2022年10月27日00:51:22 熱門 1461

韓旭至

（華東政法大學法律學院副研究員）

· 本文來源於《地方立法研究》2022年第3期

《個人信息保護法》第29條、第30條在法律上首次專門規定對敏感個人信息處理的告知同意。當前，一方面，敏感個人信息保護與告知同意規則的部分理論成果已為立法所揚棄；另一方面，部分理論成果又無法直接解釋這一全新的法律規範。對此，需結合兩個條款的規範目的，以法教義學的立場對敏感個人信息處理的告知同意進行解釋。就敏感個人信息處理的特殊告知事項而言，必要性的告知應展示個人信息處理與提供相關具體的服務/功能之間的必然聯繫。對個人權益影響的告知應根據個人信息保護影響評估的結果進行。就敏感個人信息處理的同意規則而言，為滿足單獨同意的要求，處理敏感個人信息與一般個人信息的同意應相互獨立，不能採取一攬子同意的方式。書面同意是在單獨同意的基礎上對同意的形式要求，可採取合同書、信件、電報、電傳、傳真等形式作出。敏感個人信息處理中的告知同意規則雖然重要，但絕非不可或缺。特定情形中處理敏感個人信息無須告知同意，告知同意亦不必然賦予敏感個人信息處理行為以合法性。

一、問題與方法

針對敏感個人信息處理的多種告知同意理論模型已為立法所揚棄。例如，不少學者主張，信息處理者應在清晰、明確告知後獲得信息主體的明示同意，並構建相應的同意撤回機制。在我國《個人信息保護法》中，這些關於敏感個人信息告知同意的特殊主張已經升格為告知同意的一般要求。值得辨析的是，主張結合信息處理的具體場景、處理目的、處理方式進行動態分析的場景理論能否直接用於解釋敏感個人信息處理的告知同意規範。在敏感個人信息的界定中，即有學者主張“兼顧敏感個人信息利用的情景、目的”。針對敏感個人信息處理的告知同意，又形成了分層同意、動態同意的理論，主張“從整齊劃一的同意向基於信息分類、場景化風險評估的分層同意轉變，從一次性同意向持續的信息披露與動態同意轉變”。

場景理論與我國敏感個人信息保護的制度邏輯存在衝突。一方面，場景理論被大量誤讀，成了“具體問題具體分析”的代名詞。尼森博姆(Helen Nissenbaum)所提出的“情境完整性理論”，旨在從社群規範的角度對美國法中的隱私概念進行解構。直接適用場景理論將與我國敏感個人信息的法律界定相衝突。根據《個人信息保護法》第28條第1款，敏感個人信息的風險判斷存在確定的前提，即“一旦泄露或者非法使用”，此時具體的信息處理場景已不再相關，其關注的是信息脫離原處理場景後所對應的“高概率權益受侵害可能”。另一方面，分層同意、動態同意的基本邏輯不符合我國法律規定。《個人信息保護法》中的同意是一種擇入機制(opt-in)，分層或動態地適用“擬制同意”“有條件的寬泛同意+退出權”的擇出機制(opt-out)不符合同意的法定要求。在解釋論意義上，區分敏感個人信息與一般個人信息，對應不同的告知同意要求，是立法所唯一認可的告知同意分類方式。

敏感個人信息處理的告知同意必須回到條文的規範目的，以探尋恰當的解釋路徑。敏感個人信息處理的同意規定在《個人信息保護法》第29條之中。該條的規範目的在於強化個人對敏感個人信息處理的認知與控制，從而最終實現對敏感個人信息的充分保護。敏感個人信息處理的同意與一般個人信息處理的同意相區分，將起到警示的作用，使得信息主體充分認識到敏感個人信息處理的情況。此時，信息主體可以只同意處理一般個人信息，而不對敏感個人信息處理表示同意，亦更加尊重了信息主體的決定權。另外，單獨同意實際上提高了信息處理者的義務要求。實踐中，每一次同意彈窗的出現均會使得企業流失一定客戶。由於《個人信息保護法》關於同意的一般規則已屬於明示同意，為更好地保護與自然人人格尊嚴以及人身、財產安全息息相關的敏感個人信息，法律規定了單獨同意、書面同意的更高要求。

敏感個人信息處理的告知則規定於《個人信息保護法》第30條。該條的規範目的則在於實現公開、透明原則，保障信息主體的知情權，使得信息主體在獲得充分告知的前提下作出同意的決定。告知作為“信息處理者的一種公法上的義務”，目的是確保同意這種“私法上個人信息自決權益”的行使。尤其是關於必要性以及對個人權益影響的告知事項，更是有助於個人全盤考慮、充分衡量利弊得失後作出決策。即便處理敏感個人信息的合法性基礎為同意以外的其他法定事由，特殊的告知規定也能起到提高個人警惕、加強防備的作用。

