炼石整理-《网络安全标准实践指南—敏感个人信息识别指南》-修订对照稿.docx

4

1范围

本实践指南提出给出了敏感个人信息识别方法，给出了规则以及常见敏感个人信息的类别和示例。

本实践指南可用于指导各组织识别敏感个人信息范围，也可为敏感个人信息处理、出境和保护工作提供参考。

2术语与定义

2.1个人信息

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

注：个人信息不包括匿名化处理后的信息。

[来源：GB/T35273—2020,3.1，有修改]

2.2敏感个人信息

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。

注：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

[来源：GB/T35273—2020,3.2，有修改]

2.3个人信息主体

个人信息所标识或关联的自然人。

[来源：GB/T35273—2020,3.3]

2.4个人信息处理者

在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

[来源：GB/T35273—2020,3.4，有修改]

3敏感个人信息识别规则

个人信息处理者应按照以下规则，识别敏感个人信息。

a）符合以下任一条件的个人信息，应识别为敏感个人信息：

1）个人信息一旦遭到泄露或者非法使用，容易导致自然人的人格尊严受到侵害；

注1：维护个人的人格尊严包括维护生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权以及其他人格权益。容易导致自然人人格尊严受到侵害的情形可能包括“人肉有哪些信誉好的足球投注网站”、非法侵入他人网络账户、贩卖个人信息、电信诈骗、损害个人名誉、歧视性差别待遇等。注2：例如歧视性差别待遇可能因个人信息主体可能会因的特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露遭到歧视性待遇导致。

2）个人信息一旦遭到泄露或者非法使用，容易导致自然人的人身安全受到危害；

注32：例如泄露、非法使用个人的行踪轨迹信息，可能会造成导致个人信息主体的人身安全受到损害危害。

3）个人信息一旦遭到泄露或者非法使用，容易导致自然人财产安全受到危害。

注43：例如泄露、非法使用金融账户信息，可能会造成个人信息主体的财产损失。

b）按照本实践指南第4章和附录A，识别收集、产生的常见敏感个人信息，常见敏感个人信息类别示例见本实践指南附录A。

注5：根据用户4：如有充分理由和证据表示处理的个人信息推断其敏感个人信息，推断出的信息也属于达不到a）中条件的，可不识别为敏感个人信息。

c）既要考虑单项敏感个人信息识别，也要考虑多项一般个人信息汇聚或融合后的整体属性，分析其一旦泄露或非法使用可能对个人权益造成的影响，如果符合a）所述条件，应将汇聚或融合后的个人信息整体参照敏感个人信息进行识别与保护。

d）法律法规规定为敏感个人信息的，从其规定。

4常见敏感个人信息

常见敏感个人信息包括以下类别，具体类别中的敏感个人信息示例见附录A。

a）生物识别信息：也称生物特征识别信息，是指对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。

注1：生物识别信息可参考GB/T40660、GB/T41819、GB/T41807、GB/T41773、GB/T41806等生物识别信息安全国家标准。

b）宗教信仰信息：与个人信仰的宗教、宗教组织、宗教活动相关的个人信息。

c）特定身份信息：对个人人格尊严和社会评价有重大影响或有其他不适宜公开的身份信息，特别是那些可能导致社会歧视的特定身份信息。

d）医疗健康信息：与个人的医疗就诊、身体或心理健康状况相关的个人信息。

注2：个人过去、现在或未来的健康状况均属于医疗健康信息。

e）金融账户信息：与个人的银行、证券等账户和账户资金交易相关的个人信息。

f）行踪轨迹信息：与个人所处个人在一定期间内因为所处具体地理位置、活动地点和活动轨迹等相关的个人的移动变化而形成的连续轨迹信息。

注3：个人过去、现在的行踪轨迹均属于行踪轨迹信息2：特定职业（外卖员、快递员等）用于实现服务履约场景下除外。

g）不满十四周岁未成年人的个人信息。

h）其他敏感个人信息：除以上信息外，其他一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的常见个人信息。

6

附录A常见敏感个人信息类别示例

常见敏感个人信息见表A.1。

表A.1常见敏感个人信息

类别

典型示例

生物识别信息

个人基因[注1]、人脸[注2]、声纹[注3]、步态[注4]、指纹、掌纹、眼纹、耳廓、虹膜等生物识别信息

宗教信仰信息

个人信仰的宗教、加