為筑牢敏感個人信息處理安全防線，近期，國家市場監督管理總局、國家標準化管理委員會發布推薦性國家標準?《數據安全技術 敏感個人信息處理安全要求》（下稱《要求》），將于今年11月1日起正式實施。

南都記者注意到，《要求》由全國網絡安全標準化技術委員會提出并歸口，該文件明確敏感個人信息識別和界定標準，規定了敏感個人信息處理通用和特殊安全要求。其不僅適用于個人信息處理者開展敏感個人信息處理活動，也適用于監管部門和第三方評估機構對敏感個人信息處理活動進行監督、管理和評估。

敏感個人信息指一旦泄露或非法使用,容易導致自然人的人格尊嚴受到侵害或人身財產安全受到危害的個人信息。去年9月，全國網絡安全標準化技術委員會發布《網絡安全標準實踐指南——敏感個人信息識別指南》，將生物識別信息、宗教信仰信息、特定身份信息、醫療健康信息、金融賬戶信息、行蹤軌跡信息、不滿十四周歲未成年人的個人信息以及其他敏感個人信息歸為八類常見敏感個人信息，《要求》也使用此定義。

在通用安全要求方面，《要求》從收集、告知、同意、安全保護措施多個層面作出規定。從告知來看，個人信息處理者在收集敏感個人信息前，應采用單獨彈窗、短信、填寫框、動畫、轉至單獨提示界面和語音播報等方式向個人進行告知；持續收集敏感個人信息的，宜提供持續提示或間隔提示機制。比如，出行導航類需持續收集個人信息主體地理位置信息的，以浮窗、彈窗、語音、振動和狀態欄圖標等形式提醒個人信息主體當前地理位置正在被收集。

從同意來看，基于個人同意進行處理的，個人信息處理者應在處理敏感個人信息前，取得個人信息主體的單獨同意；多項敏感個人信息處理活動，應按處理目的和業務功能為個人信息主體提供單獨同意機制；單項敏感個人信息被用于多個處理目的或業務功能的，不應捆綁取得同意。

安全保護措施是個人信息處理者保障敏感個人信息安全的一道重要屏障。《要求》提出，應建立敏感個人信息處理授權審批流程，對敏感個人信息的內部共享、對外提供、公開、批量查詢、明文顯示、下載和輸出等重要操作進行審批；在涉及敏感個人信息處理的新應用使用前，對其進行個人信息保護影響評估,評估報告應保存三年；對敏感個人信息處理和操作情況進行記錄并保存三年。

此外，敏感個人信息顯示界面應添加包括訪問主體標識和訪問時間等內容的水印，涉及集中顯示的，應默認禁用復制、打印和截屏等功能；對敏感個人信息刪除或匿名化處理效果進行評估，經該處理的敏感個人信息不應被還原。

《要求》還對八類敏感個人信息處理提出特殊安全要求。

例如基于生物識別信息進行身份識別時，應同時提供不基于生物識別信息的其他替代可選身份識別方式，并不應將基于生物識別信息的方式作為默認選項；在保證實現業務功能的基礎上，應對所收集的生物識別信息直接進行特征和摘要信息提取；實現處理目的后，應刪除所收集的原始生物識別信息，如原始圖像、圖片和視頻等。

處理金融賬戶信息時，通過受理終端、客戶端應用軟件和瀏覽器等方式收集金融賬戶信息時，應使用加密等技術措施；受理終端和客戶端應用軟件均不應存儲銀行卡磁道數據（或芯片等效信息）、銀行卡有效期、卡片驗證碼、銀行卡密碼和網絡支付口令等支付敏感信息及個人生物識別信息的樣本數據，僅可保存完成當前交易所必需的基本信息要素，并在完成交易后及時刪除；去標識化場景應覆蓋客戶交易頁面顯示、業務管理頁面顯示和日志打印顯示等，應在前端和服務器端均實現。

另外，值得一提的是，《要求》還提到，不應使用殘障人士身份信息、不適宜公開的職業身份信息等個人特定身份信息構建用戶畫像和用于個性化推薦。

采寫：南都記者 樊文揚