數字經濟時代個人信息處理的法律基礎

時 誠

(西南政法大學 民商法學院， 重慶 401120)

在數字經濟時代，伴隨數字化技術應用領域的不斷擴展，個人信息已經成為自然人與信息處理者之間相互博弈的資源。一方面，信息處理者以提高數字經濟效益、增強社會福祉為出發點，主張對個人信息資源進行自由開發利用；另一方面，如果片面強調信息資源的利用，則必然會侵害自然人的個人信息權益，損及其人格尊嚴、個人自由[1]。為協調個人信息保護與利用的關系，2021年8月20日通過的《個人信息保護法》第1條將“規范個人信息處理活動”作為其立法目的之一，并試圖圍繞其構建系統化、體系化的個人信息處理制度。

本文擬從個人信息處理的規范涵義出發，通過探討《個人信息保護法》中個人信息處理制度的創新與不足，提出在解釋論上細化和完善相關條款的建議，以奠定數字經濟時代個人信息處理的法律基礎。

一、個人信息處理的規范涵義

明確個人信息處理的規范涵義，是建立科學合理的個人信息處理制度的重要前提。根據《個人信息保護法》第4條第2款，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等，其可以從法律地位、制度功能、價值評判等角度進行觀察。

(一)法律地位：規范個人信息處理活動是個人信息保護法的立法目的

目前，全世界已經有140多個國家和地區制定了個人信息保護法。從該法律的發展歷程來看，之所以各國普遍關注自然人的個人信息保護問題，起源于計算機技術廣泛應用于收集、存儲、使用、加工、傳輸等個人信息處理活動，進而大幅增加了自然人個人信息遭受泄露、非法使用的風險。在步入數字經濟時代后，伴隨社會數字化進程的不斷推進，數據愈發成為重要的生產要素，僅僅依靠侵權法、刑法、消費者權益保護法等綜合性法律對個人信息權益提供事后救濟，已經不足以應對數字經濟時代的個人信息保護危機。為防范個人信息處理活動中可能出現的權益侵害風險，有必要制定個人信息保護法規范個人信息處理活動而確保自然人的人身權益、財產權益免遭侵害[2]。例如，歐盟《一般數據保護條例》(GDPR)第1條將個人數據處理中自然人的權益保護作為其立法目的，并設立專章(第二章)對個人數據處理的原則和合法性事由作出了詳細規定。

值得注意的是，保護自然人的個人信息權益并不意味著全面禁止商業化的個人信息處理活動。相反，“個人信息的合理使用并不必然排除出于商業目的的使用”(1)凌某某訴北京微播視界科技有限公司隱私權、個人信息權益網絡侵權責任糾紛案，北京互聯網法院民事判決書(2019)京0491民初6694號。。這是因為，個人信息對自然人與信息處理者而言具有不同的規范價值：信息處理者依據法律規定或當事人約定處理個人信息，其商業化利用的核心是個人信息中的財產性利益[3]148；而法律保護自然人個人信息權益的目的在于維護其人格尊嚴、個人自由，其個人信息本身并不具有財產價值，真正蘊含重要財產價值的是眾多個人信息的集合[4]?？梢?，個人信息商業化利用的本質是信息處理者合理使用或自然人許可其使用個人信息的活動，自然人在個人信息上享有的人格權益并未因信息處理活動而消滅[5]。

(二)制度功能：個人信息處理制度旨在協調保護個人信息與維護公共利益的關系

個人信息處理制度的目標在于協調保護個人信息與維護公共利益的關系，其理論基礎是權益限制理論。權益限制是規范視野中的常見現象，限制自然人民事權益的路徑主要包括：一是權益沖突，即由于權益邊界的模糊性、交叉性而導致的，兩個以上主體之間存在的權益矛盾關系[6]，如著作權與肖像權的沖突、娛樂權與休息權的沖突等，其以犧牲(限制)其中一個主體的利益作為實現另一主體利益的代價；二是基于公共利益的權益限制，如隱私權在一定程度上要受到輿論監督權、公眾知情權的限制。

個人信息不僅附著了自然人的人格權益，而且承載了不特定多數人的(公共)利益，限制自然人個人信息權益的主要理由是公共利益。一方面，對于自然人而言，個人信息是維護其人格尊嚴、個人自由的重要屏障[7]，信息處理者應當尊重自然人的自主意志[8]；另一方面，數字經濟時代的來臨不僅使得人類活動愈發朝向數字化、智能化的方向發展，也迫使自然人為實現公共利益而讓渡部分個人信息權益，從而激發企業創新活力、提升政府的服務質量。為協調保護個人信息與維護公共利益的關系，有必要建立完善的個人信息處理制度，將企業、政府等信息處理者的行為納入法律的預設軌道。