此外，《個人信息保護法》第1條載明了“保護個人信息權益，規範個人信息處理活動，促進個人信息合理利用”的立法目的。從比較法來看，我國關於敏感個人信息處理的告知同意規定較為嚴苛。例如，我國關於告知的一般要求已經涵蓋了美國伊利諾伊州《生物識別信息隱私法》(BIPA)第15條特別列舉的所有告知事項。單獨同意、書面同意的要求顯然亦強於歐盟《通用數據保護條例》(GDPR)第9條第2款第a項中的明確同意要求。個人信息保護切不可以禁錮信息流動為代價。敏感個人信息保護規範的解釋適用必須平衡敏感個人信息保護與信息合理利用的關係。

在上述認識下，本文將以法教義學的立場對《個人信息保護法》第29條、第30條進行分析，以進一步釐清三大基本問題：一是兩個特殊告知事項的規範內涵，即信息處理者應如何履行處理敏感個人信息的特殊告知義務。二是敏感個人信息處理的單獨同意與書面同意的實現路徑，即針對處理敏感個人信息的同意在內容、對象、方式上的要求。三是敏感個人信息告知同意的法律限度，即何時能排除告知同意，何種情形中取得告知同意亦可能構成違法處理敏感個人信息。

二、特殊告知事項的規範內涵

必要性與對個人權益影響兩項內容是《個人信息保護法》第30條在該法第17條第1款所規定的5項告知事項外，針對處理敏感個人信息規定的特殊告知事項。其中，必要性的告知與敏感個人信息處理的必要性要求緊密相連，應展示個人信息處理與提供相關具體的服務/功能之間的必然聯繫。對個人權益影響的告知應根據個人信息保護影響評估的結果進行，並充分考慮泄露或者非法使用的可能後果、信息處理的應用場景/行業、信息處理者的信息收集能力/成本等具體因素。

(一)特殊告知事項之一：處理的必要性

必要性的告知要求來源於必要原則。強調必要性告知展現了基於“告知同意”處理敏感個人信息的特殊邏輯結構，即不能通過“告知同意”處理沒有必要的敏感個人信息。對於一般個人信息而言，信息處理者若希望處理與業務功能有關的非必要信息，則必須告知用戶並獲得其同意。《App違法違規收集使用個人信息自評估指南》第26段即指出，“當App運營者收集的個人信息超出必要信息範圍時，應向用戶明示所收集個人信息目的並經用戶自主選擇同意”。此時，告知同意是處理非必要個人信息唯一可行的合法性基礎。然而，對於敏感個人信息而言，《個人信息保護法》第28條第2款明確指出“特定的目的和充分的必要性”本身就是信息處理者合法處理的重要前提。強調必要性的告知，絕不意味着可以以“告知同意”為由，在沒有達到充分必要性前提之時處理敏感個人信息。

告知處理敏感個人信息的必要性，顯然要求信息處理者先自行對必要性進行評估，但這並不意味着將必要性充分與否的判斷權交給信息處理者來自行決定。多年前，基於隱私權的保護邏輯，部分法院在未對用人單位是否屬於特殊行業進行分析的情況下，直接判定用人單位在入職體檢中獲取應聘者是否攜帶乙肝病毒、是否具有基因缺陷等健康信息的行為因未泄露信息而合法。實際上，此舉起到了將健康信息獲取的必要性交由用人單位自行判斷的效果。在《個人信息保護法》的規範中，相關判決值得重新反思。個人信息處理的必要性是客觀的。理論上，為實現《個人信息保護法》第28條第2款“充分的必要性”的要求，敏感個人信息處理受比例原則的約束，相關信息處理“應當保持最大的剋制”。用人單位必須清晰地向勞動者告知其基於何種正當理由，必須獲取勞動者的何種健康信息。若個人在收到必要性的告知後認為相關個人信息處理沒有必要或必要性並不充分，就可以不同意相關信息處理，從而充分保障個人的知情權、決定權。對於信息處理者而言，其在履行必要性告知義務的時候，亦必須對處理敏感個人信息的必要性有清晰的認識。

簡單來講，敏感個人信息處理的必要性要求“收集敏感個人信息對於實現特定的處理目的是極為必要”。若不進行相關處理，信息處理者將無法提供相關服務，或無法履行相關法律義務、保護相關正當利益。以提供相關服務的必要性為例，可依據《常見類型移動互聯網應用程序必要個人信息範圍規定》進行判定。根據該規定第3條，“必要個人信息，是指保障App基本功能服務正常運行所必需的個人信息，缺少該信息App即無法實現基本功能服務。具體是指消費側用戶個人信息，不包括服務供給側用戶個人信息”。該規定第5條更是進一步詳細規定了39類常見類型App的必要個人信息範圍。

