敏感个人信息分类分级研究

开展敏感个人信息分类分级技术研究具有重要理论意义和实践价值，是当前我国社会发展的一项重大课题。《中华人民共和国数据安全法》（以下简称《数据安全法》）明确要求对数据施行分类分级保护。而个人信息，特别是敏感的个人信息，是数据安全保护的重要对象。《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）对敏感个人信息进行了定义，它指的是一旦被泄露或被非法利用，容易造成侵害自然人人格尊严或危及人身财产安全的个人信息。对敏感个人信息进行识别、鉴定、分类、分级是数据安全治理的起始点，在数据立法中也被反复强调。特别是敏感个人信息的分类分级有助于在后续实现对敏感个人信息按需脱敏和安全删除，是充分保障个人权益的重要前提。目前，敏感个人信息安全已经引起广泛关注，国内外均针对敏感个人信息安全提出了相关法律。例如，欧盟2018年5月颁布实施了著名的《通用数据保护条例》，即GDPR，该条例针对敏感个人信息的采集、使用、存储、处理等都做出了规范；国内《个人信息保护法》于2021年11月施行，同样针对敏感个人信息生命周期各环节保护给予了明确规定。然而，虽然各国针对敏感个人信息积极立法，但是在敏感个人信息分类分级保护具体实施层面，仍然缺乏科学研究和技术论证，缺少对体系化、完整性、通用性的敏感个人信息分类分级技术进行研究。本文深入研究了敏感个人信息的分类分级技术。首先，从敏感信息安全的背景出发，分析了信息泄露的威胁，以此引出分类分级保护的必要性。其次，介绍了数据分类分级的立法背景，阐述了其在国内安全战略中的重要性。接下来，探讨了国内外分类分级研究的发展状况，重点对比了美国与我国的分类分级标准，并指出了当前实施这些标准所面临的挑战。本文进一步研究了敏感个人信息的分类思路，分析了各个维度的敏感数据，得出了常见的信息主题，并提出了新的分类方法。最后，论文探讨了信息分级的本质，阐述了其目的，并给出了新的思路。本研究的成果将有助于推动敏感个人信息分类分级的规范化和通用化。1敏感个人信息隐私保护背景1.1敏感个人信息的潜在威胁近年来，随着网络空间、云计算、机器学习、深度学习等技术的蓬勃发展，推动了人类社会生活方式的转变，在生活、学习、工作等各个方面都给人们带来了极大的便利。然而，在人与设备、程序、互联网等交互环节中，往往伴随着敏感个人信息的泄露，人们在享受数字化信息时代所带来的便利的同时，敏感个人信息的泄露问题也成为人们的心头大患。尽管我国对侵犯公民个人信息在相关刑法修正案中有专门的规定，对侵犯公民个人信息罪的适用，也作了进一步明确和细化，并在相关刑法司法解释中予以明确。但网页、微信小程序、手机App过度采集敏感个人信息等现象在现实生活中却屡见不鲜，而且屡禁不止。尤其是随着最近利用人工智能深度合成技术合成人脸、语音等技术的广泛应用，社会舆论更是将如何保护敏感个人信息的问题推上风口浪尖。敏感个人信息的泄露，将会带来严重的后果。从个人层面来看，侵犯敏感个人信息会造成自然人权利受到侵害，如人身羞辱、被盗用信息犯罪、被敲诈勒索、被垃圾短信骚扰、受到就业影响等；从社会层面来看，敏感个人信息的泄露会影响社会治安，如造成商家与客户间信任缺失、制造社会焦虑、引发技术舆论、造成社会矛盾等；从国家安全战略层面来看，敏感个人信息泄露的后果更加危急，如针对重要人物的恐怖袭击、利用人性弱点进行间谍渗透、战场揣测军事战略意图等。总体而言，敏感个人信息数据泄露可能带来的威胁数不胜数，且一旦泄露无法挽回，危害后患无穷。个人数据频繁跨地域、跨设备、跨系统、跨场景、跨生态交互已成为常态，而个人数据中包含大量的敏感信息，这些敏感信息可能在传播环节中被人有意留存，致使个人权益受到侵害。同时，各个信息系统的数据保护能力和保护策略有很大差异，这些差异造成的某些系统短板效应导致隐私泄露的风险越来越突出，因此亟须针对敏感个人信息进行规范化分类分级措施，从而避免信息系统之间保护策略参差不齐。