(三)價值評判：個人信息處理的合法性判斷具有劃定權益邊界的作用

自然人的個人信息權益與公共利益的保護位階不能絕對化，而應通過個人信息處理活動的合法性判斷劃定個人信息權益的邊界[9]。

其一，合法的個人信息處理是自然人個人信息自決權的行使或對個人信息權益的限制。知情同意是最基本的個人信息處理的合法性事由，要求信息處理者的行為建立在自然人充分知情且同意的基礎之上，是自然人信息自決和自主意志的體現。但知情同意卻非個人信息處理的唯一合法性事由，還包括法律、行政法規規定的其他情形[10]。特別是當個人信息涉及公眾知情權、公共安全等公共利益時，個人信息處理是保障公眾知情權、采取公共管理措施的重要工具[11]。在符合法律規定的情形下，自然人的個人信息權益應部分地讓位于公共利益，以充分實現個人信息的社會價值。

其二，違法的個人信息處理構成對自然人個人信息權益的侵害，信息處理者將承擔相應的法律責任。主要包括下列情形：一是信息處理者未經自然人同意且以不符合法定事由的方式處理個人信息。例如，“微信讀書收集原告微信好友列表，向原告并未主動添加關注的微信好友自動公開讀書信息，并未以合理的‘透明度’告知原告并獲得原告的同意”(2)黃女士與騰訊科技(北京)有限公司等網絡侵權責任糾紛案，北京互聯網法院(2019)京0491民初16142號民事判決書。。二是信息處理者雖經自然人同意，但并未明示個人信息處理的目的、方式、范圍，或者個人信息處理不符合合法、正當、必要原則，構成對個人信息的過度處理。例如，根據《網絡安全法》第30條，網信部門在履行職務中獲取的個人信息，只得用于維護信息網絡安全；如果超越該目的范圍處理個人信息，則不符合信息處理的必要性原則，侵害網絡用戶的個人信息權益。三是信息處理者違反安全保障義務導致個人信息泄露、篡改、丟失等。例如，因東航和趣拿公司的安全管理存在漏洞導致用戶的個人信息泄露造成損害的，信息處理者應當承擔侵權責任(3)龐理鵬訴中國東方航空股份有限公司、北京趣拿信息技術有限公司隱私權糾紛案，北京市第一中級人民法院民事判決書(2017)京01民終509號。。

二、個人信息處理的合法性事由

《個人信息保護法》第13條第1款規定了7項個人信息處理的合法性事由。其中，知情同意屬于信息處理者基于自然人同意而處理其個人信息的情形；而其他合法性事由則是法律基于公共利益等對自然人個人信息權益的限制。

(一)知情同意

1.知情同意在個人信息保護中的基石性地位

自1970年德國黑森州的《數據保護法》確立知情同意規則以來，知情同意逐漸成為各國普遍認可的個人信息處理的合法性事由。例如，歐盟《一般數據保護條例》第6條第1款第(a)項確認了經過自然人同意的個人數據處理的合法性，并于第7條和第8條分別規定了同意的條件和兒童同意的特殊規則。從我國個人信息保護的立法進程來看，自2012年12月28日《全國人民代表大會常務委員會關于加強網絡信息保護的決定》首次以法律的形式確立知情同意規則以來，一直被我國個人信息保護立法所采納?！睹穹ǖ洹返?035條也明確對知情同意規則作出了規定。然而，伴隨數字經濟的發展與大數據技術的普及，知情同意的理論與實踐基礎卻頻繁遭受學者們的質疑，如同意不能消除自然人與信息處理者的信息不對稱、同意缺乏必要性與真實性[12]、同意為自然人和信息處理者帶來沉重負擔等[13]。

