对敏感个人信息的保护是我国《个人信息保护法》中规定的重要内容。由于其与个人人格尊严、人身及财产安全有着极为密切的联系，处理此类个人信息可能产生重大风险，《个人信息保护法》就敏感个人信息的处理作出专门规定。如今，上位法逐渐健全的同时，可落地的标准化实践指引也在制定过程中。

6月11日，全国网络安全标准化技术委员会发布《网络安全标准实践指南—敏感个人信息识别指南（征求意见稿）》（下称《识别指南》），试图明确敏感个人信息识别方法、常见敏感个人信息类别并提供示例，为敏感个人信息处理、出境和保护工作等提供参考。公开征求意见的截止日期为6月24日前。

《识别指南》提到，其制定过程参照了全国信息安全标准化技术委员于去年8月发布的《信息安全技术 敏感个人信息处理安全要求》征求意见稿，该征求意见稿拟针对七类常见敏感个人信息的处理提出特殊安全要求等。《识别指南》在这一拟出台国家标准的基础上，进一步就敏感个人信息的识别方法进行细化。

《识别指南》拟规定，一旦遭到泄露或者非法使用，容易导致自然人的人格尊严、人身安全、财产安全任一条件受到危害的，应识别为敏感个人信息。这是三种识别敏感个人信息的一般标准。

具体而言，维护个人的人格尊严包括维护生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权以及其他人格权益。比如，容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入他人网络账户、贩卖个人信息、电信诈骗、损害个人名誉、歧视性差别待遇等。

《识别指南》还强调，既要考虑单项敏感个人信息识别，也要考虑多项一般个人信息汇聚或融合后的整体属性，分析其一旦泄露或非法使用可能对个人权益造成的影响。如果符合上述敏感个人信息一般识别标准，应将汇聚或融合后的个人信息整体参照敏感个人信息进行保护。

为进一步指导个人信息处理者识别处理敏感个人信息，《识别指南》拟给出常见敏感个人信息类别目录以及示例。

常见敏感个人信息共八类，包括生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人的个人信息、其他敏感个人信息。

其中，生物识别信息包括个人基因、人脸、声纹、步态、指纹、掌纹、眼纹、耳廓、虹膜等；金融账户信息包括个人的银行、证券、基金、保险、公积金等账户的账号及密码，公积金联名账号、支付账号、银行卡磁道数据（或芯片等效信息）以及基于账户信息产生的支付标记信息、个人收入明细等。

另外，特定身份信息指对个人人格尊严和社会评价有重大影响或有其他不适宜公开的身份信息，尤其指可能导致社会歧视的特定身份信息。比如残障人士身份信息，军人、警察等不适宜公开的职业身份信息。

值得一提的是，其他敏感个人信息示例涉及的范围更广，精准定位信息、身份证照片、性取向、性生活、征信信息、犯罪记录信息、展示个人身体私密部位的照片或视频信息等均被划分在内。

采写：南都记者 樊文扬

编辑：李玲

对这篇文章有想法？跟我聊聊吧

樊文扬

李玲