敏感个人信息是我国《个人信息保护法》项下的重要概念。《促进和规范数据跨境流动规定》出台后,敏感个人信息的识别更关乎个人信息出境合规路径的适用。2024年6月11日,全国网络安全标准化技术委员会(“网安标委”)发布了技术文件《网络安全标准实践指南—敏感个人信息识别指南(征求意见稿)》(“《识别指南(征求意见稿)》”),用于指导敏感个人信息的识别。在此契机下,本文将对敏感个人信息概念进行梳理,为识别敏感个人信息提供参考。
一、“敏感个人信息”的概念溯源
将敏感个人信息与个人信息进行区分起源于20世纪80年代的国际公约。在1981年,欧洲理事会发布了《有关个人数据自动化处理的个人保护协定》。该文件提出“特殊类型数据”的概念,并对特殊类型数据的处理作出了规定。直到2012年,上述公约被修改为《个人数据处理中的个人保护公约》,明确将“数据的特殊类型”改为“敏感数据的处理”。
在我国,“敏感个人信息”的概念首次在《个人信息保护法》出现,也是借鉴了境外立法。在《个人信息保护法》未出台前,2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》规定公民个人身份和涉及公民个人隐私的电子信息,但是并未使用“敏感个人信息”的概念:2020年发布的《民法典》出现“私密信息”的概念,但是这里的“私密信息”更加侧重于隐私范畴,与“敏感个人信息”的内涵及外延均有较大区别。
在《个人信息保护法》中,敏感个人信息是从风险后果角度进行定义的,指“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。同时,《个人信息保护法》也对敏感个人信息做了一些列举,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
即便我国通过上述“概括+列举”的方式定义敏感个人信息,敏感个人信息的范围仍比较模糊,哪些具体信息应该属于敏感个人信息仍存在争议。因此,通过比较法的方式探究不同国家对敏感个人信息的范围界定,也有助于厘清敏感个人信息的概念内涵。
二、“敏感个人信息”的境外立法对比
由于各个国家的历史文化背景、社会制度、及意识形态差异,不同国家的民众对于个人信息的敏感度不一致,因此敏感个人信息在各个国家法律法规中的定义和判断标准也有一定的差异。
欧盟《一般数据保护条例》 (“GDPR”)提出了“特殊类型的个人数据”(special categories of personal data)这一概念,并将其定义为“揭示种族或民族起源、政治观点、宗教或哲学信仰、工会成员的数据,以及用于唯一识别自然人的遗传数据、生物识别数据,有关健康的数据或有关自然人的性生活或性取向的数据”。
美国虽尚未推出联邦层面的综合个人信息保护立法,但美国联邦及州层面的部分法律中对特定敏感信息做出了规定。例如美国推出了《儿童在线隐私保护法》(Children’s Online Privacy Protection Act)(“COPPA”)针对儿童个人信息进行专门保护。加利福尼亚州推出了《加州隐私权法案》(California Privacy Right Act)(“CPRA”)将敏感个人信息包括消费者的账户登录信息、金融账户、借记卡或信用卡号码等信息。除儿童信息、金融、医疗这类对美国民众普遍具有高敏感度的敏感个人信息专门立法,美国还因某些社会事件而推动特定的敏感个人信息立法。比如美国《视频隐私保护法》(Video Privacy Protection Act of 1988)(“VPPA”) 就是因某法官录像带租赁信息被泄露而制定的。
结合全球主要国家数据立法,“敏感个人信息”的范围有所差异,具体区别如下:
三、标准与技术文件中的“敏感个人信息”
在技术文件《识别指南(征求意见稿)》出台前,2020年10月实施的《信息安全技术 个人信息安全规范(GB/T 35273-2020)》(“《个人信息安全规范》”)起到了敏感个人信息识别指引的作用;网安标委也曾在2023年8月发布国家推荐性标准《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》(“《敏感个人信息处理安全要求(征求意见稿)》”),也对常见敏感个人信息类别进行列举。鉴于业界对敏感个人信息准确识别的强烈需求,相信《识别指南(征求意见稿)》会比国家标准更加快地出台,本次《识别指南(征求意见稿)》也会作为未来出台敏感个人信息国家标准的重要依据和参考。
相较于《个人信息安全规范》及《敏感个人信息处理安全要求(征求意见稿)》,本次《识别指南(征求意见稿)》对敏感个人信息的范围界定有下述特点:
(一)部分信息不再被视为敏感个人信息
有部分信息属于《个人信息安全规范》及《敏感个人信息处理安全要求(征求意见稿)》项下的敏感个人信息,但是在《识别指南(征求意见稿)》中不再被视为敏感个人信息监管。
部 分 “ 敏 感 个 人 信 息 ” | 《个人信息安全规范》 | 《识别指南(征求意见稿)》 |
个人财产信息:交易和消费记录 个人身份信息:工作证、驾驶证、居住证 其他信息:通信记录和内容、网页浏览记录、住宿信息、好友列表、群组列表 | 左侧的信息类型不再被视为敏感个人信息进行监管 | |
《敏感个人信息处理安全要求(征求意见稿)》 | ||
特定身份信息:身份证件号码 行踪轨迹信息:特定住宿信息 其他敏感个人信息:网页浏览信息 |
(二)单独的身份证号码不再属于敏感个人信息
在《个人信息安全规范》中,“身份证”属于个人身份信息,被纳入敏感个人信息的范围;在《敏感个人信息处理安全要求(征求意见稿)》中,“身份证件号码”属于特定身份信息而被纳入敏感个人信息。