誠然，知情同意規則的實施現狀并不令人滿意，自然人通常缺乏足夠的耐心和時間閱讀冗長晦澀的個人信息保護政策。但是，個人信息承載著自然人的人格權益，任何個人信息處理行為都可能會產生侵害自然人人身權益、財產權益的潛在風險。在此意義上，個人信息作為保護自然人人身權益、財產權益免受非法侵害的法律屏障，并非任由他人處理的公共物品。如果否認知情同意規則的合法性，完全將個人信息處理行為交由公法規制，則“漠視了個人信息上承載的民事權益，只能導致大量以維護公共利益之名而行侵害私權利之實的惡行，最終的結果是既無法維護公共利益，更無法保護民事權益”[14]。可見，在數字經濟時代，盡管知情同意規則的地位正在衰退，但其仍是個人信息保護的重要基石，具有保障個人信息自決權、彰顯自然人自主意思的功能價值[15]，是最基本的個人信息處理的合法性事由。正因如此，與2020年10月21日公布的《個人信息保護法(草案)》相比，《個人信息保護法》第13條增加1款，意在于將第1款第一項規定的知情同意作為個人信息處理的基礎性合法事由，而第二項到第七項規定的其他情形則是知情同意的例外。

2.知情同意的構成要件

知情同意規則由知情和同意兩個部分構成，其根據《個人信息保護法》第14條到第18條須滿足如下條件：

其一，告知信息處理事項。信息處理者應以顯著方式、清晰易懂的語言告知個人信息處理的各種事項，包括信息處理者的身份和聯系方式、個人信息處理的目的和方式、個人信息的種類和保存期限、自然人的權利等，從而確保自然人在充分知情的基礎上作出是否同意的選擇。例如，在黃某訴騰訊微信讀書案中，法院認為，“原告用微信登陸微信讀書時，單獨拉起微信的授權頁面，授權內容為‘尋找與你共同使用該應用的好友’，一般用戶即可知曉微信讀書經過用戶授權則獲得用戶的微信列表。故僅從知悉收集信息的內容來看，達到了用戶知情的標準”(4)黃女士與騰訊科技(北京)有限公司等網絡侵權責任糾紛案，北京互聯網法院(2019)京0491民初16142號民事判決書。。但如果信息處理者告知義務的履行將違反法律、行政法規規定的保密義務，或者信息處理者待告知的事項屬于自然人明知應告知之內容(如醫療機構處理患者的個人信息)，則在不損害自然人人身權益、財產權益和其他重大利益的情況下，可以免除信息處理者的告知義務[16]218。

其二，公開信息處理規則。知情不僅要求信息處理者明示信息處理的各種事項，還應以其公開信息處理規則為必要。信息處理規則屬于信息處理者一方掌握的信息。為最大程度地消除信息處理過程中可能出現的信息不對稱現象，信息處理者應公開闡述信息處理的深度和廣度、信息處理設備、信息處理的智能化程度和由此帶來的風險、經過處理后信息的流向等。例如，“在《使用百度前必讀》中，百度網訊公司已經明確說明cookie技術、使用cookie技術的可能性后果以及通過提供禁用按鈕向用戶提供選擇退出機制”(5)朱燁與北京百度網訊科技公司隱私權糾紛上訴案，江蘇省南京市中級人民法院(2014)寧民終字第5028號民事判決書。，其行為符合公開信息處理規則的要求。

其三，征得自然人或其監護人同意。除非法律、行政法規另有規定，信息處理者在告知信息處理事項并公開處理規則后，還應征得自然人或其監護人的同意。在法律、行政法規沒有作出特別規定的場合，同意既包括自然人的明示同意，也可涵蓋自然人的默示同意(6)例如，“朱燁在百度網訊公司已經明確告知上述事項后，仍然使用百度搜索引擎服務，應視為對百度網訊公司采用默認‘選擇同意方式’的認可”。朱燁與北京百度網訊科技公司隱私權糾紛上訴案，江蘇省南京市中級人民法院(2014)寧民終字第5028號民事判決書。；既包括口頭同意，也包括書面同意。如果自然人已滿十四周歲，則信息處理者應征得自然人本人同意，否則應征得其父母或其他監護人同意。而自然人撤回同意的，不影響撤回同意前個人信息處理的合法性。

(二)知情同意以外的其他合法性事由

個人信息上不僅附著了自然人的人格權益，而且承載了公共利益。當法律基于公共利益等因素的考量，可限制自然人的個人信息權益，規定信息處理者無須經過自然人同意即可處理其個人信息的情形。例如，歐盟《一般數據保護條例》第6條第1款(第a項除外)規定了知情同意以外的個人數據處理的合法性事由。而我國《個人信息保護法》第13條第1款第二項到第七項則確立了以下幾類個人信息處理的合法性事由。

