一、敏感个人信息定义与范围
定义:一旦泄露或非法使用,易导致人格尊严受侵害或人身财产安全受危害的个人信息。
八大类别(附录A):
二、通用安全要求
合法性基础:
需满足特定目的、必要性及严格保护措施。
单独同意:必须通过独立页面、勾选等方式明示获取,不得捆绑同意。
书面同意:法律强制场景(如遗传资源采集)需书面授权(附录B提供模板)。
收集限制:
非必要不收集;分项收集;业务结束后停止收集。
禁止欺诈、自动爬取、购买非法数据等行为。
告知义务:
通过弹窗、语音等方式提前告知处理目的、方式及影响。
紧急情况(如生命救援)可事后补告知。
安全保护措施:
加密存储与传输:符合国密标准。
权限管控:字段级访问控制、最小权限原则、月度审计。
日志留存:操作日志保存3年。
去标识化:默认脱敏显示,完整信息需身份验证。
删除机制:到期或目的达成后及时删除/匿名化。
三、特殊场景要求
生物识别信息:
提供非生物识别替代方案;删除原始图像;科研需书面同意。
未成年人信息:
严格验证年龄及监护人身份(短信/视频等多重方式)。
15日内响应权利请求(查阅、删除等),制定专门处理规则。
金融账户信息:
禁止留存非本机构支付密码、生物样本;去标识化显示。
行踪轨迹:
持续收集时需实时提示;避开敏感区域;最小频率调用。
四、企业合规义务
10万人以上数据处理者:
任命管理层级个人信息保护负责人。
进行人员安全背景审查。
制定应急预案(合并、破产等场景)。
影响评估:新应用上线前需开展评估(参考GB/T 39335),报告保存3年。
跨境提供:遵守国家数据出境规定。
实施日期:2025年11月1日
依据标准:需同步遵循《GB/T 35273 个人信息安全规范》等引用文件。
标准构建了覆盖识别、收集、存储到删除的全流程敏感信息保护框架,强调“最小必要+单独同意+严格加密”原则,为企业合规提供操作性指引,并为未成年人、医疗健康等高风险场景设立专项规则。
— 欢迎关注
一、敏感个人信息定义与范围
定义:一旦泄露或非法使用,易导致人格尊严受侵害或人身财产安全受危害的个人信息。
八大类别(附录A):
二、通用安全要求
合法性基础:
需满足特定目的、必要性及严格保护措施。
单独同意:必须通过独立页面、勾选等方式明示获取,不得捆绑同意。
书面同意:法律强制场景(如遗传资源采集)需书面授权(附录B提供模板)。
收集限制:
非必要不收集;分项收集;业务结束后停止收集。
禁止欺诈、自动爬取、购买非法数据等行为。
告知义务:
通过弹窗、语音等方式提前告知处理目的、方式及影响。
紧急情况(如生命救援)可事后补告知。
安全保护措施:
加密存储与传输:符合国密标准。
权限管控:字段级访问控制、最小权限原则、月度审计。
日志留存:操作日志保存3年。
去标识化:默认脱敏显示,完整信息需身份验证。
删除机制:到期或目的达成后及时删除/匿名化。
三、特殊场景要求
生物识别信息:
提供非生物识别替代方案;删除原始图像;科研需书面同意。
未成年人信息:
严格验证年龄及监护人身份(短信/视频等多重方式)。
15日内响应权利请求(查阅、删除等),制定专门处理规则。
金融账户信息:
禁止留存非本机构支付密码、生物样本;去标识化显示。
行踪轨迹:
持续收集时需实时提示;避开敏感区域;最小频率调用。
四、企业合规义务
10万人以上数据处理者:
任命管理层级个人信息保护负责人。
进行人员安全背景审查。
制定应急预案(合并、破产等场景)。
影响评估:新应用上线前需开展评估(参考GB/T 39335),报告保存3年。
跨境提供:遵守国家数据出境规定。
实施日期:2025年11月1日
依据标准:需同步遵循《GB/T 35273 个人信息安全规范》等引用文件。
标准构建了覆盖识别、收集、存储到删除的全流程敏感信息保护框架,强调“最小必要+单独同意+严格加密”原则,为企业合规提供操作性指引,并为未成年人、医疗健康等高风险场景设立专项规则。
— 欢迎关注
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...