī)則的規(guī)定方式相同，《個保法》要求敏感個人信息處理者在履行征求個人對其信息處理授權(quán)的義務(wù)時，除了應(yīng)達到一般的履行要求之外，還應(yīng)單獨取得個人對其敏感信息處理行為的同意。單獨同意無疑是《個保法》中實現(xiàn)對敏感個人信息同意保護的關(guān)鍵，但遺憾的是，對于這一關(guān)鍵因素的具體含義立法中未作示明。在現(xiàn)目前的學(xué)界與實務(wù)界中，對于單獨同意的含義存在著“特別授權(quán)”與“逐項同意”兩種不同的理解。特別授權(quán)側(cè)重于強調(diào)信息處理者應(yīng)取得個人對其敏感信息處理授權(quán)的單獨同意，而不能混同于一般個人信息概括取得對敏感個人信息的處理授權(quán)；而逐項同意偏重于要求信息處理者應(yīng)逐環(huán)節(jié)取得個人對其敏感信息處理的同意，個人可以選擇對信息處理的全環(huán)節(jié)亦或是個別環(huán)節(jié)進行授權(quán)。顯然，特別授權(quán)、逐項同意都是與單獨同意制度的敏感性保護目標相契合的。至此，不妨以特別授權(quán)與逐項同意作為制度完善的討論基礎(chǔ)，為敏感個人信息同意保護規(guī)則構(gòu)建提出建議。

一方面，個人信息處理者應(yīng)取得個人對其敏感信息處理的特別授權(quán)。在進行信息處理之前，信息處理者應(yīng)特別就其敏感個人信息處理行為取得個人的意見，不得不加區(qū)分的一并取得個人對其全部個人信息處理的授權(quán)。最高法《人臉識別司法解釋》中強調(diào)，信息處理者以與其他授權(quán)捆綁等方式取得個人人臉信息處理權(quán)限為由抗辯的，人民法院不予支持。該規(guī)定體現(xiàn)了司法裁判領(lǐng)域?qū)τ谶m用特別授權(quán)規(guī)則的支持態(tài)度，為了將特別授權(quán)的保護效用落于實踐，需要對信息處理者取得敏感個人信息處理授權(quán)的形式進行明確。在征求個人的處理意見時，信息處理者應(yīng)分別告知一般個人信息與敏感個人信息的處理情形，并要求個人對不同類型信息的處理請求分別表態(tài)。信息處理者在設(shè)計用戶協(xié)議時應(yīng)當單獨設(shè)置征求敏感個人信息處理意見的部分并預(yù)留“同意”或“拒絕”的意見選項，確保個人能對敏感信息處理進行單獨授權(quán)。

另一方面，個人信息處理者應(yīng)在特別授權(quán)的基礎(chǔ)上，逐項取得個人對其敏感信息處理的同意。由于個人信息權(quán)益在不同處理環(huán)節(jié)與情境中面臨的風(fēng)險和需要的關(guān)注各有不同，故需要通過逐項同意的方式對各處理環(huán)節(jié)中的敏感個人信息進行有針對的保護。具體而言，信息處理者可在征求個人特別授權(quán)的用戶協(xié)議之基礎(chǔ)上，進一步按照信息處理的不同環(huán)節(jié)分別設(shè)置多個需同意的項目，以逐環(huán)節(jié)取得個人對其信息處理的意見。在逐項同意規(guī)則要求之下，信息處理者被賦予了更為廣泛的作為義務(wù)，其需要構(gòu)建持續(xù)有效的信息披露機制為規(guī)則實踐提供支持、需要從整體及局部多個角度對個人信息權(quán)益保護與風(fēng)險防范作出制度設(shè)計，幫助信息處理者形成對敏感性處理行為的特別注意狀態(tài)，從而更好地實現(xiàn)敏感個人信息保護的目標[2]。

3.增強安全技術(shù)措施

《個保法》中明確規(guī)定信息處理者在信息處理過程中應(yīng)采取加密、去標識化等安全技術(shù)措施，但對于這些措施的具體落實未作說明。為了實現(xiàn)敏感性保護目的，需要對安全技術(shù)措施的現(xiàn)實適用進行探討。

3.1 數(shù)據(jù)加密

在大數(shù)據(jù)信息時代，敏感個人信息多以數(shù)據(jù)的形式留存于網(wǎng)絡(luò)空間并被互聯(lián)網(wǎng)企業(yè)加以處理，因此，為了保護敏感個人信息，就必須對以其為承載內(nèi)容的數(shù)據(jù)加以保護。數(shù)據(jù)加密作為最為基礎(chǔ)的數(shù)據(jù)保護方法，可以通過對其特別適用來實現(xiàn)敏感性保護目的。

首先，個人信息處理者應(yīng)構(gòu)建敏感個人信息數(shù)據(jù)處理的專屬加密體系。具體而言，可從數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性鑒別、密鑰管理等多環(huán)節(jié)著手。其一，數(shù)據(jù)傳輸環(huán)節(jié)。對于敏感個人信息數(shù)據(jù)的傳輸加密應(yīng)覆蓋各涉及數(shù)據(jù)流動的處理階段，做到一傳輸就加密，直至數(shù)據(jù)被刪除或銷毀時才應(yīng)終止。其二，數(shù)據(jù)存儲環(huán)節(jié)。對于儲存于數(shù)據(jù)庫中的敏感個人信息數(shù)據(jù)，應(yīng)同時采用密文儲存與存取控制的方法進行保護，通過設(shè)置更為復(fù)雜的加密算法轉(zhuǎn)換、附加密碼、加密模塊，嚴格審查數(shù)據(jù)使用者資格的方式加大數(shù)據(jù)出庫的難度。其三，數(shù)據(jù)完整性鑒別環(huán)節(jié)。對于敏感個人信息數(shù)據(jù)在傳輸、存儲、處理過程中介入對象的身份或相關(guān)的介入數(shù)據(jù)內(nèi)容應(yīng)進行及時、有效、重復(fù)的驗證，并在預(yù)先設(shè)置驗證參數(shù)時進行嚴格限制。其四，密鑰管理環(huán)節(jié)。對于敏感個人信息數(shù)據(jù)的專用密鑰應(yīng)嚴格管理，對其產(chǎn)生、分配、保存、更換、銷毀等各環(huán)節(jié)應(yīng)嚴格保密。同時，也可借助法律手段對密鑰技術(shù)加以保護。