1.訂立或履行自然人作為一方當事人的合同

在合同締結或履行過程中，一方當事人不可避免地需要收集、使用對方的個人信息。對此，《個人信息保護法》第13條第1款第二項將信息處理者為訂立或履行自然人作為一方當事人的合同所必需的情形作為個人信息處理的合法性事由。其不僅適用于信息處理是履行自然人與信息處理者的合同所必需的場合，還可以包含在合同訂立前，信息處理是根據自然人的請求而履行先合同行為所必需的情形。此外，在信息處理者與第三方為維護自然人利益所訂立的合同中，《個人信息保護法》第13條第1款第二項雖未明確規定為合同訂立或履行所必需的個人信息處理的合法性，但在緊急情況下該情形也可納入第四項為維護自然人合法權益的范圍。

2.履行法定職責或法定義務

《個人信息保護法》第13條第1款第三項規定，信息處理者有權在為履行法定職責或法定義務所必需時處理自然人的個人信息。該條款是法律基于公共利益而授權信息處理者處理個人信息的權限，其前提是作為信息處理者的國家機關負有法定職責或非國家機關負有法定義務。例如，《網絡安全法》第50條規定了國家網信部門和有關部門對禁止發布或傳輸的信息的處置職責。而國家網信部門和有關部門為履行該職責必然會實施個人信息的收集、存儲等，其有權據此證成個人信息處理的合法性。

3.應對突發公共衛生事件或保護自然人合法權益

《個人信息保護法》第13條第1款第四項規定了兩類個人信息處理的合法性事由，包括：

其一，為應對突發公共衛生事件所必需處理個人信息的。在突發公共衛生事件中，出于維護公共衛生利益的需要，自然人應讓渡個人信息上的部分權益，以實現不特定多數人的利益[17]。例如，在新冠肺炎疫情期間，個人信息是記錄疫情期間人員動向、排查患病人員的重要工具，有關部門有權基于疫情防控的需要收集自然人的健康碼、出行記錄、個人行蹤等個人信息[18]。當然，即便是在應對突發公共衛生事件期間，個人信息處理也應維持在必要范圍之內，以防止假借應對突發公共衛生事件之名而為侵害個人信息權益之實。例如，“被告未經相關權威機構授權及原告等名單當事人的同意，且明知侵犯相關當事人隱私的情況下，以‘目前是非常時期，沒有什么東西比安全和生命更重要’‘目的在于希望涉及到的群眾主動配合官方’為借口擅自將涉及原告姓名、家庭住址、身份證號碼、手機號碼等個人信息的案涉文章發布在公眾平臺，侵害了原告的合法權益，應承擔相應的侵權責任”(7)趙某與重慶揚啟企業營銷策劃有限公司隱私權糾紛案，重慶市渝北區人民法院民事判決書(2020)渝0112民初24368號。。

其二，在緊急情況下為保護自然人生命健康和財產安全所必需處理個人信息的。相較于個人信息權益，自然人的生命權、身體權、健康權等人身權利以及權利化的財產權益具有更高的保護位階，法律通常對后者予以優先保護。當自然人的個人信息權益與其他合法權益發生沖突時，信息處理者有權出于維護自然人合法權益的需要處理個人信息。例如，當自然人突發疾病急需緊急醫療而又難以征得本人或其監護人同意時，醫療機構有權基于維護自然人生命權、健康權之目的處理其個人信息，以便于對該自然人進行緊急救治。

4.實施新聞報道、輿論監督

新聞單位或其他媒體機構在實施新聞報道、輿論監督的過程中，不可避免地會收集、使用自然人的個人信息，如姓名、性別、個人行蹤、健康信息等。倘若新聞單位或其他媒體機構在處理這些個人信息時都須經過自然人的知情同意，則不僅有害于新聞報道的正常進行，而且不利于公眾知情權、輿論監督權之實現。因此，《個人信息保護法》第13條第1款第五項規定，在滿足下列條件時，新聞單位或其他媒體機構有權合理使用個人信息：

其一，實施新聞報道、輿論監督等行為。所謂新聞報道，是指依法設立的新聞單位或其他媒體機構通過報紙、電視臺、互聯網等媒體途徑或其他途徑對已經發生事件的報道，具有準確性、及時性等特點；所謂輿論監督，是指社會公眾通過新聞媒體或其他媒介對社會運行中發生的事件或現象予以監督并發表評論、意見的活動，其本質是公眾監督。

