一、敏感個人信息的定義

《個人信息保護(hù)法》作為個人信息保護(hù)領(lǐng)域的基石，對敏感個人信息進(jìn)行了明確定義：“敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。”此前對于敏感個人信息的具體識別標(biāo)準(zhǔn)主要參考《信息安全技術(shù)個人信息安全規(guī)范（GB/T35273-2020）》（以下簡稱“《個人信息安全規(guī)范》”），但該標(biāo)準(zhǔn)對敏感個人信息的界定并不十分周延，不能完全解決實務(wù)中存在的具體情況界定的難題。

2024年6月11日，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——敏感個人信息識別指南（征求意見稿）》（以下簡稱“《征求意見稿》”），為敏感個人信息的識別提供了新的抓手。

《征求意見稿》不僅詳細(xì)闡述了敏感個人信息的識別技巧，還列舉了常見的敏感個人信息類別及其范例，旨在幫助各類組織明確敏感個人信息的涵蓋范圍，為敏感個人信息的處理、出境及保護(hù)工作提供有力的參考依據(jù)。

還需辨別的是，除了《個人信息保護(hù)法》中的敏感個人信息這一概念外，《數(shù)據(jù)安全法》及相關(guān)標(biāo)準(zhǔn)中，還有核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)這一組概念。那么敏感個人信息與《數(shù)據(jù)安全法》中的三個概念是否存在一定的對應(yīng)關(guān)系？答案是：單獨的一條“敏感個人信息”一定屬于“一般數(shù)據(jù)”。這是因為《數(shù)據(jù)安全法》中的數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄，其范圍涵蓋了個人信息及許多涉及國家重大利益的非個人信息。與后者相比，只對個人權(quán)益產(chǎn)生影響的數(shù)據(jù)，哪怕是個人敏感信息，從大局來看，影響也是較為微小的，因此只能被分為一般數(shù)據(jù)。但在特殊情況下，大量個人敏感信息匯聚或融合后成為整體的數(shù)據(jù)，若對國家安全、經(jīng)濟運行、社會秩序、公共利益等產(chǎn)生嚴(yán)重危害，則可能被認(rèn)定為重要數(shù)據(jù)或核心數(shù)據(jù)。

二、《征求意見稿》中敏感個人信息的分類及列舉

相較于《個人信息安全規(guī)范》與《個人信息保護(hù)法》對于敏感個人信息分類的錯位，《征求意見稿》依據(jù)《個人信息保護(hù)法》第二十八條調(diào)整了敏感個人信息的定義，并在列舉類別上保持一致，確保了法律法規(guī)之間的連貫性和互補性，也便于在實際操作中快速識別和處理敏感個人信息。

對保險行業(yè)而言，醫(yī)療健康信息、金融賬戶信息、不滿十四周歲未成年人的個人信息這幾類敏感個人信息，是投保與承保的過程中最有可能涉及到的。

醫(yī)療健康信息方面，在投保健康保險或重大疾病保險時，保險公司通常需要了解投保人的既往病史、體檢報告、醫(yī)療診斷記錄等信息，以便保險公司評估其健康狀況和承保風(fēng)險。金融賬戶信息往往在保險保費支付和理賠過程中有所涉及。例如，某客戶在申請人壽保險的理賠時，需要向保險公司提供其銀行賬戶以便接收保險金支付。不滿十四周歲未成年人的個人信息則更為常見。家長為其未成年子女購買保險或以未成年子女為受益人時，需提供孩子的姓名、出生日期、身份證號碼等信息。

以上信息一旦遭到泄露，都可能給信息主體帶來嚴(yán)重危害。如隱私權(quán)受到侵犯、增加賬戶資金的風(fēng)險、威脅到未成年人的人身安全等。因此，保險公司應(yīng)當(dāng)尤其注意這些敏感個人信息的處理規(guī)則，具體合規(guī)實踐可參考本文第四部分。

三、敏感個人信息識別判定依據(jù)

