个人信息保护法规定敏感个人信息包括

《中华人民共和国个人信息保护法》是为了保护个人信息权益，规范个人信息处理活动，保障个人信息依法有序自由流动，促进个人信息合理利用而制定的法律， 自2021年11月1日起施行。[1]

该法明确了个人信息的概念和处理规则，对处理人脸信息等敏感个人信息进行规制，强调不得过度收集个人信息，禁止商家通过自动化决策“大数据杀熟”，对公共场所安装图像采集、个人身份识别设备作出规范

个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下儿童的个人信息等。个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。《信息安全技术公共及商用服务信息系统个人信息保护指南》规定处理个人信息应当具有特定、明确和合理的目的，应当在个人信息主体知情的情况下获得个人信息主体的同意，应当在达成个人信息使用目的之后删除个人信息。