一、适用范围与核心原则

1. 适用范围 

本文件适用于个人信息处理者（含组织及个人）开展敏感个人信息处理活动，并为监管部门、第三方评估机构提供监督、管理及评估依据。

敏感个人信息定义为：一旦泄露或非法使用，易导致自然人人格尊严受侵害、人身财产安全受危害的信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹信息及不满十四周岁未成年人的个人信息等（附录A明确列举）。  

2. 基本原则 

合法性：仅在特定目的、充分必要且采取严格保护措施的前提下处理敏感信息。

最小必要：非敏感信息可达成处理目的时，禁止收集敏感信息；业务功能结束后应及时删除。

单独同意：基于同意处理的，需取得个人信息主体单独、具体、明确的同意，不得与一般信息捆绑授权。  

全生命周期保护：覆盖收集、存储、使用、传输、删除等环节，需建立分类管理、加密存储、权限控制等机制。

解读：国家标准与《个人信息保护法》的衔接  

《GB/T 45574—2025》作为技术性规范，与《个人信息保护法》（以下简称“个保法”）共同构成敏感个人信息处理的“双轨制”框架。企业需关注二者的协同适用： 

1. “单独同意”的细化要求 

个保法第29条要求处理敏感信息需取得“单独同意”，而本标准进一步明确：(1)同意形式：需通过独立页面、勾选等“特定性动作”完成，不得与一般信息捆绑；(2)书面同意例外：在涉及人类遗传资源、征信查询等场景，需以纸质/电子签名形式留存证据（附录B模板可参考）。  

实务提示：企业应在隐私政策中单独设置敏感信息处理模块，并通过弹窗二次确认，避免因格式条款被认定无效。

2. “最小必要”原则的操作边界 

个保法第6条要求信息处理“与目的直接相关、影响最小”，本标准进一步细化：(1)收集场景限制：仅在业务功能使用期间收集敏感信息（如导航App仅在行程中调用位置信息）；(2)功能拆分：若多项功能需收集同类敏感信息，需分项取得同意（如人脸识别用于门禁和支付需分别授权）。  

风险案例：某电商平台因“默认勾选”收集用户生物特征信息用于会员识别，被认定为违反“最小必要”原则，处以罚款并责令整改。 

二、敏感个人信息的识别与界定

1. 识别标准 

符合以下任一条件即视为敏感信息：（1）泄露或滥用易侵害人格尊严（如导致歧视、名誉损害）；（2）泄露或滥用易危害人身安全（如行踪轨迹被用于跟踪）；（3）泄露或滥用易危害财产安全（如金融账户信息被盗用）。特殊情形：多项一般信息汇聚后整体具备敏感属性的，应参照敏感信息保护；法律法规直接规定的，从其规定。 

2. 分类界定（附录A）  

生物识别信息：基因、人脸、指纹等；

宗教信仰信息：宗教组织、活动参与等；

特定身份信息：残障人士身份、特殊职业等；

医疗健康信息：疾病史、诊疗记录等；

金融账户信息：银行账号、支付密码等；

行踪轨迹信息：连续精准定位信息；

未成年人信息：不满十四周岁者的个人信息；

其他：身份证照片、征信信息、犯罪记录等。

解读：敏感个人信息的分类管理与场景化合规  

1. 生物识别信息的特殊风险 

技术合规要点：(1)原始数据删除：采集的人脸图像、指纹模板等应在身份验证后立即删除，仅保留特征值；(2)算法安全性：采用符合国密标准的加密算法（如SM2/SM4），避免模型被逆向破解。  

司法实践：某支付平台因存储用户原始人脸图像且未提供密码替代验证方式，被用户起诉侵犯隐私权，法院判决平台承担赔偿责任。

2. 医疗健康信息的分类分级 

分级标准：(1)一级（高敏感）：艾滋病、精神疾病等易引发歧视的信息，需严格限制访问权限（仅主治医师可查看）；(2)二级（中敏感）：常规诊疗记录，需去标识化后用于临床研究（参考《GB/T 37964》）。  