《個人信息安全規(guī)范》中，敏感個人信息的識別判定依據(jù)為“泄露”“非法提供”“濫用”三個角度，具體如下：

這三個判定角度，實際上都集中于一個核心標(biāo)準(zhǔn)：若該個人信息的使用違背主體意愿或超越了授權(quán)，將會給主體帶來重大風(fēng)險，則該信息屬于個人敏感信息。這種判定標(biāo)準(zhǔn)，雖然契合了對“敏感”的一般理解，但依然十分籠統(tǒng)且模糊，對關(guān)鍵概念“重大風(fēng)險”并沒有給出定義，因此在實踐中很難直接使用。

《征求意見稿》則將識別判定依據(jù)調(diào)整為以下三個維度：侵權(quán)后果角度的敏感個人信息定義、附錄舉例以及推斷出的信息屬性、多項一般個人信息匯聚融合后的整體屬性。

1 判定標(biāo)準(zhǔn)一

第一個判定標(biāo)準(zhǔn)，將重點放在個人信息遭到泄露或者非法使用的后果上，若導(dǎo)致自然人人格尊嚴(yán)、人身安全、財產(chǎn)安全受損，則應(yīng)識別為敏感個人信息。而人格尊嚴(yán)、人身安全、財產(chǎn)安全是非常典型的侵權(quán)行為的客體，完全可以參考《民法典》侵權(quán)責(zé)任編、人格權(quán)編進(jìn)行理解。這樣，即可保證這一判定標(biāo)準(zhǔn)的準(zhǔn)確性。

例如，《征求意見稿》在這一定義的注釋中寫明：

維護(hù)個人的人格尊嚴(yán)包括維護(hù)生命權(quán)、身體權(quán)、健康權(quán)、姓名權(quán)、名稱權(quán)、肖像權(quán)、名譽權(quán)、榮譽權(quán)、隱私權(quán)以及其他人格權(quán)益。

這正是《民法典》第990條對人格權(quán)的定義。

此外，《征求意見稿》特意列舉了在個人信息領(lǐng)域侵害人格尊嚴(yán)、人身安全、財產(chǎn)安全的情形，以便理解：

-容易導(dǎo)致自然人人格尊嚴(yán)受到侵害的情形可能包括“人肉搜索”、非法侵入他人網(wǎng)絡(luò)賬戶、販賣個人信息、電信詐騙、損害個人名譽、歧視性差別待遇等。個人信息主體可能會因特定身份、宗教信仰、性取向、特定疾病和健康狀態(tài)等信息泄露遭到歧視性待遇。

-泄露、非法使用個人的行蹤軌跡信息，可能會造成個人信息主體的人身安全受到損害。

-泄露、非法使用金融賬戶信息，可能會造成個人信息主體的財產(chǎn)損失。

2 判定標(biāo)準(zhǔn)二

第二個判定標(biāo)準(zhǔn)，則使用了列舉的方法，與第一個概念性的判定標(biāo)準(zhǔn)相結(jié)合使用，基本可以完成常用場景下的敏感個人信息判定。

《個人信息安全規(guī)范》中也有敏感個人信息的列舉，與之相比，《征求意見稿》的列舉在細(xì)化程度上更進(jìn)一步，也解決了實務(wù)中的一些爭議熱點，例如：

l  增加了指向具體國家標(biāo)準(zhǔn)的注釋；

l  生物識別信息中將“面部識別特征”改為了“人臉信息”即人臉識別數(shù)據(jù)；

l  此前列入其他信息類別的“宗教信仰”單獨列出并增加“宗教組織中的職位”“參加的宗教活動”“特殊宗教習(xí)俗”等具體情況；

l  在“特定身份信息”的識別上，關(guān)注點從個人身份證件轉(zhuǎn)移至“特定身份”，并明確了“身份證照片”屬于其他敏感個人信息，解決了實務(wù)中對于單一的身份證號碼或者身份證照片的判定問題；

l  醫(yī)療健康信息細(xì)分為 “與個人的身體或心理的傷害、疾病、殘疾、疾病風(fēng)險或隱私有關(guān)的健康狀況信息”“在疾病預(yù)防、診斷、治療、護(hù)理、康復(fù)等醫(yī)療服務(wù)過程中收集和產(chǎn)生的個人信息” 兩類，并聚焦于“醫(yī)療”這一前綴，排除了個人疾病和醫(yī)療就診無關(guān)基本體質(zhì)信息；

