香港六和典宝

《个人信息保护法》逐条解读:敏感个人信息的处理规则

发布时间:2022-08-22

第二章 个人信息处理规则

第二节 敏感个人信息的处理规则

  第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

  只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

这一条是关于敏感个人信息的规定。

根据本条规定,敏感个人信息是哪些一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,并且列举了几种敏感个人信息。

这里面需要引起特别注意的是生物识别信息。随着科技的发展,出现了指纹识别、面部识别等识别技术的应用。目前这些技术被大量用作手机开机、支付密码、进入特定场所等等场景。为了应用生物识别技术,就需要收集和储存这些生物识别信息。当社会上越来越多的企业收集个人生物识别信息的时候,生物识别信息泄露或遭到非法使用的可能性就增加了,一旦该类生物识别信息泄露或者非法使用,将会对个人的财产安全造成威胁。因此,相比传统的医疗健康、金融账户等敏感信息,生物识别信息的使用应该遵循何种规则,越来越被重视。

案例:小李系某小区业主,2021年,物业公司告示业主,小区门禁系统已改为人脸识别,限期要求业主至物业办理人脸和身份信息录入,否则将无法出入小区。小李认为存在隐私风险,不同意人脸识别验证方式,每次只能跟随其他业主通行,日常生活极度受到影响。小李与物业公司协商未果,诉至法院,要求物业公司为其通行提供其他非生物信息验证方式。

法院审理过程中对物业公司进行了释法析理,指出物业公司在使用人脸识别门禁系统录入人脸信息时,应当征得业主同意,对于不同意的业主,物业公司应当提供替代性验证方式。物业公司认识到了自身存在的问题,立即在人脸识别系统上增设了刷卡功能。双方握手言和,小李也当场撤诉。(江苏省高级人民法院发布十件弘扬中华优秀传统文化典型案例)(来源:苏州市吴中区人民法院)

第二十九条 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

这是第四个法律规定需要个人单独同意的条款。第一个是信息处理者向其他信息处理者提供其处理的个人信息;第二个是信息处理者公开其处理的个人信息;第三个是在公共场所安装图像采集、个人身份识别设备,处理个人信息用于非维护公共安全的目的;第四个为处理敏感个人信息。

就像敏感个人信息是个人信息中一个特殊的种类一样,需要个人单独同意也是一种特别规则。这种规则增加了信息处理者的工作,提高了处理信息的难度,也更有利于保护个人的信息安全。

第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。

本法第十七条是关于个人信息处理者的告知义务。根据第十七条的规定,个人信息处理者在处理个人信息之前,应该根据法律规定将相关事项告知个人。

对于处理敏感个人信息,个人信息处理者仅仅根据第十七条的规定进行告知是不够的,还需要根据本条的规定进行告知。否则就属于没有尽到告知义务。

第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。

  个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。

关于儿童的个人信息保护问题,曾经有学者建议作出特别规定。他们认为:严格的来说,不是所有的儿童个人信息都属于敏感信息,又有其特殊之处,应该作出特别规定。不过最后通过的法律,把儿童个人信息的保护纳入到了敏感个人信息的范围,同时规定了个人信息处理者应该就儿童个人信息的保护制定专门的个人信息处理规则。法律这样规定,其实增进了个人信息处理者的义务,要求个人信息处理者根据本法的精神和规定,就如何保护儿童的个人信息制定规则。

另外,因为儿童是无民事行为能力人或者限制行为能力人,心智不成熟,无法独立作出同意与否的意思表示。为了维护儿童的合法权益,本文规定处理儿童的个人信息,应该取得儿童监护人的同意。

案例:

在李某某诉某网络公司、某教育中心名誉权、隐私权纠纷案中,法院查明:李某某为未成年人。2014年,某网络公司旗下的某网站刊出一组《探访北京戒网瘾学校》相关内容的照片和文章,相关网页第一张照片为李某某正面全身照,图片没有打马赛克或者做其他模糊处理。该图片配有说明:“北京某教育中心是一所戒网瘾学校,学校通过军事化管理帮助青少年戒除网瘾。目前,类似这样的戒网瘾学校在中国已经多达250所。为了帮助孩子戒除网瘾,很多父母将孩子送到戒网瘾学校,让他们接受心理测验和军事化训练。”另,李某某全身照还出现在第二十一张照片中,该照片配有说明:“5月22日,北京某教育中心,一名刚到中心的女孩子正与其他学生交谈,在父母的要求下,这名女孩到这里戒瘾。”

法院认为:自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、隐私权等。任何组织或者个人不得披露未成年人的个人隐私。网络服务提供者在刊载网络信息时,应特别注意对未成年人个人隐私和个人信息的保护。网易公司作为网络服务提供者,其转载涉案的照片、文章并配有“这名女孩到这里戒瘾”等文字的行为,侵犯了未成年人隐私权。因网易公司在国内的影响力,该组照片和文章被大量点击和转载,造成了李某某名誉权受到侵害,应当承担侵权责任。

第三十二条 法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。

科技在发展,新的使用敏感个人信息的技术不断出现。本法出台之后,有可能会出现本法没有规定的新情况。为了应对可能出现的新情况,或者本法没有规定的问题,本条为之后增加对敏感个人信息保护的规定保留了空间。


COPYRIGHT (C) 2013 香港六和典宝(苏酒集团)

版权所有 All Rights Reserved.. 苏ICP备15000003号-1 苏公网安备32130202081070号