论私密信息处理的告知同意

张革新

兰州财经大学法学院，甘肃 兰州 730020

引言

私密信息保护的核心是确立私密信息处理规则，规范私密信息处理行为，其中告知同意是私密信息处理中最为重要的规则。《民法典》规定了个人信息处理的原则、条件和免责事由，但没有具体规定私密信息处理的告知同意规范；《个人信息保护法》则分别规定了一般信息和敏感信息处理的告知同意规则。私密信息处理的告知同意应当适用什么规则、能否适用敏感信息的规则以及如何适用该规则，主要取决于以下几个方面的问题：一是私密信息与敏感信息的关系。如果两者内容完全相同，则私密信息处理的告知同意可以完全适用敏感信息的规则。关于两者的关系，主流的观点认为两者在具体内容上具有一定程度的交叉或重合[1-3][4]233。显然，私密信息处理的告知同意完全适用敏感信息的规则存有疑问。二是私密信息处理如果适用敏感信息告知同意规则，其法律依据何在？《民法典》第1 034 条第3 款关于私密信息适用法律的规定是其法律依据，如何正确理解该规定关系到私密信息处理的告知同意适用法律是否正确的问题。三是私密信息处理如何适用告知同意规则，能否体现出私密信息一定的特殊性。这些问题是私密信息处理的核心问题，笔者拟就此进行探讨，以期对私密信息保护有所裨益。

1 私密信息处理告知同意规则的定位及确立基础

《民法典》不可能具体规定私密信息处理的告知同意规则，现实的路径是在厘清私密信息与敏感信息关系的基础上，依据《民法典》关于私密信息适用法律的规定和《个人信息保护法》规定的敏感信息处理规则，确立私密信息处理适用的告知同意基本规则。

1.1 告知同意规则的定位

告知同意是指处理个人信息时应当将相关事项告知特定个人，在征得同意后方可处理个人信息，法律另有规定的除外。《个人信息保护法》专章规定了个人信息处理规则，其第13 条将“取得个人同意”规定为处理个人信息的第一种情形，体现了告知同意在个人信息处理中的重要地位。它是处理个人信息的基本规则，是判断个人信息处理行为是否合法的基本依据，其确立的基础是个人对其信息享有的权益。《民法典》赋予自然人对个人信息权益享有人格利益，并纳入民事权利范畴。既然个人对其享有人格利益，作为民事权益的客体，任何组织和个人使用个人信息时应当征得个人同意以示对主体的尊重，否则即为违法。《个人信息保护法》赋予个人对其信息处理享有知情权和决定权，告知同意规则是确保上述权利实现的重要手段和法律保障，即便是国家机关处理个人信息也不例外，除非法律、行政法规作出特别规定。个人信息并非公共物品，将其交给国家机关通过公法规制，显然漠视了个人信息权益[5]，可能导致个人利益与公共利益的失衡，引发社会矛盾。

1.2 私密信息与敏感信息的关系

私密信息是指用电子或其他方式记载的与已识别或可识别的特定个人相关的具有隐私属性的任何信息，除具有个人信息的识别性外还具有隐私性。私密信息和非私密信息均可以识别特定个人，但识别性的程度不同。姓名、工作单位等非私密信息能够达到识别性的基本要求却无法深度识别他人，如果再关联到个人银行存款、医疗健康、基因等私密信息则能进一步识别特定个人的经济条件、健康状况甚至患重大疾病的几率。显然，识别性程度越高的个人信息其私密性更加明显[6]，通常属于私密信息。隐私性即个人对私密信息愿意隐瞒不愿公开。隐私是指隐秘的不愿告人或不愿公开的个人私事。私密信息属于个人隐私，这与判例法上形成的“隐私期待理论”相契合。按照该理论，判定私密信息以权利人是否具有隐瞒该信息并不愿让他人知悉的合理期待以及此种合理期待是否得到社会的认可为标准①Katz v.United States,389U.S.347,360.。在个人信息中，诸如个人存款、疾病、性取向等信息，个人对其具有强烈的隐私期待，愿意隐瞒不愿公开，以防人格尊严受到损害、生命财产安全受到威胁或者遭受他人歧视，这种合理期待在现代社会已经得到越来越多的公众认可。依据私密信息的双重属性，欧盟《数据保护公约》和《统一数据保护条例》规定的敏感数据或特殊类型数据中，基因数据、刑事制裁数据、健康或性生活数据通常属于私密信息①欧盟理事会2012 年通过的《个人数据处理中的个人保护公约》第6 条敏感数据的处理1 规定的敏感数据包括基因数据、刑事制裁数据、生物特征数据、种族、政治观点、工会会员资格、宗教或其他信仰、健康或性生活数据。欧盟《统一数据保护条例》第9 条特殊个人数据的处理1 规定的特殊个人数据为种族、政治观点、宗教信仰、工会成员、基因数据、生物特征数据、健康数据、性生活数据、刑事定罪数据。；我国《个人信息保护法》规定的敏感信息中，财产信息、健康生理信息、生物识别信息、性取向、行踪轨迹等信息通常属于私密信息②《信息安全技术个人信息安全规范》附录B 表B.1：个人敏感信息举例；《个人信息保护法》第28 条第1 款。。因此，私密信息主要包括但不限于个人信息中的财产信息、医疗健康信息、生物识别信息和私人生活信息，主要承载人格尊严、生命健康和财产安全等人格利益。

