国家互联网信息办公室持续加强个人信息保护相关政策法规宣贯,指导帮助个人信息处理者规范开展个人信息处理活动,保护个人信息权益。现将一些具有代表性的问题和答复公布如下。
1.什么是个人信息?
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息包括但不限于以下类型,如个人姓名、生日、年龄等个人基本资料,身份证、军官证、护照等个人身份信息,人脸、基因、声纹、虹膜、指纹等生物识别信息,用户账号、用户标识符(用户ID)等网络身份标识信息,教育经历、职业、职位等个人教育工作信息,金融账户、消费记录、收入状况、借款信息等个人财产信息,账号口令、数字证书等身份鉴别信息,通信记录、短信、电子邮件等个人通信信息,通讯录、好友列表等联系人信息,网页浏览记录、软件使用记录等个人上网记录,国际移动设备识别码(IMEI)等个人设备信息,交通出行信息等个人位置信息,用户标签、画像信息等个人标签信息,步数、步频等个人运动信息,以及其他与已识别或者可识别的自然人有关的各种信息。
2.什么是敏感个人信息?
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
国家标准GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》明确了敏感个人信息识别和界定方法,并在附录A中给出常见的敏感个人信息类别,如人脸、基因、声纹等生物识别信息,个人信仰的宗教、加入的宗教组织等宗教信仰信息,残障人士身份信息、不适宜公开的职业身份信息等特定身份信息,病症、既往病史、医疗就诊记录、检验检查数据等医疗健康信息,银行、证券、基金、保险账户的账号及密码等金融账户信息,连续精准定位轨迹信息、车辆行驶轨迹信息等行踪轨迹信息,居民身份证照片、征信信息、犯罪记录信息等其他敏感个人信息。
3.应用人脸识别技术处理人脸信息前如何进行个人信息保护影响评估?
《人脸识别技术应用安全管理办法》第九条规定,使用人脸识别技术前应当进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估由应用人脸识别技术的个人信息处理者组织开展,可有第三方机构参与。若有第三方机构参与,需在评估报告中说明第三方机构的基本情况及参与评估的情况。
主要评估四方面内容,一是人脸信息的处理目的、处理方式是否合法、正当、必要;二是对个人权益带来的影响,以及降低不利影响的措施是否有效;三是发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害;四是所采取的保护措施是否合法、有效并与风险程度相适应。
4.符合什么条件的个人信息处理者需指定个人信息保护负责人和报送负责人信息?
《中华人民共和国个人信息保护法》第五十二条规定,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。《个人信息保护合规审计管理办法》第十二条规定,处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人,负责个人信息处理者的个人信息保护合规审计工作。
2025年7月18日,国家互联网信息办公室发布《关于开展个人信息保护负责人信息报送工作的公告》,明确个人信息保护负责人信息报送要求、报送时间、报送方式等。个人信息保护负责人信息报送采用线上方式。可直接访问“个人信息保护业务系统”(https://grxxbh.cacdtsc.cn),按照系统首页提供的《个人信息保护负责人信息报送系统填报说明(第一版)》,准备相关材料并履行信息报送手续,也可从中国网信网(https://www.cac.gov.cn)首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。