本文来源于《地方立法研究》2022年第3期。因篇幅较长,本文注释已略,建议阅读全文。
《个人信息保护法》第29条、第30条在法律上首次专门规定对敏感个人信息处理的告知同意。当前,一方面,敏感个人信息保护与告知同意规则的部分理论成果已为立法所扬弃;另一方面,部分理论成果又无法直接解释这一全新的法律规范。对此,需结合两个条款的规范目的,以法教义学的立场对敏感个人信息处理的告知同意进行解释。就敏感个人信息处理的特殊告知事项而言,必要性的告知应展示个人信息处理与提供相关具体的服务/功能之间的必然联系。对个人权益影响的告知应根据个人信息保护影响评估的结果进行。就敏感个人信息处理的同意规则而言,为满足单独同意的要求,处理敏感个人信息与一般个人信息的同意应相互独立,不能采取一揽子同意的方式。书面同意是在单独同意的基础上对同意的形式要求,可采取合同书、信件、电报、电传、传真等形式作出。敏感个人信息处理中的告知同意规则虽然重要,但绝非不可或缺。特定情形中处理敏感个人信息无须告知同意,告知同意亦不必然赋予敏感个人信息处理行为以合法性。
一、问题与方法
二、特殊告知事项的规范内涵
三、告知后同意的实现路径
四、告知同意的法律限度
结语
针对敏感个人信息处理的多种告知同意理论模型已为立法所扬弃。例如,不少学者主张,信息处理者应在清晰、明确告知后获得信息主体的明示同意,并构建相应的同意撤回机制。在我国《个人信息保护法》中,这些关于敏感个人信息告知同意的特殊主张已经升格为告知同意的一般要求。值得辨析的是,主张结合信息处理的具体场景、处理目的、处理方式进行动态分析的场景理论能否直接用于解释敏感个人信息处理的告知同意规范。在敏感个人信息的界定中,即有学者主张“兼顾敏感个人信息利用的情景、目的”。针对敏感个人信息处理的告知同意,又形成了分层同意、动态同意的理论,主张“从整齐划一的同意向基于信息分类、场景化风险评估的分层同意转变,从一次性同意向持续的信息披露与动态同意转变”。
场景理论与我国敏感个人信息保护的制度逻辑存在冲突。一方面,场景理论被大量误读,成了“具体问题具体分析”的代名词。尼森博姆(Helen Nissenbaum)所提出的“情境完整性理论”,旨在从社群规范的角度对美国法中的隐私概念进行解构。直接适用场景理论将与我国敏感个人信息的法律界定相冲突。根据《个人信息保护法》第28条第1款,敏感个人信息的风险判断存在确定的前提,即“一旦泄露或者非法使用”,此时具体的信息处理场景已不再相关,其关注的是信息脱离原处理场景后所对应的“高概率权益受侵害可能”。另一方面,分层同意、动态同意的基本逻辑不符合我国法律规定。《个人信息保护法》中的同意是一种择入机制(opt-in),分层或动态地适用“拟制同意”“有条件的宽泛同意+退出权”的择出机制(opt-out)不符合同意的法定要求。在解释论意义上,区分敏感个人信息与一般个人信息,对应不同的告知同意要求,是立法所唯一认可的告知同意分类方式。敏感个人信息处理的告知同意必须回到条文的规范目的,以探寻恰当的解释路径。敏感个人信息处理的同意规定在《个人信息保护法》第29条之中。该条的规范目的在于强化个人对敏感个人信息处理的认知与控制,从而最终实现对敏感个人信息的充分保护。敏感个人信息处理的同意与一般个人信息处理的同意相区分,将起到警示的作用,使得信息主体充分认识到敏感个人信息处理的情况。此时,信息主体可以只同意处理一般个人信息,而不对敏感个人信息处理表示同意,亦更加尊重了信息主体的决定权。另外,单独同意实际上提高了信息处理者的义务要求。实践中,每一次同意弹窗的出现均会使得企业流失一定客户。由于《个人信息保护法》关于同意的一般规则已属于明示同意,为更好地保护与自然人人格尊严以及人身、财产安全息息相关的敏感个人信息,法律规定了单独同意、书面同意的更高要求。敏感个人信息处理的告知则规定于《个人信息保护法》第30条。该条的规范目的则在于实现公开、透明原则,保障信息主体的知情权,使得信息主体在获得充分告知的前提下作出同意的决定。告知作为“信息处理者的一种公法上的义务”,目的是确保同意这种“私法上个人信息自决权益”的行使。尤其是关于必要性以及对个人权益影响的告知事项,更是有助于个人全盘考虑、充分衡量利弊得失后作出决策。即便处理敏感个人信息的合法性基础为同意以外的其他法定事由,特殊的告知规定也能起到提高个人警惕、加强防备的作用。此外,《个人信息保护法》第1条载明了“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”的立法目的。