金融个人业务场景中,涉及多种类型的个人信息,例如交易流水号、交易日期、交易类型、交易金额、交易对象、清结算信息,记账日期等。然而,对于上述信息中,何者为敏感信息的界定仍不明确,在实务中造成了一定疑问,本文从《个人信息保护法》、《信息安全技术个人信息安全规范》、《<信息安全技术敏感个人信息处理安全要求>征求意见稿》展开,对金融个人业务中涉及的敏感信息进行梳理。
一、2021年11月1日施行《个人信息保护法》
第二十八条:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
二、2020年发布的《信息安全技术个人信息安全规范》
金融业务个人敏感信息:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
注1:金融业务个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。
注2:关于金融业务个人敏感信息的判定方法和类型参见附录B。
注1:个人信息遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害,如个人信息主体可能会因特定身份、犯罪记录、宗教信仰、性取向、特定疾病和健康状态等信息泄露遭到歧视性待遇。
注2:个人信息遭到泄露或者非法使用,容易导致自然人的人身安全受到危害;
注3:个人信息遭到泄露或者非法使用,容易导致自然人的财产安全受到危害;示例2:泄露、非法使用金融账户信息及其相关的鉴别信息(如支付口令),可能会造成个人信息主体的财产损失。
总体考虑个人信息汇聚融合后的整体属性,如汇聚融合的个人信息遭到泄露或者非法使用容易对个人权益造成较大影响的,应判断个人信息整体具有金融敏感个人信息属性。