敏感个人信息
出自 MBA智库百科(https://wiki.mbalib.com/)
目录 |
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
(1)与公民个人直接相关,能够反映公民的局部或整体特点;或是一经取得、使用即具有专属性。前者如公民的出生日期、指纹等,后者如身份证编号、家庭住址等。
(2)具有法律保护价值。公民个人信息承载了公民的个体特征,甚至各项权利,如果任由他人泄露、获取,必然导致公民时刻处于可能遭受侵害的危险状态。
(3)公民个人信息的保护不以信息所有人请求为前提。除非基于维护国家利益、公共利益的需要或信息所有人的意愿,任何组织和个人均无权泄露、获取其个人信息。
敏感个人信息的处理规则[1]
个人信息保护法第一条规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”该条开宗明义,明确了个人信息保护法的调整边界,即规范个人信息的“处理”活动。个人信息保护法在本质上就是要规范利用个人信息、对个人进行识别分析的行为。该法第二十九条、第三十条、第三十一条进一步明确了敏感个人信息的处理规则,凸显了对敏感个人信息的保护力度。
“同意方式”强化。个人信息保护法第二十九条规定:“处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。”这里的“单独同意”,是指信息处理者在处理敏感个人信息中,必须就特定敏感个人信息的处理行为,单独取得信息主体的同意,即坚持“告知、同意”。这与第十三条规定的“个人信息处理者取得个人同意方可处理个人信息”相比,“单独同意”主要强调同意的独立性,信息主体对于敏感个人信息的同意可以独立于其他个人信息,信息处理者在实践中就敏感个人信息处理的一系列行为征得“概括同意”应当被认定为无效。“书面同意”,是指信息处理者在处理特定敏感个人信息时,根据其处理的行为和目的,征求信息主体“纸质”或“电子”形式的同意。此处的“书面形式”,可以参考民法典关于书面形式的规定做进一步司法解释。
“告知义务”提升。个人信息保护法第三十条规定:“个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。”个人信息保护法第十七条为一般个人信息处理的告知规则,第三十条针对敏感个人信息的特殊保护需求,增加了“必要性”和“对个人权益影响”事项。对于“必要性”告知事项,要求在敏感个人信息的处理中,应向信息主体告知处理敏感个人信息的必要性。这里的“必要性”可以结合个人信息保护法第二十八条第二款进行理解。“对个人权益的影响”,要求信息处理者应将对信息主体的人格尊严、人身和财产权益的影响明确告知信息主体,从而使信息主体可以综合分析,做出合理决定。
“未成年个人信息”保护。未成年人心智尚未成熟,个人信息保护意识相对薄弱,其个人信息一旦被泄露或非法使用,容易对其产生不利影响。个人信息保护法第三十一条第一款规定:“个人信息处理者处理不满十四周岁未成年人信息的,应当取得未成年人的父母或者其他监护人的同意。”将不满十四周岁的未成年人个人信息纳入敏感个人信息保护范畴,主要出于对未成年人特殊保护的综合考量,也是结合未成年人心智发展的特征来设定的。同时,确定这一年龄标准,也凸显了对未成年人信息保护的力度强化。
- ↑ 赵宝 .《敏感个人信息的界定标准与处理规则》.民主与法制时报.2021-11