从比较法来看,我国关于敏感个人信息处理的告知同意规定较为严苛。例如,我国关于告知的一般要求已经涵盖了美国伊利诺伊州《生物识别信息隐私法》(BIPA)第15条特别列举的所有告知事项。单独同意、书面同意的要求显然亦强于欧盟《通用数据保护条例》(GDPR)第9条第2款第a项中的明确同意要求。个人信息保护切不可以禁锢信息流动为代价。敏感个人信息保护规范的解释适用必须平衡敏感个人信息保护与信息合理利用的关系。在上述认识下,本文将以法教义学的立场对《个人信息保护法》第29条、第30条进行分析,以进一步厘清三大基本问题:一是两个特殊告知事项的规范内涵,即信息处理者应如何履行处理敏感个人信息的特殊告知义务。二是敏感个人信息处理的单独同意与书面同意的实现路径,即针对处理敏感个人信息的同意在内容、对象、方式上的要求。三是敏感个人信息告知同意的法律限度,即何时能排除告知同意,何种情形中取得告知同意亦可能构成违法处理敏感个人信息。必要性与对个人权益影响两项内容是《个人信息保护法》第30条在该法第17条第1款所规定的5项告知事项外,针对处理敏感个人信息规定的特殊告知事项。其中,必要性的告知与敏感个人信息处理的必要性要求紧密相连,应展示个人信息处理与提供相关具体的服务/功能之间的必然联系。对个人权益影响的告知应根据个人信息保护影响评估的结果进行,并充分考虑泄露或者非法使用的可能后果、信息处理的应用场景/行业、信息处理者的信息收集能力/成本等具体因素。必要性的告知要求来源于必要原则。强调必要性告知展现了基于“告知同意”处理敏感个人信息的特殊逻辑结构,即不能通过“告知同意”处理没有必要的敏感个人信息。对于一般个人信息而言,信息处理者若希望处理与业务功能有关的非必要信息,则必须告知用户并获得其同意。《App违法违规收集使用个人信息自评估指南》第26段即指出,“当App运营者收集的个人信息超出必要信息范围时,应向用户明示所收集个人信息目的并经用户自主选择同意”。此时,告知同意是处理非必要个人信息唯一可行的合法性基础。然而,对于敏感个人信息而言,《个人信息保护法》第28条第2款明确指出“特定的目的和充分的必要性”本身就是信息处理者合法处理的重要前提。强调必要性的告知,绝不意味着可以以“告知同意”为由,在没有达到充分必要性前提之时处理敏感个人信息。告知处理敏感个人信息的必要性,显然要求信息处理者先自行对必要性进行评估,但这并不意味着将必要性充分与否的判断权交给信息处理者来自行决定。多年前,基于隐私权的保护逻辑,部分法院在未对用人单位是否属于特殊行业进行分析的情况下,直接判定用人单位在入职体检中获取应聘者是否携带乙肝病毒、是否具有基因缺陷等健康信息的行为因未泄露信息而合法。实际上,此举起到了将健康信息获取的必要性交由用人单位自行判断的效果。在《个人信息保护法》的规范中,相关判决值得重新反思。个人信息处理的必要性是客观的。理论上,为实现《个人信息保护法》第28条第2款“充分的必要性”的要求,敏感个人信息处理受比例原则的约束,相关信息处理“应当保持最大的克制”。用人单位必须清晰地向劳动者告知其基于何种正当理由,必须获取劳动者的何种健康信息。若个人在收到必要性的告知后认为相关个人信息处理没有必要或必要性并不充分,就可以不同意相关信息处理,从而充分保障个人的知情权、决定权。对于信息处理者而言,其在履行必要性告知义务的时候,亦必须对处理敏感个人信息的必要性有清晰的认识。简单来讲,敏感个人信息处理的必要性要求“收集敏感个人信息对于实现特定的处理目的是极为必要”。若不进行相关处理,信息处理者将无法提供相关服务,或无法履行相关法律义务、保护相关正当利益。以提供相关服务的必要性为例,可依据《常见类型移动互联网应用程序必要个人信息范围规定》进行判定。根据该规定第3条,“必要个人信息,是指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务。具体是指消费侧用户个人信息,不包括服务供给侧用户个人信息”。该规定第5条更是进一步详细规定了39类常见类型App的必要个人信息范围。必要性的告知也需要符合《个人信息保护法》第17条第1款“清晰易懂”“真实、准确、完整”的要求。因此,必要性的告知不能是“若无敏感个人信息,则无法提供相关服务”的简单声明。必要性的告知至少应展示敏感个人信息处理与提供相关具体的服务/功能之间的逻辑关系,并对必要性进行分析。