随着信息技术的快速发展和数字经济深化,个人信息的收集、使用和保护问题日益凸显。为继续规范个人信息处理活动——保护公民合法权益——国家互联网信息办公室通过发布政策法规问答的方式,对社会各界关切的个人信息保护问题进行了系统解答。 个人信息的界定上,国家网信办明确指出,个人信息是指以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息。该定义涵盖范围广泛,包括个人基本资料、身份信息、生物识别信息、网络身份标识、教育工作信息、财产信息、通信信息、联系人信息、上网记录、设备信息、位置信息、标签信息和运动信息等多个维度。其中,生物识别信息如人脸、基因、声纹、虹膜、指纹等,以及金融账户、消费记录等财产有关信息,因其敏感性和重要性,受到特别关注。这一全面的界定体系为个人信息保护工作提供了明确的法律依据。 敏感个人信息的识别和保护是当前工作的重点。根据国家网信办的解释,敏感个人信息是指一旦泄露或被非法使用,容易导致自然人人格尊严受侵害或人身、财产安全受危害的个人信息。这类信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等,以及不满十四周岁未成年人的个人信息。国家标准GB/T 45574-2025进一步细化了敏感个人信息的具体类别,为企业和机构的合规工作提供了量化标准。这种分类方法既反映了对高风险信息的重点保护,也考虑到了未成年人等特殊群体的权益保护。 在人脸识别技术应用上,国家网信办根据《人脸识别技术应用安全管理办法》的规定,要求使用人脸识别技术前必须进行个人信息保护影响评估。这一评估由应用人脸识别技术的个人信息处理者组织开展,可邀请第三方机构参与。评估的核心内容包括四个方面:一是人脸信息处理的目的、方式是否合法、正当、必要;二是对个人权益的影响及降低不利影响的措施是否有效;三是信息泄露、篡改、丢失等风险及可能造成的危害;四是所采取的保护措施是否合法、有效并与风险程度相适应。这一系统的评估框架确保了人脸识别技术的安全应用,防止了技术滥用。 个人信息保护负责人制度上,国家网信办明确了相关要求。根据《中华人民共和国个人信息保护法》和《个人信息保护合规审计管理办法》,处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人。其中,处理100万人以上个人信息的个人信息处理者必须指定专门的个人信息保护负责人,负责监督个人信息处理活动和保护措施的实施情况。2025年7月18日,国家互联网信息办公室发布了《关于开展个人信息保护负责人信息报送工作的公告》,明确了报送要求、时间和方式,采用线上报送方式,通过"个人信息保护业务系统"进行操作。这一制度设计强化了企业的主体责任,建立了纵向的监督机制。 从更深层的意义看,国家网信办此次发布的政策解读体现了我国个人信息保护工作的系统性和科学性。通过明确定义、细化标准、规范流程,为个人信息处理者提供了清晰的合规指引,有利于推动行业规范发展。同时,这些措施也充分体现了对公民隐私权和数据权益的尊重,是建设数字文明、维护网络安全的重要举措。
在数据要素市场化改革加速的背景下,平衡个人信息保护与数字经济发展需要持续创新。网信办此次政策解读既解答了实践中的问题,也为后续《网络数据安全管理条例》等法规出台奠定了基础。将规则转化为企业的自觉行动,需要政府、行业与社会多方协同治理,这也是检验数字化治理能力的重要标准。