国家标准计划《信息安全技术 敏感个人信息处理安全要求》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 中国电子技术标准化研究院 、中国信息安全测评中心 、中国科学院信息工程研究所 、中国科学院软件研究所 、国家信息技术安全研究中心 、中国网络空间研究院 、公安部第一研究所 、公安部第三研究所 、北京交通大学 、西安交通大学 、阿里巴巴（中国）有限公司 、蚂蚁科技集团股份有限公司 、阿里云计算有限公司 、深圳市腾讯计算机系统有限公司 、北京百度网讯科技有限公司 、北京微播视界科技有限公司 、北京字节跳动科技有限公司 、北京快手科技有限公司 、成都卫士通信息产业股份有限公司 、北京小桔科技发展有限公司 、联想（北京）有限公司 、北京汉华飞天信安科技有限公司 。

本标准为支撑《个人信息保护法》第二节敏感个人信息的处理规则的落地实施。

本标准规范各类敏感个人信息处理者，包含网上购物、网络支付、网络预约汽车、快递物流、网络音视频、即时通信等各类场景下的敏感个人信息处理者。

本标准旨在规范个人信息处理者的敏感个人信息处理活动，也可为监管部门、第三方评估机构对个人信息处理者开展敏感个人信息处理活动进行监督、管理、评估提供参考。

本标准对医疗健康、金融账户、行踪轨迹等敏感个人信息的数据处理者进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动中应遵循的安全要求进行了明确，把采集必要性、安全保护、脱敏规则、告知同意等方面作为重点要求规范下来，有利于充分保护个人信息主体的权益，同时规范敏感个人信息处理活动，使得敏感个人信息处理者明确自身安全要求，谨慎处理敏感个人信息，促进敏感个人信息合理利用。

本标准规定了个人信息处理者在收集、存储、使用、加工、传输、提供、公开、删除等环节对敏感个人信息的保护要求。主要内容包括： （1）本标准给出了敏感个人信息识别方法和原则，并对敏感个人信息进行分类。从敏感个人信息通用处理要求和敏感个人信息保护要求两个维度来规范敏感个人信息处理者。从敏感个人信息的生命周期来规定敏感个人信息处理通用要求，从敏感个人信息安全管理要求和技术要求等方面来规定敏感个人信息保护通用要求。 （2）本标准具体落地《个人信息保护法》敏感个人信息相关条款，对宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、未成年人信息等的具体保护要求进行特别规定。