《网络安全标准实践指南-敏感个人信息识别指南》-修订对照稿

4本实践指南给出了敏感个人信息识别规则以及常见敏感个人信2术语与定义以电子或者其他方式记录的与已识别或者可识别的自然人有关注：个人信息不包括匿名化处理后的信息。注：敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。3敏感个人信息识别规则1）个人信息一旦遭到泄露或者非法使用，容注1：维护个人的人格尊严包括维护生命权、身体权、健康权、姓名权、名称权、肖像权、名誉权、荣誉权、隐私权以及其他人格权益。容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入他人网络账户、贩卖个人信息、电信诈骗、损害个人名誉、歧视性差别待遇等。注2：例如歧视性差别待遇可能因个人信息主体可能会因的特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露遭到歧视性待遇导致。2）个人信息一旦遭到泄露或者非法使用，容易导致自然人的人身安全注32：例如泄露、非法使用个人的行踪轨迹信息，可能会造成导致个人信息主体的人身安全受到损害危害。3）个人信息一旦遭到泄露或者非法使用，容易导致自然人财产安全受到危害。注43：例如泄露、非法使用金融账户信息，可能会造成个人信息主体的财产损失。注5：根据用户4：如有充分理由和证据表示处理的个人信息推断其敏感个人信息，推断出的信息也属于达不到a）中条件的，可不识别为敏感个人信息。4常见敏感个人信息注1：生物识别信息可参考GB/T40660、GB/T41819、GB/T41807、GB/T41773、GB/T41806等生物识别信息安全国家标准。注2：个人过去、现在或未来的健康状况均属于医疗健康信息。注3：个人过去、现在的行踪轨迹均属于行踪轨迹信息2：特定职业（外卖员、快递员等）用于实现服务履约场景下除外。6附录A常见敏感个人信息类别示例1.与个人的身体或心理的伤害、疾病、残疾、疾病风险或隐私有关的健康状况信息[注5]，如病症、既往病史、家族病检验检查数据（如检验报告、检查报告）等注1：个人基因信息是指使用技术手段从人类遗传物资源材料中提取的与自然人遗传或遗传特征有关的个人信息，包括基因组核酸序列数据、功能基因组数据、即基因检测结果以及提取过程中的原始数据和中间识别数据。，具体可参考国家标准GB/T41806-2022《信息安全技术基因识别数据安全要求》。注2：人脸信息即人脸识别数据，是指可识别自然人身份的人脸图像、人脸特征（也称面部识别特征）等。其中人脸图像是可提取自然人脸部特征的照片、视频等，人脸特征是从人脸图像提取的反映自然人脸部信息特征的参数。具体可参考国家标准GB/T41819-2022《信息安全技术人脸识别数据安全要求》。注3：步态声纹信息即步态声纹识别数据，是指可识别自然人身份的步态样本、步态剪影、步态特征等。其中步态样本是自然人步态周期的原始（剪切）视频或连续图像序列，步态剪影是步态样本经过分割后得到的序列，步态特征是从步态剪影中提取的用于比对的数据。具体可参考国家标准GB/T41773T41807-2022《信息安全技术步态声纹识别数据安全要求》。注4：声纹步态信息即声纹步态识别数据，是指可识别自然人身份的声纹语音样本、声纹特征项、声纹模型等。其中声纹语音样本是可提取声纹的语音样本，智能语音交互过程中收集的语音（如未经过特殊处理）属于声纹语音样本，而采用参数合成方法生成的语音样本不属于声纹语音样本；声纹特征项是从声纹语音样本中提取的用于声纹识别的参数，如频谱、倒频谱、音高等；声纹模型是对某个自然人的声纹特征项进行描述的数学模型。具体可参考国家标准GB/T41807T41773-2022《信息安全技术声纹步态识别数据安全要求》。注5：个人的体重、身高、血型、血压、肺活量等基本体质信息，如果与个人的疾病和医疗就诊无关，则可认为不属于敏感个人信息范畴。注6：通过申请调用个人手机精准位置权限（如安卓系统ACCESS_FINE_LOCATION权限）采集的位置信息是精准定位信息，通过IP地址等测算的粗略位置信息不是精准定位信息，连续采集的精准定位信息可用于生成行踪轨迹。注7：犯罪记录，是指我国国家专门机关对犯罪人员的客观记载，如犯罪行为、诉讼、判刑罪名、刑罚等记录。7参考文献[3]《网络数据安全管理条例（征求意见稿）》[4]GB/T35273—2020《信息安全技术个人信息安全规范》[5]GB/T43697—2