2024年9月18日,全国网络安全标准化技术委员会发布《网络安全标准实践指南——敏感个人信息识别指南》(以下简称《识别指南》)。
《识别指南》旨在根据《个人信息保护法》、《数据安全法》和《网络安全法》等法律法规加强对敏感个人信息的管理和保护。指南概述了识别敏感个人信息的具体规则,其中包括生物特征信息、宗教信仰、医疗健康和金融账户等数据类别。为组织识别、处理和保护敏感个人信息提供了指导。
本文将对《识别指南》主要内容进行解读并分析其亮点所在,以供读者参考。
随着数字化发展,个人信息泄露和非法使用的风险大幅增加,尤其是对敏感个人信息的处理,存在较大的法律和社会责任风险。《识别指南》旨在为各类组织提供操作性强的指导,帮助其识别和处理敏感个人信息,确保数据处理符合国家法律要求,避免敏感信息泄露带来的危害。《识别指南》的制定依据是《个人信息保护法》、《网络安全法》和《数据安全法》等法律法规,明确的法律指引使得企业在操作敏感信息时有了明确的合规依据,降低了法律风险。
个人信息:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。指可以直接或间接识别特定自然人的各种信息,既可以是电子形式,也可以是其他形式记录的。
敏感个人信息:一旦泄露或非法使用,可能导致自然人遭受人格尊严侵害、财产安全或人身安全危害的信息。例如:生物识别、宗教信仰、医疗健康、金融账户等信息。
个人信息处理者:指在个人信息处理活动中自主决定处理目的、处理方式的组织或个人。
这些定义提供了清晰的术语基础,帮助企业理解处理的对象是哪些,并为后续识别敏感个人信息提供了依据
文件详细规定了识别敏感个人信息的规则,主要包括四条:
人格尊严受侵害的风险:被泄露或被非法使用可能导致自然人遭受人格尊严损害(如“人肉搜索”、非法侵入网络账户、社会歧视等)的个人信息,应识别为敏感信息。
人身安全受威胁的风险:被泄露或被非法使用可能导致人身安全受到损害(如行踪轨迹泄露可能导致人身安全威胁)的个人信息,应被识别为敏感个人信息。
财产安全受危害的风险:被泄露或被非法使用可能导致财产安全受到损害(如金融账户信息泄露可能导致财产损失)的个人信息,应视为敏感信息。
信息汇聚后的敏感性:《识别指南》特别强调了多项一般个人信息汇聚或融合后的敏感性变化。如果汇聚信息能够推断出某些敏感属性(如宗教信仰、健康状况),也应视为敏感信息。
这四条规则提供了广泛的适用性,既覆盖了单项敏感信息的识别,也涵盖了信息汇聚后的整体属性评估。尤其是第四条规则,为企业应对大数据时代的信息处理挑战提供了明确的指导,使得一般信息汇聚后变得敏感时,企业能够及早识别并采取保护措施。
《识别指南》详细列举了几类常见的敏感个人信息及其示例:
生物识别信息:如基因、人脸、指纹、声纹、步态等生物特征。
宗教信仰信息:与个人宗教信仰、宗教组织和活动相关的个人信息。
医疗健康信息:包括个人的病史、体检报告、医疗记录等信息。并注明个人体重、身高等基本体质信息若与个人疾病或医疗就诊无关,可认为不属于敏感个人信息。
金融账户信息:如银行、证券等账户信息及其相关交易记录。
行踪轨迹信息:个人在一段时间内的活动轨迹,包括连续的精准定位数据。并注明通过IP地址等测算的粗略位置信息不属于敏感信息范畴。
不满十四周岁未成年人的个人信息:未成年人的信息特别敏感,需给予特别保护。
其他敏感个人信息:包括精准定位信息、犯罪记录信息、性生活、展示个人私密部位的个人信息等。
这些类别覆盖了多个日常信息处理场景,尤其是在金融、医疗等行业,企业可以根据这些类别快速判断哪些数据属于敏感个人信息,进而采取更严格的保护措施。
与《个人信息保护法》、《个人信息安全规范》等相关法律相比,《识别指南》更聚焦于“敏感个人信息”的识别与保护,提供了更具体的细分类别和示例。《识别指南》专注于细化敏感信息的范畴,并在实际操作层面上给予了明确的识别规则和指导建议,提供了更详细的分类与识别准则。这种聚焦让企业在敏感信息保护领域能更有的放矢,特别是在生物识别、宗教信仰、医疗健康等领域,《识别指南》提供了详尽的操作指引和法律依据,减少了企业合规风险。
《识别指南》为不同组织如何识别敏感个人信息提供了具体的规则,例如:
-
-
-
列举常见敏感信息类别(如生物识别信息、宗教信仰、医疗健康、金融账户等)使得企业在实际操作中更易遵循和实施。
