時(shí) 誠(chéng)

(西南政法大學(xué) 民商法學(xué)院， 重慶 401120)

在數(shù)字經(jīng)濟(jì)時(shí)代，伴隨數(shù)字化技術(shù)應(yīng)用領(lǐng)域的不斷擴(kuò)展，個(gè)人信息已經(jīng)成為自然人與信息處理者之間相互博弈的資源。一方面，信息處理者以提高數(shù)字經(jīng)濟(jì)效益、增強(qiáng)社會(huì)福祉為出發(fā)點(diǎn)，主張對(duì)個(gè)人信息資源進(jìn)行自由開(kāi)發(fā)利用；另一方面，如果片面強(qiáng)調(diào)信息資源的利用，則必然會(huì)侵害自然人的個(gè)人信息權(quán)益，損及其人格尊嚴(yán)、個(gè)人自由[1]。為協(xié)調(diào)個(gè)人信息保護(hù)與利用的關(guān)系，2021年8月20日通過(guò)的《個(gè)人信息保護(hù)法》第1條將“規(guī)范個(gè)人信息處理活動(dòng)”作為其立法目的之一，并試圖圍繞其構(gòu)建系統(tǒng)化、體系化的個(gè)人信息處理制度。

本文擬從個(gè)人信息處理的規(guī)范涵義出發(fā)，通過(guò)探討《個(gè)人信息保護(hù)法》中個(gè)人信息處理制度的創(chuàng)新與不足，提出在解釋論上細(xì)化和完善相關(guān)條款的建議，以奠定數(shù)字經(jīng)濟(jì)時(shí)代個(gè)人信息處理的法律基礎(chǔ)。

一、個(gè)人信息處理的規(guī)范涵義

明確個(gè)人信息處理的規(guī)范涵義，是建立科學(xué)合理的個(gè)人信息處理制度的重要前提。根據(jù)《個(gè)人信息保護(hù)法》第4條第2款，個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等，其可以從法律地位、制度功能、價(jià)值評(píng)判等角度進(jìn)行觀察。

(一)法律地位：規(guī)范個(gè)人信息處理活動(dòng)是個(gè)人信息保護(hù)法的立法目的

目前，全世界已經(jīng)有140多個(gè)國(guó)家和地區(qū)制定了個(gè)人信息保護(hù)法。從該法律的發(fā)展歷程來(lái)看，之所以各國(guó)普遍關(guān)注自然人的個(gè)人信息保護(hù)問(wèn)題，起源于計(jì)算機(jī)技術(shù)廣泛應(yīng)用于收集、存儲(chǔ)、使用、加工、傳輸?shù)葌€(gè)人信息處理活動(dòng)，進(jìn)而大幅增加了自然人個(gè)人信息遭受泄露、非法使用的風(fēng)險(xiǎn)。在步入數(shù)字經(jīng)濟(jì)時(shí)代后，伴隨社會(huì)數(shù)字化進(jìn)程的不斷推進(jìn)，數(shù)據(jù)愈發(fā)成為重要的生產(chǎn)要素，僅僅依靠侵權(quán)法、刑法、消費(fèi)者權(quán)益保護(hù)法等綜合性法律對(duì)個(gè)人信息權(quán)益提供事后救濟(jì)，已經(jīng)不足以應(yīng)對(duì)數(shù)字經(jīng)濟(jì)時(shí)代的個(gè)人信息保護(hù)危機(jī)。為防范個(gè)人信息處理活動(dòng)中可能出現(xiàn)的權(quán)益侵害風(fēng)險(xiǎn)，有必要制定個(gè)人信息保護(hù)法規(guī)范個(gè)人信息處理活動(dòng)而確保自然人的人身權(quán)益、財(cái)產(chǎn)權(quán)益免遭侵害[2]。例如，歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)第1條將個(gè)人數(shù)據(jù)處理中自然人的權(quán)益保護(hù)作為其立法目的，并設(shè)立專章(第二章)對(duì)個(gè)人數(shù)據(jù)處理的原則和合法性事由作出了詳細(xì)規(guī)定。

值得注意的是，保護(hù)自然人的個(gè)人信息權(quán)益并不意味著全面禁止商業(yè)化的個(gè)人信息處理活動(dòng)。相反，“個(gè)人信息的合理使用并不必然排除出于商業(yè)目的的使用”(1)凌某某訴北京微播視界科技有限公司隱私權(quán)、個(gè)人信息權(quán)益網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案，北京互聯(lián)網(wǎng)法院民事判決書(shū)(2019)京0491民初6694號(hào)。。這是因?yàn)?，個(gè)人信息對(duì)自然人與信息處理者而言具有不同的規(guī)范價(jià)值：信息處理者依據(jù)法律規(guī)定或當(dāng)事人約定處理個(gè)人信息，其商業(yè)化利用的核心是個(gè)人信息中的財(cái)產(chǎn)性利益[3]148；而法律保護(hù)自然人個(gè)人信息權(quán)益的目的在于維護(hù)其人格尊嚴(yán)、個(gè)人自由，其個(gè)人信息本身并不具有財(cái)產(chǎn)價(jià)值，真正蘊(yùn)含重要財(cái)產(chǎn)價(jià)值的是眾多個(gè)人信息的集合[4]?？梢?jiàn)，個(gè)人信息商業(yè)化利用的本質(zhì)是信息處理者合理使用或自然人許可其使用個(gè)人信息的活動(dòng)，自然人在個(gè)人信息上享有的人格權(quán)益并未因信息處理活動(dòng)而消滅[5]。

(二)制度功能：個(gè)人信息處理制度旨在協(xié)調(diào)保護(hù)個(gè)人信息與維護(hù)公共利益的關(guān)系

個(gè)人信息處理制度的目標(biāo)在于協(xié)調(diào)保護(hù)個(gè)人信息與維護(hù)公共利益的關(guān)系，其理論基礎(chǔ)是權(quán)益限制理論。權(quán)益限制是規(guī)范視野中的常見(jiàn)現(xiàn)象，限制自然人民事權(quán)益的路徑主要包括：一是權(quán)益沖突，即由于權(quán)益邊界的模糊性、交叉性而導(dǎo)致的，兩個(gè)以上主體之間存在的權(quán)益矛盾關(guān)系[6]，如著作權(quán)與肖像權(quán)的沖突、娛樂(lè)權(quán)與休息權(quán)的沖突等，其以犧牲(限制)其中一個(gè)主體的利益作為實(shí)現(xiàn)另一主體利益的代價(jià)；二是基于公共利益的權(quán)益限制，如隱私權(quán)在一定程度上要受到輿論監(jiān)督權(quán)、公眾知情權(quán)的限制。

