GB:T 信息安全技术 敏感个人信息处理安全要求

ICS35.030 CCSL80 中华人民共和国国家标准 GB/TXXXXX—XXXX 信息安全技术敏感个人信息处理安全要求 Informationsecuritytechnology—Securityrequirementsforprocessingofsensitivepersonalinformation （征求意见稿） （本稿完成时间：2023年8月8日） XXXX-XX-XX发布XXXX-XX-XX实施 目次 前言III 1范围1 2规范性引用文件1 3术语和定义1 4缩略语2 5敏感个人信息界定2 5.1敏感个人信息识别2 5.2常见敏感个人信息类别2 6敏感个人信息处理通用安全要求3 6.1敏感个人信息处理基本要求3 6.2收集必要性3 6.3告知同意3 6.4安全保护要求4 6.5安全管理要求5 7敏感个人信息处理特殊安全要求5 7.1宗教信仰信息5 7.2特定身份信息5 7.3医疗健康信息6 7.4金融账户信息6 7.5行踪轨迹信息6 7.6不满十四周岁未成年人信息6 附录A（规范性）常见敏感个人信息类别8 附录B（资料性）处理敏感个人信息取得个人书面同意模板9 附录C（资料性）脱敏展示示例10 参考文献12 前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国电子技术标准化研究院、国家信息技术安全研究中心、中国科学院信息工程研究所、蚂蚁科技集团股份有限公司、北京抖音信息服务有限公司、北京快手科技有限公司、北京百度网讯科技有限公司、公安部第三研究所、北京交通大学、公安部第一研究所、西安交通大学、中国信息安全测评中心、中国科学院软件研究所、中国网络空间研究院、医渡云（北京）技术有限公司、北京小桔科技发展有限公司、北京华品博睿网络技术有限公司、阿里巴巴（中国）有限公司、深圳市腾讯计算机系统有限公司、成都卫士通信息产业股份有限公司、联想（北京）有限公司、北京汉华飞天信安科技有限公司、顺丰速运有限公司，中关村科学城城市大脑股份有限公司等。 本文件主要起草人：姚相振、胡影、陈舒、高超、上官晓丽、杨韬、李凤华、郝春亮、白晓媛、李昳婧、王昕、邓婷、于东升、王伟、李秋香、刘烃、关泰露、程文静、王彬、杨光、张严、田申、郭建领、黄天宁、徐永太、查海平、李汝鑫、蔡旭、姜伟、黎琳、徐起等。 信息安全技术敏感个人信息处理安全要求 1范围 本文件给出了敏感个人信息界定方法，规定了敏感个人信息处理安全要求。 本文件适用于规范个人信息处理者的敏感个人信息处理活动，也可为监管部门、第三方评估机构对个人信息处理者开展敏感个人信息处理活动进行监督、管理、评估提供参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069—2022信息安全技术术语 GB/T35273—2020信息安全技术个人信息安全规范GB/T37964—2019信息安全技术个人信息去标识化指南 GB/T37988—2019信息安全技术数据安全能力成熟度模型GB/T39725—2020信息安全技术健康医疗数据安全指南GB/T39335—2020信息安全技术个人信息安全影响评估指南 3术语和定义 GB/T25069-2022、GB/T35273—2020界定的以及下列术语和定义适用于本文件。 3.1 个人信息personalinformation 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 [来源：GB/T35273—2020,3.1，有修改] 3.2 敏感个人信息sensitivepersonalinformation 一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。 [来源：GB/T35273—2020,3.2，有修改] 3.3 个人信息处理者personalinformationprocessor 自主决定处理目的、处理方式的组织、个人。 [来源：GB/T35273—2020,3.4，有修改] 3.4 个人信息主体personalinformationsubject 个人信息已识别或者可识别的自然人。 [来源：GB/T35273—2020,3.3，有修改] 3.5 个人信息处理活动personalinformationprocessingactivities 个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动。 3.6 特定身份信息personalinformationofspecificidentities 对个人人格尊严和社会评价有重大影响的身份信息。 注：主要包括民族、种族、犯罪记录、残障人士身份信息、身份证件号码等。 4缩略语 下列缩略语适用于本文件。 API：应用程序编程接口（ApplicationProgrammingInterface） 5敏感个人信息界定 5.1敏感个人信息识别 a)个人信息处理者在进行个人信息处理前，应按照以下方法识别敏感个人信息。 b)符合以下任一属性的，应识别为敏感个人信息： 1)个人信息遭到泄露或者非法使用，容易导致自然人的人格尊严受到侵害； 示例1：个人信息主体可能会因特定身份、犯罪记录、宗教信仰、性取向、特定疾病和健康状态等信息泄露遭到歧视性待遇。 2)个人信息遭到泄露或者非法使用，容易导致自然人的人身安全受到危害； 3)个人信息遭到泄露或者非法使用，容易导致自然人的财产安全受到危害； 示例2：泄露、非法使用金融账户信息及其相关的鉴别信息（如支付口令），可能会造成个人信息主体的财产损失。 