【条文主旨】
本条是关于处理敏感个人信息的特别告知事项的规定。
【条文理解】
一、敏感个人信息特别告知的正当性基础
敏感个人信息与一般个人信息是相对的概念,二者均属于个人信息的范畴,《个人信息保护法》第28条[1]对敏感个人信息进行了明确定义,敏感个人信息之外的个人信息属于一般个人信息。
敏感个人信息具有较高的人格属性,与自然人更密切、甚至“私密”,敏感个人信息的处理不当容易导致更严重的后果,比如宗教信仰、生物识别信息的泄露导致歧视、人格尊严受到侵害或者个人行踪被泄露导致生命健康安全存在隐患、金融账户泄露导致财产被盗取等。该类信息处理起来存在更高的风险,故而《个人信息保护法》为敏感个人信息的处理提供了更严格的保护措施。在信息处理者履行了一般个人信息告知事项的基础上,赋予信息处理者特别的告知义务,更加明确、醒目地提醒个人,避免其敏感个人信息在欠缺充分认知的情况下被处理,增强个人对敏感信息的实际掌控,同时也督促信息处理者审慎处理敏感个人信息。
基于上述理论认识,《个人信息保护法》在第二章第一节列举了处理个人信息均须遵守的告知义务的基础上,在该章第二节对敏感个人信息还要遵守的特殊告知义务作了进一步规定。
二、如何理解“告知处理敏感个人信息的必要性”
《个人信息保护法》对处理个人信息是建立在充分告知、明确自愿的基础上的,《个人信息保护法》第17条第1款规定了一般情形下的信息处理者的告知内容,采用列举加兜底条款的方式界定了告知事项范围,包括“(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项”。其中第4项兜底条款指明信息处理者的“告知”义务若有特殊规定遵循特殊规定,为第30条敏感信息的特殊告知处理预留了空间。
《
民法典》《
网络安全法》《个人信息保护法》[2]均对个人信息处理提出了必要性要求。必要性是《个人信息保护法》的基本原则之一,个人信息的处理不仅在收集时要遵循非必要不收集,在其他环节中也都要恪守必要性原则,比如《个人信息保护法》第19条[3]规定的个人信息的保存期限应“必要最短”。敏感个人信息的处理应当更为谨慎,《个人信息保护法》第28条也明确规定了只有在具有特定的目的和充分的必要性基础上才可以处理敏感个人信息。第30条所规定的额外告知事项,要求告知处理敏感个人信息的必要性,是对必要性原则及本法第28条处理前提的再次强调和操作上的细化。一般个人信息处理者的告知义务,并不包含必要性告知的义务。必要性原则在一般个人信息处理中主要体现在事后侵权成立与否的认定标准上,但在敏感个人信息中,则体现为事前授权成立与否的必要条件。
三、如何理解“告知对个人权益的影响”
在本法第17条第1款中并未将可能存在的影响作为一般个人信息处理的必须告知事项,这是处理敏感个人信息规定的额外要求。在日常的信息处理场景中,信息处理者往往会列出不同意提供敏感信息可能会导致特定服务不能实现或者导致服务质量下降的后果,而不是充分考虑和告知对个人权益的影响,这就导致用户、消费者对信息利用潜在的影响欠缺客观、全面了解。这在一般个人信息中通过事后侵权救济方式即可解决,但对于个人敏感信息,则需要通过事先告知方式充分提示。
本法第30条要求信息处理者告知影响的范围,既包括告知现实存在的影响,也包括可能存在的影响,既要告知可能导致特定服务不能实现等后果,也要告知可能存在的信息泄露等风险。
