《信息安全技术 敏感个人信息处理安全要求》编制说明

国家标准报批材料

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安

全技术敏感个人信息处理安全要求》由中国电子技术标准化研究院负责承办，

计划号：20230254-T-469。本标准由全国信息安全标准化技术委员会归口管理。

1.2制定背景

为支撑《个人信息保护法》第二节敏感个人信息的处理规则的落地实施，标

准针对医疗健康、金融账户、行踪轨迹等敏感个人信息，明确数据处理者进行收

集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求，重点

针对采集必要性、安全保护、脱敏规则、告知同意等方面提出要求。

1.3起草过程

标准起草的主要工作过程如下：

1)2022年3月17日，课题研究启动，成立标准课题研究组，并编制标准

草案。

2)2022年4月18日，在信安标委2022年第一次会议周上进行立项汇报。

3)2022年5月至11月，召开五次编制组讨论会，对处理特定身份信息、

行踪轨迹信息、不满十四周岁的未成年人个人信息的相关企业进行了调研，进一

步修改完善了标准文本，修改完善标准草案。

4)2022年12月7日，在信安标委2022年第二次会议周上进行汇报，会议

结论为修改完善后转为征求意见稿。

5)2023年1至3月，处理了参与单位的相关意见，吸纳了共识意见，编制

组进一步完善标准文本内容。

6)2023年4月，国标委下达标准计划号20230254-T-469。

7)2023年5月11日，召开标准征求意见稿专家审查会，与会专家同意标

准公开征求意见。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准在编制过程中遵循了先进性和合理性原则。

先进性原则体现在与国内安全技术同步。本标准在制定过程中主要参考了

《信息安全技术个人信息安全规范》和《信息安全技术网络数据处理安全要求》

1

国家标准报批材料

等安全要求。

合理性原则体现在本标准为支撑《个人信息保护法》第二节敏感个人信息的

处理规则的落地实施，规范各类敏感个人信息处理者，包含网上购物、网络支付、

网络预约汽车、快递物流、网络音视频、即时通信等各类场景下的敏感个人信息

处理者。

2.2主要内容及其确定依据

本标准适用于规范个人信息处理者的个人信息处理活动，也可为监管部门、

第三方评估机构对个人信息处理者开展个人信息处理活动进行监督、管理、评估

提供参考。

为落实《个人信息保护法》对敏感个人信息处理规则的要求，本标准对生物

识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未

成年人信息等敏感个人信息进行场景化规定，明确数据处理者对这些敏感个人信

息进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要

求，重点突出采集必要性、安全保护、脱敏规则、告知同意等方面的具体要求。

2.3修订前后技术内容的对比[仅适用于国家标准修订项目]

无。

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益和生态效益

3.1试验验证的分析、综述报告

在标准研制过程中，充分调研了涉及生物识别、宗教信仰、特定身份、医疗

健康、金融账户、行踪轨迹、不满十四周岁未成年人信息等敏感个人信息的头部

互联网公司，进行了分析和梳理，同时，对标准内容充分征求了工作组、业界专

家、技术支撑单位的意见建议。

3.2技术经济论证

暂无。

3.3预期的经济效益、社会效益和生态效益

《敏感个人信息处理安全要求》在各个行业，例如网上购物、网络支付、网

络预约汽车、快递物流、网络音视频、即时通信等典型行业领域的推广应用，可

以很好地帮助这些行业领域的企业提升自身的个人信息保护能力，有效促进各行

2

国家标准报批材料

业的健康发展。标准将为规范个人信息处理者的行为，保障个人信息权益，促进

个人信息合理利用提供支持。目前，国内大部分企业均处理敏感个人信息，标准

应用范非常广泛，标准应用将取得良好的效果。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

无。

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外

标准，并说明未采用国际标准的原因

无。

六、与有关法律、行政法规及相关标准的关系

本标准符合现有法律法规的要求。《个人信息保护法》第二章第二节规定了

敏感个人信息的处理规则。第二十八条规定，敏感个人信息是一旦泄露或者非法

使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人

信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等

信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的

必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

《信息安全技术个人信息安全规范》规定了开展收集、存储、使用、共享、

转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求；同时规定

了个人敏感信息的传输和存储等内容。

七、重大分歧意见的处理经过和依据

无。

八、涉及专利的有关说明

无。

九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期

的建议等措施建议

建议本标准在敏感个人信息处理场景丰富、类型典型的企业中进行宣贯，逐

条落实标准中的要求。

十、其他应当说明的事项

无。