必要性的告知也需要符合《個人信息保護法》第17條第1款“清晰易懂”“真實、準確、完整”的要求。因此，必要性的告知不能是“若無敏感個人信息，則無法提供相關服務”的簡單聲明。必要性的告知至少應展示敏感個人信息處理與提供相關具體的服務/功能之間的邏輯關係，並對必要性進行分析。已有學者從“數據生命周期”的角度對必要性的告知要求進行描述指出，收集時需指明為實現合法、特定的目的，該信息處理方案是充足、相關且不過量的，並不存在其他可替代的對個人影響更小的方式；存儲時需告知處理目的之達成能否無須存儲信息、能否利用匿名化信息、能否存儲更短的時間；公開時需說明不公開、脫敏公開、一定範圍內公開等方式均不足以實現處理目的。唯有如此，方可向個人充分展示信息處理的必要性。

(二)特殊告知事項之二：對個人權益的影響

《個人信息保護法》第28條第1款從“容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害”的角度對敏感個人信息進行界定，高度關注處理敏感個人信息對個人權益的影響。對個人權益的影響的範圍廣泛。一方面，個人權益包含了所有法律上認可的權益，既包括私法上的人身、財產權益，也包括公法上的人格尊嚴和人身自由等基本權利；另一方面，影響也包括了現實存在的影響以及可能帶來的不利後果。《人類遺傳資源管理條例》第12條第1款、《徵信業管理條例》第14條第2款、“公共及商用服務信息系統個人信息保護指南”(GB/Z 28828-2012)第5.2.2條即分別就不同情形提出了告知“對健康可能產生的影響、個人隱私保護措施”“提供該信息可能產生的不利後果”“提供個人信息後可能存在的風險”以及“個人信息主體不提供個人信息可能出現的後果”等要求。

具體而言，信息處理者應根據個人信息保護影響評估的結果，向信息主體履行相關告知義務。根據《個人信息保護法》第55條的規定，處理敏感個人信息，個人信息處理者應當事前進行個人信息保護影響評估，並對處理情況進行記錄。又根據《個人信息保護法》第56條，“對個人權益的影響及安全風險”本身就是個人信息保護影響評估應當包括的重要內容。參照“個人信息安全影響評估指南”(GB/T 39335-2020)的規定，可從“影響個人自主決定權”“引發差別性待遇”“個人名譽受損和遭受精神壓力”“個人財產受損”四個維度，對個人信息主體的權益進行影響程度評價，並將影響程度分為“嚴重”“高”“中”“低”四個等級。例如，健康生理信息的泄露、濫用等可能會對個人生理、心理產生較嚴重的影響。此外，結合《個人信息保護法》第28條第1款敏感個人信息的定義，更應從泄露或者非法使用的角度進一步判斷對個人權益的影響。信息處理者必須全面、詳盡地向個人告知相關影響。

值得注意的是，對個人權益的影響亦必須結合應用場景/行業、信息處理者的信息收集能力/成本等具體因素進行具體判斷。不同的應用場景中，處理敏感個人信息所產生的影響大不相同。隨着信息處理技術的發展與信息處理能力的提升，即便是匿名信息亦可能轉化為個人信息。此外，與必要性的告知一致，個人權益影響的告知亦需要符合《個人信息保護法》第17條第1款的基本要求，在此不再贅述。

(三)特殊的告知形式

告知的形式要求，有助於解決信息不對稱問題，使得信息主體能有效閱讀、理解相關內容。地方立法、國家標準以及其他規範性文件對敏感個人信息處理的告知形式通常規定為“更加顯著或突出”。例如，《深圳經濟特區數據條例》第14條第2款規定，處理敏感個人數據應“以更加顯著的標識或者突出顯示的形式告知”。參照《App違法違規收集使用個人信息自評估指南》第8點，“顯著標識”即“字體加粗、標星號、下劃線、斜體、顏色等”。2020年，浙江省杭州市餘杭區人民檢察院針對某短視頻App“未以顯著、清晰的方式告知並徵得兒童監護人明示同意的情況下，允許兒童註冊賬號”，並收集相關兒童個人信息的行為，提起了民事公益訴訟，最終調解結案。

雖然，《個人信息保護法》並未直接對敏感個人信息告知的形式進行規定，但結合敏感個人信息同意的特殊規定可知，應區分基於同意處理敏感個人信息的告知與基於其他合法性基礎處理敏感個人信息的告知。基於其他合法性基礎處理敏感個人信息的，更加顯著或突出的告知可以滿足形式要求。基於同意處理敏感個人信息的告知，應是一種與單獨同意對應的單獨告知。若僅僅採取突出顯示的告知方式，一是較難實現單獨同意，二是將“降低制度實效，與立法初衷相違”。此時，更加顯著或突出的要求已經升級為單獨告知的要求，即將處理敏感個人信息與一般個人信息的告知相獨立，單獨告知所處理的敏感個人信息內容，而不能採取一攬子的告知同意方式。