已有学者从“数据生命周期”的角度对必要性的告知要求进行描述指出,收集时需指明为实现合法、特定的目的,该信息处理方案是充足、相关且不过量的,并不存在其他可替代的对个人影响更小的方式;存储时需告知处理目的之达成能否无须存储信息、能否利用匿名化信息、能否存储更短的时间;公开时需说明不公开、脱敏公开、一定范围内公开等方式均不足以实现处理目的。唯有如此,方可向个人充分展示信息处理的必要性。《个人信息保护法》第28条第1款从“容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”的角度对敏感个人信息进行界定,高度关注处理敏感个人信息对个人权益的影响。对个人权益的影响的范围广泛。一方面,个人权益包含了所有法律上认可的权益,既包括私法上的人身、财产权益,也包括公法上的人格尊严和人身自由等基本权利;另一方面,影响也包括了现实存在的影响以及可能带来的不利后果。《人类遗传资源管理条例》第12条第1款、《征信业管理条例》第14条第2款、“公共及商用服务信息系统个人信息保护指南”(GB/Z 28828-2012)第5.2.2条即分别就不同情形提出了告知“对健康可能产生的影响、个人隐私保护措施”“提供该信息可能产生的不利后果”“提供个人信息后可能存在的风险”以及“个人信息主体不提供个人信息可能出现的后果”等要求。具体而言,信息处理者应根据个人信息保护影响评估的结果,向信息主体履行相关告知义务。根据《个人信息保护法》第55条的规定,处理敏感个人信息,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录。又根据《个人信息保护法》第56条,“对个人权益的影响及安全风险”本身就是个人信息保护影响评估应当包括的重要内容。参照“个人信息安全影响评估指南”(GB/T 39335-2020)的规定,可从“影响个人自主决定权”“引发差别性待遇”“个人名誉受损和遭受精神压力”“个人财产受损”四个维度,对个人信息主体的权益进行影响程度评价,并将影响程度分为“严重”“高”“中”“低”四个等级。例如,健康生理信息的泄露、滥用等可能会对个人生理、心理产生较严重的影响。此外,结合《个人信息保护法》第28条第1款敏感个人信息的定义,更应从泄露或者非法使用的角度进一步判断对个人权益的影响。信息处理者必须全面、详尽地向个人告知相关影响。值得注意的是,对个人权益的影响亦必须结合应用场景/行业、信息处理者的信息收集能力/成本等具体因素进行具体判断。不同的应用场景中,处理敏感个人信息所产生的影响大不相同。随着信息处理技术的发展与信息处理能力的提升,即便是匿名信息亦可能转化为个人信息。此外,与必要性的告知一致,个人权益影响的告知亦需要符合《个人信息保护法》第17条第1款的基本要求,在此不再赘述。告知的形式要求,有助于解决信息不对称问题,使得信息主体能有效阅读、理解相关内容。地方立法、国家标准以及其他规范性文件对敏感个人信息处理的告知形式通常规定为“更加显著或突出”。例如,《深圳经济特区数据条例》第14条第2款规定,处理敏感个人数据应“以更加显著的标识或者突出显示的形式告知”。参照《App违法违规收集使用个人信息自评估指南》第8点,“显著标识”即“字体加粗、标星号、下划线、斜体、颜色等”。2020年,浙江省杭州市余杭区人民检察院针对某短视频App“未以显著、清晰的方式告知并征得儿童监护人明示同意的情况下,允许儿童注册账号”,并收集相关儿童个人信息的行为,提起了民事公益诉讼,最终调解结案。虽然,《个人信息保护法》并未直接对敏感个人信息告知的形式进行规定,但结合敏感个人信息同意的特殊规定可知,应区分基于同意处理敏感个人信息的告知与基于其他合法性基础处理敏感个人信息的告知。基于其他合法性基础处理敏感个人信息的,更加显著或突出的告知可以满足形式要求。基于同意处理敏感个人信息的告知,应是一种与单独同意对应的单独告知。若仅仅采取突出显示的告知方式,一是较难实现单独同意,二是将“降低制度实效,与立法初衷相违”。此时,更加显著或突出的要求已经升级为单独告知的要求,即将处理敏感个人信息与一般个人信息的告知相独立,单独告知所处理的敏感个人信息内容,而不能采取一揽子的告知同意方式。在被称为“人脸识别第一案”的“郭某诉杭州野生动物世界案”中,郭某的第一项诉讼请求即确认采集敏感个人信息的相关店堂告示内容无效。一审法院根据《合同法》《消费者权益保护法》认为,“店堂告示以醒目的文字告知购卡人需要提供包括指纹在内的部分个人信息”,“未作出排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定”,不属于无效内容。二审法院亦认为,郭某“知情后同意办理指纹年卡,其选择权并未受到限制”。尽管该案审理时《个人信息保护法》尚未出台,但不妨碍对案件进行重新分析。如前所述,该案中因店堂告示处理敏感个人信息的告知内容与其他内容相混杂,简单的突出显示无法满足单独告知的形式要求。在告知的内容上,案涉店堂告示亦未对《个人信息保护法》第17条、第30条列举的7个事项进行全面告知。因此,若当下对类似案件进行审理,将得出全然不同的结论。此外,对告知事项进行审查的重要意义还在于,在告知同意的框架中,不履行告知义务的直接后果是,信息主体所作出的同意无效。根据《个人信息保护法》第14条,有效的同意“应当由个人在充分知情的前提下自愿、明确作出”,告知的无效必将导致同意因不满足充分知情的前提而无效。具体而言,信息处理者可通过特定交互界面或设计有效实现单独告知。参照“App个人信息安全测评规范(征求意见稿)”第6.5.2.3.1点、“App个人信息安全防范指引(征求意见稿)”第6.1.4.2.1点,敏感个人信息的单独告知可采取单独的弹窗、界面、提示条、提示音等形式,在进行相关信息处理之前进行告知。例如,首次使用地图类App时,用户会收到单独弹窗告知将采集位置信息并询问是否同意。此外,信息处理过程中的告知,不属于《个人信息保护法》所规范的范畴。部分学者将“用户使用过程中以即时通知的方式向用户提供关于具体个人信息处理行为的提示”误以为属于一种特殊的告知方式,并以iOS系统的告知为例进行说明。然而,iOS系统的告知通常并非信息处理者的告知,而是设备系统对第三方个人信息处理行为的提示,更为重要的是,这种“即时告知”并不符合《个人信息保护法》第17条第1款在处理个人信息前进行告知的时间要求。根据《个人信息保护法》第29条,基于个人同意处理敏感个人信息的,同意不仅应当由个人在充分知情的前提下自愿、明确作出,而且还必须是单独同意。单独同意是一般同意的具体化,指就特定的事项专门取得信息主体的同意。为满足单独同意的要求,处理敏感个人信息与一般个人信息的同意应相互独立,信息处理者单独就敏感个人信息的处理取得信息主体的同意,而不能采取一揽子同意此外,处理敏感个人信息的书面同意应根据法律、行政法规确定。书面同意,即采取合同书、信件、电报、电传、传真等可以有形地表现所载内容的形式所作出的同意。书面同意是在单独同意基础上对同意的形式要求,本身也应符合单独同意的要求。敏感个人信息处理的单独同意是指,信息处理者必须就具体的敏感个人信息处理行为本身单独取得信息主体“明确、自愿”的同意。单独同意对同意内容的特定化提出了更高的要求,也被称为“独立且明确的专项同意”,而不可以是概括的、一揽子的同意。第一,在同意所针对的内容上,单独同意要求只针对敏感个人信息处理本身,不能与一般信息处理一并一揽子同意。《个人信息保护法》通过前,实践中常通过统一的个人信息保护政策获得信息主体同意,即不符合“单独同意”的要求。必须澄清的是,敏感个人信息的单独同意从未要求“信息处理者就每一个类型的每一项敏感个人信息,需获得分别同意、逐项同意”。此种误解源于《网络交易监督管理办法》第13条第2款关于敏感个人信息逐项同意的规定。《网络数据安全管理条例(征求意见稿)》第73条第8项亦错误地将单独同意理解为逐项同意。这一解释不符合单独同意的文义解释,逐项同意实际上是在单独同意基础上的更高的要求,属于限缩解释。对于限缩解释则必须有实践与法律体系上的合理事由。然而,实践中要求信息处理者针对每一项敏感个人信息处理单独进行一次告知同意,是难以操作和实现的。用户面对源源不断的同意弹窗亦将消解单独同意的作用,与单独同意的规范目的不符。更为重要的是,这一解读并不符合《个人信息保护法》的体系解释。一方面,以《个人信息保护法》第23条中的单独同意即为针对“接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”整体而言的单独同意,而不是对其中每一项内容分别作一次告知与同意,更不是就个人信息种类中所涉及的每一项个人信息进行同意。与之类似,《个人信息保护法》第39条关于个人信息跨境的单独同意的规定亦只能解读为针对该条所规定的单独告知事项的单独同意。