文章目录
个人敏感信息
个人敏感信息判定
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致 个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含) 儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。可从以下角度判定是否属 于个人敏感信息:
泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机 构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息 在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可 能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的 身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。
非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信 息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病 史等。
滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范 围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未 取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。
举例
| 个人财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、 房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚 拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
|---|---|
| 个人健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、 手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、 以往病史、诊治情况、家族病史、现病史、传染病史等 |
| 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
| 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等 |
| 其他信息 | 性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通 讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准 定位信息等 |
个人信息
个人信息判定
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定 自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号 码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产 信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个 人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是 关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如 个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之 一的信息,均应判定为个人信息。
举例
| 个人基本资料 | 个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电 子邮件地址等 |
|---|---|
| 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等 |
| 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
| 网络身份标识信息 | 个人信息主体账号、IP 地址、个人数字证书等 |
| 个人健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、 手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以 往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康 状况相关的信息,如体重、身高、肺活量等 |
| 个人教育工作信息 | 个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、 成绩单等 |
| 个人财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、 房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟 货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
| 个人通信信息 | 通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常 称为元数据)等 |
| 联系人信息 | 通讯录、好友列表、群列表、电子邮件地址列表等 |
| 个人上网记录 | 指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记 录、点击记录、收藏列表等 |
| 个人常用设备信息 | 指包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码(如 IMEI/Android ID/IDFA/OpenUDID/GUID/SIM 卡 IMSI 信息等)等在内的描 述个人常用设备基本情况的信息 |
| 个人位置信息 | 包括行踪轨迹、精准定位信息、住宿信息、经纬度等 |
| 其他信息 | 婚史、宗教信仰、性取向、未公开的违法犯罪记录等 |
个人金融信息内容
个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息和其 他反映特定个人金融信息主体某些情况的信息,具体如下:
a) 账户信息指账户及账户相关信息
包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)、 银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息 产生的支付标记信息等。
b) 鉴别信息
指用于验证主体是否具有访问或使用权限的信息,包括但不限于银行卡密码、预付卡 支 付 密 码 ;个 人 金 融 信 息 主 体 登 录 密 码 、账 户 查 询 密 码 、交 易 密 码 ;卡 片 验 证 码( C V N 和 C V N 2 )、 动态口令、短信验证码、密码提示问题答案等。
c) 金融交易信息
指个人金融信息主体在交易过程中产生的各类信息,包括但不限于交易金额、支 付记录、透支记录、交易日志、交易凭证;证券委托、成交、持仓信息;保单信息、理赔信息 等。
d) 个人身份信息
指个人基本信息、个人生物识别信息等:
- 个人基本信息包括但不限于客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收入情况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作及家庭地址,以及在提供产品和服务过程中收集的照片、音视频等信息;
- 个人生物识别信息包括但不限于指纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。
e) 财产信息
指金融业机构在提供金融产品和服务过程中,收集或生成的个人金融信息主体财产信息,包括但不限于个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金存缴金额等。
f) 借贷信息
指个人金融信息主体在金融业机构发生借贷业务产生的信息,包括但不限于授信、信用卡和贷款的发放及还款、担保情况等。
g) 其他信息:
- 对原始数据进行处理、分析形成的,能够反映特定个人某些情况的信息,包括但不限于特 定个人金融信息主体的消费意愿、支付习惯和其他衍生信息;
- 在提供金融产品与服务过程中获取、保存的其他个人信息。
出处
摘录自“JRT 0171-2020 个人金融信息保护技术规范”和“GB/T 35273-2020 个人信息安全规范”