在被稱為“人臉識別第一案”的“郭某訴杭州野生動物世界案”中，郭某的第一項訴訟請求即確認採集敏感個人信息的相關店堂告示內容無效。一審法院根據《合同法》《消費者權益保護法》認為，“店堂告示以醒目的文字告知購卡人需要提供包括指紋在內的部分個人信息”，“未作出排除或者限制消費者權利、減輕或者免除經營者責任、加重消費者責任等對消費者不公平、不合理的規定”，不屬於無效內容。二審法院亦認為，郭某“知情後同意辦理指紋年卡，其選擇權並未受到限制”。儘管該案審理時《個人信息保護法》尚未出台，但不妨礙對案件進行重新分析。如前所述，該案中因店堂告示處理敏感個人信息的告知內容與其他內容相混雜，簡單的突出顯示無法滿足單獨告知的形式要求。在告知的內容上，案涉店堂告示亦未對《個人信息保護法》第17條、第30條列舉的7個事項進行全面告知。因此，若當下對類似案件進行審理，將得出全然不同的結論。此外，對告知事項進行審查的重要意義還在於，在告知同意的框架中，不履行告知義務的直接後果是，信息主體所作出的同意無效。根據《個人信息保護法》第14條，有效的同意“應當由個人在充分知情的前提下自願、明確作出”，告知的無效必將導致同意因不滿足充分知情的前提而無效。

具體而言，信息處理者可通過特定交互界面或設計有效實現單獨告知。參照“App個人信息安全測評規範(徵求意見稿)”第6.5.2.3.1點、“App個人信息安全防範指引(徵求意見稿)”第6.1.4.2.1點，敏感個人信息的單獨告知可採取單獨的彈窗、界面、提示條、提示音等形式，在進行相關信息處理之前進行告知。例如，首次使用地圖類App時，用戶會收到單獨彈窗告知將採集位置信息並詢問是否同意。此外，信息處理過程中的告知，不屬於《個人信息保護法》所規範的範疇。部分學者將“用戶使用過程中以即時通知的方式向用戶提供關於具體個人信息處理行為的提示”誤以為屬於一種特殊的告知方式，並以iOS系統的告知為例進行說明。然而，iOS系統的告知通常並非信息處理者的告知，而是設備系統對第三方個人信息處理行為的提示，更為重要的是，這種“即時告知”並不符合《個人信息保護法》第17條第1款在處理個人信息前進行告知的時間要求。

三、告知後同意的實現路徑

根據《個人信息保護法》第29條，基於個人同意處理敏感個人信息的，同意不僅應當由個人在充分知情的前提下自願、明確作出，而且還必須是單獨同意。單獨同意是一般同意的具體化，指就特定的事項專門取得信息主體的同意。為滿足單獨同意的要求，處理敏感個人信息與一般個人信息的同意應相互獨立，信息處理者單獨就敏感個人信息的處理取得信息主體的同意，而不能採取一攬子同意

的方式。

此外，處理敏感個人信息的書面同意應根據法律、行政法規確定。書面同意，即採取合同書、信件、電報、電傳、傳真等可以有形地表現所載內容的形式所作出的同意。書面同意是在單獨同意基礎上對同意的形式要求，本身也應符合單獨同意的要求。

(一)單獨同意：內容、對象與方式的基本要求

敏感個人信息處理的單獨同意是指，信息處理者必須就具體的敏感個人信息處理行為本身單獨取得信息主體“明確、自願”的同意。單獨同意對同意內容的特定化提出了更高的要求，也被稱為“獨立且明確的專項同意”，而不可以是概括的、一攬子的同意。

第一，在同意所針對的內容上，單獨同意要求只針對敏感個人信息處理本身，不能與一般信息處理一併一攬子同意。《個人信息保護法》通過前，實踐中常通過統一的個人信息保護政策獲得信息主體同意，即不符合“單獨同意”的要求。必須澄清的是，敏感個人信息的單獨同意從未要求“信息處理者就每一個類型的每一項敏感個人信息，需獲得分別同意、逐項同意”。此種誤解源於《網絡交易監督管理辦法》第13條第2款關於敏感個人信息逐項同意的規定。《網絡數據安全管理條例(徵求意見稿)》第73條第8項亦錯誤地將單獨同意理解為逐項同意。這一解釋不符合單獨同意的文義解釋，逐項同意實際上是在單獨同意基礎上的更高的要求，屬於限縮解釋。對於限縮解釋則必須有實踐與法律體系上的合理事由。然而，實踐中要求信息處理者針對每一項敏感個人信息處理單獨進行一次告知同意，是難以操作和實現的。用戶面對源源不斷的同意彈窗亦將消解單獨同意的作用，與單獨同意的規範目的不符。