其二，實施新聞報道、輿論監督之目的在于維護公共利益。并非新聞單位或其他媒體機構實施的任何新聞報道、輿論監督行為都有權處理個人信息，而須以維護公共利益作為其目的限制。如果新聞報道、輿論監督是為了報道娛樂新聞、披露某個明星的隱私或不道德行為，由于其并不涉及公共利益，信息處理者在未經自然人同意的情況下無權處理其個人信息[21]34。

其三，新聞單位或其他媒體機構的信息處理行為必須合理。所謂“合理”，不僅意味著信息處理者應當滿足《個人信息保護法》第5條到第9條規定的個人信息處理的基本原則，還要求新聞報道、輿論監督不能侵害自然人的肖像權、隱私權等人格權益，否則應當承擔法律責任。

5.處理已公開的個人信息

已公開的個人信息集中體現了自然人在社會交往中的形象，是每個自然人參與社會生活的基礎[19]。根據《個人信息保護法》第13條第1款第六項，在滿足下列條件時，信息處理者有權處理已公開的個人信息：

其一，個人信息已經公開。其指某人將能夠識別特定自然人的信息公諸于眾，從而使得不特定人群可以通過合法方式予以獲取。信息公開的對象須為不特定的人，如果自然人在微信朋友圈、僅好友可見的新浪微博等網絡空間公開其個人信息，由于該信息只有特定人群才能獲取，故不屬于已公開的個人信息。

其二，個人信息的公開須合法。只要個人信息經過合法公開，就成為公共領域的數據，任何組織和個人都有權在不違反法律規定的情況下對其進行處理。合法公開的個人信息可分為兩種：一是自然人自行公開的信息。例如，某人在微信公眾號上發布的個人簡介、工作單位、電子郵箱等；二是其他已經合法公開的信息，主要包括基于政府機關的行政行為(如股權變更信息)、基于司法機關的司法行為(如裁判文書)而公開的個人信息等[20]。

其三，個人信息處理須維持在合理的范圍之內。并非所有合法公開的信息都可任由他人無條件地處理，而須保持在合理的范圍之內。該要求既是正當性原則和必要性原則的具體體現，又是保護自然人個人信息權益的重要措施。不合理的信息處理可能會對已公開的信息內容作出實質性改變，扭曲自然人在社會生活中的形象，不利于自然人的人格發展。

其四，個人明確拒絕或對個人權益有重大影響的除外。這主要包括：一是自然人明確拒絕處理已公開的個人信息，如科研工作者在學術會議上報告其論文或實驗數據后，公開發表任何人不得擅自公開的聲明。 二是個人信息處理將侵害自然人人身權益、財產權益或其他重大利益。 例如，在蘇州貝爾塔數據技術有限公司與伊日克斯慶一般人格權糾紛案中，二審法院認為，“個人信息主體對信息傳播控制的人格權益顯然高于已經合法公開的個人信息流通所產生的潛在財產權益，個人信息主體對其個人信息傳播控制的權利更不因個人信息已經合法公開而被當然剝奪”。 因此，“在伊某聯系貝爾塔公司要求刪除文書之后，貝爾塔公司仍以中國裁判文書網已公開訴爭文書為由拒絕刪除涉案文書，則構成對伊某個人信息的非法公開使用”(8)蘇州貝爾塔數據技術有限公司與伊日克斯慶一般人格權糾紛案，江蘇省蘇州市中級人民法院民事判決書(2019)蘇05民終4745號。。

除上述個人信息處理的合法性事由外，《個人信息保護法》第13條第1款第七項還設立了兜底性條款，法律、行政法規可基于維護公共利益的需要創設個人信息處理的合法性事由。

三、敏感個人信息處理的特殊規則

與一般個人信息處理活動相比，敏感個人信息一經泄露或非法處理即會產生侵害權利的高度風險，應當受到法律的嚴格限制。對此，《個人信息保護法》第二章第二節規定了“敏感個人信息的處理規則”，旨在為敏感個人信息提供更高程度的保護。

