数据分类分级国标的妙用
时间:4月20—21日(周末两天) 形式:线下为主、线上同步
费用:早鸟价(2024年4月10前付款)6800元,三人以上团购价单独询价
地址:上海市静安区江场三路250号16号楼5层
咨询:138 1664 6268,[email protected]
扫描二维码索取课程介绍及报名表,并于4月10日前缴费
上周,网安标委发布了《数据安全技术 数据分类分级规则》,为企业开展数据分类分级工作提供了国家标准层面的指引。
除此之外,经过学习,发现国标还有以下三个妙用:
一是数据降级,敏感个人信息变一般。
二是个人信息详细列举,吵架有依据。
三是重要数据识别,没有目录也能参考。
一、敏感个人信息变一般
根据《促进和规范数据跨境流动规定》,若无免予前置审批的情形,即使1条敏感个人信息出境,也需要签订标准合同或通过个人信息保护认证。
如果只是偶发的一两条个人信息出境,可否通过去标识化处理,如算一个哈希值,将其从敏感个人信息变成一般个人信息呢?
尽管去标识个人信息有重识别的风险,但《数据分类分级规则》还是为想降级的朋友提供了一些论据。
在附录H中,若企业采取4级分类体系,则敏感个人信息不低于4级,个人信息不低于2级,但去标识化后的个人信息也不低于2级。是不是等价于,去标识化的个人信息就是一般个人信息呢?
附录I也说了,脱敏数据可以比原始数据级别降低。
尽管这只是一个资料性附录,尽管这个思路可能不一定能得到监管部门的认可,但至少也是一个可能的论证方向吧(监管可能确实不接受,仅供参考)。
二、个人信息列举增多
《数据分类分级规则》 表 B.1 个人信息分类参考示例 | 《个人信息安全规范》 表A.1 个人信息举例 | ||
个人基本资料 | 自然人基本情况信息,如个人姓名、生日、年龄、性别、民族、国籍、籍贯、政治面貌、婚姻状况、家庭关系、住址、个人电话号码、电子邮件地址、兴趣爱好等 | 个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等 | |
个人身份信息 | 可直接标识自然人身份的信息,如身份证、军官证、护照、驾驶证、工作证、社保卡、居住证、港澳台通行证等证件号码、证件照片或影印件等。其中特定身份信息属于敏感个人信息,具体参见敏感个人信息国家标准 | 身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等 | |
网络身份标识信息 | 可标识网络或通信用户身份的信息及账户相关资料信息(金融账户除外),如用户账号、用户ID、即时通信账号、网络社交用户账号、用户头像、昵称、个性签名、IP地址等 | 个人信息主体账号、IP地址、个人数字证书等
| |
个人健康生理信息 | 健康状况信息 | 与个人身体健康状况相关的个人信息,如体重、身高、体温、肺活量、血压、血型等 | 个人身体健康状况相关的信息,如体重、身高、肺活量等 |
医疗健康信息 | 个人因疾病诊疗等医疗健康服务产生的相关信息,如医疗就诊记录、生育信息、既往病史等,具体范围参见敏感个人信息国家标准 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康 | |
个人财产信息 | 金融账户信息 | 金融账户及鉴别相关信息,如银行、证券等账户的账号、密码等,具体参见敏感个人信息国家标准 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
个人交易信息 | 交易过程中产生的交易信息和消费记录,如交易订单、交易金额、支付记录、透支记录、交易状态、交易日志、交易凭证、账单,证券委托、成交、持仓信息,保单信息、理赔信息等 | ||
个人资产信息 | 个人实体和虚拟财产信息,如个人收入状况、房产信息、存款信息、车辆信息、纳税额、公积金缴存明细、银行流水、虚拟财产(如虚拟货币、虚拟交易、游戏类兑换码等)等 | ||
个人借贷信息 | 个人在借贷过程中产生的信息,如个人借款信息、还款信息、欠款信息、信贷记录、征信信息、担保情况等 | ||
身份鉴别信息 | 用于个人身份鉴别的数据,如账号口令、数字证书、短信验证码、密码提示问题等 | 无 | |
个人通信信息 | 通信记录,短信、彩信、话音、电子邮件、即时通信等通信内容(如文字、图片、音频、视频、文件等),及描述个人通信的元数据(如通话时长)等 | 通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等 | |
联系人信息 | 描述个人与关联方关系的信息,如通讯录、好友列表、群列表、电子邮件地址列表、家庭关系、工作关系、社交关系、父母或监护人信息、配偶信息等 | 通讯录、好友列表、群列表、电子邮件地址列表等 | |
个人上网记录 | 个人操作记录 | 个人在业务服务过程中的操作记录和行为数据,包括网页浏览记录、软件使用记录、点击记录、Cookie、发布的社交信息、点击记录、收藏列表、搜索记录、服务使用时间、下载记录等 | 指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等 |
业务行为数据 | 用户使用某业务的行为记录(如游戏业务:用户游戏登录时间、最近充值时间、累计充值额度、用户通关记录)等 | 无 | |
个人设备信息 | 可变更的唯一设备识别码 | Android ID、广告标识符(IDFA)、应用开发商标识符(IDFV)、开放匿名设备标识符(OAID)等 | 指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM卡IMSI信息等)等在内的描述个人常用设备基本情况的信息 |
不可变更的唯一设备识别码 | 国际移动设备识别码(IMEI)、移动设备识别码(MEID)、设备媒体访问控制(MAC)地址、硬件序列号等 | ||
应用软件列表 | 用户在终端上安装的应用程序列表,如每款应用软件的名称、版本等 | ||
个人位置信息 | 粗略位置信息 | 仅能定位到行政区、县级等的位置信息,如地区代码、城市代码等 | 包括行踪轨迹、精准定位信息、住宿信息、经纬度等 |
行踪轨迹信息 | 与个人所处地理位置、活动地点和活动轨迹等相关的信息,具体范围参见敏感个人信息国家标准 | ||
住宿出行信息 | 个人住宿信息,及乘坐飞机、火车、汽车、轮船等交通出行信息等 | ||
个人标签信息 | 基于个人上网记录等加工产生的个人用户标签、画像信息,如行为习惯、兴趣偏好等 | 无 | |
个人运动信息 | 步数、步频、运动时长、运动距离、运动方式、运动心率等 | 无 | |
其他个人信息 | 性取向、婚史、宗教信仰、未公开的违法犯罪记录等 | 婚史、宗教信仰、性取向、未公开的违法犯罪记录等 | |
三、重要数据识别依据增加
《促进和规范数据跨境流动规定》明确了数据处理者识别重要数据的义务,而《数据分类分级规则》相较《数据出境安全评估办法》对重要数据的定义,给出了更加丰富的识别维度和样例。
为企业自行判断是否具有重要数据提供了更明晰的指导。
一方面,增加重要数据判断维度:特定领域、特定群体、特定区域或达到一定精度和规模的。
另一方面,强调仅影响组织自身或公民个体的数据一般不作为重要数据。
满足以下任一条件的数据,识别为重要数据:
1)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成一般危害;
2)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成严重危害;
3)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成严重危害(如影响社会稳定);
4)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成严重危害(如危害公共健康和安全);
5)数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域;
6)数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社会稳定、公共健康和安全;
7)经行业领域主管(监管)部门评估确定的重要数据。
(三)更详细的附录参考
四、碎碎念
此外,TC260已经从“全国信息安全标准化技术委员会”改名为“全国网络安全标准技术委员会”了。
微信扫码关注该文公众号作者