《识别指南》适用于处理敏感个人信息相关的具体场景。例如,对于金融机构,指南明确列出了如何处理账户数据、支付信息等敏感信息。
《识别指南》明确指出了一些特定领域的信息,如未成年人的个人信息、特殊职业人员(如外卖员、快递员)在特殊场景下产生的行踪轨迹信息的数据特殊性。这一做法比其他法律更加精细化,针对性更强。这些领域的敏感数据,因其特殊性,往往需要更高的安全保障。《识别指南》为这些领域提供了细化的指引,使得相关组织能够更加清晰地界定需要保护的数据类型。
例如:《识别指南》规定的行踪轨迹信息特别指出,个人在一定期间内因为所处具体地理位置、活动地点和活动轨迹的移动变化而形成的连续轨迹信息,应被视为敏感信息。如通过GPS设备或手机的导航软件形成的轨迹数据等。但是对于某些特殊职业(如外卖员、快递员)用于实现服务履约场景下的相关信息除外。根据《饿了么骑手隐私政策》,饿了么APP会收集骑手的地理位置信息,以便为其展示附近订单、协助完成配送服务等。连续采集骑手在完成配送服务时的地理位置信息可用于生成行踪轨迹,以优化配送时间和路径,根据《实践指南》,生成的行踪轨迹并不属于敏感个人信息。
《识别指南》强调了个人信息汇聚或融合后的整体属性及潜在的敏感性风险。这是一个非常重要的指导,该内容的核心在于,即使单独来看某些个人信息并不敏感,但当这些信息汇聚后,可能会揭示出特定个人的敏感属性,因此需要被识别为敏感个人信息。这种规则特别适用于大数据分析、数据挖掘等需要处理大量个人信息的场景。例如,一家电商公司通过其平台收集了用户的购物历史。这些数据单独来看并不敏感,因为它仅显示了用户购买的商品记录。然而,当这些购买记录与其他数据(如购买频率、特定种类商品的偏好)结合时,可能透露出用户的健康状况。如果用户购买了多次医疗设备或药品(如血压计、降血糖药等),结合购买日期和频率,电商平台可能推断出用户存在高血压、糖尿病等健康问题。《识别指南》的敏感性评估机制将敏感信息的识别过程标准化,不仅考虑单项信息的敏感性,还考虑多项普通信息结合后的风险。有助于企业在信息处理时更全面地考虑数据安全。
总结
《识别指南》为组织识别和保护敏感个人信息提供了详细的操作指南。特别是其敏感信息识别规则,从而帮助企业更好地合规管理敏感数据。并且指南对于敏感信息的分类详细且易于理解,有助于提升不同领域中对敏感信息的识别和保护意识,为敏感个人信息的识别和处理提供了详细、清晰且实用的指导。
以下为《网络安全标准实践指南——敏感个人信息识别指南》全文
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
(完)
资料链接:
1.关于发布《网络安全标准实践指南——敏感个人信息识别指南》的通知,https://www.tc260.org.cn/front/postDetail.html?id=20240918084858。
【延申阅读】
1. 国家数据局局长刘烈宏万字长文谈数据要素
2.平潭发布福建自贸试验区首批数据跨境流动清单,涉及跨境旅游、跨境电商、国际航运和跨境直播4个行业
3.《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》发布
4.香港特别行政区个人资料跨境转移规则
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
![《网络安全标准实践指南——敏感个人信息识别指南》全文解读]( "《网络安全标准实践指南——敏感个人信息识别指南》全文解读")
“数据信任与治理”由下一代互联网国家工程中心运营。放眼全球数据治理前沿理论与实践进展,探索可信数据治理的中国模式,促进数据要素有序流通,释放数字经济红利。
TDG focuses on the cutting-edge theory and practice of global data governance, explores the Chinese model of trusted data governance, promotes global data flow, and fulfills the potential of the digital economy.
原文始发于微信公众号(数据信任与治理):《网络安全标准实践指南——敏感个人信息识别指南》全文解读
评论