身份證號碼不再屬于個人敏感信息

你的 身份證號碼、住宿信息、婚史、存款信息、房產信息、交易信息，不再算是個人敏感信息了。

2025年11月1日，由國家市場監督管理總局和國家標準化管理委員會發布的GB/T 45574-2025《數據安全技術 敏感個人信息處理安全要求》正式生效。

與老標準相比，最顯著的變化在于對“敏感個人信息”的范疇進行了重要調整。

新標準的附錄A在列舉敏感個人信息時，刪除了“身份鑒別信息”、“網頁瀏覽信息、婚史、通信內容、犯罪人員身份信息、特定工作信息（如軍人、警察）、身份證件號碼、航班車票信息、特定住宿信息”等，進一步限縮敏感個人信息范圍。

此外，“存款信息”“房產信息”“交易記錄”“消費記錄”等均未被列舉為敏感個人信息，而“個人收入明細”則被列入。體重、身高、血型、血壓和肺活量等基本體質信息如與個人的疾病和醫療就診無關，則也可認為不屬于敏感個人信息范疇。

這一調整并非簡單的刪減，其核心邏輯在于與2021年11月生效的《個保法》保持高度一致，即從原先“基于信息屬性”的形式化列舉，轉向“基于危害后果”的風險評估界定。

新標準強調，判斷信息是否敏感，關鍵在于其一旦泄露或濫用，是否容易導致個人的人格尊嚴受侵害或人身、財產安全受危害。

因此，對于那些在特定低風險場景下處理、不足以引發實質性危害的信息，不再“一刀切”地納入敏感范疇。

這一變革為數據處理活動頻繁的企業與機構帶來了深遠影響。

在過去，企業只需對照一份詳盡的“負面清單”執行嚴格的保護義務，如為收集身份證號、婚史等信息獲取用戶的“單獨同意”。

新標準實施后，在員工人事管理、差旅報銷等低風險場景中，相關信息的處理得以“松綁”，這無疑顯著降低了企業的合規成本與操作復雜度，有利于數據要素的更高效流通與利用。

然而，這同時也將更大的判斷責任交給了企業自身。它們必須建立內部的風險評估機制，證明在特定業務場景下處理某些信息（如房產信息）確實“達不到危害條件”，并準備好應對可能的監管問詢。

監管的焦點從“是否處理了清單上的信息”轉向了“處理行為是否構成了實際風險”。

而對于普通公眾，這種調整則一言難盡。 某類信息是否被納入“敏感個人信息”的法定范疇，直接關系到個人對該信息的控制強度以及信息泄露后所面臨的風險等級。

當信息被明確界定為敏感個人信息時，法律賦予個人的保護層級是最高的。這首先體現在知情權與控制權上，企業必須就此類信息的處理目的與方式向個人進行特別、清晰的告知，并獲取其“單獨同意”。

這意味著個人會看到一個獨立的授權彈窗，可以單獨對某項信息的收集說“不”，而無需擔心影響主要服務的使用，個人的選擇權非常清晰和有力。

然而，當某些信息（如網頁瀏覽記錄、婚史等）不再被自動歸類為敏感信息時，個人享有的控制權便會發生變化。“同意”往往被整合進一份整體的隱私政策中，個人為了使用服務，通常需要“一攬子”接受所有條款。

這種模式下，個人難以針對某項具體信息的收集行使否決權，控制權在無形中被削弱了。

簡而言之，從“敏感”變為“非敏感”，對個人最直接的影響是，之前能看到的那個讓你單獨說“不”的彈窗可能消失了，你對此類信息的處置變成了一個更模糊、更被動的選擇。

表面上，我們在使用各類App時遇到的、要求對單項信息進行授權的彈窗可能會減少，數字生活的體驗似乎更為流暢。但更深層次看，個人對自身信息的控制權在無形中被部分讓渡。

當“同意”變得更加“一攬子”化，用戶需要更加警覺和主動，仔細閱讀那些冗長的隱私政策，才能知曉企業究竟收集了哪些信息以及作何用途。

法律保護的“安全網”從一道明確的“高壓線”變成了更具彈性的“風險過濾網”，這要求個人具備更高的數字素養來維護自身權益。

此番調整清晰地折射出數據時代一個永恒的核心命題，隱私保護與數據利用效率之間的平衡。

新標準無疑體現了向“效率”一側的適度傾斜，旨在為數字經濟發展松綁。

然而，這種平衡點的設定，不應僅是立法者與行業專家閉門決策的結果。究竟哪些信息值得被賦予“敏感”身份而受到最高級別的保護，哪些信息的商業化利用被視為可接受的風險，這一決策流程本身理應引入更廣泛的公眾參與和討論。

最終，每一位公民都是個人信息的擁有者，也是數據實踐的最終承受者。

在追求發展效率的同時，如何確保隱私這一基本權利不在悄無聲息中讓步，是新標準落地后留給全社會的一道關鍵思考題。