敏感个人信息的识别指引：网安标准实践指南新出台

2024年9月18日，全国网络安全标准化技术委员会秘书处发布了《网络安全标准实践指南——敏感个人信息识别指南》（TC260-PG-20244A，v1.0-202409）（以下简称“《敏感个人信息识别指南》”）。（网络安全标准实践指南是由全国网安标委秘书处组织制定和发布的标准相关技术文件，旨在提供标准化实践指引）。

虽然网络安全标准实践指南只是由全国网安标委秘书处组织制定和发布的标准相关技术文件，只是提供标准化实践指引，但《敏感个人信息识别指南》详细规定了敏感个人信息的识别规则、常见敏感个人信息类别及其示例，进一步明确了敏感个人信息的内涵和外延，有助于推动各方在正确识别和保护敏感个人信息方面取得更多共识。此前，只在国标文件GB/T 35273《信息安全技术 个人信息安全规范》（GB/T 35273文件）提到了关于敏感个人信息信息的示例。

（小编提示：识别何为个人信息或敏感个人信息，还是需要结合场景进行动态判断，“场景化”是王道，不能单纯依靠书面定义。）

1.  “敏感个人信息”：一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。（小编注：《敏感个人信息识别指南》中“敏感个人信息”的定义与《个人信息保护法》一致，摒弃了早期国标GB/T 35273（2020）中“个人敏感信息”的定义和术语名称。）

2.  “个人信息主体”：个人信息所标识或关联的自然人。

3.  “个人信息处理者”：在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

个人信息处理者应按照以下规则，识别敏感个人信息。

a) 符合以下任一条件的个人信息，应识别为敏感个人信息：

  1. 一旦遭到泄露或者非法使用，容易导致自然人的人格尊严受到侵害；

【注1：容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入网络账户、电信诈骗、损害个人名誉、歧视性差别待遇等。歧视性差别待遇可能因个人信息主体的特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露导致。】

  2. 一旦遭到泄露或者非法使用，容易导致自然人的人身安全受到危害；

【注2：例如泄露、非法使用个人的行踪轨迹信息，可能会导致个人信息主体的人身安全受到危害。】

  3. 一旦遭到泄露或者非法使用，容易导致自然人财产安全受到危害。

【注3：例如泄露、非法使用金融账户信息，可能会造成个人信息主体的财产损失。】

如有充分理由和证据表示处理的个人信息达不到 a）中条件的，可不识别为敏感个人信息。（小编：感觉这里的“充分理由和证据”还是有很大的自由裁量空间，且应该站在多方和多链条视角，而不是只站在个人信息处理者的当前处理活动视角）

b) 按照本实践指南第 4 章“常见敏感个人信息”识别收集、产生的常见敏感个人信息，常见敏感个人信息类别示例见本实践指南附录 A。

c) 既要考虑单项敏感个人信息识别，也要考虑多项一般个人信息汇聚或融合后的整体属性，分析其一旦泄露或非法使用可能对个人权益造成的影响。如果符合 a）所述条件，应将汇聚或融合后的个人信息整体参照敏感个人信息进行识别与保护。（小编：数据融合结果还是需要认真考虑的。）

d) 法律法规规定为敏感个人信息的，从其规定。

（小编注：在GB/T 35273（2020)中，敏感个人信息的判定规则仅对其定义下的“泄露”“非法提供”“滥用”三个情形做了解释和简单示例。）

1. 生物识别信息^①：也称生物特征识别信息，是指对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。例如个人基因^②、人脸^③、声纹^④、步态^⑤、指纹、掌纹、眼纹、耳廓、虹膜等生物识别信息。

【注1】：

①生物识别信息可参考 GB/T 40660、GB/T 41819、GB/T 41807、GB/T 41773、GB/T41806 等生物识别信息安全国家标准。

②基因信息即基因识别数据，具体可参考国家标准GB/T 41806-2022《信息安全技术 基因识别数据安全要求》。

③人脸信息即人脸识别数据，具体可参考国家标准GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》。

④声纹信息即声纹识别数据，具体可参考国家标准GB/T 41807-2022《信息安全技术 声纹识别数据安全要求》。

⑤步态信息即步态识别数据，具体可参考国家标准GB/T 41773-2022《信息安全技术 步态识别数据安全要求》。

（小编：相较于GB/T 35273（2020）文件中“生物识别信息”的示例，《敏感个人信息识别指南》增加了“步态”和“眼纹”，并将“面部识别特征”修改为了“人脸”，更为准确。）

