公民在提供敏感个人信息时要有更高的安全意识

□ 中国妇女报·中国妇女网记者 王春霞

个人信息保护法草案10月13日亮相。草案确立了个人信息处理应遵循的原则，确立了以“告知—同意”为核心的个人信息处理一系列规则，设专节对处理敏感个人信息作出更严格的限制，只有在具有特定的目的和充分的必要性的情形下，方可处理敏感个人信息，并且应当取得个人的单独同意或者书面同意。

中国互联网协会研究中心秘书长、北京师范大学网络法治国际中心执行主任、博导吴沈括在接受中国妇女报·中国妇女网记者采访时表示，草案关于处理敏感个人信息的规定总体上是充分的，强调的是全生命周期、以风险管理为导向的保护思路。从进一步完善的角度，可以考虑对敏感个人信息违法犯罪的法律责任作出明确的强化规定。

在吴沈括看来，个人信息保护法草案非常完整地研究、吸收、对接国际主流的立法经验，系统吸收、梳理、总结网络安全法、民法、刑法等有关个人信息保护的规定，对国内个人信息保护的热点和焦点问题作出了回应，比如自动化决策、人脸识别，确立了以个人控制为中心的保护思路，强调当事人的控制权力，比如知情权、更改权、删除权都是这种控制权力的体现。

“一方面吸收对接国际主流立法经验，另一方面对中国实际情况做出了特殊规定，两个思路在敏感个人信息中都有不同程度的体现。”吴沈括说，欧盟、美国、韩国、日本、阿联酋、印度等相关立法都重视敏感个人信息保护。

关于敏感个人信息，草案第29条规定，敏感个人信息是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

吴沈括告诉记者，草案对“敏感个人信息”概念的规定采取了概括加列举的立法方式。种族、民族、宗教信仰，个人生物特征、医疗健康属于敏感个人信息的常见类型，金融账户和个人行踪，是立法者基于中国经济社会现实作出的强化表述。

“敏感个人信息通俗的理解就是对于个人的尊严、自由以及人身财产安全能够产生严重损害危险的信息类型。”吴沈括说，也就是说相对于其他个人信息，敏感个人信息对于人的权利损害会更加突出。

草案第32条还规定法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出更严格限制的，从其规定。

吴沈括认为，实际上草案规定的敏感个人信息的类型并不局限于第29条，结合第32条的规定，敏感个人信息可以根据法律行政法规的规定予以扩充。概括地讲，对于个人权利造成更严重损害的信息都属于敏感个人信息。

吴沈括告诉记者，草案规定了个人信息处理的一般规则，敏感信息的特别规则，加上第54条规定个人信息处理者应当对处理敏感个人信息进行风险评估，可以看出，敏感个人信息的保护是全流程、全生命周期的保护。风险管理为导向的立法思路，能够提前预知、预判、预处理相关风险。

草案法律责任部分并未对敏感个人信息规定专门的法律责任。结合国际立法经验，吴沈括建议对侵犯敏感个人信息的行为给予更高的法律责任配置。

保护敏感个人信息，个人应注意哪些方面？

吴沈括提出了三点建议，其一，建议公民在提供个人信息尤其是敏感个人信息的时候，要有更高的安全和自我保护意识，对于具体场景可能产生的风险，要有自觉意识。

其二，自身个人信息受到侵犯时，要积极向国家网信部门等国家机关举报，寻求国家行政机关保护和司法救济，维护自身权益。民法典明年正式实施后，个人信息遭侵权可直接起诉。要积极借助行政保护、司法保护以及社会组织尤其是消费者权益保护组织，多层次维权。

其三，更多的人通过法律所规定的渠道维权，发挥社会监督功能，有利于建设良好的社会生态，形成政府、企业、社会组织、公民共治的社会氛围。欧洲长达50多年的个人信息保护经验表明，个人信息保护需要社会共治，这也是对自身权益更长远的保护。

此外，吴沈括认为，敏感个人信息保护力度要加强，但是不能绝对保护，从整个数字产业发展的角度，敏感个人信息的保护要在数据流转全生命周期中实现动态保护，慎重考虑不同利益之间的平衡，比如国家安全、公共利益。敏感个人信息的定性，在具体个案中要由监管机关或者司法机关做出个案判定。个人信息保护包括敏感个人信息保护，要特别注意技术环境的变化，是一个随着技术环境改变不断作出价值判断的动态过程。