你的生物特征、医疗记录、金融账户、行踪轨迹……这些高度敏感的个人信息,如今有了更坚实的“安全锁”。
国家市场监督管理总局与国家标准化管理委员会联合发布《数据安全技术 敏感个人信息处理安全要求》(GB/T 45574—2025)(以下简称《标准》),将于2025年11月1日起正式实施。这一标准作为《个人信息保护法》的重要配套技术文件,为个人信息保护划出了清晰的“安全红线”。
这项新标准究竟如何守护我们的敏感个人信息?又有哪些关键点值得高度关注?
新标准首先明确了哪些属于“敏感个人信息”——一旦泄露或被非法使用,可能导致自然人的人格尊严、人身安全或财产安全受到侵害的信息。
值得注意的是,除了单项敏感个人信息识别以外,多项一般个人信息汇聚后发生数据泄露或非法使用,可能会对个人权益造成显著影响,同样会被认定为敏感个人信息。
《标准》明确划定了八大类重点保护的敏感信息:生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、以及不满足十四周岁未成年人的个人信息、其他敏感个人信息。
识别敏感个人信息只是第一步,更为关键的是如何保护。《标准》明确覆盖通用场景与特定数据类型全方位的安全防护要求,构建起全链条、多层次的敏感个人信息保护体系。
该体系从技术和管理两个层面双管齐下,针对敏感个人信息收集的合法性、收集要求、告知同意的规范性、安全保护要求等维度,均提出了详尽要求,旨在构建一道贯穿敏感个人信息全生命周期的严密防线。
在信息收集环节,《标准》设置了多道“安全闸门”:
目的明确:必须有特定目的和充分必要性。
公开透明:收集要公开透明,严禁欺诈、非法窃取或用于违法活动。
最小必要:坚持“非必要不收集”,仅限业务所需,分项采集,杜绝过度索取。
单独同意:必须通过弹窗、短信等显著方式告知用户,并取得用户的单独同意,不得“捆绑授权”。
特殊提示:公共场所安装图像采集设备,需设置显著提示标识,且收集的个人图像、身份识别信息只能用于维护公共安全。
便捷撤回:应提供便捷的同意撤回渠道。
安全保护方面,从制度流程、人员管理以及技术层面等多个维度都进行了详细规定,确保敏感个人信息在存储、使用、传输等各个环节的安全。
《数据安全技术 敏感个人信息处理安全要求》的颁布,标志着我国在敏感个人信息保护方面有了更清晰、更严格的要求。
但新国标的发布,对各行业而言,挑战才刚刚开始。从“纸面上的标准”到“行动上的合规”,各行业将面临一系列实际问题:
如何快速、精准地识别和清点散落在各个系统中的敏感个人信息?
如何将标准中上百条技术和管理要求,转化为内部可执行的策略?
如何确保加密、脱敏、访问控制等技术手段,在全生命周期中都严丝合缝?
这正是昂楷科技深耕数据安全16余年所专注解决的核心问题。我们始终认为:真正的合规,不是应付检查,而是构建可持续的数据安全能力。
昂楷科技始终专注于将标准语言转化为落地动作,帮助各行业系统化应对新规中的敏感信息识别、分类分级、脱敏、访问控制等核心要求,建立与法规同频的防护体系。
新国标实施在即,与其被动应对,不如主动构建。若您在落地过程中存在疑问,或希望进一步理解政策细节,欢迎【留言】或【联系我们】讨论交流,也可预约一次初步合规评估,厘清现状,稳健启程。
一键关注昂楷科技,即时获取专业资讯!
昂楷科技视频号精选