2023年8月,北京高院召开新闻通报会表示“2018年以来,北京全市各级法院共审结219件侵犯公民个人信息犯罪案件,其中24.6%的案件涉及高度敏感个人信息,9.9%的案件涉及敏感个人信息。”同月,全国信息安全标准化技术委员会发布《信息安全技术敏感个人信息处理安全要求(征求意见稿)》(以下简称“《要求》”),面向社会公开征求意见。本文将结合《要求》的具体规定,对敏感个人信息处理活动中需关注的要点内容进行梳理。
一、什么是敏感个人信息?如何识别?
《个人信息保护法》(以下简称“《个保法》”)第28条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。常见敏感个人信息如下表所示。
根据前述定义可知,敏感个人信息的识别应考虑这些信息被泄露或遭到非法利用时,可能给信息主体带来的潜在危害。具体而言,个人信息处理者需重点判断以下几方面:
1.是否会侵害个人信息主体的人格尊严。某些信息的泄漏可能会使个人受到社会歧视或侮辱。例如,特定身份、犯罪记录、特定疾病等信息如果被泄露或非法使用,可能会损害个人的社会地位和声誉,导致其遭受歧视性待遇。
2.是否会危害个人信息主体的人身安全。泄露特定类型的信息,例如未成年人的行踪轨迹,可能会将他们置于不法分子的视线中,进而对其人身安全造成实质性的危害。
3.是否会危害个人信息主体的财产安全。银行账户、鉴别信息(口令)、消费记录等财产信息的泄露,可能会直接导致经济损失,诸如盗刷、诈骗等风险显著增加。
《要求》在遵循现有法律框架的基础上,进一步强调对汇聚融合后的个人信息进行整体属性判断的要求,即个人信息处理者不应仅依赖于示例内容判定敏感个人信息,而应全面考虑个人信息融合后被泄露或非法使用后可能对个人权益带来的影响程度。
二、处理敏感个人信息应遵守哪些规定?
在处理敏感个人信息时,企业需要严格遵守法律法规和相关标准,以确保个人信息主体的权益得到充分保护。以下梳理了部分关键规定和标准:
法律 | 《个人信息保护法》 | 第二章第二节 |
行政法规 | 第四章 | |
全文 | ||
部门规章 | 全文 | |
第四条 | ||
第三十四条 | ||
推荐性国家标准 | 《信息安全技术个人信息安全规范》(GB/T 35273-2020) | |
《信息安全技术人脸识别数据安全要求》(GB/T 41819-2022) | ||
《信息安全技术步态识别数据安全要求》(GB/T 41773-2022) | ||
《信息安全技术声纹识别数据安全要求》(GB/T 41807-2022) | ||
《信息安全技术基因识别数据安全要求》(GB/T 41806-2022) | ||
《信息安全技术生物特征识别信息保护基本要求》(GB/T 40660-2021) | ||
《信息安全技术敏感个人信息处理安全要求》征求意见稿 | ||
三、敏感个人信息处理的基本安全要求
(一)收集必要性
根据《个保法》的规定,个人信息处理者处理敏感个人信息时,应严格遵守目的限制、最小必要和安全保护三大原则,即“具有特定的目的和充分的必要性,并采取严格保护措施”。这意味着,在能够通过其他非敏感个人信息实现处理目的的情况下,应避免收集敏感个人信息。以考勤打卡为例,企业可以要求员工使用门禁卡进行签到,而无需涉及员工的脸部识别、指纹识别或精准位置信息等敏感信息。
此外,《要求》强调敏感个人信息的收集应严格限定在“使用业务功能期间”以及“该业务功能所必需的范围内”。为进一步强化对敏感个人信息保护的力度,《要求》提出,个人信息处理者应根据不同的业务功能或服务场景,细化并分别收集所需的敏感信息,确保收集行为的针对性和适当性。
(二)告知同意
《个保法》第29条规定,处理敏感个人信息应当取得个人的单独同意。《信息安全技术个人信息安全规范》(以下简称“《安全规范》”)第5.4条进一步提出,收集个人敏感信息前,应征得个人信息主体的明示同意,并确保个人信息主体的明示同意是在其完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。
为确保个人信息主体“完全知情”,个人信息处理者应采用增强告知形式,通过单独弹窗、填写框、动画等方式告知个人信息主体。在告知内容方面,除提供个人信息处理者的身份和联系方式外,还应说明信息处理目的、处理方式及必要性、涉及敏感个人信息类型、存储期限,以及对个人权益产生的影响。同时,还应明确告知个人信息主体如何行使自己的权利,包括但不限于访问、更正、删除等。
值得关注的是,《要求》第6.3.1 b)条规定,个人信息处理者利用App持续收集敏感个人信息的(如录音、录像等),应提供持续提示或间隔提示机制。例如,出行导航类应用持续追踪用户地理位置信息时,应通过浮窗、弹窗、语音提示或振动等形式,在一定时间间隔后提醒用户其位置信息正在被使用。这一规定旨在进一步加强对个人信息主体知情权的保护,并确保敏感个人信息的处理过程具有适当的透明度。这种对透明度和用户知情权的强调,同样也是国际监管实践的一部分。例如,2023年9月,谷歌因欺骗用户,在未经用户知情同意的情况下,收集、存储用户地理位置数据,被美国加州监管部门处以9300万美元的罚款,并被要求在启用与地理位置相关的账户设置时,向用户显示更多信息。