另一方面,从敏感个人信息的定义来看,未满14周岁儿童的个人信息本身就是敏感个人信息,对于儿童信息的处理无法适用逐项同意的要求。若采用逐项同意,监护人将需要对所有类型的儿童个人信息处理逐一同意;不仅事实上监护人难以完成如此烦琐的同意操作,而且信息处理者亦无法根据一个明确的内容划分标准确定儿童个人信息的所有类型以供监护人逐项同意。从《个人信息保护法》第28条第1款关于敏感个人信息的列举项来看,儿童个人信息与其他列举项的最大差异即在于并未采取内容标准而采用了主体标准。从儿童这一特殊主体出发,儿童个人信息本身就是一个整体概念。《个人信息保护法》第31条所规定的儿童的父母或者其他监护人的同意本身就是针对儿童个人信息处理整体作出的单独同意。亦唯有如此理解,《个人信息保护法》第29条与第31条在体系上方可融洽。第二,在同意所针对的处理行为上,单独同意表现为针对具体信息处理行为的同意,而非针对将来信息处理行为的概括同意。然而,这并不意味着“一处理”对应“一同意”。首先,每一个处理目的都需获得同意,不等于一个处理目的对应一项同意。同意必须针对特定的处理目的、处理方式和处理的个人信息种类作出,本身就是同意的一般要求。据此,《个人信息保护法》第14条第2款规定相关事项发生变更的,应当重新取得个人同意。GDPR序言第32条亦指出,“同意应涵盖为相同的一个或多个目的进行的所有数据处理活动。数据处理涉及多个目的的,每一个目的均须征得数据主体的同意”。这些规定均不排除在清晰、明确的告知相关事项后,信息主体可以针对多个处理目的或处理方式作出一个同意。其次,具体的信息处理行为并不等于单次信息处理行为,同一业务场景下所进行的同类敏感个人信息处理行为只需在初次处理时获得一次单独同意。而单独同意所反对的概括同意指向的是针对可能发生的信息处理行为,而作出的一个空白的、不明确的同意,而非否定对一切将来发生的信息处理行为的同意。事先的同意本来就是面向即将发生的信息处理行为。同一业务场景中,处理目的、处理方式和处理的个人信息种类均未发生变化,因此无须根据《个人信息保护法》第14条第2款重新取得同意。以手机App人脸识别登录为例,只需在首次使用时获得单独同意,除非相关信息处理情况发生变化,否则无须重复提示。第三,在单独同意的方式上,单独同意在单独告知后作出。具体的同意方式可参照“个人信息告知同意指南(征求意见稿)”第9.1条,采取设置交互式界面,由个人信息主体主动填写、输入个人信息表示意愿,由个人信息主体开启可收集个人信息的API(应用程序编程接口)权限表示意愿,个人信息主体通过纸质或电子的书面声明、签字确认表示意愿,个人信息主体通过电子签名方式表示意愿,个人信息主体通过电话录音、视频录像等方式表示意愿等多种形式。其中,基于同意的明确性要求,参照GDPR第32条的规定,沉默、预先打钩或不行动不应构成同意。也就是说,结合同意的内容、同意针对的处理行为、同意的方式,可判断相关行为是否构成敏感个人信息处理的单独同意。例如,前述“人脸识别第一案”中,争议点之一即郭某与妻子到“年卡中心”拍照这一行为是否构成对野生动物世界收集人脸识别信息的同意。该案中,一审法院与二审法院均认为,拍照行为不构成收集敏感个人信息的同意。以《个人信息保护法》视野对这起案件事实进行回顾观察亦可得出相同结论。首先,从同意的内容来看,拍照行为并未明确指向敏感个人信息处理的内容。照片与人脸信息存在差异。参照GDPR序言第51条的规定,只有通过特定的技术手段对自然人的脸部特征进行独特的识别或认证时,才属于人脸信息处理。郭某从未明确针对人脸识别这一特定的敏感个人信息处理内容本身表示同意。其次,从同意针对的处理行为来看,同意拍照不代表同意将照片用于其他处理目的。诚如二审法院判决所指出,虽然“年卡办理流程”涉及拍照,“但提供照片仅系为了配合指纹年卡的使用,不应视为其已授权同意野生动物世界将照片用于人脸识别”。最后,从同意的方式来看,通过拍照这一作为的方式表示的同意本身是不够明确的,其无法明确指向敏感个人信息处理。因此,该案中野生动物世界确未获得有效单独同意。书面同意作为一种特殊的单独同意并非我国立法所首创。域外法中,亦不乏敏感个人信息书面同意的规定。BIPA第15条第b款第1项指出,收集、存储、购买个人生物识别信息需要书面告知信息主体并取得书面同意。2021年美国统一法律委员会通过的《美国统一个人数据保护法》(UDPA,无法律效力)第8条第7款进一步对书面同意的签名进行了强调,指出“控制者不得以不相容数据实践的方式处理数据主体的敏感数据,除非每一项数据实践均取得数据主体的明确同意并签名记录”。