2025年4月25日,网安标委(TC260)发布国家标准GB/T 45574—2025《数据安全技术 敏感个人信息处理安全要求》(以下简称“《敏感信息安全要求》”),并将于2025年11月1日生效实施。在《敏感信息安全要求》发布之前,敏感信息的识别和保护主要依赖《个人信息安全规范》作为金标准。本次《敏感信息安全要求》相比《个人信息安全规范》,融合了《个人信息保护法》和《个人信息安全规范》更多的实践经验,也回应了企业数据合规中的常见困惑,是一份清晰、明确的合规清单。
一、敏感个人信息的范围
“敏感个人信息”的法律定义见于《个人信息保护法》第二十八条,是指“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。从法律定义上看,“敏感个人信息”主要从后果角度对信息范围进行定义,并列举了常见类别。本次发布的《敏感信息安全要求》与《个人信息保护法》的定义模式保持一致,从两个维度全面囊括了敏感个人信息的范畴。
(1)类别列举角度
《敏感信息安全要求》与《个人信息保护法》保持了一致,在附录A中列明了敏感个人信息类别。但于细微之处可以观察到,《敏感信息安全要求》通过列举和注解的形式,厘清了实践中个人信息处理者识别敏感个人信息时的边界问题,最为典型的几处示例包括:
不再将身份证号纳入特定身份信息类敏感个人信息(但居民身份证照片仍纳入其他敏感个人信息类别);
明确了体重、身高、血型、血压和肺活量等“基本体质信息”并非医疗健康类敏感个人信息;
明确了“账号和密码”“账号+支付/明细”需组合后方成为金融账户信息类敏感个人信息;
明确了精准定位信息的“精准范围”,以及行踪轨迹信息为连续的精准定位信息概念。
|
类别 |
描述 |
|
生物识别信息 |
个人基因[a]、人脸[b]、声纹[c]、步态[d]、指纹、掌纹、眼纹、耳廓和虹膜等生物识别信息 |
|
宗教信仰信息 |
个人信仰的宗教、加入的宗教组织、宗教组织中的职位、参加的宗教活动和特殊宗教习俗等个人信息 |
|
特定身份信息 |
残障人士身份信息、不适宜公开的职业身份信息等个人信息 |
|
医疗健康信息 |
与个人的身体或心理的伤害、疾病、残疾和疾病风险或隐私有关的健康状况信息[e],如病症、既往病史、家族病史、传染病史、体检报告和生育信息等;
在疾病预防、诊断、治疗、护理和康复等医疗服务过程中收集和产生的个人信息,如医疗就诊记录(如医疗意见、住院志、医嘱单、手术及麻醉记录、护理记录和用药记录)、检验检查数据(如检验报告和检查报告)等。 |
|
金融账户信息 |
个人的银行、证券、基金、保险和公积金等账户的账号及密码,公积金联名账号、支付账号、银行卡磁道数据(或芯片等效信息)和基于账户信息产生的支付标记信息和个人收入明细等个人信息 |
|
行踪轨迹信息 |
连续精准定位轨迹信息、车辆行驶轨迹信息和人员连续的活动轨迹信息等个人信息 |
|
不满十四周岁未成年人个人信息 |
不满十四周岁未成年人的个人信息 |
|
其他敏感个人信息 |
精准定位信息[f]、居民身份证照片、性取向、性生活、征信信息、犯罪记录信息[g]和显示个人身体私密部位的照片或视频信息等个人信息 |
|
[a]具体可参考GB/T 41806。 [b]具体可参考GB/T 41819。 [c]具体可参考GB/T 41807。 [d]具体可参考GB/T 41773。 [e]个人的体重、身高、血型、血压和肺活量等基本体质信息,如与个人的疾病和医疗就诊无关,则可认为不属于敏感个人信息范畴。 [f]通过调用个人移动通信终端精准位置权限采集的位置信息是精准定位信息,通过网络地址等测算的粗略位置信息不是精准定位信息,连续采集的精准定位信息可用于生成行踪轨迹。 [g]犯罪记录,是指我国国家专门机关对犯罪人员的客观记载,如罪名和刑罚等记录。 |
|
(2)影响后果角度
从上述类别列举角度可以看到,《敏感信息安全要求》对于敏感个人信息的识别相比在先的其他标准更加审慎和准确。我们理解,列举角度实际上更加明确地指出,敏感个人信息的列举最终仍将落脚在敏感个人信息的法律定义上,即从影响后果角度考虑相关个人信息是否敏感。《敏感信息安全要求》第4.1条同样以界定敏感个人信息的例外情形强化了该认识:
例外纳入:识别敏感个人信息,既要考虑单项敏感个人信息识别,也要考虑多项一般个人信息汇聚后的整体属性,分析其一旦泄露或非法使用可能对个人权益造成的影响,如符合敏感个人信息识别条件,应将汇聚后的个人信息整体参照敏感个人信息进行识别与保护。