(一)敏感個人信息與一般個人信息的區分

如何區分敏感個人信息與一般個人信息，是確定敏感個人信息的處理對象、構建敏感個人信息處理制度的先決性問題。對此，比較法上通常采取列舉的方式確立敏感個人信息的范圍或類型。例如，歐盟《一般數據保護條例》第9條規定，敏感個人數據包括種族、民族、政治觀點、宗教或哲學信仰、工會成員資格、基因、生物特征、健康、性生活或性取向等。美國弗吉尼亞《消費者數據保護法》(CDPA)在第59.1-571節的定義中規定，敏感個人數據包括：有關種族或族裔血統、宗教信仰、心理或身體健康診斷、性取向、公民或移民身份的個人數據；僅基于識別特定自然人之目的而處理的遺傳或生物識別數據；兒童個人數據；精確地理位置數據?！秱€人信息保護法》第28條第1款在借鑒比較法的基礎上，結合我國歷史發展、文化背景、意識形態等現實情況[22]，將敏感個人信息界定為一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，并列舉了生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡、不滿十四周歲未成年人的個人信息等敏感個人信息的具體類型。

敏感個人信息與一般個人信息的區分意義在于：其一，實現個人信息保護與利用的平衡。在數字經濟時代，能夠被識別的特定自然人的信息種類十分豐富，特別是能夠間接識別或關聯到特定自然人的信息，其類型隨著數字化技術的發展已經得到廣泛拓展。然而，這些個人信息的重要性程度卻是不可等量齊觀的。一般認為，敏感個人信息附著的人格尊嚴要素明顯高于一般個人信息[23]。例如，自然人的姓名、身高體重、電話號碼等個人信息，與人格尊嚴、個人自由的關聯程度明顯要低于宗教信仰、個人行蹤等敏感個人信息，當后者遭受泄露或非法處理時通常會對自然人造成更高程度的損害。因此，根據個人信息的處理風險對其進行劃分，有利于為不同類型的個人信息設置差別化的處理條件，從而實現強化敏感個人信息保護、促進一般個人信息利用之目的。其二，旨在對敏感個人信息處理提出更高的要求。這一點不同于《民法典》人格權編第六章對私密信息與非私密信息的區分。后者在于合理劃分隱私權與個人信息權益的界限，是評價侵害個人信息權益的侵權責任是否成立的要素[24]。某類個人信息是否屬于私密信息，應結合具體場景進行動態判斷。而前者則是基于個人信息泄露或非法處理的潛在風險進行的分類，某類個人信息是否屬于敏感個人信息，取決于社會一般人對潛在危險結果的判斷。正如有的法院所指出的，“個人敏感信息更強調不當利用給信息主體帶來的客觀風險，該風險包括人身、財產風險；私密信息更強調因信息涉及人格利益而不愿為他人知曉的主觀意愿”(9)黃某訴騰訊科技(深圳)有限公司等隱私權、個人信息權益網絡侵權責任糾紛案，北京互聯網法院民事判決書(2019)京0491民初16142號。。

(二)敏感個人信息處理的額外要求

《個人信息保護法》規定的敏感個人信息處理的額外要求主要包括下列4項，其中第一項和第四項是對敏感個人信息處理的所有合法性事由的額外要求，而另外兩項則是對知情同意規則的強化。

其一，在處理目的與必要性上，《個人信息保護法》第28條第2款規定，與一般個人信息不同，只有在信息處理者具有特定目的與充分必要性并采取嚴格保護措施的情形下，方可處理敏感個人信息。這一規定旨在排除基于概括化目的和不具有充分必要性(如掃碼點餐)的敏感個人信息處理的合法性，以防止因敏感個人信息處理的條件和程序過于簡單而對自然人的人格尊嚴、個人自由造成較高的侵害風險。

其二，在同意標準上，敏感個人信息采用單獨同意標準，信息處理者應征得自然人對敏感個人信息具體處理細節的單獨同意；如果信息處理行為超越同意的邊界，則需要重新征得自然人同意；而法律、行政法規要求信息處理者取得書面同意的，還必須征得自然人的書面同意(《個人信息保護法》第29條)。相反地，信息處理者在處理一般個人信息時只需要經過自然人的概括同意，而并不要求同意的獨立性、具體性，信息處理者有權基于自然人概括寬泛的承諾對其一般個人信息進行處理。

其三，在告知事項上，信息處理者處理敏感個人信息的，須向自然人履行更多的告知事項，即除告知《個人信息保護法》第17條第1款規定的事項外，還應向自然人告知處理敏感個人信息的必要性及其對自然人權益的影響(《個人信息保護法》第30條)。

