敏感个人信息识别指南正式版发布,个人信息保护合规要求更明确


引言


9月14日,全国网络安全标准化技术委员会秘书处发布《网络安全标准实践指南——敏感个人信息识别指南》。



2020 年发布的国标文件 GB/T 35273《信息安全技术 个人信息安全规范》中提到关于敏感个人信息的示例,本次公开的《敏感个人信息识别指南》详细规定了敏感个人信息的识别规则、常见敏感个人信息类别及其示例,进一步明确了敏感个人信息的内涵和外延,有助于推动各方在正确识别和保护敏感个人信息方面取得更多共识。


本文就该指南要点、识别规则、文字版及正式稿与征求意见稿对比、技术措施建议等方面进行梳理。



1

敏感个人信息识别规则




个人信息处理者应按照以下规则,识别敏感个人信息。


a) 符合以下任一条件的个人信息,应识别为敏感个人信息: 


1. 一旦遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害;


【注:容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入网络账户、电信诈骗、损害个人名誉、歧视性差别待遇等。歧视性差别待遇可能因个人信息主体的特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露导致。】 


2. 一旦遭到泄露或者非法使用,容易导致自然人的人身安全受到危害;


【注:例如泄露、非法使用个人的行踪轨迹信息,可能会导致个人信息主体的人身安全受到危害。】 


3. 一旦遭到泄露或者非法使用,容易导致自然人财产安全受到危害。


【注:例如泄露、非法使用金融账户信息,可能会造成个人信息主体的财产损失。】


如有充分理由和证据表示处理的个人信息达不到 a)中条件的,可不识别为敏感个人信息。


b) 按照本实践指南第 4 章“常见敏感个人信息”识别收集、产生的常见敏感个人信息,常见敏感个人信息类别示例见本实践指南附录 A。


c) 既要考虑单项敏感个人信息识别,也要考虑多项一般个人信息汇聚或融合后的整体属性,分析其一旦泄露或非法使用可能对个人权益造成的影响。如果符合 a)所述条件,应将汇聚或融合后的个人信息整体参照敏感个人信息进行识别与保护。


d) 法律法规规定为敏感个人信息的,从其规定。


2

常见的敏感个人信息类别




1.  生物识别信息也称生物特征识别信息,是指对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。


例如个人基因、人脸、声纹、步态、指纹、掌纹、眼纹、耳廓、虹膜等生物识别信息。


(注:相较于GB/T 35273(2020)文件中“生物识别信息”的示例,《敏感个人信息识别指南》增加了“步态”和“眼纹”,并将“面部识别特征”修改为了“人脸”,更为准确。)


2. 宗教信仰信息:与个人信仰的宗教、宗教组织、宗教活动相关的个人信息。


例如个人信仰的宗教、加入的宗教组织、宗教组织中的职位、参加的宗教活动、特殊宗教习俗等个人信息。


(注:GB/T 35273(2020)文件中,“宗教信仰信息”仅为“其他信息”类别中其中一个示例。而在《敏感个人信息识别指南》中,“宗教信仰信息”为单独一类,并给出了具体示例。)


3. 特定身份信息:对个人人格尊严和社会评价有重大影响或有其他不适宜公开的身份信息,特别是那些可能导致社会歧视的特定身份信息。


例如残障人士身份信息、不适宜公开的职业身份信息等个人信息。


(注:该类别为《敏感个人信息识别指南》新增,GB/T 35273文件中并没有该类别。)


4. 医疗健康信息:与个人的医疗就诊、身体或心理健康状况相关的个人信息。


例如(一)与个人的身体或心理的伤害、疾病、残疾、疾病风险或隐私有关的健康状况信息①,如病症、既往病史、家族病史、传染病史、体检报告、生育信息等;(二)在疾病预防、诊断、治疗、护理、康复等医疗服务过程中收集和产生的个人信息,如医疗就诊记录(如医疗意见、住院志、医嘱单、手术及麻醉记录、护理记录、用药记录)、检验检查数据(如检验报告、检查报告)等。(个人的体重、身高、血型、血压、肺活量等基本体质信息,如果与个人的疾病和医疗就诊无关,则可认为不属于敏感个人信息范畴。)