我国现有的一些规定已经明确了告知对权利影响的一些具体情形。《信息安全技术公共及商用服务信息系统个人信息保护指南》第5.2.2条就提供了范本,要求采取易知悉的方式,向个人信息主体明确告知和警示“f:个人信息主体提供个人信息后可能存在的风险”“g:个人信息主体不提供个人信息可能出现的后果”事项。另外,《中国人民银行金融消费者权益保护实施办法》第31条第2款规定:“银行、支付机构通过格式条款取得消费者金融信息收集、使用同意的,应当在格式条款中明确收集消费者金融信息的目的、方式、内容和使用范围,并在协议中以显著方式尽可能通俗易懂地向金融消费者提示该同意的可能后果。”《人类遗传资源管理条例》第12条第1款规定:“采集我国人类遗传资源,应当事先告知人类遗传资源提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利,征得人类遗传资源提供者书面同意。”消费者金融信息[4]和人类遗传资源信息[5],前者涉及财产安全,后者涉及个人生命健康,总体上看均是属于敏感个人信息的。上述两项规定均要求提示个人“同意的可能后果”“对健康可能产生的影响”是与本法该项规定相符合的。
除上述具体规定外,告知对有关权利影响的具体内容,应当具体考察敏感个人信息的具体类型,主要从被泄露、被非法使用对人身、财产安全的危害程度来具体考虑。诸如基因识别等生物识别信息,对于个人影响重大,在履行告知对权利影响义务时,就应当全面、详细地履行告知义务。
四、“依照本法规定可以不向个人告知的除外”的理解
告知义务是个人信息处理,尤其是敏感个人信息处理的基本原则。但该原则仍存在例外情况,集中反映于《个人信息保护法》第13条第1款2~7项,以及第18条、第35条的相关规定,其内在法理主要反映的是不同层级法益之间的利益衡量。主要是指位阶低的法益不能用来对抗位阶高的法益,但为了更高的法益保护需要可以突破较低法益保护的相关规则。一般而言,个人的财产权益不能用来对抗个人的人格利益,一般民事权利不能用来对抗《
宪法》保护的权利;个人权利一般不能对抗公共利益。具体来说,不能因收集个人信息获取经济利益的行为对抗个人的人格利益;《宪法》保护的通信自由和通信秘密权利可以对个人信息告知义务产生豁免。具体包括以下情形。
第一种情况是法律、行政法规规定应当保密或者不需要告知的情形。本法第二章个人信息处理规则的第一节一般规定中的第18条第1款规定,信息处理者免除告知义务的情形限于有法律、行政法规规定应当保密或者不需要告知的情形的,不告知的范围限于“可以不向个人告知前条第一款规定的事项”。其中“前条第一款规定的事项”是指第17条第1款的内容“(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项”。
可见,虽然第30条的表述是“依照本法”,即依照《个人信息保护法》的规定作为不向个人告知的例外的依据,但是第30条通过第18条的规定最终指向了第17条,第17条告知事项既包括前三项处理一般个人信息应当告知的事项内容,也包括第四项的“法律、行政法规规定应当告知的其他事项”的额外事项和特别规定。所以信息处理者依据第30条不向个人告知时,其不告知的法律依据可以是《个人信息保护法》也可以是其他法律、行政法规;其不告知的事项既包括处理一般个人信息所应当告知的事项,也包括额外的告知事项。
第二种情况是紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的。《个人信息保护法》第18条第2款规定:“紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后及时告知。”该种情况下,系因情况紧急导致客观上告知不能,不告知的事项范围没有限制,但是要求信息处理者在紧急情况消除后及时告知。
第三种情况是针对国家机关作为信息处理者的规定。《个人信息保护法》第三节国家机关处理个人信息的特别规定第35条规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。”除第18条第1款规定的情形,增加了“告知将妨碍国家机关履行法定职责的”的情形。
【条文适用】
一、敏感个人信息的转化问题
《个人信息保护法》中对信息进行了概念化的分类,按照可识别程度分为一般个人信息、去标识化信息、匿名化信息;按照敏感程度分为一般个人信息、敏感个人信息。但数据信息本身的高度变化特性使上述区分处于相对不稳定的状态。不但一般个人信息、去标识化信息、匿名化信息随着信息处理者能力的不同会发生变化,一般个人信息、敏感个人信息之间同样会因为基础条件的变化发生转化。
