第二步，既要考虑单项信息属性，也要综合考虑个人信息 汇聚或融合后的整体属性。

第三步，审查是否属于常见敏感个人信息（《识别指南》第4章说明了常见敏感个人信息类型，《识别指南》附表列出了常见敏感个人信息类别示例）。如是，一般认定为敏感个人信息，除非有充分理由和证据表明处理的个人信息达不到敏感个人信息认定情形（即本文第四章所列的任一条件）。

第四步，审查相关信息是否属于以下3项类别之一：1.一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害；2.一旦泄露或者非法使用，容易导致自然人的人身安全受到危害；3.一旦泄露或者非法使用，容易导致自然人财产安全受到危害。只要缺乏充分理由和证据表明个人信息达不到敏感个人信息，则企业应当判定相关信息为敏感个人信息。

常见敏感个人信息包括以下类别：生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人的个人信息、其他敏感个人信息。企业应注意识别所掌握的敏感个人信息，并按照敏感个人信息的保护要求，做好敏感个人信息保护工作。

企业应当明确告知个人信息主体，该次收集信息行为的收集主体、收集目的、收集内容、存储期限、收集必要性、对个人信息主体的个人权益影响等。并且，随着场景的变换，企业需要在新的信息收集场景中重新履行告知义务和获得信息主体的单独同意。在劳动用工场景中，企业可以通过《入职通知书》《劳动合同》《员工手册》《员工入职登记表》等书面文件履行告知义务，劳动者逐一项签署进行单独同意；在平台企业、产品系统服务提供过程中，企业可以通过单独弹窗、设置可勾选的单独选项等方式进行告知和取得单独同意，如果存在持续收集的情况，企业应当根据信息类型的不同设置差异明显且清晰易懂的提示，持续提醒收集状态，譬如手机定位服务图标的持续显示就可以达到该提醒效果。

关于敏感个人信息处理。企业应当加强对敏感个人信息的数据安全保护措施，尤其对于敏感个人信息，应当实施重点的数据安全保护，并采取进一步的数据安全保护措施，包括但不限于在加密、信息隔离、去标识化处理、访问限制、日志记录保存、场所监控、网络安全等级保护等技术手段上强化保护，以及在人员、制度等进行合规配置。还建议企业建立个人信息的分类管理制度，对个人信息结构化处理，密切掌握个人信息的情况，及时关注个人信息的处理情况，对于已经达到存储期限或实现使用目的的个人信息应立即销毁处置，避免超期限、超目的、超安全范围的存储和处理。