其四，在限制條件上，敏感個人信息的處理相較于一般個人信息而言應受到更多的限制：一是當法律、行政法規對敏感個人信息處理作出更加嚴格的限制時(如要求其獲得行政許可)，信息處理者須符合法律、行政法規的相關要求，否則其信息處理行為即構成違法(《個人信息保護法》第32條)；二是《個人信息保護法》第55條規定，信息處理者負有在實施敏感個人信息處理前進行個人信息保護影響評估并記錄處理情況的義務，且該記錄須至少保存三年。

四、個人信息處理的制度完善

盡管《個人信息保護法》在個人信息處理制度上不乏創新之處，但也存在一些不足，如知情同意標準的設置較為僵化、知情同意以外的其他個人信息處理的合法性事由不夠完善、敏感個人信息處理的規定過于籠統等。針對上述問題，有必要在解釋論上繼續完善個人信息處理制度。

(一)構建知情同意的動態信息披露機制

在知情同意規則上，《個人信息保護法》第14條和第29條分別針對一般個人信息與敏感個人信息構建了不同的同意標準。其中，敏感個人信息采用單獨同意標準，有利于自然人在獲得個人信息處理的全部資訊的基礎上作出同意決定；而一般個人信息采納概括同意標準，信息處理者只需要籠統地、一次性地告知信息處理的潛在風險，自然人可能并不知悉信息處理中究竟能用到哪些信息、這些信息會被傳輸至何處，因此自然人作出的同意決定未必符合其內心真意，也不能適應數字經濟時代個人信息頻繁處理的需要。為保障自然人在個人信息處理的各個環節都能有效追蹤其信息處理狀況，應當在對一般個人信息采用概括同意標準的同時，引入動態信息披露機制。

動態信息披露機制主要包括以下措施：其一，信息處理者負有對信息處理目的、方式、范圍等事項的持續告知義務，自然人有權隨時了解信息處理的最新動向，全程追蹤信息處理過程[25]。其二，信息處理者可以采納概括告知的方式披露信息處理事項，但不能遺漏重要事項，特別是可能會對自然人的同意產生實質性影響的信息。其三，信息處理者須采取能夠引起自然人注意的方式進行信息披露，盡量選用通俗易懂的語言，并對其中的關鍵信息采取加粗加黑等重要標識(10)例如，“百度網訊公司將《使用百度前必讀》的鏈接設置于首頁下方與互聯網行業通行的設計位置相符，鏈接字體雖小于處于首頁中心位置的搜索欄字體，但該首頁的整體設計風格為簡約型，并無過多圖片和文字，網絡用戶施以普通注意義務足以發現該鏈接”，參見朱燁與北京百度網訊科技公司隱私權糾紛上訴案，江蘇省南京市中級人民法院(2014)寧民終字第5028號民事判決書。。其四，自然人或其監護人的同意也應具有動態性，可根據個人偏好個性化地選擇知情的手段、頻率與內容，并根據信息處理狀況隨時選擇加入、退出或限縮處理范圍，從而有利于提高自然人在信息處理中的參與度[26]。

(二)完善知情同意以外的其他合法性事由

在知情同意以外的其他個人信息處理的合法性事由上，《個人信息保護法》第13條第1款雖規定了5項具體事由并附有兜底性條款，但其具體內容較為簡單，且在很多事由中采取了“公共利益”等不確定性概念，在實踐中有必要對其進行細化或完善。

其一，細化個人信息處理合法性事由中公共利益的涵義。公共利益屬于不確定性概念，其不足是：“權利尋找者依據模糊的法律表述，不能預見法官在具體情況下如何裁判——它提供很少的‘導向確定性’……這確實讓人擔憂。”[27]38《個人信息保護法》第13條第1款第五項將新聞報道、輿論監督中的個人信息處理限定在維護公共利益的目的范圍內，但并未明確公共利益的具體內涵。為了滿足法治國家對法律確定性的需求、防止公益行為對私人自治領域的過度介入，個人信息保護法有必要詳細列舉基于維護公共利益的需要而處理個人信息的情形[28]。例如，歐盟《一般數據保護條例》第23條第1款將國家安全；國防；公共安全；預防、調查、偵查、起訴刑事違法或執行刑罰；歐盟及其成員國的經濟或金融利益；維護司法獨立與司法訴訟；違反職業道德的預防、調查、保護、起訴；與官方權威相聯系的監督、檢查或規制；保護數據主體或其他人的權利與自由；實施某種民事法律主張等作為對自然人個人信息權益的限制。對此，我國司法實踐中可將為維護公共利益而處理個人信息的情形界定為保障公眾知情權、維護公共安全、強化社會保障、監督行政行為、維系公序良俗等。