l  金融賬戶信息相較“個人財產(chǎn)信息”更為明確；

l  行蹤軌跡信息單獨列出；

l  其他敏感個人信息中明確定義了精準(zhǔn)定位信息和犯罪記錄等。

3 判定標(biāo)準(zhǔn)三

第三個判定標(biāo)準(zhǔn)，則是對多項一般個人信息匯聚或融合后的整體的判定，若這個整體符合第一個判定標(biāo)準(zhǔn)，則該整體可以被認(rèn)定為敏感個人信息。

整體認(rèn)定的判斷方法，不僅適用于敏感個人信息，在個人信息的判定上同樣適用。以保險行業(yè)為例，單獨的健康信息因為無法識別到具體個人，顯然不屬于個人信息，但若結(jié)合投保人姓名、身份證號等，這一整體的信息則屬于個人信息，確切地說，屬于敏感個人信息。保險公司在承保時，必然會整體信息一并獲取，因此，必須遵守《個人信息保護(hù)法》的相關(guān)規(guī)定。

四、保險行業(yè)敏感個人信息的分類及識別

在深入探討保險行業(yè)的運作機制與數(shù)據(jù)生態(tài)后，本文將聚焦于保險行業(yè)敏感個人信息的識別方法與合規(guī)實踐。這不僅關(guān)乎保險企業(yè)的合法經(jīng)營，更直接影響到保險客戶的個人信息安全與保險行業(yè)的可持續(xù)發(fā)展。因此，準(zhǔn)確、全面地識別并妥善管理敏感個人信息，對于保險公司而言，其重要性不言而喻。

盡管識別敏感個人信息的重要性不言而喻，但在保險公司的日常運營中，這一任務(wù)卻面臨著諸多挑戰(zhàn)：

1.  信息種類繁多：保險業(yè)務(wù)涉及客戶信息的方方面面，包括但不限于身份信息、健康狀況、財務(wù)狀況、家庭關(guān)系等，這些信息在不同場景下可能具有不同的敏感度，增加了識別的難度。

2.  動態(tài)變化性：隨著保險產(chǎn)品的不斷創(chuàng)新和服務(wù)模式的演變，敏感個人信息的范圍也在不斷變化。保險公司需要持續(xù)跟蹤相關(guān)法律法規(guī)的更新，及時調(diào)整識別標(biāo)準(zhǔn)，確保合規(guī)性。

3.  技術(shù)挑戰(zhàn)：在大數(shù)據(jù)時代，海量數(shù)據(jù)的處理和分析對技術(shù)提出了更高要求。保險公司可能需要借助先進(jìn)的技術(shù)手段，如人工智能、大數(shù)據(jù)分析等，提高敏感個人信息的識別效率和準(zhǔn)確性，同時確保數(shù)據(jù)安全。

4.  人為因素：員工對敏感個人信息保護(hù)的意識和執(zhí)行力也是影響識別效果的重要因素。部分員工可能因疏忽或缺乏相關(guān)知識而未能正確識別和處理敏感信息，增加了合規(guī)風(fēng)險。

綜上所述，保險行業(yè)在識別敏感個人信息方面既面臨重要機遇，也需應(yīng)對諸多挑戰(zhàn)。通過加強法律法規(guī)學(xué)習(xí)、提升技術(shù)水平、完善內(nèi)部管理制度以及加強員工培訓(xùn)等措施，保險公司可以更加有效地識別并管理敏感個人信息，為行業(yè)的健康發(fā)展奠定堅實基礎(chǔ)。

根據(jù)以上的分析，本文對保險行業(yè)的敏感個人信息也作了列舉。按保險種類分類列舉了可能涉及的敏感個人信息，并列出普遍可能涉及的敏感個人信息，以供保險公司相關(guān)從業(yè)人員參考。