個(gè)人信息不僅附著了自然人的人格權(quán)益，而且承載了不特定多數(shù)人的(公共)利益，限制自然人個(gè)人信息權(quán)益的主要理由是公共利益。一方面，對(duì)于自然人而言，個(gè)人信息是維護(hù)其人格尊嚴(yán)、個(gè)人自由的重要屏障[7]，信息處理者應(yīng)當(dāng)尊重自然人的自主意志[8]；另一方面，數(shù)字經(jīng)濟(jì)時(shí)代的來(lái)臨不僅使得人類活動(dòng)愈發(fā)朝向數(shù)字化、智能化的方向發(fā)展，也迫使自然人為實(shí)現(xiàn)公共利益而讓渡部分個(gè)人信息權(quán)益，從而激發(fā)企業(yè)創(chuàng)新活力、提升政府的服務(wù)質(zhì)量。為協(xié)調(diào)保護(hù)個(gè)人信息與維護(hù)公共利益的關(guān)系，有必要建立完善的個(gè)人信息處理制度，將企業(yè)、政府等信息處理者的行為納入法律的預(yù)設(shè)軌道。

(三)價(jià)值評(píng)判：個(gè)人信息處理的合法性判斷具有劃定權(quán)益邊界的作用

自然人的個(gè)人信息權(quán)益與公共利益的保護(hù)位階不能絕對(duì)化，而應(yīng)通過(guò)個(gè)人信息處理活動(dòng)的合法性判斷劃定個(gè)人信息權(quán)益的邊界[9]。

其一，合法的個(gè)人信息處理是自然人個(gè)人信息自決權(quán)的行使或?qū)€(gè)人信息權(quán)益的限制。知情同意是最基本的個(gè)人信息處理的合法性事由，要求信息處理者的行為建立在自然人充分知情且同意的基礎(chǔ)之上，是自然人信息自決和自主意志的體現(xiàn)。但知情同意卻非個(gè)人信息處理的唯一合法性事由，還包括法律、行政法規(guī)規(guī)定的其他情形[10]。特別是當(dāng)個(gè)人信息涉及公眾知情權(quán)、公共安全等公共利益時(shí)，個(gè)人信息處理是保障公眾知情權(quán)、采取公共管理措施的重要工具[11]。在符合法律規(guī)定的情形下，自然人的個(gè)人信息權(quán)益應(yīng)部分地讓位于公共利益，以充分實(shí)現(xiàn)個(gè)人信息的社會(huì)價(jià)值。

其二，違法的個(gè)人信息處理構(gòu)成對(duì)自然人個(gè)人信息權(quán)益的侵害，信息處理者將承擔(dān)相應(yīng)的法律責(zé)任。主要包括下列情形：一是信息處理者未經(jīng)自然人同意且以不符合法定事由的方式處理個(gè)人信息。例如，“微信讀書(shū)收集原告微信好友列表，向原告并未主動(dòng)添加關(guān)注的微信好友自動(dòng)公開(kāi)讀書(shū)信息，并未以合理的‘透明度’告知原告并獲得原告的同意”(2)黃女士與騰訊科技(北京)有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案，北京互聯(lián)網(wǎng)法院(2019)京0491民初16142號(hào)民事判決書(shū)。。二是信息處理者雖經(jīng)自然人同意，但并未明示個(gè)人信息處理的目的、方式、范圍，或者個(gè)人信息處理不符合合法、正當(dāng)、必要原則，構(gòu)成對(duì)個(gè)人信息的過(guò)度處理。例如，根據(jù)《網(wǎng)絡(luò)安全法》第30條，網(wǎng)信部門在履行職務(wù)中獲取的個(gè)人信息，只得用于維護(hù)信息網(wǎng)絡(luò)安全；如果超越該目的范圍處理個(gè)人信息，則不符合信息處理的必要性原則，侵害網(wǎng)絡(luò)用戶的個(gè)人信息權(quán)益。三是信息處理者違反安全保障義務(wù)導(dǎo)致個(gè)人信息泄露、篡改、丟失等。例如，因東航和趣拿公司的安全管理存在漏洞導(dǎo)致用戶的個(gè)人信息泄露造成損害的，信息處理者應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任(3)龐理鵬訴中國(guó)東方航空股份有限公司、北京趣拿信息技術(shù)有限公司隱私權(quán)糾紛案，北京市第一中級(jí)人民法院民事判決書(shū)(2017)京01民終509號(hào)。。

二、個(gè)人信息處理的合法性事由

《個(gè)人信息保護(hù)法》第13條第1款規(guī)定了7項(xiàng)個(gè)人信息處理的合法性事由。其中，知情同意屬于信息處理者基于自然人同意而處理其個(gè)人信息的情形；而其他合法性事由則是法律基于公共利益等對(duì)自然人個(gè)人信息權(quán)益的限制。

(一)知情同意

1.知情同意在個(gè)人信息保護(hù)中的基石性地位

自1970年德國(guó)黑森州的《數(shù)據(jù)保護(hù)法》確立知情同意規(guī)則以來(lái)，知情同意逐漸成為各國(guó)普遍認(rèn)可的個(gè)人信息處理的合法性事由。例如，歐盟《一般數(shù)據(jù)保護(hù)條例》第6條第1款第(a)項(xiàng)確認(rèn)了經(jīng)過(guò)自然人同意的個(gè)人數(shù)據(jù)處理的合法性，并于第7條和第8條分別規(guī)定了同意的條件和兒童同意的特殊規(guī)則。從我國(guó)個(gè)人信息保護(hù)的立法進(jìn)程來(lái)看，自2012年12月28日《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》首次以法律的形式確立知情同意規(guī)則以來(lái)，一直被我國(guó)個(gè)人信息保護(hù)立法所采納?！睹穹ǖ洹返?035條也明確對(duì)知情同意規(guī)則作出了規(guī)定。然而，伴隨數(shù)字經(jīng)濟(jì)的發(fā)展與大數(shù)據(jù)技術(shù)的普及，知情同意的理論與實(shí)踐基礎(chǔ)卻頻繁遭受學(xué)者們的質(zhì)疑，如同意不能消除自然人與信息處理者的信息不對(duì)稱、同意缺乏必要性與真實(shí)性[12]、同意為自然人和信息處理者帶來(lái)沉重負(fù)擔(dān)等[13]。

