我国《个人信息保护法》确立了严格的限制性原则与“告知-同意”规则，以期为敏感个人信息提供特殊保护，是对域内外立法的一种突破。但其在规范体系上仍然存在诸多不足之处，需要进行调适。在具体路径上，可运用民事权益位阶理论、隐私合理期待理论建构“特定的目的”与“充分的必要性”的限制性规则，合理限缩其适用范围。课以信息处理者“提示或者说明义务”。除例外情形，敏感个人信息的处理应以信息主体的“书面同意”为原则。敏感个人信息处理规则设置理念由“告知-同意”转向“风险预防”，可创设递进式应对方案予以回应。“告知—同意”规则呈现受限态势，应以限制性原则对“告知-同意”规则进行补强。敏感个人信息影响评估模式实现了由单一评估模式向复合评估模式的转变，需建立规范协调制度以消解由此引发的系列问题。

• 单位
  中国人民大学; 上海大学