敏感信息（或敏感数据），是指不当使用或未经授权被人接触或修改后，会产生不利于国家和组织的负面影响和利益损失，或不利于个人依法享有的个人隐私的所有信息。

在美国，除个人隐私和商业秘密外，政府部门的不公开信息主要包括国家秘密、敏感信息和纯粹的单位内部信息。其中，敏感信息介于保密信息和公开信息之间，既不属于国家秘密并按其形式进行保护，但若公开却会造成某种损害或潜在损害，因此需要限制公开或控制其传播。美国把这类信息称为“受控非秘密信息（Controlled Unclassified Information，CUI）”，即国内所说的敏感信息，其具有传播控制性、不易辨识性和难以规范性等特点。

鉴于各国政府对敏感信息保护的侧重性，本报告内容主要针对个人隐私信息保护的相关法律和制度进行介绍，并对个人信息保护的立法提出相应的建议。

1. 商业敏感信息

1993年12月1日实施的《中华人民共和国反不正当竞争法》将“商业敏感信息”定义为“不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利采取保密措施的技术信息和经营信息”。

技术信息主要是指权利人采取了保密措施保护不为公众所知晓（未取得工业产权保护）的，具有经济价值的技术知识，如：设计、程序、产品配方、制作工艺等。

经营信息是指权利人采取了保密措施不为公众所知晓的具有经济价值的有关商业、管理

等方面的方法、经验或其他信息，如：企业的战略规划、管理方法、商业模式等。

 此外，为保护我国中央企业商业秘密，推动中央企业加强商业秘密保护工作，确保企业核心经营信息和技术信息安全，国务院国有资产监督管理委员会于2010年3月审议通过了《中央企业商业秘密保护暂行规定》；其后，又于2012年5月印发了《中央企业商业秘密信息安全技术指引》，进一步增强了中央企业商业秘密保护技术防范能力。

2. 个人敏感信息

个人敏感信息是指与个人利益密切相关，一旦泄露、披露或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。

总体而言，个人敏感信息包括以下几类：

基本信息，如姓名、性别、年龄、身份证号码、电话号码、Email地址及家庭住址等，有时甚至会包括婚姻、信仰、职业、工作单位、收入、病历、生育等内容。

设备信息，是指个人信息主体使用各种计算机终端设备（包括移动和固定终端）的基本信息，如位置信息、Wifi列表信息、Mac地址、CPU信息、内存信息、SD卡信息等。

账户信息，主要包括银行帐号（特别是网银账号）、第三方支付帐号，社交帐号和重要邮箱帐号等。

（1）隐私信息，主要包括通讯录信息、通话记录、短信记录、IM应用软件聊天记录、个人视频、照片等，甚至包括个人健康记录、生物特征等。

（2）社会关系信息，主要包括好友关系、家庭成员信息、工作单位信息等。

（3）网络行为信息，主要是指上网行为记录和活动行为，如上网时间、上网地点、输入记录、聊天交友、网站访问行为、网络游戏行为等信息。

当前，个人敏感信息的泄露主要通过人为倒卖、手机泄露、电脑病毒感染和网站漏洞等途径实现。特别是现阶段在互联网应用普及和人们对互联网依赖背景之下，由于信息安全漏洞造成的个人敏感信息泄露事件频发。因此，为防范个人敏感信息泄露，保护个人隐私，除了个人要提高自我信息保护意识以外，国家也正在积极推进保护个人信息安全的立法进程。