正式报名 | 人工智能治理专家认证CAIGP™课程
  • 时间:4月20—21日(周末两天)
  • 形式:线下为主、线上同步
  • 费用:早鸟价(2024年4月10前付款)6800元三人以上团购价单独询价
  • 地址:上海市静安区江场三路250号16号楼5层
  • 咨询:138 1664 6268,[email protected]
  • 扫描二维码索取课程介绍及报名表,并于4月10日前缴费
上周,网安标委发布了《数据安全技术 数据分类分级规则》,为企业开展数据分类分级工作提供了国家标准层面的指引。
除此之外,经过学习,发现国标还有以下三个妙用:

一是数据降级,敏感个人信息变一般。

二是个人信息详细列举,吵架有依据。
三是重要数据识别,没有目录也能参考。
一、敏感个人信息变一般
根据《促进和规范数据跨境流动规定》,若无免予前置审批的情形,即使1条敏感个人信息出境,也需要签订标准合同或通过个人信息保护认证。
如果只是偶发的一两条个人信息出境,可否通过去标识化处理,如算一个哈希值,将其从敏感个人信息变成一般个人信息呢?
尽管去标识个人信息有重识别的风险,但《数据分类分级规则》还是为想降级的朋友提供了一些论据。
在附录H中,若企业采取4级分类体系,则敏感个人信息不低于4级,个人信息不低于2级,但去标识化后的个人信息也不低于2级。是不是等价于,去标识化的个人信息就是一般个人信息呢?
附录I也说了,脱敏数据可以比原始数据级别降低
尽管这只是一个资料性附录,尽管这个思路可能不一定能得到监管部门的认可,但至少也是一个可能的论证方向吧(监管可能确实不接受,仅供参考)。
二、个人信息列举增多
相关数据是否属于个人信息,是决定《个人信息保护法》适用与否的原点问题
《个人信息安全规范》和《个人金融信息保护技术规范》已经提供了一些列举,可以避免一些论证的口舌,这次的《数据分类分级规则》在《个人信息安全规范》的基础上,进一步补充细化。详见下图,红字下划线是新增个人信息列举
《数据分类分级规则》
 B.1 个人信息分类参考示例
《个人信息安全规范》
A.1 个人信息举例
个人基本资料
自然人基本情况信息,如个人姓名、生日、年龄、性别、民族、国籍、籍贯、政治面貌、婚姻状况、家庭关系、住址、个人电话号码、电子邮件地址、兴趣爱好
个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等
个人身份信息
可直接标识自然人身份的信息,如身份证、军官证、护照、驾驶证、工作证、社保卡、居住证、港澳台通行证等证件号码、证件照片或影印件等。其中特定身份信息属于敏感个人信息,具体参见敏感个人信息国家标准
身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等
网络身份标识信息
可标识网络或通信用户身份的信息及账户相关资料信息(金融账户除外),如用户账号、用户ID、即时通信账号、网络社交用户账号、用户头像、昵称、个性签名、IP地址等
个人信息主体账号、IP地址、个人数字证书等
个人健康生理信息
健康状况信息
与个人身体健康状况相关的个人信息,如体重、身高、体温、肺活量、血压、血型
个人身体健康状况相关的信息,如体重、身高、肺活量等
医疗健康信息
个人因疾病诊疗等医疗健康服务产生的相关信息,如医疗就诊记录、生育信息既往病史等,具体范围参见敏感个人信息国家标准
个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康
个人财产信息
金融账户信息
金融账户及鉴别相关信息,如银行、证等账户的账号、密码等,具体参见敏感个人信息国家标准
银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息
个人交易信息
交易过程中产生的交易信息和消费记录,如交易订单、交易金额、支付记录、透支记录、交易状态、交易日志、交易凭证、账单,证券委托、成交、持仓信息,保单信息、理赔信息
个人资产信息
个人实体和虚拟财产信息,如个人收入状况、房产信息、存款信息、车辆信息、纳税额、公积金缴存明细、银行流水、虚拟财产(如虚拟货币、虚拟交易、游戏类兑换码等)等
个人借贷信息
个人在借贷过程中产生的信息,如个人借款信息、还款信息、欠款信息、信贷记录、征信信息、担保情况
