随着《个人信息保护法》等法律法规的落地实施,个人信息保护与治理已成为我国数字经济发展的核心议题,也成为了数据律师普遍关注的法律服务之一。
在此背景下,国家市场监督管理总局、国家标准化管理委员会于2025年4月25日正式发布了2025年第10号《中华人民共和国国家标准公告》,其中由全国网络安全标准化技术委员会归口的6项国家标准正式发布,具体见下:
本文旨在结合其中的GB/T 45574-2025《信息安全技术 敏感个人信息处理安全要求》(以下简称“正式稿”),对敏感个人信息合规使用的框架、关键内容进行专门解读,并与《敏感个人信息处理安全要求(征求意见稿)》(2023年8月发布)进行对比分析。
文 | 万波
GB/T 45577-2025正式稿构建了敏感个人信息处理的完整合规框架,主要包括以下几个方面:
1、 敏感个人信息的界定标准
正式稿沿用了《个人信息保护法》对敏感个人信息的定义,即"一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息",同时进一步细化了识别标准。
正式稿采用了"风险判断+示例对照+综合评估"的三维识别方法,要求企业从信息泄露或滥用可能导致的危害程度出发进行实质性判断。标准附录中详细列举了八大类敏感个人信息,增强了可实操性,具体包括:(1)生物识别信息、(2)宗教信仰信息、(3)特定身份信息、(4)医疗健康信息、(5)金融账户信息、(6)行踪轨迹信息、(7)不满十四周岁未成年人信息、(8)其他敏感个人信息。
2、 处理敏感个人信息的通用安全要求
正式稿从“目的特定和充分必要”、“增强告知和单独同意”两个维度提出了通用安全要求,同时进一步细化了收集敏感个人信息的合法性、收集要求、告知、同意、安全保护要求的操作标准。
3、 特殊场景下的合规要求
标准针对(1)生物识别信息、(2)宗教信仰信息、(3)特定身份信息、(4)医疗健康信息、(5)金融账户信息、(6)行踪轨迹信息、(7)不满十四周岁未成年人等场景,设置了专门章节,逐一进行细化规定。
通过对比正式稿与2023年8月发布的征求意见稿,可以发现若干变化,这些调整反映了立法者对行业实践的回应和对个人信息保护平衡点的探索:
1、 敏感个人信息范围的调整
征求意见稿将"身份鉴别信息"单独列为一类敏感个人信息,而正式稿删除了此类别。
此外,GB/T 45577-2025正式稿对"行踪轨迹信息"的定义更为精确,明确排除了外卖员、快递员等特定职业在服务履约场景下产生的行踪信息,体现了对正常商业活动的考量。
2、 同意机制的细化
征求意见稿仅原则性要求处理敏感个人信息应取得个人"单独同意",而正式稿进一步细化了同意的有效性标准,强调同意必须是基于充分告知的、具体的、清晰明确的愿望表示,不能通过默认勾选、捆绑授权等方式获取48。这一变化与《网络数据安全管理条例》第22条禁止"频繁征求同意"等干扰用户自主选择行为的规定相呼应。
3、 合规要求的灵活性增强
GB/T 45577-2025正式稿考虑到法律法规及行业发展的实际要求,对征求意见稿中的相关处理场景进行了灵活规定。
如《促进和规范数据跨境流动规定》出台后,在跨境传输方面,对安全评估和个人信息保护认证两种合规路径均予以认可,正式稿据此删除了处理敏感个人信息超过1万条、涉及个人信息跨境传输的,应开展数据出境风险自评估的规定。
GB/T 45577-2025正式稿有下列要求,值得敏感个人信息的处理企业引起重点关注:
1、明确除下表所列与金融账户有关的账号与密码(口令),其他一般的鉴别信息(登陆密码、动态口令、口令保护答案等)不再作为敏感个人信息。
2、明确了个人的体重、身高、血型、血压和肺活量等基本体质信息,如与个人的疾病和医疗就诊无关,则可认为不属于敏感个人信息。
3、明确只有个人在一定期间内因为所处具体地理位置、活动地点和活动轨迹的移动变化而形成的连续轨迹信息,才构成行踪轨迹信息。但是,如业务功能仅收集地理位置信息,但加工后产生的信息包含经纬度、时间范围和地点空间等,则应与行踪轨迹信息同等保护要求。
4、明确将显示个人身体私密部位的照片或视频信息等的个人信息作为敏感个人信息。
5、既要考虑单项敏感个人信息识别,也要考虑多项一般个人信息汇聚后的整体属性,如汇聚信息一旦泄露或非法使用可能对个人权益造成的影响,也应将汇聚后的个人信息整体参照敏感个人信息进行识别与保护。
6、明确了不应通过技术手段自动收集互联网网站页面、移动互联网应用程序传输、存储和显示的敏感个人信息。个人信息处理者处理已公开的敏感个人信息,经评估对个人权益有重大影响的,应取得个人的单独同意。
