梳理敏感個人信息管理要點

文/張鑫鴻

作者單位 上海江三角律師事務所

個人信息在現代社會中扮演著極為重要的角色。由于電子產品的大量普及，與個人信息相關的數據活動每時每刻都在發生。

大數據時代，鮮有人能夠逃脫自己的信息被收集、分析和利用的情況。新冠肺炎疫情防控期間更是如此，出入公共場所的健康碼、行程碼都是個人信息被分析和利用的直接例證。

然而，伴隨著個人信息數據指數級的增長，信息安全問題也日漸凸顯。明星人臉數據泄露、動物園未經許可采集游客人臉數據、用戶數據被泄露給第三方，這些信息安全案件近兩年開始頻繁地進入大眾視野。由于《中華人民共和國個人信息保護法》（以下簡稱《個保法》）的內容范圍廣，本文將擇取敏感個人信息作為焦點，闡述法律的出臺會給企業經營管理帶來哪些啟示。

敏感個人信息的特征與種類

《個保法》第二十八條規定，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

從法條的表述可知，敏感個人信息屬于個人信息的子集，是在滿足個人信息構成要件的基礎上，另外包含獨有特征的個人信息，即泄露或非法使用會產生利益損害。條文表述的是受到危害的現實可能性，并且在《個保法》二審稿中，“嚴重危害”中的“嚴重”二字被刪去，只要存在造成一般損害的現實可能性，這種個人信息即屬于敏感個人信息范疇。

除上述描述性標準外，法條后半段以有限列舉的方式，羅列了目前實務中常見的敏感個人信息大類別，包括了生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等類別。雖然這些類別較為籠統，但有助于企業快速識別所要處理的信息。除此之外，不滿十四周歲未成年人的個人信息被單獨提了出來，是較為特殊的敏感個人信息，這表現在其合規處理的規定相對更為嚴格，需要企業尤其關注。

敏感個人信息的梳理和識別

信息識別是分類管理、處理的前提。屬于一般個人信息的，達到一般處理規則要求的程度即可，屬于敏感個人信息的，需達到特殊規則要求的程度。企業可以經營管理的不同場景作為角度進行切分，分別對特定場景內產生、存在的個人信息進行識別。

實務中，與個人信息緊密聯系的場景大致有企業人力資源管理場景、主營業務經營場景、遵守監管規定和企業內控制度場景三種。每個場景中，企業需要意識到并梳理涉及的個人信息總共有哪些，而后再逐一分析歸類。比如，在人力資源管理的場景中，采集員工的聯系電話和常住地址屬一般個人信息，但是為了考勤而使用電子設備采集的人臉信息，則屬于敏感個人信息。再比如，低幼教育機構為開展教學活動而采集的低齡學員信息，屬于敏感個人信息；金融機構受監管要求或者按內控制度規定收集的員工相關信息，也存在敏感個人信息。

值得注意的是，敏感個人信息的梳理和識別工作，具有長期性、隨時性的特征。隨著技術設備的運用、業務的變化、新監管規定的出臺，個人信息收集的范圍和程度也將隨之變化。企業應當注意適時開展敏感個人信息的評估、識別工作。

敏感個人信息的合規處理

●處理的前提

敏感個人信息的處理，需同時滿足一般處理前提和特殊處理前提。一般處理前提在《個保法》第十三條中提及，包括取得個人同意、實施人力資源管理所必需、應對突發公共衛生事件等情形；特殊處理前提則在《個保法》第二十八條中提及，要求必須具有特定的目的和充分必要性，并已經采取嚴格保護措施的情形下，方可處理敏感個人信息。因此，充分的論證工作是企業決定處理敏感個人信息的前置性工作。

●特殊的告知同意規則

告知同意規則作為《個保法》確立的基本規則，在敏感個人信息處理方面存在特殊要求。在一般規則中，個人的同意，應當在充分知情的前提下，自愿明確作出。而對于敏感個人信息，《個保法》明確規定應當取得個人的單獨同意。這可以理解為一事一議，禁止一攬子授權同意。與此同時，法律、行政法規規定應當取得書面規定的，企業應當遵照執行。

