我国在网络安全领域具有里程碑意义的重要法律——《中华人民共和国数据安全法》于2021年9月1日正式实施,明确提出对数据施行分类分级保护的要求,是我国首次正式将数据分类分级概念写入国家法律。个人信息特别是敏感的个人信息,作为数据安全保护的重要对象,在信息的利用和挖掘过程中面临极大的安全和隐私问题,亟须针对敏感个人信息进行分类分级保护,推动敏感个人信息规范化使用进程。通过研究敏感个人信息分类分级的背景,梳理敏感个人信息分类分级的现状,并指出当前常用方法存在的问题,在此基础上,提出了敏感个人信息分类分级的新思路,其研究成果有利于进一步推动敏感个人信息分类分级的研究。
内容目录:
1敏感个人信息隐私保护背景
1.1敏感个人信息的潜在威胁
2敏感个人信息分类分级现状
2.1国外敏感个人信息分类分级发展现状
2.2国内敏感个人信息分类分级发展现状
2.3敏感个人信息分类分级发展面临的困难
3敏感个人信息的分类新思路
3.1业务视角
3.2技术视角
3.3个人信息保护视角
4敏感个人信息的分级新思路
5结语
开展敏感个人信息分类分级技术研究具有重要理论意义和实践价值,是当前我国社会发展的一项重大课题。《中华人民共和国数据安全法》(以下简称《数据安全法》)明确要求对数据施行分类分级保护。而个人信息,特别是敏感的个人信息,是数据安全保护的重要对象。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)对敏感个人信息进行了定义,它指的是一旦被泄露或被非法利用,容易造成侵害自然人人格尊严或危及人身财产安全的个人信息。对敏感个人信息进行识别、鉴定、分类、分级是数据安全治理的起始点,在数据立法中也被反复强调。特别是敏感个人信息的分类分级有助于在后续实现对敏感个人信息按需脱敏和安全删除,是充分保障个人权益的重要前提。
本文深入研究了敏感个人信息的分类分级技术。首先,从敏感信息安全的背景出发,分析了信息泄露的威胁,以此引出分类分级保护的必要性。其次,介绍了数据分类分级的立法背景,阐述了其在国内安全战略中的重要性。接下来,探讨了国内外分类分级研究的发展状况,重点对比了美国与我国的分类分级标准,并指出了当前实施这些标准所面临的挑战。本文进一步研究了敏感个人信息的分类思路,分析了各个维度的敏感数据,得出了常见的信息主题,并提出了新的分类方法。最后,论文探讨了信息分级的本质,阐述了其目的,并给出了新的思路。本研究的成果将有助于推动敏感个人信息分类分级的规范化和通用化。
敏感个人信息的泄露,将会带来严重的后果。从个人层面来看,侵犯敏感个人信息会造成自然人权利受到侵害,如人身羞辱、被盗用信息犯罪、被敲诈勒索、被垃圾短信骚扰、受到就业影响等;从社会层面来看,敏感个人信息的泄露会影响社会治安,如造成商家与客户间信任缺失、制造社会焦虑、引发技术舆论、造成社会矛盾等;从国家安全战略层面来看,敏感个人信息泄露的后果更加危急,如针对重要人物的恐怖袭击、利用人性弱点进行间谍渗透、战场揣测军事战略意图等。总体而言,敏感个人信息数据泄露可能带来的威胁数不胜数,且一旦泄露无法挽回,危害后患无穷。
个人数据频繁跨地域、跨设备、跨系统、跨场景、跨生态交互已成为常态,而个人数据中包含大量的敏感信息,这些敏感信息可能在传播环节中被人有意留存,致使个人权益受到侵害。同时,各个信息系统的数据保护能力和保护策略有很大差异,这些差异造成的某些系统短板效应导致隐私泄露的风险越来越突出,因此亟须针对敏感个人信息进行规范化分类分级措施,从而避免信息系统之间保护策略参差不齐。
2021年9月1日,《数据安全法》正式实施,该法律是继《网络安全法》后中国在网络安全领域颁布的又一奠基石式的重要法律。《数据安全法》第二十一条明确指出,国家要建立数据分类分级保护制度,重视数据在经济发展中重要的社会地位,防止资源被篡改、损毁、泄露,或被非法获取、非法利用。数据分类分级概念在《数据安全法》中首次正式提出,要求企业实施数据分类分级治理,对敏感个人信息的使用提出严格的要求和规范,将数据分类分级、部门规章和数据治理安全制度等概念形成国家法律。
《个人信息保护法》制定了严格的个人信息使用标准,在敏感个人数据的采集、使用、存储等方面做出了明确要求,并规定建立敏感个人数据保护合规制度体系,成立特定机构进行监督、监管和治理,保证公开、公平、公正的规则。