(注:GB/T 35273(2020)文件中将该类别称为“个人健康生理信息 ”并且将其定义为个人因生病医治等产生的相关记录,而在《敏感个人信息识别指南》中将该类别分两种情形详细举例。)


5. 金融账户信息:与个人的银行、证券等账户和账户资金交易相关的个人信息。


例如个人的银行、证券、基金、保险、公积金等账户的账号及密码,公积金联名账号、支付账号、银行卡磁道数据(或芯片等效信息)以及基于账户信息产生的支付标记信息、个人收入明细等个人信息。


(注:GB/T 35273(2020)文件中将该类别称为“个人财产信息 ”其中包括虚拟财产信息,而在《敏感个人信息识别指南》中的示例中删除了“虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息”。)


6. 行踪轨迹信息:个人在一定期间内因为所处具体地理位置、活动地点和活动轨迹的移动变化而形成的连续轨迹信息。


例如连续精准定位轨迹信息、车辆行驶轨迹信息、人员活动轨迹信息等个人信息。


(注:GB/T 35273(2020)文件中,“行踪轨迹”仅为“其他信息”类别中其中一个示例,而在《敏感个人信息识别指南》中,“行踪轨迹”为单独一类,并给出了具体示例。)


7. 不满十四周岁未成年人的个人信息。


(注:GB/T 35273(2020)文件中并没有这一列,而是在定义中指出:“通常情况下,14岁以下(含) 儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息”。而在该指南中明确将“不满十四周岁未成年人的个人信息”设为单独的一列。)


8. 其他敏感个人信息:除以上信息外,其他一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的常见个人信息。


例如精准定位信息、身份证照片、性取向、性生活、征信信息、犯罪记录信息、展示个人身体私密部位的照片或视频信息等个人信息。


3

全链路加强个人信息安全合规




在数据已成为推动经济发展与社会发展的关键要素的当下,对个人信息的保护已成为行业刚需和社会共识。面对日益复杂的数据环境与技术挑战,敏感个人信息识别与个人信息安全合规在实践中仍面临难题。原点安全建议建立从敏感数据发现、识别、保护、监督到治理的一体化协同技术保护措施,提升数据安全治理能力,满足数据安全与个人信息安全合规要求。


建立实时可视化的敏感数据目录


基于一体化数据安全平台 uDSP 主动探测和被动发现识别敏感数据类型,可自动识别和标注敏感数据类型和安全级别,构建全面实时的可视化敏感数据目录,清晰展示敏感数据所处位置(数据源、库、表、字段),并提供准确的数据分类和分级信息,全面掌握敏感数据资产动态,实时监测敏感数据增删改查,满足监管上报要求。


实施细粒度的敏感数据访问控制


企业可结合业务、数据保护、安全合规要求等维度的要求,将企业敏感数据、消费者个人信息纳入逻辑数据集合,根据敏感数据类型、控制动作、数据访问类型、有效时间、主体位置、执行路径等条件实施数据访问控制,依据“业务必需、最小权限、职责分离”的原则,只返回必要的敏感数据。有效阻断特权账号访问业务数据、业务系统账号越权访问、机构人员违规篡改消费者个人信息等行为。


采取敏感数据动态脱敏技术


动态脱敏能够在访问敏感数据的同时实时进行脱敏处理,企业可根据业务具体需求自定义脱敏模板灵活组合脱敏策略,既满足数据交付的合规要求,同时确保数据使用安全高效。如应用前端脱敏展示、机构人员未经授权查询数据自动脱敏、BI 数据分析及数据报告按需自动脱敏敏感数据等,根据业务应用用户名、应用访问路径配置不同的脱敏策略,灵活满足业务需求与监管要求。


加强数据安全审计能力建设


在发生数据安全事件后,事件的取证与还原十分关键。一体化数据安全平台 uDSP 数据安全审计能力支持“事后审计+数据访问轨迹追溯+安全合规分析”。通过监视应用/工具等主体对个人信息的访问行为,留痕访问过程和明细,监督异常、违规、风险等状况。有效阻断违规大批量访问敏感个人信息、账号共享、越权违规访问个人信息、敏感个人信息未经脱敏交付等行为,实时掌握个人敏感信息、业务应用系统、业务应用用户之间的关联关系,实现全链路流转轨迹追溯。