界定清楚涉及敏感个人信息的政府信息是否应公开、公开多少，是构建完善敏感个人信息保护制度的前提性基础。而这体现的是立法者在公众知情权与个人信息保护的利益衡量中的抉择，但也一直是各国在政府信息公开立法过程中普遍遭遇的难点，“有的国家在政府信息公开法中会对个人信息进行细致的列举规定，有的国家会制定专门的个人信息保护法对需要保护的个人信息范围予以明确”。尽管《个人信息保护法》已经明确对敏感个人信息予以特别保护，但若将其直接适用于政府信息公开活动中却存在制度障碍，根本原因在于现行法律体系之间的抵牾。《政府信息公开条例》是各级政府部门处理政府信息公开活动的直接法律依据，但在其特别保护的对象之中并未包含“敏感个人信息”，而是规定“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息，行政机关不得公开”。同时，《个人信息保护法》第33条、34条又分别规定，“国家机关处理个人信息的活动，适用本法；本节有特别规定的，适用本节规定”“国家机关为履行法定职责处理个人信息，应当依照法律、行政法规规定的权限、程序进行”。而按照法体系的解释方法，政府机关在公开涉及个人的敏感信息时，应当优先适用作为行政法规的《政府信息公开条例》。很显然，“敏感个人信息”与“个人隐私”所指代的对象与保护的范围是不同的。关于两者具体的区别，学界的研究也是较为充分的，主要形成了“交叉重合说”“独立区分说”“个人隐私覆盖说”三种观点。

个人隐私与敏感个人信息在内涵与外延上均存在较大差异，并不等同。个人隐私更侧重的是信息私密性属性，“隐”与“私”，在法律上的范围也较为固定；而敏感个人信息强调的是信息处理的特殊要求，即高度的识别性与标识性。因此，虽然两者存在交叉关系，但并非上下位概念或包含与被包含关系。“即有的个人隐私属于敏感个人信息，而有的个人隐私则不属于敏感个人信息；有的敏感个人信息特别是涉及个人私生活的私密信息属于个人隐私（如婚姻状况、身体健康情况等），但也有一些敏感个人信息因高度公开而不属于隐私（如姓名、籍贯等）。”质言之，法律体系对于保护对象规定的不统一造成各地行政机关对敏感个人信息保护的力度的差异。

敏感个人信息应当得到严格的保护，《个人信息保护法》第28条第2款规定：“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。”然而，立法并没有对这些限定性条件作出较为明确的解释，这无疑对于负责个人信息保护工作的机构或个人，在众多复杂多变的场景中精准作出这一判断，颇具挑战与困难。

首先，“特定目的”指向不明确。处理敏感个人信息的目的过于宽泛和模糊都将被认为违法。事实上，其他相关法律中也都有关于目的明确性要求，比如《民法典》1035条、《网络安全法》第41条，等等，但这些法律规定都没有对“目的”的具体要求予以明确，致使信息处理者在具体处理敏感个人信息时，容易产生认知歧义。在政府信息公开活动中，依据《政府信息公开条例》第15条的规定，政府公开公民个人的隐私信息，只能是基于“公共利益”保护的目的。虽然大部分法律、行政法规以及司法解释都在使用“公共利益”一词，但都是作为一个无需甄别的概念直接适用，其内涵与外延并不明确、统一。

其次，“充分必要性”解释不充分。立法上要求“充分必要性”的主要目的在于强调手段与目的的相匹配性，处置敏感个人信息“应当保持最大的克制”，防止无限制的个人信息处置，《个人信息保护法》第6条也规定“应当与处理目的直接相关，采取对个人权益影响最小的方式”“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”。再就政府机关而言，《个人信息保护法》第34条进一步规定：“国家机关为履行法定职责处理个人信息，……，不得超出履行法定职责所必需的范围和限度。”但现实问题是，很多时候法律对于政府机关的职责职能规定的就较为“模糊、宽泛”，比如仅仅以“公共利益”或“公共安全”等作为履职目标，如此根本就无法依据比例原则对政府部门处理敏感个人信息行为的合法性作出判断。

再者，在政府信息公开过程中，行政机关对于不确定概念享有的裁量权过大。依据《政府信息公开条例》第15条和第32条的授权，行政部门对政府公开信息是否损害个人隐私、是否会损害公共利益以及权利人不同意公开所给出的理由是否合理等享有判断权。但在这些授权条款中，对重要的概念与标准都没有明确规定，比如个人隐私的识别标准、公共利益遭受损害的判断标准以及在第三人不同意公开的情形下，行政部门仍可以基于公共利益需求强制性公开的基本构成要件等。简言之，行政机关对于不确定概念享有过大的裁量权。

告知同意规则是法律保护个人信息设立的特别制度。而对于敏感个人信息的处理，则在《个人信息保护法》第29条特别规定：“处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。”但同时为保障国家机关高效履职，《个人信息保护法》第35条又规定，国家机关履行法定职责处理个人信息，只承担告知义务。换言之，政府部门依法公开信息时，对于敏感个人信息是不需要单独获取信息主体的同意，告知即可。

然而，基于行政部门处理敏感个人信息具有强制性、单方性、技术性、复杂性等特征，《个人信息保护法》上的有些程序性权利在特定的场景下并不必然能由个人行使。尤其是进入大数据时代以后，面对多主体互联互享、庞大数据汇聚、多样式高频率适用等复杂情形，致使有效告知与同意难度与成本的增加，制度实效虚化，甚至异化。例如，告知的内容与标准很可能不明确。依据《个人信息保护法》第30条规定，信息处理者在处理敏感个人信息之前，不仅要遵循一般告知事项的规定，而且特别要求要告知信息处理的“必要性”和“对个人权益的影响”，同时该法第17条要求“显著方式、清晰易懂的语言真实、准确、完整”。但实际上，这些关于告知内容要求的表述都过于抽象、模糊，致使部分信息处理者为规避风险故意使用专业、抽象、深奥的术语来撰写告知文书，或者告知内容冗长、复杂，其目的均是为了让信息主体因缺乏理解能力和时间而无法做出正确的判断。同时，《个人信息保护法》也没有明确告知方式，很可能会加大行政机关与个人之间信息不对称的张力，阻碍了信息主体有效阅读、理解相关内容。

《个人信息保护法》第66条专门针对违法处理个人信息的行为设立了行政处罚责任、侵权赔偿责任以及信用监管责任三种追责方式。毋庸讳言，这些法律责任机制主要聚焦民事主体违法处理个人信息行为，虽然法律也规定“国家处理个人信息的活动适用本法”，但很显然，这些法律责任规定直接适用政府处理个人信息的行为具有困难。立法者应该也注意到了这个问题，因此在该法第68条又对国家机关的责任进行了补充性规定。