敏感信息是国际社会较为通行的个人信息的基本类别。“敏感”是对特定因素的一种主观反应程度，其含义较为宽泛。如果以个体的主观因素作为认定敏感信息的法律基准，显然在立法上不可行。从《个人信息保护法》第28 条第1 款规定可以看出，认定敏感信息并非依据主观标准而是以客观上造成的权益侵害风险作为法律基准[7]。从欧盟和我国的规定可以看出，敏感信息除健康、性生活或性取向、行踪轨迹等公众认可度较高的私密信息外，还包括生物特征数据、种族、政治观点、宗教信仰、工会成员等信息以及未成年人的个人信息。这些规定回应了20 世纪60 年代以来国际人权保护背景下对经济社会文化权利和公民基本权利自由以及政治权利保护的主张。

综上，私密信息与敏感信息的关系主要表现在两个方面：一是两者在具体内容上存在相当程度的交叉或重合。有些私密信息同时也是敏感信息，例如医疗健康、财产状况；有些私密信息并非敏感信息，例如个人遭受性骚扰的信息；有些敏感信息未必是私密信息，例如人脸信息、种族民族、宗教信仰以及工会会员资格[8]269。二是两者承载的人格利益存在一定差异。私密信息承载的人格利益主要是人格尊严、生命健康和财产安全，敏感信息还包括了政治权利和人权以及未成年人的身心健康，与前者相比承载的人格利益更为广泛。两者在具体内容上具有相当程度的交叉或重合，为私密信息处理的告知同意可以适用敏感信息的规则奠定了客观基础。

1.3 私密信息处理适用告知同意规则的法律依据

《民法典》第1 034 条第3款规定，私密信息优先适用有关隐私权的规定，没有规定时方可适用有关个人信息保护的规定。之所以作出上述规定，主要基于权利不得减损原则和人格尊严保护高于私法自治原则[2]，即隐私权高于个人信息权益。对于该款规定，应当从两方面理解。一方面，“有关隐私权的规定”既包括《民法典》第1 032 条和1 033 条这两个具体规定隐私权的条文，也包括《民法典》人格权编中可以适用隐私权的规定以及其他法律法规中有关隐私权的规定。对于私密信息处理的告知同意，主要是《民法典》第1 033 条第5 项处理私密信息必须有法律明确规定或权利人明确同意的规定，除此之外并无其他规定。另一方面，对于私密信息处理的告知同意，《民法典》只是作了原则性规定，具体的处理规则集中规定在《个人信息保护法》中，其中敏感信息处理的单独同意、书面同意以及个人权益影响的告知等规则为《个人信息保护法》独有，《民法典》对此没有作出具体规定，此时应当适用《个人信息保护法》[3]。因此，私密信息处理的告知同意应当适用《个人信息保护法》关于敏感信息的相关规定，但必须体现私密信息一定的特殊性，因为两者在内容和承载的利益上存在一定的差异。

