关于身份证号号码以及精确定位信息是否是敏感个人信息的疑问一直以来不少合规安全从业者有疑惑,本文来自于《数安标准强基助力计划 》作者为指南和标准的起草者,其观点具有一定的权威性,一下为内容摘要,以供大家学习和解惑,希望能对大家有所帮助。
(1)公民身份证号码是否是敏感个人信息?
单独的公民身份证号码不是敏感个人信息,但具有完整身份证信息的身份证照片是敏感个人信息。身份证照片的影印件如果能达到体现清晰完整的身份证照片的效果,信息泄露、滥用将可能对个人财产安全造成危害,则构成敏感个人信息。公民身份证号码如果与其他个人信息汇聚融合后,需要综合考虑是否符合指南3c)条款。
(2)个人定位信息是否是敏感个人信息?
个人精准定位信息的泄露可能导致个人信息主体的人身安全遭受侵害,确有实际保护的需求且符合行业的现有认知,个人精准定位信息应识别为敏感个人信息。连续采集的个人精准定位信息可用于生成行踪轨迹,行踪轨迹信息是敏感个人信息。
个人粗略位置信息在实践中一般不认定为敏感个人信息,美国《保护美国人数据免受外国敌对势力侵犯法案》中对于“地理位置信息”的精确度,明确是足以识别个人或设备的街道位置信息,或者个人或设备在1850英尺或更小范围内的位置。指南中也规定了,通过IP地址等测算的粗略位置信息不是精准定位信息。
备注:例如 安卓Android 支持以下级别的位置信息精确度:大致位置,提供设备位置的估算值。如果此位置估算值来自 LocationManagerService 或 FusedLocationProvider,则该估算值会精确到 3 平方公里(约 1.2 平方英里)以内。
(3)敏感个人信息是否有退出机制?
指南附录A中给出了常见敏感个人信息类别示例,同时也赋予了敏感个人信息进入和退出的机制。单项个人信息可能并不是敏感个人信息,但多项一般个人信息汇聚或融合后的整体可能会符合构成敏感个人信息的条件,应将汇聚或融合后的个人信息整体参照敏感个人信息进行识别与保护。
如有充分理由和证据表示处理的个人信息达不到构成敏感个人信息的条件的,可不识别为敏感个人信息。“充分的理由和证据”可以采用的方法包括但不限于开展个人信息保护影响评估、个人信息保护合规审计等。开展个人信息保护影响评估,具体可参考国家标准GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》;开展个人信息保护合规审计,具体可参考国家标准《数据安全技术 个人信息保护合规审计要求》。
(4)指南衔接《敏感个人信息处理安全要求》国家标准
在研的《数据安全技术 敏感个人信息处理安全要求》国家标准已经进入报批阶段,指南中关于敏感个人信息识别内容的研究成果将会被国家标准吸纳,两者充分衔接,以更好的指导各组织开展敏感个人信息处理和保护工作。
《数据安全技术 敏感个人信息处理安全要求》网上公布的征求意见稿见如下:
https://www.tc260.org.cn/file/2023-08-08/cf1db508-85e0-4ac0-abc6-ee619e004a25.pdf
来源:数安标准强基助力计划
作者:中国电子技术标准化研究院 陈舒 何延哲