乱象丛生

2016年高考放榜，徐玉玉以优异的成绩被南京邮电大学录取。对未来满怀憧憬的她却接到了一通陌生电话，对方声称有一笔助学金要发放给她。在此前一天，徐玉玉已经接到教育部门发放助学金的通知并办理了助学金的相关手续，正等待助学金的发放，因此并未怀疑陌生电话的真伪。涉世未深的她就这样被骗走了全部的学费。发现被骗后，徐玉玉万分难过，当晚就和家人去派出所报了案。在回家的路上，徐玉玉郁结于心突然晕厥，美好的生命永远停留在18岁。

当年的电信诈骗异常嚣张，屡禁不绝，而受害者往往家破人散、剖心泣血。徐玉玉的离世彻底点燃了大众的怒火，警方成立专案组全力破案。经警方侦查，电信诈骗犯之所以能如此精准地围绕徐玉玉的“刚刚申请助学金的准大学生”的特定身份进行诈骗活动，是因为黑客非法侵入窃取了2016年山东省高考考生个人信息64万余条，并出售给了徐玉玉案中的电信诈骗犯。

案发至今已过五年，罪犯均已受到法律制裁，但造成的伤害已然无法逆转，其教训更是刻骨铭心。正所谓亡羊补牢，为时未晚。此案入选“2017年推动法治进程十大案件”，在强烈的社会反响下法治进程得到极大推动，相关法律、法规、政策纷纷落地，特别是对个人信息的保护始终为万众瞩目。

激浊扬清

终于，在一个个利用技术手段侵犯敏感个人信息数据并造成严重后果的案件发生之后，《中华人民共和国个人信息保护法》（以下简称”个人信息保护法“）已由中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议于2021年8月20日通过并公布，自2021年11月1日起施行。马克思说过，人的本质是一切社会关系的总和。而在互联网时代，每个人都是“赤裸的”，一条条敏感的个人信息数据就像毛发、骨骼、血肉、内脏器官一样，他们共同组成了一个社会意义上的人，其重要性不言而喻。《个人信息保护法》的面世意味着我国对敏感个人信息数据的保护体系终于搭上了主梁，本文将结合相关法律法规及国家标准，简单分析《个人信息保护法》这个中国首部专门针对个人信息保护的法律对信息主体的意义和信息处理主体面临的合规压力。

定义与分类

首先，《个人信息保护法》对敏感个人信息进行了明确的定义。根据《个人信息保护法》第二十八条第一款，“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”

第二十八条第一款中除明确了敏感个人信息数据的定义之外，还列示了敏感个人信息的主要分类。这些规定将配合其他法律法规和国家标准，对信息处理者的采取不同处理规则时的合规义务进行总体性的明确与区分，同时也让每一位信息主体明白其受法律保护的权益之所在，更加充分的保护个人信息权益。

在《个人信息保护法》公布之前，主要由《信息安全技术 个人信息安全规范》（以下简称“个人信息安全规范”）和《App违法违规收集使用个人信息行为认定方法》（以下简称“APP违法违规认定方法”）分别以非强制性国家标准和政策性文件的形式对敏感个人信息的定义、分类给出指导性的建议，并无法律上的强制性。同时，因为这些敏感个人信息往往高频出现在日常工作生活信息中，大部分信息主体和个人信息处理者均习以为常而未加以防范。在敏感个人信息被不法分子轻易获得并加以利用后，将导致信息主体的人格尊严、人身、财产安全遭受严重侵害。

正如五年前徐玉玉案案发时的背景一样，每年高考考生人数高达上千万，而助学金也惠及了成千上万的贫困学子。在一般人的认识中“申请助学金的准大学生“并非需要严格保密的信息，可是徐玉玉案的诈骗犯却利用这些信息造成了无法挽回的严重后果。因此，《个人信息保护法》对敏感个人信息的定义和基本分类的确定奠定了从该信息被非法处理可能产生的危害后果这一客观的角度来认定是否为敏感个人信息的原则，而非信息主体是否具有“不愿为他人知晓”的意愿为标准，这有助于敏感个人信息的处理者进行更严格标准的数据合规工作。