誠(chéng)然，知情同意規(guī)則的實(shí)施現(xiàn)狀并不令人滿意，自然人通常缺乏足夠的耐心和時(shí)間閱讀冗長(zhǎng)晦澀的個(gè)人信息保護(hù)政策。但是，個(gè)人信息承載著自然人的人格權(quán)益，任何個(gè)人信息處理行為都可能會(huì)產(chǎn)生侵害自然人人身權(quán)益、財(cái)產(chǎn)權(quán)益的潛在風(fēng)險(xiǎn)。在此意義上，個(gè)人信息作為保護(hù)自然人人身權(quán)益、財(cái)產(chǎn)權(quán)益免受非法侵害的法律屏障，并非任由他人處理的公共物品。如果否認(rèn)知情同意規(guī)則的合法性，完全將個(gè)人信息處理行為交由公法規(guī)制，則“漠視了個(gè)人信息上承載的民事權(quán)益，只能導(dǎo)致大量以維護(hù)公共利益之名而行侵害私權(quán)利之實(shí)的惡行，最終的結(jié)果是既無(wú)法維護(hù)公共利益，更無(wú)法保護(hù)民事權(quán)益”[14]?？梢?jiàn)，在數(shù)字經(jīng)濟(jì)時(shí)代，盡管知情同意規(guī)則的地位正在衰退，但其仍是個(gè)人信息保護(hù)的重要基石，具有保障個(gè)人信息自決權(quán)、彰顯自然人自主意思的功能價(jià)值[15]，是最基本的個(gè)人信息處理的合法性事由。正因如此，與2020年10月21日公布的《個(gè)人信息保護(hù)法(草案)》相比，《個(gè)人信息保護(hù)法》第13條增加1款，意在于將第1款第一項(xiàng)規(guī)定的知情同意作為個(gè)人信息處理的基礎(chǔ)性合法事由，而第二項(xiàng)到第七項(xiàng)規(guī)定的其他情形則是知情同意的例外。

2.知情同意的構(gòu)成要件

知情同意規(guī)則由知情和同意兩個(gè)部分構(gòu)成，其根據(jù)《個(gè)人信息保護(hù)法》第14條到第18條須滿足如下條件：

其一，告知信息處理事項(xiàng)。信息處理者應(yīng)以顯著方式、清晰易懂的語(yǔ)言告知個(gè)人信息處理的各種事項(xiàng)，包括信息處理者的身份和聯(lián)系方式、個(gè)人信息處理的目的和方式、個(gè)人信息的種類和保存期限、自然人的權(quán)利等，從而確保自然人在充分知情的基礎(chǔ)上作出是否同意的選擇。例如，在黃某訴騰訊微信讀書(shū)案中，法院認(rèn)為，“原告用微信登陸微信讀書(shū)時(shí)，單獨(dú)拉起微信的授權(quán)頁(yè)面，授權(quán)內(nèi)容為‘尋找與你共同使用該應(yīng)用的好友’，一般用戶即可知曉微信讀書(shū)經(jīng)過(guò)用戶授權(quán)則獲得用戶的微信列表。故僅從知悉收集信息的內(nèi)容來(lái)看，達(dá)到了用戶知情的標(biāo)準(zhǔn)”(4)黃女士與騰訊科技(北京)有限公司等網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案，北京互聯(lián)網(wǎng)法院(2019)京0491民初16142號(hào)民事判決書(shū)。。但如果信息處理者告知義務(wù)的履行將違反法律、行政法規(guī)規(guī)定的保密義務(wù)，或者信息處理者待告知的事項(xiàng)屬于自然人明知應(yīng)告知之內(nèi)容(如醫(yī)療機(jī)構(gòu)處理患者的個(gè)人信息)，則在不損害自然人人身權(quán)益、財(cái)產(chǎn)權(quán)益和其他重大利益的情況下，可以免除信息處理者的告知義務(wù)[16]218。

其二，公開(kāi)信息處理規(guī)則。知情不僅要求信息處理者明示信息處理的各種事項(xiàng)，還應(yīng)以其公開(kāi)信息處理規(guī)則為必要。信息處理規(guī)則屬于信息處理者一方掌握的信息。為最大程度地消除信息處理過(guò)程中可能出現(xiàn)的信息不對(duì)稱現(xiàn)象，信息處理者應(yīng)公開(kāi)闡述信息處理的深度和廣度、信息處理設(shè)備、信息處理的智能化程度和由此帶來(lái)的風(fēng)險(xiǎn)、經(jīng)過(guò)處理后信息的流向等。例如，“在《使用百度前必讀》中，百度網(wǎng)訊公司已經(jīng)明確說(shuō)明cookie技術(shù)、使用cookie技術(shù)的可能性后果以及通過(guò)提供禁用按鈕向用戶提供選擇退出機(jī)制”(5)朱燁與北京百度網(wǎng)訊科技公司隱私權(quán)糾紛上訴案，江蘇省南京市中級(jí)人民法院(2014)寧民終字第5028號(hào)民事判決書(shū)。，其行為符合公開(kāi)信息處理規(guī)則的要求。

其三，征得自然人或其監(jiān)護(hù)人同意。除非法律、行政法規(guī)另有規(guī)定，信息處理者在告知信息處理事項(xiàng)并公開(kāi)處理規(guī)則后，還應(yīng)征得自然人或其監(jiān)護(hù)人的同意。在法律、行政法規(guī)沒(méi)有作出特別規(guī)定的場(chǎng)合，同意既包括自然人的明示同意，也可涵蓋自然人的默示同意(6)例如，“朱燁在百度網(wǎng)訊公司已經(jīng)明確告知上述事項(xiàng)后，仍然使用百度搜索引擎服務(wù)，應(yīng)視為對(duì)百度網(wǎng)訊公司采用默認(rèn)‘選擇同意方式’的認(rèn)可”。朱燁與北京百度網(wǎng)訊科技公司隱私權(quán)糾紛上訴案，江蘇省南京市中級(jí)人民法院(2014)寧民終字第5028號(hào)民事判決書(shū)。；既包括口頭同意，也包括書(shū)面同意。如果自然人已滿十四周歲，則信息處理者應(yīng)征得自然人本人同意，否則應(yīng)征得其父母或其他監(jiān)護(hù)人同意。而自然人撤回同意的，不影響撤回同意前個(gè)人信息處理的合法性。

(二)知情同意以外的其他合法性事由

個(gè)人信息上不僅附著了自然人的人格權(quán)益，而且承載了公共利益。當(dāng)法律基于公共利益等因素的考量，可限制自然人的個(gè)人信息權(quán)益，規(guī)定信息處理者無(wú)須經(jīng)過(guò)自然人同意即可處理其個(gè)人信息的情形。例如，歐盟《一般數(shù)據(jù)保護(hù)條例》第6條第1款(第a項(xiàng)除外)規(guī)定了知情同意以外的個(gè)人數(shù)據(jù)處理的合法性事由。而我國(guó)《個(gè)人信息保護(hù)法》第13條第1款第二項(xiàng)到第七項(xiàng)則確立了以下幾類個(gè)人信息處理的合法性事由。