其二，限縮為維護自然人的合法權益而處理個人信息的情形。《個人信息保護法》第13條第1款第四項將保護自然人的生命健康與財產安全作為個人信息處理的合法性事由。然而，生命健康與財產安全并非同一位階的利益。如果允許信息處理者為維護自然人的一般財產安全而處理其個人信息，則有可能導致個人信息合理使用抗辯的濫用，進而損及自然人的個人信息權益。為充分保障自然人的人格尊嚴、個人自由，建議在實踐中將本條款的“財產安全”限定為“重大財產安全”，以排除信息處理者為維護自然人的一般財產安全而處理其個人信息的合法性。

其三，認可為維護自然人以外的其他民事主體的合法權益而必需處理個人信息的合法性。除維護自然人的合法權益外，為維護其他民事主體的合法權益而處理個人信息屬于緊急避險的情形。這意味著當自然人的個人信息權益與第三人的合法權益發生沖突時，應當在二者之間進行利益衡量。只有當經過利益衡量后第三人合法權益的位階高于自然人的個人信息權益，而信息處理者又來不及或無法征得自然人或其監護人同意時，法律才應認可此類信息處理行為的合法性。

(三)確立“原則禁止、法定允許”的敏感個人信息處理原則

為貫徹強化敏感個人信息保護、促進一般個人信息利用的宗旨，敏感個人信息處理的原則應有別于一般個人信息處理。對此，比較法上通常采取原則上禁止處理敏感個人信息，而在滿足法律規定的例外情形下才允許對其進行處理的基本理念。例如，歐盟《一般數據保護條例》第9條規定，原則上應禁止處理敏感個人數據，只有當符合第2款規定的10種特殊情形時，如取得數據主體明確同意、數據處理對于數據控制者履行義務或行使特定權利所必需、在公共健康領域數據處理為維護公共利益所必需等，才例外地承認敏感個人數據處理的合法性。根據我國臺灣地區“個人資料保護法”第6條，不得搜集、處理或利用特種個人資料，但滿足該條規定的6種特殊情形之一者，不在此限。

不同于歐盟，我國《個人信息保護法》第28條第2款并未確立“原則禁止、例外允許”的敏感個人信息處理原則，而是規定只要信息處理者具有特定目的與充分必要性并采取嚴格保護措施，就可以對敏感個人信息進行處理。該規定雖在一定程度上強化了敏感個人信息的處理要求，但也存在如下弊端：其一，對于何謂特定目的與充分必要性，《個人信息保護法》并未作出規定，在實踐中容易引發判斷難題。例如，在信息處理者與第三方為維護自然人利益所訂立的合同中，信息處理者為合同訂立或履行所必需處理敏感個人信息的，是否屬于具備特定目的與充分必要性的情形，有待商榷。其二，對于不同的信息處理者而言，個人信息處理的目的是否特定或必要性是否充分存在較大差別，這意味著敏感個人信息處理的情形可能隨時處于變化狀態，自然人在具體場景中很難合理預期哪些敏感個人信息可以處理，而哪些敏感個人信息不得處理。其三，除特定目的與充分必要性外，《個人信息保護法》規定的敏感個人信息處理的特殊規則都是針對知情同意而言的，敏感個人信息與一般個人信息的處理在其他合法性事由上并無二致，顯然不利于預防因泄露或非法處理敏感個人信息所產生的特別風險[14]。

基于此，我國司法實踐應在借鑒比較法的基礎上，將《個人信息保護法》第28條第2款的“特定的目的和充分的必要性”解釋為“原則禁止、法定允許”的敏感個人信息處理原則，即原則上應禁止處理敏感個人信息，除非法律存在例外規定，才會允許信息處理者處理敏感個人信息。相應地，實踐中對例外允許處理敏感個人信息的條件或程序也應進行嚴格限制。例如，為履行法定義務所必需處理敏感個人信息的，信息處理者應在事前和事后盡到更嚴格安全保障措施；為統計或學術研究所必需處理敏感個人信息的，須對該敏感個人信息進行匿名化處理等。唯有如此，才能真正為自然人的敏感個人信息提供更加周全的保護。