一、“敏感信息”的新标准与遗留的问题

（一）“敏感信息”认定标准的现状

目前实务中常用的“敏感信息”认定标准主要包括：

1. 《个人信息安全规范》附录B的定义：“个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。附录B还列举了属于个人敏感信息的个人信息种类。

表1 个人敏感信息举例（《个人信息安全规范》附录B）

2. 《个保法》第28条第1款的规定：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”

对企业合规而言，前者相对更为具体，易于实务操作。但是《个人信息安全规范》的发布时间较早且为推荐性国家标准，加之其对于敏感信息的类别划分与作为法律的《个人信息保护法》有明显差异，因此《个人信息安全规范》的效力曾一度受到质疑。直到2023年发布的《个人信息出境标准合同办法》明确援引《个人信息安全规范》作为判断敏感个人信息的参考后，此类质疑才明显减少。目前，对于《个人信息安全规范》的批评更多集中在其年代较为久远，对敏感信息划定的范围不贴合业务实践的需求，不合理地加重了企业合规义务。

（二）“敏感信息”的新标准

本次颁布的《敏感信息安全要求》延续了《个人信息安全规范》与《个保法》中将抽象定义与具象示例结合的敏感信息界定方法，并作出了细化，包括：

1. 对敏感信息的具象示例进行若干调整

相较于上述的《个人信息安全规范》中的列表，本次《敏感信息安全要求》的附录A在列举敏感个人信息时作出了若干调整，如下图所示：

其中影响较为明显的几点调整包括：

2. 在抽象定义上，增加一般信息与敏感信息互相转化的弹性规定

除对具象示例进行调整外，就认定敏感信息的抽象定义，《敏感信息安全要求》除重申《个保法》第28条确定的“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”这一定义外，还提出了两点弹性标准：

• “多项一般个人信息汇聚后”可能提升其对个人权益的影响，如汇聚后的信息满足敏感信息的抽象定义，则应当整体参照敏感信息进行识别和保护。
   

• 如有充分证据表明个人信息不满足敏感信息抽象定义中的条件，则不识别为敏感个人信息。

结合以上两点，“敏感个人信息”和“一般个人信息”在《敏感信息安全要求》下将不再是互相割裂的概念，而是具备了根据特定场景相互转化的能力。即使是同一项个人信息字段，也可能因为所处场景的差异而发生从“敏感个人信息”到“一般个人信息”的转变，反之亦然。所以机械套用附录的结果并不一定可靠，只有结合场景进行论证才能得到真正准确的结论，这意味着《敏感信息安全要求》实际上对企业的合规能力提出了更高的要求。

（三）“敏感信息”的界定标准所遗留的问题

除上述新标准之外，《敏感信息安全要求》在敏感信息界定上也遗留了一些问题等待监管部门在实务中予以进一步反馈，包括：

1. 标准的效力

如前所述，在《敏感信息安全要求》之前，《个人信息安全规范》就因为其与《个保法》存在差异的规定以及推荐性国标的地位而受到颇多质疑。本次的《敏感信息安全要求》虽然在敏感信息界定上与《个保法》采取了一致的分类标准，但是推荐性国标的地位将导致它的效力仍然是一个绕不开的问题。如果没有具体的执法案例或正式的法律渊源对其进行援引，那么实务界对于该标准的效力可能仍然会存有疑问。

此外，虽然《敏感信息安全要求》在《个人信息安全规范》和《个保法》的基础上发展了诸多新标准，但是其整体内容与2024年9月发布的《网络安全标准实践指南—敏感个人信息识别指南》（TC260-PG-20244A，“敏感个人信息识别指南”）差异较小。而不同于2025年11月1日才能生效的《敏感信息安全要求》，严格来说《敏感个人信息识别指南》并不存在尚未生效的问题。如果监管部门希望参考《敏感信息安全要求》确立监管口径，在已经有同为非正式法律渊源的《敏感个人信息识别指南》的情况下，监管部门是否会在11月1日前就采用新口径进行监管活动，这将是实务界最为关注的问题之一。

2. “去标识化”对敏感程度的影响

另一个留待澄清的问题，是《敏感信息安全要求》第5.5条所规定的“敏感个人信息去标识化后应作为一般个人信息进行保护，匿名化处理后的个人信息除外”，那么，是否可能通过对敏感个人信息进行去标识化，从而批量地将敏感个人信息转化为一般个人信息？

从体例的角度，第5.5条本身的标题为“安全保护要求”，不属于“敏感个人信息识别和界定”章节下的内容。但是如前所述，《敏感信息安全要求》下的敏感信息认定标准本就具有弹性，只要不满足“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”这一抽象定义的条件，就可以将某项个人信息排除在敏感信息之外。而在逻辑上，“去标识化”的敏感信息是被《敏感信息安全要求》明确认可“作为一般个人信息进行保护”即可的信息，那么其“泄露或者非法使用”的危害性也应当是与一般个人信息相近的。以此推导，“去标识化”的动作似乎具备了将敏感信息降级的能力。

在实务中，敏感个人信息对合规义务的一大影响，是敏感个人信息出境将至少引发企业的个人信息出境标准合同备案义务（如果没有适用的豁免情形）。一旦去标识化被认可为一种有效的降级手段，那么无疑将大大减轻企业的合规义务。例如，对于医药企业而言，目前的跨境临床试验数据因其涉及医疗健康信息一般都会被认定为敏感个人信息，并因此会触发个人信息出境标准合同备案乃至数据出境安全评估的义务。然而，基于临床试验双盲原则，医药企业掌握的此类信息一般都是经过去标识化处理的，因此，如果监管部门最终认可去标识化对敏感信息降级的能力，那么此类跨境临床试验的合规负担无疑会大大减轻。

