摘 要

个人信息数据作为大数据应用场景的重要组成部分,在个人信息处理和应用过程中面临极大的数据安全风险。如何在个人信息利用与安全保护之间达到平衡,充分挖掘个人信息作为重要生产要素的价值,成为当下个人信息保护的难点。通过对个人信息的微数据进行分类分级,并根据分类分级结果在应用场景中采取不同的安全保护措施(如授权、脱敏、加密等),实现对个人信息的精细化管理和保护,对推动个人信息数据价值化发展意义重大。

内容目录:

1 分类分级安全保护现状

2 分类分级安全保护目标

3 个人信息分类分级方法

3.1 分类原则和方法

3.1.1 分类原则

3.1.2 分类方法

3.2 分级原则和方法

3.2.1 分级原则

3.2.2 分级方法

3.3 特殊说明

3.4 分类分级示例

4 分类分级安全保护技术实现

4.1 技术架构

4.2 关键技术实现方法

4.3 分类分级安全保护示例

随着数字治理、数字经济、数据社会等数字化产业的不断发展,个人信息的收集和利用变得越来越普遍。同时,个人敏感信息泄露、滥用等事件频发,对数字化发展产生极大的负面影响。在数字化时代下,个人信息保护正遭受前所未有的新挑战,具体体现在以下几个方面:

(1)应用广,暴露面大:个人信息在大数据时代应用越来越广泛,包括疫情防控、个人广告推广、便民服务、信用评级等,使得个人隐私信息暴露风险大大增加 。

(2)流程长,接触者多:个人信息从采集、汇聚、治理、分析、共享、应用直至销毁等过程, 涉及的每一个业务流程,都需要对相应人员开放必要数据权限,以满足基本的数据处理需求, 任何一个接触数据的人员都有可能成为数据泄露源。

(3)价值高,威胁更大:个人信息已经成为各行各业的战略资源和隐形资产,数据量越大则价值越高,是不法分子窃取和勒索的重要对象。

(4)强保护,价值难体现:个人信息数据价值高,但过度保护将不利于数据价值的体现。因此,在数据作为新的生产要素的数字化时代中,仍采用传统方式对所有数据采取一致的安全防护措施已无法满足新的安全需求, 基于分类分级的安全防护成为解决数据安全精细化管理的有效途径。个人信息作为数据的重要组成部分,尤其在面向个人的大数据应用场景下,如何有效利用个人信息作为新的生产要素发挥价值,同时又避免个人隐私数据的泄露成为当下亟待解决的问题。

01 分类分级安全保护现状

国家“ 十三五” 规划明确指出, 加强数据资源安全保护,建立大数据安全管理制度, 实行数据资源分类分级管理, 保障安全高效可信应用。《中华人民共和国网络安全法》第二十一条明确指出,采取数据分类、重要数据备份和加密等措施,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。《中华人民共和国数据安全法》第二十一条明确指出,国家建立数据分类分级保护制度, 根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。《中华人民共和国个人信息保护法》第五章个人信息处理者的义务明确指出,对个人信息实行分类管理,采取相应的加密、去标识化等安全技术措施。

以上是与数据分类分级相关的法规和政策要求,缺乏具体操作层面的指导,对此也出台了一些与数据分类分级相关的地方性或行业规范指南,对数据分类分级有一定的借鉴作用, 但总体来说仍存在一些不足:

(1)缺乏针对性标准和规范指导:分类分级往往只把个人数据归为一类进行统一保护, 在实际应用场景中,无法再进行细化管理;《中华人民共和国个人信息保护法》、GB/T 35273— 2020《信息安全技术 个人信息安全规范》、GB/T 37964—2019《信息安全技术 个人信息去标识化指南》等法规及相关安全要求和指导,但在实际落地过程中还存在较大的差异,缺乏针对性的指导。

(2)分类分级与安全保护区分考虑,达不到真正效果:分类分级的目的是更好地实现数据保护,而现今可参考的标准和规范往往将分类分级与安全保护区分开考虑,在大数据应用场景下, 无法实现个人信息作为新的生产要素发挥价值的同时又满足个人信息保护的闭环管理。

(3)缺乏有效的工具支撑:分类分级安全保护在技术实现方面需要考虑众多因素。如需要支持不同的数据源、海量数据、频繁更新数据、数据加工流转等场景,在数字化时代,这些场景非常普遍,然而目前市面上很少有能满足这些复杂应用场景的分类分级保护工具。

在个人信息广泛应用于数字化业务发展的今天,迫切需要有关基于分类分级的个人信息安全保护方法,在确保充分发挥个人信息数据价值的同时,有效避免或降低个人信息数据面临泄露、滥用等安全风险。