我国台湾地区有关个人资料保护法的规定第6条第1款第6项将对敏感个人信息处理的同意限定为书面同意。书面同意强调同意采取书面形式,但不等同于纸质同意。有学者将《个人信息保护法》第29条中的书面同意解读为“处理者必须取得个人亲笔签名的针对其敏感个人信息的处理表示同意的纸质同意书”。此观点值得商榷。一方面,书面形式只与口头形式对应,并不排除电子方式。参照《民法典》第469条第2至3款的规定判断法律中的书面形式要求。该条指出,“书面形式是合同书、信件、电报、电传、传真等可以有形地表现所载内容的形式。以电子数据交换、电子邮件等方式能够有形地表现所载内容,并可以随时调取查用的数据电文,视为书面形式”。另一方面,个人信息处理多以电子方式进行,部分域外立法甚至将非结构化、非电子化的信息处理排除在个人信息保护制度之外,无法也难以要求信息主体在纸质同意书上签名。信息主体在电子文件上通过电子签名进行的书面同意,应依《电子签名法》判断其效力。我国台湾地区有关个人资料保护规定的施行细则第14条亦指出,“书面同意之方式,依电子签章法之规定,得以电子文件为之”。以向征信机构查询个人信息为例,虽然银行柜台办理业务时可能需要纸质签名,但在手机银行、网上银行、各类个人金融App中,均通过电子认证方式进行。实践中,这些方式均被认为符合《征信业管理条例》第18条第1款“取得信息主体本人的书面同意并约定用途”的要求。书面同意是在单独同意基础上的更强的形式要求,体现了法律、行政法规对特定敏感个人信息的重点保护。书面同意作为一种形式强制,被认为具有缓解信息不对称、劝诫谨慎行事、确保同意的明确与坚定、证据固定四种功能。在敏感个人信息处理的告知同意中,书面同意往往又对应着书面告知。同时,亦不可借助书面形式进行一揽子的同意。书面同意必须符合单独同意的要求。若通过书面形式规避单独同意,则将直接与书面同意的规范目的相冲突。《个人信息保护法》第29条将敏感个人信息处理的书面同意限定在法律、行政法规规定之中。现行的相关规定体现了对特殊类型的个人敏感个人信息处理以及特殊行业的敏感个人信息处理的限制。一方面,通过基因检测,可获知性别、种族、遗传病、其他潜在健康风险、潜在的个性特征等一系列信息。而基因信息的泄漏或非法利用容易导致基因歧视,确有特别保护的必要。《人类遗传资源管理条例》第12条第1款规定了采集人类遗传资源应“征得人类遗传资源提供者书面同意”。另一方面,征信信息的作用即在于对个人信用进行评价,对个人贷款利率、保险费率、交易机会等产生直接影响,在失信联合惩戒、数字信用共治机制中将可能对个人产生严重的不利影响,亦有特别限制的必要。《征信业管理条例》(2013)第14条第2款规定了征信机构原则上不得采集收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息,除非取得书面同意。该条例第18条第1款、第28条第2款、第29条第2款亦对特定信息处理的书面同意进行了规定。在“深圳市国银盛达融资担保有限公司与黄某勇侵权责任纠纷案”中,担保公司对黄某勇的借款进行代偿后,向征信机构报送了黄某勇不良信用记录信息。然而,由于担保公司并未事先取得黄某勇关于报送信用信息的书面同意,法院据前述规定判决担保公司构成侵权。敏感个人信息处理中的告知同意规则虽然重要,但绝非不可或缺。一方面,在特定情形中,法律、行政法规豁免了信息处理者的告知义务;在基于同意以外的合法性基础处理敏感个人信息时,更无告知同意的适用空间。另一方面,告知同意并不必然赋予敏感个人信息处理行为以合法性,必须结合法律的其他要求进行判断。一方面,处理敏感个人信息的告知并非绝对的。根据《个人信息保护法》第18条、第30条、第35条的规定,存在无须告知的三种情形:第一,法律、行政法规规定应当保密或者不需要告知(《个人信息保护法》第18条第1款)。虽然《个人信息保护法》第30条采取了“依照本法”的表述,但《个人信息保护法》第18条第1款的这一规定又将相关例外的法源扩展至法律、行政法规之中。例如,有关机关依《人民警察法》第16条、《反恐怖主义法》第45条采取技术侦查措施,依《反洗钱法》第8条调查可疑交易活动,均无须告知信息主体。《征信业管理条例》第15条后半句亦指出,信息提供者向征信机构提供依照法律、行政法规规定的公开不良信息,无须告知信息主体。