(来源:DataGuidance官方网站[1])
关于敏感个人信息处理的单独同意实施要点,个人信息处理者可参考《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023),确保同意的过程具体、清晰明确,避免采用笼统的“一揽子同意”方式。此外,《要求》特别强调,在处理已公开的敏感个人信息之前,个人信息处理者还需进行评估工作。如果评估结果表明该处理活动可能对个人的权益造成重大影响,则必须在处理前获得个人的单独同意。
(三)安全保护要求
根据《个保法》《安全规范》以及《要求》的规定,个人信息处理者处理敏感个人信息时,应遵守以下安全保护要求:
1. 加密传输敏感个人信息。通过互联网传输敏感个人信息时,可采用通道加密与内容加密相结合的方式进行。如果采用密码技术加密的,还应遵守密码管理有关要求,例如《密码法》《商用密码管理条例》等。
2. 分开存储并设置保护措施。根据《安全规范》的要求,个人生物识别信息应与个人身份信息分开存储。同时,经过加密、去标识化处理后的敏感个人信息应与解密密钥、其他个人信息等分开存储。对于敏感个人信息的存储环境,应按照就高从严原则设定安全保护措施。
3. 定期评估和审计。个人信息处理者应定期评估或验证敏感个人信息传输方式的安全状况,当网络环节发生重大变化时,应及时调整安全策略。同时,个人信息处理者还应定期针对敏感个人信息的访问、修改、删除、导出等操作进行日志审计,以防范风险。
4. 建立预警响应机制。个人信息处理者应对敏感个人信息处理活动建立检测预警和响应机制,及时中断超出业务需求的异常操作(如频繁、大量浏览、下载、打印敏感个人信息等),并通过弹窗、邮件等形式进行告警,开展分析调查。
5. 完善界面展示情况。《要求》提出,敏感个人信息展示界面宜添加包括访问主体标识、访问时间等内容的水印,同时默认禁止复制、打印、截屏、录屏等功能。
6. 定期梳理应用及API资产清单。对于敏感个人信息处理活动中涉及到的API,建议企业定期对其调用情况进行审计,包括但不限于调用方、调用时间、调用接口名称、调用结果等。
7. 完善敏感个人信息删除机制。在用户账户注销过程中,如果需要采集敏感个人信息以验证身份,必须明确收集此类信息后的处理方式,并在目的达成后采取删除或匿名化处理等措施。此外,个人信息处理者还应及时评估并确保已删除或匿名化处理的敏感个人信息不具备还原能力,彻底消除潜在的安全风险。
8. 采取严格访问控制措施。对于敏感个人信息的访问、修改等操作,应在基于角色权限控制的前提下进行,并根据业务流程的需求来触发相应的操作权限。例如,只有当客户需要进行账户查询或贷款申请时,授权的服务代表或贷款审批人员才能访问客户的账户详情。
(四)安全管理要求
首先,个人信息处理者应对敏感个人信息实行分类管理,建立敏感个人信息安全管理策略,对全生命周期的处理行为进行识别、审批、记录和审计。同时,《个保法》第55条对敏感个人信息处理者还提出了“开展个人信息保护影响评估”的要求,有关主体可参照《信息安全技术个人信息安全影响评估指南》(GB/T 39335-2020)开展评估工作。
其次,《要求》第6.5条提出,如按照有关规定,达到一定量级的敏感个人信息,应参照重要数据进行保护。根据《汽车数据安全管理若干规定(试行)》第三条,涉及个人信息主体超过10万人的个人信息属于重要数据。然而,关于敏感个人信息需达到的具体量级要求目前尚未明确,仍有待于后续相关规定的进一步阐释和指导。目前,关于敏感个人信息处理的数量规模,可以参考的现有规定和标准如下:
《数据出境安全评估办法》第4条规定,自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
《个人信息出境标准合同办法》第4条规定,个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当满足“自上年1月1日起累计向境外提供敏感个人信息不满1万人”的条件。
《人脸识别技术应用安全管理规定(试行)(征求意见稿)》第16条规定,在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。
《个人信息安全规范》第11.1条规定,处理超过10万人的敏感个人信息的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作。
最后,对于敏感个人信息处理者的数据安全能力,《要求》明确规定应达到《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019)三级及以上能力要求,即在组织级别实现了安全过程的规范执行,具备明确的组织建设、制度流程、技术工具和人员能力。