7、明确了持续收集敏感个人信息的(如出行导航类需持续收集个人信息主体地理位置信息的),宜提供持续提示或间隔提示机制。
8、明确了单独同意的方式,可由个人信息主体主动完成填写提交,也可通过设置独立页面、电话和短信等向个人信息主体进行告知并通过个人点击、或分项勾选等肯定性动作作出同意表示。
9、明确多项敏感个人信息处理活动,应按处理目的和业务功能为个人信息主体提供单独同意机制;单项敏感个人信息被用于多个处理目的或业务功能的,则不应捆绑取得同意。
10、明确应对敏感个人信息处理和操作情况进行记录,日志记录应保存三年。
11、要求应至少每月对敏感个人信息处理日志和用户权限进行安全审计,及时处理不合理的授权和操作。
12、要求敏感个人信息显示界面应添加包括访问主体标识和访问时间等内容的水印,涉及集中显示 的,应默认禁用复制、打印和截屏等功能。
13、敏感个人信息处理者的数据安全能力,宜符合GB/T37988三级及以上能力要求。
14、明确处理10万人以上敏感个人信息的,应指定个人信息保护负责人和管理机构。
15、鼓励在保证实现业务功能的基础上,对所收集的生物识别信息直接进行特征和摘要信息提取。
16、明确不应使用个人特定身份信息构建用户画像和用于个性化推荐。
17、明确仅在未成年人相关法律法规有明确要求时(如信息发布、即时通讯、网络直播、网络游戏等),方可收集不满十四周岁未成年人身份信息。
18、明确验证监护人身份的流程和方式可采取短信验证、电话验证、视频验证、电子邮箱验证、书面 确认和绑定实名账户等合理措施进行。
GB/T 45577-2025《敏感个人信息处理安全要求》的发布,标志着我国个人信息保护标准体系进一步完善。与征求意见稿相比,正式稿在保持高标准保护的同时,更加注重规则的可行性和灵活性,反映了监管部门在保护个人权益与促进数据合理利用之间的平衡考量。
展望未来,随着数字经济的深入发展,敏感个人信息保护将面临更多新挑战,如生成式AI技术对个人信息的深度挖掘、元宇宙场景下的生物特征数据应用等7。标准可能需要与时俱进地更新完善,以应对技术发展带来的新型风险。同时,随着《网络数据安全管理条例》等配套法规的实施,敏感个人信息保护的执法实践也将更加丰富,为企业合规提供更多指引。
对企业而言,敏感个人信息保护不仅是法律合规的要求,更是赢得用户信任、实现可持续发展的基础。提前布局、主动合规的企业将在未来的数据驱动竞争中占据优势地位。标准的实施将推动我国个人信息保护水平整体提升,为数字经济的健康发展奠定坚实基础。
BOSS & YOUNG
律师介绍
万波
上海邦信阳律师事务所 合伙人 📍上海
wanbo@boss-young.com
万律师主要执业方向为金融证券、金融科技、人工智能与数字经济领域,现为邦信阳人工智能与数字经济全国业务委员会主任,并任中国个人信息保护合规审计推进小组成员、上海市律师协会数据合规与网络安全专业委员会委员、上海大数据联盟成员、上海数商协会成员、上海仲裁协会数字经济与人工智能研究委员会委员、基于川渝的部省协同公路行业可信数据空间联盟理事等社会职务。具有国际云安全联盟(CSA)认证数据保护官资质,被China Business Law Journal连续评为2022年“A-List”法律精英,2023年、2024年“The Visionaries睿见领袖”,入选律新社“2024年度数据合规领域品牌之星匠心律师”,2024年度LegalOne实力之星(Stellar Accolade)。曾于2023年出版《数据与个人信息疑难问题法律指引——基于251则典型案例的分析》专著,并牵头撰写《2024人工智能与数字经济法律研究报告——银行保险篇》、《2024人工智能与数字经济法律研究报告——公共数据运营篇》等专题报告,并办理了上海首批2个“上海数据”品牌认证项目、全国交通行业数据产品挂牌及数据资产入表第一单项目、上海数据产品知识产权融资第一单项目等。
Boss & Young Since 1995
法治兴邦·知行于信·大道向阳
使 命:让律师成为法治社会的重要助推
愿 景:法治天下·诗意栖居
价值观:可靠、高效、富有创造力,守正、相与、永葆进取心
来源:邦信阳律师事务所
编辑:鱼仔
责任编辑:高兴、陈默
声明:本文仅代表作者本人观点,不得视为邦信阳律师事务所及律师出具的正式法律意见或建议。转载请注明来自“邦信阳律师事务所”公众号。如您有意就相关议题进一步交流或探讨,欢迎与我们联系,电话:+8621 23169090,邮箱:shanghai@boss-young.com
点击“阅读原文”,登录邦信阳律师事务所官网了解更多资讯。