美国在敏感个人数据分类分级方面,早在2004年NIST就发布了FIPS199《联邦信息和信息系统的安全分类》标准,提出信息的分级方法,规定了对信息分级的描述方式,从信息的机密性、完整性和可用性3个角度进行低、中、高3个等级的评定。2008年,NIST发布了SP800-60《信息和信息系统类型与安全分级的映射指南》,更加具体地规范了政府信息的安全分类,并且给出了现有联邦政府内的信息安全分类。2015年,NIST发布了SP1500-2《NIST大数据互操作性框架:第二卷:大数据分类法》,提出了基于大数据参考架构的角色样本分类体系,将每个元素分解成多个部分,提供了特定粒度数据对象的描述及属性、特征和子特征。此外,亚马逊公司提出保障数据安全级别的重要举措,以识别敏感数据,并评估其安全性和访问控制,发布了Macie用于数据安全和数据隐私服务,通过机器学习和模式匹配识别亚马逊网络服务中的敏感数据。
尽管法律法规、标准指南陆续对数据分类分级提出了要求,但是由于数据分类分级应用场景的多样性和动态性、数据管理需求的差异性、数据分类分级准则的不确定性,数据分类分级的实施思路和方式方法有待进一步研究和探索。特别是敏感个人数据分类分级尚处于起步阶段,还未形成一套较为实用的方法论,在具体实施方面也缺少参考细则。
现有敏感个人信息分类大多基于应用经验的积累,存在着“拍脑袋”现象,分类结果缺乏科学研究和技术论证。此外,因受不同管理部门管理视角的限制,服务于不同管理需求的数据分类主体各自为政,缺乏体系化、完整性、通用性考量。敏感个人信息的分类要针对上述两大问题探讨具有科学依据的、通用的数据分类思路,并面向敏感个人数据进行数据分类实践。一方面,解决存量数据分类管理的科学问题;另一方面,探索数据分类通用规则,摆脱穷举式的滞后数据分类现状,为未来可能出现的新增数据的归类预留空间。
现有敏感个人信息分级常用的固定思路存在一成不变、墨守成规的现象,分级结果缺乏需求适应和场景研究。目前的分级思路是先进行分类,再将分类结果进行级别划分,比如无危害级、轻微危害级、一般危害级、严重危害级。这种分级思路普遍常见,但是缺乏灵活性、通用性、适应性考量。例如在工业领域,数据安全与隐私保护问题普遍存在,安全治理体系仍然有待完善,工业对于数据安全治理的重视程度不足,安全治理需求不明确,分类分级防护不到位。工业领域存在多种风险,如产品漏洞引发的风险、数据开放所导致的风险、平台融合所带来的风险、海量数据管理所导致的风险等,风险的诱因与危害方向不尽相同,而简单笼统的分类、僵硬的级别划分显然缺乏灵活性、实际应用性与普适性,分类分级的落地实施新思路仍需进一步探索。
敏感个人信息分级要针对上述问题探究具有理论依据的、场景适应的数据分级思路,根据场景具体需求进行灵活应变的通用规则,摆脱生搬硬套的数据分级现状,为未来可能出现的新场景数据的分级提供思路。
敏感个人信息数据分类研究需要为敏感个人信息科学分类提供可行的思路,既能满足管理部门对敏感个人信息的管理需求,又能避免基于传统的分类方法导致的分类结果缺乏可解释性以及演进能力低的问题。敏感个人信息的数据分类过程可以分为5个步骤,依次为分类规划、分类准备、分类实施、结果评估、维护改进,如图1所示。
图1敏感个人信息数据分类过程
其中体现分类的3个关键环节保护选择分类视角、选择分类维度、选择分类方法。敏感个人信息数据分类需要遵循完整性、可分解性、正交性等基本原则,对敏感个人信息的数据分类维度进行梳理,将敏感个人信息映射到N维向量空间中。
敏感个人信息的数据分类视角可分解为业务视角、技术视角、个人信息保护视角。对分类视角进行进一步拆分,梳理出以下几个分类维度。
(1)涉及敏感个人信息的行业领域:根据GB/T4574—2017《国民经济行业分类》的一级目录(20个门类、97个大类、473个中类、1380个小类)进行分类维度分解。
(2)应用场景:地图导航、网络约车、即时通信、网络社区、网络支付等常见应用场景。
(1)数据模态:文本、音频、图片、视频。
(2)数据处理时效:实时处理、准实时处理、批量处理。
(3)数据公开程度:公开、限制公开、非公开。
(1)信息时效性:短期、中期、长期、终身。
(2)信息主体年龄:未满14周岁未成年人,14~18周岁未成年人,18~60周岁成年人,60周岁以上成年人(老年人)。
(3)特殊信息主体:残疾人、非残疾人。
(4)信息主体国籍:中国、非中国。
(5)风险领域:人格、人身、财产。
(6)个人信息公开程度:公开、限制公开、非公开。
(7)信息主题:身份信息、生物特征、金融信息、医疗健康、行踪轨迹、身份鉴别信息、隐私信息。数据分类视角、维度和主要参数详见表1,对常见信息主题的描述见表2。