1.2敏感个人信息分类分级相关法律法规随着数据安全泄露事件的不断发生，数据安全逐渐上升到国家安全与国家战略层面，敏感个人信息的安全与保障是其中的重点关注部分，分类分级敏感个人信息成为企业治理数据的必选举措。随着敏感个人信息分类分级重视程度的不断加深，国内也逐渐推进分类分级法律法规的实施。经过梳理，目前涉及敏感个人信息的重要法律法规主要有基础法律，如《网络安全法》《数据安全法》《个人信息保护法》等；个人信息保护指南，如GB/T41817—2022《信息安全技术个人信息安全工程指南》、GB/T

41574—2022《信息技术安全技术公有云中个人信息保护实践指南》等。2017年6月1日，《中华人民共和国网络安全法》（以下简称《网络安全法》）正式实施，该法律明确网络空间安全主权的重要性、关键性、核心性，将网络空间安全提高至国家战略层面。该法是我国第一部专门针对网络空间安全问题进行规范的基础性法律。《网络安全法》高度重视对个人信息的保护，对个人信息的采集、存储、使用等都提出了要求，例如，针对采集而言，该法提出如果程序需要收集用户信息，程序的提供者应当向用户进行提示并取得用户的同意；涉及用户个人信息的，也应遵照本法及相关法律、行政法规的规定执行。该法从宏观层面上制定了法律法规，体现了国家对数据安全、个人信息的关注与重视。2021年9月1日，《数据安全法》正式实施，该法律是继《网络安全法》后中国在网络安全领域颁布的又一奠基石式的重要法律。《数据安全法》第二十一条明确指出，国家要建立数据分类分级保护制度，重视数据在经济发展中重要的社会地位，防止资源被篡改、损毁、泄露，或被非法获取、非法利用。数据分类分级概念在《数据安全法》中首次正式提出，要求企业实施数据分类分级治理，对敏感个人信息的使用提出严格的要求和规范，将数据分类分级、部门规章和数据治理安全制度等概念形成国家法律。《个人信息保护法》制定了严格的个人信息使用标准，在敏感个人数据的采集、使用、存储等方面做出了明确要求，并规定建立敏感个人数据保护合规制度体系，成立特定机构进行监督、监管和治理，保证公开、公平、公正的规则。从日益增长的敏感个人信息保护需求以及法律法规完善的角度来看，近年来，我国在保护敏感个人信息领域的立法内容上，丰富了《数据安全法》《个人信息保护法》等法律法规。目前的法律法规对数据分类分级虽有总体规范，但是缺乏实施层面的具体指导，数据分类分级体系仍有待完善。在这种情况下，《网络安全标准实践指南——网络数据分类分级指引》、GB/T41817—2022《信息安全技术个人信息安全工程指南》等国家标准与指南相继实施。但是遗憾的是，针对敏感个人信息分类分级的具体实施层面的相关法律法规仍然相对缺乏。2敏感个人信息分类分级现状2.1国外敏感个人信息分类分级发展现状美国在敏感个人数据分类分级方面，早在2004年NIST就发布了FIPS199《联邦信息和信息系统的安全分类》标准，提出信息的分级方法，规定了对信息分级的描述方式，从信息的机密性、完整性和可用性3个角度进行低、中、高3个等级的评定。2008年，NIST发布了SP800-60《信息和信息系统类型与安全分级的映射指南》，更加具体地规范了政府信息的安全分类，并且给出了现有联邦政府内的信息安全分类。2015年，NIST发布了SP1500-2《NIST大数据互操作性框架：第二卷：大数据分类法》，提出了基于大数据参考架构的角色样本分类体系，将每个元素分解成多个部分，提供了特定粒度数据对象的描述及属性、特征和子特征。此外，亚马逊公司提出保障数据安全级别的重要举措，以识别敏感数据，并评估其安全性和访问控制，发布了Macie用于数据安全和数据隐私服务，通过机器学习和模式匹配识别亚马逊网络服务中的敏感数据。2.2国内敏感个人信息分类分级发展现状在国内，与敏感个人信息相关的分类分级标准包括GB/T37964—2019《信息安全技术个人信息去标识化指南》、GB/T35273—2020《信息安全技术个人信息安全规范》、GB/T