c)总体考虑个人信息汇聚融合后的整体属性，如汇聚融合的个人信息遭到泄露或者非法使用容易对个人权益造成较大影响的，应判断个人信息整体具有敏感个人信息属性。 5.2常见敏感个人信息类别 常见敏感个人信息包括以下类别见附录A。 a)生物识别信息：对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。 b)宗教信仰信息：与信仰的宗教、宗教组织、宗教活动相关的信息。 c)特定身份信息：对个人人格尊严和社会评价有重大影响的身份信息，特别是那些可能导致社会歧视的特定身份信息。 d)医疗健康信息：与自然人的健康状况以及医疗就诊相关的信息。 e)金融账户信息：与银行、证券等账户和交易相关的信息。 f)行踪轨迹信息：与个人所处地理位置、活动地点和活动轨迹等相关的信息。 g)身份鉴别信息：用于验证主体是否具有访问或使用权限的信息。例如登陆密码、支付密码、动态口令、口令保护答案等。 h)未成年人个人信息：不满十四周岁未成年人的个人信息。 i)其他敏感个人信息：除以上信息外，应作为敏感个人信息保护的信息。 6敏感个人信息处理通用安全要求 6.1敏感个人信息处理基本要求 处理敏感个人信息应具有特定的目的和充分的必要性，取得个人的单独同意，应在满足GB/T35273—2020要求的基础上，在收集、存储、使用、加工、传输、提供、公开、删除等处理的各个环节采取严格保护措施。 6.2收集必要性 个人信息处理者在收集敏感个人信息前，应遵守以下要求： a)收集非敏感个人信息可以实现处理目的的，不应收集敏感个人信息； b)应仅在个人信息主体使用业务功能期间，收集该业务功能所需的敏感个人信息； c)应按照业务功能或服务场景，分项收集敏感个人信息。 6.3告知同意 6.3.1告知 个人信息处理者在收集敏感个人信息前，应遵守以下要求： a)在收集敏感个人信息前，应采用增强形式向个人进行告知； 注1：如通过单独弹窗、短信、填写框、动画、转至单独提示界面等方式告知个人信息主体。 b)利用App持续收集敏感个人信息的，应提供持续提示或间隔提示机制； 注2：持续收集指在用户使用服务期间不间断的连续收集用户信息，如录音、录像、连续的位置轨迹等。 注3：如出行导航类需持续收集个人信息主体地理位置信息的，以浮窗、弹窗、语音或振动等形式间隔一定时间提醒个人信息主体当前地理位置正在被使用。 c)应向个人信息主体告知个人信息处理者的身份和联系方式等基本情况，敏感个人信息的处理目 的、处理方式以及必要性，敏感个人信息的种类、保存期限以及对个人权益的影响，个人信息主体行使个人信息权利的方式和途径； d)紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，个人信息处理者应在紧急情况消除后及时告知； e)所提供的服务明确不再收集敏感个人信息时或不承担敏感个人信息保护责任时，应对个人信息主体进行提示。 6.3.2同意 个人信息处理者在收集敏感个人信息前，应遵守以下要求： a)基于个人同意进行处理的，个人信息处理者应在处理敏感个人信息前，取得个人信息主体的单独同意； 注1：单独同意的方式，可以由个人信息主体主动完成填写提交，也可通过设置独立页面、电话、短信等向个人信息主体进行告知并支持个人通过点击、分项勾选等肯定性动作作出同意表示。 b)在法律法规另有明确规定时取得个人信息主体的书面同意； 注2：书面同意的方式，可以由个人信息处理者以纸质或数字电文等有形地表现所载内容，并由个人信息主体通过主动签名、签章等形式取得个人同意。 注3：书面同意的情形包括但不限于采集人类遗传资源、向征信机构查询个人信息、从事信贷业务的机构向其他主体提供信贷信息、使用房地产经纪服务过程中提供房地产交易相关信息等。 c)多项敏感个人信息处理活动，应按处理目的为个人信息主体提供单独同意机制； 注4：单独同意是指个人信息处理者处理敏感个人信息不应与一般个人信息一并取得个人同意。单独同意处理敏感个人信息的界面不应包含其他信息处理事宜。 d)个人信息处理者基于个人同意处理不满十四周岁未成年人个人信息的，应取得未成年人的父母 或者其他监护人的同意； e)在公共场所安装图像采集、个人身份识别设备的，应设置显著的提示标识，除取得个人信息主体单独同意以外，所收集的个人图像、身份识别信息类敏感个人信息原则上只能用于维护公共安全的目的，不应用于其他目的； f)个人信息处理者处理已公开的敏感个人信息，经评估对个人权益有重大影响的，应取得个人的单独同意； g)基于个人同意处理敏感个人信息的，个人信息处理者应为个人提供便捷的撤回同意的方式，同时宜向个人说明撤回同意可能对个人产生的影响。 6.4安全保护要求 个人信息处理者处理敏感个人信息，应遵守以下要求： a)应遵循所约定的处理目的、处理方式开展敏感个人信息处理活动，并对处理情况进行记录； b)应在个人信息接收方的个人信息保护能力不低于个人信息处理者的条件下传输敏感个人信息； c)互联网传输敏感个人信息时，应至少采用通道加密方式进行传输，宜采用通道加密与内容加密两种加密方式结合进行，通道加密和内容加密算法应符合有关行业技术标准与行业主管部门有关规定要求； d)应定期评估或验证敏感个人信息传输方式的安全状况,网络环境发生重大变化时，应及时调整安全策略； e)经过加密、去标识化处理后的敏感个人信息应与解密密钥、其他个人信息等分开存储； 注：个人信息去标识化处理宜参考GB/T37964—2019开展。 f)对敏感个人信息的访问、修改、删除、导出等操作，应在对角色权限控制的基础上，按照业务流程的需求触发操作授权，定期针对敏感个人信息的访问、修改、删除、导出等操作进行日志审计； g)敏感个人信息存储环境应建立异常监测和分析能力，对出现的异常情况进行及时响应，动态调整安全保