1.訂立或履行自然人作為一方當(dāng)事人的合同

在合同締結(jié)或履行過(guò)程中，一方當(dāng)事人不可避免地需要收集、使用對(duì)方的個(gè)人信息。對(duì)此，《個(gè)人信息保護(hù)法》第13條第1款第二項(xiàng)將信息處理者為訂立或履行自然人作為一方當(dāng)事人的合同所必需的情形作為個(gè)人信息處理的合法性事由。其不僅適用于信息處理是履行自然人與信息處理者的合同所必需的場(chǎng)合，還可以包含在合同訂立前，信息處理是根據(jù)自然人的請(qǐng)求而履行先合同行為所必需的情形。此外，在信息處理者與第三方為維護(hù)自然人利益所訂立的合同中，《個(gè)人信息保護(hù)法》第13條第1款第二項(xiàng)雖未明確規(guī)定為合同訂立或履行所必需的個(gè)人信息處理的合法性，但在緊急情況下該情形也可納入第四項(xiàng)為維護(hù)自然人合法權(quán)益的范圍。

2.履行法定職責(zé)或法定義務(wù)

《個(gè)人信息保護(hù)法》第13條第1款第三項(xiàng)規(guī)定，信息處理者有權(quán)在為履行法定職責(zé)或法定義務(wù)所必需時(shí)處理自然人的個(gè)人信息。該條款是法律基于公共利益而授權(quán)信息處理者處理個(gè)人信息的權(quán)限，其前提是作為信息處理者的國(guó)家機(jī)關(guān)負(fù)有法定職責(zé)或非國(guó)家機(jī)關(guān)負(fù)有法定義務(wù)。例如，《網(wǎng)絡(luò)安全法》第50條規(guī)定了國(guó)家網(wǎng)信部門和有關(guān)部門對(duì)禁止發(fā)布或傳輸?shù)男畔⒌奶幹寐氊?zé)。而國(guó)家網(wǎng)信部門和有關(guān)部門為履行該職責(zé)必然會(huì)實(shí)施個(gè)人信息的收集、存儲(chǔ)等，其有權(quán)據(jù)此證成個(gè)人信息處理的合法性。

3.應(yīng)對(duì)突發(fā)公共衛(wèi)生事件或保護(hù)自然人合法權(quán)益

《個(gè)人信息保護(hù)法》第13條第1款第四項(xiàng)規(guī)定了兩類個(gè)人信息處理的合法性事由，包括：

其一，為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件所必需處理個(gè)人信息的。在突發(fā)公共衛(wèi)生事件中，出于維護(hù)公共衛(wèi)生利益的需要，自然人應(yīng)讓渡個(gè)人信息上的部分權(quán)益，以實(shí)現(xiàn)不特定多數(shù)人的利益[17]。例如，在新冠肺炎疫情期間，個(gè)人信息是記錄疫情期間人員動(dòng)向、排查患病人員的重要工具，有關(guān)部門有權(quán)基于疫情防控的需要收集自然人的健康碼、出行記錄、個(gè)人行蹤等個(gè)人信息[18]。當(dāng)然，即便是在應(yīng)對(duì)突發(fā)公共衛(wèi)生事件期間，個(gè)人信息處理也應(yīng)維持在必要范圍之內(nèi)，以防止假借應(yīng)對(duì)突發(fā)公共衛(wèi)生事件之名而為侵害個(gè)人信息權(quán)益之實(shí)。例如，“被告未經(jīng)相關(guān)權(quán)威機(jī)構(gòu)授權(quán)及原告等名單當(dāng)事人的同意，且明知侵犯相關(guān)當(dāng)事人隱私的情況下，以‘目前是非常時(shí)期，沒(méi)有什么東西比安全和生命更重要’‘目的在于希望涉及到的群眾主動(dòng)配合官方’為借口擅自將涉及原告姓名、家庭住址、身份證號(hào)碼、手機(jī)號(hào)碼等個(gè)人信息的案涉文章發(fā)布在公眾平臺(tái)，侵害了原告的合法權(quán)益，應(yīng)承擔(dān)相應(yīng)的侵權(quán)責(zé)任”(7)趙某與重慶揚(yáng)啟企業(yè)營(yíng)銷策劃有限公司隱私權(quán)糾紛案，重慶市渝北區(qū)人民法院民事判決書(shū)(2020)渝0112民初24368號(hào)。。

其二，在緊急情況下為保護(hù)自然人生命健康和財(cái)產(chǎn)安全所必需處理個(gè)人信息的。相較于個(gè)人信息權(quán)益，自然人的生命權(quán)、身體權(quán)、健康權(quán)等人身權(quán)利以及權(quán)利化的財(cái)產(chǎn)權(quán)益具有更高的保護(hù)位階，法律通常對(duì)后者予以優(yōu)先保護(hù)。當(dāng)自然人的個(gè)人信息權(quán)益與其他合法權(quán)益發(fā)生沖突時(shí)，信息處理者有權(quán)出于維護(hù)自然人合法權(quán)益的需要處理個(gè)人信息。例如，當(dāng)自然人突發(fā)疾病急需緊急醫(yī)療而又難以征得本人或其監(jiān)護(hù)人同意時(shí)，醫(yī)療機(jī)構(gòu)有權(quán)基于維護(hù)自然人生命權(quán)、健康權(quán)之目的處理其個(gè)人信息，以便于對(duì)該自然人進(jìn)行緊急救治。

4.實(shí)施新聞報(bào)道、輿論監(jiān)督

新聞單位或其他媒體機(jī)構(gòu)在實(shí)施新聞報(bào)道、輿論監(jiān)督的過(guò)程中，不可避免地會(huì)收集、使用自然人的個(gè)人信息，如姓名、性別、個(gè)人行蹤、健康信息等。倘若新聞單位或其他媒體機(jī)構(gòu)在處理這些個(gè)人信息時(shí)都須經(jīng)過(guò)自然人的知情同意，則不僅有害于新聞報(bào)道的正常進(jìn)行，而且不利于公眾知情權(quán)、輿論監(jiān)督權(quán)之實(shí)現(xiàn)。因此，《個(gè)人信息保護(hù)法》第13條第1款第五項(xiàng)規(guī)定，在滿足下列條件時(shí)，新聞單位或其他媒體機(jī)構(gòu)有權(quán)合理使用個(gè)人信息：

其一，實(shí)施新聞報(bào)道、輿論監(jiān)督等行為。所謂新聞報(bào)道，是指依法設(shè)立的新聞單位或其他媒體機(jī)構(gòu)通過(guò)報(bào)紙、電視臺(tái)、互聯(lián)網(wǎng)等媒體途徑或其他途徑對(duì)已經(jīng)發(fā)生事件的報(bào)道，具有準(zhǔn)確性、及時(shí)性等特點(diǎn)；所謂輿論監(jiān)督，是指社會(huì)公眾通過(guò)新聞媒體或其他媒介對(duì)社會(huì)運(yùn)行中發(fā)生的事件或現(xiàn)象予以監(jiān)督并發(fā)表評(píng)論、意見(jiàn)的活動(dòng)，其本質(zhì)是公眾監(jiān)督。