其次，個人信息處理者應(yīng)采取合適的加密技術(shù)對敏感個人信息數(shù)據(jù)進行保護，除了最為基礎(chǔ)的防火墻、入侵檢測、防病毒等安全防護手段，信息處理者還可將硬盤加密、驅(qū)動層加密等更為高效的技術(shù)算法運用于對敏感個人信息數(shù)據(jù)的加密保護。為了更好地實現(xiàn)敏感性保護目標，信息處理者還可將多項加密技術(shù)組合適用或?qū)用芗夹g(shù)進行專門研發(fā)。除此之外，敏感個人信息數(shù)據(jù)的加密保護機制還應(yīng)處于持續(xù)更新的狀態(tài)以適應(yīng)日益嚴苛的敏感性保護需求。

3.2 數(shù)據(jù)脫敏

數(shù)據(jù)脫敏是指通過脫敏規(guī)則將數(shù)據(jù)變形從而將其中所包含的敏感性內(nèi)容脫去以實現(xiàn)信息保護要求的一種安全技術(shù)措施。目前，理論界與實務(wù)界中對于敏感個人信息數(shù)據(jù)脫敏技術(shù)使用標準仍較模糊，對于該措施的具體使用仍有可討論空間。

敏感個人信息數(shù)據(jù)的脫敏應(yīng)是徹底脫敏，對于脫敏徹底與否的爭論，實際反映了不同主體之間對于數(shù)據(jù)使用與數(shù)據(jù)保護利益取舍的差異態(tài)度。從法益平衡的角度上看，個人對其敏感個人信息的處理授權(quán)已在極大程度上讓渡自身權(quán)益。因敏感個人信息關(guān)系人格尊嚴與人身財產(chǎn)安全，故個人完全可能因其授權(quán)行為而招致難以預(yù)測的侵權(quán)危機。因此，為了維護利益平衡，應(yīng)對敏感個人信息的使用范圍與使用程度作出明確限制，從而實現(xiàn)對個人已讓渡權(quán)益的彌補。申言之，個人信息處理者應(yīng)明確把握敏感性處理行為的許可范圍，不得將敏感個人信息用于經(jīng)營牟利或是超越法定以及約定授權(quán)的處理。在未取得個人就敏感信息的進一步處理授權(quán)時，信息處理者應(yīng)毫不猶豫地進行徹底脫敏處理，以迅速終止個人信息權(quán)益因敏感性處理行為所致的搖擺不定狀態(tài)。

值得強調(diào)的是，敏感個人信息數(shù)據(jù)的脫敏還應(yīng)是不可逆脫敏。數(shù)據(jù)脫敏技術(shù)的使用目的在于，通過完全脫去數(shù)據(jù)中的敏感性內(nèi)容使其不再具有人身專屬性且不能識別特定對象，從而保障個人信息權(quán)益不會因數(shù)據(jù)交易或轉(zhuǎn)讓行為而受到損害，不可逆的脫敏結(jié)果顯然更符合采用脫敏技術(shù)進行數(shù)據(jù)處理的初衷。當數(shù)據(jù)不再可以通過一定的技術(shù)手段恢復(fù)至脫敏前的完整狀態(tài)時，其便可以兼顧保護個人信息權(quán)益與滿足社會公共利益的需要。而相較之下的可逆數(shù)據(jù)脫敏，雖有助于維護其他信息處理主體的數(shù)據(jù)利益，但其可逆的脫敏結(jié)果將使個人處于不可預(yù)估的侵權(quán)危機之中并面臨人格尊嚴與人身財產(chǎn)安全受損的風(fēng)險[3]。

4.結(jié)語

《個保法》中敏感個人信息保護制度規(guī)定之缺陷，將對敏感性保護目的的實現(xiàn)產(chǎn)生阻礙。為了平衡個人信息權(quán)益與算法權(quán)力沖突、保護人格尊嚴與人身財產(chǎn)安全，有必要將該部分存在缺陷的制度規(guī)定進行完善。其一，應(yīng)進一步細化敏感性知情同意規(guī)則，通過要求信息處理者建立持續(xù)有效的信息披露機制與兼顧特別授權(quán)與逐項同意的授權(quán)處理機制，提高信息處理者對其敏感性信息處理行為注意程度，并實現(xiàn)個人對信息處理全過程的知情、參與、支配；其二，應(yīng)增強敏感個人信息的安全保護措施，通過指示信息處理者構(gòu)建敏感個人信息數(shù)據(jù)處理的專屬加密體系與正確適用數(shù)據(jù)脫敏等安全技術(shù)措施，賦予其更為積極的作為義務(wù)，以更為妥善地保護個人信息權(quán)益。另外，《個保法》還存在著對敏感個人信息處理標準的規(guī)定過于抽象、對于個人信息保護影響評估等措施適用的體系規(guī)定仍未完善等問題。這些問題也將在不同程度上影響敏感個人信息保護目標的實現(xiàn)，其仍有待于立法與司法實踐之深究，敏感個人信息保護制度的構(gòu)建完備仍任重道遠。