摘 要

我国在网络安全领域具有里程碑意义的重要法律——《中华人民共和国数据安全法》于 2021 年 9 月 1 日正式实施,明确提出对数据施行分类分级保护的要求,是我国首次正式将数据分类分级概念写入国家法律。个人信息特别是敏感的个人信息,作为数据安全保护的重要对象,在信息的利用和挖掘过程中面临极大的安全和隐私问题,亟须针对敏感个人信息进行分类分级保护,推动敏感个人信息规范化使用进程。通过研究敏感个人信息分类分级的背景,梳理敏感个人信息分类分级的现状,并指出当前常用方法存在的问题,在此基础上,提出了敏感个人信息分类分级的新思路,其研究成果有利于进一步推动敏感个人信息分类分级的研究。

内容目录:

1 敏感个人信息隐私保护背景

1.1 敏感个人信息的潜在威胁

1.2 敏感个人信息分类分级相关法律法规

2 敏感个人信息分类分级现状

2.1 国外敏感个人信息分类分级发展现状

2.2 国内敏感个人信息分类分级发展现状

2.3 敏感个人信息分类分级发展面临的困难

3 敏感个人信息的分类新思路

3.1 业务视角

3.2 技术视角

3.3 个人信息保护视角

4 敏感个人信息的分级新思路

5 结 语

开展敏感个人信息分类分级技术研究具有重要理论意义和实践价值,是当前我国社会发展的一项重大课题。《中华人民共和国数据安全法》(以下简称《数据安全法》)明确要求对数据施行分类分级保护 。而个人信息,特别是敏感的个人信息,是数据安全保护的重要对象。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)对敏感个人信息进行了定义,它指的是一旦被泄露或被非法利用,容易造成侵害自然人人格尊严或危及人身财产安全的个人信息。对敏感个人信息进行识别、鉴定、分类、分级是数据安全治理的起始点,在数据立法中也被反复强调。特别是敏感个人信息的分类分级有助于在后续实现对敏感个人信息按需脱敏和安全删除,是充分保障个人权益的重要前提。

目前,敏感个人信息安全已经引起广泛关注,国内外均针对敏感个人信息安全提出了相关法律。例如,欧盟 2018 年 5 月颁布实施了著名的《通用数据保护条例》,即 GDPR,该条例针对敏感个人信息的采集、使用、存储、处理等都做出了规范;国内《个人信息保护法》于2021 年 11 月施行,同样针对敏感个人信息生命周期各环节保护给予了明确规定 。然而,虽然各国针对敏感个人信息积极立法,但是在敏感个人信息分类分级保护具体实施层面,仍然缺乏科学研究和技术论证,缺少对体系化、完整性、通用性的敏感个人信息分类分级技术进行研究。

本文深入研究了敏感个人信息的分类分级技术。首先,从敏感信息安全的背景出发,分析了信息泄露的威胁,以此引出分类分级保护的必要性。其次,介绍了数据分类分级的立法背景,阐述了其在国内安全战略中的重要性。接下来,探讨了国内外分类分级研究的发展状况,重点对比了美国与我国的分类分级标准,并指出了当前实施这些标准所面临的挑战。本文进一步研究了敏感个人信息的分类思路,分析了各个维度的敏感数据,得出了常见的信息主题,并提出了新的分类方法。最后,论文探讨了信息分级的本质,阐述了其目的,并给出了新的思路。本研究的成果将有助于推动敏感个人信息分类分级的规范化和通用化。

敏感个人信息隐私保护背景

1.1 敏感个人信息的潜在威胁

近年来,随着网络空间、云计算、机器学习、深度学习等技术的蓬勃发展,推动了人类社会生活方式的转变,在生活、学习、工作等各个方面都给人们带来了极大的便利。然而,在人与设备、程序、互联网等交互环节中,往往伴随着敏感个人信息的泄露,人们在享受数字化信息时代所带来的便利的同时,敏感个人信息的泄露问题也成为人们的心头大患。尽管我国对侵犯公民个人信息在相关刑法修正案中有专门的规定,对侵犯公民个人信息罪的适用,也作了进一步明确和细化,并在相关刑法司法解释中予以明确。但网页、微信小程序、手机App 过度采集敏感个人信息等现象在现实生活中却屡见不鲜,而且屡禁不止。尤其是随着最近利用人工智能深度合成技术合成人脸、语音等技术的广泛应用,社会舆论更是将如何保护敏感个人信息的问题推上风口浪尖。