 合规原则的分析

《个人信息保护法》同样针对处理敏感个人信息的原则进行了明确的规定。根据《个人信息保护法》第二十八条第二款，“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。” 该条款仅作出了原则性的规定，并未对内容中的“特定的目的”、“充分的必要性”进行详细的解释。但可从《中华人民共和国网络安全法》（以下简称“网络安全法”）和《个人信息安全规范》中的规定与指导标准对这些术语、名词进行理解：

（1）关于“特定的目的”。《网络安全法》第四十一条规定，“...网络运营者不得收集与其提供的服务无关的个人信息...”以及《个人信息安全规范》第5.2条a项要求“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联；直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现。”由以上相关规定与指导标准可知，处理个人信息的行为应与实现业务功能直接关联且不可或缺，而对于处理敏感个人信息所要求具备的特定目的，则应较处理其他个人信息更加严格。

基于此，笔者认为在未来围绕《个人信息保护法》相关的配套立法中，处理敏感个人信息所应具备的“特定的目的”将以“白名单”的形式，由各行业主管部门有针对性的制定相关规范与标准，将信息处理者的合规义务明确化、具体化。

（2）关于“充分的必要性"。除包含在上述“特定的目的”中的充分必要性合规要求之外，笔者认为处理敏感个人信息时该原则亦针对产品或服务本身，并在更宽广的范围内对处理敏感个人信息的行为产生合规要求。简言之即“如无必要，勿增实体”，例如疫情期间大家频繁使用的通信大数据行程卡，它包含了自然人14天内的活动轨迹等大量对敏感个人信息的处理，由中国通信院、中国移动、中国电信、中国联通合作提供，在全国范围内已经推广普及且取得公信力，基本实现了疫情防控的需求。在此情形下，再开发其他同类的产品即为非必要的，对应的处理敏感个人信息的行为亦如无根之萍。这也意味着信息处理者的合规工作，将不仅仅在技术层面、内部层面上，而会延伸拓展至市场层面、社会层面。

合规关键与执法力度

《个人信息保护法》在第二章明确了处理个人信息的基本规则，包括处理个人信息的合法情形、信息主体的知情权利和撤回权利、信息处理者的告知义务、个人信息的保存期限与处理范围的限制等等。通过这些规定可以明白，个人信息处理的基本合规要点在于信息处理者对信息主体的告知和信息主体对信息处理者的同意的双向互动环节，当个人信息的处理事项发生重大变化时，信息处理者需要对信息主体重新进行告知并取得同意。例如，从微信上打开小程序或者其他跳转至第三方接口的链接时，会弹出的窗口向用户征求同意，然后收集使用用户的微信昵称、头像、签名等信息，这一生活中常见的场景充分体现了“告知——同意”这一环节的应用。

而对于处理敏感个人信息的行为的合规核心，《个人信息保护法》在“告知——同意”的个人信息保护“源代码”基础上，要求个人信息处理者必须取得个人“单独同意”的前提下方可处理敏感个人信息，另有规定需信息主体书面同意的从其规定。同时，信息处理者处理敏感个人信息时所负有的告知义务、必要性要求、保护力度等各方面合规标准均高于其他个人信息，这也是目前众多信息处理者合规工作的“百慕大三角区”。广为人知的“滴滴事件”发酵至今，包含“滴滴出行”、“滴滴助手”、“滴滴司机”等一系列APP均因因严重违法违规收集使用个人信息被下架。而在湖南地区，根据湖南通信管理局的通报，7月12日至7月29日短短半个月时间内，存在侵害用户权益和安全隐患的APP多达30款，其中3款APP因未按照要求完成整改反馈被下架处罚，被处罚下架的3款APP所涉问题均包括“收集个人敏感信息未同步告知目的。”雷声未到，电光已乍，虽然《个人信息保护法》尚未到生效时间，但是国家的意志已经坚定，各扮演着“信息处理主体”的公司企业应未雨绸缪，而非心存侥幸。