敏感个人信息处理新国标！四大核心问题合规提要

2023年8月9日，全国信安标委发布国家推荐性标准《信息安全技术 敏感个人信息处理安全要求》（征求意见稿）（以下简称《标准》），面向社会公开征求意见。《标准》从敏感个人信息的界定、敏感个人信息处理通用安全要求以及特殊安全要求方面进行了细致的规定。可以预见的是，《标准》正式发布后，将成为个人信息处理者处理敏感个人信息最重要的合规依据。

引言

此前，个人信息处理者主要依据《GB/T 35273—2020信息安全技术 个人信息安全规范》（以下简称GB/T 35273）、《GB/T 37964-2019 信息安全技术 个人信息去标识化指南》（以下简称GB/T 37964）以及《TC260-PG-20212A网络安全标准实践指南—网络数据分类分级指引》（以下简称TC260）开展敏感个人信息识别和处理工作。

针对敏感个人信息处理中的告知和同意的实施要求，《GB/T 42574—2023信息安全技术 个人信息处理中告知和同意的实施指南》（以下简称GB/T 42574）即将于2023年12月1日起实施。

本文将结合《标准》、GB/T 35273、GB/T 42574、GB/T 37964以及TC260发布的相关规定，为读者解答敏感个人信息处理过程中的四大核心问题，以供参考。

一、如何识别敏感个人信息

个人信息处理者开展个人信息处理活动前，应进行敏感个人信息的识别工作。准确识别敏感信息，是个人信息处理者落实个人信息保护义务的重要前提条件。

识别敏感个人信息应重点从个人信息遭到泄露或者非法使用后，是否容易导致个人主体的人格尊严、人身安全以及财产安全受到侵害进行判断，存在前述任一种情形的，则应判定为敏感个人信息。根据上述规定，识别敏感个人信息可具体考虑如下因素：

1）判断是否可能直接侵害个人信息主体的人格尊严。例如，特定身份、医疗健康、犯罪记录等信息属于一旦泄露即侵害人格尊严的敏感个人信息。

2）判断是否可能由于社会偏见、歧视性待遇而间接侵害个人信息主体的人格尊严。例如因个人种族、宗教信仰、性取向遭到歧视性待遇。

3）判断是否可能直接或间接危害个人信息主体的人身、财产安全。例如，泄露、非法使用家庭住址、家属关系等家庭相关信息，可能会为入室抢劫或绑架等犯罪所利用；个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

值得特别关注的是，《标准》针对如何判断汇聚融合后的个人信息是否属于敏感个人信息亦进行了规定，指出汇聚融合的个人信息如遭到泄露或者非法使用容易对个人权益造成较大影响的，应判断个人信息整体具有敏感个人信息属性。

此外，《标准》以附录形式列举了常见的敏感个人信息类别，我们结合GB/T 35273以及TC260发布的有关标准，将常见的敏感个人信息类别汇总整理如下：

二、如何评估收集敏感个人信息的必要性

“具有特定的目的和充分的必要性”是个人信息处理者处理敏感个人信息的重要前提要求。《App违法违规收集使用个人信息行为认定方法》《GB/T 41391-2022信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》以及GB/T 42574对于前述原则的进行了规定。《标准》在此基础上，进一步针对处理敏感个人信息的必要性进行了明确规定，具体包括：

1）个人信息处理者如可以通过收集非敏感个人信息实现处理目的，其不应收集敏感个人信息；

2）个人信息处理者收集敏感个人信息的，应仅在个人信息主体使用业务功能期间收集，且仅能收集该业务功能所需的敏感个人信息；

3）个人信息处理者应当按照业务功能或服务场景，分项收集敏感个人信息，即排除个人信息处理者采取“一揽子”或以“概括”而不区分功能、场景的方式收集敏感个人信息。

三、敏感个人信息的告知-同意

01 收集敏感个人信息中告知的实施

在告知方式方面，根据GB/T 42574的要求，收集敏感个人信息应采取“增强告知”的方式。《标准》亦延续此方式。增强告知的方式需凸显与一般告知方式的差异，包括单独弹窗、短信、填写框、动画、转至单独提示界面、电话以及语音提示等方式。

