《个人信息保护法》第二十八条对敏感个人信息进行了定义和列举。

第二十八条 敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

一、敏感个人信息主要有七大类

1、个人财产信息：银行账号、鉴别信息（口令）、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息。

2、个人健康生理信息：个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况产生的相关信息等。

3、个人生物识别信息：个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等。

4、个人身份信息：身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等。

5、网络身份标识信息：系统账号、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等。

6、其他信息：个人电话号码、性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等。

7、不满十四周岁未成年人的个人信息。

二、经常用到的敏感个人信息有以下20种。

1、身份证件号码

2、征信信息

3、药物过敏信息

4、存款信息

5、银行账号

6、通话记录和内容

7、财产信息

8、过往病史

9、网络身份标识信息

10、住宿信息

11、生育信息

12、交易信息

13、家族病史

14、行踪轨迹

15、流水记录

16、信贷记录

17、虚拟交易信息

18、食物过敏信息

19、手术及麻醉记录

20、网页浏览记录