《網絡安全標準實踐指南——敏感個人信息識別指南(征求意見稿)》解讀
作者:吳衛明 郭家豪 2024-06-142024年6月11日,全國網絡安全標準化技術委員會發布了《網絡安全標準實踐指南—敏感個人信息識別指南(征求意見稿)》(以下簡稱“征求意見稿”),旨在為敏感個人信息的識別工作提供具體指導。
征求意見稿的主要內容包括:敏感個人信息的識別規則,常見敏感個人信息的類別以及示例。本文將結合現有法律和國家標準,對征求意見稿的主要內容進行解讀,以供讀者參考。
一、敏感個人信息識別規則
2021年公布并施行的《個人信息保護法》對敏感個人信息進行了定義,即“敏感個人信息是一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。”
但《個人信息保護法》并未就敏感個人信息的識別工作給出具體的規則,亦未就敏感個人信息字段進行具體舉例,因此實務中敏感個人信息的識別工作仍相當程度上依賴2020年發布并實施的《信息安全技術 個人信息安全規范(GB/T 35273-2020)》(以下簡稱“《個人信息安全規范》”)。
《個人信息安全規范》雖在附錄B中對不同類別的敏感個人信息進行了舉例,但其給出的敏感個人信息識別規則仍比較模糊,致使實務中對于《個人信息安全規范》附錄B所列示敏感個人信息字段外的其他個人信息是否屬于敏感個人信息,缺乏更具操作性的通用性識別規則。本次征求意見稿則回應了實務難點,從方法論的層面對敏感個人信息的識別工作進行了通用性規定。
具體而言,根據征求意見稿,對敏感個人信息的識別工作可按以下三步路徑完成:
二、常見敏感個人信息類別
本次征求意見稿發布前,實務中敏感個人信息識別工作較多依賴的《個人信息安全規范》將敏感個人信息的分類為:個人財產信息、個人健康生理信息、個人生物識別信息、個人身份信息和其他信息。這與《個人信息保護法》在敏感個人信息定義中列舉的敏感個人信息類別并不一致,也在實務中對敏感個人信息的識別和后續的分類工作產生了一定困擾。
而此次征求意見稿亦解決了這個問題,征求意見稿列舉的敏感個人信息的類別與《個人信息保護法》保持一致。在此基礎上,征求意見稿對每個敏感個人信息類別進一步給出了具體的解釋。征求意見稿對敏感個人信息類別列舉如下:
①生物識別信息:也稱生物特征識別信息,是指對自然人的物理、生物或行為特征進行技術處理得到的、能夠單獨或者與其他信息結合識別該自然人身份的個人信息。
②宗教信仰信息:與個人信仰的宗教、宗教組織、宗教活動相關的個人信息。
③特定身份信息:對個人人格尊嚴和社會評價有重大影響或有其他不適宜公開的身份信息,特別是那些可能導致社會歧視的特定身份信息。
④醫療健康信息:與個人的醫療就診、身體或心理健康狀況相關的個人信息。
⑤金融賬戶信息:與個人的銀行、證券等賬戶和賬戶資金交易相關的個人信息。
⑥行蹤軌跡信息:與個人所處地理位置、活動地點和活動軌跡等相關的個人信息。
⑦不滿十四周歲未成年人的個人信息。
⑧其他敏感個人信息:除以上信息外,其他一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的常見個人信息。
三、常見敏感個人信息示例
在前述對敏感個人信息類別進行更新的基礎上,征求意見稿還對每一類敏感個人信息所包含的常見字段進行了列舉,增強其在敏感個人信息識別工作中的可操作性和易用性,具體如下:
對比《個人信息安全規范》中列舉的敏感個人信息字段,本次征求意見稿值得關注的要點包括:
(一)回應實務中敏感個人信息識別工作的爭議熱點
1.根據《個人信息安全規范》附錄B列舉,“身份證”屬于敏感個人信息。在實務中,對于身份證照片、身份證掃描件等材料應識別為敏感個人信息通常并無爭議,但對于單獨的一串“身份證號碼”數字,是否應識別為敏感個人信息則一直存在爭議。本次征求意見稿在對敏感個人信息的列舉中,明確規定“身份證照片”為敏感個人信息,排除了原《個人信息安全規范》的模糊之處。
2.根據《個人信息安全規范》附錄B列舉,“精準定位信息”屬于敏感個人信息。但在實務中對于何種精確程度的定位信息屬于“精準定位信息”亦存在一定爭議。本次征求意見稿明確提出,通過申請“安卓系統ACCESS_FINE_LOCATION權限”收集的位置信息即為精準定位信息,為“精準定位信息”的識別提供了一個可供參考的尺度。
3.根據《個人信息安全規范》附錄B列舉,“宗教信仰”屬于敏感個人信息。但由于《個人信息安全規范》并未就“宗教信仰”的范圍作進一步解釋說明,使得實務中對此“宗教信仰”的范圍理解各異。本次征求意見稿明確,宗教信仰信息的范圍包括:個人信仰的宗教、加入的宗教組織、宗教組織中的職位、參加的宗教活動、特殊宗教習俗等個人信息。
(二)回歸《個人信息保護法》定義,對實務中的理解偏差予以糾正
1.由于《個人信息安全規范》中,對“個人身份信息”的范圍列舉為“身份證、軍官證、護照、駕駛證、工作證、社保卡、居住證等”,其列舉方式導致實務中進行敏感個人信息識別時,容易僅聚焦于特定的“證件”,而忽視背后真正應當作為敏感個人信息保護的“身份”。但參考《個人信息保護法》對敏感個人信息之定義,應當被識別為敏感個人信息的是“特定身份”信息。即,一方面應當是“特定”的身份,另一方面是“身份”而非形式上的證件。本次征求意見稿明確了所謂“特定身份信息”為“對個人人格尊嚴和社會評價有重大影響或有其他不適宜公開的身份信息,特別是那些可能導致社會歧視的特定身份信息”,回歸了《個人信息保護法》對敏感個人信息的基本定義。
2.此外,由于《個人信息安全規范》中敏感個人信息類別包括了“個人健康生理信息”,其類別名稱也使得實務中對相關信息的認定邊界把握不準確。本次征求意見稿明確,個人的體重、身高、血型、血壓、肺活量等基本體質信息,如果與個人的疾病和醫療就診無關,則可認為不屬于敏感個人信息范疇。這亦是根據《個人信息保護法》對敏感個人信息的定義做出的合理延伸。根據《個人信息保護法》,“醫療健康”信息才屬于敏感個人信息,其 “醫療”之前綴即體現了進行此類別敏感個人信息認定時,應當關注待識別個人信息的應用場景和處理目的是否是醫療相關。
四、總結
隨著科技的不斷發展和個人信息處理場景的愈發復雜多樣,個人信息,特別是敏感個人信息的保護也面臨著更多新的挑戰。此次征求意見稿的發布,不僅回應了當前實務中對于敏感個人信息識別的諸多爭議和難點,還通過詳盡的分類和示例為個人信息處理者在處理敏感個人信息時提供了更為明確和操作性強的指導。我們也期待未來有更多法律法規和國家標準的出臺,進一步完善我國的敏感個人信息保護體系。