敏感个人信息的泄露,将会带来严重的后果。从个人层面来看,侵犯敏感个人信息会造成自然人权利受到侵害,如人身羞辱、被盗用信息犯罪、被敲诈勒索、被垃圾短信骚扰、受到就业影响等;从社会层面来看,敏感个人信息的泄露会影响社会治安,如造成商家与客户间信任缺失、制造社会焦虑、引发技术舆论、造成社会矛盾等;从国家安全战略层面来看,敏感个人信息泄露的后果更加危急,如针对重要人物的恐怖袭击、利用人性弱点进行间谍渗透、战场揣测军事战略意图等。总体而言,敏感个人信息数据泄露可能带来的威胁数不胜数,且一旦泄露无法挽回,危害后患无穷。

个人数据频繁跨地域、跨设备、跨系统、跨场景、跨生态交互已成为常态,而个人数据中包含大量的敏感信息,这些敏感信息可能在传播环节中被人有意留存,致使个人权益受到侵害。同时,各个信息系统的数据保护能力和保护策略有很大差异,这些差异造成的某些系统短板效应导致隐私泄露的风险越来越突出,因此亟须针对敏感个人信息进行规范化分类分级措施,从而避免信息系统之间保护策略参差不齐。

1.2 敏感个人信息分类分级相关法律法规

随着数据安全泄露事件的不断发生,数据安全逐渐上升到国家安全与国家战略层面,敏感个人信息的安全与保障是其中的重点关注部分,分类分级敏感个人信息成为企业治理数据的必选举措。随着敏感个人信息分类分级重视程度的不断加深,国内也逐渐推进分类分级法律法规的实施。经过梳理,目前涉及敏感个人信息的重要法律法规主要有基础法律,如《网络安全法》《数据安全法》《个人信息保护法》等;个人信息保护指南,如GB/T 41817—2022《信息安全技术 个人信息安全工程指南》、GB/T 41574—2022《信息技术 安全技术 公有云中个人信息保护实践指南》等。

2017 年 6 月 1 日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式实施,该法律明确网络空间安全主权的重要性、关键性、核心性,将网络空间安全提高至国家战略层面。该法是我国第一部专门针对网络空间安全问题进行规范的基础性法律。《网络安全法》高度重视对个人信息的保护,对个人信息的采集、存储、使用等都提出了要求,例如,针对采集而言,该法提出如果程序需要收集用户信息,程序的提供者应当向用户进行提示并取得用户的同意;涉及用户个人信息的,也应遵照本法及相关法律、行政法规的规定执行。该法从宏观层面上制定了法律法规,体现了国家对数据安全、个人信息的关注与重视。

2021 年 9 月 1 日,《数据安全法》正式实施,该法律是继《网络安全法》后中国在网络安全领域颁布的又一奠基石式的重要法律。《数据安全法》第二十一条明确指出,国家要建立数据分类分级保护制度,重视数据在经济发展中重要的社会地位,防止资源被篡改、损毁、泄露,或被非法获取、非法利用。数据分类分级概念在《数据安全法》中首次正式提出,要求企业实施数据分类分级治理,对敏感个人信息的使用提出严格的要求和规范,将数据分类分级、部门规章和数据治理安全制度等概念形成国家法律。

《个人信息保护法》制定了严格的个人信息使用标准,在敏感个人数据的采集、使用、存储等方面做出了明确要求,并规定建立敏感个人数据保护合规制度体系,成立特定机构进行监督、监管和治理,保证公开、公平、公正的规则。

从日益增长的敏感个人信息保护需求以及法律法规完善的角度来看,近年来,我国在保护敏感个人信息领域的立法内容上,丰富了《数据安全法》《个人信息保护法》等法律法规。目前的法律法规对数据分类分级虽有总体规范,但是缺乏实施层面的具体指导,数据分类分级体系仍有待完善。在这种情况下,《网络安全标准实践指南——网络数据分类分级指引》、GB/T 41817—2022《信息安全技术 个人信息安全工程指南》等国家标准与指南相继实施。但是遗憾的是,针对敏感个人信息分类分级的具体实施层面的相关法律法规仍然相对缺乏。

