2024年6月11日，全国网络安全标准化技术委员会发布了《网络安全标准实践指南—敏感个人信息识别指南（征求意见稿）》（以下简称“征求意见稿”），旨在为敏感个人信息的识别工作提供具体指导。

征求意见稿的主要内容包括：敏感个人信息的识别规则，常见敏感个人信息的类别以及示例。本文将结合现有法律和国家标准，对征求意见稿的主要内容进行解读，以供读者参考。

2021年公布并施行的《个人信息保护法》对敏感个人信息进行了定义，即“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”

但《个人信息保护法》并未就敏感个人信息的识别工作给出具体的规则，亦未就敏感个人信息字段进行具体举例，因此实务中敏感个人信息的识别工作仍相当程度上依赖2020年发布并实施的《信息安全技术 个人信息安全规范（GB/T 35273-2020）》（以下简称“《个人信息安全规范》”）。

《个人信息安全规范》虽在附录B中对不同类别的敏感个人信息进行了举例，但其给出的敏感个人信息识别规则仍比较模糊，致使实务中对于《个人信息安全规范》附录B所列示敏感个人信息字段外的其他个人信息是否属于敏感个人信息，缺乏更具操作性的通用性识别规则。本次征求意见稿则回应了实务难点，从方法论的层面对敏感个人信息的识别工作进行了通用性规定。

具体而言，根据征求意见稿，对敏感个人信息的识别工作可按以下三步路径完成：

本次征求意见稿发布前，实务中敏感个人信息识别工作较多依赖的《个人信息安全规范》将敏感个人信息的分类为：个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息和其他信息。这与《个人信息保护法》在敏感个人信息定义中列举的敏感个人信息类别并不一致，也在实务中对敏感个人信息的识别和后续的分类工作产生了一定困扰。

而此次征求意见稿亦解决了这个问题，征求意见稿列举的敏感个人信息的类别与《个人信息保护法》保持一致。在此基础上，征求意见稿对每个敏感个人信息类别进一步给出了具体的解释。征求意见稿对敏感个人信息类别列举如下：

①生物识别信息：也称生物特征识别信息，是指对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。

②宗教信仰信息：与个人信仰的宗教、宗教组织、宗教活动相关的个人信息。

③特定身份信息：对个人人格尊严和社会评价有重大影响或有其他不适宜公开的身份信息，特别是那些可能导致社会歧视的特定身份信息。

④医疗健康信息：与个人的医疗就诊、身体或心理健康状况相关的个人信息。

⑤金融账户信息：与个人的银行、证券等账户和账户资金交易相关的个人信息。

⑥行踪轨迹信息：与个人所处地理位置、活动地点和活动轨迹等相关的个人信息。

⑦不满十四周岁未成年人的个人信息。

⑧其他敏感个人信息：除以上信息外，其他一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的常见个人信息。

对比《个人信息安全规范》中列举的敏感个人信息字段，本次征求意见稿值得关注的要点包括：

（一）回应实务中敏感个人信息识别工作的争议热点

1.根据《个人信息安全规范》附录B列举，“身份证”属于敏感个人信息。在实务中，对于身份证照片、身份证扫描件等材料应识别为敏感个人信息通常并无争议，但对于单独的一串“身份证号码”数字，是否应识别为敏感个人信息则一直存在争议。本次征求意见稿在对敏感个人信息的列举中，明确规定“身份证照片”为敏感个人信息，排除了原《个人信息安全规范》的模糊之处。

2.根据《个人信息安全规范》附录B列举，“精准定位信息”属于敏感个人信息。但在实务中对于何种精确程度的定位信息属于“精准定位信息”亦存在一定争议。本次征求意见稿明确提出，通过申请“安卓系统ACCESS_FINE_LOCATION权限”收集的位置信息即为精准定位信息，为“精准定位信息”的识别提供了一个可供参考的尺度。

3.根据《个人信息安全规范》附录B列举，“宗教信仰”属于敏感个人信息。但由于《个人信息安全规范》并未就“宗教信仰”的范围作进一步解释说明，使得实务中对此“宗教信仰”的范围理解各异。本次征求意见稿明确，宗教信仰信息的范围包括：个人信仰的宗教、加入的宗教组织、宗教组织中的职位、参加的宗教活动、特殊宗教习俗等个人信息。

（二）回归《个人信息保护法》定义，对实务中的理解偏差予以纠正

1.由于《个人信息安全规范》中，对“个人身份信息”的范围列举为“身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等”，其列举方式导致实务中进行敏感个人信息识别时，容易仅聚焦于特定的“证件”，而忽视背后真正应当作为敏感个人信息保护的“身份”。但参考《个人信息保护法》对敏感个人信息之定义，应当被识别为敏感个人信息的是“特定身份”信息。即，一方面应当是“特定”的身份，另一方面是“身份”而非形式上的证件。本次征求意见稿明确了所谓“特定身份信息”为“对个人人格尊严和社会评价有重大影响或有其他不适宜公开的身份信息，特别是那些可能导致社会歧视的特定身份信息”，回归了《个人信息保护法》对敏感个人信息的基本定义。

2.此外，由于《个人信息安全规范》中敏感个人信息类别包括了“个人健康生理信息”，其类别名称也使得实务中对相关信息的认定边界把握不准确。本次征求意见稿明确，个人的体重、身高、血型、血压、肺活量等基本体质信息，如果与个人的疾病和医疗就诊无关，则可认为不属于敏感个人信息范畴。这亦是根据《个人信息保护法》对敏感个人信息的定义做出的合理延伸。根据《个人信息保护法》，“医疗健康”信息才属于敏感个人信息，其 “医疗”之前缀即体现了进行此类别敏感个人信息认定时，应当关注待识别个人信息的应用场景和处理目的是否是医疗相关。

随着科技的不断发展和个人信息处理场景的愈发复杂多样，个人信息，特别是敏感个人信息的保护也面临着更多新的挑战。此次征求意见稿的发布，不仅回应了当前实务中对于敏感个人信息识别的诸多争议和难点，还通过详尽的分类和示例为个人信息处理者在处理敏感个人信息时提供了更为明确和操作性强的指导。我们也期待未来有更多法律法规和国家标准的出台，进一步完善我国的敏感个人信息保护体系。