Bendi新闻
>
数据分类分级国标的妙用

数据分类分级国标的妙用

8月前
正式报名 | 人工智能治理专家认证CAIGP™课程
  • 时间:4月20—21日(周末两天)
  • 形式:线下为主、线上同步

  • 费用:早鸟价(2024年4月10前付款)6800元三人以上团购价单独询价

  • 地址:上海市静安区江场三路250号16号楼5层

  • 咨询:138 1664 6268,[email protected]

  • 扫描二维码索取课程介绍及报名表,并于4月10日前缴费

上周,网安标委发布了《数据安全技术 数据分类分级规则》,为企业开展数据分类分级工作提供了国家标准层面的指引。


除此之外,经过学习,发现国标还有以下三个妙用:


一是数据降级,敏感个人信息变一般。


二是个人信息详细列举,吵架有依据。


三是重要数据识别,没有目录也能参考。

一、敏感个人信息变一般


根据《促进和规范数据跨境流动规定》,若无免予前置审批的情形,即使1条敏感个人信息出境,也需要签订标准合同或通过个人信息保护认证。


如果只是偶发的一两条个人信息出境,可否通过去标识化处理,如算一个哈希值,将其从敏感个人信息变成一般个人信息呢?


尽管去标识个人信息有重识别的风险,但《数据分类分级规则》还是为想降级的朋友提供了一些论据。



在附录H中,若企业采取4级分类体系,则敏感个人信息不低于4级,个人信息不低于2级,但去标识化后的个人信息也不低于2级。是不是等价于,去标识化的个人信息就是一般个人信息呢?



附录I也说了,脱敏数据可以比原始数据级别降低


尽管这只是一个资料性附录,尽管这个思路可能不一定能得到监管部门的认可,但至少也是一个可能的论证方向吧(监管可能确实不接受,仅供参考)。


二、个人信息列举增多


相关数据是否属于个人信息,是决定《个人信息保护法》适用与否的原点问题

《个人信息安全规范》和《个人金融信息保护技术规范》已经提供了一些列举,可以避免一些论证的口舌,这次的《数据分类分级规则》在《个人信息安全规范》的基础上,进一步补充细化。详见下图,红字下划线是新增个人信息列举


《数据分类分级规则》

 B.1 个人信息分类参考示例

《个人信息安全规范》

A.1 个人信息举例

个人基本资料

自然人基本情况信息,如个人姓名、生日、年龄、性别、民族、国籍、籍贯、政治面貌、婚姻状况、家庭关系、住址、个人电话号码、电子邮件地址、兴趣爱好

个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等

个人身份信息

可直接标识自然人身份的信息,如身份证、军官证、护照、驾驶证、工作证、社保卡、居住证、港澳台通行证等证件号码、证件照片或影印件等。其中特定身份信息属于敏感个人信息,具体参见敏感个人信息国家标准

身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等

网络身份标识信息

可标识网络或通信用户身份的信息及账户相关资料信息(金融账户除外),如用户账号、用户ID、即时通信账号、网络社交用户账号、用户头像、昵称、个性签名、IP地址等

个人信息主体账号、IP地址、个人数字证书等

 

个人健康生理信息

健康状况信息

与个人身体健康状况相关的个人信息,如体重、身高、体温、肺活量、血压、血型

个人身体健康状况相关的信息,如体重、身高、肺活量等

医疗健康信息

个人因疾病诊疗等医疗健康服务产生的相关信息,如医疗就诊记录、生育信息既往病史等,具体范围参见敏感个人信息国家标准

个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康

个人财产信息

金融账户信息

金融账户及鉴别相关信息,如银行、证等账户的账号、密码等,具体参见敏感个人信息国家标准

银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息

个人交易信息

交易过程中产生的交易信息和消费记录,如交易订单、交易金额、支付记录、透支记录、交易状态、交易日志、交易凭证、账单,证券委托、成交、持仓信息,保单信息、理赔信息

个人资产信息

个人实体和虚拟财产信息,如个人收入状况、房产信息、存款信息、车辆信息、纳税额、公积金缴存明细、银行流水、虚拟财产(如虚拟货币、虚拟交易、游戏类兑换码等)等

个人借贷信息

个人在借贷过程中产生的信息,如个人借款信息、还款信息、欠款信息、信贷记录、征信信息、担保情况

身份鉴别信息

用于个人身份鉴别的数据,如账号口令、数字证书、短信验证码、密码提示问题等

个人通信信息

通信记录,短信、彩信、话音、电子邮件、即时通信等通信内容(如文字、图片、音频、视频、文件等),及描述个人通信的元数据(如通话时长)等

通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等

联系人信息

描述个人与关联方关系的信息,如通讯录、好友列表、群列表、电子邮件地址列表、家庭关系、工作关系、社交关系、父母或监护人信息、配偶信息

通讯录、好友列表、群列表、电子邮件地址列表等

个人上网记录

个人操作记录

个人在业务服务过程中的操作记录和行为数据,包括网页浏览记录、软件使用记录、点击记录、Cookie、发布的社交信息、点击记录、收藏列表、搜索记录、服务使用时间、下载记录