敏感个人信息分类分级现状

2.1 国外敏感个人信息分类分级发展现状

美国在敏感个人数据分类分级方面,早在2004 年 NIST 就发布了 FIPS 199《联邦信息和信息系统的安全分类》标准 ,提出信息的分级方法,规定了对信息分级的描述方式,从信息的机密性、完整性和可用性 3 个角度进行低、中、高 3 个等级的评定。2008 年,NIST 发布了SP 800-60《信息和信息系统类型与安全分级的映射指南》,更加具体地规范了政府信息的安全分类,并且给出了现有联邦政府内的信息安全分类。2015 年,NIST 发布了 SP 1500-2《NIST大数据互操作性框架:第二卷:大数据分类法》,提出了基于大数据参考架构的角色样本分类体系 ,将每个元素分解成多个部分,提供了特定粒度数据对象的描述及属性、特征和子特征。此外,亚马逊公司提出保障数据安全级别的重要举措,以识别敏感数据 ,并评估其安全性和访问控制,发布了 Macie 用于数据安全和数据隐私服务,通过机器学习和模式匹配识别亚马逊网络服务中的敏感数据。

2.2 国内敏感个人信息分类分级发展现状

在国内,与敏感个人信息相关的分类分级标准包括 GB/T 37964—2019《信息安全技术 个人信息去标识化指南》、GB/T 35273—2020《信息安全技术 个人信息安全规范》、GB/T 38667—2020《信息技术 大数据 数据分类指南》、GB/T 39335—2020《信息安全技术 个人信息安全影响评估指南》、GB/T 41817—2022《信息安全技术 个人信息安全工程指南》、GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》等国家标准,还包括电信、金融证券、电子政务等众多重点行业带头推动的数据分类分级行业标准,例如 YD/T 2781—2014《电信和互联网服务 用户个人信息保护定义及分类》、YD/T 2782—2014《电信和互联网服务 用户个人信息保护分级指南》、JR/T 0171—2020《个人金融信息保护技术规范》、JR/T 0197—2020《金融数据安全 数据安全分级指南》等行业标准。其中,深信服最先在分类分级上使用深度学习算法 ,实现对数据进行多维度元数据特征向量自动提取,对相似字段数据进行聚合归类。此外,华为云相关安全中心也对分类分级保护相关技术进行了研究,其安全平台具备敏感数据识别、数据脱敏等功能,对数据分类分级算法、工具、结果的后续应用等方面进行了有益探索。

2.3 敏感个人信息分类分级发展面临的困难

尽管法律法规、标准指南陆续对数据分类分级提出了要求 ,但是由于数据分类分级应用场景的多样性和动态性、数据管理需求的差异性、数据分类分级准则的不确定性,数据分类分级的实施思路和方式方法有待进一步研究和探索。特别是敏感个人数据分类分级尚处于起步阶段,还未形成一套较为实用的方法论,在具体实施方面也缺少参考细则。

现有敏感个人信息分类大多基于应用经验的积累,存在着“拍脑袋”现象,分类结果缺乏科学研究和技术论证。此外,因受不同管理部门管理视角的限制,服务于不同管理需求的数据分类主体各自为政,缺乏体系化、完整性、通用性考量。敏感个人信息的分类要针对上述两大问题探讨具有科学依据的、通用的数据分类思路,并面向敏感个人数据进行数据分类实践。一方面,解决存量数据分类管理的科学问题;另一方面,探索数据分类通用规则,摆脱穷举式的滞后数据分类现状,为未来可能出现的新增数据的归类预留空间。

现有敏感个人信息分级常用的固定思路存在一成不变、墨守成规的现象,分级结果缺乏需求适应和场景研究。目前的分级思路是先进行分类,再将分类结果进行级别划分,比如无危害级、轻微危害级、一般危害级、严重危害级。这种分级思路普遍常见,但是缺乏灵活性、通用性、适应性考量。例如在工业领域,数据安全与隐私保护问题普遍存在,安全治理体系仍然有待完善,工业对于数据安全治理的重视程度不足,安全治理需求不明确,分类分级防护不到位。工业领域存在多种风险,如产品漏洞引发的风险、数据开放所导致的风险、平台融合所带来的风险、海量数据管理所导致的风险等,风险的诱因与危害方向不尽相同,而简单笼统的分类、僵硬的级别划分显然缺乏灵活性、实际应用性与普适性,分类分级的落地实施新思路仍需进一步探索。