身份鉴别信息
用于个人身份鉴别的数据,如账号口令、数字证书、短信验证码、密码提示问题等
个人通信信息
通信记录,短信、彩信、话音、电子邮件、即时通信等通信内容(如文字、图片、音频、视频、文件等),及描述个人通信的元数据(如通话时长)等
通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等
联系人信息
描述个人与关联方关系的信息,如通讯录、好友列表、群列表、电子邮件地址列表、家庭关系、工作关系、社交关系、父母或监护人信息、配偶信息
通讯录、好友列表、群列表、电子邮件地址列表等
个人上网记录
个人操作记录
个人在业务服务过程中的操作记录和行为数据,包括网页浏览记录、软件使用记录、点击记录、Cookie、发布的社交信息、点击记录、收藏列表、搜索记录、服务使用时间、下载记录
指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等
业务行为数据
用户使用某业务的行为记录(如游戏业务:用户游戏登录时间、最近充值时间、累计充值额度、用户通关记录)等
个人设备信息
可变更的唯一设备识别码
Android ID、广告标识符(IDFA)、应用开发商标识符(IDFV、开放匿名设备标识符(OAID
指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIMIMSI信息等)等在内的描述个人常用设备基本情况的信息
不可变更的唯一设备识别码
国际移动设备识别码(IMEI)、移动设备识别码(MEID)、设备媒体访问控制(MAC)地址、硬件序列号等
应用软件列表
用户在终端上安装的应用程序列表,如每款应用软件的名称、版本
个人位置信息
粗略位置信息
仅能定位到行政区、县级等的位置信息,如地区代码、城市代码等
包括行踪轨迹、精准定位信息、住宿信息、经纬度等
行踪轨迹信息
与个人所处地理位置、活动地点和活动轨迹等相关的信息,具体范围参见敏感个人信息国家标准
住宿出行信息
个人住宿信息,及乘坐飞机、火车、汽车、轮船等交通出行信息等
个人标签信息
基于个人上网记录等加工产生的个人用户标签、画像信息,如行为习惯、兴趣偏好等
个人运动信息
步数、步频、运动时长、运动距离、运动方式、运动心率等
其他个人信息
性取向、婚史、宗教信仰、未公开的违法犯罪记录等
婚史、宗教信仰、性取向、未公开的违法犯罪记录等
三、重要数据识别依据增加
《促进和规范数据跨境流动规定》明确了数据处理者识别重要数据的义务,而《数据分类分级规则》相较《数据出境安全评估办法》对重要数据的定义,给出了更加丰富的识别维度和样例。
为企业自行判断是否具有重要数据提供了更明晰的指导。

(一)定义
一方面,增加重要数据判断维度:特定领域、特定群体、特定区域或达到一定精度和规模的。
另一方面,强调仅影响组织自身或公民个体的数据一般不作为重要数据。
(二)识别维度
满足以下任一条件的数据,识别为重要数据:
1)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成一般危害
2)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成严重危害
3)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成严重危害(如影响社会稳定);
4)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成严重危害(如危害公共健康和安全);
5)数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域特定群体特定区域
6)数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社会稳定、公共健康和安全;
7)行业领域主管(监管)部门评估确定的重要数据
(三)更详细的附录参考
四、碎碎念
之前的重要国标都是叫“信息安全技术”,这次的前缀是“数据安全技术”,不知道是不是归口技术组不同。
此外,TC260已经从“全国信息安全标准化技术委员会”改名为“全国网络安全标准技术委员会”了。
法律人最佳职业方向之一,扫码加入学习
继续阅读
阅读原文