2.  宗教信仰信息：与个人信仰的宗教、宗教组织、宗教活动相关的个人信息。

例如个人信仰的宗教、加入的宗教组织、宗教组织中的职位、参加的宗教活动、特殊宗教习俗等个人信息。

（小编：GB/T 35273（2020）文件中，“宗教信仰信息”仅为“其他信息”类别中其中一个示例。而在《敏感个人信息识别指南》中，“宗教信仰信息”为单独一类，并给出了具体示例。）

3.  特定身份信息：对个人人格尊严和社会评价有重大影响或有其他不适宜公开的身份信息，特别是那些可能导致社会歧视的特定身份信息。

例如残障人士身份信息、不适宜公开的职业身份信息等个人信息。

（小编：该类别为《敏感个人信息识别指南》新增，GB/T 35273文件中并没有该类别）

4. 医疗健康信息：与个人的医疗就诊、身体或心理健康状况相关的个人信息。

例如（一）与个人的身体或心理的伤害、疾病、残疾、疾病风险或隐私有关的健康状况信息^①，如病症、既往病史、家族病史、传染病史、体检报告、生育信息等；（二）在疾病预防、诊断、治疗、护理、康复等医疗服务过程中收集和产生的个人信息，如医疗就诊记录（如医疗意见、住院志、医嘱单、手术及麻醉记录、护理记录、用药记录）、检验检查数据（如检验报告、检查报告）等。

【注2】：

①个人的体重、身高、血型、血压、肺活量等基本体质信息，如果与个人的疾病和医疗就诊无关，则可认为不属于敏感个人信息范畴。

（小编：GB/T 35273（2020）文件中将该类别称为“个人健康生理信息 ”并且将其定义为个人因生病医治等产生的相关记录，而在《敏感个人信息识别指南》中将该类别分两种情形详细举例。）

5.  金融账户信息：与个人的银行、证券等账户和账户资金交易相关的个人信息。

例如个人的银行、证券、基金、保险、公积金等账户的账号及密码，公积金联名账号、支付账号、银行卡磁道数据（或芯片等效信息）以及基于账户信息产生的支付标记信息、个人收入明细等个人信息。

（小编：GB/T 35273（2020）文件中将该类别称为“个人财产信息 ”其中包括虚拟财产信息，而在《敏感个人信息识别指南》中的示例中删除了“虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息”，可能因为这些交易大部分情况都是违法甚至涉刑的。）

6. 行踪轨迹信息：个人在一定期间内因为所处具体地理位置、活动地点和活动轨迹的移动变化而形成的连续轨迹信息。

【注3】：特定职业（外卖员、快递员等）用于实现服务履约场景下除外。

例如连续精准定位轨迹信息、车辆行驶轨迹信息、人员活动轨迹信息等个人信息。

（小编：GB/T 35273（2020）文件中，“行踪轨迹”仅为“其他信息”类别中其中一个示例，而在《敏感个人信息识别指南》中，“行踪轨迹”为单独一类，并给出了具体示例。）

7. 不满十四周岁未成年人的个人信息。

（小编：GB/T 35273（2020）文件中并没有这一列，而是在定义中指出：“通常情况下，14岁以下（含） 儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息”。而在该指南中明确将“不满十四周岁未成年人的个人信息”设为单独的一列。）

8. 其他敏感个人信息：除以上信息外，其他一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的常见个人信息。

例如精准定位信息^①、身份证照片、性取向、性生活、征信信息、犯罪记录信息^②、展示个人身体私密部位的照片或视频信息等个人信息。

【注4】：

①通过调用个人手机精准位置权限采集的位置信息是精准定位信息，通过IP地址等测算的粗略位置信息不是精准定位信息，连续采集的精准定位信息可用于生成行踪轨迹。

②犯罪记录，是指我国国家专门机关对犯罪人员的客观记载，如罪名、刑罚等记录。

（小编：该指南中“其他敏感个人信息”作为兜底条款，给出了其具体定义。）

本文系律师使用专业AI应用工具生成，生成物权利完整归属使用者。所有权利保留，谢绝用于洗稿或AI训练。

点击下方卡片关注公众号

想要获得更多资讯内容

请扫码关注我们

M姐数据合规评论

微信号｜M_DigitalLawandLife