更為重要的是，這一解讀並不符合《個人信息保護法》的體系解釋。一方面，以《個人信息保護法》第23條中的單獨同意即為針對“接收方的名稱或者姓名、聯繫方式、處理目的、處理方式和個人信息的種類”整體而言的單獨同意，而不是對其中每一項內容分別作一次告知與同意，更不是就個人信息種類中所涉及的每一項個人信息進行同意。與之類似，《個人信息保護法》第39條關於個人信息跨境的單獨同意的規定亦只能解讀為針對該條所規定的單獨告知事項的單獨同意。另一方面，從敏感個人信息的定義來看，未滿14周歲兒童的個人信息本身就是敏感個人信息，對於兒童信息的處理無法適用逐項同意的要求。若採用逐項同意，監護人將需要對所有類型的兒童個人信息處理逐一同意；不僅事實上監護人難以完成如此繁瑣的同意操作，而且信息處理者亦無法根據一個明確的內容劃分標準確定兒童個人信息的所有類型以供監護人逐項同意。從《個人信息保護法》第28條第1款關於敏感個人信息的列舉項來看，兒童個人信息與其他列舉項的最大差異即在於並未採取內容標準而採用了主體標準。從兒童這一特殊主體出發，兒童個人信息本身就是一個整體概念。《個人信息保護法》第31條所規定的兒童的父母或者其他監護人的同意本身就是針對兒童個人信息處理整體作出的單獨同意。亦唯有如此理解，《個人信息保護法》第29條與第31條在體系上方可融洽。

第二，在同意所針對的處理行為上，單獨同意表現為針對具體信息處理行為的同意，而非針對將來信息處理行為的概括同意。然而，這並不意味着“一處理”對應“一同意”。首先，每一個處理目的都需獲得同意，不等於一個處理目的對應一項同意。同意必須針對特定的處理目的、處理方式和處理的個人信息種類作出，本身就是同意的一般要求。據此，《個人信息保護法》第14條第2款規定相關事項發生變更的，應當重新取得個人同意。GDPR序言第32條亦指出，“同意應涵蓋為相同的一個或多個目的進行的所有數據處理活動。數據處理涉及多個目的的，每一個目的均須徵得數據主體的同意”。這些規定均不排除在清晰、明確的告知相關事項後，信息主體可以針對多個處理目的或處理方式作出一個同意。其次，具體的信息處理行為並不等於單次信息處理行為，同一業務場景下所進行的同類敏感個人信息處理行為只需在初次處理時獲得一次單獨同意。而單獨同意所反對的概括同意指向的是針對可能發生的信息處理行為，而作出的一個空白的、不明確的同意，而非否定對一切將來發生的信息處理行為的同意。事先的同意本來就是面向即將發生的信息處理行為。同一業務場景中，處理目的、處理方式和處理的個人信息種類均未發生變化，因此無須根據《個人信息保護法》第14條第2款重新取得同意。以手機App人臉識別登錄為例，只需在首次使用時獲得單獨同意，除非相關信息處理情況發生變化，否則無須重複提示。

第三，在單獨同意的方式上，單獨同意在單獨告知後作出。具體的同意方式可參照“個人信息告知同意指南(徵求意見稿)”第9.1條，採取設置交互式界面，由個人信息主體主動填寫、輸入個人信息表示意願，由個人信息主體開啟可收集個人信息的API(應用程序編程接口)權限表示意願，個人信息主體通過紙質或電子的書面聲明、簽字確認表示意願，個人信息主體通過電子簽名方式表示意願，個人信息主體通過電話錄音、視頻錄像等方式表示意願等多種形式。其中，基於同意的明確性要求，參照GDPR第32條的規定，沉默、預先打鉤或不行動不應構成同意。

也就是說，結合同意的內容、同意針對的處理行為、同意的方式，可判斷相關行為是否構成敏感個人信息處理的單獨同意。例如，前述“人臉識別第一案”中，爭議點之一即郭某與妻子到“年卡中心”拍照這一行為是否構成對野生動物世界收集人臉識別信息的同意。該案中，一審法院與二審法院均認為，拍照行為不構成收集敏感個人信息的同意。以《個人信息保護法》視野對這起案件事實進行回顧觀察亦可得出相同結論。首先，從同意的內容來看，拍照行為並未明確指向敏感個人信息處理的內容。照片與人臉信息存在差異。參照GDPR序言第51條的規定，只有通過特定的技術手段對自然人的臉部特徵進行獨特的識別或認證時，才屬於人臉信息處理。郭某從未明確針對人臉識別這一特定的敏感個人信息處理內容本身表示同意。其次，從同意針對的處理行為來看，同意拍照不代表同意將照片用於其他處理目的。誠如二審法院判決所指出，雖然“年卡辦理流程”涉及拍照，“但提供照片僅係為了配合指紋年卡的使用，不應視為其已授權同意野生動物世界將照片用於人臉識別”。最後，從同意的方式來看，通過拍照這一作為的方式表示的同意本身是不夠明確的，其無法明確指向敏感個人信息處理。因此，該案中野生動物世界確未獲得有效單獨同意。

(二)書面同意：外觀形式的進一步限制

書面同意作為一種特殊的單獨同意並非我國立法所首創。域外法中，亦不乏敏感個人信息書面同意的規定。BIPA第15條第b款第1項指出，收集、存儲、購買個人生物識別信息需要書面告知信息主體並取得書面同意。2021年美國統一法律委員會通過的《美國統一個人數據保護法》(UDPA，無法律效力)第8條第7款進一步對書面同意的簽名進行了強調，指出“控制者不得以不相容數據實踐的方式處理數據主體的敏感數據，除非每一項數據實踐均取得數據主體的明確同意並簽名記錄”。我國台灣地區有關個人資料保護法的規定第6條第1款第6項將對敏感個人信息處理的同意限定為書面同意。

