大数据时代下个人信息保护现状（集萃专家学者谈敏感个人信息保护）

新闻来源：正义网-检察日报编者按　2021年11月1日起施行的个人信息保护法对敏感个人信息的内容与处理规则作了专门规定本期《集萃》摘编专家学者关于敏感个人信息保护的相关论述,以期促进对敏感个人信息的精准司法保护，我来为大家科普一下关于大数据时代下个人信息保护现状?以下内容希望对你有帮助!

大数据时代下个人信息保护现状

新闻来源：正义网-检察日报

编者按　2021年11月1日起施行的个人信息保护法对敏感个人信息的内容与处理规则作了专门规定。本期《集萃》摘编专家学者关于敏感个人信息保护的相关论述,以期促进对敏感个人信息的精准司法保护。

　　中国人民大学法学院教授王利明:

　　处理敏感个人信息应遵循“特定目的 单独同意”规则

　　所谓敏感个人信息,是指一旦该信息被泄露或者被非法使用就容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。我国个人信息保护法采取“概括 列举”的方式,首次对敏感个人信息的概念作出了规定,并明确规定了“敏感性”的核心特征,将未成年人的个人信息纳入敏感个人信息的范畴,从而区分了敏感个人信息与一般个人信息。敏感个人信息与私密信息隐私存在交叉重合关系,但两者也有一定区别,在保护方式上应当区别对待,对敏感个人信息的判断主要应依据法定标准,但也有必要兼采“场景理论”。敏感个人信息的处理应遵循“特定目的 单独同意”规则。敏感个人信息的处理与一般个人信息的不同之处在于,在符合特定目的情形下,还应当取得个人的单独同意授权,不允许通过默示授权的方式作出同意。个人信息的一般处理规则是基于信息主体的同意,而敏感个人信息的处理要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。并且,对于敏感个人信息的同意和告知事项,个人信息保护法都作出了更严格的规定,要求处理敏感个人信息应当符合单独同意规则。

　　华东政法大学法律学院副研究员韩旭至:

　　结合规范目的解释敏感个人信息告知同意条款

　　个人信息保护法第29条、第30条在法律上首次专门规定关于敏感个人信息处理的告知同意。当前,一方面,敏感个人信息保护与告知同意规则的部分理论成果已为立法所扬弃;另一方面,部分理论成果又无法直接解释这一全新的法律规范。对此,需结合两个条款的规范目的,以法教义学的立场对敏感个人信息处理的告知同意进行解释。就敏感个人信息处理的特殊告知事项而言,必要性的告知应展示个人信息处理与提供相关具体的服务/功能之间的必然联系。对个人权益影响的告知应根据个人信息保护影响评估的结果进行。就敏感个人信息处理的同意规则而言,为满足单独同意的要求,处理敏感个人信息与一般个人信息的同意应相互独立,不能采取一揽子同意的方式。书面同意是在单独同意的基础上对同意的形式要求,可采取合同书、信件、电报、传真等形式作出。敏感个人信息处理中的告知同意规则虽然重要,但绝非不可或缺。特定情形中处理敏感个人信息无须告知同意,告知同意亦不必然赋予敏感个人信息处理行为以合法性。

　　华东理工大学法学院副教授王鹏鹏:

　　区分个人信息以实现司法精准保护

　　就个人信息的区分而言,早在2012年,全国人大常委会颁布的《关于加强网络信息保护的决定》第1条将个人信息区分为“能够识别公民个人身份的信息”和“涉及公民个人隐私的电子信息”。之后,网络安全法第76条对“个人信息”进行了区分界定,即“能够单独识别”和“与其他信息结合识别”特定主体的身份信息,并且还用列举的方式进行了具体描述;我国民法典将“隐私权”与“个人信息”并列设置。然而,民法典关于个人信息的现有规定并不足以周全地保护个人信息,需要更为深入地研究和探讨。个人信息保护法对敏感个人信息作出了专门规定,但并没有对敏感信息的具体保护路径进行设计。个人信息区分的私法保护目的在于实现精准保护。个人信息的区分在立法模式上有列举式、情境考量式以及目的考量式,但都存在一定的局限性,应从实然和应然的角度确定具体认定标准。个人信息区分的实然标准是损害结果发生的概率,应然角度则是对“敏感性”的考量。敏感信息对信息主体的隐私有重大影响,应该构建事前的保护机制。

　　清华大学法学院助理研究员王苑:

　　动态界定敏感个人信息

　　个人信息保护法采取“概括 列举”模式规定敏感个人信息,这一规定可能带来多方面的不确定性,例如法律评价标准存在一定的模糊性,技术驱动的新型敏感个人信息可能未被容纳,判断标准的多维性引发归入和择出难题,等等。因而,有必要从根源上对敏感个人信息概念进行检视,以明确实定法下判断敏感个人信息的标准是否可以解决既有难题,以及如何应对未来实施难题。具体而言,针对我国敏感个人信息的规定缺乏特定的归入和择出标准问题,可通过综合考量个人信息主体、信息处理者、第三方主体、信息性质和处理目的等五个要素,动态界定敏感个人信息,既有助于监管机构合理确定敏感个人信息的具体标准,同时也有助于司法实践科学合理地裁判侵害个人信息权益纠纷。

　　[以上依据《当代法学》《地方立法研究》《大连理工大学学报(社会科学版)》《环球法律评论》,张宁选辑]