人脸识别和健康码在疫情防控中提供了高效的手段,同时也引发了人们对收集和处理人脸信息等生物识别信息边界的关注。《个人信息保护法》规定所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。国家高度重视个人隐私保护,密集颁布系列法律、法规、标准保障个人信息安全。对个人信息处理过程进行有效治理,促进个人信息合理利用与保护隐私并重,成为企业(组织)进行数据安全治理的又一关键目标。
首先不同行业使用个人信息的情况不同,应对趋势也不同。一是金融、运营商行业,作为个人信息存储与处理的大户,在个人信息处理合规的落地上将一如既往走在市场前列,更为迅速和彻底。二是医疗与教育行业,作为个人信息密集处理和存储场所,在个人信息保护上的监管与落地动作必然更为精准。三是互联网企业把个人信息保护作为企业发展的重要风控管理对象的趋势将更为明显。四是外企与出海企业,跨境数据流动中涉及个人信息和敏感个人信息的合规落地将成为其迫在眉睫的重要事务,应采取个人信息标准合同备案或跨境数据安全评估。
由于敏感个人信息与自然人的人格尊严等基本权利、重大人身利益和财产利益具有极为密切的联系,对此类个人信息的处理会对自然人的基本权利和人身财产安全产生重大风险,《个人信息保护法》对敏感个人信息的处理进行了专门规定。敏感个人信息的保护是我国《个人信息保护法》的重要内容之一,企业在处理敏感信息时会面临如下难题:
3. 在处理敏感个人信息前,是否取得了个人单独同意?可以采取哪些方式?
4. 敏感个人信息处理活动中是否采取了严格保护措施?
目前已发布的国标中,35273-2020《信息安全技术 个人信息安全规范》规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求,而企业在处理敏感个人信息时需要有新标准推进数据安全治理落地。
2023年8月9日,信安标委发布的国家标准《信息安全技术 敏感个人信息处理安全要求》(以下简称“安全要求”)征求意见稿,提出了敏感个人信息界定方法,规定了敏感个人信息处理安全要求。
《个人信息保护法》规定,将敏感个人信息定义为一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,同时列举了敏感个人信息的种类,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
5.1 敏感个人信息识别
a) 在识别个人信息的基础上,分析个人信息一旦遭到泄露或者非法利用,可能对个人权益造成的影响。
b) 符合以下任一条件的,应识别为敏感个人信息:
个人信息遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害;
示例1:例如特定身份、医疗健康、犯罪记录等信息属于一旦泄露即侵害人格尊严的敏感个人信息,因个人种族、宗教信仰、性取向遭到歧视性待遇。
个人信息遭到泄露或者非法使用,容易导致自然人的人身安全受到危害;
示例2:例如泄露、非法使用未成年人信息,可能会为拐卖、伤害未成年人身心健康等犯罪所利用。
个人信息遭到泄露或者非法使用,容易导致自然人的财产安全受到危害;
示例3:例如泄露、非法使用金融账户信息,可能会造成用户财产损失。
敏感个人信息的识别,宜基于个人信息处理的场景,综合个人信息的处理目的、处理方式以及可能对个人权益造成的影响等方面,判断在该场景下处理个人信息是否构成敏感个人信息处理行为。
5.2 常见敏感个人信息类别
常见敏感个人信息包括以下类别,具体类别和示例见附录A。
a) 生物识别信息:对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。
b) 宗教信仰信息:与信仰的宗教、宗教组织、宗教活动相关的信息。
c) 特定身份信息:指对个人人格尊严和社会评价有重大影响的身份信息,特别是那些可能导致社会歧视的特定身份信息。
d) 医疗健康信息:指与自然人的健康状况以及医疗就诊相关的信息。
e) 金融账户信息:与银行、证券等账户和交易相关的信息。
f) 行踪轨迹信息:与个人所处地理位置、活动地点和活动轨迹等相关的信息。
未成年人个人信息:不满十四周岁未成年人的个人信息。
g) 身份鉴别信息:用于验证主体是否具有访问或使用权限的信息。
h) 其他敏感个人信息:除以上信息外,应当作为敏感个人信息保护的信息。
1)将不满十四周岁未成年人的个人信息列为敏感个人信息,强化了对未成年人个人信息权益的保护。
