在数据分类分级框架下进行的数据合规、数据跨境等工作,常常会遇到一个实操问题:何为敏感个人信息?9月18日,全国网络安全标准化技术委员会发布《网络安全标准实践指南——敏感个人信息识别指南》(以下简称《指南》),提出了敏感个人信息识别规则以及常见敏感个人信息类别和示例,为敏感个人信息处理和保护工作提供参考。
此前,国家标准GB/T 35273《信息安全技术 个人信息安全规范》在资料性附录中对个人敏感信息判定给出了示例。GB/T 35273已对敏感个人信息明确了定义,即一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。根据这一定义,《指南》对常见敏感个人信息进行了列举,对GB/T 35273中的示例进行了细化、调整和修改。比如,将GB/T 35273列为“其他信息”的宗教信仰、行踪轨迹分别单列,将“个人身份信息”调整为“特定身份信息”,对医疗健康信息、金融账户信息的示例进一步细化。
值得注意的是,与GB/T 35273列举的“个人身份信息”相比,《指南》将范围缩小至“特定身份信息”,即包括残障人士身份信息以及不适宜公开的职业身份信息等,同时将身份证照片列为其他敏感个人信息。GB/T 35273中提到的身份证、护照、驾驶证、工作证、居住证,《指南》示例中并未提及。
敏感个人信息的示例中未纳入身份证号,是不是放松了对身份证号的保护?有资深专家分析,这并不意味着对身份证号的保护标准有所降低,不是一种合规让步。近年来已经构建起一系列个人信息保护的法规、标准,对包括身份证号在内的个人信息数据安全、脱敏、加密等方面作出了详细规定,安全保护措施要求不能打折扣。
根据个人信息保护法的规定,处理敏感个人信息时需要遵守“单独同意”原则。不过,在实际生活中,许多用户在被收集身份证号时,虽然是在单独页面上填写,而且填写的动作会被视作法律上“同意”。但其实用户并没有其他选项,不一定是真正自愿地提供了身份证号;可如果不填,就无法获得服务。上述专家表示,在这种情况下,比起“单独同意”,要求个人信息处理者严格遵守合法性基础和必要性原则,更为关键。即,是否真的有必要收集用户身份证号,需要进一步厘清。
《指南》带来的影响还体现在数据跨境领域。今年3月22日国家网信办发布的《促进和规范数据跨境流动规定》中明确,关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供1万人以上敏感个人信息的,应当向国家网信部门申报数据出境安全评估;不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。《指南》为敏感个人信息的识别认定提供了更具可操作性的方法,给出了明确的示例,将有助于降低数据跨境的合规成本。