書面同意強調同意採取書面形式，但不等同於紙質同意。有學者將《個人信息保護法》第29條中的書面同意解讀為“處理者必須取得個人親筆簽名的針對其敏感個人信息的處理表示同意的紙質同意書”。此觀點值得商榷。一方面，書面形式只與口頭形式對應，並不排除電子方式。參照《民法典》第469條第2至3款的規定判斷法律中的書面形式要求。該條指出，“書面形式是合同書、信件、電報、電傳、傳真等可以有形地表現所載內容的形式。以電子數據交換、電子郵件等方式能夠有形地表現所載內容，並可以隨時調取查用的數據電文，視為書面形式”。另一方面，個人信息處理多以電子方式進行，部分域外立法甚至將非結構化、非電子化的信息處理排除在個人信息保護制度之外，無法也難以要求信息主體在紙質同意書上簽名。信息主體在電子文件上通過電子簽名進行的書面同意，應依《電子簽名法》判斷其效力。我國台灣地區有關個人資料保護規定的施行細則第14條亦指出，“書面同意之方式，依電子簽章法之規定，得以電子文件為之”。以向徵信機構查詢個人信息為例，雖然銀行櫃檯辦理業務時可能需要紙質簽名，但在手機銀行、網上銀行、各類個人金融App中，均通過電子認證方式進行。實踐中，這些方式均被認為符合《徵信業管理條例》第18條第1款“取得信息主體本人的書面同意並約定用途”的要求。

書面同意是在單獨同意基礎上的更強的形式要求，體現了法律、行政法規對特定敏感個人信息的重點保護。書面同意作為一種形式強制，被認為具有緩解信息不對稱、勸誡謹慎行事、確保同意的明確與堅定、證據固定四種功能。在敏感個人信息處理的告知同意中，書面同意往往又對應着書面告知。同時，亦不可藉助書面形式進行一攬子的同意。書面同意必須符合單獨同意的要求。若通過書面形式規避單獨同意，則將直接與書面同意的規範目的相衝突。

《個人信息保護法》第29條將敏感個人信息處理的書面同意限定在法律、行政法規規定之中。現行的相關規定體現了對特殊類型的個人敏感個人信息處理以及特殊行業的敏感個人信息處理的限制。一方面，通過基因檢測，可獲知性別、種族、遺傳病、其他潛在健康風險、潛在的個性特徵等一系列信息。而基因信息的泄露或非法利用容易導致基因歧視，確有特別保護的必要。《人類遺傳資源管理條例》第12條第1款規定了採集人類遺傳資源應“徵得人類遺傳資源提供者書面同意”。另一方面，徵信信息的作用即在於對個人信用進行評價，對個人貸款利率、保險費率、交易機會等產生直接影響，在失信聯合懲戒、數字信用共治機制中將可能對個人產生嚴重的不利影響，亦有特別限制的必要。《徵信業管理條例》(2013)第14條第2款規定了徵信機構原則上不得採集收入、存款、有價證券、商業保險、不動產的信息和納稅數額信息，除非取得書面同意。該條例第18條第1款、第28條第2款、第29條第2款亦對特定信息處理的書面同意進行了規定。在“深圳市國銀盛達融資擔保有限公司與黃某勇侵權責任糾紛案”中，擔保公司對黃某勇的借款進行代償後，向徵信機構報送了黃某勇不良信用記錄信息。然而，由於擔保公司並未事先取得黃某勇關於報送信用信息的書面同意，法院據前述規定判決擔保公司構成侵權。

四、告知同意的法律限度

敏感個人信息處理中的告知同意規則雖然重要，但絕非不可或缺。一方面，在特定情形中，法律、行政法規豁免了信息處理者的告知義務；在基於同意以外的合法性基礎處理敏感個人信息時，更無告知同意的適用空間。另一方面，告知同意並不必然賦予敏感個人信息處理行為以合法性，必須結合法律的其他要求進行判斷。