02 分类分级安全保护目标

个人信息分类分级是通过对个人信息微数据①进行分类分级和打标,基于个人信息在不同应用场景的需求,对分类分级的数据采取不同的安全保护措施(如授权、脱敏、加密等), 以实现对个人信息微数据的精细化管理和保护, 确保个人信息在数据治理、数据开发、数据共享等应用场景中的数据使用和数据保护之间的平衡,防止个人信息数据的泄露、滥用等数据安全风险的出现。

03 个人信息分类分级方法

个人信息的分类分级包括分类和分级两个层面,分类是指对个人信息的微数据基于不同属性或特征,按照一定的原则和方法进行区分和归类,以便更好地实现数据的分级;分级是指在分类的基础上,对个人信息微数据的敏感程度以及遭受泄露、滥用等可能对国家、社会及个人等造成的影响进行分级。因此,需要进一步明确个人信息分类分级的原则和方法。

个人信息分类分级的对象是指个人信息的微数据,具体包括微数据的每条(行)记录、微数据记录中的每个字段(列)以及由微数据组合成的数据表。

3.1 分类原则和方法

3.1.1 分类原则

个人信息数据分类可遵循以下原则:

(1)易管理:数据分类的主要目的是便于管理,提高管理效率;

(2)抓重点:重点对个人标识信息进行归类,对个人信息中的通用属性可合并归类;

(3)防交叉:在数据分类时应防止出现分类重复或交叉的情况;

(4)可扩展:对个人数据分类应尽可能满足多种场景的应用需求,如数据治理、数据开发、数据共享、数据开放等。

3.1.2 分类方法

个人信息分类主要从微数据的两个维度进行分类:一是按照微数据是否属于标识信息进行分类,主要包括直接标识符和准标识符;二是微数据是否属于个人敏感信息;其他的微数据可归为通用信息。这几类数据分别举例说明如下。

(1)直接标识符:微数据中的属性,在特定环境下可以单独识别个人信息主体。例如:姓名、地址、电子邮件地址、电话号码、传真号码、信用卡号码、车牌号码、车辆识别号码、社会保险号码、健康卡号码、病历号码、设备标识符、生物识别码、互联网协议地址号和网络通用资源定位符等。

(2)准标识符:微数据中的属性,结合其他属性可唯一识别个人信息主体。比如:性别、出生日期或年龄、事件日期(例如入院、手术、出院、访问)、地点(例如邮政编码、建筑名称、地区)、族裔血统、出生国、语言、原住民身份、可见的少数民族地位、职业、婚姻状况、受教育水平、上学年限、犯罪历史、总收入和宗教信仰等。

(3)个人敏感信息:是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、选中轨迹、住宿信息、健康生理记录、交易信息、14 岁以下(含) 儿童个人信息 等。

(4)通用信息:是指有一定通用性的个人微数据信息,如民族、国籍、政治面貌、证件类型、证件名称等。

3.2 分级原则和方法

3.2.1 分级原则

个人信息数据分级可遵循以下原则:

(1)可执行性 :保证数据分级使用和执行的可行性。

(2)合理性 :数据级别具有合理性,不能将所有数据集中划分在一两个等级中,而另外一些等级没有数据。级别划定过低可能导致数据不能得到有效保护;级别划定过高可能导致不必要的业务开支。

3.2.2 分级方法

分级方法主要从分级要素和分级定义两个方面进行说明。

(1)分级两要素:识别个人信息主体的难易程度;数据受到泄露或篡改后对个人信息主体造成影响程度 。

(2)分级定义说明:根据可识别个人信息主体难易程度和数据敏感程度,将个人信息数据由低到高划分为 S1 ~ S5 级,个人信息的分级方法如表 1 所示。

3.3 特殊说明

除以上基于字段分级外,还有一些特殊场景的分级需求,这里简单描述,本文不再展开说明。

(1)行分级:满足特殊行信息数据的重点保护要求,如特殊岗位人员信息、14 岁以下(含) 儿童个人信息,可根据提供的特定人员安全要求情况进行分级,一般不低于 S4 级。

(2)表分级:针对一个完整隐私事件的记录,在独立字段没有意义的情况下,适合用整张表定级,如酒店住宿信息中包括入住日期、离店日期、酒店名称、入住房间号等。

3.4 分类分级示例

基于某项目个人信息汇集情况,按照个人信息数据分类分级方法,给出了分类目录和分级目录如表 2、表 3 所示,供其他企业在个人信息保护方面提供参考。

表 1  个人信息数据分级

表 2  分类目录

表 3  分级目录

04 分类分级安全保护技术实现

分类分级是为了更好地实现对个人信息微数据的精细化管理和保护,确保个人信息在数据治理、开发、共享等应用场景中的数据使用和数据保护之间的平衡,因此,个人信息保护的核心是实现基于分类分级的数据安全管控,分类分级与安全保护两者之间不是各自孤立存在,而是紧密结合、相互依存的。