除此以外，投保人辦理保險業(yè)務(wù)時，保險公司普遍可能收集的敏感個人信息包括：身份證號、身份證照片、職業(yè)身份信息、住址信息、個人收入明細(xì)、護(hù)照號碼、駕駛證信息、戶口信息、聲紋、人臉、銀行賬號、支付信息，以及不滿十四周歲未成年人的個人信息等。

在保險合同成立以后，合同中的相關(guān)信息在一定條件下也可能符合敏感個人信息的特征，包括：保單號、保險金額、理賠金額、保險變更信息等。這些信息雖然單獨來看并不能指向具體個人，但如果輔以其他背景信息或前提，如與保險公司的信息管理系統(tǒng)連接的情況下，則能夠定位到具體個人，同時，泄露或者非法使用時將會損害個人的財產(chǎn)安全，此時也有較大可能被認(rèn)定為敏感個人信息。

建議保險公司參照以上識別方法及分類列舉，制定公司內(nèi)部識別標(biāo)準(zhǔn)和流程，建立信息分類和標(biāo)簽體系，對收集的信息進(jìn)行分類管理。對于識別為敏感個人信息的信息合規(guī)處理方法，可參考本文下述部分。

注：本部分內(nèi)容并非完全列舉，具有局限性，且為本文作者個人觀點，僅供保險行業(yè)從業(yè)人員參考。具體識別與判定，需以監(jiān)管機構(gòu)的意見為準(zhǔn)。

五、保險公司敏感個人信息處理合規(guī)實踐

所謂個人信息的處理，是指個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。《個人信息保護(hù)法》第二章第二節(jié)專門規(guī)定了敏感個人信息的處理規(guī)則，本文將從該處理規(guī)則入手，結(jié)合保險公司可能涉及的個人信息處理方式，總結(jié)處理敏感個人信息必須遵守的合規(guī)要點。

1、處理敏感個人信息應(yīng)當(dāng)取得個人的單獨同意。

所謂單獨同意，意味著不能采取概括同意、授權(quán)捆綁等方式，且應(yīng)當(dāng)是明示同意。保險公司不僅應(yīng)當(dāng)就收集敏感個人信息取得投保人的單獨同意，還應(yīng)當(dāng)要求投保人取得被保險人、受益人等其他主體的單獨同意。

此外，保險公司可能將收集到的信息提供給第三方，例如再保險人、中國銀保信、增值服務(wù)供應(yīng)商等。在這種情況下，不論個人信息是否被判定為敏感，都應(yīng)當(dāng)將第三方的聯(lián)系方式、處理目的、處理方式和個人信息的種類等列出，并取得信息主體的單獨同意。

為了避免風(fēng)險，保險公司可通過讓投保人簽署確認(rèn)書的方式，確認(rèn)以上內(nèi)容已經(jīng)取得單獨同意，尤其是投保人并非信息主體的情況下。

需注意的是，若將敏感個人信息委托給第三方處理（例如將保單打印、系統(tǒng)開發(fā)、公估等外包給第三方公司），而非提供或共享，是否需要取得單獨同意？《個人信息保護(hù)法》規(guī)定，對于一般的個人信息，這種情況不僅無需獲得信息主體的同意，甚至無需告知，敏感個人信息是否同樣如此？本文認(rèn)為，由于委托處理情況下，個人信息的控制權(quán)并未實質(zhì)發(fā)生轉(zhuǎn)移，屬于保險公司處理個人信息的一種特別的方式，因此，亦無需“同意”這一步驟。至于是否需要告知，本文認(rèn)為，只需要告知存在委托處理這一處理方式即可，具體處理方則無需告知。

2、處理敏感個人信息應(yīng)當(dāng)告知必要性以及對個人權(quán)益的影響。

在保險行業(yè)，多數(shù)敏感個人信息在整個投保至理賠的過程中，都具有必要性，《個人信息保護(hù)法》明確，處理敏感個人信息需要“具有特定的目的和充分的必要性”，保險公司在告知書時，可以從處理的目的出發(fā)對必要性進(jìn)行告知，例如可采取如下表述：

