國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 敏感個(gè)人信息處理安全要求》（征求意見(jiàn)稿）編制說(shuō)明

國(guó)家標(biāo)準(zhǔn)報(bào)批材料一、工作簡(jiǎn)況1.1任務(wù)來(lái)源根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2023年下達(dá)的國(guó)家標(biāo)準(zhǔn)制修訂計(jì)劃，《信息安全技術(shù)敏感個(gè)人信息處理安全要求》由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院負(fù)責(zé)承辦，計(jì)劃號(hào)：20230254-T-469。本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口管理。1.2制定背景為支撐《個(gè)人信息保護(hù)法》第二節(jié)敏感個(gè)人信息的處理規(guī)則的落地實(shí)施，標(biāo)準(zhǔn)針對(duì)醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個(gè)人信息，明確數(shù)據(jù)處理者進(jìn)行收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等處理活動(dòng)的安全要求，重點(diǎn)針對(duì)采集必要性、安全保護(hù)、脫敏規(guī)則、告知同意等方面提出要求。1.3起草過(guò)程標(biāo)準(zhǔn)起草的主要工作過(guò)程如下：2022年3月17日，課題研究啟動(dòng)，成立標(biāo)準(zhǔn)課題研究組，并編制標(biāo)準(zhǔn)草案。2022年4月18日，在信安標(biāo)委2022年第一次會(huì)議周上進(jìn)行立項(xiàng)匯報(bào)。2022年5月至11月，召開(kāi)五次編制組討論會(huì)，對(duì)處理特定身份信息、行蹤軌跡信息、不滿十四周歲的未成年人個(gè)人信息的相關(guān)企業(yè)進(jìn)行了調(diào)研，進(jìn)一步修改完善了標(biāo)準(zhǔn)文本，修改完善標(biāo)準(zhǔn)草案。2022年12月7日，在信安標(biāo)委2022年第二次會(huì)議周上進(jìn)行匯報(bào)，會(huì)議結(jié)論為修改完善后轉(zhuǎn)為征求意見(jiàn)稿。2023年1至3月，處理了參與單位的相關(guān)意見(jiàn)，吸納了共識(shí)意見(jiàn)，編制組進(jìn)一步完善標(biāo)準(zhǔn)文本內(nèi)容。2023年4月，國(guó)標(biāo)委下達(dá)標(biāo)準(zhǔn)計(jì)劃號(hào)20230254-T-469。2023年5月11日，召開(kāi)標(biāo)準(zhǔn)征求意見(jiàn)稿專家審查會(huì)，與會(huì)專家同意標(biāo)準(zhǔn)公開(kāi)征求意見(jiàn)。二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)2.1標(biāo)準(zhǔn)編制原則本標(biāo)準(zhǔn)在編制過(guò)程中遵循了先進(jìn)性和合理性原則。先進(jìn)性原則體現(xiàn)在與國(guó)內(nèi)安全技術(shù)同步。本標(biāo)準(zhǔn)在制定過(guò)程中主要參考了《信息安全技術(shù)個(gè)人信息安全規(guī)范》和《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》等安全要求。合理性原則體現(xiàn)在本標(biāo)準(zhǔn)為支撐《個(gè)人信息保護(hù)法》第二節(jié)敏感個(gè)人信息的處理規(guī)則的落地實(shí)施，規(guī)范各類(lèi)敏感個(gè)人信息處理者，包含網(wǎng)上購(gòu)物、網(wǎng)絡(luò)支付、網(wǎng)絡(luò)預(yù)約汽車(chē)、快遞物流、網(wǎng)絡(luò)音視頻、即時(shí)通信等各類(lèi)場(chǎng)景下的敏感個(gè)人信息處理者。2.2主要內(nèi)容及其確定依據(jù)本標(biāo)準(zhǔn)適用于規(guī)范個(gè)人信息處理者的個(gè)人信息處理活動(dòng)，也可為監(jiān)管部門(mén)、第三方評(píng)估機(jī)構(gòu)對(duì)個(gè)人信息處理者開(kāi)展個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督、管理、評(píng)估提供參考。