党的二十大报告指出，要“坚持安全第一、预防为主，建立大安全大应急框架，完善公共安全体系，推动公共安全治理模式向事前预防转型”“加强个人信息保护”，充分凸显党和国家对个人信息保护工作的高度重视。

　　自2003年以来，国家将个人信息保护纳入立法领域，网络安全法、新修订的消费者权益保护法、电子商务法、刑法修正案九、民法典等对个人信息保护作出了相应规定，特别是2021年11月1日正式实施《中华人民共和国个人信息保护法》，及时回应了社会对个人信息保护的关切。为更好服务我省个人信息保护工作，依据国家有关法律法规和标准，结合近期工作中遇到的咨询问题，发布本期提示。

　　1.什么是个人信息？

　　个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

　　个人信息包括：姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

　　2.如何判定个人信息？

　　判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是关联，即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息。

　　3.什么是敏感个人信息？

　　敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

　　只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

　　敏感个人信息包括：身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

　　4.如何判定敏感个人信息？

　　泄露：个人信息一旦泄露，将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后，被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析，可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

　　非法提供：某些个人信息仅因在个人信息主体授权同意范围外扩散，即可对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，性取向、存款信息、传染病史等。

　　滥用：某些个人信息在被超出授权合理界限时使用（如变更处理目的、扩大处理范围等），可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，在未取得个人信息主体授权时，将健康信息用于保险公司营销和确定个体保费高低。

　　5.什么是个人信息处理者？

　　个人信息处理者是指对个人信息进行处理的组织或个人，处理行为包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

　　任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动。

　　以上信息参见：《中华人民共和国个人信息保护法》、《信息安全技术个人信息安全规范》（国标GB/T 35273-2020）。