敏感个人信息系列：身份证号码不属于敏感个人数据了?

随着数字化转型逐步推进, 身份证件及身份证信息无论是在个人生活还是企业事务中的使用频率都在提升。然而, 小小一张身份证, 其实汇聚了多种个人信息的排列组合。对此, 你也许也曾产生过下列困惑:

为探究这些问题, 我们将在本文带你回顾敏感个人信息相关的法律定义与国家标准, 通过案例观察法院对身份证件信息的认定思路, 并结合我们近期了解到的监管口径与在项目中观察到的企业痛点, 讨论我们究竟该如何“科学”地判断身份证号码等身份证件信息的敏感属性。

为厘清身份证件信息的“敏感性”, 我们首先需要回到问题的核心: 敏感个人信息在法律上的定义是什么?以及, 我国目前在国家标准层面到底是如何界定和规范它的?

根据《个人信息保护法》(“《个保法》”), 敏感个人信息是指“一旦泄露或者非法使用, 容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”, 并列举几大敏感个人信息的类别 “包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息, 以及不满十四周岁未成年人的个人信息”。然而, 身份证件信息并未在列举类别当中。

当我们将目光转向更侧重于个人信息保护实务问题的国家标准, 则能发现身份证件信息的踪影, 如下表所标注:

表1 我国相关国家标准对敏感个人信息的定义与示例

对比35273国标与敏感个人信息国标, 我们可以观察到几点关键变化:

此外, 敏感个人信息国标的“转向”并非空穴来风, 类似的修改思路此前已在全国网络安全标准化技术委员会2024年9月发布的技术文件《网络安全标准实践指南——敏感个人信息识别指南》(TC260-PG-20244A, “敏感个人信息识别指南”)中得到体现。

仅基于前节所述变化, 我们也许会得出一个简单粗暴的结论——“按敏感个人信息国标, 身份证号码不再算敏感个人信息了!”此结论一出, 仿佛不少高风险的敏感个人信息处理场景便能原地消失, 对应的合规评估申报及技术成本也能随之湮灭……

然而, 这一结论真的能在实务中得到认可吗?至少从当前的监管与企业实践来看, 不能。

一方面, 结合我们对监管口径的了解, 至少在敏感个人信息国标正式实施前的这段“尴尬期”, 个人信息处理者在准备个人信息出境申报等项目中仍宜以现行有效的35273国标作为识别、保护敏感个人信息的参考依据, 并将单独的身份证号码视为敏感个人信息予以充分保护。由此, 在当前的监管口径下, 企业继续将身份证号码列为敏感个人信息仍是更为谨慎、妥善的合规做法。同时, 如果企业贸然一改以往严格的认定标准、大幅放松对身份证号码的保护水平, 还可能对企业内部管理的延续性、对消费者/员工等主体的合规承诺产生一定负面影响。

另一方面, 敏感个人信息国标对敏感信息字段仅采取举例模式, 而非绝对适用于企业在实践中面临的任何场景。“身份证号码”单独出现的情况下, 有可能不构成敏感个人信息, 因为即便泄露也未必会对个人信息主体合法权益造成损害。但企业在实践中仅收集单一身份证号码的情况堪称稀缺, 而往往会在不同场景下收集个人信息主体的多项个人信息, 且常常出现身份证号码与其他个人信息组合出现、甚至与其他海量信息汇聚融合的复杂情况。因此, 企业不宜仅依据国家标准给出的示例对身份证件信息简单“对号入座”, 而应在困惑时回望《个保法》对敏感个人信息的定义原则, 对不同场景下实际处理的身份证件信息予以场景化个案判断, 综合考虑单项个人信息、成组信息、汇聚融合后信息的敏感程度, 铭记“灵魂三问”于心:

值得补充的是, 在近年涉及身份证件信息的相关司法案例中, 也常常出现对敏感个人信息予以场景化个案判断的裁判说理, 我们相信这也有助于企业伙伴在实践中作为判断的参考思路:

表2 涉及身份证件信息敏感性判断的司法案例

如经过个案判断, 企业发现实际处理的身份证号码等身份证件信息的确可能对个人信息主体上述权益产生危害的, 则建议从这一危害后果倒推回实际的业务场景, 与业务、技术同事及外部法律顾问积极商讨不收集该信息或进一步脱敏、匿名化处理的可行性, 并根据实际整改情况采取相应的保护措施, 以免为企业带来本可以规避的合规成本。