例外排除:如有充分理由和证据表明处理的个人信息达不到敏感个人信息识别条件的,不识别为敏感个人信息。本条仍立足于影响后果角度,避免敏感个人信息认定的无限扩大。
二、收集处理敏感个人信息合规要点
在准确界定敏感个人基础上,《敏感信息安全要求》细化了各类别敏感个人信息的安全处理细节。我国个人信息保护相关法律明确规定,收集处理个人信息应当遵循合法、正当、必要和诚信原则。个人信息处理者只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理敏感个人信息。《敏感信息安全要求》在该规定基础上细化了多项要求供企业直接参照适用,我们试整合梳理如下:
(一)收集处理敏感个人信息的合法性、正当性、必要性
1. 收集处理敏感个人信息的合法性
(1)告知-同意机制
a. 基于个人同意处理敏感个人信息的,应取得个人信息主体的单独同意。单独同意的形式不限(如个人信息主体主动完成填写提交、独立页面/电话/短信等方式告知并由个人作出肯定性动作),但应达到破除“无感知收集”“一揽子授权/捆绑授权”和“强迫收集”不利现状的效果。
b. 法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。书面同意的方式,可由个人信息处理者以纸质或数字电文等有形地表现所载内容,并由个人信息主体通过主动签名、签章和电子签名等形式取得个人同意。
(2)处理已公开的敏感个人信息
《敏感信息安全要求》特别要求个人信息处理者不应通过技术手段自动收集互联网网站页面和移动互联网应用程序传输、存储和显示的敏感个人信息,我们理解,该规定是基于敏感个人信息可能带来的影响后果,对自动采集的数据类型进行了统一限制,明确禁止自动化收集敏感个人信息。但是,该规定并不意味着个人信息处理者不得处理已公开的敏感个人信息。《个人信息保护法》第二十七规定,个人信息处理者可依法在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息,但个人明确拒绝的除外。处理已公开的敏感个人信息,经评估对个人权益有重大影响的,应取得个人的单独同意。我们理解,个人信息处理者在处理已公开的敏感个人信息前进行个人信息保护影响评估,若识别出的风险能够通过采取安全整改措施,降低安全事件发生可能性和对个人权益影响程度,仍可能依据《个人信息保护法》第十三条获取处理公开个人信息的合法性基础。
(3)敏感个人信息出境和公开
我国对敏感个人信息出境有特殊监管要求,依据《促进和规范数据跨境流动规定》《网络数据安全管理条例》有关规定,除了绝对豁免情形外,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证,提供1万人以上敏感个人信息的就应申报数据出境安全评估。《促进和规范数据跨境流动规定》第六条明确自贸区可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(“负面清单”)。天津、北京、海南、上海、浙江等地已相继制定数据出境负面清单,不同程度减轻或豁免了不同领域不同场景下敏感个人信息出境合规义务,例如依据上海自贸区2024年版负面清单,在商贸领域(零售与餐饮业、住宿业)会员管理场景下,自当年1月1日起累计向境外提供 10万人以下的敏感个人信息,可免于进行标准合同备案或保护认证。依据网信办2025年4月的数据出境安全管理政策问答,针对同一领域,如果已经有自贸试验区发布负面清单,其余自贸试验区可以参照执行,不再重复制定。我们理解,自贸区内数据处理者应关注所在领域负面清单,寻求适用负面清单(不限于自身所在的自贸区)的可能性,降低敏感个人信息出境企业合规成本。
(4)其他敏感个人信息处理合法性要求
a. 生物识别信息:个人信息处理者处理生物识别信息,应在保证业务功能的基础上,对所收集的生物识别信息直接进行特征和摘要信息提取。我们理解,实践中,企业常收集的生物识别信息主要为人脸信息、指纹信息,个人信息处理者应尽量满足前述特征提取要求,删除原始图像或视频,将极大降低数据的敏感程度和泄露危害。
b. 医疗、金融等特定领域敏感个人信息:个人信息处理者收集处理医疗健康信息、金融账户信息等特定领域的敏感个人信息的,还应当遵循医疗、金融领域个人信息的特别规定要求,根据个人信息的敏感程度和对个人信息主体可能造成的影响进行分类分级管理和保护,并采取加密、权限控制、去标识化等措施保护所处理的信息。
2. 收集处理敏感个人信息的正当性
(1)个人信息处理规则公开
