8?月?9?日，全國信息安全標準化技術委員會公開發布關于國家標準《信息安全技術?敏感個人信息處理安全要求》（征求意見稿）（以下簡稱《標準》）的通知，面向社會廣泛征求意見。

《標準》的制定背景是為支撐《個人信息保護法》第二節敏感個人信息的處理規則的落地實施，《標準》針對醫療健康、金融賬戶、行蹤軌跡等敏感個人信息，明確數據處理者進行收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理活動的安全要求，重點針對采集必要性、安全保護、脫敏規則、告知同意等方面提出要求。

近年來，涉及對醫療健康、行蹤軌跡、金融賬戶等敏感個人信息的非法收集與使用等典型案件不勝枚舉，依托于互聯網的各類應用程序（App），如移動支付、網約車、在線問診掛號、線上借貸等業務運營均需要以用戶的敏感個人信息為依托。首先，背后支撐這些業務的數據湖倉、業務系統中必然涉及到大量的敏感個人信息數據處理活動。其次，無論是湖倉數據開發和探索，或是數據平臺和業務系統的數據運維，必然存在自然人對敏感個人信息的直接訪問。第三，采用生態合作和數據委托方式加速業務的同時，必然存在對敏感個人信息的跨組織和地域的供給或共享。

原點安全技術專家認為，隨著監管要求的收緊和監管粒度的深化，敏感個人信息保護與利用、流通的矛盾日益突出，本次《標準》征求意見稿的推出，是主管部門對于個人信息保護的更進一步要求；同時，作為個人信息處理者，以敏感個人信息為核心及切入點，以理清敏感個人信息的數據收集和存儲狀態為基礎，在場景化數據應用過程中，綜合利用且無縫銜接基于敏感數據標簽的訪問控制、脫敏、加密、控權、行為分析等技術手段，從業務和安全兩個維度的一體化視角構建整體方案，能更清晰、更具體地做好個人信息保護，在數據保護與利用之間，尋找到適合自身的平衡，提升企業數據利用能力，釋放數據產能。

《標準》與有關法律、行政法規和相關標準的關系？

《標準》符合現有法律法規的要求。

《個人信息保護法》第二章第二節規定了敏感個人信息的處理規則。第二十八條規定，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。

《信息安全技術?個人信息安全規范》規定了開展收集、存儲、使用、共享、轉讓、公開披露、刪除等個人信息處理活動應遵循的原則和安全要求；同時規定了個人敏感信息的傳輸和存儲等內容。

敏感個人信息與個人信息處理者如何定義與識別？

01 定義

敏感個人信息

sensitive?personal?information

定義：一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

個人信息處理者

personal?information?processor

定義：自主決定處理目的、處理方式的組織、個人。

02?識別方法

個人信息處理者在進行個人信息處理前，應按照以下方法識別敏感個人信息。符合以下任一屬性的，應識別為敏感個人信息：

1. 個人信息遭到泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害；

   示例 1：個人信息主體可能會因特定身份、犯罪記錄、宗教信仰、性取向、特定疾病和健康狀態等信息泄露遭到歧視性待遇。

2. 個人信息遭到泄露或者非法使用，容易導致自然人的人身安全受到危害;

3. 個人信息遭到泄露或者非法使用，容易導致自然人的財產安全受到危害；

   示例 2：泄露、非法使用金融賬戶信息及其相關的鑒別信息（如支付口令），可能會造成個人信息主體的財產損失。

處理敏感個人信息應采取哪些安全保護措施？

根據《個人信息保護法》的規定，處理敏感個人信息應當采取嚴格的保護措施。《標準》從安全保護要求和安全管理要求層面，針對敏感個人信息的全流程需采取的保護措施進行了細致的規定，一定程度上彌補了《個人信息保護法》關于敏感個人信息安全保護措施的空白。

《標準》中關于敏感個人信息處理基本要求：

處理敏感個人信息應具有特定的目的和充分的必要性，取得個人的單獨同意，應在滿足 GB/T35273—2020?《信息安全技術?個人信息安全規范》要求的基礎上，在收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理的各個環節采取嚴格保護措施。

具體而言應從以下幾點開展：

1. 在敏感個人信息收集環節，個人信息處理者在收集敏感個人信息前，收集非敏感個人信息可以實現處理目的的，不應收集敏感個人信息；應僅在個人信息主體使用業務功能期間，收集該業務功能所需的敏感個人信息；應按照業務功能或服務場景，分項收集敏感個人信息。

