國家標準《信息安全技術(shù) 敏感個人信息處理安全要求》（征求意見稿）編制說明

國家標準報批材料一、工作簡況1.1任務(wù)來源根據(jù)國家標準化管理委員會2023年下達的國家標準制修訂計劃，《信息安全技術(shù)敏感個人信息處理安全要求》由中國電子技術(shù)標準化研究院負責承辦，計劃號：20230254-T-469。本標準由全國信息安全標準化技術(shù)委員會歸口管理。1.2制定背景為支撐《個人信息保護法》第二節(jié)敏感個人信息的處理規(guī)則的落地實施，標準針對醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個人信息，明確數(shù)據(jù)處理者進行收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理活動的安全要求，重點針對采集必要性、安全保護、脫敏規(guī)則、告知同意等方面提出要求。1.3起草過程標準起草的主要工作過程如下：2022年3月17日，課題研究啟動，成立標準課題研究組，并編制標準草案。2022年4月18日，在信安標委2022年第一次會議周上進行立項匯報。2022年5月至11月，召開五次編制組討論會，對處理特定身份信息、行蹤軌跡信息、不滿十四周歲的未成年人個人信息的相關(guān)企業(yè)進行了調(diào)研，進一步修改完善了標準文本，修改完善標準草案。2022年12月7日，在信安標委2022年第二次會議周上進行匯報，會議結(jié)論為修改完善后轉(zhuǎn)為征求意見稿。2023年1至3月，處理了參與單位的相關(guān)意見，吸納了共識意見，編制組進一步完善標準文本內(nèi)容。2023年4月，國標委下達標準計劃號20230254-T-469。2023年5月11日，召開標準征求意見稿專家審查會，與會專家同意標準公開征求意見。二、標準編制原則、主要內(nèi)容及其確定依據(jù)2.1標準編制原則本標準在編制過程中遵循了先進性和合理性原則。先進性原則體現(xiàn)在與國內(nèi)安全技術(shù)同步。本標準在制定過程中主要參考了《信息安全技術(shù)個人信息安全規(guī)范》和《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》等安全要求。合理性原則體現(xiàn)在本標準為支撐《個人信息保護法》第二節(jié)敏感個人信息的處理規(guī)則的落地實施，規(guī)范各類敏感個人信息處理者，包含網(wǎng)上購物、網(wǎng)絡(luò)支付、網(wǎng)絡(luò)預(yù)約汽車、快遞物流、網(wǎng)絡(luò)音視頻、即時通信等各類場景下的敏感個人信息處理者。2.2主要內(nèi)容及其確定依據(jù)本標準適用于規(guī)范個人信息處理者的個人信息處理活動，也可為監(jiān)管部門、第三方評估機構(gòu)對個人信息處理者開展個人信息處理活動進行監(jiān)督、管理、評估提供參考。為落實《個人信息保護法》對敏感個人信息處理規(guī)則的要求，本標準對生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡、不滿十四周歲未成年人信息等敏感個人信息進行場景化規(guī)定，明確數(shù)據(jù)處理者對這些敏感個人信息進行收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理活動的安全要求，重點突出采集必要性、安全保護、脫敏規(guī)則、告知同意等方面的具體要求。2.3修訂前后技術(shù)內(nèi)容的對比[僅適用于國家標準修訂項目]無。三、試驗驗證的分析、綜述報告，技術(shù)經(jīng)濟論證，預(yù)期的經(jīng)濟效益、社會效益和生態(tài)效益3.1試驗驗證的分析、綜述報告在標準研制過程中，充分調(diào)研了涉及生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡、不滿十四周歲未成年人信息等敏感個人信息的頭部互聯(lián)網(wǎng)公司，進行了分析和梳理，同時，對標準內(nèi)容充分征求了工作組、業(yè)界專家、技術(shù)支撐單位的意見建議。3.2技術(shù)經(jīng)濟論證暫無。3.3預(yù)期的經(jīng)濟效益、社會效益和生態(tài)效益《敏感個人信息處理安全要求》在各個行業(yè)，例如網(wǎng)上購物、網(wǎng)絡(luò)支付、網(wǎng)絡(luò)預(yù)約汽車、快遞物流、網(wǎng)絡(luò)音視頻、即時通信等典型行業(yè)領(lǐng)域的推廣應(yīng)用，可以很好地幫助這些行業(yè)領(lǐng)域的企業(yè)提升自身的個人信息保護能力，有效促進各行業(yè)的健康發(fā)展。標準將為規(guī)范個人信息處理者的行為，保障個人信息權(quán)益，促進個人信息合理利用提供支持。目前，國內(nèi)大部分企業(yè)均處理敏感個人信息，標準應(yīng)用范非常廣泛，標準應(yīng)用將取得良好的效果。四、與國際、國外同類標準技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況無。五、以國際標準為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國際國外標準，并說明未采用國際標準的原因無。六、與有關(guān)法律、行政法規(guī)及相關(guān)標準的關(guān)系本標準符合現(xiàn)有法律法規(guī)的要求。《個人信息保護法》第二章第二節(jié)規(guī)定了敏感個人信息的處理規(guī)則。第二十八條規(guī)定，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。《信息安全技術(shù)個人信息安全規(guī)范》規(guī)定了開展收集、存儲、使用、共享、轉(zhuǎn)讓、公開披露、刪除等個人信息處理活動應(yīng)遵循的原則和安全要求；同時規(guī)定了個人敏感信息的傳輸和存儲等內(nèi)容。七、重大分歧意見的處理經(jīng)過和依據(jù)無。八、涉及專利的有關(guān)說明無。實施國家標準的要求，以及組織措施、技術(shù)措施、過渡期和實施日期的建議等措施建議建議本標準在敏感個人信息處理場景豐富、類型典型的企業(yè)中進行宣貫，逐條落實標準中的要求。十、其他應(yīng)當說明的事項無。國家標準《信息安全技術(shù)敏感個人信息處理安全要求》（征求意見稿）編