欢迎点击上方 TMT法律论坛 关注我们
导读
News
★
NEWS
★
2024年9月18日,全国网络安全标准化技术委员会(以下简称“网安标委”)发布《网络安全标准实践指南——敏感个人信息识别指南》(以下简称“《敏感个人信息识别指南》”)。
敏感个人信息的识别问题至关重要。《个人信息保护法》就敏感个人信息处理规定了诸多合规义务,如要求具有特定的目的和充分的必要性、采取严格保护措施、向个人告知处理敏感个人信息的必要性以及对个人权益的影响、获得单独同意(如以“同意”为合法性基础)、开展个人信息保护影响评估(PIA)等。同时,敏感个人信息的识别及其出境量级的计算,也是确定数据出境机制的关键环节。
根据《个人信息保护法》第28条,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。《敏感个人信息识别指南》遵循该定义,进一步细化敏感个人信息定义中明确的识别标准:
容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入网络账户、电信诈骗、损害个人名誉、歧视性差别待遇等,歧视性差别待遇可能因个人信息主体的特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露导致;
容易导致自然人的人身安全受到危害,例如泄露、非法使用个人的行踪轨迹信息,可能会导致个人信息主体的人身安全受到危害;
容易导致自然人财产安全受到危害,例如泄露、非法使用金融账户信息,可能会造成个人信息主体的财产损失。
基于前述识别规则,《敏感个人信息识别指南》提供了常见敏感个人信息示例。我们将相关规范中对“常见敏感个人信息”的示例综合梳理至下表(可放大查看),供企业作资料性参考。
注:
基因信息即基因识别数据,具体可参考国家标准GB/T 41806-2022《信息安全技术 基因识别数据安全要求》。
人脸信息即人脸识别数据,具体可参考国家标准GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》。
声纹信息即声纹识别数据,具体可参考国家标准GB/T 41807-2022《信息安全技术 声纹识别数据安全要求》。
步态信息即步态识别数据,具体可参考国家标准GB/T 41773-2022《信息安全技术 步态识别数据安全要求》。
个人的体重、身高、血型、血压、肺活量等基本体质信息,如果与个人的疾病和医疗就诊无关,则可认为不属于敏感个人信息范畴。
通过调用个人手机精准位置权限采集的位置信息是精准定位信息,通过IP地址等测算的粗略位置信息不是精准定位信息,连续采集的精准定位信息可用于生成行踪轨迹。
犯罪记录,是指我国国家专门机关对犯罪人员的客观记载,如罪名、刑罚等记录。
值得注意的是,前述示例仅为常见参考,对敏感个人信息的识别,仍需结合处理场景,从定义(核心为泄露、非法使用的影响)出发进行认定。《敏感个人信息识别指南》亦明确:
如有充分理由和证据表示处理的个人信息达不到敏感个人信息定义中明确的识别标准的,可不识别为敏感个人信息,例如,特定职业(外卖员、快递员等)用于实现服务履约场景下的行踪轨迹信息不属于敏感个人信息;
既要考虑单项敏感个人信息识别,也要考虑多项一般个人信息汇聚或融合后的整体属性,如汇聚或融合后的个人信息整体达到敏感个人信息定义中明确的识别标准,应参照敏感个人信息进行识别与保护。
了解详情,请点击文末阅读原文。
回顾《敏感个人信息识别指南》征求意见稿,请点击此处。
回顾《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》,请点击此处。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪
