在数字化时代，保护敏感个人信息显得尤为关键，敏感个人信息包括那些能够直接或间接识别个人身份的数据，这些信息一旦泄露，可能导致身份盗窃、金融欺诈和隐私侵犯等严重后果。因此，为了确保敏感个人信息的收集与处理行为合法且安全，全国信息安全标准化技术委员会于2023年8月9日发布的《信息安全技术 敏感个人信息处理安全要求（征求意见稿）》（以下简称《安全要求》）。本文将先对《安全要求》提到的敏感个人信息界定方法进行解读，并对《安全要求》的“6.3 告知同意”分析举例。

一、敏感个人信息界定

《安全要求》对“敏感个人信息”这一词进行了定义，即“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。”并且，《安全要求》还列举了敏感个人信息类别，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

1、敏感个人信息识别

《安全要求》中将符合以下任一属性的，识别为敏感个人信息：

1）个人信息遭到泄露或者非法使用，容易导致自然人的人格尊严受到侵害；

示例 1：用户的特定身份、犯罪记录、宗教信仰、性取向、特定疾病和健康状况等信息泄露后，可能会遭遇歧视性待遇。

2）个人信息遭到泄露或者非法使用，容易导致自然人的人身安全受到危害；

示例 2：用户的实时精准定位信息、GPS车辆轨迹信息、航班车票信息以及特定住宿信息等一旦泄露，可能会对用户的人身安全构成威胁。

3）个人信息遭到泄露或者非法使用，容易导致自然人的财产安全受到危害；

示例 3：泄露、非法使用金融账户信息及其相关的鉴别信息（如支付口令），可能会造成用户的财产损失。

2、常见敏感个人信息类别

常见敏感个人信息包括以下类别：

a) 生物识别信息：对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。

b) 宗教信仰信息：与信仰的宗教、宗教组织、宗教活动相关的信息。

c) 特定身份信息：对个人人格尊严和社会评价有重大影响的身份信息，特别是那些可能导致社会歧视的特定身份信息。

d) 医疗健康信息：与自然人的健康状况以及医疗就诊相关的信息。

e) 金融账户信息：与银行、证券等账户和交易相关的信息。

f) 行踪轨迹信息：与个人所处地理位置、活动地点和活动轨迹等相关的信息。

g) 身份鉴别信息：用于验证主体是否具有访问或使用权限的信息。例如登陆密码、支付密码、动态口令、口令保护答案等。

h) 未成年人个人信息：不满十四周岁未成年人的个人信息。

i) 其他敏感个人信息：除以上信息外，应作为敏感个人信息保护的信息。

每一类敏感个人信息的具体示例如下：

二、敏感个人信息处理基本要求

1、告知

2、同意

三、常见敏感个人信息举例

1、生物识别信息

a）人脸

App在进行收集或处理人脸识别信息前，应当采用增强形式向用户进行告知，并取得用户的单独同意。例如：采用转至单独提示界面方式告知用户，并采用用户勾选的肯定性动作进行同意表示。示例如下（左图为App，右图为小程序）：

申请收集或处理人脸识别信息图（左图为App，右图为小程序）

b）指纹

App在进行收集或处理指纹识别信息前，应当采用增强形式向用户进行告知，并取得用户的单独同意。例如：采用转至单独提示界面方式（左图）、通过单独弹窗（右图）告知用户，并采用用户勾选的肯定性动作进行同意表示。示例如下：

申请收集或处理指纹信息图（左图为单独提示界面，右图为弹窗）

c）声纹

App在进行收集或处理声纹识别信息前，应当采用增强形式向用户进行告知，并取得用户的单独同意。例如：采用转至单独提示界面方式（左图）、通过单独弹窗（右图）告知用户，并采用用户勾选的肯定性动作进行同意表示。示例如下：

申请收集或处理声纹信息图（左图为单独提示界面，右图为弹窗）

2、特定身份信息

a）身份证件号码

App在进行收集或处理身份证件号码前，应当采用增强形式向用户进行告知，并取得用户的单独同意。例如：采用转至单独提示界面方式告知用户，并采用用户勾选的肯定性动作进行同意表示。示例如下：

申请收集或处理身份证件号码信息图

3、行踪轨迹信息

a）GPS车辆轨迹信息

App在进行收集或处理GPS车辆轨迹信息前，应当采用增强形式向用户进行告知，并取得用户的单独同意。例如：采用转至单独提示界面方式（左图）、通过单独弹窗（右图）告知用户，并采用用户勾选的肯定性动作进行同意表示。示例如下：

申请收集或处理GPS车辆轨迹信息图（左图为单独提示界面，右图为弹窗）

四、总结

本文通过对《安全要求》中的敏感个人信息中的界定方法和敏感个人信息处理安全要求（告知和同意）进行解析，并详细介绍常见的敏感个人信息类别和典型示例，帮助个人信息处理者更全面地掌握敏感个人信息的特殊性质，同时辅助个人信息处理者在进行敏感个人信息的收集和处理之前，深入了解《安全要求》中的关于“告知同意”的要求，确保移动应用开发者、运营者的操作符合保护用户敏感个人信息权益的标准。进而提升个人信息处理的规范性、增强用户对其信息安全的信任感，从而实现对用户敏感个人信息的全面保护。