01 引言
如今,个人信息的广泛采集和应用已成为当今社会的常态。《个人信息保护法》第五十五条列举了需要个人信息处理者进行个人信息保护影响评估(Privacy Impact Assessment ,PIA)的四种情况和一个兜底条款,所以PIA作为几种情形下必备的文件也逐渐被个人信息处理者重视。而个人信息的“分级分类”亦是PIA中需要明确的必备内容。
02 个人信息分级分类相关法规文件解读
为了更好地保护个人隐私、维护数据安全,《个人信息保护法》规定了个人信息处理者有分级分类个人信息的义务。这一要求不仅关注于整体数据的保护,更注重对微数据的精细化管理。由于我国目前并未发布个人信息分级分类的统一指标以及相关法规,所以对于如何明确个人信息的分级分类其实还无定论,各地网信部门也无法统一口径,理论上现有可参考的分级分类资料如下:
(一)《网络安全标准实践指南——网络数据分类分级指引》(以下简称《实践指南》
《实践指南》依据法律法规和政策标准要求,给出了网络数据分类分级原则、框架和方法。数据定级流程包括:如果数据属于个人信息,应识别敏感个人信息、一般个人信息,对个人信息进行定级。
《实践指南》还确定了数据分类原则,五项分类分级原则包括:1、合法合规原则;2、分类多维原则;3、分级明确原则;4、从高就严原则;5、动态调整原则。
(二)《通用数据保护条例》(GDPR)
GDOR是一部保护欧盟境内个人的数据隐私和安全的法律,内容规定十分严格,违反者将面临高达2000万欧元或者全球营业额4%的罚款。GDPR将个人信息分为一般个人信息和特殊类型信息。
(三)《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
从执法和司法实践中总结提炼,根据个人信息的敏感程度,分成3个量刑档次。
03个人敏感信息与个人一般信息
敏感个人信息的滥用或泄露将造成更严重的风险,因此在合规要求上会更严格,包括在具有特定的目的和充分的必要性,且采取严格保护措施的情形下,并在额外告知处理敏感个人信息的必要性和对个人权益的影响后经过个人的单独同意等。根据《个人信息保护法》,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
个人信息定级,可优先判定是否属于敏感个人信息,如果属于敏感个人信息,则定为一般数据4级。如果属于一般个人信息,则按照一般数据分级规则,从影响程度着手来分级:
根据《实践指南》6.4.2规定,特定类型一般数据的最低参考级别如下:敏感个人信息不低于4级,一般个人信息不低于2级,组织内部员工个人信息不低于2级,有条件开放或者共享的公共数据级别不低于2级,禁止开放或者共享的公共数据不低于4级。
举例而言,涉及个人隐私,一旦泄露可直接导致个人财产、个人名誉、身心健康受到损害或歧视性待遇等的个人信息,属于极敏感的5级可单独识别个人信息主体的字段信息,或者儿童信息属于敏感的4级。在特定环境下可以单独识别的个人信息主体以及结合其他较少的属性可唯一识别个人信息主体的字段是较敏感的3级。可定位特定群体,但群体数量相对较大,结合其他级别及以下属性较难识别个人信息主体的字段是低敏感的2级。可完全公开,字段泄露对个人基本无影响,与其他非敏感的信息组合几乎不可能定位到个人信息主体的属于非敏感1级。
04 结语
个人信息的分类管理是我国法律规定的信息处理者的法定义务,但目前还未发布个人信息分级分类的统一指标。但是在实践中一般分级分类主要指信息的敏感程度,企业在收集和处理个人信息时也应当提前对所收集的个人信息进行筛选,进行合理的分级分类,这不仅有利于企业合规运营,也为个人信息的合理利用提供了框架。在当今的信息化时代,精细化管理个人信息是保护隐私权的前提,也是社会发展的需要。
参考文献
《个人信息保护法》第五十五条:“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。”
作者简介
作者简介返回搜狐,查看更多
责任编辑: