《个人信息保护法》时代员工个人信息保护问题的梳理和解析(四)——员工敏感个人信息保护常见问题

在上一篇研究简讯中（《个人信息保护法》时代员工个人信息保护问题的梳理和解析(三)），我们介绍了个人信息的基本概念，处理个人信息的基本原则及核心规则，并且提到了敏感个人信息这一重要概念。《个人信息保护法》(下称“《个保法》”)首次在法律层面对敏感个人信息做出定义。敏感个人信息的基本概念和处理规则是个人信息保护相关问题中不可忽视的重要问题。本文将介绍和讨论用人单位应当了解的与敏感个人信息保护有关的常见问题，包括什么是敏感个人信息，处理敏感个人信息有哪些特殊要求，“中国人脸识别第一案”对于用人单位有哪些启示等内容。

什么是敏感个人信息

如上一篇研究简讯所指出，依据在不当处理时对个人造成严重损害的可能性大小进行划分，个人信息可以划分为敏感个人信息和一般个人信息。根据《个保法》第28条第1款的规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。除此之外，《信息安全技术-个人信息安全规范(2020年版)》(下称“《个人信息安全规范》”)中也列举了常见的敏感个人信息(请参见本文尾部的附表)。从敏感个人信息的基本概念来看，敏感个人信息具有两项基本特征，即(1)之所以具有敏感性是因为一旦泄露或非法使用，给个人造成严重损害的可能性较大；(2)可能给个人造成的严重损害包括人格尊严受到侵害，或者人身、财产安全受到危害。

我们稍加留意就不难发现，敏感个人信息与个人信息中的私密信息这两者的范围有重合之处(比如医疗健康、金融账户、工作时间以外的位置信息、性取向、未公开的犯罪记录等)。用人单位可能会问，这两者之间究竟是何种关系？这两者同属于个人信息，相互之间没有包含与被包含的关系。它们既有交集也存在显著差异。敏感个人信息所关注的是不当处理时对个人造成严重损害的可能性；个人信息中的私密信息所关注的是不愿为人所知晓的私密性。比如，个人爱好属于个人信息中的私密信息，但是个人爱好在被不当处理时通常不会给个人造成严重损害，故其不属于敏感个人信息。身份证信息、民族、种族、宗教信仰等属于敏感个人信息，但该等信息在一定范围内为特定人或不特定人所知晓，故其不属于个人信息中的私密信息。

处理敏感个人信息有哪些特殊要求

因为不当处理敏感个人信息容易给个人造成严重损害，所以《个保法》对处理敏感个人信息规定了更加严格的特殊要求。该等特殊要求体现在处理目的、给予同意的方式、告知义务和安全保护措施等四个方面。

要求一：处理目的受到严格限制

根据《个保法》第28条的规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。由此可见，与处理一般个人信息相比，处理敏感个人信息受到更严格的限制。该等限制突出地体现在处理目的应当具有充分的必要性。例如，在“中国人脸识别第一案”中(该案的案情简介请见下文)，法院认为被告某野生动物园在采用指纹识别作为入园方式的前提下，却收集原告郭某的照片等人脸信息，该等行为违反了必要性原则。

要求二：应当取得个人的单独同意

根据《个保法》第29条的规定，处理敏感个人信息应当取得个人的单独同意。处理一般个人信息只需取得个人的同意，而处理敏感个人信息应当取得个人的单独同意。这一要求亦是《个保法》对处理敏感个人信息的做出严格限制的表现之一。《个保法》没有对单独同意的基本概念做出规定。目前实践中的主流观点认为，单独同意可以解释为单项同意，其含义有别于概括性同意或一揽子同意。例如，个人信息处理者在有一批需要征求个人同意的事项时，应当把包括处理敏感个人信息在内的特殊事项逐一列出，逐项征求个人同意。

如上一篇研究简讯所指出，对于处理员工的敏感个人信息，只要在基于法律许可的适用条件得到满足的情形下(比如基于实施人力资源管理所必需)，用人单位就无需取得员工的同意。尽管如此，用人单位仍需要注意的是：其一，在基于实施人力资源管理所必需而收集和处理员工的敏感个人信息时，应持谨慎态度，把充分的必要性作为划定处理范围首要因素。其二，行政主管机关和司法机关出于加强保护敏感个人信息之目的，有可能在执行层面对《个保法》中的前述规定做出不同解释，将处理敏感个人信息的法律基础限定为基于个人同意。

要求三：应当履行更充分的告知义务

根据《个保法》第30条的规定，个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。根据该等规定，用人单位在处理个人敏感个人信息时，无论是基于法律许可还是基于个人同意，都应当履行更加充分的告知义务，包括向员工告知需要处理的个人信息属于敏感个人信息，处理敏感个人信息的必要性，和处理敏感个人信息对个人权益可能产生的影响。

要求四：应当采取更加严格的安全保护措施

《个保法》要求个人信息处理者在处理敏感个人信息时采取更加严格的安全保护措施。结合《个人信息安全规范》中的相关规定，更加严格的安全保护措施包括以下内容：其一，存储和传输的敏感个人信息应采取加密等安全措施；其二，将个人生物识别信息与个人身份信息分开保存；其三，原则上不应存储原始个人生物识别信息(即应采用技术措施处理后再进行存储，例如仅存储个人生物识别信息的摘要信息)；其四，应当进行事前的个人信息保护影响评估并留存关于处理情况的记录。

