1995年欧盟《个人数据保护指令》（Directive 95／46／EC）仿照《欧盟个人数据公约》以“特种资料”（Special categories of data）称呼“敏感个人数据”，其第8条第1款规定：只要能揭示种族血缘、政治观点、宗教信仰、工会会员资格的个人数据及涉及个人健康或性生活等的个人数据，会员国皆不能加以处理。美国《隐私权法》则规定，个人信息是指由任何机关保有的有关个人情况的单项、集合或组合，包括但不限于其教育背景、金融交易、医疗病史、犯罪前科、工作履历或其他特属于该个人的身份标记，如指纹、声纹或照片等。美国没有特意将个人敏感信息从个人信息中独立出来，美国《健康保险携带和责任法》（Health Insurance Portability And Accountability Act，HIPAA）专门指出，医疗信息是指无论是以口头还是以任何形式、媒介记录的信息，包括经由医疗机构、医疗计划、公共健康机构、雇主、保险人、学校或医疗信息交换中心所创造或取得的有关过去、现在和未来个人身体或心理的健康状况、对于个人的健康照护以及为个人健康照护所支付的财务费用等信息［4］。

在我国台湾地区在2010年新修订的规定中，个人信息包括自然人的姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人的信息，其中基因、医疗、健康检查、犯罪前科、性生活为个人敏感信息［5］。我国大陆地区至今尚未出台专门的个人信息保护法，也没有从国家法律层面对个人信息进行明确定义，只有2013年2月1日起开始实施的首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》对此有较为详细的规定，认为个人信息是指可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据，并将个人信息分为个人敏感信息和个人一般信息。其中个人敏感信息是指一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息，包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等个人信息［6］，但并未将病历和健康信息明确纳入个人敏感信息。而根据《辞海》对“敏感”的解释，敏感带有一定主观色彩，是指生理上或心理上对外界事物反应很快。因此，鉴于国家卫生计生委在2014年5月出台的《人口健康信息管理办法（试行）》指出，人口健康信息是指依据国家法律法规和工作职责，各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等［7］。包括全员人口、电子健康档案、电子病历以及人口健康统计信息等个人医疗信息具有信息量大、潜在价值高、流动扩散能力强、面临风险大等特征，应纳入个人敏感信息的范畴，并加以妥善保护。个人医疗信息安全则是指个人医疗信息不发生丢失、盗取、泄露、滥用等情况。具体可从个人医疗信息的保密性、完整性、可用性、可控性等四个方面加以考察，即保密性是指确保个人医疗信息仅为那些被授权者获取使用；完整性是指保护个人医疗信息不被删除、修改、伪造等；可用性是指保证被授权者可以按需获取使用个人医疗信息；可控性是指个人医疗信息和信息系统处于安全管理的状态。(www.daowen.com)