(8)拟采用面分类法与智能归类法相结合的方法进行数据归类:面分类法是根据所选取的敏感个人信息梳理出的分类维度,将这些信息划分为不存在相互隶属关系的维度,也就是彼此独立的维度,每个维度都包含一组类别。把某一面中的某一类和另一面中的某一类或多面中的某一类组合在一起,就可以构成一个复合型的大类。
表1敏感个人信息的数据分类维度分解
表2敏感个人信息的常见信息主题描述
敏感个人信息分级需要落实《个人信息保护法》的精神,根据敏感个人信息的重要程度对其划分为不同的安全级别,从而指导个人信息在收集、存储、使用、加工、传递、提供、公开、删除等活动中的个人信息安全保护,力求做到个人信息保护有据可依、有证可查。
敏感个人信息分类分级的新思路,是设计一套既能满足场景的业务需求,又能够在个人信息全生命周期保护敏感个人信息安全,还能指导应用实践的解决方案。这一新思路将敏感个人信息分级工作划分为3个层面。
第一个层面是将敏感个人信息作为一种特定的数据类型,并对其进行整体分级。根据《网络安全标准实践指南——数据分类分级指引》中的要求,“敏感个人信息不低于4级”,该条款定义了敏感个人信息的最低安全级别。尽管颗粒度较粗,却奠定了敏感个人信息分级的基础。
第二个层面是对敏感个人信息中包含的身份信息、生物识别信息、金融账户、医疗健康、行踪轨迹、身份鉴别等信息主题及其子类,逐项开展敏感个人信息影响分析,确定信息一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象和影响程度,最终确定敏感个人信息的安全级别。已有研究根据场景的业务需求,提出涉及敏感个人信息采集的最低要求。GB/T41391—2022《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》已经在探索业务需求与个人信息保护之间的合理区域,并给出了常见服务类型App的必要个人信息范围和使用要求。
然而,从颗粒度上看,GB/T41391—2022涉及的分级对象是在信息层面,也就是说,该标准解决了该采集哪些个人信息,但并未解决该采集个人信息的哪种具体形态。这在指导个人信息处理实践时,仍然存在颗粒度较粗的问题。以使用网约车App的个人信息采集要求为例,用户的手机号、行程的始发地及目的地、行车轨迹(仅采集使用网约车服务的用户)、交易记录等信息,都包含在正常需要采集的个人信息中。但对用户的始发地、目的地、位置信息的准确性、各位置信息在行车轨迹上的采集间隔等,均未做出要求。这有可能导致App频繁采集高精度的用户位置信息,从而“实时监视”用户的位置信息。即使按照要求在完成处理目的后及时删除或匿名化处理,仍然在事实上造成了不必要的收集结果,存在个人隐私泄露风险。
第三个层面是面向场景的敏感个人信息分级,其目标是提出既能满足场景的业务需求,又能保护敏感个人信息安全的解决方案。在这个层面中,需要考虑两个阶段的敏感个人信息分级。
第一个阶段是开展用户服务过程中的个人分级。仍然以位置信息为例,在不同业务场景中应该对其规定不同的信息收集粒度。例如在网约汽车服务中,用户发起叫车服务时,服务平台应当精确获取用户的上车地点,并且实时追踪用户实际所在位置,以便于汽车更快接到用户。由于位置信息精度高,与个人信息主体的关联更加紧密,所以此时获取的用户位置信息安全分级较高。而在用户使用网约汽车期间,由于不涉及接送用户等业务需求,只是记录形成路线,避免未按导航行驶的事件发生,其对于用户位置的采集精度可以相对粗糙,频次也可以降低,例如不超过1次/秒,以保护用户的个人隐私,此时获取的用户位置信息安全分级相对较低。
根据上述敏感个人信息分级思路实践的信息分级解决方案,可以防止过度收集敏感个人信息,并且根据对敏感个人信息的定级,要求个人信息处理者对于超精度、超密集、超清晰度等收集的敏感个人信息,采用更加严格的安全保护方法,从而达到保护个人隐私、维护个人权益的目的。
引用格式:卢锐恒,许晓耕,白雪珺,等.敏感个人信息分类分级研究[J].信息安全与通信保密,2023(4):46-56.
作者简介
卢锐恒,男,硕士研究生,主要研究方向为网络空间安全、人工智能安全、数据安全;
许晓耕,通讯作者,女,博士,工程师,主要研究方向为个人信息保护、人工智能安全、数据安全;
白雪珺,男,硕士研究生,主要研究方向为网络空间安全、知识图谱;
王宇,男,硕士研究生,主要研究方向为网络空间安全、网络攻击与防御;
张晓磊,男,硕士研究生,主要研究方向为网络空间安全、人工智能安全;
杨浩淼,男,博士,教授,主要研究方向为网络空间安全、个人信息保护、人工智能安全、数据安全。
选自《信息安全与通信保密》2023年第4期(为便于排版,已省去原文参考文献)