在数字化时代,保护敏感个人信息显得尤为关键,敏感个人信息包括那些能够直接或间接识别个人身份的数据,这些信息一旦泄露,可能导致身份盗窃、金融欺诈和隐私侵犯等严重后果。因此,为了确保敏感个人信息的收集与处理行为合法且安全,全国信息安全标准化技术委员会于2023年8月9日发布的《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》(以下简称《安全要求》)。本文将先对《安全要求》提到的敏感个人信息界定方法进行解读,并对《安全要求》的“6.3 告知同意”分析举例。
一、敏感个人信息界定
《安全要求》对“敏感个人信息”这一词进行了定义,即“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。”并且,《安全要求》还列举了敏感个人信息类别,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
1、敏感个人信息识别
《安全要求》中将符合以下任一属性的,识别为敏感个人信息:
1)个人信息遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害;
示例 1:用户的特定身份、犯罪记录、宗教信仰、性取向、特定疾病和健康状况等信息泄露后,可能会遭遇歧视性待遇。
2)个人信息遭到泄露或者非法使用,容易导致自然人的人身安全受到危害;
示例 2:用户的实时精准定位信息、GPS车辆轨迹信息、航班车票信息以及特定住宿信息等一旦泄露,可能会对用户的人身安全构成威胁。
3)个人信息遭到泄露或者非法使用,容易导致自然人的财产安全受到危害;
示例 3:泄露、非法使用金融账户信息及其相关的鉴别信息(如支付口令),可能会造成用户的财产损失。
2、常见敏感个人信息类别
常见敏感个人信息包括以下类别:
a) 生物识别信息:对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。
b) 宗教信仰信息:与信仰的宗教、宗教组织、宗教活动相关的信息。
c) 特定身份信息:对个人人格尊严和社会评价有重大影响的身份信息,特别是那些可能导致社会歧视的特定身份信息。
d) 医疗健康信息:与自然人的健康状况以及医疗就诊相关的信息。
e) 金融账户信息:与银行、证券等账户和交易相关的信息。
f) 行踪轨迹信息:与个人所处地理位置、活动地点和活动轨迹等相关的信息。
g) 身份鉴别信息:用于验证主体是否具有访问或使用权限的信息。例如登陆密码、支付密码、动态口令、口令保护答案等。
h) 未成年人个人信息:不满十四周岁未成年人的个人信息。
i) 其他敏感个人信息:除以上信息外,应作为敏感个人信息保护的信息。
每一类敏感个人信息的具体示例如下:
二、敏感个人信息处理基本要求
1、告知
2、同意
三、常见敏感个人信息举例
1、生物识别信息
a)人脸
App在进行收集或处理人脸识别信息前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下(左图为App,右图为小程序):
申请收集或处理人脸识别信息图(左图为App,右图为小程序)
b)指纹
App在进行收集或处理指纹识别信息前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式(左图)、通过单独弹窗(右图)告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下:
申请收集或处理指纹信息图(左图为单独提示界面,右图为弹窗)
c)声纹
App在进行收集或处理声纹识别信息前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式(左图)、通过单独弹窗(右图)告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下:
申请收集或处理声纹信息图(左图为单独提示界面,右图为弹窗)
2、特定身份信息
a)身份证件号码
App在进行收集或处理身份证件号码前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下:
申请收集或处理身份证件号码信息图
3、行踪轨迹信息
a)GPS车辆轨迹信息
App在进行收集或处理GPS车辆轨迹信息前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式(左图)、通过单独弹窗(右图)告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下:
申请收集或处理GPS车辆轨迹信息图(左图为单独提示界面,右图为弹窗)
四、总结
本文通过对《安全要求》中的敏感个人信息中的界定方法和敏感个人信息处理安全要求(告知和同意)进行解析,并详细介绍常见的敏感个人信息类别和典型示例,帮助个人信息处理者更全面地掌握敏感个人信息的特殊性质,同时辅助个人信息处理者在进行敏感个人信息的收集和处理之前,深入了解《安全要求》中的关于“告知同意”的要求,确保移动应用开发者、运营者的操作符合保护用户敏感个人信息权益的标准。进而提升个人信息处理的规范性、增强用户对其信息安全的信任感,从而实现对用户敏感个人信息的全面保护。