2 私密信息处理的告知要求

依据《个人信息保护法》，处理私密信息除向个人告知第17条第1 款规定的一般告知事项外，还必须向个人告知第30 条规定的特殊告知事项—处理私密信息的必要性和对个人权益的影响。

2.1 必要性告知

必要性告知是法律规定的处理私密信息的特别要求，是处理个人信息应当遵循的必要原则在处理私密信息时的具体体现，对于实现私密信息处理的特定目的极为必要，有利于强化私密信息的保护[4]252。“必要”意味着处理私密信息应当与处理目的密切相关，即非必要不处理，是对私密信息处理的正当限制，体现了法律对私密信息保护和利用之间利益平衡的价值趋向[9]。

处理私密信息是否具有必要性主要取决于处理目的和处理手段。私密信息处理目的正当、手段合理，处理就是必要的。目的正当从以下几个方面体现。第一，处理私密信息的目的应当符合正向价值判断[10]，这意味着处理者不得以损害自然人人格尊严、基本权利和自由以及人身财产安全为目的，而是为了维护、实现个人利益或集体利益、公共利益。第二，处理私密信息的目的应当明确、合理。如果处理私密信息的目的过于宽泛、概括、模糊，个人无法判断处理行为是否正当，从而为扩大收集、使用个人信息范围提供合规借口，并降低其可能面临的法律风险[11]，这种告知就不明确。合理的目的，应当是在合法前提下处理私密信息，且处理不会给个人带来较高损害风险[4]57。第三，处理私密信息的目的还应当特定。特定目的意味着处理私密信息的目的不是抽象、概括的，而是应当有具体的指向，它不要求处理者都要具有相同的特定目的，而是要根据处理者的性质、职责等加以认定[12]。至于处理手段的合理性，一方面，要求处理手段与处理目的之间具有内在关系。具体而言，收集私密信息只要能够满足初始使用目的即为必要，超出使用目的即为非必要[13]。另一方面，要求处理限度与处理目的之间具有内在关系，即私密信息处理以给个人造成的损害最小为限[14]。如果存在多种个人信息处理方式且都符合正当目的，应当选择对主体权益造成最小影响的方式。

处理私密信息必须具有“充分的必要性”，这是对必要原则的强化[4]235。充分的必要性意味着处理私密信息对于实现特定目的非常必要，即如果不收集该私密信息特定目的就无法实现[8]267。处理私密信息哪些是必要的，哪些是非必要的，《常见类型移动互联网应用程序必要个人信息范围规定》对此作出了界定和解释，可以为法律适用提供基本参考。参照该规定第3 条①国家网信办和工信部等四部门于2021 年联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》第3 条规定：本规定所称必要个人信息，是指保障App 基本功能服务正常运行所必需的个人信息，缺少该信息App 即无法实现基本功能服务。，以处理基因信息为例，其必要个人私密信息应当是个人基因等遗传物质的器官、组织、细胞等遗传材料，但在采集个人遗传材料时要求采集与个人没有遗传基因的配偶的遗传材料，则与检测分析个人基因信息无关，为不必要。

对于必要性告知，处理者可能会突出和夸大处理的必要性，那么处理的必要性应有谁来评估、判断呢？第一，处理者应当对必要性自行评估、判断。依据私密信息处理规则，处理者要在处理前向个人告知处理的必要性，在对处理的必要性有清晰认识的基础上才可进行处理，否则，私密信息的处理缺乏合规基础，可能遭到个人拒绝。第二，信息主体在收到必要性告知后进行评估、判断，如果认为相关的私密信息处理没有必要性或者必要性一般、尚未达到充分的程度，可以拒绝处理。第三，发生争议时可由人民法院作出评估、判断。在处理者应当履行告知义务但法律规定不需要征得个人同意的情形下，信息主体和处理者可能因“充分的必要性”问题发生争议，一旦私密信息处理没有充分的必要性，处理行为即构成违法。此时，处理行为是否有充分的必要性，应当由人民法院根据事实和法律依职权作出评估、判断。