38667—2020《信息技术大数据数据分类指南》、GB/T39335—2020《信息安全技术个人信息安全影响评估指南》、GB/T41817—2022《信息安全技术个人信息安全工程指南》、GB/T37988—2019《信息安全技术数据安全能力成熟度模型》等国家标准，还包括电信、金融证券、电子政务等众多重点行业带头推动的数据分类分级行业标准，例如YD/T2781—2014《电信和互联网服务用户个人信息保护定义及分类》、YD/T2782—2014《电信和互联网服务用户个人信息保护分级指南》、JR/T

0171—2020《个人金融信息保护技术规范》、JR/T0197—2020《金融数据安全数据安全分级指南》等行业标准。其中，深信服最先在分类分级上使用深度学习算法，实现对数据进行多维度元数据特征向量自动提取，对相似字段数据进行聚合归类。此外，华为云相关安全中心也对分类分级保护相关技术进行了研究，其安全平台具备敏感数据识别、数据脱敏等功能，对数据分类分级算法、工具、结果的后续应用等方面进行了有益探索。2.3敏感个人信息分类分级发展面临的困难尽管法律法规、标准指南陆续对数据分类分级提出了要求，但是由于数据分类分级应用场景的多样性和动态性、数据管理需求的差异性、数据分类分级准则的不确定性，数据分类分级的实施思路和方式方法有待进一步研究和探索。特别是敏感个人数据分类分级尚处于起步阶段，还未形成一套较为实用的方法论，在具体实施方面也缺少参考细则。现有敏感个人信息分类大多基于应用经验的积累，存在着“拍脑袋”现象，分类结果缺乏科学研究和技术论证。此外，因受不同管理部门管理视角的限制，服务于不同管理需求的数据分类主体各自为政，缺乏体系化、完整性、通用性考量。敏感个人信息的分类要针对上述两大问题探讨具有科学依据的、通用的数据分类思路，并面向敏感个人数据进行数据分类实践。一方面，解决存量数据分类管理的科学问题；另一方面，探索数据分类通用规则，摆脱穷举式的滞后数据分类现状，为未来可能出现的新增数据的归类预留空间。现有敏感个人信息分级常用的固定思路存在一成不变、墨守成规的现象，分级结果缺乏需求适应和场景研究。目前的分级思路是先进行分类，再将分类结果进行级别划分，比如无危害级、轻微危害级、一般危害级、严重危害级。这种分级思路普遍常见，但是缺乏灵活性、通用性、适应性考量。例如在工业领域，数据安全与隐私保护问题普遍存在，安全治理体系仍然有待完善，工业对于数据安全治理的重视程度不足，安全治理需求不明确，分类分级防护不到位。工业领域存在多种风险，如产品漏洞引发的风险、数据开放所导致的风险、平台融合所带来的风险、海量数据管理所导致的风险等，风险的诱因与危害方向不尽相同，而简单笼统的分类、僵硬的级别划分显然缺乏灵活性、实际应用性与普适性，分类分级的落地实施新思路仍需进一步探索。敏感个人信息分级要针对上述问题探究具有理论依据的、场景适应的数据分级思路，根据场景具体需求进行灵活应变的通用规则，摆脱生搬硬套的数据分级现状，为未来可能出现的新场景数据的分级提供思路。3敏感个人信息的分类新思路敏感个人信息数据分类研究需要为敏感个人信息科学分类提供可行的思路，既能满足管理部门对敏感个人信息的管理需求，又能避免基于传统的分类方法导致的分类结果缺乏可解释性以及演进能力低的问题。敏感个人信息的数据分类过程可以分为5个步骤，依次为分类规划、分类准备、分类实施、结果评估、维护改进，如图1所示。图1敏感个人信息数据分类过程其中体现分类的3个关键环节保护选择分类视角、选择分类维度、选择分类方法。敏感个人信息数据分类需要遵循完整性、可分解性、正交性等基本原则，对敏感个人信息的数据分类维度进行梳理，将敏感个人信息映射到N维向量空间中。敏感个人信息的数据分类视角可分解为业务视角、技术视角、个人信息保护视角。对分类视角进行进一步拆分，梳理出以下几个分类维度。