行业案例：某互联网医院因未对患者HIV检测结果加密存储，导致数据泄露，被卫健委处以停业整顿并罚款200万元。 

3. 未成年人信息的“双重验证”机制 

年龄与监护人身份验证：(1)网络游戏、直播等场景需采用“实名认证+人脸识别”验证年龄；(2)监护人确认可通过“短信验证码+绑定银行卡”等交叉验证方式完成。  

合规创新：某社交平台推出“青少年模式”，默认关闭位置信息收集功能，并在家长端提供实时监控权限，符合“区分模式”要求。 

三、通用安全合规要求

1. 收集环节 

合法性要求：(1)禁止通过欺诈、诱骗、非法购买或技术手段自动爬取敏感信息；(2)不得为犯罪活动（如网络暴力、诈骗）收集或使用敏感信息。  

最小化要求：(1)仅收集业务功能必需的信息，分场景分项收集；(2)移动应用收集需符合《GB/T 41391》。  

2. 告知与同意 

告知形式：需通过弹窗、短信、单独界面等显著方式告知后文内容：(1)处理者名称/姓名、联系方式；(2)处理目的、方式、种类、保存期限及对个人权益的影响；(3)权利行使途径（如查阅、删除）。  

同意要求：(1)单独同意需通过独立页面、勾选等明确动作；(2)书面同意需以纸质/电子形式（含签名或电子签章），模板见附录B；(3)公共场所安装图像采集设备的，需显著标识且信息仅限公共安全用途。  

3. 安全保护措施 

分类管理：建立敏感信息目录，定期更新；

技术措施：(1)加密存储与传输（符合国密标准）；(2)默认去标识化显示，禁用复制、截屏功能；(3)生物识别原始数据应在处理后删除。  

权限控制：(1)最小化访问权限，细化至字段级；(2)关键岗位人员需背景审查，操作日志保存3年。  

应急机制：(1)建立风险监测及异常操作响应机制（如非工作时间频繁查询）；(2)定期开展合规审计（参考《GB/T 39335》）。  

四、特殊场景下的合规要点

1. 生物识别信息 

(1)必须提供替代身份验证方式（如密码），不得默认生物识别；(2)原始生物特征数据（如图像、视频）需在实现目的后删除；(3)科学研究使用需书面同意。  

2. 宗教信仰信息 

(1)原则上禁止处理，宗教组织内部活动除外；(2)不得用于用户画像或个性化推荐。  

3. 医疗健康信息 

(1)按敏感程度分级管理（如艾滋病信息限主治医护访问）；(2)临床研究需去标识化处理（参考《GB/T 37964》）。  

4. 金融账户信息 

(1)禁止留存非本机构的支付敏感信息（如银行卡密码）；(2)交易页面、日志等场景需去标识化显示。  

5. 未成年人信息 

(1)收集需符合未成年人保护法规，验证年龄及监护人身份；(2)提供便捷的权利行使渠道（15个工作日内响应请求）；(3)区分未成年人模式与成人模式的功能设计。  

五、企业合规体系建设建议

1. 制度层：制定敏感信息管理章程 

(1)明确各部门职责（如法务部审核同意流程、IT部实施加密措施）；(2)建立“数据保护影响评估（DPIA）”机制，高风险业务上线前需通过内部合规评审。  

2. 执行层：全生命周期管控 

(1)收集阶段：采用“隐私计算”技术，实现数据“可用不可见”；(2)存储阶段：使用硬件安全模块（HSM）保护加密密钥，避免单点泄露；(3)销毁阶段：定期清理冗余数据，并通过覆写技术确保不可恢复。  

3. 应急层：风险预案与外部协作 

数据泄露响应：(1)72小时内向监管部门报告，同步通知受影响用户；(2)委托第三方取证机构固定证据，减少法律争议。  

跨境传输合规：(1)通过“安全评估+标准合同+认证”组合拳满足出境要求；(2)与境外接收方签订数据处理协议（DTA），明确安全责任。