《信息安全技术 敏感个人信息处理安全要求》.pdf

ICS 35.030 CCS L 80 中华人 民共和 国国家标准 GB/T XXXXX—XXXX 信息安全技术 敏感个人信息处理安全要求 Information securitytechnology—Securityrequirementsforprocessingofsensitive personalinformation （征求意见稿） （本稿完成时间：2023年8月8 日） XXXX-XX-XX发布 XXXX-XX-XX实施 GB/T XXXXX—XXXX 信息安全技术 敏感个人信息处理安全要求 1 范围 本文件给出了敏感个人信息界定方法，规定了敏感个人信息处理安全要求。 本文件适用于规范个人信息处理者的敏感个人信息处理活动，也可为监管部门、第三方评估机构对 个人信息处理者开展敏感个人信息处理活动进行监督、管理、评估提供参考。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本 （包括所有的修改单）适用于本 文件。 GB/T 25069—2022 信息安全技术 术语 GB/T 35273—2020 信息安全技术 个人信息安全规范 GB/T 37964—2019 信息安全技术 个人信息去标识化指南 GB/T 37988—2019 信息安全技术 数据安全能力成熟度模型 GB/T 39725—2020 信息安全技术 健康医疗数据安全指南 GB/T 39335—2020 信息安全技术 个人信息安全影响评估指南 3 术语和定义 GB/T 25069-2022、GB/T 35273—2020界定的以及下列术语和定义适用于本文件。 3.1 个人信息 personal information 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的 信息。 [来源：GB/T 35273—2020,3.1，有修改] 3.2 敏感个人信息 sensitive personal information 一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人 信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周 岁未成年人的个人信息。 [来源：GB/T 35273—2020,3.2，有修改] 3.3 个人信息处理者 personal information processor 自主决定处理目的、处理方式的组织、个人。 [来源：GB/T 35273—2020,3.4，有修改] 1 GB/T XXXXX—XXXX 3.4 个人信息主体 personal information subject 个人信息已识别或者可识别的自然人。 [来源：GB/T 35273—2020,3.3，有修改] 3.5 个人信息处理活动 personal information processing activities 个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动。 3.6 特定身份信息 personal information of specific identities 对个人人格尊严和社会评价有重大影响的身份信息。 注：主要包括民族、种族、犯罪记录、残障人士身份信息、身份证件号码等。 4 缩略语 下列缩略语适用于本文件。 API：应用程序编程接口 （Application ProgrammingInterface） 5 敏感个人信息界定