一、 前言

敏感个人信息不仅是个人信息保护的关注焦点之一，也是企业履行数据合规义务的工作重点。根据相关法律法规，个人信息处理者在处理敏感个人信息时需要履行包括但不限于如下的合规义务：取得单独同意、充分告知、事先进行个人信息保护影响评估、履行安全保护要求、履行出境合规义务等。而履行前述合规义务的前提和基础，是确认哪些个人信息是敏感个人信息，即敏感个人信息识别。

在现有法律法规和推荐性国家标准基础上，全国网络安全标准化技术委员会发布了《网络安全标准实践指南—敏感个人信息识别指南》（以下简称“《敏感个人信息识别指南》”），以指导各组织识别敏感个人信息。《敏感个人信息识别指南》的出台，为敏感个人信息的识别提供了更加细化的指导方向和操作指引。在此背景下，本文拟对《敏感个人信息识别指南》中敏感个人信息的概念界定、分类以及识别规则进行梳理，并结合司法实践予以总结分析，以期为实务提供参考。 

二、 现行法律法规及规范、指引对敏感个人信息的界定及分类

（一）  敏感个人信息的界定

当前我国法律法规及各类规范、指引对敏感个人信息一般采取“危害结果概括+常见分类举例”的定义方式，即从不法行为所导致的危害结果切入，对敏感个人信息的概念进行界定，并列举常见分类。例如：

2020年10月1日实施的《信息安全技术 个人信息安全规范》（GB/T 35273—2020，以下简称“《个人信息安全规范》”）附录B个人敏感信息判定规定，个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

2021年11月1日实施的《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）对敏感个人信息的定义进行了精简，并附以常见分类。第二十八条第一款规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

此后发布或施行的相关规范，基本延续了《个人信息保护法》对敏感个人信息的定义，如2021年12月31日实施的《网络安全标准实践指南—网络数据分类分级指引》（“以下简称《网络数据分类分级指引》”）、2023年8月9日发布的《信息安全技术 敏感个人信息处理安全要求》（征求意见稿，以下简称“《敏感个人信息处理安全要求》”）与2024年9月14日实施的《敏感个人信息识别指南》等。

（二）  敏感个人信息的类别

笔者对上述法律法规及规范、指引中关于敏感个人信息的分类进行了梳理，详见下表：

序号	法规或规范名称	敏感个人信息类别
1	《个人信息安全规范》 2020.10.01	个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、其他信息
2	《个人信息保护法》 2021.11.01	生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人的个人信息
3	《网络数据分类分级指引》 2021.12.31	特定身份、生物识别信息、金融账户、医疗健康、行踪轨迹、未成年人个人信息、身份鉴别信息、其他敏感个人信息
4	《敏感个人信息处理安全要求》 2023.08.09	生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人个人信息、身份鉴别信息、其他敏感个人信息
5	《敏感个人信息识别指南》 2024.09.14	生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人的个人信息、其他敏感个人信息

《敏感个人信息识别指南》对于敏感个人信息的分类基本借鉴了《个人信息保护法》所列的七项，并增加兜底性质的“其他敏感个人信息”。而各类别项下的具体示例则在过往实务经验的基础上，新增或调整几例特定敏感个人信息的表述，如特定身份信息中的“不适宜公开的职业身份信息”、其他敏感个人信息中的“展示个人身体私密部位的照片或视频”等，这些调整部分需要予以关注。

三、 《敏感个人信息识别指南》关于敏感个人信息识别的规则

《敏感个人信息识别指南》第3章规定了敏感个人信息的识别规则，主要包括：

1.  实质性识别规则。《敏感个人信息识别指南》从定义出发，以泄露或非法使用的不法行为所容易导致自然人人格尊严、人身安全以及财产安全受损的危害后果作为实质性标准，建立起敏感个人信息的实质性识别规则。其中：

w  人格尊严是个人基于自己所处的社会环境、地位、声望、工作环境、家庭关系等各种客观条件而对自己或他人的人格价值或社会价值的认识和尊重。侵害人格尊严会致使个人的人格评价被降低、隐私被泄露，造成精神创伤和痛苦。容易侵害人格尊严的情形可能包括“人肉搜索”、非法侵入网络账户、电信诈骗、损害个人名誉、歧视性差别待遇等。例如：泄露个人的特定身份、宗教信仰、性取向、特定疾病和健康状态等信息，容易引发社会偏见、导致个人遭受歧视性差别待遇，进而侵害其人格尊严；

w  危害人身、财产安全主要指个人的生命权、身体权、健康权等人身权益或者个人的财产权益遭受了侵害或者有被侵害的风险。例如泄露、非法使用个人的行踪轨迹信息，容易导致个人的人身安全受到危害；泄露、非法使用金融账户信息，容易造成个人的财产损失。

