敏感个人信息的界定及其处理前提——以《个人信息保护法》第28条为中心

根据《个人信息保护法》第28条第1款,敏感个人信息的判断具有客观性、关注的风险内容具有广泛性、判断前提具有确定性,且须达到“高概率的权益受侵害可能+一般的权益受影响程度”的标准。该款的列举项作为典型的敏感个人信息,其具体内涵仍需要进一步厘清。结合《民法典》第1034条第3款,个人信息可以分为一般个人信息、个人信息中的私密信息、敏感个人信息。敏感个人信息与私密信息之间存在一定交叉。此外,《个人信息保护法》第28条第2款所规定的特定目的、充分必要性、严格保护措施,是目的限制、最小必要、安全保护原则的体现与强化,只有三个条件同时达成时,方可处理敏感个人信息。