其二，實(shí)施新聞報(bào)道、輿論監(jiān)督之目的在于維護(hù)公共利益。并非新聞單位或其他媒體機(jī)構(gòu)實(shí)施的任何新聞報(bào)道、輿論監(jiān)督行為都有權(quán)處理個(gè)人信息，而須以維護(hù)公共利益作為其目的限制。如果新聞報(bào)道、輿論監(jiān)督是為了報(bào)道娛樂(lè)新聞、披露某個(gè)明星的隱私或不道德行為，由于其并不涉及公共利益，信息處理者在未經(jīng)自然人同意的情況下無(wú)權(quán)處理其個(gè)人信息[21]34。

其三，新聞單位或其他媒體機(jī)構(gòu)的信息處理行為必須合理。所謂“合理”，不僅意味著信息處理者應(yīng)當(dāng)滿足《個(gè)人信息保護(hù)法》第5條到第9條規(guī)定的個(gè)人信息處理的基本原則，還要求新聞報(bào)道、輿論監(jiān)督不能侵害自然人的肖像權(quán)、隱私權(quán)等人格權(quán)益，否則應(yīng)當(dāng)承擔(dān)法律責(zé)任。

5.處理已公開(kāi)的個(gè)人信息

已公開(kāi)的個(gè)人信息集中體現(xiàn)了自然人在社會(huì)交往中的形象，是每個(gè)自然人參與社會(huì)生活的基礎(chǔ)[19]。根據(jù)《個(gè)人信息保護(hù)法》第13條第1款第六項(xiàng)，在滿足下列條件時(shí)，信息處理者有權(quán)處理已公開(kāi)的個(gè)人信息：

其一，個(gè)人信息已經(jīng)公開(kāi)。其指某人將能夠識(shí)別特定自然人的信息公諸于眾，從而使得不特定人群可以通過(guò)合法方式予以獲取。信息公開(kāi)的對(duì)象須為不特定的人，如果自然人在微信朋友圈、僅好友可見(jiàn)的新浪微博等網(wǎng)絡(luò)空間公開(kāi)其個(gè)人信息，由于該信息只有特定人群才能獲取，故不屬于已公開(kāi)的個(gè)人信息。

其二，個(gè)人信息的公開(kāi)須合法。只要個(gè)人信息經(jīng)過(guò)合法公開(kāi)，就成為公共領(lǐng)域的數(shù)據(jù)，任何組織和個(gè)人都有權(quán)在不違反法律規(guī)定的情況下對(duì)其進(jìn)行處理。合法公開(kāi)的個(gè)人信息可分為兩種：一是自然人自行公開(kāi)的信息。例如，某人在微信公眾號(hào)上發(fā)布的個(gè)人簡(jiǎn)介、工作單位、電子郵箱等；二是其他已經(jīng)合法公開(kāi)的信息，主要包括基于政府機(jī)關(guān)的行政行為(如股權(quán)變更信息)、基于司法機(jī)關(guān)的司法行為(如裁判文書(shū))而公開(kāi)的個(gè)人信息等[20]。

其三，個(gè)人信息處理須維持在合理的范圍之內(nèi)。并非所有合法公開(kāi)的信息都可任由他人無(wú)條件地處理，而須保持在合理的范圍之內(nèi)。該要求既是正當(dāng)性原則和必要性原則的具體體現(xiàn)，又是保護(hù)自然人個(gè)人信息權(quán)益的重要措施。不合理的信息處理可能會(huì)對(duì)已公開(kāi)的信息內(nèi)容作出實(shí)質(zhì)性改變，扭曲自然人在社會(huì)生活中的形象，不利于自然人的人格發(fā)展。

其四，個(gè)人明確拒絕或?qū)€(gè)人權(quán)益有重大影響的除外。這主要包括：一是自然人明確拒絕處理已公開(kāi)的個(gè)人信息，如科研工作者在學(xué)術(shù)會(huì)議上報(bào)告其論文或?qū)嶒?yàn)數(shù)據(jù)后，公開(kāi)發(fā)表任何人不得擅自公開(kāi)的聲明。 二是個(gè)人信息處理將侵害自然人人身權(quán)益、財(cái)產(chǎn)權(quán)益或其他重大利益。 例如，在蘇州貝爾塔數(shù)據(jù)技術(shù)有限公司與伊日克斯慶一般人格權(quán)糾紛案中，二審法院認(rèn)為，“個(gè)人信息主體對(duì)信息傳播控制的人格權(quán)益顯然高于已經(jīng)合法公開(kāi)的個(gè)人信息流通所產(chǎn)生的潛在財(cái)產(chǎn)權(quán)益，個(gè)人信息主體對(duì)其個(gè)人信息傳播控制的權(quán)利更不因個(gè)人信息已經(jīng)合法公開(kāi)而被當(dāng)然剝奪”。 因此，“在伊某聯(lián)系貝爾塔公司要求刪除文書(shū)之后，貝爾塔公司仍以中國(guó)裁判文書(shū)網(wǎng)已公開(kāi)訴爭(zhēng)文書(shū)為由拒絕刪除涉案文書(shū)，則構(gòu)成對(duì)伊某個(gè)人信息的非法公開(kāi)使用”(8)蘇州貝爾塔數(shù)據(jù)技術(shù)有限公司與伊日克斯慶一般人格權(quán)糾紛案，江蘇省蘇州市中級(jí)人民法院民事判決書(shū)(2019)蘇05民終4745號(hào)。。

除上述個(gè)人信息處理的合法性事由外，《個(gè)人信息保護(hù)法》第13條第1款第七項(xiàng)還設(shè)立了兜底性條款，法律、行政法規(guī)可基于維護(hù)公共利益的需要?jiǎng)?chuàng)設(shè)個(gè)人信息處理的合法性事由。

三、敏感個(gè)人信息處理的特殊規(guī)則

與一般個(gè)人信息處理活動(dòng)相比，敏感個(gè)人信息一經(jīng)泄露或非法處理即會(huì)產(chǎn)生侵害權(quán)利的高度風(fēng)險(xiǎn)，應(yīng)當(dāng)受到法律的嚴(yán)格限制。對(duì)此，《個(gè)人信息保護(hù)法》第二章第二節(jié)規(guī)定了“敏感個(gè)人信息的處理規(guī)則”，旨在為敏感個(gè)人信息提供更高程度的保護(hù)。