当前，关于私密信息处理的告知形式，法律没有具体规定。为了便于信息处理者的告知和个人的同意意志表达以及与信息社会发展相适应，通常采取书面形式告知，包括传统的书面形式和数据电文。移动互联网平台通过应用程序（App）收集私密信息的告知，一般通过数字化文档的“隐私政策”“隐私声明”等形式告知个人。国家机关和企事业单位处理私密信息的告知，可以利用传统纸质告知书的形式，也可使用应用程序（App）告知。例如，金融机构、医疗机构收集、使用私密信息，出于便民考虑，应当提供可供选择的纸质或电子数据告知方式，以便为作出是否同意的决定提供条件。

《个人信息保护法》没有对告知进行分类规定，但该法规定了敏感信息处理的单独同意或书面同意。如果对私密信息处理的告知是概括告知，处理者将一般信息处理的告知事项与私密信息处理的特殊事项、可能的风险混杂，必然淡化个人对私密信息处理作出同意的敏感度和谨慎性，可能导致个人轻率作出同意决定。为了与单独同意或书面同意协调一致，彰显法律对私密信息蕴含的人格利益的特别保护，私密信息处理的告知应当采用书面告知。具体而言，处理者应当书面告知个人处理私密信息的目的、方式是否符合合法、正当、必要原则，对个人权益会造成什么影响及其风险等级，采取了哪些保护措施以及合法性、有效性如何。

2.2 对个人权益影响的告知

个人权益影响主要是指对个人权益造成的不利影响，即私密信息的处理对个人人格尊严和人身、财产权益可能造成的损害风险。通过对该事项的告知，有助于个人在充分知情的情况下作出是否同意处理的决定[15]，有效防范和降低对个人权益损害的风险。

对个人权益的影响是信息处理者根据个人信息保护影响评估制度作出的一项评价，它是个人信息保护影响评估报告的重要内容。信息技术的发展和广泛应用对个人基本权利可能带来更高损害风险，基于风险预防理念，在个人信息处理前预先评估处理行为是否合法、正当、必要和可能对个人权益产生的不利影响并采取措施控制风险的个人信息保护影响评估制度应运而生。美国的隐私影响评估不仅要对存在的隐私风险进行分析，而且要拿出具体的消除或降低风险的解决方案[16]。隐私影响评估是衡量隐私风险的有效工具，它承认个人信息利用中隐私风险存在的必然性，并非要完全消除或尽可能降低这种风险，而是只要将其控制在可接受范围之内即可[17]。欧盟《统一数据保护条例》第35 条规定的数据保护影响评估制度要求，在采用新技术对特殊类型数据进行处理可能给个人权利和自由带来更高风险时，处理者在处理前应当进行个人数据保护影响评估，主动认识可能的风险并提出应对、降低风险的方案。为了确保数据保护影响评估制度的有效实施，2017 年欧洲数据保护委员会通过了《数据保护影响评估指南》，为数据保护影响评估制度的实施提供基本指引。

我国《个人信息保护法》借鉴了欧盟《统一数据保护条例》的数据保护影响评估制度，在其第55条、第56 条和第66 条分别规定了适用个人信息保护影响评估的情形、评估内容和违反该法应当承担的行政责任，其中适用个人信息保护影响评估的第一种情形是处理私密信息。根据《个人信息保护法》第56 条的规定，私密信息保护影响评估主要是评估私密信息处理是否符合合法、正当、必要原则，可能对个人权益产生的不利影响和安全风险以及采取的保护措施的合法性、有效性、与风险程度的适应性。对于个人权益产生的不利影响，可以参照《个人信息安全影响评估指南》（以下简称《指南》）第5.5.1“个人权益影响”进行分析，从“限制个人自主决定权”“引发差别性待遇”“个人名誉受损或遭受精神压力”“人身财产受损”四个维度进行影响评价，并根据影响程度确定为不同的等级，但是有必要对其进行优化。例如，“个人名誉受损或遭受精神压力”可优化为“个人人格尊严受损或遭受精神痛苦”，因为私密信息被泄露或不当利用对个人造成的直接后果是人格尊严可能被贬低，精神上可能遭受极大痛苦，而不仅仅是个人名誉受损的问题。对安全风险的评估，可参照《指南》4.5“评估基本原理”和5.6“安全风险”进行综合分析，主要分析安全措施是否合法有效、是否会发生安全事故及其发生的可能性，并在综合分析对个人权益影响程度和安全风险发生可能性两个要素基础上，分析确定为不同的安全风险等级。

