作者：金茂律师事务所  万波 律师

网络技术对个人信息产生了很多新威胁，如间谍软件（spyware）（如cookie）、木马程序（trojan horse）、网络爬虫（spider）、网络臭虫（web bug）、电子档案传输协议（FTP），鉴于个人敏感信息的特殊性，各国法律多对个人敏感信息作出了特别规定。在欧盟法下，《通用数据保护条例》（“GDPR”）规定了“个人敏感信息”的范围和类型，即将种族或民族背景、政治观念、宗教或哲学信仰、工会成员身份、能够识别特定个人的生物识别数据、以及与自然人健康、性生活或性取向有关的数据界分为个人敏感信息。我国关于个人信息保护的法律法规总体上法律位阶不高，对于何为个人敏感信息、对个人敏感信息应采取哪些特殊保护措施的规定较为杂乱。

《个人信息保护法（草案二次审议稿）》已于2021年4月29日公布并征求意见，《个人信息保护法》的起草本身，是对之前我国较为杂乱立法的一次系统梳理，有必要对其识别标准和特殊保护要求予以进一步厘清。

一、个人敏感信息的识别

我国较早将个人信息区分为个人一般信息和个人敏感信息的规范性文件是《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB/Z 28828-2012），目前各法律法规对个人敏感信息的规定列举如下：

二、个人敏感信息保护的要求

我国较早将个人信息区分为个人一般信息和个人敏感信息的规范性文件是《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB/Z 28828-2012），目前各法律法规对个人敏感信息的保护要求列举如下：

三、个人敏感信息的特殊规则

对于个人敏感信息的处理规则，除了适用个人信息安全的基本原则（合法、正当、必要）以及上述列举的规定外，最为集中的规范性文件是《信息安全技术个人信息安全规范》（GB/T 35273-2020）。

综合现行法律、法规、标准及《个人信息保护法（草案二次审议稿）》等法律文件，在处理个人敏感信息是需注意的规则要点包括：

（一）个人敏感信息的识别规则

《信息安全技术个人信息安全规范》采用概况加列举的方式对个人敏感信息做了定义，即：“个人敏感信息是一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”结合上述我国现行法律法规以及《信息安全技术个人信息安全规范》正面列举的个人敏感信息种类和范围，下列信息都属于个人敏感信息而予以特别保护，该范围不仅囊苦了《个人信息保护法（草案二次审议稿）》的内容，而且还做了较大幅度扩充：

（二）个人敏感信息的特殊保护措施

1、个人信息保护政策的标识规则

企业在其《隐私政策》或《个人信息保护政策》中，对于涉及个人敏感信息的，《信息安全技术个人信息安全规范》要求需“明确标识”或“突出显示”。

2、直接收集时“明示同意”规则

收集个人敏感信息前，应按照《信息安全技术个人信息安全规范》的规定，应征得个人信息主体的“明示同意”。该国标规定的同意方式包括“授权同意”、“明示同意”等，其中“明示同意”的要求更高，其“明示同意”是指：个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为，肯定性动作包括用户主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写。

同时，对于个人生物识别信息，除了要求收集前征得个人信息主体的“明示同意”，还应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则。收集年满14周岁未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。

3、间接收集时“穿透审查”规则

《信息安全技术个人信息安全规范》未对间接收集个人信息和个人敏感信息区分对待，而统一适用同一规则，即：（1）应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认；（2）应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意转让、共享、公开披露、删除等；（3）如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的，应在获取个人信息后的合理期限内或处理个人信息前，征得个人信息主体的明示同意，或通过个人信息提供方征得个人信息主体的明示同意。

4、存储和传输时的安全措施规则

企业在传输和存储个人敏感信息时，应采用加密等安全措施（采用密码技术时应遵循密码管理相关国家标准）。

对于个人生物识别信息，原则上不应存储原始信息（如样本、图像），而应采取存储摘要信息等方式替代，且还应将个人生物识别信息与其他个人身份信息分开存储。

5、共享、转让、公开规则

企业在向第三方共享及转让其控制的个人敏感信息前，除告知共享、转让的目的、数据接收方的类型记忆可能产生的后果外，还应特别向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力，并事先征得个人信息主体的明示同意。

而对于个人生物识别信息，企业原则上不应共享或转让、公开，确需共享和转让的，应当单独向用户告知目的、信息类型等内容，并征得个人信息主体的明示同意。企业不应公开披露个人生物识别信息；也不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。

6、访问控制要求

企业对个人敏感信息的访问、修改等操作行为，应在对角色权限控制的基础上，按照业务流程的需求触发操作授权。例如，不是主动访问，而是当收到用户投诉时，投诉处理人员才可访问该个人信息主体的相关信息。

7、专职人员和机构要求

对于处理超过10万人的个人敏感信息的企业，应设立专职的个人信息保护负责人和个人信息保护工作机构，个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任，参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作。

8、新颁法规及特殊行业的额外要求

除上述所列个人敏感信息的保护规则外，企业还应密切关注特殊行业以及新法律法规的最新专门规则并因应调整自身保护措施，如《个人信息保护法(草案)征求意见》的风险评估制度、《个人信息出境安全评估办法（征求意见稿）》的跨境传输的个人信息主体“同意规则”、《数据安全管理办法（征求意见稿）》以经营为目的搜集个人敏感信息需向所在地网信部门备案的要求、医疗健康卫生领域如《人类遗传资源管理条例》等法律法规中对人类遗传资源信息、个人健康生理信息、医疗数据等的处理等做出的特别规定等。