第二,紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的可暂不履行告知义务,但信息处理者应当在紧急情况消除后及时告知(《个人信息保护法》第18条第2款)。例如,医疗机构为抢救患者而处理其病历资料时,可暂不履行告知义务,但事后应及时告知患者相关健康信息处理情况。第三,告知将妨碍国家机关履行法定职责,则无须告知(《个人信息保护法》第35条)。例如,税务机关依《税收征收管理法》第54条第1项“检查纳税人的账簿、记账凭证、报表和有关资料,检查扣缴义务人代扣代缴、代收代缴税款账簿、记账凭证和有关资料”。此时提前告知,个人可能转移、篡改、销毁有关资料,严重妨碍税务机关履行税收征收管理的法定职责。另一方面,敏感个人信息处理的合法性基础亦不限于同意。《个人信息保护法》第29条删去了《个人信息保护法(二次审议稿)》中“基于个人同意处理敏感个人信息的”前半句,且2021年4月22日法工委发言人谈道“只有在具有特定目的和充分必要性的情形下,方可处理敏感个人信息,并应取得个人的单独同意或书面同意,在事前进行风险评估”时,似乎将同意与敏感个人信息处理的其他条件相并列。《上海市数据条例》第22条亦在同一条款中规定了处理生物识别信息的应具有特定的目的和充分的必要性并采取严格的保护措施,以及应当取得个人的单独同意。凡此种种,使得部分实务工作者误以为立法者将同意规定为敏感个人信息处理的唯一合法性基础。这一理解显然有误。《个人信息保护法》第29条适用的前提是基于同意处理敏感个人信息的情形,即便立法过程中将相关表述删除,这一前提也是不言而喻的。敏感个人信息处理的单独同意或书面同意本身就是一种特殊的同意,而同意又只是个人信息处理的合法性基础之一。从域外法来看,GDPR第9条第2款中敏感个人信息处理的合法情形也不限于同意,还包括履行法律责任、维护数据主体或其他人的重大利益、慈善机构或非营利机构的数据处理、由数据主体明确公开的数据、司法活动中的数据处理、有重大公共利益的理由、处理敏感数据的其他理由等情形。德国《联邦数据保护法》(BDSG)第22条更是完全在同意以外对敏感个人信息处理进行了规定,为履行法律义务、维护公共利益、维护公共安全等目的,并符合特定的限制条件,即可处理敏感个人信息。具体而言,依据《个人信息保护法》第13条第1款第2、3、4、5、7项的合法性基础,信息主体无须个人同意亦可处理敏感个人信息:第一,为缔约或履约所必需。例如,雇主为雇员设立公积金账户,并处理相关金融账户信息。第二,为履行法定职责或者义务所必需。例如,侦查人员根据《刑事诉讼法》第132条的规定,提取犯罪嫌疑人的指纹信息,采集血液、尿液等生物样本,显然无须取得个人同意。第三,为应对突发公共卫生事件或紧急情况所必需。例如,为疫情防控的目的,在确有必要之时,无须同意即可处理相关医疗健康信息、行踪轨迹信息。2022年春季上海疫情突发,部分市民收到短信提示“根据有关大数据排查情况,您近期可能存在与新冠病毒感染者直接或间接接触的风险”,即属此例。第四,为公共利益实施新闻报道、舆论监督等行为。例如,在“施某某等诉徐某某肖像权、名誉权、隐私权纠纷案”中,第三人将幼童受伤的相关照片进行面部模糊处理后发布到微博以举报养父虐童,随即撤下。法院认为,第三人对儿童信息的披露信息行为虽然未经同意,但符合社会公共利益和儿童利益最大化原则,不构成侵权。第五,法律、行政法规规定的其他情形。例如,前述疫情期间健康信息处理的合法性基础不仅来自《个人信息保护法》第13条第1款第4项,还来自《传染病防治法》第12条所规定的,个人需要向疾控机构、医疗机构如实提供有关情况;以及《突发公共卫生事件应急条例》第21条、第36条、第40条分别对单位和个人的报送义务,指定专业技术机构的调查权力,街道、乡镇以及居民委员会、村民委员会协助卫生行政主管部门和其他有关部门、医疗卫生机构进行疫情信息收集和报告的规定。同时,《执业医师法》《后天免疫缺乏症候群防治条例》《艾滋病防治条例》等法律、行政法规均规定了相关健康信息的报送、报告义务。欧洲数据保护委员即指出,为应对新冠肺炎疫情,各国可基于GDPR第9条第2款中的多种合法性事由处理健康信息。美国法上,亦有“伴侣通知”(partner notification)的规定,以保证第三人对传染病信息的知情权。综上可见,在同意之外还存在众多合法处理敏感个人信息的情形。值得注意的是,上述情形中敏感个人信息的处理虽然无须同意,但亦必须符合《个人信息保护法》第28条第2款的前提性要求,即满足特定的目的、充分的必要性、严格保护措施三个条件。