敏感個人信息
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
(1)與公民個人直接相關,能夠反映公民的局部或整體特點;或是一經取得、使用即具有專屬性。前者如公民的出生日期、指紋等,後者如身份證編號、家庭住址等。
(2)具有法律保護價值。公民個人信息承載了公民的個體特征,甚至各項權利,如果任由他人泄露、獲取,必然導致公民時刻處於可能遭受侵害的危險狀態。
(3)公民個人信息的保護不以信息所有人請求為前提。除非基於維護國家利益、公共利益的需要或信息所有人的意願,任何組織和個人均無權泄露、獲取其個人信息。
敏感個人信息的處理規則[1]
個人信息保護法第一條規定:“為了保護個人信息權益,規範個人信息處理活動,促進個人信息合理利用,根據憲法,制定本法。”該條開宗明義,明確了個人信息保護法的調整邊界,即規範個人信息的“處理”活動。個人信息保護法在本質上就是要規範利用個人信息、對個人進行識別分析的行為。該法第二十九條、第三十條、第三十一條進一步明確了敏感個人信息的處理規則,凸顯了對敏感個人信息的保護力度。
“同意方式”強化。個人信息保護法第二十九條規定:“處理敏感個人信息應當取得個人的單獨同意;法律、行政法規規定處理敏感個人信息應當取得書面同意的,從其規定。”這裡的“單獨同意”,是指信息處理者在處理敏感個人信息中,必須就特定敏感個人信息的處理行為,單獨取得信息主體的同意,即堅持“告知、同意”。這與第十三條規定的“個人信息處理者取得個人同意方可處理個人信息”相比,“單獨同意”主要強調同意的獨立性,信息主體對於敏感個人信息的同意可以獨立於其他個人信息,信息處理者在實踐中就敏感個人信息處理的一系列行為徵得“概括同意”應當被認定為無效。“書面同意”,是指信息處理者在處理特定敏感個人信息時,根據其處理的行為和目的,征求信息主體“紙質”或“電子”形式的同意。此處的“書面形式”,可以參考民法典關於書面形式的規定做進一步司法解釋。
“告知義務”提升。個人信息保護法第三十條規定:“個人信息處理者處理敏感個人信息的,除本法第十七條第一款規定的事項外,還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響;依照本法規定可以不向個人告知的除外。”個人信息保護法第十七條為一般個人信息處理的告知規則,第三十條針對敏感個人信息的特殊保護需求,增加了“必要性”和“對個人權益影響”事項。對於“必要性”告知事項,要求在敏感個人信息的處理中,應向信息主體告知處理敏感個人信息的必要性。這裡的“必要性”可以結合個人信息保護法第二十八條第二款進行理解。“對個人權益的影響”,要求信息處理者應將對信息主體的人格尊嚴、人身和財產權益的影響明確告知信息主體,從而使信息主體可以綜合分析,做出合理決定。
“未成年個人信息”保護。未成年人心智尚未成熟,個人信息保護意識相對薄弱,其個人信息一旦被泄露或非法使用,容易對其產生不利影響。個人信息保護法第三十一條第一款規定:“個人信息處理者處理不滿十四周歲未成年人信息的,應當取得未成年人的父母或者其他監護人的同意。”將不滿十四周歲的未成年人個人信息納入敏感個人信息保護範疇,主要出於對未成年人特殊保護的綜合考量,也是結合未成年人心智發展的特征來設定的。同時,確定這一年齡標準,也凸顯了對未成年人信息保護的力度強化。
- ↑ 趙寶 .《敏感個人信息的界定標準與處理規則》.民主與法制時報.2021-11