来源:数安标准强基助力计划
近日,中国电子技术标准化研究院的陈舒老师、何延哲老师撰写《网络安全标准实践指南—敏感个人信息识别指南》焦点问题解读,但他们不给我开白名单。
但毕竟起草者观点还是有些价值,遂摘录分享一下,以下内容除下划线斜体部分外均为复制黏贴。
一、指南与国标如何衔接?
在研的《数据安全技术 敏感个人信息处理安全要求》国家标准已经进入报批阶段,指南中关于敏感个人信息识别内容的研究成果将会被国家标准吸纳,两者充分衔接,以更好的指导各组织开展敏感个人信息处理和保护工作。
转发者注:虽现是只是指南,但也是未来的国标,你得听。
二、公民身份证号码是否是敏感个人信息?
单独的公民身份证号码不是敏感个人信息,但具有完整身份证信息的身份证照片是敏感个人信息。身份证照片的影印件如果能达到体现清晰完整的身份证照片的效果,信息泄露、滥用将可能对个人财产安全造成危害,则构成敏感个人信息。公民身份证号码如果与其他个人信息汇聚融合后,需要综合考虑是否符合指南3c)条款。
转发者注:为想论证不是的朋友提供了空间,但从后果出发,该敏感还得敏感。
三、个人定位信息是否是敏感个人信息?
个人精准定位信息的泄露可能导致个人信息主体的人身安全遭受侵害,确有实际保护的需求且符合行业的现有认知,个人精准定位信息应识别为敏感个人信息。
连续采集的个人精准定位信息可用于生成行踪轨迹,行踪轨迹信息是敏感个人信息。
个人粗略位置信息在实践中一般不认定为敏感个人信息,美国《保护美国人数据免受外国敌对势力侵犯法案》中对于“地理位置信息”的精确度,明确是足以识别个人或设备的街道位置信息,或者个人或设备在1850英尺或更小范围内的位置。指南中也规定了,通过IP地址等测算的粗略位置信息不是精准定位信息。
转发者注:粗略位置信息不是敏感信息。
四、敏感个人信息是否有退出机制?
指南附录A中给出了常见敏感个人信息类别示例,同时也赋予了敏感个人信息进入和退出的机制。单项个人信息可能并不是敏感个人信息,但多项一般个人信息汇聚或融合后的整体可能会符合构成敏感个人信息的条件,应将汇聚或融合后的个人信息整体参照敏感个人信息进行识别与保护。
如有充分理由和证据表示处理的个人信息达不到构成敏感个人信息的条件的,可不识别为敏感个人信息。“充分的理由和证据”可以采用的方法包括但不限于开展个人信息保护影响评估、个人信息保护合规审计等。开展个人信息保护影响评估,具体可参考国家标准GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》;开展个人信息保护合规审计,具体可参考国家标准《数据安全技术 个人信息保护合规审计要求》。
转发者注:通过个人信息保护影响评估或者个人信息保护审计论证后,可以将敏感个人信息降为一般个人信息。
敏感个人变成一般个人信息后,出境合规义务可就低多了。
