现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)
敏感个人信息处理规则
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:个人信息保护 | 未成年人数据保护 | Cookie合规与用户追踪 | 数据泄露应急响应
核心法条
- 《个人信息保护法》第 28 条:敏感个人信息的定义——一旦泄露或者非法使用容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息 [现行有效]
- 《个人信息保护法》第 29 条:处理敏感个人信息应当取得个人的单独同意 [现行有效]
- 《个人信息保护法》第 30 条:处理敏感个人信息除告知一般事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响 [现行有效]
- 《个人信息保护法》第 55 条:处理敏感个人信息应当事前进行个人信息保护影响评估 [现行有效]
- 最高法人脸识别司法解释:人脸识别等生物特征信息的特殊司法保护规则 [现行有效]
- 《常见类型移动互联网应用程序必要个人信息范围规定》:App 收集必要个人信息的范围界限 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》施行 | 现行有效 |
| 2021-09-01 | 《数据安全法》施行 | 现行有效 |
| 2021-11-01 | 《个人信息保护法》施行 | 现行有效 |
一、敏感个人信息的范围与认定
1.1 法定定义
《个保法》第 28 条确立了我国敏感个人信息的"危害后果+类型列举"双重认定标准:
危害后果标准:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。
类型列举:包括但不限于以下类别——
| 类型 | 具体范围 | 典型场景 |
|---|---|---|
| 生物识别信息 | 人脸、指纹、虹膜、声纹、步态、DNA 等 | 人脸识别门禁、手机指纹解锁 |
| 宗教信仰 | 宗教信仰状况及其相关信息 | 宗教场所登记、宗教活动管理 |
| 特定身份 | 政治属性、社会组织身份、特定群体身份等 | 党员身份、社会组织成员、特定职业身份 |
| 医疗健康 | 病历、体检报告、心理状况、基因、遗传数据 | 挂号就医、体检、心理健康评估 |
| 金融账户 | 银行账户、证券账户、支付账户、征信记录 | 转账、贷款、信用评估 |
| 行踪轨迹 | GPS 定位、行程轨迹、轨迹定位 | 地图导航、网约车、运动App |
| 未成年人信息 | 不满 14 周岁未成年人的全部个人信息 | 教育App、儿童娱乐产品 |
1.2 与其他法律的交叉认定
| 法律/规定 | 敏感信息范围 | 与《个保法》的关系 |
|---|---|---|
| 《网络安全法》 | 个人信息(未区分敏感/非敏感) | 《个保法》是后法,优先适用 |
| 《儿童个人信息网络保护规定》 | 14 周岁以下儿童全部信息 | 《个保法》第 28 条直接吸收 |
| 最高法人脸识别司法解释 | 人脸等生物特征信息 | 司法细化规范 |
1.3 敏感个人信息的认定逻辑
实务中认定敏感个人信息应遵循以下逻辑:
- 类型符合:是否属于法定列举的类型(生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、未成年人信息)
- 后果评估:一旦泄露或非法使用,是否容易导致人格尊严受侵害或人身、财产安全受危害
- 场景补充:特定场景下,一般信息也可能因处理目的和处理方式而转化为敏感信息
二、处理敏感个人信息的特殊要求
2.1 单独同意义务
《个保法》第 29 条:处理敏感个人信息应当取得个人的单独同意。
单独同意的核心要求:
- 独立作出:不得通过概括性条款、捆绑式同意等方式取得
- 具体明确:用户须通过积极的行为(如单独勾选、单独点击)作出
- 针对性强:须针对具体的敏感个人信息类型和处理目的
- 预勾选无效:默认勾选或预先勾选的同意不产生法律效力
2.2 增强告知义务
《个保法》第 30 条要求在处理敏感个人信息时,除一般告知事项外,还须告知:
- 处理敏感性信息的必要性:为什么必须处理该类信息,是否存在替代方案
- 对个人权益的影响:处理该类敏感信息可能带来的风险和后果
2.3 个人信息保护影响评估(PIA)
《个保法》第 55 条:处理敏感个人信息应当事前进行个人信息保护影响评估,并对处理情况进行记录(保存至少 3 年)。
评估内容(第 56 条):
1. 个人信息的处理目的、处理方式等是否合法、正当、必要