(一)無須告知同意的情形

一方面，處理敏感個人信息的告知並非絕對的。根據《個人信息保護法》第18條、第30條、第35條的規定，存在無須告知的三種情形：第一，法律、行政法規規定應當保密或者不需要告知(《個人信息保護法》第18條第1款)。雖然《個人信息保護法》第30條採取了“依照本法”的表述，但《個人信息保護法》第18條第1款的這一規定又將相關例外的法源擴展至法律、行政法規之中。例如，有關機關依《人民警察法》第16條、《反恐怖主義法》第45條採取技術偵查措施，依《反洗錢法》第8條調查可疑交易活動，均無須告知信息主體。《徵信業管理條例》第15條後半句亦指出，信息提供者向徵信機構提供依照法律、行政法規規定的公開不良信息，無須告知信息主體。第二，緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的可暫不履行告知義務，但信息處理者應當在緊急情況消除後及時告知(《個人信息保護法》第18條第2款)。例如，醫療機構為搶救患者而處理其病歷資料時，可暫不履行告知義務，但事後應及時告知患者相關健康信息處理情況。第三，告知將妨礙國家機關履行法定職責，則無須告知(《個人信息保護法》第35條)。例如，稅務機關依《稅收徵收管理法》第54條第1項“檢查納稅人的賬簿、記賬憑證、報表和有關資料，檢查扣繳義務人代扣代繳、代收代繳稅款賬簿、記賬憑證和有關資料”。此時提前告知，個人可能轉移、篡改、銷毀有關資料，嚴重妨礙稅務機關履行稅收徵收管理的法定職責。

另一方面，敏感個人信息處理的合法性基礎亦不限於同意。《個人信息保護法》第29條刪去了《個人信息保護法(二次審議稿)》中“基於個人同意處理敏感個人信息的”前半句，且2021年4月22日法工委發言人談道“只有在具有特定目的和充分必要性的情形下，方可處理敏感個人信息，並應取得個人的單獨同意或書面同意，在事前進行風險評估”時，似乎將同意與敏感個人信息處理的其他條件相併列。《上海市數據條例》第22條亦在同一條款中規定了處理生物識別信息的應具有特定的目的和充分的必要性並採取嚴格的保護措施，以及應當取得個人的單獨同意。凡此種種，使得部分實務工作者誤以為立法者將同意規定為敏感個人信息處理的唯一合法性基礎。這一理解顯然有誤。《個人信息保護法》第29條適用的前提是基於同意處理敏感個人信息的情形，即便立法過程中將相關表述刪除，這一前提也是不言而喻的。敏感個人信息處理的單獨同意或書面同意本身就是一種特殊的同意，而同意又只是個人信息處理的合法性基礎之一。從域外法來看，GDPR第9條第2款中敏感個人信息處理的合法情形也不限於同意，還包括履行法律責任、維護數據主體或其他人的重大利益、慈善機構或非營利機構的數據處理、由數據主體明確公開的數據、司法活動中的數據處理、有重大公共利益的理由、處理敏感數據的其他理由等情形。德國《聯邦數據保護法》(BDSG)第22條更是完全在同意以外對敏感個人信息處理進行了規定，為履行法律義務、維護公共利益、維護公共安全等目的，並符合特定的限制條件，即可處理敏感個人信息。

具體而言，依據《個人信息保護法》第13條第1款第2、3、4、5、7項的合法性基礎，信息主體無須個人同意亦可處理敏感個人信息：第一，為締約或履約所必需。例如，僱主為僱員設立公積金賬戶，並處理相關金融賬戶信息。第二，為履行法定職責或者義務所必需。例如，偵查人員根據《刑事訴訟法》第132條的規定，提取犯罪嫌疑人的指紋信息，採集血液、尿液等生物樣本，顯然無須取得個人同意。第三，為應對突發公共衛生事件或緊急情況所必需。例如，為疫情防控的目的，在確有必要之時，無須同意即可處理相關醫療健康信息、行蹤軌跡信息。2022年春季上海疫情突發，部分市民收到短信提示“根據有關大數據排查情況，您近期可能存在與新冠病毒感染者直接或間接接觸的風險”，即屬此例。第四，為公共利益實施新聞報道、輿論監督等行為。例如，在“施某某等訴徐某某肖像權、名譽權、隱私權糾紛案”中，第三人將幼童受傷的相關照片進行面部模糊處理後發布到微博以舉報養父虐童，隨即撤下。法院認為，第三人對兒童信息的披露行為雖然未經同意，但符合社會公共利益和兒童利益最大化原則，不構成侵權。第五，法律、行政法規規定的其他情形。例如，前述疫情期間健康信息處理的合法性基礎不僅來自《個人信息保護法》第13條第1款第4項，還來自《傳染病防治法》第12條所規定的，個人需要向疾控機構、醫療機構如實提供有關情況；以及《突發公共衛生事件應急條例》第21條、第36條、第40條分別對單位和個人的報送義務，指定專業技術機構的調查權力，街道、鄉鎮以及居民委員會、村民委員會協助衛生行政主管部門和其他有關部門、醫療衛生機構進行疫情信息收集和報告的規定。同時，《執業醫師法》《後天免疫缺乏症候群防治條例》《艾滋病防治條例》等法律、行政法規均規定了相關健康信息的報送、報告義務。歐洲數據保護委員即指出，為應對新冠肺炎疫情，各國可基於GDPR第9條第2款中的多種合法性事由處理健康信息。美國法上，亦有“伴侶通知”(partner notification)的規定，以保證第三人對傳染病信息的知情權。綜上可見，在同意之外還存在眾多合法處理敏感個人信息的情形。