(一)敏感個(gè)人信息與一般個(gè)人信息的區(qū)分

如何區(qū)分敏感個(gè)人信息與一般個(gè)人信息，是確定敏感個(gè)人信息的處理對(duì)象、構(gòu)建敏感個(gè)人信息處理制度的先決性問(wèn)題。對(duì)此，比較法上通常采取列舉的方式確立敏感個(gè)人信息的范圍或類型。例如，歐盟《一般數(shù)據(jù)保護(hù)條例》第9條規(guī)定，敏感個(gè)人數(shù)據(jù)包括種族、民族、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)成員資格、基因、生物特征、健康、性生活或性取向等。美國(guó)弗吉尼亞《消費(fèi)者數(shù)據(jù)保護(hù)法》(CDPA)在第59.1-571節(jié)的定義中規(guī)定，敏感個(gè)人數(shù)據(jù)包括：有關(guān)種族或族裔血統(tǒng)、宗教信仰、心理或身體健康診斷、性取向、公民或移民身份的個(gè)人數(shù)據(jù)；僅基于識(shí)別特定自然人之目的而處理的遺傳或生物識(shí)別數(shù)據(jù)；兒童個(gè)人數(shù)據(jù)；精確地理位置數(shù)據(jù)。《個(gè)人信息保護(hù)法》第28條第1款在借鑒比較法的基礎(chǔ)上，結(jié)合我國(guó)歷史發(fā)展、文化背景、意識(shí)形態(tài)等現(xiàn)實(shí)情況[22]，將敏感個(gè)人信息界定為一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，并列舉了生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡、不滿十四周歲未成年人的個(gè)人信息等敏感個(gè)人信息的具體類型。

敏感個(gè)人信息與一般個(gè)人信息的區(qū)分意義在于：其一，實(shí)現(xiàn)個(gè)人信息保護(hù)與利用的平衡。在數(shù)字經(jīng)濟(jì)時(shí)代，能夠被識(shí)別的特定自然人的信息種類十分豐富，特別是能夠間接識(shí)別或關(guān)聯(lián)到特定自然人的信息，其類型隨著數(shù)字化技術(shù)的發(fā)展已經(jīng)得到廣泛拓展。然而，這些個(gè)人信息的重要性程度卻是不可等量齊觀的。一般認(rèn)為，敏感個(gè)人信息附著的人格尊嚴(yán)要素明顯高于一般個(gè)人信息[23]。例如，自然人的姓名、身高體重、電話號(hào)碼等個(gè)人信息，與人格尊嚴(yán)、個(gè)人自由的關(guān)聯(lián)程度明顯要低于宗教信仰、個(gè)人行蹤等敏感個(gè)人信息，當(dāng)后者遭受泄露或非法處理時(shí)通常會(huì)對(duì)自然人造成更高程度的損害。因此，根據(jù)個(gè)人信息的處理風(fēng)險(xiǎn)對(duì)其進(jìn)行劃分，有利于為不同類型的個(gè)人信息設(shè)置差別化的處理?xiàng)l件，從而實(shí)現(xiàn)強(qiáng)化敏感個(gè)人信息保護(hù)、促進(jìn)一般個(gè)人信息利用之目的。其二，旨在對(duì)敏感個(gè)人信息處理提出更高的要求。這一點(diǎn)不同于《民法典》人格權(quán)編第六章對(duì)私密信息與非私密信息的區(qū)分。后者在于合理劃分隱私權(quán)與個(gè)人信息權(quán)益的界限，是評(píng)價(jià)侵害個(gè)人信息權(quán)益的侵權(quán)責(zé)任是否成立的要素[24]。某類個(gè)人信息是否屬于私密信息，應(yīng)結(jié)合具體場(chǎng)景進(jìn)行動(dòng)態(tài)判斷。而前者則是基于個(gè)人信息泄露或非法處理的潛在風(fēng)險(xiǎn)進(jìn)行的分類，某類個(gè)人信息是否屬于敏感個(gè)人信息，取決于社會(huì)一般人對(duì)潛在危險(xiǎn)結(jié)果的判斷。正如有的法院所指出的，“個(gè)人敏感信息更強(qiáng)調(diào)不當(dāng)利用給信息主體帶來(lái)的客觀風(fēng)險(xiǎn)，該風(fēng)險(xiǎn)包括人身、財(cái)產(chǎn)風(fēng)險(xiǎn)；私密信息更強(qiáng)調(diào)因信息涉及人格利益而不愿為他人知曉的主觀意愿”(9)黃某訴騰訊科技(深圳)有限公司等隱私權(quán)、個(gè)人信息權(quán)益網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛案，北京互聯(lián)網(wǎng)法院民事判決書(shū)(2019)京0491民初16142號(hào)。。

(二)敏感個(gè)人信息處理的額外要求

《個(gè)人信息保護(hù)法》規(guī)定的敏感個(gè)人信息處理的額外要求主要包括下列4項(xiàng)，其中第一項(xiàng)和第四項(xiàng)是對(duì)敏感個(gè)人信息處理的所有合法性事由的額外要求，而另外兩項(xiàng)則是對(duì)知情同意規(guī)則的強(qiáng)化。

其一，在處理目的與必要性上，《個(gè)人信息保護(hù)法》第28條第2款規(guī)定，與一般個(gè)人信息不同，只有在信息處理者具有特定目的與充分必要性并采取嚴(yán)格保護(hù)措施的情形下，方可處理敏感個(gè)人信息。這一規(guī)定旨在排除基于概括化目的和不具有充分必要性(如掃碼點(diǎn)餐)的敏感個(gè)人信息處理的合法性，以防止因敏感個(gè)人信息處理的條件和程序過(guò)于簡(jiǎn)單而對(duì)自然人的人格尊嚴(yán)、個(gè)人自由造成較高的侵害風(fēng)險(xiǎn)。

其二，在同意標(biāo)準(zhǔn)上，敏感個(gè)人信息采用單獨(dú)同意標(biāo)準(zhǔn)，信息處理者應(yīng)征得自然人對(duì)敏感個(gè)人信息具體處理細(xì)節(jié)的單獨(dú)同意；如果信息處理行為超越同意的邊界，則需要重新征得自然人同意；而法律、行政法規(guī)要求信息處理者取得書(shū)面同意的，還必須征得自然人的書(shū)面同意(《個(gè)人信息保護(hù)法》第29條)。相反地，信息處理者在處理一般個(gè)人信息時(shí)只需要經(jīng)過(guò)自然人的概括同意，而并不要求同意的獨(dú)立性、具體性，信息處理者有權(quán)基于自然人概括寬泛的承諾對(duì)其一般個(gè)人信息進(jìn)行處理。

其三，在告知事項(xiàng)上，信息處理者處理敏感個(gè)人信息的，須向自然人履行更多的告知事項(xiàng)，即除告知《個(gè)人信息保護(hù)法》第17條第1款規(guī)定的事項(xiàng)外，還應(yīng)向自然人告知處理敏感個(gè)人信息的必要性及其對(duì)自然人權(quán)益的影響(《個(gè)人信息保護(hù)法》第30條)。