个人信息处理者不应隐瞒产品或服务所具有的收集敏感个人信息的功能,应通过隐私政策等方式明确收集敏感个人信息的类型、范围、目的、收集敏感个人信息的必要性和对个人权益的影响。个人信息处理规则是监管部门和第三方评估机构对个人信息处理者的个人信息处理活动进行监督、管理和评估的重要抓手。目前,“隐私政策”已基本成为APP/SDK等移动应用的标配,但事实上鱼龙混杂,符合《个人信息保护法》第十七条“显著方式”“清晰易懂”“真实、准确、完整”要求的屈指可数,“隐私政策”多流于形式,或难以寻找或佶屈聱牙,内容上或未完整披露收集处理目的、方式、范围,或描述需要收集的个人信息超出相关功能的必要范围,或未制定专门的未成年人个人信息处理规则、或个人信息主体权利行使渠道止于纸面等。2025年是个人信息保护系列专项行动年[1],各地网信部门、工信部通管局以及公安部计算机信息系统安全产品质量监督检验中心、国家计算机病毒应急处理中心等监管单位已陆续通报移动应用违法违规收集使用个人信息情况,认定依据主要为网信办等四部门2019年发布的《App违法违规收集使用个人信息行为认定方法》。其中,多项违规问题与个人信息处理规则(隐私政策、“双清单”)有关。我们理解“隐私政策”是企业个人信息处理合规成本相对较低的一部分,因此,收集处理大量个人信息的企业应持续关注监管部门的监管通报,自查自纠,至少在隐私政策方面基本合规,做到易得和易懂。
(2)诚信原则
个人信息处理者不应自行或借助他人帮助,通过欺诈、诱骗、误导和胁迫等方式收集敏感个人信息,或通过非法渠道购买敏感个人信息。
(3)目的禁止
a. 不应基于任何违反法律法规规定的目的收集敏感个人信息,不应利用所收集的敏感个人信息从事任何违反法律法规的行为。违反法律法规规定的目的包括但不限于非法买卖、提供或公开他人个人信息,从事危害国家安全和公共利益的个人信息处理活动,侵犯他人的知识产权或人格权等行为。
b. 不应为网络暴力、侮辱诽谤、电信网络诈骗、敲诈勒索和侵犯公民个人信息等犯罪活动收集敏感个人信息,或将所收集的敏感个人信息用于上述犯罪活动。
3. 收集处理敏感个人信息的必要性
“必要性”是个人信息处理者处理个人信息应当遵循的核心原则之一,法律要求收集处理敏感个人信息应当具备“充分的必要性”,即要求达到“不处理该敏感个人信息,则处理目的根本无法实现”的程度。并且,个人信息处理者应向个人信息主体告知处理敏感个人信息的必要性以及对个人权益的影响,保障个人的“充分知情权”和“自愿选择权”。《敏感信息安全要求》特别强调从以下角度评估必要性:
(1)可替代性
收集一般个人信息可实现处理目的的,不应收集敏感个人信息;
(2)对应性
所收集的敏感个人信息应与个人信息主体所使用的业务功能或服务场景对应,不应一次性捆绑收集多项敏感个人信息;收集的敏感个人信息也仅能应用于当前使用的业务功能或服务场景,其他业务功能或服务场景下使用所收集的敏感个人信息的,仍需重新取得单独同意或适用其他合法性基础。
(3)APP/SDK收集敏感个人信息特殊要求
APP运营者需按照《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》要求,遵守最小必要原则。仅收集“必要个人信息”,不收集“无关个人信息”,只有在用户选择使用扩展业务功能时才收集“非必要但有关联的个人信息”。例如,地图导航类APP需收集的必要个人信息为位置信息、出发地、到达地,持续收集个人信息主体地理位置信息的,辅以收集时间戳和其他信息加工处理,能构成个人信息主体的行踪轨迹,相关APP运营者应提供持续提示机制,如以浮窗、弹窗、语音、振动和状态栏图标等形式提醒个人信息主体当前地理位置正在被收集。
(二)个人信息主体权利保障
1. 建立便捷的个人行使权利的申请受理和处理机制,并在承诺时限内(不得超过15个工作日)受理并处理。
2. 基于个人同意处理敏感个人信息的,个人信息处理者应为个人信息主体提供便捷的撤回同意的方式,同时宜向个人信息主体说明撤回同意可能对个人产生的影响。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
3. 个人信息处理者应建立敏感个人信息删除机制并提供个人信息主体更正、删除其敏感个人信息的便利机制,不得为更正、删除个人信息或用户账户注销流程中设置不合理的条件或提出额外要求。触发个人信息删除机制情形主要包括:处理目的已实现、无法实现,或为实现处理目的不再必要;个人信息处理者停止提供产品或服务,或保存期限已届满;个人撤回同意;个人信息处理者违反法律和行政法或违反约定处理个人信息。法律和行政法规规定需要留存敏感个人信息的,个人信息处理者应在法律法规规定的保存期限届满后及时删除或匿名化处理。