“中国人脸识别第一案”对于用人单位有哪些启示

谈及敏感个人信息保护问题，有一个绕不过去的标志性案例，即“中国人脸识别第一案”。我们在此对这个案例进行简要介绍，并讨论这个案例对于用人单位有哪些启示。

案情简介：2019年4月，郭某购买某野生动物园的双人年卡，留存相关个人身份信息，并录入指纹和拍照。某野生动物园随后将年卡持有人的入园方式由指纹识别调整为人脸识别，并向郭某发送短信通知相关事宜，要求其进行人脸激活，否则将无法正常入园。郭某认为人脸信息属于高度敏感个人隐私，不同意接受人脸识别入园方式，要求园方退卡。双方协商未果，遂产生争议。

判决结果：法院认为，人脸识别店堂告示并非双方的合同条款，对郭某不发生效力。某野生动物园单方变更入园方式构成违约，应承担违约责任。某野生动物园欲将其已收集的照片激活处理为人脸识别信息，超出事前收集目的，违反了正当性原则，故应当删除郭某办卡时提交的包括照片在内的面部特征信息。鉴于某野生动物园停止使用指纹识别闸机，致使原约定的入园服务方式无法实现，亦应当删除郭某的指纹识别信息。据此，法院同时判令某野生动物园删除郭某办理指纹年卡时提交的指纹识别信息。

启示一：人脸信息属于典型的生物识别信息，生物识别信息又属于典型的敏感个人信息。因此，人脸信息属于典型的敏感个人信息。同时，如著名学者王利明教授所指出，人脸信息还是个人核心隐私，并且人脸信息广泛涉及个人其他私密信息(比如:有些银行账户和人脸信息进行绑定)。¹除前述双重属性外，人脸信息还具有无需接触即可获取，不可更改等特性。这些因素使人脸信息具有高度的敏感性，进而使其受到高度的法律保护。任何个人信息处理者在处理人脸信息之前，必须履行充分的告知义务，并取得个人的单独同意。

启示二：某野生动物园在采用指纹识别作为入园方式的前提下，却收集游客的人脸信息，该等行为违反了必要性原则。因此，除非具有充分的必要性，用人单位不应当收集员工的人脸信息。可见，用人单位在决定是否采用人脸识别作为考勤或门禁管理方式时都需要慎重考虑必要性这一问题。

启示三：某野生动物园准备将其已收集的郭某的照片激活作为人脸识别信息，超出了事前的收集目的，违反了正当性原则。可见，用人单位在收集员工的人脸信息之后，应当将处理目的严格限定于事前告知的收集目的，而不能超出该等收集目的使用。如确有必要超出事前告知的收集目的使用该等人脸信息，用人单位应当向员工履行充分告知义务，然后重新取得员工的单独同意。

合规建议

基于上述介绍和讨论，我们建议用人单位在处理员工敏感个人信息时应注意以下主要问题，以避免法律风险，实现合规。

建议一：全面梳理员工个人信息并识别敏感个人信息

用人单位应当对其在用工管理全过程中的所需要处理的员工个人信息进行全面梳理，识别其中所涉及的敏感个人信息，以便满足处理该等信息的特殊要求。

建议二：严格限定处理员工敏感个人信息的合理范围

尽管用人单位在基于法律许可的适用条件得到满足的情形下(比如基于实施人力资源管理所必需)，无需取得员工的同意就可以处理敏感个人信息，用人单位应持谨慎态度，把充分的必要性作为划定处理范围首要因素。需要特别指出的是，由于人脸信息属于个人核心隐私，用人单位在处理人脸信息之前，必须履行充分的告知义务，并取得个人的单独同意，而不能基于法律许可情形而进行处理。

建议三：履行更加充分的告知义务

用人单位在处理个人敏感个人信息时，无论是基于法律许可还是基于个人同意，都应当履行更加充分的告知义务，包括向员工告知需要处理的个人信息属于敏感个人信息，处理敏感个人信息的必要性，和处理敏感个人信息对个人权益可能产生的影响。

建议四：采取更加严格的安全保护措施

用人单位在处理员工的敏感个人信息时应当按照《个保法》和《个人信息安全规范》的相关规定采取更加严格的安全保护措施。

附表：个人敏感信息举例

1. 请参见《王利明：人脸信息是敏感信息和核心隐私应该强化保护》,www.shupl.edu.cn/xbbjb/2021/0201/c2265a86508/ page.htm

相关阅读

《个人信息保护法》时代员工个人信息保护问题的梳理和解析(一)-《个保法》对用工管理的11方面的重大影响

Employers face new requirements under the Personal Information Protection Law

《个人信息保护法》时代员工个人信息保护问题的梳理和解析(二)-员工隐私保护常见问题

《个人信息保护法》时代员工个人信息保护问题的梳理和解析(三)-处理员工个人信息的基本原则及核心规则