GB/T 45574-2025 数据安全技术 敏感个人信息处理安全要求

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T45574—2025

数据安全技术

敏感个人信息处理安全要求

Datasecuritytechnology—Securityrequirementsforprocessingofsensitive

personalinformation

2025-04-25发布2025-11-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T45574—2025

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

敏感个人信息识别和界定

4………………2

敏感个人信息识别

4.1…………………2

敏感个人信息界定

4.2…………………2

敏感个人信息处理通用安全要求

5………………………3

基本要求

5.1……………3

收集合法性

5.2…………………………3

收集要求

5.3……………3

告知同意

5.4……………3

安全保护要求

5.5………………………4

敏感个人信息处理特殊安全要求

6………………………6

生物识别信息

6.1………………………6

宗教信仰信息

6.2………………………6

特定身份信息

6.3………………………6

医疗健康信息

6.4………………………6

金融账户信息

6.5………………………6

行踪轨迹信息

6.6………………………7

不满十四周岁未成年人的个人信息

6.7………………7

其他敏感个人信息

6.8…………………8

附录规范性敏感个人信息类别

A()……………………9

附录资料性处理敏感个人信息取得个人书面同意模板

B()…………10

参考文献

……………………11

Ⅰ

GB/T45574—2025

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位中国电子技术标准化研究院中国科学院信息工程研究所国家信息技术安全研

:、、

究中心蚂蚁科技集团股份有限公司北京抖音信息服务有限公司北京快手科技有限公司公安部第三

、、、、

研究所公安部第一研究所国家计算机网络应急技术处理协调中心中国网络空间研究院中国软件评

、、、、

测中心北京百度网讯科技有限公司北京大学肿瘤医院中信银行股份有限公司贝壳找房北京科技

、、、、()

有限公司阿里巴巴北京软件服务有限公司北京华品博睿网络技术有限公司上海识装信息科技有

、()、、

限公司中国银联股份有限公司顺丰速运有限公司奥林巴斯北京销售服务有限公司医渡云北京

、、、()、()

技术有限公司飞利浦中国投资有限公司厦门美柚股份有限公司岚图汽车科技有限公司中关村科

、()、、、

学城城市大脑股份有限公司西安交通大学北京小桔科技有限公司联想北京有限公司华为技术有

、、、()、

限公司广西电网有限责任公司

、。

本文件主要起草人姚相振胡影陈舒高超上官晓丽牛犇陈琳郝春亮白晓媛李昳婧王昕

:、、、、、、、、、、、

朱雪峰苏丹于东升陈彦如王晖姜伟杨婷孙硕衡反修封莎张朝黄天宁王彬徐燕刘磊

、、、、、、、、、、、、、、、

黎琳轷则喁梁文韬张灵子黄鹏华汪洋徐起王伟程文静刘俊李实张玲翠李凤华杨韬

、、、、、、、、、、、、、、

石玉珍刘笑岑高震落红卫王普顾伟卞乐韦宗慧刘朝苹

、、、、、、、、。

Ⅲ

GB/T45574—2025

数据安全技术

敏感个人信息处理安全要求

1范围

本文件确立了敏感个人信息识别和界定规定了敏感个人信息处理通用安全要求和敏感个人信息

,

处理特殊安全要求

。

本文件适用于个人信息处理者开展敏感个人信息处理活动也适用于监管部门和第三方评估机构

,

对敏感个人信息处理活动进行监督管理和评估

、。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术个人信息安全规范

GB/T35273

信息安全技术生物特征识别信息保护基本要求

GB/T40660

信息安全技术移动互联网应用程序收集个人信息基本要求

GB/T41391(App)

3术语和定义

下列术语和定义适用于本文件

。

31

.

个人信息personalinformation

以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息

。

32

.

敏感个人信息sensitivepersonalinformation

一旦泄露或非法使用容易导致自然人的人格尊严受到侵害或人身财产安全受到危害的个人信息

,。

注敏感个人信息包括生物识别宗教信仰特定身份医疗健康金融账户和行踪轨迹等信息和不满十四周岁未成

:、、、、

年人的个人信息

。

33

.