四、敏感个人信息处理的特殊安全要求
(一)生物识别信息
个人信息处理者处理生物识别信息,应遵守《信息安全技术生物特征识别信息保护基本要求》(GB/T 40660-2021)的规定。同时,还应采用明确提示方式向个人告知,确保所采集的生物识别信息不包含其他敏感个人信息,如所采集的图片应避免包含身份证号码、账户密码等信息。除法律法规另有规定外,个人信息处理者不应以生物识别信息处理作为唯一的身份识别方式。
(二)宗教信仰信息
关于宗教信仰信息,个人信息处理者应遵守宗教组织的信息披露要求,不得收集未经宗教组织或个人授权同意的信息。未经个人单独同意,个人信息处理者不得提供、公开个人宗教信仰或特殊宗教习俗。此外,《要求》进一步规定,处理者不得使用个人宗教信仰、特殊宗教习俗等宗教信仰信息构建用户画像。
(三)特定身份信息
特定身份信息的采集应遵守目的限制和最小必要原则,确需收集此类信息的,应在验证特定身份后立即删除。特定身份信息的展示应采用去标识化方式,如需完整展示的,还需个人信息主体或授权人员的身份验证。与宗教信仰信息的处理要求类似,个人信息处理者未经单独同意,不得提供、公开已识别的特定身份信息。此外,个人信息处理者被禁止使用该类信息构建用户画像或用于个性化推荐。
(四)医疗健康信息
个人信息处理者应根据《信息安全技术健康医疗数据安全指南》(GB/T 39725-2020)处理个人的医疗健康信息,对其进行分类分级管理和保护。同时,个人信息处理者还应对患者医疗数据建立相应的访问控制权限审批机制,脱敏展示医疗健康信息。如需将此类信息用于临床研究、医药研发,还应按照《信息安全技术个人信息去标识化指南》(GB/T 37964-2019)进行去标识化处理。
(五)金融账户信息
关于金融账户信息的处理要求,个人信息处理者应注意以下几点:
1. 根据金融账户信息的敏感程度以及对个人信息主体可能造成的影响进行分类分级管理和保护;
2. 通过受理终端、客户端应用软件、浏览器等方式收集金融账户信息时,应使用加密等技术措施保证数据的保密性;
3. 不应留存非本机构的个人金融账户相关个人信息主体鉴别信息,确有必要留存的,应取得个人信息主体及账户管理机构的授权;
4. 受理终端、个人终端及客户端应用软件均不应存储银行卡磁道数据(或芯片等效信息)、银行卡有效期、卡片验证码(CVN 和CVN2)、银行卡密码、网络支付密码等支付敏感信息及个人生物识别信息的样本数据,仅可保存完成当前交易所必需的基本信息要素,并在完成交易后及时删除;
5. 对于银行卡号或其他识别标识信息等可以直接或组合后确定个人信息主体的信息应脱敏展示金融账户信息,确需完整展示的,应进行个人信息主体身份验证。金融账户信息去标识化展示示例参见下图。

(来源:《信息安全技术敏感个人信息处理安全要求(征求意见稿)》)
(六)行踪轨迹信息
在持续收集行踪轨迹信息时,个人信息处理者应注意提示用户信息收集状态,保障信息主体的知情权。同时,处理者应避免标注行踪轨迹涉及的已知国家敏感位置区域。如果业务功能仅收集地理位置信息,但加工信息包含经纬度、时间范围、地点空间等元数据,则应与地位置信息同等要求。最后,通过界面展示行踪信息时,应采取去标识化处理等措施,以保护个人隐私。
(七)不满十四周岁未成年人信息
对于不满十四周岁未成年人信息,个人信息处理者应进行单独存储管理,制定专门的个人信息处理规则,并设置专门的核验机制。鉴于不同产品或服务在受众群体上的本质差异,不同产品或服务应采取不同强度的核验方式。常见核验方式包括自主填写信息、提供身份证照片、进行人脸识别等。个人信息处理者还应遵循《儿童个人信息网络保护规定》《信息安全技术个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)等相关法规与标准,采取相应的合规措施。
五、法律责任
《个人信息保护法》第六十六条规定,违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。
有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额5%以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的,非法获取、出售或者提供住宿信息、通讯记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的,即构成刑法规定的侵犯公民个人信息罪中的“情节严重”,处三年以下有期徒刑或者拘役,并处或者单处罚金。
[1]https://www.dataguidance.com/news/california-ag-announces-93m-settlement-google-regarding
