如何判定“个人信息”和“敏感个人信息”?
2021. 11. 2
如何判定“个人信息”和“敏感个人信息”?
2021年8月20日,《中华人民共和国个人信息保护法》(以下称《个保法》)经由十三届全国人大常委会第三十次会议表决通过。自2021年11月1日起,《个保法》正式实施。国家制定和实施《个保法》的目的是,“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”(《个保法》第一条)。《个保法》自2019年列入立法计划以来,经过2年多的立法历程以及正式发布后2个多月的实施准备,相信很多人已经对该法的内容有比较深入的了解,例如:
- “告知—同意”的核心规则;
- 合法、正当、必要、诚信原则;
- 敏感个人信息的特殊处理规则;等。
不少个人信息处理者也紧锣密鼓地自行或者通过专业人士协助,开始采取措施确保个人信息处理活动符合法律、行政法规的规定,包括:制定内部管理制度和操作规程;合理确定个人信息处理的操作权限,并对从业人员进行安全教育和培训;等。但是,在采取这些措施前,首先需要厘清相关法律概念:什么是个人信息?什么是敏感个人信息?
《个保法》关于个人信息处理者的义务要求中,明确指出“应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等”采取措施(《个保法》第五十一条)。只有正确理解和界定个人信息、敏感个人信息,才能有针对性地采取妥当的保护措施。“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”(《个保法》第二十八条第二款)。那么,对于企业劳动人事管理者,经常会需要处理劳动者的很多个人信息,是否都可以分清其属于一般个人信息,还是敏感个人信息呢?
按《个保法》的规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”(《个保法》第二十八条第一款)
上述规定从内涵定义和外延举例两种方式对敏感个人信息做了界定。但如果您一时半会还分不清楚,可以进一步查阅《信息安全技术——个人信息安全规范》 (GBT 35273-2020)附录A(资料性附录)个人信息示例、附录B(资料性附录)个人敏感信息判定,相信会更有思路和答案。