其四，在限制條件上，敏感個(gè)人信息的處理相較于一般個(gè)人信息而言應(yīng)受到更多的限制：一是當(dāng)法律、行政法規(guī)對(duì)敏感個(gè)人信息處理作出更加嚴(yán)格的限制時(shí)(如要求其獲得行政許可)，信息處理者須符合法律、行政法規(guī)的相關(guān)要求，否則其信息處理行為即構(gòu)成違法(《個(gè)人信息保護(hù)法》第32條)；二是《個(gè)人信息保護(hù)法》第55條規(guī)定，信息處理者負(fù)有在實(shí)施敏感個(gè)人信息處理前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估并記錄處理情況的義務(wù)，且該記錄須至少保存三年。

四、個(gè)人信息處理的制度完善

盡管《個(gè)人信息保護(hù)法》在個(gè)人信息處理制度上不乏創(chuàng)新之處，但也存在一些不足，如知情同意標(biāo)準(zhǔn)的設(shè)置較為僵化、知情同意以外的其他個(gè)人信息處理的合法性事由不夠完善、敏感個(gè)人信息處理的規(guī)定過(guò)于籠統(tǒng)等。針對(duì)上述問(wèn)題，有必要在解釋論上繼續(xù)完善個(gè)人信息處理制度。

(一)構(gòu)建知情同意的動(dòng)態(tài)信息披露機(jī)制

在知情同意規(guī)則上，《個(gè)人信息保護(hù)法》第14條和第29條分別針對(duì)一般個(gè)人信息與敏感個(gè)人信息構(gòu)建了不同的同意標(biāo)準(zhǔn)。其中，敏感個(gè)人信息采用單獨(dú)同意標(biāo)準(zhǔn)，有利于自然人在獲得個(gè)人信息處理的全部資訊的基礎(chǔ)上作出同意決定；而一般個(gè)人信息采納概括同意標(biāo)準(zhǔn)，信息處理者只需要籠統(tǒng)地、一次性地告知信息處理的潛在風(fēng)險(xiǎn)，自然人可能并不知悉信息處理中究竟能用到哪些信息、這些信息會(huì)被傳輸至何處，因此自然人作出的同意決定未必符合其內(nèi)心真意，也不能適應(yīng)數(shù)字經(jīng)濟(jì)時(shí)代個(gè)人信息頻繁處理的需要。為保障自然人在個(gè)人信息處理的各個(gè)環(huán)節(jié)都能有效追蹤其信息處理狀況，應(yīng)當(dāng)在對(duì)一般個(gè)人信息采用概括同意標(biāo)準(zhǔn)的同時(shí)，引入動(dòng)態(tài)信息披露機(jī)制。

動(dòng)態(tài)信息披露機(jī)制主要包括以下措施：其一，信息處理者負(fù)有對(duì)信息處理目的、方式、范圍等事項(xiàng)的持續(xù)告知義務(wù)，自然人有權(quán)隨時(shí)了解信息處理的最新動(dòng)向，全程追蹤信息處理過(guò)程[25]。其二，信息處理者可以采納概括告知的方式披露信息處理事項(xiàng)，但不能遺漏重要事項(xiàng)，特別是可能會(huì)對(duì)自然人的同意產(chǎn)生實(shí)質(zhì)性影響的信息。其三，信息處理者須采取能夠引起自然人注意的方式進(jìn)行信息披露，盡量選用通俗易懂的語(yǔ)言，并對(duì)其中的關(guān)鍵信息采取加粗加黑等重要標(biāo)識(shí)(10)例如，“百度網(wǎng)訊公司將《使用百度前必讀》的鏈接設(shè)置于首頁(yè)下方與互聯(lián)網(wǎng)行業(yè)通行的設(shè)計(jì)位置相符，鏈接字體雖小于處于首頁(yè)中心位置的搜索欄字體，但該首頁(yè)的整體設(shè)計(jì)風(fēng)格為簡(jiǎn)約型，并無(wú)過(guò)多圖片和文字，網(wǎng)絡(luò)用戶施以普通注意義務(wù)足以發(fā)現(xiàn)該鏈接”，參見(jiàn)朱燁與北京百度網(wǎng)訊科技公司隱私權(quán)糾紛上訴案，江蘇省南京市中級(jí)人民法院(2014)寧民終字第5028號(hào)民事判決書(shū)。。其四，自然人或其監(jiān)護(hù)人的同意也應(yīng)具有動(dòng)態(tài)性，可根據(jù)個(gè)人偏好個(gè)性化地選擇知情的手段、頻率與內(nèi)容，并根據(jù)信息處理狀況隨時(shí)選擇加入、退出或限縮處理范圍，從而有利于提高自然人在信息處理中的參與度[26]。

(二)完善知情同意以外的其他合法性事由

在知情同意以外的其他個(gè)人信息處理的合法性事由上，《個(gè)人信息保護(hù)法》第13條第1款雖規(guī)定了5項(xiàng)具體事由并附有兜底性條款，但其具體內(nèi)容較為簡(jiǎn)單，且在很多事由中采取了“公共利益”等不確定性概念，在實(shí)踐中有必要對(duì)其進(jìn)行細(xì)化或完善。

其一，細(xì)化個(gè)人信息處理合法性事由中公共利益的涵義。公共利益屬于不確定性概念，其不足是：“權(quán)利尋找者依據(jù)模糊的法律表述，不能預(yù)見(jiàn)法官在具體情況下如何裁判——它提供很少的‘導(dǎo)向確定性’……這確實(shí)讓人擔(dān)憂?！盵27]38《個(gè)人信息保護(hù)法》第13條第1款第五項(xiàng)將新聞報(bào)道、輿論監(jiān)督中的個(gè)人信息處理限定在維護(hù)公共利益的目的范圍內(nèi)，但并未明確公共利益的具體內(nèi)涵。為了滿足法治國(guó)家對(duì)法律確定性的需求、防止公益行為對(duì)私人自治領(lǐng)域的過(guò)度介入，個(gè)人信息保護(hù)法有必要詳細(xì)列舉基于維護(hù)公共利益的需要而處理個(gè)人信息的情形[28]。例如，歐盟《一般數(shù)據(jù)保護(hù)條例》第23條第1款將國(guó)家安全；國(guó)防；公共安全；預(yù)防、調(diào)查、偵查、起訴刑事違法或執(zhí)行刑罰；歐盟及其成員國(guó)的經(jīng)濟(jì)或金融利益；維護(hù)司法獨(dú)立與司法訴訟；違反職業(yè)道德的預(yù)防、調(diào)查、保護(hù)、起訴；與官方權(quán)威相聯(lián)系的監(jiān)督、檢查或規(guī)制；保護(hù)數(shù)據(jù)主體或其他人的權(quán)利與自由；實(shí)施某種民事法律主張等作為對(duì)自然人個(gè)人信息權(quán)益的限制。對(duì)此，我國(guó)司法實(shí)踐中可將為維護(hù)公共利益而處理個(gè)人信息的情形界定為保障公眾知情權(quán)、維護(hù)公共安全、強(qiáng)化社會(huì)保障、監(jiān)督行政行為、維系公序良俗等。

