身份证号码不再属于个人敏感信息

你的 身份证号码、住宿信息、婚史、存款信息、房产信息、交易信息，不再算是个人敏感信息了。

2025年11月1日，由国家市场监督管理总局和国家标准化管理委员会发布的GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》正式生效。

与老标准相比，最显著的变化在于对“敏感个人信息”的范畴进行了重要调整。

新标准的附录A在列举敏感个人信息时，删除了“身份鉴别信息”、“网页浏览信息、婚史、通信内容、犯罪人员身份信息、特定工作信息（如军人、警察）、身份证件号码、航班车票信息、特定住宿信息”等，进一步限缩敏感个人信息范围。

此外，“存款信息”“房产信息”“交易记录”“消费记录”等均未被列举为敏感个人信息，而“个人收入明细”则被列入。体重、身高、血型、血压和肺活量等基本体质信息如与个人的疾病和医疗就诊无关，则也可认为不属于敏感个人信息范畴。

这一调整并非简单的删减，其核心逻辑在于与2021年11月生效的《个保法》保持高度一致，即从原先“基于信息属性”的形式化列举，转向“基于危害后果”的风险评估界定。

新标准强调，判断信息是否敏感，关键在于其一旦泄露或滥用，是否容易导致个人的人格尊严受侵害或人身、财产安全受危害。

因此，对于那些在特定低风险场景下处理、不足以引发实质性危害的信息，不再“一刀切”地纳入敏感范畴。

这一变革为数据处理活动频繁的企业与机构带来了深远影响。

在过去，企业只需对照一份详尽的“负面清单”执行严格的保护义务，如为收集身份证号、婚史等信息获取用户的“单独同意”。

新标准实施后，在员工人事管理、差旅报销等低风险场景中，相关信息的处理得以“松绑”，这无疑显著降低了企业的合规成本与操作复杂度，有利于数据要素的更高效流通与利用。

然而，这同时也将更大的判断责任交给了企业自身。它们必须建立内部的风险评估机制，证明在特定业务场景下处理某些信息（如房产信息）确实“达不到危害条件”，并准备好应对可能的监管问询。

监管的焦点从“是否处理了清单上的信息”转向了“处理行为是否构成了实际风险”。

而对于普通公众，这种调整则一言难尽。 某类信息是否被纳入“敏感个人信息”的法定范畴，直接关系到个人对该信息的控制强度以及信息泄露后所面临的风险等级。

当信息被明确界定为敏感个人信息时，法律赋予个人的保护层级是最高的。这首先体现在知情权与控制权上，企业必须就此类信息的处理目的与方式向个人进行特别、清晰的告知，并获取其“单独同意”。

这意味着个人会看到一个独立的授权弹窗，可以单独对某项信息的收集说“不”，而无需担心影响主要服务的使用，个人的选择权非常清晰和有力。

然而，当某些信息（如网页浏览记录、婚史等）不再被自动归类为敏感信息时，个人享有的控制权便会发生变化。“同意”往往被整合进一份整体的隐私政策中，个人为了使用服务，通常需要“一揽子”接受所有条款。

这种模式下，个人难以针对某项具体信息的收集行使否决权，控制权在无形中被削弱了。

简而言之，从“敏感”变为“非敏感”，对个人最直接的影响是，之前能看到的那个让你单独说“不”的弹窗可能消失了，你对此类信息的处置变成了一个更模糊、更被动的选择。

表面上，我们在使用各类App时遇到的、要求对单项信息进行授权的弹窗可能会减少，数字生活的体验似乎更为流畅。但更深层次看，个人对自身信息的控制权在无形中被部分让渡。

当“同意”变得更加“一揽子”化，用户需要更加警觉和主动，仔细阅读那些冗长的隐私政策，才能知晓企业究竟收集了哪些信息以及作何用途。

法律保护的“安全网”从一道明确的“高压线”变成了更具弹性的“风险过滤网”，这要求个人具备更高的数字素养来维护自身权益。

此番调整清晰地折射出数据时代一个永恒的核心命题，隐私保护与数据利用效率之间的平衡。

新标准无疑体现了向“效率”一侧的适度倾斜，旨在为数字经济发展松绑。

然而，这种平衡点的设定，不应仅是立法者与行业专家闭门决策的结果。究竟哪些信息值得被赋予“敏感”身份而受到最高级别的保护，哪些信息的商业化利用被视为可接受的风险，这一决策流程本身理应引入更广泛的公众参与和讨论。

最终，每一位公民都是个人信息的拥有者，也是数据实践的最终承受者。

在追求发展效率的同时，如何确保隐私这一基本权利不在悄无声息中让步，是新标准落地后留给全社会的一道关键思考题。