指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等

业务行为数据

用户使用某业务的行为记录(如游戏业务:用户游戏登录时间、最近充值时间、累计充值额度、用户通关记录)等

个人设备信息

可变更的唯一设备识别码

Android ID、广告标识符(IDFA)、应用开发商标识符(IDFV、开放匿名设备标识符(OAID

指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIMIMSI信息等)等在内的描述个人常用设备基本情况的信息

不可变更的唯一设备识别码

国际移动设备识别码(IMEI)、移动设备识别码(MEID)、设备媒体访问控制(MAC)地址、硬件序列号等

应用软件列表

用户在终端上安装的应用程序列表,如每款应用软件的名称、版本

个人位置信息

粗略位置信息

仅能定位到行政区、县级等的位置信息,如地区代码、城市代码等

包括行踪轨迹、精准定位信息、住宿信息、经纬度等

行踪轨迹信息

与个人所处地理位置、活动地点和活动轨迹等相关的信息,具体范围参见敏感个人信息国家标准

住宿出行信息

个人住宿信息,及乘坐飞机、火车、汽车、轮船等交通出行信息等

个人标签信息

基于个人上网记录等加工产生的个人用户标签、画像信息,如行为习惯、兴趣偏好等

个人运动信息

步数、步频、运动时长、运动距离、运动方式、运动心率等

其他个人信息

性取向、婚史、宗教信仰、未公开的违法犯罪记录等

婚史、宗教信仰、性取向、未公开的违法犯罪记录等


三、重要数据识别依据增加


《促进和规范数据跨境流动规定》明确了数据处理者识别重要数据的义务,而《数据分类分级规则》相较《数据出境安全评估办法》对重要数据的定义,给出了更加丰富的识别维度和样例。


为企业自行判断是否具有重要数据提供了更明晰的指导。


(一)定义


一方面,增加重要数据判断维度:特定领域、特定群体、特定区域或达到一定精度和规模的。


另一方面,强调仅影响组织自身或公民个体的数据一般不作为重要数据。


(二)识别维度

满足以下任一条件的数据,识别为重要数据:


1)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成一般危害


2)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成严重危害


3)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成严重危害(如影响社会稳定);


4)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成严重危害(如危害公共健康和安全);


5)数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域特定群体特定区域


6)数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社会稳定、公共健康和安全;


7)行业领域主管(监管)部门评估确定的重要数据


(三)更详细的附录参考


四、碎碎念


之前的重要国标都是叫“信息安全技术”,这次的前缀是“数据安全技术”,不知道是不是归口技术组不同。


此外,TC260已经从“全国信息安全标准化技术委员会”改名为“全国网络安全标准技术委员会”了。



法律人最佳职业方向之一,扫码加入学习

微信扫码关注该文公众号作者

来源:数据法盟

相关新闻

重磅!国标《数据安全技术 数据分类分级规则》发布复旦大学:没钱标数据的有福了!利用合成数据就能大幅提升大模型归纳推理能力抄作业 | 12张图解析数据安全分类分级医学顶刊TMI 2024!首个研究医疗AI算法公平性的眼科图像分类数据集美国文盲率21%,这是联合国和美国的官方公开数据今晚直播预约 | 常国珍:生成式人工智能的数据应用合规 | CAIGP人工智能治理沙龙第1期直播预约 | 常国珍:生成式人工智能的数据应用合规 | CAIGP人工智能治理沙龙第1期女子花2990元除甲醛,治理后仍超国标1倍多!商家:只有甲醛数据超标,才能赚到客户更多钱「AI数据荒」雪上加霜!MIT:网页数据的公开共享正走向衰落SQLite这么小众的数据库,到底是什么人在用?万字长文解析谷歌日历的数据库是怎么设计的虞书欣本人来了也要当虞书欣的数据女工首例涉数据知识产权登记效力案:公开的数据不属于商业秘密,但可依反法保护完整的数据指标体系,大厂是怎么搭建的?仅剩2席|系统梳理编程相关的数据结构及算法等Technical知识点,告别死记硬背,过面试拿Offer!没有千亿级也没有百亿级,ToB 大模型如何挖掘不足 1% 的企业数据的价值?居家办公享时薪40美元!27岁华裔CEO招聘博士训练AI数据标注吵了6年的数据库话题,会在冯若航这里终结吗?一次压测引发的数据库CPU飙升...被全球最大用户弃用!曾经的数据库霸主 HBase 正在消亡茅台的数据整理,风韵可犹存?ACL 2024: ChatGPT栽了!数据标注还得靠人类字节跳动内部培训的数据分析课,质量太高了15.5k star,功能强悍、免费、开源的数据可视化工具
logo
联系我们隐私协议©2024 bendi.news
Bendi新闻
Bendi.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Bendi.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。