2)《个人信息保护法》在列举敏感个人信息种类中的“等”字,应采“等外”之意,表示列举未尽,“安全要求”就补充了身份鉴别信息作为敏感个人信息,说明这类信息纵使不在法律明文列举之列,因其在特定场景所具有的高度敏感性,也应纳入敏感个人信息的保护范畴。
3)“安全要求”里提出敏感个人信息的识别,宜基于个人信息处理的场景等,说明技术的发展及场景的变化,也会有新型的敏感个人信息出现并要特殊保护留下空间。4)敏感个人信息的界定,还应参考附录A给出的示例,比如其他敏感个人信息就给出 示例,如:婚史、感情经历等。
企业(组织)在确定处理敏感个人信息后,“安全要求”从通用要求和特定要求(宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人信息)两个维度进行阐述。通用要求除涵盖了《个人信息保护法》已定义的几个个人信息处理活动外,还包括用户权利和安全管理要求,“安全要求”在GB/T 35273-2020的基础上提出了更多要求。
5.1 敏感个人信息识别
a) 在识别个人信息的基础上,分析个人信息一旦遭到泄露或者非法利用,可能对个人权益造成的影响。
b) 符合以下任一条件的,应识别为敏感个人信息:
个人信息遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害;
示例1:例如特定身份、医疗健康、犯罪记录等信息属于一旦泄露即侵害人格尊严的敏感个人信息,因个人种族、宗教信仰、性取向遭到歧视性待遇。
个人信息遭到泄露或者非法使用,容易导致自然人的人身安全受到危害;
示例2:例如泄露、非法使用未成年人信息,可能会为拐卖、伤害未成年人身心健康等犯罪所利用。
个人信息遭到泄露或者非法使用,容易导致自然人的财产安全受到危害;
示例3:例如泄露、非法使用金融账户信息,可能会造成用户财产损失。
敏感个人信息的识别,宜基于个人信息处理的场景,综合个人信息的处理目的、处理方式以及可能对个人权益造成的影响等方面,判断在该场景下处理个人信息是否构成敏感个人信息处理行为。
5.2 常见敏感个人信息类别
常见敏感个人信息包括以下类别,具体类别和示例见附录A。
a) 生物识别信息:对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。
b) 宗教信仰信息:与信仰的宗教、宗教组织、宗教活动相关的信息。
c) 特定身份信息:指对个人人格尊严和社会评价有重大影响的身份信息,特别是那些可能导致社会歧视的特定身份信息。
d) 医疗健康信息:指与自然人的健康状况以及医疗就诊相关的信息。
e) 金融账户信息:与银行、证券等账户和交易相关的信息。
f) 行踪轨迹信息:与个人所处地理位置、活动地点和活动轨迹等相关的信息。
未成年人个人信息:不满十四周岁未成年人的个人信息。
g) 身份鉴别信息:用于验证主体是否具有访问或使用权限的信息。
h) 其他敏感个人信息:除以上信息外,应当作为敏感个人信息保护的信息。
6.1 收集
6.1.1 目的与必要性
个人信息处理者在收集敏感个人信息前,应在满足GB/T 35273—2020中5.1、5.2、5.3和GB/T 41391—2022收集的要求基础上,按照最小必要原则明确收集的敏感个人信息范围,遵守以下要求:
a) 收集的敏感个人信息应具有特定、明确、合理、具体的个人信息处理目的;
b) 收集的敏感个人信息应限于实现处理目的所必要的最小范围;
c) 应采取对个人权益影响最小的方式收集敏感个人信息;
d) 应仅在用户使用业务功能期间,收集该业务功能所需的敏感个人信息;
e) 如有法律明确规定或经公司内部评估确有必要收集敏感个人信息的,需在通过个人信息保护影响评估之后方可执行;
f) 收集个人敏感信息应按照业务核心功能或主要服务,进行分项收集。
6.1.2 告知和6.1.3 同意,请参照标准原文。
解 读:
1)《个人信息保护法》在第二章专节规定的“敏感个人信息的处理规则”,对处理敏感个人信息的前提进行了限制,要求只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息,企业或组织应仔细核对“安全要求”的“6.1.1 目的与必要性”,判断是否必须要处理敏感个人信息。
2)《个人信息保护法》对敏感个人信息处理者的告知义务提出了更高的要求。《个人信息保护法》第17条第1款和第30条规定都体现了告知要求,“安全要求”的“6.1.2 告知”体现了这个原则。
3)《个人信息保护法》规定了一些仅适用于敏感个人信息的特殊处理规则,知情同意原则是个人信息保护领域公认的首要原则,“安全要求”的“6.1.3 同意”体现了这个原则。