对个人权益影响和安全风险的评估通常采取自行评估形式。由于私密信息保护影响评估是处理私密信息的前置条件，处理者处理私密信息前必须自行发起评估，如果组织内部有专门岗位和人员则可自行评估，没有岗位或不便评估时可以委托组织外部专业评估机构评估。在评估过程中，处理者在一定程度上会依赖自己内部的评估，内部评估者不可避免地带有个人利益色彩。如果没有吸收各领域的专家和外部利益相关者参与评估，评估的制度设计就会存在不足[16]，可能影响评估的客观公正。因此，对于私密信息处理的个人权益影响评估应当由处理者内部成员、专家和外部利益相关者共同组成的评估组织进行，以确保程序上的客观公正。评估后形成的私密信息保护影响评估报告是私密信息处理的过程性和结论性文档，私密信息处理的必要性和对个人权益影响的告知义务通过向个人提供评估报告得到合规履行。

2.3 告知的免除

私密信息权益既包含个人人格利益也包含信息处理者的利益，私密信息处理也可能对他人和企业的合法权益以及数字经济和公共利益产生不利影响[18]，因此，在特殊情况下，为了平衡各方利益，有利于私密信息的合理利用，法律允许告知的例外，免除处理者的告知义务。由于告知对于个人同意意志的表达和个人信息知情权的实现具有重要意义，因此，告知的免除情形应当严格限制。

我国《个人信息保护法》第18 条、第30 条和第35 条分别规定了处理一般信息、敏感信息和国家机关处理个人信息告知的免除。一是法律、行政法规规定应当保密的情形。此种情形下相关机构处理私密信息应当保密，如果履行告知义务，将导致特定目的的处理行为无法完成。例如，依据《人民警察法》第16 条规定采取技术侦查措施收集特定嫌疑人私密信息，无须告知嫌疑人。二是不需要告知的情形。“不需要告知的情形”过于宽泛抽象，缺乏基本的判断标准，适用时应当有充足的依据，否则将会任意扩大免除的范围，不利于私密信息的保护。对于该情形的适用，可以参照《民法典》第1 036 条处理个人信息免责理由的规定①《民法典》第1 036 条第2 项：处理个人信息，有下列情形之一的，行为人不承担民事责任：合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。。依据该条第2 项的规定，处理个人自行公开的私密信息以及其他已经合法公开的私密信息就属于该情形。个人自行公开的私密信息，通常表明在一定范围内以一定的方式公开，个人对由此可能带来的各类损害风险已经清晰并愿意承受风险，但并不意味着他人可以任意处理，如果个人明确拒绝他人处理或者该私密信息对个人权益影响重大则不适用。其他已经合法公开的信息是指依据法律、行政法规规定或合法途径已经公开的信息，例如，处理已经公开的性侵害儿童犯罪人的信息②2022 年9 月14 日，最高人民法院召开全国法院第七次少年法庭工作会议，提出要完善性侵害儿童犯罪人员信息公开制度。http://www.chinapeace.gov.cn/chinapeace/c100007/2022-09/15/content_12670112.shtml.2022 年9 月22 日访问。，有利于预防犯罪，不需要告知犯罪人，此种情形不适用《个人信息保护法》第27 条规定的除外情形。三是告知将妨碍国家机关履行法定职责的情形。此种情形主要指处理私密信息前国家机关若履行告知义务可能导致当事人转移、篡改、毁灭相关资料或者涉案人员隐匿、逃跑，最终导致国家机关无法履行法定职责。例如，公安机关依据《治安管理处罚法》查处卖淫、嫖娼行为时事先不告知，即属于此种情形。

处理私密信息告知的事项既包括一般告知事项也包括特殊告知事项，而告知的免除是针对一般告知事项还是也包括特殊告知事项，法律规定并不明确。《个人信息保护法》第18 条规定的可免除告知的是一般告知事项；第35 条规定的可免除告知的也是一般告知事项，只是适用的情形增加了“妨碍国家机关履行法定职责”；第30 条规定了依照该法规定不向个人告知的可免除特殊事项告知义务。因此，告知的免除事项既包括一般告知事项也包括特殊告知事项，且只适用于法定的应当保密的情形、无须告知的情形和妨碍国家机关履行法定职责的情形。除此之外，处理私密信息应当履行告知义务。这样的释义符合前述的“告知的例外情形应当严格限制”的要求，有利于私密信息的保护。

