南方財經(jīng)全媒體記者馬嘉璐   廣州報道

在數(shù)據(jù)分類分級框架下進行的數(shù)據(jù)合規(guī)、數(shù)據(jù)跨境等工作，常常會遇到一個實操問題：何為敏感個人信息？9月18日，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——敏感個人信息識別指南》（以下簡稱《指南》），提出了敏感個人信息識別規(guī)則以及常見敏感個人信息類別和示例，為敏感個人信息處理和保護工作提供參考。

此前，國家標(biāo)準(zhǔn)GB/T 35273《信息安全技術(shù)  個人信息安全規(guī)范》在資料性附錄中對個人敏感信息判定給出了示例。GB/T 35273已對敏感個人信息明確了定義，即一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息。根據(jù)這一定義，《指南》對常見敏感個人信息進行了列舉，對GB/T 35273中的示例進行了細(xì)化、調(diào)整和修改。比如，將GB/T 35273列為“其他信息”的宗教信仰、行蹤軌跡分別單列，將“個人身份信息”調(diào)整為“特定身份信息”，對醫(yī)療健康信息、金融賬戶信息的示例進一步細(xì)化。

值得注意的是，與GB/T 35273列舉的“個人身份信息”相比，《指南》將范圍縮小至“特定身份信息”，即包括殘障人士身份信息以及不適宜公開的職業(yè)身份信息等，同時將身份證照片列為其他敏感個人信息。GB/T 35273中提到的身份證、護照、駕駛證、工作證、居住證，《指南》示例中并未提及。

敏感個人信息的示例中未納入身份證號，是不是放松了對身份證號的保護？有資深專家分析，這并不意味著對身份證號的保護標(biāo)準(zhǔn)有所降低，不是一種合規(guī)讓步。近年來已經(jīng)構(gòu)建起一系列個人信息保護的法規(guī)、標(biāo)準(zhǔn)，對包括身份證號在內(nèi)的個人信息數(shù)據(jù)安全、脫敏、加密等方面作出了詳細(xì)規(guī)定，安全保護措施要求不能打折扣。

根據(jù)個人信息保護法的規(guī)定，處理敏感個人信息時需要遵守“單獨同意”原則。不過，在實際生活中，許多用戶在被收集身份證號時，雖然是在單獨頁面上填寫，而且填寫的動作會被視作法律上“同意”。但其實用戶并沒有其他選項，不一定是真正自愿地提供了身份證號；可如果不填，就無法獲得服務(wù)。上述專家表示，在這種情況下，比起“單獨同意”，要求個人信息處理者嚴(yán)格遵守合法性基礎(chǔ)和必要性原則，更為關(guān)鍵。即，是否真的有必要收集用戶身份證號，需要進一步厘清。

《指南》帶來的影響還體現(xiàn)在數(shù)據(jù)跨境領(lǐng)域。今年3月22日國家網(wǎng)信辦發(fā)布的《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》中明確，關(guān)鍵信息基礎(chǔ)設(shè)施運營者以外的數(shù)據(jù)處理者自當(dāng)年1月1日起累計向境外提供1萬人以上敏感個人信息的，應(yīng)當(dāng)向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估；不滿1萬人敏感個人信息的，應(yīng)當(dāng)依法與境外接收方訂立個人信息出境標(biāo)準(zhǔn)合同或者通過個人信息保護認(rèn)證?！吨改稀窞槊舾袀€人信息的識別認(rèn)定提供了更具可操作性的方法，給出了明確的示例，將有助于降低數(shù)據(jù)跨境的合規(guī)成本。