今日,《数据安全技术 敏感个人信息处理安全要求》(GB/T 45574-2025)全文公布,将于11月1日生效。下载地址
这个标准写得的很有水平,一方面给敏感个人信息处理提出更高、更细的安全要求,另一方面也给实务工作开展提供了指引。
我猜测存在与《App收集个人信息基本要求》(GB/T 41391—2022)协同,作为APP检测支撑标准的可能性。
但毕竟11月才生效,要求也不低,或许企业可以考虑关注起草单位APP落实情况,对标合规水位。
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。
(e)歧视性差别待遇(歧视性差别待遇可能因个人信息主体的特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露导致)。
(1)如有充分理由和证据表明处理的个人信息达不到危害条件的,不识别为敏感个人信息。
(2)个人信息汇聚后符合危害条件的,整体视为敏感个人信息。
(3)特定职业(外卖员和快递员等)用于实现服务履约场景的连续轨迹信息,不视为行踪轨迹信息。
//和之前《征信业管理条例》规定“企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。”有异曲同工之妙。
(4)敏感个人信息去标识化后应作为一般个人信息进行保护,匿名化处理后的个人信息除外。
不应通过技术手段自动收集互联网网站页面和移动互联网应用程序传输、存储和显示的敏感个人信息。
注:自动收集是指通过自动下载程序和脚本等技术手段自动获取特定网页信息或数据并按指定规则提取相应内容的活动。
爬虫、脚本都不行!但是违反推荐性国标的法律后果是什么,还有待观察。如果结果是被通报,那还是挺吓人的。
应仅在个人信息主体使用业务功能期间,收集该业务功能所需的敏感个人信息。
对应到APP,不使用导航功能之类的时候,即使权限开关开了,就应该停止获取定位信息?
持续收集敏感个人信息的,应该持续或间隔提示,如:呼吸灯、语音、震动、图标、弹窗等都可以。
基于个人同意进行处理的,个人信息处理者应在处理敏感个人信息前,取得个人信息主体的单独同意。
注:单独同意是指个人信息处理者处理敏感个人信息不应与一般个人信息一并取得个人同意。
应按业务功能或服务场景,分项收集敏感个人信息。
多项敏感个人信息处理活动,应按处理目的和业务功能为个人信息主体提供单独同意机制。
单项敏感个人信息被用于多个处理目的或业务功能的,不应捆绑取得同意。
一揽子在一个敏感个人信息处理告知书获取单独同意行不通了。
以后要按照功能/目的维度来,不能一个敏感字段用于多个处理目的。
这也倒逼各企业梳理合法性基础,毕竟基于履行合同、法定义务等合法性基础处理敏感个人信息时,不用取得单独同意。
真要按照这个要求,落实难度可不小。坐等各个大厂带头卷咯。
(1)制定敏感个人信息处理专门管理制度、操作规程、审批流程;
(2)具备敏感个人信息操作权限的人员作为关键岗位人员管理;
(3)记录敏感个人信息处理/操作情况,日志保存3年;
(4)敏感个人信息加密存储、传输,去标识化敏感个人信息与识别信息分开存储;加密/解密分开授权;
(6)敏感个人信息字段级访问控制,结构化数据权限控制到表,非机构化数据控制到文件。
(8)异常操作预警,如:频繁或大量敏感个人信息浏览查询、下载和打印,非工作时间操作等。
(9)敏感个人信息展示界面加水印,包含访问主体及时间。集中展示敏感个人信息的,应该禁止复制、打印、截屏。
//这个要求也不是谁都能做到吧?但宜的意思就是也可以不做。
(11)处理10万人以上敏感个人信息的,应指定个人信息保护负责人,应具备个保专业知识和管理工作经历,由管理层成员担任。
//对应《个保审计办法》中,处理100万以上个人信息的处理者,也应当指定个保负责人。
(2)原则上不处理个人宗教信仰信息,宗教组织内部开展活动并取得单独同意的个人信息处理活动除外;
(3)不应使用个人宗教信仰和特殊宗教习俗等宗教信仰信息构建用户画像。
特定身份信息指残障人士身份信息、不适宜公开的职业身份信息等个人信息。
(2)验证特定身份后,立刻删除,有留存要求的,从其规定;
(4)不应使用个人特定身份信息构建用户画像和用于个性化推荐。
(1)建立相应的访问控制权限审批机制,例如艾滋病和性病仅限于主治医护人员访问等;
(2)应去标识化显示医疗健康信息,确需完整显示的,应进行个人信息主体或授权人员身份验证;
(3)用于科研,应去标识。参考《信息安全技术 个人信息去标识化指南(GBT 37964-2019)》
(2)不应留存非本机构的个人金融账户相关个人信息主体鉴别信息,确有必要的,取得授权;
(3)不应存储支付敏感信息及个人生物识别信息的样本数据,仅可保存完成当前交易所必需的基本信息要素,并在完成交易后及时删除;
(5)去标识化场景应覆盖客户交易页面显示、业务管理页面显示和日志打印显示等,应在前端和服务器端均实现。
(2)不应标注行踪轨迹涉及的国家有关部门规定的敏感位置区域;
(3)多次收集个人信息主体的地理位置信息,辅以收集时间戳和其他信息加工处理,视为行踪轨迹。
(1)网络直播场景下,可采取开播前验证真实身份、人工审核和及时处置举报投诉等方式建立针对网络直播发布者真实身份信息动态验证机制。
(2)验证监护人身份可采取短信验证、电话验证、视频验证、电子邮箱验证、书面确认和绑定实名账户等合理措施进行。
//无论是识别方式还是验证手段,都应该与业务风险相适应。
(3)明示收集未成年人个人信息的功能和未成年人模式与成年人模式在敏感个人信息处理方面的不同。
1、填写框、动画、语音播报也是可以考虑的增强告知实现方式;
2、除了勾选、签字之外,主动完成填写提交,也是单独同意的实现方式。
//最不影响用户体验的方式应该是在填写框内或上方告知,再让用户主动填写,以落实增强告知+单独同意要求。
3、书面同意模板可以抄作业了。
原文始发于微信公众号(数据何规):《敏感个人信息处理安全要求》学习笔记
评论