同时,无须同意并不等于无须告知。《个人信息保护法》关于告知的一般要求(第17条),因合并、分立、解散、被宣告破产等原因转移个人信息时的告知事项要求(第22条),公共场所安装图像采集、个人身份识别设备的提示要求(第26条),国家机关为履行法定职责处理个人信息时的告知义务(第35条),均不必然对应同意。告知是个人信息处理前的一般要求,无须告知仅限于前文所述的法定情形。告知同意的性质决定了符合《个人信息保护法》第29条、第30条,并不必然赋予敏感个人信息处理合法性。理论上关于同意的性质存在较大争议,至少有属于法律行为的意思表示、数据信托的授权行为、法定的免责事由、个人信息权的行使方式、受限的私权处分以及类似知识产权的许可使用等多种观点。实际上,个人信息保护制度中的同意应属准法律行为。从《民法典》第1036条将同意作为免责事由之一,到《个人信息保护法》第13条将同意规定为个人信息处理的合法性基础之一,信息处理合法的结果皆源于法律之直接规定。同意并非授权/设权行为,不能直接导致信息处理行为合法。信息处理行为是否合法,必须结合法律具体规定进行判断。诚如有学者所言,“告知同意原则要受通信自由和通信秘密宪法权利的限制,要受隐私权的限制,还要受目的原则与必要原则的限制”。敏感个人信息处理更被认为是告知同意有效性限度的突出体现。第一,根据《民法典》第1035条第1款,同意是个人信息处理的条件之一,处理个人信息还必须遵循合法、正当、必要原则,不得过度处理,且公开处理信息的规则,明示处理信息的目的、方式和范围,不违反法律、行政法规的规定和双方的约定。敏感个人信息处理更是必须符合《个人信息保护法》第28条第2款的前提要求,即具有特定的目的和充分的必要性,并采取严格保护措施。若不符合上述规定,即便取得了单独同意,相关处理行为也是不合法的。我国台湾地区有关个人资料保护法的规定第6条第1款第6项亦明确指出“逾越特定目的之必要范围或其他法律另有限制不得仅依当事人书面同意搜集、处理或利用”。第二,在特定敏感个人信息处理中,法律、行政法规排除了告知同意的适用。结合《征信业管理条例》第14条第1款与第2款的规定可知,“征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意”后可以采集第2款所列举的“收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息”,即便取得个人同意亦不可采集第1款所禁止采集的“宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息”。域外法中,亦存在对排除同意规则的规定。GDPR第9条第2款第a项即指出,欧盟或成员国可以通过法律将同意排除在敏感个人信息处理的合法性基础之外。 第三,在特定的敏感个人信息处理情形中,告知同意机制往往难以有效发挥作用。例如,人脸识别就常在权力/地位不对等的环境中被使用,难以确保同意符合《个人信息保护法》第14条“在充分知情的前提下自愿、明确作出”的要求。英国信息专员亦表示,面对不特定主体自动进行的人脸识别难以依靠同意而获得合法性。2019年瑞典适用GDPR第一案中,涉案学校采用人脸识别考勤,且征得了学生同意。瑞典数据保护局认为“鉴于信息主体和信息控制者之间的不平衡,同意不是有效的法律依据”,最终对该学校开具了1000万瑞典克朗的罚单。因此,必须结合敏感个人信息处理的前提,法律、行政法规中的特殊规定,同意的有效性等因素,判断基于同意处理敏感个人信息的合法性。《个人信息保护法》第29条、第30条在我国法律中首次明确了敏感个人信息处理的告知同意规范,必将对我国个人信息保护实践产生深远影响。虽然敏感个人信息处理有多种合法性基础,但商业实践往往难以满足其他合法性基础的要求,此时告知同意必将成为信息处理者利用敏感个人信息最有效、最常见的路径。此外,随着实践与认识的深化,敏感个人信息处理的告知同意规范亦必将进一步完善。结合《个人信息保护法》第32条与第62条第2项可知,法律、行政法规以及国家网信部门制定的规则与标准均可对敏感个人信息处理的告知同意作出细化规定。当前,援引该条款的司法判决以及对该条款的权威解释均未出现,本文依法教义学的立场对敏感个人信息特殊告知事项、单独同意与书面同意、例外情形进行了梳理与分析,期望助益于《个人信息保护法》的实施,服务于个人信息保护水平的提升。或许,“让子弹飞一会儿”,许多争议将有更为清晰的答案。