值得注意的是，上述情形中敏感個人信息的處理雖然無須同意，但亦必須符合《個人信息保護法》第28條第2款的前提性要求，即滿足特定的目的、充分的必要性、嚴格保護措施三個條件。同時，無須同意並不等於無須告知。《個人信息保護法》關於告知的一般要求(第17條)，因合併、分立、解散、被宣告破產等原因轉移個人信息時的告知事項要求(第22條)，公共場所安裝圖像採集、個人身份識別設備的提示要求(第26條)，國家機關為履行法定職責處理個人信息時的告知義務(第35條)，均不必然對應同意。告知是個人信息處理前的一般要求，無須告知僅限於前文所述的法定情形。

(二)告知同意≠合法處理

告知同意的性質決定了符合《個人信息保護法》第29條、第30條，並不必然賦予敏感個人信息處理合法性。理論上關於同意的性質存在較大爭議，至少有屬於法律行為的意思表示、數據信託的授權行為、法定的免責事由、個人信息權的行使方式、受限的私權處分以及類似知識產權的許可使用等多種觀點。實際上，個人信息保護制度中的同意應屬准法律行為。從《民法典》第1036條將同意作為免責事由之一，到《個人信息保護法》第13條將同意規定為個人信息處理的合法性基礎之一，信息處理合法的結果皆源於法律之直接規定。同意並非授權/設權行為，不能直接導致信息處理行為合法。信息處理行為是否合法，必須結合法律具體規定進行判斷。誠如有學者所言，“告知同意原則要受通信自由和通信秘密憲法權利的限制，要受隱私權的限制，還要受目的原則與必要原則的限制”。敏感個人信息處理更被認為是告知同意有效性限度的突出體現。

第一，根據《民法典》第1035條第1款，同意是個人信息處理的條件之一，處理個人信息還必須遵循合法、正當、必要原則，不得過度處理，且公開處理信息的規則，明示處理信息的目的、方式和範圍，不違反法律、行政法規的規定和雙方的約定。敏感個人信息處理更是必須符合《個人信息保護法》第28條第2款的前提要求，即具有特定的目的和充分的必要性，並採取嚴格保護措施。若不符合上述規定，即便取得了單獨同意，相關處理行為也是不合法的。我國台灣地區有關個人資料保護法的規定第6條第1款第6項亦明確指出“逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意搜集、處理或利用”。

第二，在特定敏感個人信息處理中，法律、行政法規排除了告知同意的適用。結合《徵信業管理條例》第14條第1款與第2款的規定可知，“徵信機構明確告知信息主體提供該信息可能產生的不利後果，並取得其書面同意”後可以採集第2款所列舉的“收入、存款、有價證券、商業保險、不動產的信息和納稅數額信息”，即便取得個人同意亦不可採集第1款所禁止採集的“宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規規定禁止採集的其他個人信息”。域外法中，亦存在對排除同意規則的規定。GDPR第9條第2款第a項即指出，歐盟或成員國可以通過法律將同意排除在敏感個人信息處理的合法性基礎之外。

第三，在特定的敏感個人信息處理情形中，告知同意機制往往難以有效發揮作用。例如，人臉識別就常在權力/地位不對等的環境中被使用，難以確保同意符合《個人信息保護法》第14條“在充分知情的前提下自願、明確作出”的要求。英國信息專員亦表示，面對不特定主體自動進行的人臉識別難以依靠同意而獲得合法性。2019年瑞典適用GDPR第一案中，涉案學校採用人臉識別考勤，且徵得了學生同意。瑞典數據保護局認為“鑒於信息主體和信息控制者之間的不平衡，同意不是有效的法律依據”，最終對該學校開具了1000萬瑞典克朗的罰單。因此，必須結合敏感個人信息處理的前提，法律、行政法規中的特殊規定，同意的有效性等因素，判斷基於同意處理敏感個人信息的合法性。

結語

《個人信息保護法》第29條、第30條在我國法律中首次明確了敏感個人信息處理的告知同意規範，必將對我國個人信息保護實踐產生深遠影響。雖然敏感個人信息處理有多種合法性基礎，但商業實踐往往難以滿足其他合法性基礎的要求，此時告知同意必將成為信息處理者利用敏感個人信息最有效、最常見的路徑。此外，隨着實踐與認識的深化，敏感個人信息處理的告知同意規範亦必將進一步完善。結合《個人信息保護法》第32條與第62條第2項可知，法律、行政法規以及國家網信部門制定的規則與標準均可對敏感個人信息處理的告知同意作出細化規定。當前，援引該條款的司法判決以及對該條款的權威解釋均未出現，本文依法教義學的立場對敏感個人信息特殊告知事項、單獨同意與書面同意、例外情形進行了梳理與分析，期望助益於《個人信息保護法》的實施，服務於個人信息保護水平的提升。或許，“讓子彈飛一會兒”，許多爭議將有更為清晰的答案。