南方財經全媒體記者馬嘉璐   廣州報道

在數據分類分級框架下進行的數據合規(guī)、數據跨境等工作，常常會遇到一個實操問題：何為敏感個人信息？9月18日，全國網絡安全標準化技術委員會發(fā)布《網絡安全標準實踐指南——敏感個人信息識別指南》（以下簡稱《指南》），提出了敏感個人信息識別規(guī)則以及常見敏感個人信息類別和示例，為敏感個人信息處理和保護工作提供參考。

此前，國家標準GB/T 35273《信息安全技術  個人信息安全規(guī)范》在資料性附錄中對個人敏感信息判定給出了示例。GB/T 35273已對敏感個人信息明確了定義，即一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。根據這一定義，《指南》對常見敏感個人信息進行了列舉，對GB/T 35273中的示例進行了細化、調整和修改。比如，將GB/T 35273列為“其他信息”的宗教信仰、行蹤軌跡分別單列，將“個人身份信息”調整為“特定身份信息”，對醫(yī)療健康信息、金融賬戶信息的示例進一步細化。

值得注意的是，與GB/T 35273列舉的“個人身份信息”相比，《指南》將范圍縮小至“特定身份信息”，即包括殘障人士身份信息以及不適宜公開的職業(yè)身份信息等，同時將身份證照片列為其他敏感個人信息。GB/T 35273中提到的身份證、護照、駕駛證、工作證、居住證，《指南》示例中并未提及。

敏感個人信息的示例中未納入身份證號，是不是放松了對身份證號的保護？有資深專家分析，這并不意味著對身份證號的保護標準有所降低，不是一種合規(guī)讓步。近年來已經構建起一系列個人信息保護的法規(guī)、標準，對包括身份證號在內的個人信息數據安全、脫敏、加密等方面作出了詳細規(guī)定，安全保護措施要求不能打折扣。

根據個人信息保護法的規(guī)定，處理敏感個人信息時需要遵守“單獨同意”原則。不過，在實際生活中，許多用戶在被收集身份證號時，雖然是在單獨頁面上填寫，而且填寫的動作會被視作法律上“同意”。但其實用戶并沒有其他選項，不一定是真正自愿地提供了身份證號；可如果不填，就無法獲得服務。上述專家表示，在這種情況下，比起“單獨同意”，要求個人信息處理者嚴格遵守合法性基礎和必要性原則，更為關鍵。即，是否真的有必要收集用戶身份證號，需要進一步厘清。

《指南》帶來的影響還體現在數據跨境領域。今年3月22日國家網信辦發(fā)布的《促進和規(guī)范數據跨境流動規(guī)定》中明確，關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供1萬人以上敏感個人信息的，應當向國家網信部門申報數據出境安全評估；不滿1萬人敏感個人信息的，應當依法與境外接收方訂立個人信息出境標準合同或者通過個人信息保護認證。《指南》為敏感個人信息的識別認定提供了更具可操作性的方法，給出了明確的示例，將有助于降低數據跨境的合規(guī)成本。