為落實(shí)《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息處理規(guī)則的要求，本標(biāo)準(zhǔn)對(duì)生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡、不滿十四周歲未成年人信息等敏感個(gè)人信息進(jìn)行場(chǎng)景化規(guī)定，明確數(shù)據(jù)處理者對(duì)這些敏感個(gè)人信息進(jìn)行收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等處理活動(dòng)的安全要求，重點(diǎn)突出采集必要性、安全保護(hù)、脫敏規(guī)則、告知同意等方面的具體要求。2.3修訂前后技術(shù)內(nèi)容的對(duì)比[僅適用于國(guó)家標(biāo)準(zhǔn)修訂項(xiàng)目]無(wú)。三、試驗(yàn)驗(yàn)證的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益和生態(tài)效益3.1試驗(yàn)驗(yàn)證的分析、綜述報(bào)告在標(biāo)準(zhǔn)研制過(guò)程中，充分調(diào)研了涉及生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡、不滿十四周歲未成年人信息等敏感個(gè)人信息的頭部互聯(lián)網(wǎng)公司，進(jìn)行了分析和梳理，同時(shí)，對(duì)標(biāo)準(zhǔn)內(nèi)容充分征求了工作組、業(yè)界專家、技術(shù)支撐單位的意見(jiàn)建議。3.2技術(shù)經(jīng)濟(jì)論證暫無(wú)。3.3預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益和生態(tài)效益《敏感個(gè)人信息處理安全要求》在各個(gè)行業(yè)，例如網(wǎng)上購(gòu)物、網(wǎng)絡(luò)支付、網(wǎng)絡(luò)預(yù)約汽車(chē)、快遞物流、網(wǎng)絡(luò)音視頻、即時(shí)通信等典型行業(yè)領(lǐng)域的推廣應(yīng)用，可以很好地幫助這些行業(yè)領(lǐng)域的企業(yè)提升自身的個(gè)人信息保護(hù)能力，有效促進(jìn)各行業(yè)的健康發(fā)展。標(biāo)準(zhǔn)將為規(guī)范個(gè)人信息處理者的行為，保障個(gè)人信息權(quán)益，促進(jìn)個(gè)人信息合理利用提供支持。目前，國(guó)內(nèi)大部分企業(yè)均處理敏感個(gè)人信息，標(biāo)準(zhǔn)應(yīng)用范非常廣泛，標(biāo)準(zhǔn)應(yīng)用將取得良好的效果。四、與國(guó)際、國(guó)外同類(lèi)標(biāo)準(zhǔn)技術(shù)內(nèi)容的對(duì)比情況，或者與測(cè)試的國(guó)外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況無(wú)。五、以國(guó)際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國(guó)際國(guó)外標(biāo)準(zhǔn)，并說(shuō)明未采用國(guó)際標(biāo)準(zhǔn)的原因無(wú)。六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)符合現(xiàn)有法律法規(guī)的要求?！秱€(gè)人信息保護(hù)法》第二章第二節(jié)規(guī)定了敏感個(gè)人信息的處理規(guī)則。第二十八條規(guī)定，敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息?！缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》規(guī)定了開(kāi)展收集、存儲(chǔ)、使用、共享、轉(zhuǎn)讓、公開(kāi)披露、刪除等個(gè)人信息處理活動(dòng)應(yīng)遵循的原則和安全要求；同時(shí)規(guī)定了個(gè)人敏感信息的傳輸和存儲(chǔ)等內(nèi)容。七、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)無(wú)。八、涉及專利的有關(guān)說(shuō)明無(wú)。實(shí)施國(guó)家標(biāo)準(zhǔn)的要求，以及組織措施、技術(shù)措施、過(guò)渡期和實(shí)施日期的建議等措施建議建議本標(biāo)準(zhǔn)在敏感個(gè)人信息處理場(chǎng)景豐富、類(lèi)型典型的企業(yè)中進(jìn)行宣貫，逐條落實(shí)標(biāo)準(zhǔn)中的要求。十、其他應(yīng)當(dāng)說(shuō)明的事項(xiàng)無(wú)。國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)敏感個(gè)人信息處理安全要求》（征求意見(jiàn)稿）編