全国办公室
EN
热点聚焦
e2_banner pc.jpg e2_banner ph.jpg
2025-05-30

敏感个人信息的识别以及处理安全要求—基于《敏感个人信息处理安全要求(GB/T 45574-2025)》的律师解读

01背景

2025年4月25日,国家市场监督管理总局、国家标准化管理委员会发布GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》,该推荐性国家标准将于2025年11月1日正式生效实施(以下简称2025年正式稿)。早在2023年8月9日,全国信息安全标准化技术委员会秘书处就已经发布《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》(以下简称2023年征求意见稿),但是历经近两年,2025年正式稿才终于与大家正式见面。在此期间,为了协助企业进行敏感个人信息识别,针对敏感个人信息的识别这一具体问题,全国网络安全标准化技术委员会秘书处在2024年9月14日,发布TC260-PG-20244A《网络安全标准实践指南——敏感个人信息识别指南》(以下简称2024年识别指南)。

GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》的出台不仅正式确立了敏感个人信息识别和界定,更为重要的是进一步规定了敏感个人信息处理的安全要求,监管部门和第三方评估机构有了充足的依据监督、管理个人信息处理者的敏感个人信息处理活动。因此,敏感个人信息处理者将面临更加具体而明确的合规义务。

02敏感个人信息类别

微信图片_20250530092625.png

律师解读:

1.人员连续的活动轨迹

关于敏感个人信息的分类,2025年正式稿相较于2023年征求意见稿发生了显著变化,但是2025年正式稿与2024年识别指南相比,几乎没有变化。其中发生变化的为行踪轨迹信息的认定,行踪轨迹信息的认定由2024年的“人员活动轨迹”变成了2025年“人员连续的活动轨迹”,即:行踪轨迹信息是指个人在一定期间内因为所处具体地理位置、活动地点和活动轨迹的移动变化而形成的连续轨迹信息。

举例说明:记录张三某天从家里到公司的活动轨迹不属于敏感个人信息,但是记录张三周一到周五从家里到公司的活动轨迹就属于敏感个人信息,强调了人员轨迹的“连续性”特征。

另外,2025年正式稿明确特定职业(外卖员和快递员等)用于实现服务履约场景下的行踪轨迹信息不属于敏感个人信息。此观点虽是《2024年识别指南》第3页“注2”的延续,但强调了“必要性”、“直接产生”、“仅用于履约”和“必要范围”等关键限制条件。

2.限缩敏感个人信息范围

2025年正式稿相较于2023年征求意见,删除了“网页浏览信息、婚史、通信内容、犯罪人员身份信息、特定工作信息(如军人、警察)、身份证件号码、航班车票信息、特定住宿信息”等。进一步限缩敏感个人信息范围,但是,我们可通过修改的内容进一步明确实践中争议较大的单一的“身份证件号码”不被认定为敏感个人信息。

3.明确争议的体重、身高、血型、血压等信息

关于体重、身高、血型、血压等信息,如果与疾病和医疗就诊无关的,则不属于敏感个人信息,例如在马拉松比赛场景,会要求参赛人填写血型信息,以备发生紧急情况使用,在该场景下,血型并非敏感个人信息。但是在医疗就诊过程中测量的血型血压等,均属于敏感个人信息。

03敏感个人信息的识别

在实践中,部分企业可能会仅将自己收集、使用的个人信息类型与上述表格进行对照,如果发现自己处理的数据不在表格范围内,就认为自己不涉及敏感个人信息处理,该做法是错误并且有较大风险。

因为个人信息处理者既要考虑单项敏感个人信息识别,也要考虑多项一般个人信息汇聚后的整体属性,不在上述表格中的普通个人信息,如满足:

1) 一旦遭到泄露或非法使用,容易导致自然人的人格尊严受到侵害(容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入网络账户、电信诈骗、损害个人名誉和歧视性差别待遇等);

2) 一旦遭到泄露或非法使用,容易导致自然人的人身安全受到危害(例如泄露或非法使用个人的行踪轨迹信息,可能会导致个人信息主体的人身安全受到损害);应将汇聚后的个人信息整体参照敏感个人信息进行识别与保护。

举例而言,单一的身份证号码、单一的姓名字段均不属于敏感个人信息,但是,如果汇聚的身份证号码和姓名整体一旦泄露容易导致自然人的人格尊严受到侵害,因此应将身份证号码、姓名或者电话号码汇聚后的整体参照敏感个人信息进行识别与保护。

04敏感个人信息处理的通用要求

(部分重点内容摘录分析)

微信图片_20250530092631.png

05敏感个人信息处理的特殊要求

微信图片_20250530092634.png

06总结

GB/T 45574-2025《敏感个人信息处理安全要求》的出台,标志着我国在敏感个人信息保护领域迈出了重要一步,为个人信息处理者设定了更为清晰、具体的合规框架。该标准作为技术性规范,与《个人信息保护法》共同构成敏感个人信息处理的“双轨制”框架,通过明确敏感个人信息的分类、识别规则及处理要求,在“单独同意”、“‘小必要’原则”等方面给予了细化,也为监管执法和第三方评估提供了重要依据。  

对企业而言,当务之急是结合业务场景全面梳理数据资产,通过技术手段识别敏感个人信息,并同步调整隐私政策、内部管理制度及技术防护措施。此外,需重点关注“单独同意”“日志留存三年”等安全管理要求,避免因细节疏漏引发合规风险。  

标准的落地不仅要求企业被动遵守,更需主动构建数据治理文化,方能在数字化浪潮中实现商业价值大化与个人权益保护的双赢。

分享

推荐资讯