GB/T 45574即将实施:明确敏感个人信息处理安全要求
国家标准GB/T 45574《数据安全技术 敏感个人信息处理安全要求》将于11月1日起正式实施。该标准明确了敏感个人信息的识别与界定,规定了处理活动中的通用及特殊安全要求,适用于个人信息处理者开展相关活动,同时也为监管部门和第三方评估机构提供监督、管理和评估依据。
敏感个人信息定义及范围
根据标准,敏感个人信息是指“一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或人身财产安全受到危害的个人信息”。主要包括以下六类:
- 生物识别信息
- 宗教信仰信息
- 特定身份信息
- 医疗健康信息
- 金融账户信息
- 行踪轨迹信息
此外,不满十四周岁未成年人的所有个人信息均属于敏感个人信息。
各类敏感个人信息具体说明
类别 |
描述 |
|---|---|
生物识别信息 |
个人基因、人脸、声纹、步态、指纹、掌纹、眼纹、耳廓、虹膜等 |
宗教信仰信息 |
个人信仰的宗教、加入的宗教组织、宗教组织中的职位、参加的宗教活动和特殊宗教习俗等 |
特定身份信息 |
残障人士身份信息、不宜公开的职业身份信息等 |
医疗健康信息 |
(1)与身体或心理伤害、疾病、残疾、疾病风险或隐私相关的健康状况信息,如病症、既往病史、家族病史、传染病史、体检报告和生育信息等; |
金融账户信息 |
个人的银行、证券、基金、保险和公积金等账户的账号及密码(口令),公积金联名账号、支付账号、银行卡磁道数据(或芯片等效信息)和基于账户信息产生的支付标记信息和个人收入明细等 |
行踪轨迹信息 |
连续精准定位轨迹信息、车辆行驶信息和人员连续的活动轨迹等 |
其他 |
精准定位信息、居民身份证照片、性取向、性生活、征信信息、犯罪记录信息和显示个人身体隐私部位的照片或视频等 |
补充说明
标准指出,“精准定位信息”特指通过调用个人移动终端位置采集权限获取的位置信息,而通过网络地址测算的粗略位置不在此列。同时,个人身高、体重、血型、血压、肺活量等基本体质信息,若与疾病或医疗就诊无关,则不属于敏感个人信息。
