GB:T 信息安全技术 敏感个人信息处理安全要求

GB/TXXXXX—XXXX 信息安全技术敏感个人信息处理安全要求 Informationsecuritytechnology—Securityrequirementsforprocessingofsensitivepersonalinformation （征求意见稿） （本稿完成时间：2023年8月8日） 目次 前言.......................................................................................................................................................................III1范围.....................................................................................................................................................................12规范性引用文件.................................................................................................................................................13术语和定义.........................................................................................................................................................14缩略语.................................................................................................................................................................25敏感个人信息界定.............................................................................................................................................25.1敏感个人信息识别.................................................................25.2常见敏感个人信息类别.............................................................26敏感个人信息处理通用安全要求....................................................................................................................36.1敏感个人信息处理基本要求.........................................................36.2收集必要性.......................................................................36.3告知同意.........................................................................36.4安全保护要求.....................................................................46.5安全管理要求.....................................................................57敏感个人信息处理特殊安全要求....................................................................................................................57.1宗教信仰信息.....................................................................57.2特定身份信息.....................................................................57.3医疗健康信息.....................................................................67.4金融账户信息.....................................................................67.5行踪轨迹信息.....................................................................67.6不满十四周岁未成年人信息.........................................................6附录A（规范性）常见敏感个人信息类别........................................................................................................8附录B（资料性）处理敏感个人信息取得个人书面同意模板........................................................................9附录C（资料性）脱敏展示示例.......................................................................................................................10参考文献...............................................................................................................................................................12 前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：中国电子技术标准化研究院、国家信息技术安全研究中心、中国科学院信息工程研究所、蚂蚁科技集团股份有限公司、北京抖音信息服务有限公司、北京快手科技有限公司、北京百度网讯科技有限公司、公安部第三研究所、北京交通大学、公安部第一研究所、西安交通大学、中国信息安全测评中心、中国科学院软件研究所、中国网络空间研究院、医渡云（北京）技术有限公司、北京小桔科技发展有限公司、北京华品博睿网络技术有限公司、阿里巴巴（中国）有限公司、深圳市腾讯计算机系统有限公司、成都卫士通信息产业股份有限公司、联想（北京）有限公司、北京汉华飞天信安科技有限公司、顺丰速运有限公司，中关村科学城城市大脑股份有限公司等。 本文件主要起草人：姚相振、胡影、陈舒、高超、上官晓丽、杨韬、李凤华、郝春亮、白晓媛、李昳婧、王昕、邓婷、于东升、王伟、李秋香、刘烃、关泰露、程文静、王彬、杨光、张严、田申、郭建领、黄天宁、徐永太、查海平、李汝鑫、蔡旭、姜伟、黎琳、徐起等。 信息安全技术敏感个人信息处理安全要求 1范围 本文件给出了敏感个人信息界定方法，规定了敏感个人信息处理安全要求。 本文件适用于规范个人信息处理者的敏感个人信息处理活动，也可为监管部门、第三方评估机构对个人信息处理者开展敏感个人信息处理活动进行监督、管理、评估提供参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25069—2022信息安全技术术语GB/T35273—2020信息安全技术个人信息安全规范GB/T37964—2019信息安全技术个人信息去标识化指南GB/T37988—2019信息安全技术数据安全能力成熟度模型GB/T39725—2020信息安全技术健康医疗数据安全指南GB/T39335—2020信息安全技术个人信息安全影响评估指南 3术语和定义 GB/T25069-2022、GB/T35273—2020界定的以及下列术语和定义适用于本文件。 3.1 个人信息personalinformation 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。 [来源：GB/T35273—2020,3.1，有修改] 3.2 敏感个人信息sensitive personalinformation 一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。 [来源：GB/T35273—2020,3.2，有修改] 3.3 个人信息处理者personalinformationprocessor 自主决定处理目的、处理方式的组织、个人。 [来源：GB/T35273—2020,3.4，有修改] GB/TXXXXX—XXXX 3.4个人信息主体personalinformationsubject个人信息已识别或者可识别的自然人。[来源：GB/T35273—2020,3.3，有修改] 3.5个人信息处理活动personalinformationprocessing activities个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动。 3.6特定身份信息personalinformationof specificidentities对个人人格尊严和社会评价有重大影响的身份信息。注：主要包括民族、种族、犯罪记录、残障人士身份信息、身份证件号码等。 4缩略语 下列缩略语适用于本文件。API：应用程序编程接口（ApplicationProgrammingInterface） 5敏感个人信息界定 5.1敏感个人信息识别 a)个人信息处理者在进行个人信息处理前，应按照以下方法识别敏感个人信息。b)符合以下任一属性的，应识别为敏感个人信息：1)个人信息遭到泄露或者非法使用，容易导致自然人的人格尊严受到侵害；示例1：个人信息主体可能会因特定身份、犯罪记录、宗教信仰、性取向、特定疾病和健康状态等信息泄露遭到歧视性待遇。2)个人信息遭到泄露或者非法使用，容易导致自然人的人身安全受到危害；3)个人信息遭到泄露或者非法使用，容易导致自然人的财产安全受到危害；示例2：泄露、非法使用金融账户信息及其相关的鉴别信息（如支付口令），可能会造成个人信息主体的财产损失。c)总体考虑个人信息汇聚融合后的整体属性，如汇聚融合的个人信息遭到泄露或者非法使用容易对个人权益造成较大影响