一、 引言
2024年9月18日,全国网络安全标准化技术委员会秘书处发布《网络安全标准实践指南——敏感个人信息识别指南》(以下简称“《实践指南》”)。该《实践指南》给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例,可用于指导敏感个人信息的识别,也可为敏感个人信息处理和保护工作提供参考。
二、 敏感个人信息识别方法
就敏感个人信息的识别,既要考虑单项敏感个人信息识别,也要考虑多项一般个人信息汇聚或融合后的整体属性:
1. 个人信息一旦遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害。容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入网络账户、电信诈骗、损害个人名誉、歧视性差别待遇等。歧视性差别待遇可能因个人信息主体的特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露导致。
2. 个人信息一旦遭到泄露或者非法使用,容易导致自然人的人身安全受到危害。例如泄露、非法使用个人的行踪轨迹信息,可能会导致个人信息主体的人身安全受到危害。
3. 个人信息一旦遭到泄露或者非法使用,容易导致自然人财产安全受到危害。例如泄露、非法使用金融账户信息,可能会造成个人信息主体的财产损失。
4. 按照《敏感个人信息识别指南》第4章和附录A,识别收集、产生的常见敏感个人信息。如有充分理由和证据表示处理的个人信息达不到前述1-3款条件的,可不识别为敏感个人信息。
三、 常见敏感个人信息和例外
(一)常见敏感个人信息类别和示例
常见敏感个人信息包括以下类别:生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人的个人信息和其他一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的常见个人信息。
类别 | 定义 | 典型示例 | 例外 |
生物识别信息 | 对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息 | 个人基因、人脸、声纹、步态、指纹、掌纹、眼纹、耳廓、虹膜等生物识别信息 | / |
宗教信仰信息 | 与个人信仰的宗教、宗教组织、宗教活动相关的个人信息 | 个人信仰的宗教、加入的宗教组织、宗教组织中的职位、参加的宗教活动、特殊宗教习俗等个人信息 | / |
特定身份信息 | 对个人人格尊严和社会评价有重大影响或有其他不适宜公开的身份信息,特别是那些可能导致社会歧视的特定身份信息 | 残障人士身份信息、不适宜公开的职业身份信息等个人信息 | / |
医疗健康信息 | 与个人的医疗就诊、身体或心理健康状况相关的个人信息 | 1. 与个人的身体或心理的伤害、疾病、残疾、疾病风险或隐私有关的健康状况信息,如病症、既往病史、家族病史、传染病史、体检报告、生育信息等; 2. 在疾病预防、诊断、治疗、护理、康复等医疗服务过程中收集和产生的个人信息,如医疗就诊记录(如医疗意见、住院志、医嘱单、手术及麻醉记录、护理记录、用药记录)、检验检查数据(如检验报告、检查报告)等; | 个人的体重、身高、血型、血压、肺活量等基本体质信息,如果与个人的疾病和医疗就诊无关,则可认为不属于敏感个人信息范畴 |
金融账户信息 | 与个人的银行、证券等账户和账户资金交易相关的个人信息 | 个人的银行、证券、基金、保险、公积金等账户的账号及密码,公积金联名账号、支付账号、银行卡磁道数据(或芯片等效信息)以及基于账户信息产生的支付标记信息、个人收入明细等个人信息 | / |
行踪轨迹信息 | 个人在一定期间内因为所处具体地理位置、活动地点和活动轨迹的移动变化而形成的连续轨迹信息 | 连续精准定位轨迹信息、车辆行驶轨迹信息、人员活动轨迹信息等个人信息 | 特定职业(外卖员、快递员等)用于实现服务履约场景下除外 |
不满十四周岁未成年人个人信息 | / | 不满十四周岁未成年人的个人信息 | / |
其他敏感个人 信息 | 其他一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的常见个人信息 | 精准定位信息、身份证照片、性取向、性生活、征信信息、犯罪记录信息(我国国家专门机关对犯罪人员的客观记载,如罪名、刑罚等记录)、展示个人身体私密部位的照片或视频信息等个人信息 | 通过IP地址等测算的粗略位置信息不是精准定位信息 |
(二)敏感个人信息的例外
1.基本体质信息
个人的体重、身高、血型、血压及肺活量等基本体质数据,若未与具体疾病诊断或医疗治疗直接关联,通常不被视为敏感个人信息的范畴。例如,XX运动健康APP利用内置传感器收集用户的心率、血压、血糖、血氧饱和度及心跳等生理指标,同时允许用户主动录入身高、体重及体脂率等数据,旨在辅助用户制定运动方案与进行健康管理,此过程并不涉及个人疾病或医疗诊断信息。《实践指南》为这类专注于运动健康管理的应用程序在收集个人信息不构成敏感个人信息的判定提供了依据。然而,实践中,这些基本体质数据常与其他类型的个人信息综合运用,其整体性质可能仍会触及敏感个人信息的边界。因此,尽管单一数据项或许不构成敏感信息,但在全面评估后,对其处理仍需保持高度的审慎态度。
2.特定职业的行踪轨迹信息
对于特定职业,如外卖员或快递员,其在履行服务过程中产生的行踪轨迹信息通常被认为不属于敏感个人信息。根据《美团骑手隐私政策》,美团APP会收集骑手的地理位置信息,以便为其展示附近订单、协助完成配送服务等。连续采集骑手在完成配送服务时的地理位置信息可用于生成行踪轨迹,以优化配送时间和路径,根据《实践指南》,生成的行踪轨迹并不属于敏感个人信息。
3.粗略位置信息
通过IP地址等测算的粗略位置信息不是精准定位信息,不属于敏感个人信息。许多应用程序利用IP地址,而非调用个人手机精准位置权限来提供位置相关的服务,如推荐本地活动或商家,但这些信息通常无法精确到个人的具体位置,故不属于敏感个人信息。
四、 处理规则和合规建议
本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。