4.1 技术架构

从分类分级工具的技术架构设计来看,应至少包括数据接入、分类分级服务、数据安全控制、标准应用程序接口等功能,以支持数据治理、数据共享、数据开放等不同应用场景中对数据安全保护的要求,分类分级工具技术架构参考如图 1 所示。

图 1 分类分级工具技术架构

如图 1 所示,分类分级工具技术架构包含数据层、控制层、服务层、接口层和中台层。数据层是指分类分级的数据源,包含传统数据库和各类大数据平台;控制层是指授权、脱敏、加密、审计等各类安全控制措施;服务层主要实现对数据层数据的分类服务和分级服务;接口层是指将服务层和控制层的能力通过接口方式对外提供服务;中台层是指数据归集、治理、共享、开放等各类与数据相关的业务,在业务实现过程通过接口调用底层数据分类分级和相关控制措施实现数据利用与安全保护之间的平衡。

4.2 关键技术实现方法

分类分级技术工具的实现需要综合考虑多方面的因素,才能较好地适应各应用中复杂场景的需求,除满足基本分类分级功能外,还需要重点考虑以下关键技术实现。

(1)数据源自动发现:自动发现未知数据源资产,实现数据源资产持续管理。如支持扫描网段信息、自定义扫描端口等;能自动发现常见的数据库和数据仓库的类型;支持定期扫描,以反映不同数据库服务上线的变化。

(2)高识别率:应支持正则表达式、机器学习、智能推荐等多种模式,提高数据自动识别的准确率,降低人工干预成本。

(3)多源数据接入:支持大数据平台、传统数据库、分布式数据库等数据接入及元数据采集。

(4)支持多种扫描方式:支持元数据的全量扫描、增量扫描的方式进行自动化分类分级打标;支持实时扫描新增数据和加工后新生成数据的分类分级打标,避免因此产生的防护真空。

(5)支持多种分级模式:支持列分级、行分级、表分级以满足不同业务需求。列分级即字段分级,是数据分类分级的最小单元,是分类分级的基本功能;行分级主要是满足特殊行信息数据的重点保护要求,如特殊岗位人员信息;表分级是指针对一个完整隐私事件的记录表,独立字段都没有意义的情况下,适合用整张表定级,如酒店住宿表。

(6)多场景支持:满足数据加工、数据共享、数据开放等不同场景中数据分类分级需求。

(7)权限联动:基于分类分级联动,实现权限的自动分配。

4.3 分类分级安全保护示例

数据安全防护措施主要包括数据授权、数据脱敏、数据加密、数据水印、安全审计等 ,为便于更好地理解分类分级与安全保护之间的关联关系,下面通过数据授权、数据脱敏两个方面介绍如何将数据分类分级与数据防护措施相结合, 如表 4 所示,以有效实现数据安全闭环的效果。

表 4  分类分级与安全措施对应

数据授权是指针对可以接触个人信息数据的不同人员,如数据安全管理员、内部数据管理员等,根据业务需求设置不同的访问权限,访问权限应与数据分级进行关联,确保数据授权满足最小服务的授权原则。

数据脱敏的核心是实现数据可用性和安全性之间的平衡,既要满足业务系统的需求,又要兼顾最小可用原则,最大限度地保护敏感信息。因此,在实施过程中,应该围绕可用性和安全性两方面进行规范。例如当敏感数据用于开发测试场景中,可采用如数据扰乱等保留数据属性特征的脱敏方式;如果将敏感数据用于大屏公开展示情况,则可以选择掩码方式隐藏部分敏感内容。企业应结合自身业务开展的情况,分类分析数据需要脱敏的场景,规范每种场景下数据脱敏的规则和流程。

05 结 语

本文阐述了个人信息保护面临的新挑战及防护现状,提出通过对个人信息的微数据进行分类分级,并根据分类分级结果与数据安全保护措施相结合的方法,实现对个人信息的精细化管理和保护,给出了个人信息分类分级方法建议以及分类分级工具技术实现需要重点考虑的因素,为其他企业在个人信息保护方面的研究及实践提供参考。

引用本文:何维群 . 基于分类分级的个人信息保护 [J]. 信息安全与通信保密 ,2021(10):107-114.