因此在具体的案件中,是否属于个人敏感信息需要结合应用场景、相关联信息收集能力、不同行业等因素进行具体判断,不能脱离具体场景以“全有全无”的方式作出判断。而且随着信息收集能力和技术的不断提高,人们能轻易获得大量关于个人的信息数据,这种有关数据聚合能力的增强,提高了一般个人信息与敏感个人信息、敏感个人信息与去标识化个人信息之间的转化可能性。尤其是敏感个人信息与去标识化个人信息之间的转化和认定,在实践中较为多见。
匿名化技术是个人敏感信息保护与数据流通的一个技术过滤工具,匿名化就是将个人信息转化成数据,这种数据的性质一经转化,其性质就不再具有人格属性,不再适用《个人信息保护法》中的相关规定。但是数据技术的发展,使得个人敏感信息脱敏后仍面临被重新识别的可能,匿名化这一概念和操作界定中的模糊不清,增加了信息主体隐私受到威胁的风险。因此,实践中不能因为个人信息经过去标识化处理就当然认定不适用《个人信息保护法》的保护,而应当具体确定是否存在信息聚合后转化为个人敏感信息并遭受侵害的情况。另外,一般个人信息与个人敏感信息之间的转化也是客观存在的现象。同理,个人敏感信息经过技术处理后转化为一般个人信息,然而在具有特定的信息聚合能力主体控制下,以及特定场景中,该数据就又可能识别出特定敏感信息,成为具有敏感属性的个人信息。在具体的纠纷中,这种转化的举证责任应当由原告即敏感个人信息主体一方承担,如能证明去标识化信息、一般个人信息已经转化为敏感个人信息,则当然适用特殊的告知同意等规则。
可以看出,个人信息的敏感性存在转化的可能,不仅取决于其性质或者类型,还取决于其被利用的目的或者方式。因此,对于个人敏感信息的保护,实践中除采用以敏感度、信息类别等确定性因素对个人敏感信息进行判断之外,还应注意到在不同情景和不同持有者这些流变的因素中对个人敏感信息进行识别判断,以准确确定信息类型和应当适用的规则。
二、必要性告知具体内容的认定
处理敏感个人信息的必要性内容认定标准在实践中具有一定的难度。这一认定更类似于一种动态系统论的认定,也就是说敏感个人信息处理的必要性理由,需要结合具体场景要素来综合判断,不能一概而论。《个人信息保护法》并未正面对上述内容进行列举,但在个人信息领域的其他规定中有所涉及。上述必要性理由可分为以下几类:首先是提供服务等实现个人利益所必要。如2021年国家互联网信息办公室、工业和信息化部、公安部办公厅、国家市场监督管理总局联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》第3条规定了必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务,第5条列举了39类常见类型App的必要个人信息范围。上述情形即属于敏感个人信息中适用的必要性条件。信息处理者告知必要性时应当更加注意处理范围、程度与敏感信息的比例关系,同时应当注意这种告知义务的范围涵盖信息处理的各个环节,不仅包括收集,还包括使用、存储、加工、公开、转授权等各个处理环节。其次是为实现信息处理者利益所必须。有些信息处理者对于个人敏感信息的使用是出于自身商业利益考虑,如通过大数据算法实现最优商业模式等,这种情况在不违反强制性法律规定前提下一般要给予个人一定对价补偿,在达成事先的补偿对价合意时,在具体使用时信息处理者就应当告知该信息使用对于处理者商业利益实现的必要性。最后是实现合同目的所必须。该合同不是指以个人敏感信息使用为标的的合同,而是指在实现合同双方指向的合同目的过程中必须以个人敏感信息的适用为手段的合同。如个人与公司签订的理财合同,在合同履行过程中必然要使用个人身份信息和个人账户信息等敏感信息。这些也属于应在使用前应当向个人告知的个人敏感信息。