在收集提示方面，《标准》规定了对于利用App不间断的连续收集敏感个人信息的，个人信息处理者应当提供持续提示和间隔提示的机制，如导航类App可以通过浮窗、语音或震动等方式提示个人信息主体持续收集地理位置信息。

在告知内容方面，个人信息处理者应向个人信息主体告知其身份和联系方式等基本情况，处理目的、处理方式以及必要性，敏感个人信息的种类、保存期限、对个人权益的影响以及行权的方式和途径。

在特殊要求方面，《标准》要求如紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应在紧急情况消除后及时告知。此外，对于个人信息处理者所提供的服务明确不再收集敏感个人信息时或不承担敏感个人信息保护责任时，应对个人信息主体进行提示。我们理解，此处可参照GB/T 42574中有关“即时提示”的规定。

02 授权同意的实施要求

处理敏感个人信息的合法性基础为取得个人单独同意或根据相关法律、法规取得个人书面同意。对于处理已公开的敏感个人信息的情形，《标准》要求如经评估对个人权益有重大影响的，也应取得个人的单独同意。

在单独同意的实施方面，单独同意可以由个人信息主体主动完成填写提交，也可通过设置独立页面、电话、短信等向个人信息主体进行告知并支持个人通过点击、分项勾选等肯定性动作作出同意表示。根据GB/T 42574，个人信息处理者还需重点注意如下要求：

1）特定业务功能涉及多个需要单独同意的情形时，可向个人提供可分项选择同意的机制，不以默认勾选、提前点亮、缩小字号、淡化字色等方式干扰、影响个人对单独同意的判断；

2）单独同意所针对的处理活动需针对具体且独立的目的或业务功能，避免一揽子取得个人同意；

3）如个人拒绝给出单独同意或撤回作出的单独同意的，需确保不会影响单独同意范围之外的其他业务功能。

在书面同意的实施方面，书面同意可以由个人信息处理者以纸质或数字电文等有形地表现所载内容，并由个人信息主体通过主动签名、签章等形式取得个人同意。《标准》以附录形式提供了取得个人书面同意模板。根据GB/T 42574，个人信息处理者还需重点注意如下要求：

1）不得以采取个人点击确认、点击同意、上传提交、登录使用或配合拍照等表示同意的方式取得个人的书面同意；

2）应根据产品或服务的业务功能特点，以及个人的使用习惯、隐私偏好等，选择易于展示、便于操作的书面同意具体实施方案，例如，个人在纸质界面、电子硬件载体、网页交互式界面或对话框上进行手写签名、签章等。

四、处理敏感个人信息应采取哪些安全保护措施

根据《个人信息保护法》的规定，处理敏感个人信息应当采取严格的保护措施。《标准》从安全保护要求和安全管理要求层面，针对敏感个人信息的全流程需采取的保护措施进行了细致的规定，一定程度上弥补了《个人信息保护法》关于敏感个人信息安全保护措施的空白。我们主要梳理了《标准》中的重要安全措施要求，具体而言：

1）在敏感个人信息传输方面，个人信息处理者应确保接收方的个人信息保护能力不低于其自身，且传输敏感个人信息宜采用通道加密与内容加密相结合的方式进行，并定期评估传输方式的安全情况，对于存在API的情形，应定期梳理应用及API资产清单，并对其传输敏感个人信息情况进行审计；

2）在敏感个人信息存储方面，个人信息处理者应将经过加密、去标识化处理后的敏感个人信息应与解密密钥、其他个人信息等分开存储，对于存储环境按照就高从严原则设定安全保护措施；

3）在敏感个人信息访问方面，个人信息处理者应控制角色权限，按照业务流程触发操作授权，定期对操作日志进行审计，建立异常监测预警和响应机制，针对敏感个人信息展示界面宜添加包括访问主体标识、访问时间等内容的水印，宜默认禁用复制、打印、截屏等功能；

4）在敏感个人信息删除方面，个人信息处理者应定期评估敏感个人信息删除或匿名化处理效果，确保已删除或匿名化处理的敏感个人信息不具备还原能力，建立敏感个人信息过期自动删除机制；

5）在安全管理要求方面，个人信息处理者应对敏感信息进行分类管理，达到一定量级的敏感个人信息应参照重要数据进行保护，并开展个人信息保护影响评估，满足数据出境安全评估的，应依法开展申报工作。