3 私密信息处理告知后同意的实现

依据《个人信息保护法》第29 条，私密信息处理应当取得个人单独同意或者书面同意。因此，单独同意或者书面同意是处理私密信息的合法性基础或正当理由之一[19]。

3.1 单独同意的内涵与模式

《个人信息保护法》规定的需要取得单独同意的情形除处理私密信息外，还包括向其他处理者提供个人信息、公开其处理的个人信息、将收集的人脸和身份识别信息用于维护公共安全目的之外、向境外提供个人信息等几种情形。这几种处理活动增加了个人人格尊严、基本权利和自由损害发生的风险，有必要通过特别的同意方式提醒个人慎重作出是否同意处理的决定。法律要求单独同意，本质上是要求个人在针对这些处理情形时与一般处理作出的同意加以区别，彰显其重要性[8]157。

处理私密信息单独同意的前提条件是个人对处理活动充分知情。只有处理者在处理前告知个人私密信息处理目的、方式等一般告知事项和处理的必要性和对个人权益的影响等特殊告知事项，个人才可能对处理活动充分知情，才具备个人作出单独同意的前提条件。当然，处理私密信息的单独同意不适用于法定的不需要征得个人同意的情形。

单独同意是针对概括同意提出的特别要求。在《个人信息保护法》实施前，网络经营者关于客户一般信息权益保护、隐私政策或隐私保护的声明往往只作出概括规定，其中告知同意大量存在的是概括告知和概括同意。例如，电商平台收集个人购物信息可能既包括姓名、电话、通信地址等一般信息也包括私密信息，在同意栏目上只设置可供勾选的“我同意”或“我接受”选框。这种同意模式虽然对个人信息处理者而言较为经济便利，但它将一般信息与私密信息混同起来，对于私密信息处理的同意无法起到提醒或者警示的效果。私密信息处理的单独同意是指私密信息处理需专门取得个人的同意，而不能与处理一般信息一样采取一揽子同意的方式[20]。它是对个人同意提出的更高要求，是“独立且明确的专项同意”[21]。在个人信息处理中，既涉及一般个人信息又涉及私密信息时，必须就私密信息处理的同意单独作出，应当在告知的私密信息事项下单独设置同意与否的选框。如果只设置一个总的同意与否的选框，单独同意就无法作出。单独同意强调个人同意时的谨慎决定，但也不能为了个人的谨慎决定而不合理地增加作出决定的频次，导致个人对同意麻木和疲于应对，最终影响个人对私密信息处理同意的谨慎度和敏感度[4]244-245。因此，私密信息处理的单独同意，并不要求就每一类私密信息中的每一项私密信息分别同意、逐项同意。2021 年5 月1 日起施行的《网络交易监督管理办法》第13 条规定，收集、使用敏感信息的，应当逐项取得消费者同意。其中列举的4 类敏感信息是典型的私密信息，因此，这一规定值得商榷。

至于单独同意的模式如何选择，目前法律法规并没有作出具体规定。2021 年1 月，全国信息安全标准化技术委员会公开发布的征求意见稿《信息安全技术个人信息告知同意指南》（目前已进入审批阶段）可以提供基本的参考和指引。其中9.1 条规定，征得同意应当优先采用明示同意的方式，即单独同意应当是明示的单独同意；关于明示同意的模式，采取设置交互式界面，主动勾选、点击“同意”“下一步”“移动模块”表达意愿表示明示的单独同意；办理银行业务时个人主动填写、输入个人信息表达意愿表示明示的单独同意；个人通过电子签名或电话录音、视频录像表达意愿表示明示的单独同意。显然，对于私密信息处理的告知，沉默不构成单独同意，仅仅填写个人信息或签字没有具体表示同意的意愿表达也不构成单独同意。