“基于保險風(fēng)險評估、數(shù)據(jù)風(fēng)控、核保審核、理賠調(diào)查、再保等服務(wù)及風(fēng)險核實的必要，我們可能會通過......的方式處理您的敏感個人信息，不會對您的個人權(quán)益造成非法侵害?！?/p>

“收集的敏感個人信息的目的是為了與您訂立保險合同、向您更加安全、便捷、高效地提供前述所涉全部保險服務(wù)，并且我們對您敏感個人信息的處理僅限于前述的特定目的。如您拒絕前述敏感個人信息的提供，將會影響我們向您提供特定業(yè)務(wù)功能或者服務(wù)?！?/p>

3、保險公司應(yīng)當(dāng)事前進(jìn)行敏感個人信息保護(hù)影響評估，并對處理情況進(jìn)行記錄。

個人信息保護(hù)影響評估，即Privacy Impact Assessment（簡稱為PIA），核心任務(wù)是識別、應(yīng)對并持續(xù)跟蹤在處理敏感個人信息期間可能對信息主體合法權(quán)益造成的不利影響。

評估的內(nèi)容應(yīng)當(dāng)按照《個人信息保護(hù)法》第五十六條規(guī)定的內(nèi)容展開，需充分評估個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；對個人權(quán)益的影響及安全風(fēng)險；所采取的保護(hù)措施是否合法、有效并與風(fēng)險程度相適應(yīng)。此外，保險機構(gòu)對個人信息保護(hù)影響評估和處理情況記錄至少保存三年。

具體的評估實施流程，則可以參照國家標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全影響評估指南（GB∕T 39335-2020）》執(zhí)行。

結(jié)語

本文詳細(xì)探討了敏感個人信息的定義、分類及其在保險行業(yè)中的識別方法與合規(guī)實踐。通過分析《個人信息保護(hù)法》《信息安全技術(shù)個人信息安全規(guī)范（GB/T35273-2020）》和《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——敏感個人信息識別指南（征求意見稿）》等法規(guī)和標(biāo)準(zhǔn)，本文為保險公司在實際操作中提供了具體的參考依據(jù)。同時，結(jié)合保險行業(yè)的特點，本文提出了相應(yīng)的敏感個人信息處理合規(guī)措施。

需要注意的是，敏感個人信息的相關(guān)規(guī)定還在不斷細(xì)化和明確中，本文僅供參考和討論。對于保險行業(yè)中敏感個人信息的具體識別和判定，有待監(jiān)管機構(gòu)進(jìn)一步確認(rèn)。保險公司應(yīng)當(dāng)持續(xù)關(guān)注相關(guān)法律法規(guī)的變化，及時調(diào)整內(nèi)部識別標(biāo)準(zhǔn)和合規(guī)措施，以確保在個人信息處理方面的合法合規(guī)性，保障客戶的權(quán)益。

感謝實習(xí)生張怡雯對本文作出的貢獻(xiàn)。

相關(guān)知識

個人信息保護(hù)中的敏感信息與私密信息
網(wǎng)絡(luò)交易平臺收費行為合規(guī)指南（征求意見稿）
金融行業(yè)信息安全管理，存儲與傳輸?shù)暮弦?guī)實踐
金融行業(yè)數(shù)據(jù)管理，安全、合規(guī)的信息存儲與傳輸實踐
市場監(jiān)管總局關(guān)于公開征求《網(wǎng)絡(luò)交易平臺收費行為合規(guī)指南(征求意見稿)》意見的公告
《網(wǎng)絡(luò)交易平臺收費行為合規(guī)指南（征求意見稿）》（全文公布）
《健康醫(yī)療數(shù)據(jù)安全指南》數(shù)據(jù)安全措施實踐
健康科技行業(yè)的網(wǎng)絡(luò)與信息安全培訓(xùn)（28頁）
醫(yī)療保健網(wǎng)絡(luò)安全綜合指南
《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—健康碼防偽技術(shù)指南》發(fā)布

網(wǎng)址: 保險行業(yè)敏感個人信息的識別方法與合規(guī)實踐：《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——敏感個人信息識別指南（征求意見稿）》解讀 http://www.u1s5d6.cn/newsview1488979.html