三、个人信息处理者应采取的特殊安全措施
(一)制度建设
(1)制定专门管理制度和操作规程
依据《敏感信息安全要求》,个人信息处理者应针对敏感个人信息制定专门管理制度和操作规程,明确敏感个人信息处理相关方安全职责,建立敏感个人信息处理授权审批流程,对敏感个人信息的内部共享、对外提供、公开、批量查询、明文显示、下载和输出等重要操作进行审批和全流程数据处理安全要求。我们理解,相应制度包括但不限于《个人信息保护制度》《个人信息保护影响评估制度》《个人信息保护合规审计制度》《个人信息安全事件应急处置制度》《个人信息主体权利行使响应制度》《个人信息存储删除策略》《个人信息安全工程制度》等,同时,若企业处理的敏感个人信息规模(10万人以下)较小,可在既有的个人信息管理制度中增加敏感个人信息处理要求相关内容即可。
(2)建立敏感个人信息目录
个人信息处理者应对其收集处理的敏感个人信息进行分类管理,建立敏感个人信息目录并及时更新。我们理解,企业建立的敏感个人信息目录应当明确敏感个人信息类别、数据项、数据格式、数据更新频率以及处理目的、使用条件等信息。
(二)人员管理
1. 任命个人信息保护负责人
依据《个人信息保护合规审计管理办法》,处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人。根据《敏感信息安全要求》,处理10万人以上敏感个人信息的,应任命个人信息保护负责人和管理机构,负责对个人信息处理活动及采取的保护措施等进行监督。个人信息保护负责人应当具备个人信息保护专业知识和相关管理工作经历,由处理者管理层成员担任。《个人信息安全规范》(GB/T 35273-2020)对此亦有专门规定。
2. 关键岗位人员安全管理
企业应将具有敏感个人信息操作权限的人员(如HR部门人员、IT运维人员等)作为关键岗位人员进行安全管理,我们理解,企业应对相关人员进行从入职、履职到离职进行全流程管理,包括但不限于进行入职前的针对性背景调查、要求其签署保密协议和个人信息处理安全责任书并持续履行安全保密义务、及时回收处理权限(基于业务所必需的最小类型和数量)等。此外,依据《网络数据安全管理条例》第二十八条、第三十条,处理1000万人以上个人信息的网络数据处理者,应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训。审查时,可以申请公安机关、国家安全机关协助。
(三)技术手段
(1)去标识化处理
根据《敏感信息安全要求》和相关行业标准,特定身份信息、医疗健康信息、金融账户信息等敏感个人信息在产品和内部系统显示时,应默认进行去标识化处理。确需完整显示的,应进行个人信息主体或授权人员身份验证。去标识化的敏感个人信息应作为一般个人信息进行保护,匿名化处理后的个人信息除外。如按国家和行业数据分类分级保护有关规定,达到一定规模的敏感个人信息被认定为重要数据,应按重要数据进行保护。
(2)加密隔离存储、访问控制、高危行为监测预警
a. 敏感个人信息应加密存储和加密传输,采用的密码算法和密码技术应符合相关密码国家标准和行业标准,或密码管理部门有关规定。使用加密技术处理敏感个人信息,解密操作与加密操作应分别授权,用于加密和解密的密钥存放在符合相关密码国家标准和行业标准的密码产品中。
b. 敏感个人信息与可识别个身份的信息分开存储,去标识化的敏感个人信息与可用于恢复识别个人的信息分开存储。对敏感个人信息删除或匿名化处理效果进行评估,已删除或匿名化处理的敏感个人信息不应被还原。
c. 采取措施保障敏感个人信息字段级访问控制,原则上结构化数据权限申请应能细化到表的字段,非结构化数据权限申请应能细化到文件字段。敏感个人信息显示界面应添加包括访问主体标识和访问时间等内容的水印,涉及集中显示的,应默认禁用复制、打印和截屏等功能。
d. 应建立敏感个人信息安全风险监测预警和响应机制,对超出业务正常需求的异常操作(如频繁或大量敏感个人信息浏览查询、下载和打印、非工作时间作等)及时响应。定期梳理可访问敏感个人信息的应用和数据接口,应采用身份鉴别、访问控制、最小授权、安全通道、加密传输和时间戳等安全措施。
e. 规划建设涉及敏感个人信息的产品服务时,宜按 GB/T41817开展个人信息安全工程实践,同步规划、同步建设、同步部署和同步使用个人信息安全措施。
注释