在告知方面，一般規則中已經對告知的內容范圍和基本要求做了明確規定，在此不再贅述。而敏感個人信息的處理，則在一般告知的基礎上，還應當額外告知必要性，以及對個人權益的影響。除非滿足《個保法》規定的例外情形，比如法律明文規定需要保密的情形。

●對未成年人個人信息的絕對保護

《個保法》與《兒童個人信息網絡保護規定》均對涉及不滿十四周歲未成年人的個人信息處理進行了明確的規定，兩部規范性文件的內容相互補充。若企業以未成年人為主要受眾對象開發產品或服務，涉及其個人信息處理的，應當注意遵照執行。

根據《個保法》的規定，考慮到未成年人的認知能力有限，因此同意意思表示的主體，變更為未成年人的父母或者監護人。并且企業經營管理過程中需要處理未成年人信息的，還應當另行制定專門的規則。

根據《兒童個人信息網絡保護規定》，企業需指定專人負責未成年人個人信息保護，制定專門的保護規則和協議，對企業內部工作人員以最小授權為原則，對受托處理未成年人個人信息的第三方負有安全評估義務等。這些都對企業建立未成年人個人信息保護機制提出了具體要求。

管理要求與難點

●敏感個人信息匿名化處理與重識別攻擊

根據《個保法》的規定，企業作為個人信息的處理者，有義務在處理過程中采取相應的加密、去標識化等安全技術措施。此舉的目的，在于從技術層面保證個人信息的安全性，即便其因意外或非意外原因暴露于公眾視野，也不至于被第三人識別定位到具體的個人。

早先，單純匿名化的操作（將身份信息使用合成標識符進行替換，切斷敏感信息與真實個人之間的聯系）即可達成保護目的。但隨著現今個人信息數據的爆炸式增長，運用多維度匿名數據綜合分析依舊可以較為精確地定位到個人，這被稱為匿名數據的重識別攻擊（Re-Identification Attacks）。比如，攻擊人員通過將網絡劇集服務提供商的匿名數據鏈接到公共IMDb 數據庫的相應評級數據進行交叉參考驗證，最后發現獲悉匿名訂閱者觀看的六部電影的大致日期，就能以很高的概率精確識別個人身份。

但《個保法》并未規定采取的加密措施應達到何種程度，僅規定采取加密措施是處理者的義務。這就導致企業難以把握個人信息加密的程度。如果以極力降低個人信息處理風險為目的，則需要使用多重復雜加密措施，但這將增加企業數據處理的成本。若企業僅采用一般加密措施，一旦由于重識別攻擊而導致個人信息被泄露或非法利用，企業是否會被認為未履行《個保法》規定的義務，尚未可知。

●從0到1構建個人信息保護制度及其有效性評估

無論是基于《個保法》的明文要求，還是基于實際管理需求，企業應當從無到有構建完整的個人信息保護的基本制度，對信息的識別、處理規則、權責界定、流程構建等內容進行明確。但個人信息保護對于企業來說尚屬全新領域，在沒有先例可供借鑒的情況下，制度內容是否合理、制度流程是否能夠有效銜接、是否涵蓋了個人信息保護的重要方面，都需要企業在日常經營管理過程中不斷觀察、反饋和修正。

●第三方個人信息處理供應商行為管理

《個保法》第二十一條規定，委托處理個人信息的，應當對受托人的處理活動進行監督。但在實務中，對信息處理的受托人（供應商）的處理行為，企業并不一定都具備技術層面的監督能力。企業個人信息保護的各項要求，需加入供應商行為準則中，并且供應商準入應建立安全性評估流程。對于已經實際委托的供應商，需接受企業定期或不定期的檢查，提交相應的個人信息處理安全性報告進行審查和備案。

隨著個人信息應用愈發廣泛和普及、公民信息安全意識的不斷提升以及法律法規的不斷完善，個人信息安全的監督、監管必將走向常態化。企業作為個人信息處理的重要主體，承載著安全保護的主要義務。企業對個人信息保護的缺失，將會直接導致涉訴法律風險以及監管責任的產生，進而對企業聲譽產生深遠影響。