3.2 书面同意适用的情形与形式要求

《个人信息保护法》第29 条在规定处理私密信息应当取得个人单独同意的基础上，进一步要求如果法律、行政法规规定应当取得书面同意的，必须取得书面同意。由于单独同意可以采取的模式有多种，而且单独同意适用的情形对个人权益影响较大，为了缓解信息不对称、劝解个人谨慎对待私密信息处理、确保同意态度更加明确和坚定以及固定告知同意证据，法律、行政法规对同意作出形式强制是很有必要的[4]247。目前，我国只有行政法规对此作出了规定：一是《人类遗传资源管理条例》第12 条规定，采集人类遗传资源（主要是基因信息）应当征得书面同意；二是《征信业管理条例》第14 条规定采集个人收入、存款、商业保险等财产信息，应当取得书面同意。目前行政法规规定的处理个人信息应当征得个人书面同意均为私密信息处理的情形。因此，建议将来制定相关行政法规在涉及私密信息处理时，应明确规定处理个人财产信息、基因信息、医疗健康信息和私人生活信息应当征得个人书面同意。

3.3 同意的例外

为了维护国家利益、公共利益和个人合法权益，在特殊情况下，法律有必要对同意作出例外规定，允许处理者无须征得个人同意即可处理私密信息。《个人信息保护法》第13 条第1 款规定了6 种处理个人信息征得同意的例外情形。考虑到私密信息的特殊性，处理私密信息时应当根据具体应用场景适用同意的例外规定，并非上述情形当然适用于私密信息处理的同意。一是为订立或履行合同所必需。例如，个人与保险公司订立重大疾病保险合同，个人发生合同约定赔付的重大疾病请求理赔时，保险公司需要将病历等医疗信息作为理赔依据进行收集、存储，即为履行合同所必需。二是为履行法定职责或法定义务所必需。例如，为了追诉犯罪，侦查人员依据《刑事诉讼法》第132 条规定，采集被害人和犯罪嫌疑人的基因信息，该处理行为即为履行法定职责所必需。三是为应对突发公共卫生事件或紧急情况下保护人身财产安全所必需。例如，对突发危重疾病又无法取得个人或近亲属同意者可通过身体检查获取健康信息进行抢救，此时如果要求征得个人或近亲属同意势必丧失抢救机会危及个人生命健康。

为公共利益实施新闻报道、舆论监督等行为处理个人信息，是法定的同意例外情形，问题在于此种情形能否一概适用于私密信息处理原则。新闻报道、舆论监督具有公开性，目的是让公众知晓事实真相或形成社会舆论。如果新闻报道、舆论监督中包含了私密信息，该行为就可能涉嫌违反《个人信息保护法》第25 条前句“不得公开其处理的个人信息”的规定，在此种场景下，应当依据该条后句规定必须取得个人单独同意，而不应适用同意的例外规定。如果新闻报道、舆论监督中采取一定方式屏蔽了个人私密信息，则处理行为无须取得个人同意（含单独同意）。另外，处理已经公开的个人信息属于法定的同意例外情形，此种情形能否适用于私密信息处理呢？根据《个人信息保护法》第27 条规定，如果个人信息的处理对个人权益影响重大，应当取得个人同意。换言之，私密信息蕴含个人最高人格利益，私密信息即便已经公开，仍然属于对个人权益影响重大的范畴，因此，处理时应当取得个人单独同意或书面同意。

4 结语

随着大数据技术的发展，私密信息的社会价值和商业价值凸显，私密信息保护与利用的矛盾越发突出，平衡这一矛盾的关键是确立私密信息处理规则，规范私密信息处理活动，为私密信息权益保护提供事前预防与事中监督。在私密信息处理规则中，告知同意规则对于私密信息权益保护具有重要意义，尽管法律、行政法规规定了告知的免除和同意的例外，但它是私密信息处理的核心规则和基本规范，为私密信息处理的合法性提供了基础。违反告知同意规则处理私密信息即缺乏合法性基础，可能损害个人人格尊严、基本权利自由和人身、财产权益。当然，履行告知义务并取得单独同意或书面同意后处理私密信息，并不意味着处理私密信息必然绝对合法，也不能据此就私密信息处理中的侵权行为免除任何责任，处理私密信息还必须受个人信息处理的基本原则的限制。