二、“敏感信息”收集要求的细化

除对于敏感信息的认定标准进行细化外，《敏感信息安全要求》对如何收集敏感信息也提出了新要求。

（一）加强必要性论证要求

首先，《敏感信息安全要求》第5.3条强调了“收集非敏感个人信息可实现处理目的的，不应收集敏感个人信息”。严格来说，这并不是一项新要求，《个保法》第28条就已经要求敏感个人信息的处理应当“具有特定的目的和充分的必要性”。但是，《敏感信息安全要求》提供了一种更为具体的验证思路，即是否可以用非敏感个人信息实现替代目的。例如，实务中一些企业会通过App/小程序获取用户的地理位置信息，用于判断用户是否在特定营销活动的地理区域（例如某个省/市）内。此时，企业理论上仅需要“粗略位置信息”知悉用户的大体位置即可对结果作出判断。但如果企业事实上收集了“精准定位信息”，那么就需要论证如此进行收集的必要性。

（二）收集阶段的告知与同意

除必要性外，如何向个人履行告知义务并获取同意也是《敏感信息安全要求》下的一项难点。虽然《个保法》第29条已经提出了“处理敏感个人信息应当取得个人的单独同意”的要求，但是就目前实务中的合规水位而言，不少企业都只是将所有敏感信息处理行为合并写在一份“敏感信息授权书”内，要求用户对“敏感信息授权书”作出一次整体性的同意。

然而，这一模式可能并不完全符合《敏感信息安全要求》的要求。在告知方面，根据《敏感信息安全要求》第5.4.1条，“在收集敏感个人信息前，应采用单独弹窗、短信、填写框、动画、转至单独提示界面和语音播报等方式向个人进行告知”。在同意方面，根据《敏感信息安全要求》第5.4.2条，“多项敏感个人信息处理活动，应按处理目的和业务功能为个人信息主体提供单独同意机制”。因此，理论上来说，如果存在多个涉及敏感信息的处理目的，企业应当按照处理目的的数量，逐一要求用户进行勾选确认。除此之外，由于第5.4.2条还要求“单项敏感个人信息被用于多个处理目的或业务功能的，不应捆绑取得同意”，因此在一项敏感信息被用于多个处理目的的情况下，企业理论上还需要根据用户的同意情况对敏感信息进行打标或分区存储等技术手段，以避免该名用户的敏感信息被用于其未授权的特定处理目的，这对于各类线上应用的前端界面设计与后端技术能力都提出了新的挑战。

三、“敏感信息”安全保护要求的加强

在完成敏感个人信息的收集后，《敏感信息安全要求》对后续的信息管理与安全保护也提出了若干具体的要求，主要包括：

（一）设置审批流程

敏感个人信息的重要操作，例如内部共享、对外提供、公开、批量查询、明文显示、下载和输出等应当经过授权审批。

（二）分区存储及加密措施

敏感个人信息应当与可识别个人身份的信息分开存储，且应当采取必要的加密措施，包括加密存储及加密传输。

在实务中，不少个人信息通常以单条记录的方式存储，一条记录中可能同时包括敏感个人信息与非敏感个人信息。在此背景下，分区存储意味着企业需要将敏感个人信息从此类记录中单独抽取并另行存储，这一步可能会给企业的合规团队与技术团队带来额外的负担。

（三）展示敏感信息的特殊措施

在展示敏感个人信息时，敏感个人信息应当默认进行去标识化的处理，且显示界面应添加包括访问主体标识和访问时间等内容的水印。

实务中，企业内部的系统可能纷繁复杂，且一个系统内可能有若干界面均具备展示敏感个人信息的功能。此时，如何对各类系统的界面进行完整筛查，识别出展示敏感个人信息的界面并加以特殊处理，同样也需要企业合规团队与技术团队设计具体的方案。

（四）审计、评估及记录保存

除了重申《个保法》下敏感个人信息处理的个人信息保护影响评估与记录保存义务，以及《个人信息保护合规审计管理办法》下的审计要求，《敏感信息安全要求》还要求至少每月对敏感个人信息的处理日志和用户权限进行安全审计。在《个保法》第69条规定了个人信息处理者自证义务的背景下，企业需要妥善管理此类记录，以备监管部门检查或用于争议发生时的举证。

四、结语

相较于早先的《个人信息安全规范》与《个保法》，本次的《敏感信息安全要求》确实在若干问题上都提出了新的观点与要求。如果后续监管部门通过执法实践或立法援引等方式明确其效力，则对于企业而言无疑将面临更高的合规挑战。但是，除了全新的观点与要求，《敏感信息安全要求》中的不少内容亦是对于既有合规义务的重申或细化，《敏感信息安全要求》的颁布，亦可能成为监管检视企业既有合规情况的一个契机。

因此，从企业合规治理的角度，我们建议企业首先应当梳理自身的个人信息处理情况，明确涉及的处理场景及具体字段这一事实问题，以便随时结合监管的最新口径，及时判断自身涉敏感信息的处理情况。其次，对于在新旧标准下均涉及敏感信息的处理活动，应当及时履行基本的合规义务，包括开展个人信息保护影响评估并记录处理情况，妥善保存评估报告与处理记录等，以确保在既有法律法规体系下的合规性，降低企业的自身风险。