为筑牢敏感个人信息处理安全防线，近期，国家市场监督管理总局、国家标准化管理委员会发布推荐性国家标准‌《数据安全技术 敏感个人信息处理安全要求》（下称《要求》），将于今年11月1日起正式实施。

南都记者注意到，《要求》由全国网络安全标准化技术委员会提出并归口，该文件明确敏感个人信息识别和界定标准，规定了敏感个人信息处理通用和特殊安全要求。其不仅适用于个人信息处理者开展敏感个人信息处理活动，也适用于监管部门和第三方评估机构对敏感个人信息处理活动进行监督、管理和评估。

敏感个人信息指一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或人身财产安全受到危害的个人信息。去年9月，全国网络安全标准化技术委员会发布《网络安全标准实践指南——敏感个人信息识别指南》，将生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人的个人信息以及其他敏感个人信息归为八类常见敏感个人信息，《要求》也使用此定义。

在通用安全要求方面，《要求》从收集、告知、同意、安全保护措施多个层面作出规定。从告知来看，个人信息处理者在收集敏感个人信息前，应采用单独弹窗、短信、填写框、动画、转至单独提示界面和语音播报等方式向个人进行告知；持续收集敏感个人信息的，宜提供持续提示或间隔提示机制。比如，出行导航类需持续收集个人信息主体地理位置信息的，以浮窗、弹窗、语音、振动和状态栏图标等形式提醒个人信息主体当前地理位置正在被收集。

从同意来看，基于个人同意进行处理的，个人信息处理者应在处理敏感个人信息前，取得个人信息主体的单独同意；多项敏感个人信息处理活动，应按处理目的和业务功能为个人信息主体提供单独同意机制；单项敏感个人信息被用于多个处理目的或业务功能的，不应捆绑取得同意。

安全保护措施是个人信息处理者保障敏感个人信息安全的一道重要屏障。《要求》提出，应建立敏感个人信息处理授权审批流程，对敏感个人信息的内部共享、对外提供、公开、批量查询、明文显示、下载和输出等重要操作进行审批；在涉及敏感个人信息处理的新应用使用前，对其进行个人信息保护影响评估,评估报告应保存三年；对敏感个人信息处理和操作情况进行记录并保存三年。

此外，敏感个人信息显示界面应添加包括访问主体标识和访问时间等内容的水印，涉及集中显示的，应默认禁用复制、打印和截屏等功能；对敏感个人信息删除或匿名化处理效果进行评估，经该处理的敏感个人信息不应被还原。

《要求》还对八类敏感个人信息处理提出特殊安全要求。

例如基于生物识别信息进行身份识别时，应同时提供不基于生物识别信息的其他替代可选身份识别方式，并不应将基于生物识别信息的方式作为默认选项；在保证实现业务功能的基础上，应对所收集的生物识别信息直接进行特征和摘要信息提取；实现处理目的后，应删除所收集的原始生物识别信息，如原始图像、图片和视频等。

处理金融账户信息时，通过受理终端、客户端应用软件和浏览器等方式收集金融账户信息时，应使用加密等技术措施；受理终端和客户端应用软件均不应存储银行卡磁道数据（或芯片等效信息）、银行卡有效期、卡片验证码、银行卡密码和网络支付口令等支付敏感信息及个人生物识别信息的样本数据，仅可保存完成当前交易所必需的基本信息要素，并在完成交易后及时删除；去标识化场景应覆盖客户交易页面显示、业务管理页面显示和日志打印显示等，应在前端和服务器端均实现。

另外，值得一提的是，《要求》还提到，不应使用残障人士身份信息、不适宜公开的职业身份信息等个人特定身份信息构建用户画像和用于个性化推荐。

采写：南都记者 樊文扬

编辑：李玲

本文作者

樊文扬

3643W

南方都市报记者

李玲

3.64亿

南方都市报记者