1、TC260-PG-2024XA网络安全标准实践指南网络安全标准实践指南敏感个人信息识别指南敏感个人信息识别指南（征求意见稿（征求意见稿 v1.0-202406）全国网络安全标准化技术委员会秘书处全国网络安全标准化技术委员会秘书处2024 年年 6 月本文档可从以下网址获得：月本文档可从以下网址获得： 范围.12 术语与定义.13 敏感个人信息识别.24 常见敏感个人信息.3附录 A常见敏感个人信息类别示例.5参考文献.711 范围本指南提出了敏感个人信息识别方法，给出了常见敏感个人信息的类别和示例。本指南可用于指导各组织识别敏感个人信息范围，也可为敏感个人信息处理、出境和保护工作提供参考。2

2、术语与定义2.1个人信息个人信息以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。注：个人信息不包括匿名化处理后的信息。来源：GB/T 352732020,3.1，有修改2.2敏感个人信息敏感个人信息一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。注：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。来源：GB/T 352732020,3.2，有修改2.3个人信息主体个人信息主体个人信息所标识或关联的自然人。来源：GB/T 352732020,3.322.4个人信息处

3、理者个人信息处理者在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。来源：GB/T 352732020,3.4，有修改3 敏感个人信息识别个人信息处理者应按照以下规则，识别敏感个人信息。a)符合以下任一条件的个人信息，应识别为敏感个人信息：1)个人信息一旦遭到泄露或者非法使用，容易导致自然人的人格尊严受到侵害；注 1：维护个人的人格尊严包括维护生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权以及其他人格权益。容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入他人网络账户、贩卖个人信息、电信诈骗、损害个人名誉、歧视性差别待遇等。注 2：例如个人信息

4、主体可能会因特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露遭到歧视性待遇。2)个人信息一旦遭到泄露或者非法使用，容易导致自然人的人身安全受到危害；注 3：例如泄露、非法使用个人的行踪轨迹信息，可能会造成个人信息主体的人身安全受到损害。3)个人信息一旦遭到泄露或者非法使用，容易导致自然人财产安全受到危害。注 4：例如泄露、非法使用金融账户信息，可能会造成个人信息主体的财产损失。b)按照第 4 章和附录 A，识别收集、产生的常见敏感个人信息。注 5：根据用户的个人信息推断其敏感个人信息，推断出的信息也属于敏感个人信3息。c)既要考虑单项敏感个人信息识别，也要考虑多项一般个人信息汇聚或融合

5、后的整体属性，分析其一旦泄露或非法使用可能对个人权益造成的影响，如果符合 a）所述条件，应将汇聚或融合后的个人信息整体参照敏感个人信息进行保护。4 常见敏感个人信息常见敏感个人信息包括以下类别，具体类别中的敏感个人信息示例见附录A。a)生物识别信息：也称生物特征识别信息，是指对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。注 1：生物识别信息可参考 GB/T 40660、GB/T 41819、GB/T 41807、GB/T 41773、GB/T41806 等生物识别信息安全国家标准。b)宗教信仰信息：与个人信仰的宗教、宗教组织、宗教活动相

6、关的个人信息。c)特定身份信息：对个人人格尊严和社会评价有重大影响或有其他不适宜公开的身份信息，特别是那些可能导致社会歧视的特定身份信息。d)医疗健康信息：与个人的医疗就诊、身体或心理健康状况相关的个人信息。注 2：个人过去、现在或未来的健康状况均属于医疗健康信息。4e)金融账户信息：与个人的银行、证券等账户和账户资金交易相关的个人信息。f)行踪轨迹信息：与个人所处地理位置、活动地点和活动轨迹等相关的个人信息。注 3：个人过去、现在的行踪轨迹均属于行踪轨迹信息。g)不满十四周岁未成年人的个人信息。h)其他敏感个人信息：除以上信息外，其他一旦泄露或者非法使