敏感个人信息分级要针对上述问题探究具有理论依据的、场景适应的数据分级思路,根据场景具体需求进行灵活应变的通用规则,摆脱生搬硬套的数据分级现状,为未来可能出现的新场景数据的分级提供思路。

敏感个人信息的分类新思路

敏感个人信息数据分类研究需要为敏感个人信息科学分类提供可行的思路,既能满足管理部门对敏感个人信息的管理需求,又能避免基于传统的分类方法导致的分类结果缺乏可解释性以及演进能力低的问题。敏感个人信息的数据分类过程可以分为 5 个步骤,依次为分类规划、分类准备、分类实施、结果评估、维护改进,如图 1 所示。

图 1 敏感个人信息数据分类过程

其中体现分类的 3 个关键环节保护选择分类视角、选择分类维度、选择分类方法。敏感个人信息数据分类需要遵循完整性、可分解性、正交性等基本原则,对敏感个人信息的数据分类维度进行梳理,将敏感个人信息映射到 N 维向量空间中。

敏感个人信息的数据分类视角可分解为业务视角、技术视角、个人信息保护视角。对分类视角进行进一步拆分,梳理出以下几个分类维度。

3.1 业务视角

(1)涉及敏感个人信息的行业领域:根据 GB/T 4574—2017《国民经济行业分类》的一级目录(20 个门类、97 个大类、473 个中类、1 380 个小类)进行分类维度分解。

(2)应用场景:地图导航、网络约车、即时通信、网络社区、网络支付等常见应用场景。

3.2 技术视角

(1)数据模态:文本、音频、图片、视频。

(2)数据处理时效:实时处理、准实时处理、批量处理。

(3)数据公开程度:公开、限制公开、非公开。

3.3 个人信息保护视角

(1)信息时效性:短期、中期、长期、终身。

(2)信息主体年龄:未满 14 周岁未成年人,14 ~ 18 周岁未成年人,18 ~ 60 周岁成年人,60 周岁以上成年人(老年人)。

(3)特殊信息主体:残疾人、非残疾人。

(4)信息主体国籍:中国、非中国。

(5)风险领域:人格、人身、财产。

(6)个人信息公开程度:公开、限制公开、非公开。

(7)信息主题:身份信息、生物特征、金融信息、医疗健康、行踪轨迹、身份鉴别信息、隐私信息。数据分类视角、维度和主要参数详见表 1,对常见信息主题的描述见表 2。

(8)拟采用面分类法与智能归类法相结合的方法进行数据归类:面分类法是根据所选取的敏感个人信息梳理出的分类维度,将这些信息划分为不存在相互隶属关系的维度,也就是彼此独立的维度,每个维度都包含一组类别。把某一面中的某一类和另一面中的某一类或多面中的某一类组合在一起,就可以构成一个复合型的大类。

表 1 敏感个人信息的数据分类维度分解

表 2 敏感个人信息的常见信息主题描述

敏感个人信息的分级新思路

敏感个人信息分级需要落实《个人信息保护法》的精神,根据敏感个人信息的重要程度对其划分为不同的安全级别,从而指导个人信息在收集、存储、使用、加工、传递、提供、公开、删除等活动中的个人信息安全保护,力求做到个人信息保护有据可依、有证可查。

敏感个人信息分类分级的新思路,是设计一套既能满足场景的业务需求,又能够在个人信息全生命周期保护敏感个人信息安全,还能指导应用实践的解决方案。这一新思路将敏感个人信息分级工作划分为 3 个层面。

第一个层面是将敏感个人信息作为一种特定的数据类型,并对其进行整体分级。根据《网络安全标准实践指南——数据分类分级指引》中的要求,“敏感个人信息不低于 4 级”,该条款定义了敏感个人信息的最低安全级别。尽管颗粒度较粗,却奠定了敏感个人信息分级的基础。

第二个层面是对敏感个人信息中包含的身份信息、生物识别信息、金融账户、医疗健康、行踪轨迹、身份鉴别等信息主题及其子类,逐项开展敏感个人信息影响分析,确定信息一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象和影响程度,最终确定敏感个人信息的安全级别。已有研究根据场景的业务需求,提出涉及敏感个人信息采集的最低要求。GB/T 41391—2022《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》已经在探索业务需求与个人信息保护之间的合理区域,并给出了常见服务类型 App 的必要个人信息范围和使用要求。

