个人信息(个人数据)定义
《中华人民共和国个人信息保护法》 第四条:个人信息是以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
《通用数据保护条例》(GDPR) 第4(1)条 :个人数据指的是任何已识别或可识别的自然人(“数据主体”)相关的信息。
解释:个人信息只要能够识别出“特定的个人”就算,可以但不需要识别出这个人是谁,也可以是识别出某个人干了什么、用了什么,只要能区分开这个人和其他人就可以算个人信息。这种识别可以是直接识别,也可以是结合其他信息共同识别出,都算作识别。
《信息安全技术 个人信息安全规范》中对个人信息进行了列举:
| 类别 | 内容 |
|---|---|
| 个人资本资料 | 个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等 |
| 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等 |
| 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、虹膜、面部识别特征等 |
| 网络身份识别信息 | 个人信息主体账号、IP地址、个人数字证书等 |
| 个人健康生理信息 | 个人因生病医治产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、先病史、传染病史、以及与个人身体健康状况相关的信息,如身高、体重、肺活量等 |
| 个人教育工作信息 | 个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等 |
| 个人财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟资产信息 |
| 个人通信信息 | 通信记录和内容、短信、彩信、电子邮件、以及描述个人通信的数据(通常成为元数据)等 |
| 联系人信息 | 通讯录、好友列表、群列表、电子邮件地址列表等 |
| 个人上网记录 | 指通过日志存储的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等 |
| 个人常用设备信息 | 指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM拉的IMSI信息等)等在内的描述个人常用设备基本情况的信息 |
| 个人位置信息 | 包括行踪轨迹、精准定位信息、住宿信息、经纬度等 |
| 其他信息 | 婚史、宗教信仰、性取向、未公开的违法犯罪记录等 |
敏感个人信息/特殊个人数据
《中华人民共和国个人信息保护法》 第二十八条:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
《通用数据保护条例》(GDPR) 第9条 对特殊类型个人数据的处理 第1款:对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据,应当禁止处理。由此可见GDPR的特殊类型个人数据是对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据。
从二者对比来看生物识别、宗教信仰、特定身份、医疗健康等数据都属于这一概念,而个保法提到的金融数据、行踪轨迹等GDPR并未明文规定,GDPR中的性生活和性取向在国内的个保法中也没有提及。
隐私信息
隐私是自然人的私生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息,权力主体行权的核心目的在于“不愿为人知晓”和“生活安宁”,即隐私的核心是“私密性”,即信息主题不想让外界知悉这些空间、获得的信息,即使有些信息并不属于他的个人信息,甚至只是一种物理空间(私人活动所覆盖的范围)。
去标识化/匿名化
《中华人民共和国个人信息保护法》第七十三条的第3款和第4款,做出了说明:去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程;匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。从目前来看,去标识化技术比较成熟,例如脱敏、星号、哈希运算等,但结合映射表仍可以识别到特定自然人,所以去标识化后依然是个人信息,匿名化后的信息不属于个人信息,但目前极少有真的能够符合这一要求的可落地的技术方案。
处理个人数据的要求
数据处理包含数据收集、数据使用、数据存储、数据披露(共享转让公开)、数据销毁(这里注意是要彻底删除,而非可恢复的删除)等较为完整的生命周期。此外,同时还应该关注数据传输过程。
数据采集应该遵循知情同意、合法、必要、正当的原则。GDPR中写的是个人数据的处理原则:合法、合理、透明。
参考文献
- 《数据合规 入门、实战与进阶》
- 《中华人民共和国个人信息保护法》
- 《通用数据保护条例》(GDPR)
如有侵权请联系:admin#unsafe.sh