综上，实质性识别规则旨在综合判断个人信息的敏感程度，即被泄露或者遭非法使用后，造成个人人格尊严、人身安全以及财产安全遭受侵害或侵害风险的难易程度。如通过社会一般理性判断容易造成前述侵害或侵害风险的，该个人信息应识别为敏感个人信息。

除了正向识别外，实质性识别规则亦可适用于敏感个人信息的排除上，即反向识别哪些信息不属于敏感个人信息。

2.  对照式识别规则。即将个人信息与《敏感个人信息识别指南》“表A.1常见敏感个人信息”的示例进行比对，经比对落入其列举范围的，原则上将被识别为敏感个人信息，除非存在充分理由和证据表明个人信息达不到实质性标准。

3.  整体性识别规则。即多项一般个人信息汇聚或融合后的整体如符合实质标准，则应被识别为敏感个人信息。比如，《敏感个人信息识别指南》指出“人肉搜索”属于容易导致自然人人格尊严受到侵害的情形。尤其当个人已经引发相关舆情时，其姓名、家庭住址等信息很可能被整合利用并对个人实施“人肉搜索”，容易导致该个人受到追踪、骚扰、网络暴力，进而侵害其人格尊严。那么上述一般个人信息形成的整体就可能构成敏感个人信息。

《敏感个人信息识别指南》建立的敏感个人信息识别规则如下图： 

四、 司法实践中关于敏感个人信息的识别规则

司法实践中，已有部分案例具体阐释了敏感个人信息的识别规则，其思路与《敏感个人信息识别指南》所建立的识别规则大体一致，即先通过对照式识别规则判断是否属于敏感个人信息，再通过实质性识别规则进行二次识别。经检索，笔者大致梳理总结如下：

1.  对照式识别规则。当案件中涉及的个人信息落入相关法律法规及规范、指引列举的敏感个人信息示例时，法院一般直接认定其构成敏感个人信息。例如：

w  人脸信息归为生物识别信息，属于敏感个人信息。在（2023）浙0192民初4563号中，法院认为：“人脸信息属于生物识别信息，生物识别信息属于极为重要的个人敏感信息，处理人脸类的生物识别信息除必须获得个人的单独同意外，还需要遵守行政法规的特别规定”；

w  医疗就诊记录归为医疗健康信息，属于敏感个人信息。在（2023）京03民终15621号中，法院认为：“医疗健康信息与自然人的人身、健康密切关联，属于敏感个人信息，……徐某的病历资料涉及徐某本人的生理健康，属于徐某的敏感个人信息”。

w  房产信息归为个人财产信息，属于敏感个人信息。在（2023）苏0505民初394号中，法院认为：“从个人信息敏感程度来看，国家市场监督管理总局、国家标准化管理委员会于2020年3月6日发布于2020年10月1日实施的《信息安全技术个人信息安全规范》附录B“个人敏感信息判定”中表B.1“个人敏感信息举例”中认为房产信息作为个人财产信息属于个人敏感信息，本案所涉房产信息应属于个人敏感信息”。

2.  实质性识别规则。如果案件所涉个人信息并非法律法规及规范、指引中所示例的敏感个人信息，则需要根据实质性识别规则，综合判定是否属于敏感个人信息。

w  在（2021）辽01民初3574号中，法院认为：“本案涉及的自然人的微信账号、手机号码、登录密码和支付密码，承载了大量的自然人身份信息，具有区别于他人的属性，即在与其他信息结合后能够识别出特定自然人，故均属于自然人的个人信息。上述信息一旦被泄露或者被非法利用，可能导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，可能对个人信息主体的权益带来重大风险，故属于个人敏感信息的范畴。”

w  实践中，亦存在通过实质性识别规则将案涉个人信息排除在敏感个人信息范围之外的情形。如在（2022）浙0192民初4259号中，法院认为：“本案中，淘宝公司处理薛某的个人信息主要涉及案涉购物订单信息、交易支付完成情况信息、商品配送信息等。从信息的具体内容上看，淘宝公司处理的薛某案涉个人信息既不属于前述法条中具体列举的敏感个人信息，也不属于社会通常认识意义上具有危及自然人人身、财产安全的敏感个人信息……故淘宝公司处理的薛某案涉购物订单信息、交易支付完成情况信息、商品配送等个人信息，属于一般个人信息类型。”该案中，法院正是按照：对照式识别规则→实质性识别规则的顺序，先将案涉个人信息从列举范围内排除，又实质性判定该个人信息一般不会危及人身、财产安全，进而认定案涉个人信息不属于敏感个人信息。

五、 结语

作为敏感个人信息合规的前置性程序，敏感个人信息识别对企业的数据合规至关重要。伴随着立法与实践对个人信息保护的日益重视，敏感个人信息识别或将成为企业必不可少的合规课题。我们建议企业将敏感个人信息识别工作提上日程，关注立法与司法前沿讯息，建立健全相应的识别规则，并在此基础上切实履行合规义务。