网络安全标准实践指南
敏感个人信息识别指南
2024
I
1
1
目录
目录
TOC\o1-3\h\u101121范围 1
31272术语与定义 1
289572.1个人信息 1
307132.2敏感个人信息 1
139982.3个人信息主体 1
258222.4个人信息处理者 1
119873敏感个人信息识别规则 2
228031)一旦遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害; 2
289032)一旦遭到泄露或者非法使用,容易导致自然人的人身安全 2
63693)一旦遭到泄露或者非法使用,容易导致自然人财产安全受 2
309754常见敏感个人信息 3
7475附录A 常见敏感个人信息类别示例 5
15582表A.1常见敏感个人信息 5
PAGE
PAGE1
范围
本实践指南给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例。
本实践指南可用于指导各组织识别敏感个人信息,也可为敏感个人信息处理和保护工作提供参考。
术语与定义
个人信息
以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。
[来源:GB/T35273—2020,3.1,有修改]
敏感个人信息
一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。
注:敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
[来源:GB/T35273—2020,3.2,有修改]
个人信息主体
个人信息所标识或关联的自然人。
[来源:GB/T35273—2020,3.3]
个人信息处理者
在个人信息处理活动中自主决定处理目的、处理方式的组织、个
人。
[来源:GB/T35273—2020,3.4,有修改]
敏感个人信息识别规则
个人信息处理者应按照以下规则,识别敏感个人信息。
符合以下任一条件的个人信息,应识别为敏感个人信息:
一旦遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害;
注1:容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入网络账户、电信诈骗、损害个人名誉、歧视性差别待遇等。歧视性差别待遇可能因个人信息主体的特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露导致。
一旦遭到泄露或者非法使用,容易导致自然人的人身安全
受到危害;
注2:例如泄露、非法使用个人的行踪轨迹信息,可能会导致个人信息主体的人身安全受到危害。
一旦遭到泄露或者非法使用,容易导致自然人财产安全受
到危害。
注3:例如泄露、非法使用金融账户信息,可能会造成个人信息主体的财产损失。
按照本实践指南第4章识别收集、产生的常见敏感个人信息,
常见敏感个人信息类别示例见本实践指南附录A。
注4:如有充分理由和证据表示处理的个人信息达不到a)中条件的,可不识别为敏感个人信息。
既要考虑单项敏感个人信息识别,也要考虑多项一般个人信息汇聚或融合后的整体属性,分析其一旦泄露或非法使用可能对
个人权益造成的影响,如果符合a)所述条件,应将汇聚或融合后的个人信息整体参照敏感个人信息进行识别与保护。
法律法规规定为敏感个人信息的,从其规定。
常见敏感个人信息
常见敏感个人信息包括以下类别。
生物识别信息:也称生物特征识别信息,是指对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。
注1:生物识别信息可参考GB/T40660、GB/T41819、GB/T41807、GB/T41773、GB/T41806等生物识别信息安全国家标准。
宗教信仰信息:与个人信仰的宗教、宗教组织、宗教活动相关的个人信息。
特定身份信息:对个人人格尊严和社会评价有重大影响或有其他不适宜公开的身份信息,特别是那些可能导致社会歧视的特定身份信息。
医疗健康信息:与个人的医疗就诊、身体或心理健康状况相关的个人信息。
金融账户信息:与个人的银行、证券等账户和账户资金交易相关的个人信息。
行踪轨迹信息:个人在一定期间内因为所处具体地理位置、活
动地点和活动轨迹的移动变化而形成的连续轨迹信息。
注2:特定职业(外卖员、快递员等)用于实现服务履约场景下除外。
不满十四周岁未成年人的个人信息。
其他敏感个人信息:除以上信息外,其他一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的常见个人信息。
附录A 常见敏感个人信息类别示例
常见敏感个人信息见表A.1。
表A.1常见敏感个人信息
类别
典型示例
生物识别信息
个人基因[注1]、人脸[