文章总结: 本文探讨了GB/T标准删除身份证号为敏感信息引发的争议。依据个人信息保护法,身份证号泄露易导致安全危害,符合敏感信息定义。作者指出标准不能超越法律,且身份证照片已被列入敏感信息,结合业务中数据的聚合效应,实际工作中不应将身份证号排除在敏感信息之外,仍应按敏感信息严格保护。 综合评分: 86 文章分类: 政策法规,数据安全,技术标准
“身份证号”是否属于敏感个人信息?
原创
草根老烦
老烦的草根安全观
2025年12月26日 22:48 广东
一石激起千层浪,GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》在附录A中将身份证号从敏感个人信息中删除,而在其他敏感个人信息归类中,将身份证照片列入其中。争议有此发生,原来的身份证号码到底算不算敏感个人信息呢?
首先我们来看看国家法律对个人信息和个人敏感信息的定义。《个人信息保护法》第四条对个人信息的定义为“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”那么我们要明确的第一个问题就是身份证号是否属于个人信息。在2011年颁布的《中华人民共和国居民身份证法》修正版第三条中对身份证信息进行了描述“居民身份证登记的项目包括:姓名、性别、民族、出生日期、常住户口所在地住址、公民身份号码、本人相片、指纹信息、证件的有效期和签发机关。”其第二款进一步说明“公民身份证号码是每个公民唯一的、终身不变的身份代码,由公安机关按照公民身份号码国家标准编制”从上述定义我们首先可以明确,身份证号码其对于公民具有唯一性和专有性,可以作为识别自然人的身份信息。因此,身份证号及其相关信息应归类于个人信息。同时,《个人信息保护法》在第二十八条中对敏感个人信息做出约定“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”那么身份证号是否从立法层面定义为敏感个人信息,我们要看身份证号是否可以对应第二十八条相关内容。也就是说,如果身份证号被泄露、篡改或者恶意攻击导致身份证号码与自然人关系不在存在时,是否会导致自然人人格尊严、人身、财产安全受到危害。从近年反电信网络诈骗工作及社会工程学攻击等事件来看,以身份证号作为索引关系产生的上述侵害成为攻击主体和重要的利用信息。尤其在未来数字化时代的挑战下,当公民将自身唯一的身份信息与数字化应用构成关联后,我们不得不依赖身份证号与网络身份信息构成唯一关联,一旦身份证信息被恶意利用有可能直接导致公民在整个数字化体系中的损害。
实际上在GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》对敏感个人信息的定义是建立在《个人信息保护法》的基础之上,其描述与第二十八条第一款一致。可以这样理解,标准的定义不能超越立法的约定。其只能在立法的基础上延展而不能与立法相悖。那么该如何理解身份证号的问题呢?个人观点如下:
首先,标准明确了身份证照片属于“其他类型敏感个人信息”,我们是否可以理解为身份证照片中包含的所有内容都应该被列入敏感个人信息呢?依据《中华人民共和国居民身份证法》第三条的规定,除指纹信息外,包含了其所约定的所有信息,那么我们可以将上述信息均称之为个人信息。根据上述信息被恶意利用后可能带来的后果符合敏感个人信息的定义,因此应该将身份证照片中的内容根据其敏感程度分别定义为个人信息与敏感个人信息。并根据其聚合关系将完整的身份证信息定义为敏感个人信息;
其次,为什么要讨论聚合。实际上业务在处理身份证照片的时候有很多可能的因素;比如:利用OCR抓取身份证照片的指定信息;利用拍照获取图片;利用扫描器通过电子手段获取身份证信息(此操作具体针对的是身份证实体而不是照片);直接获取身份证照片执行业务等。在实际执行业务过程中,通过身份证号和身份证照片可以返回自然人完整个人身份信息,而其他数据(注:由于指纹信息不属于图片实体数据,此处不讨论该数据问题)单独返回难以明确对应某个具体的自然人身份,以此推定,我们可以认定身份证号和身份证照片属于敏感个人信息;
第三,从标准的法律权位而言,我们应首先符合法的定义,其次才是标准的可采纳性。因此针对标准中改变的内容是否为权威认定,应基于客观事实和业务属性来最终确定。因此不应在实际工作中将身份证号排除出敏感个人信息之列中。或者说,我们是否可以理解为,标准通过身份证照片中的宏观定义将整个身份证信息纳入敏感个人信息呢?这需要标准的具体制定者来具体解释。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:老烦的草根安全观 草根老烦《“身份证号”是否属于敏感个人信息?》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论