为加强敏感个人信息的保护，个人信息保护法在程序上主要设立了告知同意规则，即任何人或组织在处理敏感个人信息之前都需要充分告知并经过信息主体的同意，法律另有规定的除外。在个人信息利用日益频繁的数字时代，告知同意规则已经为大部分国家接受并被确立为处理个人信息的基础规范。为保障公权力行使的高效性，《个人信息保护法》第35条特别规定，除法定情形外，国家机关履行法定职责只需履行告知义务即可。针对行政机关的特殊性，在信息公开活动中，为充分保障信息主体的合法权益，建立的告知规则应确保告知义务履行的全面性、易理解性以及持续性。

其一，行政机关在告知时应当提供充分必要的信息，不仅仅是拟准备公开的敏感个人信息内容，还需告知公开内容与实现行政目的之间的关联，且无其他更为合适的替代方式。换言之，行政机关应明白无误的告知信息主体，公开的敏感个人信息是为了实现行政目的，而不得已采取的“最小范围、最短期限、影响最小方式”。毋庸讳言，个人肯定是自己利益最忠实的护卫者，而敏感个人信息又事关信息主体的个人尊严或人身、财产安全，让信息主体充分了解、掌握公开自己敏感个人信息的必要性与关联性，必将有助于其维护自身的合法权益。

其二，告知内容的语言表达应当简洁、明了并且易理解，不能刻意适用复杂、专业和深奥的用语，避免信息主体在读完但不理解内容意思的情况下就同意。为此，应以普通人的理解能力为标准建立告知规则，若确实存在语言解释困难的专业术语，应要求行政机关对信息主体作出当面解释，使其能理解告知的内容。同时告知文件中应对即将公开的敏感个人信息通过字体加粗、标下划线或改为其他颜色等添加显著标识的方式，引起被告知者的高度关注。另外在告知的方式方面还可以创新，可以利用小视频、语言播报等较为生动、形象的表达方式予以告知，弥补采用书面告知形式单一化的不足。

其三，告知义务有时不是一次性可完成，是持续性的，信息技术动态化的处理模式决定了信息供给并非静止的，敏感个人信息公开对于信息主体的权益影响也很可能是持续性与动态变化的过程。同时，真正掌握并利用信息技术的是行政机关，相较于个人，行政机关更有能力实时掌握与敏感个人信息公开所关联的风险变化情况。在实践中，经过专业的大数据深度挖掘、比对，一些“别有用心”平台完全可以突破浅显的“匿名”包装、精准识别主体身份，从而获取敏感个人信息并违规使用。因此，政府机关因履职公开敏感个人信息后，对发现的可能会对信息主体合法权益产生的负面风险，应及时告知。

除了加强事前事中对政府公开行为的规范与监督以外，完善事后追责问责制度对于政府信息公开中敏感个人信息的保护也是同等重要的，“通过明确的制度的安排，可以使官员准确无误地承担责任，找到不会导致责任模糊的最佳责任承担方式”。实际上，《个人信息保护法》第66条、67条、68条以及69条集中规定了法律责任。但都是在“一体调整”框架内考虑事后责任追究机制的设置，而对于政府机关公开敏感个人信息行为“行政性”特征的应对明显不足，立足公法的观察视角，可以从以下三方面完善。

首先是内部法律责任机制的完善。关于行政机关内部责任机制的规定，主要依据《个人信息保护法》第68条与《政府信息公开条例》第35条。但囿于法条内容本身的简单、不具体，导致实践中也是问题较多，目前应重点考虑两方面工作：一方面应理顺在责任追究过程中，上级机关、个人信息保护职责的部门、上一级行政机关以及监察机关四者之间的关系，避免出现监督职责交叉、相互推诿的情形；另一方面应明确内部责任追究机制的启动程序。责任追究机制的启动程序包括确定责任追究的主体、问题线索提交以及受理与反馈，等等，目前法律上对其并无具体规定，容易造成内部监督不到位、不及时。

其次是纳入行政复议和行政诉讼受案范围。行政机关公开敏感个人信息行为是典型的行政行为，理应将其纳入行政复议和行政诉讼的受案范围，并依据公法上解决纠纷的规则予以处置。一方面有利于强化公民个人敏感信息的保护。考虑到行政主体履职过程中与行政相对人事实上存在的明显不对等关系，在行政复议和行政诉讼过程中赋予相对人程序上更多的优益权与对抗权。另一方面，更易于平衡公共利益与个人信息权益之间的张力与矛盾。在大数据时代，国家的各个领域，包括教育、医疗、金融等都已经形成严重的“数据依赖”，个人信息的利用与保护不仅关乎个人，而且还会影响到公共利益。在行政复议和行政诉讼中，因为裁判者都是对行政实务较为熟悉的专家，所以能更好地把握纠纷的实质和双方的诉求，更有利于实质性化解矛盾。

最后是国家赔偿责任的启动。《个人信息保护法》第69条对赔偿责任已经作出了原则性规定，但是该规定并没有区分国家机关与个人承担损害赔偿责任的不同。事实上，政府机关公开敏感个人信息侵犯个人合法权益，完全符合《中华人民共和国国家赔偿法》所规定的侵权赔偿责任构成要件，应适用行政赔偿制度。一方面从损害赔偿能力角度看，国家的赔偿能力肯定是强于个人或其他民事主体的，纳入国家赔偿范围，能更好地赔偿个人信息权益所遭受的侵害损失；另一方面从归责原则的角度看，国家赔偿法可适用无过错原则更有利于敏感个人信息的保护。换言之，无过错原则要求国家机关和国家工作人员即使没有违法或过错，也应该由国家为其行为所致损害承担赔偿责任。在数字时代，基于社会对于数据的强大需求，会不断促使行政部门积极探索个人信息利用的价值，侵权的风险也会随之增大。为有效保护个人的信息权益，适用无过错赔偿归责原则肯定是最优的选择。