3.1业务视角（1）涉及敏感个人信息的行业领域：根据GB/T4574—2017《国民经济行业分类》的一级目录（20个门类、97个大类、473个中类、1380个小类）进行分类维度分解。（2）应用场景：地图导航、网络约车、即时通信、网络社区、网络支付等常见应用场景。3.2技术视角（1）数据模态：文本、音频、图片、视频。（2）数据处理时效：实时处理、准实时处理、批量处理。（3）数据公开程度：公开、限制公开、非公开。3.3个人信息保护视角（1）信息时效性：短期、中期、长期、终身。（2）信息主体年龄：未满14周岁未成年人，14～18周岁未成年人，18～60周岁成年人，60周岁以上成年人（老年人）。（3）特殊信息主体：残疾人、非残疾人。（4）信息主体国籍：中国、非中国。（5）风险领域：人格、人身、财产。（6）个人信息公开程度：公开、限制公开、非公开。（7）信息主题：身份信息、生物特征、金融信息、医疗健康、行踪轨迹、身份鉴别信息、隐私信息。数据分类视角、维度和主要参数详见表1，对常见信息主题的描述见表2。（8）拟采用面分类法与智能归类法相结合的方法进行数据归类：面分类法是根据所选取的敏感个人信息梳理出的分类维度，将这些信息划分为不存在相互隶属关系的维度，也就是彼此独立的维度，每个维度都包含一组类别。把某一面中的某一类和另一面中的某一类或多面中的某一类组合在一起，就可以构成一个复合型的大类。表1敏感个人信息的数据分类维度分解表2敏感个人信息的常见信息主题描述4敏感个人信息的分级新思路敏感个人信息分级需要落实《个人信息保护法》的精神，根据敏感个人信息的重要程度对其划分为不同的安全级别，从而指导个人信息在收集、存储、使用、加工、传递、提供、公开、删除等活动中的个人信息安全保护，力求做到个人信息保护有据可依、有证可查。敏感个人信息分类分级的新思路，是设计一套既能满足场景的业务需求，又能够在个人信息全生命周期保护敏感个人信息安全，还能指导应用实践的解决方案。这一新思路将敏感个人信息分级工作划分为3个层面。第一个层面是将敏感个人信息作为一种特定的数据类型，并对其进行整体分级。根据《网络安全标准实践指南——数据分类分级指引》中的要求，“敏感个人信息不低于4级”，该条款定义了敏感个人信息的最低安全级别。尽管颗粒度较粗，却奠定了敏感个人信息分级的基础。第二个层面是对敏感个人信息中包含的身份信息、生物识别信息、金融账户、医疗健康、行踪轨迹、身份鉴别等信息主题及其子类，逐项开展敏感个人信息影响分析，确定信息一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享，可能影响的对象和影响程度，最终确定敏感个人信息的安全级别。已有研究根据场景的业务需求，提出涉及敏感个人信息采集的最低要求。GB/T41391—2022《信息安全技术移动互联网应用程序（App）收集个人信息基本要求》已经在探索业务需求与个人信息保护之间的合理区域，并给出了常见服务类型App的必要个人信息范围和使用要求。然而，从颗粒度上看，GB/T41391—2022涉及的分级对象是在信息层面，也就是说，该标准解决了该采集哪些个人信息，但并未解决该采集个人信息的哪种具体形态。这在指导个人信息处理实践时，仍然存在颗粒度较粗的问题。以使用网约车App的个人信息采集要求为例，用户的手机号、行程的始发地及目的地、行车轨迹（仅采集使用网约车服务的用户）、交易记录等信息，都包含在正常需要采集的个人信息中。但对用户的始发地、目的地、位置信息的准确性、各位置信息在行车轨迹上的采集间隔等，均未做出要求。这有可能导致App频繁采集高精度的用户位置信息，从而“实时监视”用户的位置信息。即使按照要求在完成处理目的后及时删除或匿名化处理，仍然在事实上造成了不必要的收集结果，存在个人隐私泄露风险。第三个层面是面向场景的敏感个人信息分级，其目标是提出既能满足场景的业务需求，又能保护敏感个人信息安全的解决方案。在这个层面中，需要考虑两个阶段的敏感个人信息分级。第一个阶段是开展用户服务