4)6.1.3针对敏感个人信息的处理要求写明“个人单独同意”及方式,《个人信息保护法》要求处理敏感个人信息应当取得个人的单独同意。这意味着在处理敏感个人信息时,概括同意或推定同意的授权模式为法律所禁止。
5)“6.1.3 同意”中,“处理敏感个人信息法律法规规定取得个人书面同意的示例见附录B。”法律、行政法规规定处理敏感个人信息应当取得书面同意的,还应取得书面同意。
6)附录B中列举了取得书面同意的几个法律依据,包括:《征信业管理条例》、《中华人民共和国人类遗传资源管理条例》、《邮政业寄递安全监督管理办法》、《戒毒条例》、《中国银监会关于规范商业银行代理销售业务的通知》、《税收违法行为检举管理办法》、《检举纳税人税收违法行为奖励暂行办法》。
“安全要求”中,处理不满十四周岁未成年人的个人信息这种敏感个人信息保护措施更加严格,体现在“12.1 基本要求、12.2 处理规则、12.3 告知同意方式、12.4 核验流程”。《个人信息保护法》要求个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意,个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。这回应了现实中儿童信息泄露等问题,对未成年人个人信息处理进行了更严格的规范,有利于切实维护未成年人的合法利益并促进未成年人健康成长。
“安全要求”中技术保护措施也很全面,比如在“6.3.3 汇聚融合”中提出“应采用技术手段(如数据专线、数据加密、安全多方计算、可信执行环境等技术)降低数据泄露、窃取等风险”,对汇聚融合后产生的数据重新开展安全定级工作,并采用相应级别的安全保护措施。再比如在“6.5 传输”中提出“通过互联网传输敏感个人信息时,应至少采用通道加密进行传输,建议采用通道加密与内容加密两种加密方式结合进行传输”等。脱敏和去标识化处理也多次体现在技术保护措施中,建议参考GB/T 37964-2019《信息安全技术 个人信息去标识化指南》丰富去标识化算法。其他的技术保护措施还包括身份认证、数字签名、时间戳、密码技术、权限控制等。
“安全要求”的严格保护措施,在“6.10 安全管理要求”中提出了对个人敏感数据处理者的若干管理规定,其中“敏感个人信息应对定级备案后的数据进行分类分级标记,并对分类分级结果进行留存,对于100万条以上的敏感个人信息数据集定级应不低于重要数据级别”,这体现了与重要数据、数据分类分级之间的关系。
“安全要求”中的保护措施还体现了行业特点。医疗健康信息:“对患者医疗数据的查询、处理、使用等环节,应建立相应的访问控制权限审批机制(例如艾滋病、性病仅限于主治医护人员访问等)”,“用于临床研究、医药/医疗研发时,需先确认医疗健康信息使用的合法性、正当性和必要性,在签订医疗健康信息使用协议后,医疗健康信息宜按照GB/T 37964-2019和GB/T 39725-2020要求开展去标识化工作后使用”;金融账户信息、行踪轨迹信息等也都各自有行业特点。
“安全要求”中的严格保护措施体现在与第三方协作,“6.6.1 委托处理”要求在合同中明确约定遵守敏感个人信息管理的相关法律法规规定,未明确约定的,受托人也应在委托范围内按照敏感个人信息相关要求处理数据,遵守法律规定。“6.3 使用 6.3.3 汇聚融合”中,提出涉及与第三方机构合作的,应以合同等方式明确用于汇聚融合的敏感个人信息内容、范围、结果的用途和知悉范围、各合作方数据保护责任和义务。
“安全要求”中的严格保护措施还表现在个人信息保护影响评估,分别出现在“6.1.1 目的与必要性”、“6.10 安全管理要求”、“7 宗教信仰信息”,《个人信息保护法》规定应在事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估本质上是风险评估。由于处理敏感个人信息可能对自然人的权利和自由带来高度风险,所以对此类处理进行事前风险评估可以防患于未然。《个人信息保护法》要求个人信息保护影响评估应当包括下列内容:(1)个人信息的处理目的、处理方式等是否合法、正当、必要;(2)对个人权益的影响及安全风险;(3)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。
国标《敏感个人信息处理安全要求》包含了敏感个人信息界定和处理安全要求,并从未成年人信息保护、安全技术、安全管理、行业特点、第三方协作要求、个人信息保护评估几个方面阐述了敏感个人信息处理的严格保护措施,是敏感个人信息处理者首要参考的标准。企业或组织应将个人信息保护和合法利用放到顶层数据安全战略中,从组织、人员、制度、工具等方面,内外部相关方协作实施,继而让数据安全治理更好地落地。