个人信息处理者personalinformationprocessor

在个人信息处理活动中自主决定处理目的和处理方式的组织和个人

。

34

.

个人信息主体personalinformationsubject

个人信息所标识或关联的自然人

。

来源

[:GB/T35273—2020,3.3]

35

.

个人信息处理活动personalinformationprocessingactivities

个人信息的收集存储使用加工传输提供公开和删除等活动

、、、、、、。

1

GB/T45574—2025

36

.

单独同意separateconsent

个人针对其个人信息进行特定处理而专门作出具体明确的同意

、。

来源有修改

[:GB/T42574—2023,3.7,]

4敏感个人信息识别和界定

41敏感个人信息识别

.

个人信息处理者应按以下规则识别敏感个人信息

,。

符合以下任一条件的个人信息应识别为敏感个人信息

a),:

一旦遭到泄露或非法使用容易导致自然人的人格尊严受到侵害

1),;

注1容易导致自然人人格尊严受到侵害的情形可能包括人肉搜索非法侵入网络账户电信诈骗损害个

:“”、、、

人名誉和歧视性差别待遇等歧视性差别待遇可能因个人信息主体的特定身份宗教信仰性取向特

。、、、

定疾病和健康状态等信息泄露导致

。

一旦遭到泄露或非法使用容易导致自然人的人身安全受到危害

2),;

注2例如泄露或非法使用个人的行踪轨迹信息可能会导致个人信息主体的人身安全受到损害

:,。

一旦遭到泄露或非法使用容易导致自然人的财产安全受到危害

3),。

注3例如泄露或非法使用金融账户信息可能会造成个人信息主体的财产损失

:,。

按识别收集和产生的敏感个人信息敏感个人信息类别应符合附录

b)4.2,A。

注4如有充分理由和证据表明处理的个人信息达不到中条件的不识别为敏感个人信息

:a),。

既要考虑单项敏感个人信息识别也要考虑多项一般个人信息汇聚后的整体属性分析其一旦

c),,

泄露或非法使用可能对个人权益造成的影响如符合所述条件应将汇聚后的个人信息整

,a),

体参照敏感个人信息进行识别与保护

。

法律法规规定为敏感个人信息的从其规定

d),。

42敏感个人信息界定

.

敏感个人信息包括以下类别

。

生物识别信息也称生物特征识别信息是指对自然人的物理生物或行为特征进行技术处理

a):,、

得到的能单独或与其他信息结合识别该自然人身份的个人信息

、。

注1生物识别信息参考和等

:GB/T40660、GB/T41819、GB/T41807、GB/T41773GB/T41806。

宗教信仰信息与个人信仰的宗教宗教组织和宗教活动相关的个人信息

b):、。

特定身份信息对个人人格尊严和社会评价有重大影响或有其他不适宜公开的身份信息特别

c):,

是那些可能导致社会歧视的特定身份信息

。

医疗健康信息与个人的医疗就诊身体和心理健康状况相关的个人信息

d):、。

金融账户信息与个人的银行和证券等账户和账户资金交易相关的个人信息

e):。

行踪轨迹信息个人在一定期间内因为所处具体地理位置活动地点和活动轨迹的移动变化而

f):、

形成的连续轨迹信息

。

注2特定职业外卖员和快递员等用于实现服务履约场景下除外

:()。

不满十四周岁未成年人的个人信息

g)。

其他敏感个人信息除以上信息外其他一旦泄露或非法使用容易导致自然人的人格尊严受

h):,,

到侵害或人身财产安全受到危害的个人信息

。

2

GB/T45574—2025

5敏感个人信息处理通用安全要求

51基本要求

.

敏感个人信息处理符合以下基本要求

,:

敏感个人信息处理应符合中个人信息相关要求

a)GB/T35273;

只有在具有特定的目的和充分的必要性并采取严格保护措施的情形下个人信息处理者方可

b),