近日,全国信息安全标准化技术委员会秘书处就《信息安全技术 敏感个人信息处理安全要求》,公开征求意见。
根据国家标准化管理委员会2023年下达的国家标准制修订计划,《信息安全技术 敏感个人信息处理安全要求》由中国电子技术标准化研究院负责承办。本标准由全国信息安全标准化技术委员会归口管理。
本标准适用于规范个人信息处理者的个人信息处理活动,也可为监管部门、第三方评估机构对个人信息处理者开展个人信息处理活动进行监督、管理、评估提供参考。
为落实《个人信息保护法》对敏感个人信息处理规则的要求,本标准对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人信息等敏感个人信息进行场景化规定,明确数据处理者对这些敏感个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求,重点突出采集必要性、安全保护、脱敏规则、告知同意等方面的具体要求。
《敏感个人信息处理安全要求》在各个行业,例如网上购物、网络支付、网络预约汽车、快递物流、网络音视频、即时通信等典型行业领域的推广应用,可以很好地帮助这些行业领域的企业提升自身的个人信息保护能力,有效促进各行业的健康发展。标准将为规范个人信息处理者的行为,保障个人信息权益,促进个人信息合理利用提供支持。目前,国内大部分企业均处理敏感个人信息,标准应用范非常广泛,标准应用将取得良好的效果。