然 而, 从 颗 粒 度 上 看,GB/T 41391—2022涉及的分级对象是在信息层面,也就是说,该标准解决了该采集哪些个人信息,但并未解决该采集个人信息的哪种具体形态。这在指导个人信息处理实践时,仍然存在颗粒度较粗的问题。以使用网约车App的个人信息采集要求为例,用户的手机号、行程的始发地及目的地、行车轨迹(仅采集使用网约车服务的用户)、交易记录等信息,都包含在正常需要采集的个人信息中。但对用户的始发地、目的地、位置信息的准确性、各位置信息在行车轨迹上的采集间隔等,均未做出要求。这有可能导致 App 频繁采集高精度的用户位置信息,从而“实时监视”用户的位置信息。即使按照要求在完成处理目的后及时删除或匿名化处理,仍然在事实上造成了不必要的收集结果,存在个人隐私泄露风险。

第三个层面是面向场景的敏感个人信息分级,其目标是提出既能满足场景的业务需求,又能保护敏感个人信息安全的解决方案。在这个层面中,需要考虑两个阶段的敏感个人信息分级。

第一个阶段是开展用户服务过程中的个人分级。仍然以位置信息为例,在不同业务场景中应该对其规定不同的信息收集粒度。例如在网约汽车服务中,用户发起叫车服务时,服务平台应当精确获取用户的上车地点,并且实时追踪用户实际所在位置,以便于汽车更快接到用户。由于位置信息精度高,与个人信息主体的关联更加紧密,所以此时获取的用户位置信息安全分级较高。而在用户使用网约汽车期间,由于不涉及接送用户等业务需求,只是记录形成路线,避免未按导航行驶的事件发生,其对于用户位置的采集精度可以相对粗糙,频次也可以降低,例如不超过 1 次 / 秒,以保护用户的个人隐私,此时获取的用户位置信息安全分级相对较低。

第二个阶段是为用户提供服务之后的敏感个人信息分级。当为用户提供服务之后,如获得信息主体的授权仅限于为其提供服务,个人信息处理者应当依法删除个人信息。但如果信息主体授权可将服务中采集的个人信息用于其他用途,如优化模型、开展测试等,对个人信息的保护应当加强,必要时采取个人信息脱敏等处理措施。

根据上述敏感个人信息分级思路实践的信息分级解决方案,可以防止过度收集敏感个人信息,并且根据对敏感个人信息的定级,要求个人信息处理者对于超精度、超密集、超清晰度等收集的敏感个人信息,采用更加严格的安全保护方法,从而达到保护个人隐私、维护个人权益的目的。

结 语

在网络空间、云计算、机器学习、深度学习等技术蓬勃发展的今天,敏感个人信息的保护显得更加重要。本文阐述了敏感个人信息保护的背景、相关的法律法规、发展现状与目前发展过程中的新挑战,并针对目前敏感个人信息分类与分级现状进行了针对性分析,为敏感个人信息的分类分级提供了新见解和新思路。这种对分类分级思路的探索,对进一步保护敏感个人信息具有深远意义,为各方在敏感个人信息保护方面的研究与实践提供了支持。

引用格式:卢锐恒 , 许晓耕 , 白雪珺 , 等 . 敏感个人信息分类分级研究 [J]. 信息安全与通信保密 ,2023(4):46-56.

作者简介

卢锐恒,男,硕士研究生,主要研究方向为网络空间安全、人工智能安全、数据安全;

许晓耕,通讯作者,女,博士,工程师,主要研究方向为个人信息保护、人工智能安全、数据安全;

白雪珺,男,硕士研究生,主要研究方向为网络空间安全、知识图谱;

王 宇,男,硕士研究生,主要研究方向为网络空间安全、网络攻击与防御;

张晓磊,男,硕士研究生,主要研究方向为网络空间安全、人工智能安全;

杨浩淼,男,博士,教授,主要研究方向为网络空间安全、个人信息保护、人工智能安全、数据安全。

选自《信息安全与通信保密》2023年第4期(为便于排版,已省去原文参考文献)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。