在本次《识别指南(征求意见稿)》中,特定身份信息没有包括“身份证件号码”;“身份证照片”仍属于敏感个人信息,并被归类到“其他敏感个人信息”的范畴。
由此可知,单独的身份证号码可能将不再被视为敏感个人信息。目前在企业员工管理、金融风控等诸多领域都存在收集甚至跨境传输身份证号码的情况。如果单独的身份证号码不属于敏感个人信息,势必将减轻相关企业敏感个人处理、数据出境等的合规压力。
(三)明确可提取自然人脸部特征的照片、视频属于人脸信息而被纳入敏感个人信息
最高人民法院曾在2021年发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(“《人脸识别案件司法解释》”),规定人脸信息的保护规则。但是,“何为人脸信息”一直未有明确定义。由于《个人信息安全规范》仅规定面部识别特征属于生物识别信息,对于人脸信息是否包括人脸照片也存在争议。《识别指南(征求意见稿)》明确了人脸信息的概念,人脸信息即人脸识别数据,包括可识别自然人身份的人脸特征(也称面部识别特征),也包括人脸图像。其中人脸图像是可提取自然人脸部特征的照片、视频等。
(四)汇聚或融合后的个人信息仍可能构成敏感个人信息
个人信息在现实生活中并非是静态客体,而是在场景中动态流动的,不同来源的个人信息也会汇聚融合。《识别指南(征求意见稿)》不仅考虑单项个人信息的敏感程度,也考虑多项个人信息汇聚或融合后的整体属性。如果分析其一旦泄露或非法使用可能对个人权益造成的影响,那么汇聚或融合后的个人信息将整体参照敏感个人信息进行保护。例如,单独的姓名、工作单位、手机号码等信息可能并不敏感,如果将这类信息汇聚融合后就具有更加明显的身份识别性及潜在危害性,从而提高汇聚融合后信息的敏感程度。
四、司法实践中的“敏感个人信息”
法院在审理个人信息相关案件中除将《个人信息保护法》规定作为判断某类信息是否属于敏感个人信息的依据外,还会参考《个人信息保护法》生效前发布的相关司法解释。例如,《人脸识别案件司法解释》以及2017年发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息案件适用法律若干问题的解释》(“《个人信息刑事案件司法解释》”)。
在《个人信息刑事案件司法解释》中,非法获取、出售或者提供的下列个人信息将“可能影响人身、财产安全”:行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息。如上文所述,由于“敏感个人信息”是从风险后果角度进行判定的,因此上述“可能影响人身、财产安全”的信息在性质上符合“敏感个人信息”的判定规则。
刑事案件中个人信息的分类标准是否应与《个人信息保护法》保持统一在实际操作中仍存在争论。但是,从典型司法案例中可以看出法院对敏感个人信息范围的态度。
敏感个人信息类别 | 司法案例 |
|---|---|
人脸识 别信息 | 最高人民法院2022年发布的指导案例192号将“颜值检测软件”获取的用户手机后台相册中的用户照片判定为人脸信息。法院认为该类信息具有高度的可识别性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况。并且该类信息社交属性较强、采集方便的个人信息,极易被他人直接利用或制作合成,从而破解人脸识别验证程序,引发侵害隐私权、名誉权等违法行为,甚至盗窃、诈骗等犯罪行为,社会危害较大。 |
居民身 份证 | 最高人民法院2022年发布的指导案例193号将居民身份证信息判定为敏感信息。法院认为居民身份证信息包含自然人姓名、人脸识别信息、身份号码、户籍地址等多种个人信息,属于《个人信息刑事案件司法解释》中“其他可能影响人身、财产安全的公民个人信息”。二审法院特别提到居民身份证信息整体均系敏感信息。公民的人脸信息、身份号码、姓名、地址信息结合后所形成的公民个人信息具备唯一性,可与公民个人精准匹配,并可诱发公民其他个人信息的进一步泄露,对公民个人信息权益侵害极大,因此将居民身份证信息整体认定为涉公民人身、财产安全的信息。 |
网上购物订单及交易支付信息 | 在2023年杭州互联网法院审理的薛某、浙江淘宝网络有限公司隐私权纠纷一审民事判决书中杭州互联网法院除根据《个人信息保护法》考虑特定信息是否属于“社会通常认识意义上具有危及自然人人身、财产安全的敏感个人信息”外,法院还考虑到对个人信息处理是否是“敏感化处理”。在本案中,法院认为案件争议的购物订单信息、交易支付完成情况信息、商品配送信息不属于敏感个人信息。并且,将该类信息提供给对应订单的商家进行交付履约,是网络购物平台最通常的个人信息处理行为,并不涉及对个人信息的敏感化处理。 |
公租房申请中的公开摇号配租结果信息 | 在2023年最高人民检察院发布的个人信息保护检查公益诉讼典型案例中,检察机构认为沈阳住房主管部门在公租房申请程序中公开发布的信息足以确定公民身份,并将其概括定义为“个人敏感信息”。这类公开的各类名单包含有公民个人的姓名、身份证号、户籍所在地、申请住房门牌号、申请家庭人口情况、人均居住建筑面积、人均可支配月收入等信息。检查机构未明确其判定法律依据,但要求主管机构依法对该类信息进行去标识化、匿名化处理。 |
五、结语
敏感个人信息的判定对于企业合规义务的承担至关重要,涉及到个人信息处理规则的额外告知、单独同意的适用、个人信息保护影响评估、数据出境合规路径、安全措施的加强等多项合规义务。相信后续《网络安全标准实践指南—敏感个人信息识别指南》的正式发布,将为业界判定敏感个人信息提供了更为准确的指引。笔者也将在后续文章中进一步梳理敏感个人信息的合规要求及落地实践,助力企业合规义务的落实。
(本文作者:世辉律师事务所 王新锐、卢璟、王嘉瑛)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
