首先是身份的识别性。个人信息的基本功能是识别个人，敏感个人信息也具有较强的识别性，且与特定个人紧密相连，它存在于个体对外界的感知与辨认中，是主体与客观外在世界交流的产物。一方面，敏感个人信息内容都具有识别性，指向特定个人。但根据是否能单独直接区分出特定的个人，敏感个人信息又可以划分为直接敏感个人信息和间接敏感个人信息，对于间接敏感个人信息则需要与其他信息结合起来才能识别特定的个人，具有依赖性和关联性，通常需要通过逻辑分析来认定特定个人，比如身高、血型、性别等。实践中，间接敏感个人信息因无法单独识别特定个人，侵权风险较低，因此不用特别保护，但若间接敏感信息能串联起来，识别特定个人时，同样应适用法律上的特殊保护规则；另一方面，仅具有识别性的信息也不一定是敏感个人信息，即使是直接可识别的个人信息也需要结合具体场景进行综合全面的判断。事实上，若不在内容上加以区分，一律特殊对待，则很容易阻碍正常的信息交流。比如，将同事的电话号码、家庭住址在单位小范围公开，很难说是构成侵害敏感个人信息，但若是未经信息主体同意私自将这些信息放到网络上，则侵权结论很可能是成立的。

其次是实效性。所谓实效性主要是就信息内容的价值与用途而言的，它与“敏感性”紧密相连。尽管所有的个人信息都具有实效性，但其强度却存在差异。一般而言，实效性越强的个人信息，敏感性也就越强，受到侵害的可能性也就越大。从文义解释来看，实效性对应的是，“容易导致个人的人格尊严受到侵害或者人身、财产安全受到危害”。基于语词本身的模糊性，行政机关在具体认定实效性时，还需结合具体的场景考虑信息是否与人格尊严、人身、财产安全存在密切关联。有些信息在日常情形下实效性并不强，但此类个人信息一旦与数字技术相结合，在特定情形下很可能对人格尊严造成侵害，这时它的实效性就很强，也可能属于敏感个人信息。比如，单纯了解个人的下班时间、回家路线或者到家时间，可能并不具有实效性，但如果利用数字技术将所有信息串联起来，就可以获取信息主体完整的行为轨迹，构成敏感个人信息，需要适用法律有关规定予以保护。此外，行政机关在判断实效性时，应立足于社会公众的主流观念，而非当事人的主观认知。

再者是结果损害性。侵权行为的成立须以发生损害为必要，个人信息泄露会不会造成信息主体的损害也是识别敏感个人信息的重要标准。但行政部门在评估行为后果是否具有损害性时，有三点需要特别注意：其一，损害的类型不局限于人身损害与财产损失。敏感个人信息的损害结果类型已经从传统的物质损害向精神损害与物质损害并重扩散，比如因个人信息泄露而带来的侮辱、羞耻等强烈主观性不适的精神损害，其敏感个人信息的属性已经被大多数国家通过立法予以确认；其二，损害后果评估侧重的是发生的概率或可能性，而并非遭受明确的、固定的损害。《个人信息保护法》第28条第1款的表述为“容易导致”，指向的就是一种发生的概率。换言之，对敏感个人信息严格保护的目的是要降低信息主体合法权益被侵害的风险，而非是损害结果的实际发生。值得警惕的是，由于各级行政部门掌握的信息识别技术的应用能力参差不齐，因而不同场景下损害后果发生的可能性也会有差异；其三，财产损害应包括实际财产损失和期待利益损失。实际上，将期待利益损失纳入结果损害的评定范围是将财产损失做了扩大化解释，更有利于个人信息权益的保护。例如，如果行政部门违法或不当处理个人医疗健康信息，就容易造成信息主体的可期待利益受到损害。

敏感个人信息保护的重要性自不待言，但目前关于行政部门在政府信息公开活动中如何对敏感个人信息保护，法律只是规定了需要遵循的基本原则，并无具体的要求。《个人信息保护法》第6条、第28条分别规定：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。”“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。”在法体系解释框架下，这些原则性的限制规定，可以具象化为以下三方面的实质性要求。