2. 在敏感個人信息使用環節，個人信息處理者應遵循所約定的處理目的、處理方式開展敏感個人信息處理活動，并對處理情況進行記錄；應在個人信息接收方的個人信息保護能力不低于個人信息處理者的條件下傳輸敏感個人信息；

3. 在敏感個人信息傳輸環節，互聯網傳輸敏感個人信息時，應至少采用通道加密方式進行傳輸，宜采用通道加密與內容加密兩種加密方式結合進行，通道加密和內容加密算法應符合有關行業技術標準與行業主管部門有關規定要求；應定期評估或驗證敏感個人信息傳輸方式的安全狀況，網絡環境發生重大變化時，應及時調整安全策略；應定期梳理應用及 API 資產清單，定期針對應用及 API 傳輸敏感個人信息情況進行審計；

4. 在敏感個人信息存儲環節，個人信息處理者應將經過加密、去標識化處理后的敏感個人信息應與解密密鑰、其他個人信息等分開存儲；對于敏感個人信息存儲環境按照就高從嚴原則設定安全保護措施，應建立異常監測和分析能力，對出現的異常情況進行及時響應，動態調整安全保護措施。

5. 在敏感個人信息訪問環節，應在對角色權限控制的基礎上，按照業務流程的需求觸發操作授權，定期針對敏感個人信息的訪問、修改、刪除、導出等操作進行日志審計；建立異常監測預警和響應機制，對超出業務正常需求的異常操作（如頻繁、大量敏感個人信息瀏覽查詢、下載、打印，非工作時間操作等）應采取中斷操作，并通過郵件、消息、彈窗等形式進行告警，開展分析調查，提前排除隱患；

6. 在敏感個人信息刪除方面，個人信息處理者應定期評估敏感個人信息刪除或匿名化處理效果，確保已刪除或匿名化處理的敏感個人信息不具備還原能力；應建立敏感個人信息過期自動刪除機制，法律、行政法規規定需要留存敏感個人信息的，應在到期后及時刪除。

7. 在安全管理要求方面，要求敏感個人信息處理者對敏感個人信息實行分類管理，按照有關規定，達到一定量級的敏感個人信息，應參照重要數據進行保護；并建立敏感個人信息安全管理策略，對敏感個人信息的處理行為進行識別、審批、記錄、審計；開展個人信息保護影響評估，并對處理情況進行記錄；數據安全能力應達到GB/T 37988—2019 《信息安全技術?數據安全能力成熟度模型》三級及以上能力要求；規劃建設涉及敏感個人信息處理產品和服務時，宜參考 GB/T41817—2022 《信息安全技術?個人信息安全工程指南》開展個人信息安全工程實踐，同步規劃、同步建設、同步部署、同步使用個人信息安全措施。處理敏感個人信息超過1萬條、涉及個人信息跨境傳輸的，應開展數據出境風險自評估，并通過所在地省級網信部門向國家網信部門申報數據出境安全評估。

敏感個人信息處理有哪些特殊安全要求？

此前，國家網信辦針對人臉識別信息發布了專門的安全管理規定征求意見稿，以規范人臉識別信息的處理活動。《標準》亦對于不同類型的常見敏感個人信息類別進行了特殊安全要求：

常見敏感個人信息類別

常見敏感個人信息的特殊安全要求

《標準》中參考的相關文件

[1]?GB/T?35274-2017?信息安全技術?大數據服務安全能力要求

[2]?GB/T?37973-2019?信息安全技術?大數據安全管理指南

[3]?GB/T?41391-2022?信息安全技術?移動互聯網應用程序（App）收集個人信息基本要求

[4]?GB/T?42574-2023?信息安全技術?個人信息處理中告知和同意的實施指南

一體化數據安全平臺可實現組織內敏感數據發現與數據分類分級，并形成敏感數據資產目錄；在此之上提供一體化的敏感數據訪問控制、數據權限管控、數據動態脫敏、敏感數據訪問審計等功能，滿足數據安全管控、個人信息保護和數據出境安全合規要求，讓企業的數據更安全，合規更高效。

數據安全平臺可涵蓋企業數據安全管理常見手段及管理方式，包括數據資產盤點管理，敏感數據識別、數據分類分級；數據庫防火墻、數據審計，數據庫安全審計、云數據庫審計、API?審計；敏感數據脫敏，數據脫敏、數據動態脫敏、實時脫敏，敏感數據訪問監督；數據庫安全防護、數據庫運維管控、云數據庫安全運維，數據庫權限管理設置、訪問權限設置、數據訪問治理，達到細粒度權限管控，做好數據安全運營，防止敏感數據泄露，滿足數據合規與業務合規要求。