9月18日,全国网络安全标准化技术委员会发布《网络安全标准实践指南——敏感个人信息识别指南》。该指南给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例,可用于指导各组织识别敏感个人信息,也可为敏感个人信息处理和保护工作提供参考。
什么是敏感个人信息?
1.个人信息:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。
2.敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。其中,容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入网络账户、电信诈骗、损害个人名誉、歧视性差别待遇等。
敏感个人信息有哪些?
敏感个人信息包括以下8种。
1.生物识别信息:也称生物特征识别信息,是指对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。生物识别信息包括个人基因、人脸、声纹、步态、指纹、掌纹、眼纹、耳廓、虹膜等。
2.宗教信仰信息:与个人信仰的宗教、宗教组织、宗教活动相关的个人信息,如个人信仰的宗教、加入的宗教组织、宗教组织中的职位、参加的宗教活动、特殊宗教习俗等。
3.特定身份信息:对个人人格尊严和社会评价有重大影响或有其他不适宜公开的身份信息,特别是那些可能导致社会歧视的特定身份信息,如残障人士身份信息、不适宜公开的职业身份信息等。
4.医疗健康信息:与个人的医疗就诊、身体或心理健康状况相关的个人信息。
一是与个人的身体或心理的伤害、疾病、残疾、疾病风险或隐私有关的健康状况信息(个人的体重、身高、血型、血压、肺活量等基本体质信息,如果与个人的疾病和医疗就诊无关,则可认为不属于敏感个人信息范畴),如病症、既往病史、家族病史、传染病史、体检报告、生育信息等。
二是在疾病预防、诊断、治疗、护理、康复等医疗服务过程中收集和产生的个人信息,如医疗就诊记录(如医疗意见、住院志、医嘱单、手术及麻醉记录、护理记录、用药记录)、检验检查数据(如检验报告、检查报告)等。
5.金融账户信息:与个人的银行、证券等账户和账户资金交易相关的个人信息,包括个人的银行、证券、基金、保险、公积金等账户的账号及密码,公积金联名账号、支付账号、银行卡磁道数据(或芯片等效信息)以及基于账户信息产生的支付标记信息、个人收入明细等。
6.行踪轨迹信息:个人在一定期间内因为所处具体地理位置、活动地点和活动轨迹的移动变化而形成的连续轨迹信息(外卖员、快递员等特定职业用于实现服务履约场景下除外),包括连续精准定位轨迹信息、车辆行驶轨迹信息、人员活动轨迹信息等。
7.不满十四周岁未成年人的个人信息。
8.其他敏感个人信息:除以上信息外,其他一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的常见个人信息,如身份证照片、征信信息、犯罪记录信息等。
来源:保密科学技术公众号
初审:孙同正
复审:王 楠
终审:刘志远