2. 对个人权益的影响及安全风险
3. 保护措施是否合法、有效并与风险程度相适应
三、敏感个人信息的场景化规则
3.1 生物识别信息的特殊保护
最高法人脸识别司法解释对生物识别信息的处理规则:
| 规则 | 内容 | 法律依据 |
|---|---|---|
| 单独同意 | 处理人脸信息须经个人单独同意 | 《个保法》第 29 条 |
| 不得强制 | 不得以个人不同意人脸识别为由拒绝服务(有替代方案除外) | 人脸识别司法解释 |
| 风险评估 | 利用生物特征进行身份认证须评估必要性、安全性 | 《个保法》第 55 条 |
| 公共场所限制 | 宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等不得强制收集 | 人脸识别司法解释 |
| 未成年人 | 涉及未成年人人脸信息的,须取得监护人单独同意 | 人脸识别司法解释 |
3.2 医疗健康信息的合规处理
- 医疗场景:医院、诊所等医疗机构收集患者信息,可基于"为订立、履行合同所必需"(第 13 条第 2 项)
- 互联网医疗:互联网医疗平台须取得用户的单独同意
- 健身/健康 App:收集心率、睡眠、运动等健康数据,属于医疗健康信息范畴
- 基因数据:基因检测公司处理基因数据,需单独同意 + 影响评估 + 额外安全保障
3.3 金融账户信息的保护
- 金融机构:银行、保险、证券等机构处理金融账户信息,同时受金融监管法规约束
- 第三方支付:支付宝、微信支付等须履行敏感个人信息处理规则
- 征信信息:征信机构处理信用信息,须遵守《征信业管理条例》及《个保法》
3.4 行踪轨迹信息的规制
- 地图/导航 App:收集用户位置信息须单独同意
- 网约车/外卖:行程轨迹信息的收集须限定在服务必需范围
- 运动 App:记录的运动轨迹信息须告知用户并取得同意
- 员工定位:职场中的员工定位追踪,参考数据合规与劳动法相关规则
四、处理敏感个人信息的合规审查框架
4.1 六步合规审查流程
- 识别敏感信息类型:明确处理的数据属于哪一种(或多种)敏感个人信息
- 评估必要性:处理目的是否正当,是否存在非敏感信息的替代方案
- 取得单独同意:设计单独的同意界面,确保用户充分知情后作出
- 增强告知:告知处理敏感信息的必要性及对权益的影响
- 进行影响评估:事前完成个人信息保护影响评估(PIA)并记录保存 3 年
- 强化安全保障:采取加密、访问控制、脱敏等技术保护措施
4.2 企业常见违法风险
| 风险类型 | 表现 | 对应法条 |
|---|---|---|
| 未经同意收集 | App 默认开启定位、人脸等权限 | 《个保法》第 29 条 |
| 捆绑同意 | 以"同意收集"为使用App的前提 | 《个保法》第 16 条 |
| 未影响评估 | 处理人脸、指纹等信息前未做 PIA | 《个保法》第 55 条 |
| 过度收集 | 以"提升体验"为由收集非必要敏感信息 | 《个保法》第 6 条 |
| 告知不充分 | 未告知处理敏感信息的必要性和影响 | 《个保法》第 30 条 |
| 安全措施不足 | 敏感信息明文存储、未加密传输 | 《个保法》第 51 条 |
五、法律责任
5.1 行政处罚
| 法律依据 | 适用情形 | 处罚幅度 |
|---|---|---|
| 《个保法》第 66 条 | 违法处理敏感个人信息 | 责令改正、没收违法所得、警告 |
| 情节严重 | 5000 万元以下或上年度营业额 5% 以下罚款 | |
| 可责令暂停相关业务、停业整顿、吊销许可 | ||
| 对直接负责的主管人员处 10-100 万元罚款 |
5.2 民事赔偿责任
《个保法》第 69 条:处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿责任(过错推定原则)。
5.3 刑事责任
违法处理敏感个人信息可能涉及:
- 侵犯公民个人信息罪(《刑法》第 253 条之一):非法获取、出售或提供公民个人信息(敏感信息,从重处罚)
- 涉及人脸等生物特征信息的非法采集和传播,可能同时涉及其他刑事罪名
知识库原始资料索引
法律法规
- 中华人民共和国个人信息保护法/_个人信息保护法_适用要点解读.md)
- 常见类型移动互联网应用程序必要个人信息范围规定
司法实践
- 最高法发布审理使用人脸识别技术处理个人信息相关民事案件的司法解释
- 最高法相关部门负责人就人脸识别司法解释答记者问
学术研究
- 程啸:我国个人信息法律保护的里程碑
地方指引与实务
- 企业数据合规指引(上海市杨浦区)
- 企业采用人脸识别、电子签名进行用工管理注意合规问题
- 2024年数据保护领域值得关注的10大趋势