其二，限縮為維護(hù)自然人的合法權(quán)益而處理個(gè)人信息的情形?！秱€(gè)人信息保護(hù)法》第13條第1款第四項(xiàng)將保護(hù)自然人的生命健康與財(cái)產(chǎn)安全作為個(gè)人信息處理的合法性事由。然而，生命健康與財(cái)產(chǎn)安全并非同一位階的利益。如果允許信息處理者為維護(hù)自然人的一般財(cái)產(chǎn)安全而處理其個(gè)人信息，則有可能導(dǎo)致個(gè)人信息合理使用抗辯的濫用，進(jìn)而損及自然人的個(gè)人信息權(quán)益。為充分保障自然人的人格尊嚴(yán)、個(gè)人自由，建議在實(shí)踐中將本條款的“財(cái)產(chǎn)安全”限定為“重大財(cái)產(chǎn)安全”，以排除信息處理者為維護(hù)自然人的一般財(cái)產(chǎn)安全而處理其個(gè)人信息的合法性。

其三，認(rèn)可為維護(hù)自然人以外的其他民事主體的合法權(quán)益而必需處理個(gè)人信息的合法性。除維護(hù)自然人的合法權(quán)益外，為維護(hù)其他民事主體的合法權(quán)益而處理個(gè)人信息屬于緊急避險(xiǎn)的情形。這意味著當(dāng)自然人的個(gè)人信息權(quán)益與第三人的合法權(quán)益發(fā)生沖突時(shí)，應(yīng)當(dāng)在二者之間進(jìn)行利益衡量。只有當(dāng)經(jīng)過(guò)利益衡量后第三人合法權(quán)益的位階高于自然人的個(gè)人信息權(quán)益，而信息處理者又來(lái)不及或無(wú)法征得自然人或其監(jiān)護(hù)人同意時(shí)，法律才應(yīng)認(rèn)可此類信息處理行為的合法性。

(三)確立“原則禁止、法定允許”的敏感個(gè)人信息處理原則

為貫徹強(qiáng)化敏感個(gè)人信息保護(hù)、促進(jìn)一般個(gè)人信息利用的宗旨，敏感個(gè)人信息處理的原則應(yīng)有別于一般個(gè)人信息處理。對(duì)此，比較法上通常采取原則上禁止處理敏感個(gè)人信息，而在滿足法律規(guī)定的例外情形下才允許對(duì)其進(jìn)行處理的基本理念。例如，歐盟《一般數(shù)據(jù)保護(hù)條例》第9條規(guī)定，原則上應(yīng)禁止處理敏感個(gè)人數(shù)據(jù)，只有當(dāng)符合第2款規(guī)定的10種特殊情形時(shí)，如取得數(shù)據(jù)主體明確同意、數(shù)據(jù)處理對(duì)于數(shù)據(jù)控制者履行義務(wù)或行使特定權(quán)利所必需、在公共健康領(lǐng)域數(shù)據(jù)處理為維護(hù)公共利益所必需等，才例外地承認(rèn)敏感個(gè)人數(shù)據(jù)處理的合法性。根據(jù)我國(guó)臺(tái)灣地區(qū)“個(gè)人資料保護(hù)法”第6條，不得搜集、處理或利用特種個(gè)人資料，但滿足該條規(guī)定的6種特殊情形之一者，不在此限。

不同于歐盟，我國(guó)《個(gè)人信息保護(hù)法》第28條第2款并未確立“原則禁止、例外允許”的敏感個(gè)人信息處理原則，而是規(guī)定只要信息處理者具有特定目的與充分必要性并采取嚴(yán)格保護(hù)措施，就可以對(duì)敏感個(gè)人信息進(jìn)行處理。該規(guī)定雖在一定程度上強(qiáng)化了敏感個(gè)人信息的處理要求，但也存在如下弊端：其一，對(duì)于何謂特定目的與充分必要性，《個(gè)人信息保護(hù)法》并未作出規(guī)定，在實(shí)踐中容易引發(fā)判斷難題。例如，在信息處理者與第三方為維護(hù)自然人利益所訂立的合同中，信息處理者為合同訂立或履行所必需處理敏感個(gè)人信息的，是否屬于具備特定目的與充分必要性的情形，有待商榷。其二，對(duì)于不同的信息處理者而言，個(gè)人信息處理的目的是否特定或必要性是否充分存在較大差別，這意味著敏感個(gè)人信息處理的情形可能隨時(shí)處于變化狀態(tài)，自然人在具體場(chǎng)景中很難合理預(yù)期哪些敏感個(gè)人信息可以處理，而哪些敏感個(gè)人信息不得處理。其三，除特定目的與充分必要性外，《個(gè)人信息保護(hù)法》規(guī)定的敏感個(gè)人信息處理的特殊規(guī)則都是針對(duì)知情同意而言的，敏感個(gè)人信息與一般個(gè)人信息的處理在其他合法性事由上并無(wú)二致，顯然不利于預(yù)防因泄露或非法處理敏感個(gè)人信息所產(chǎn)生的特別風(fēng)險(xiǎn)[14]。

基于此，我國(guó)司法實(shí)踐應(yīng)在借鑒比較法的基礎(chǔ)上，將《個(gè)人信息保護(hù)法》第28條第2款的“特定的目的和充分的必要性”解釋為“原則禁止、法定允許”的敏感個(gè)人信息處理原則，即原則上應(yīng)禁止處理敏感個(gè)人信息，除非法律存在例外規(guī)定，才會(huì)允許信息處理者處理敏感個(gè)人信息。相應(yīng)地，實(shí)踐中對(duì)例外允許處理敏感個(gè)人信息的條件或程序也應(yīng)進(jìn)行嚴(yán)格限制。例如，為履行法定義務(wù)所必需處理敏感個(gè)人信息的，信息處理者應(yīng)在事前和事后盡到更嚴(yán)格安全保障措施；為統(tǒng)計(jì)或?qū)W術(shù)研究所必需處理敏感個(gè)人信息的，須對(duì)該敏感個(gè)人信息進(jìn)行匿名化處理等。唯有如此，才能真正為自然人的敏感個(gè)人信息提供更加周全的保護(hù)。