标准应用 | 敏感个人信息的界定与告知同意
2024-9-23 14:32:25 Author: www.4hou.com(查看原文) 阅读量:2 收藏

企业资讯 行业 刚刚发布

3126

收藏

导语:为了确保敏感个人信息的收集与处理行为合法且安全,全国信息安全标准化技术委员会于2023年8月9日发布的《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》。

本文将先对《安全要求》提到的敏感个人信息界定方法进行解读,并对《安全要求》的“6.3 告知同意”分析举例。

一、敏感个人信息界定

《安全要求》对“敏感个人信息”这一词进行了定义,即“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。”并且,《安全要求》还列举了敏感个人信息类别,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

1、敏感个人信息识别

《安全要求》中将符合以下任一属性的,识别为敏感个人信息:

1) 个人信息遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害;

示例 1:用户的特定身份、犯罪记录、宗教信仰、性取向、特定疾病和健康状况等信息泄露后,可能会遭遇歧视性待遇。

2) 个人信息遭到泄露或者非法使用,容易导致自然人的人身安全受到危害;

示例 2:用户的实时精准定位信息、GPS车辆轨迹信息、航班车票信息以及特定住宿信息等一旦泄露,可能会对用户的人身安全构成威胁。

3) 个人信息遭到泄露或者非法使用,容易导致自然人的财产安全受到危害;

示例 3:泄露、非法使用金融账户信息及其相关的鉴别信息(如支付口令),可能会造成用户的财产损失。

2、常见敏感个人信息类别

常见敏感个人信息包括以下类别:

a) 生物识别信息:对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。

b) 宗教信仰信息:与信仰的宗教、宗教组织、宗教活动相关的信息。

c) 特定身份信息:对个人人格尊严和社会评价有重大影响的身份信息,特别是那些可能导致社会歧视的特定身份信息。

d) 医疗健康信息:与自然人的健康状况以及医疗就诊相关的信息。

e) 金融账户信息:与银行、证券等账户和交易相关的信息。

f) 行踪轨迹信息:与个人所处地理位置、活动地点和活动轨迹等相关的信息。

g) 身份鉴别信息:用于验证主体是否具有访问或使用权限的信息。例如登陆密码、支付密码、动态口令、口令保护答案等。

h) 未成年人个人信息:不满十四周岁未成年人的个人信息。

i) 其他敏感个人信息:除以上信息外,应作为敏感个人信息保护的信息。

每一类敏感个人信息的具体示例如下:

1.jpg

二、敏感个人信息处理基本要求

1、告知

2.jpg

2、同意

3.jpg

三、常见敏感个人信息举例

1、生物识别信息

a) 人脸

App在进行收集或处理人脸识别信息前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下(左图为App,右图为小程序):

4.jpg

申请收集或处理人脸识别信息图(左图为App,右图为小程序)

b) 指纹

App在进行收集或处理指纹识别信息前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式(左图)、通过单独弹窗(右图)告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下:

5.jpg

申请收集或处理指纹信息图(左图为单独提示界面,右图为弹窗)

c) 声纹

App在进行收集或处理声纹识别信息前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式(左图)、通过单独弹窗(右图)告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下:

6.jpg

申请收集或处理声纹信息图(左图为单独提示界面,右图为弹窗)

2、特定身份信息

a) 身份证件号码

App在进行收集或处理身份证件号码前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下:

7.jpg

申请收集或处理身份证件号码信息图

3、行踪轨迹信息

a) GPS车辆轨迹信息

App在进行收集或处理GPS车辆轨迹信息前,应当采用增强形式向用户进行告知,并取得用户的单独同意。例如:采用转至单独提示界面方式(左图)、通过单独弹窗(右图)告知用户,并采用用户勾选的肯定性动作进行同意表示。示例如下:

8.jpg

申请收集或处理GPS车辆轨迹信息图(左图为单独提示界面,右图为弹窗)

四、总结

本文通过对《安全要求》中的敏感个人信息中的界定方法和敏感个人信息处理安全要求(告知和同意)进行解析,并详细介绍常见的敏感个人信息类别和典型示例,帮助个人信息处理者更全面地掌握敏感个人信息的特殊性质,同时辅助个人信息处理者在进行敏感个人信息的收集和处理之前,深入了解《安全要求》中的关于“告知同意”的要求,确保移动应用开发者、运营者的操作符合保护用户敏感个人信息权益的标准。进而提升个人信息处理的规范性、增强用户对其信息安全的信任感,从而实现对用户敏感个人信息的全面保护。

如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/omyz
如有侵权请联系:admin#unsafe.sh