第一，行政机关公开的敏感个人信息应在法定职责范围内。《个人信息保护法》第34条明确规定，国家机关为履行法定职责处理个人信息，不得超出履行法定职责所必需的范围和限度。随着国家治理越来越精细化、专业化，行政部门之间的分工也越来越具体。庞大的行政组织就像一台机器，要求每个组成部分按照既定的安排运转，不能越位。实际上，依法行政原则是法治国家、法治政府的基本要求，法治要求政府在法律范围内活动，依法办事。依此逻辑，行政部门的职责都是法定的且都是有限度的，只能在其职责范围内依照法律规定公开敏感个人信息，比如《公安机关互联网安全监督检查规定》规定由县级以上地方人民政府公安机关网络安全部门组织实施互联网安全监督检查工作，那么在此范围内它就有权依法处理个人信息，其他行政部门介入则是非法的。但是遵循依法履职的前提是职权职责的分配必须清晰、明确，而目前在实践中职能相近的行政部门职责不清、相互交叉现象还是较为普遍，尤其是上下级政府之间，“不同层级政府之间的‘职能同构’是目前我国行政体制中的一大痼疾”。因此，制定权责清单从根本上理顺、明确各级政府与各个部门的职权职责可一劳永逸解决职责不清、职能交叉的问题。权责清单制度是指公权力主体将法律赋予它的各项权力进行统计、核实，以清单的形式，将职权事项、实施主体、行使流程等内容进行详细列举与说明，并进行公示的过程。质言之，通过权责清单形式明确行政部门的法定职权职责范围，使其清楚基于履职需要哪些敏感个人信息是可以公开的。

第二，行政机关公开敏感个人信息具有“特定目的性”。根据《个人信息保护法》的规定，只有具有特定目的，行政机关才能处理敏感个人信息。然而，“特定目的”是不确定概念，其含义并不明确，解释的空间比较大。美国学者爱伦·维斯汀（Alan Westin）最早提出特定目的原则，强调“除非个人信息中的身份特征已经被完全去除，或者获得信息主体同意，否则行政机关在处理个人信息时，都必须基于明确的特定目的，且严格限制其使用范围”。该原则一经提出，就被很多国家相关法律予以吸纳、借鉴。除了《个人信息保护法》第34条对国家机关公开个人信息的目的有较为明确的规定外，《政府信息条例》第15条也规定，涉及个人隐私的信息如果不公开会对公共利益造成重大影响的，予以公开。综上，应当从以下两方面理解政府机关公开敏感个人信息的“特定的目的”。其一，特定的目的应当是基于履职需要，且明确、具体。比如镇政府公布辖区获得国家因病贫困补贴的家庭的名单，不能笼统地以符合国家因病贫困认定标准而公布他人的医疗健康信息，而应当明确公布他人医疗健康信息的具体目的。质言之，公开目的越具体，越能判断公开敏感个人信息是否充分必要；其二，与私主体处理敏感个人信息不同，行政机关是典型的公权力主体，它没有自身特殊的利益，一切都是为了公共利益。为了防止以权谋私，行政机关公开敏感个人信息的特定目的应严格限定为依“法”，包括宪法、法律、法规、规章，通过法律保留原则的适用，可以更好地加强对行政机关的事前监督，有利于敏感个人信息的保护。

第三，行政机关公开敏感个人信息具有“充分必要性”。公开敏感个人信息除了特定目的以外，还应当具有充分必要性。立法上作此要求是为了避免过度公开敏感个人信息。实际上，充分必要与特定目的是紧密相连的，特定目的是充分必要的前提与基础，而判断是否充分必要则要依靠特定目的来衡量，两者缺一不可。通常立法上对于目的与手段之间是否恰当用“必要性”表述即可，而敏感个人信息的处理，法律表述为“充分必要”，足见重视的程度。至于实践中如何才能实现“充分必要”，不妨借鉴域外有益的经验，例如2020年1月，欧盟数据保护主管(EDPS)发布《个人数据保护比例原则指南》，其中规定：“在确定必要性时，应首先阐释怎样处理个人数据才能实现处理目的。如果有侵害较小的方案可以选择，数据平台必须详细解释为何没有选择侵害较小的方案。”