新识别指南：既往病史、征信信息、犯罪记录等属敏感个人信息

9月18日，全国网络安全标准化技术委员会发布《网络安全标准实践指南——敏感个人信息识别指南》（下称《识别指南》）。《识别指南》给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例，可用于指导各组织识别敏感个人信息，也可为敏感个人信息处理和保护工作提供参考。

《识别指南》发布

《识别指南》规定，一旦遭到泄露或者非法使用，容易导致自然人的人格尊严、人身安全、财产安全任一条件受到侵害的，应识别为敏感个人信息。其中容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入网络账户、电信诈骗、损害个人名誉、歧视性差别待遇等。歧视性差别待遇可能因个人信息主体的特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露导致。

《识别指南》强调，既要考虑单项敏感个人信息识别，也要考虑多项一般个人信息汇聚或融合后的整体属性，分析其一旦泄露或非法使用可能对个人权益造成的影响。如果符合上述敏感个人信息识别条件，应将汇聚或融合后的个人信息整体参照敏感个人信息进行识别与保护。

列出的常见敏感个人信息共有八类，具体包括生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人的个人信息以及其他敏感个人信息。

常见敏感个人信息类别示例

其中，生物识别信息也称生物特征识别信息，是指对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息，比如个人基因、人脸、声纹、步态、指纹、掌纹、眼纹、耳廓、虹膜等。

特定身份信息是指对个人人格尊严和社会评价有重大影响或有其他不适宜公开的身份信息，特别是那些可能导致社会歧视的特定身份信息，包括残障人士身份信息、不适宜公开的职业身份信息等。宗教信仰信息包括个人信仰的宗教、加入的宗教组织、宗教组织中的职位、参加的宗教活动、特殊宗教习俗等。

另外，其他敏感个人信息涉及的范围和场景更广。比如精准定位信息、身份证照片、性取向、性生活、征信信息、犯罪记录信息、展示个人身体私密部位的照片或视频信息等都被包含在内。《识别指南》还特别提到，通过调用个人手机精准位置权限采集的位置信息是精准定位信息，通过IP地址等测算的粗略位置信息不是精准定位信息，连续采集的精准定位信息可用于生成行踪轨迹。

采写：南都记者 樊文扬