当下,个人信息保护已成为企业运营中不可忽视的重要议题。随着技术的飞速发展,个人信息的收集、处理、存储与传输日益便捷,但随之而来的隐私泄露风险和事件也在不断增加,个人信息保护体系的建设还需要更完善的指引。为了有效应对这一挑战,全国网络安全标准化技术委员会秘书处于2024年9月14日正式发布了《网络安全标准实践指南——敏感个人信息识别指南》(以下简称《识别指南》),为企业识别与保护敏感个人信息提供了明确的指导。与此同时,ISO27701隐私信息管理标准(PIMS)作为国际公认的隐私管理体系标准,也为企业构建全面的隐私保护框架提供了有力支持。本文结合我司在ISO27701 PIMS体系建设咨询服务及数据安全咨询服务方面的经验,浅析《识别指南》如何助力国内企业组织ISO27701 PIMS体系建设。

1、敏感个人信息识别痛点

1.1个人信息泄露现状

个人信息泄露在近年来愈演愈烈。据相关报告显示,2023年,“公民个人信息”是全年数据泄露的主要类型之一,占比高达90%以上。其中,包含“手机号”的公民个人信息泄露超过80%,“姓名+手机号+身份证号+银行卡号”这类数据字段组合出现的频率最高。此外,还有灰黑产二次拼接“历史个人数据信息”,并进行多次贩卖。

由此可以看出,即便有相关法律法规的制约,依然无法全面抑制个人信息泄露事件的发生。实际上,这不仅是组织、企业等数据的采集者没有做好安全防护,个人信息特别是敏感个人信息难以识别,也是导致泄露频发的主要原因。

1.2 个人信息概念的不确定性

个人信息的定义因其高度依赖具体场景而变得模糊。个人信息的识别目标、识别主体、识别概率、识别风险的不同,使得个人信息的范围难以确定。这种不确定性导致在法律应对上存在困难,尤其是在技术与产品飞速发展的今天,很难找到一个确定不变的界定。

1.3 ‌敏感个人信息的定义与识别准则

敏感个人信息的定义涉及生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,一旦泄露或非法使用,可能导致个人人格尊严受到侵害或人身、财产安全受到危害。然而,现行法律法规对敏感个人信息的定义虽然基本,但在实践中如何具体识别这些信息,以及如何根据不同场景和法律法规进行分类保护,仍然是一个挑战。

1.4 法律规定与实践中的挑战

尽管有《个人信息保护法》等法律法规对个人信息进行保护,但在实际操作中,如何有效监督和避免技术滥用,确保个人信息的安全和隐私,仍然是一个难题。此外,对于人脸识别等生物识别技术的使用,虽然有其便利性,但也带来了个人信息保护的挑战,如何在保护个人隐私和提高技术利用之间找到平衡,是当前面临的重要问题‌。

2、敏感个人信息识别的新篇章

2.1 《识别指南》的核心内容

《识别指南》的发布,标志着我国在敏感个人信息保护领域迈出了重要一步。该指南不仅明确了敏感个人信息的定义,还给出了具体的识别规则以及常见敏感个人信息类别和示例,为各组织识别敏感个人信息提供了科学、系统的指导。根据《识别指南》,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括但不限于生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

2.2 识别规则与常见示例

《识别指南》详细阐述了敏感个人信息的识别规则,强调既要考虑单项敏感个人信息识别,也要考虑多项一般个人信息汇聚或融合后的整体属性。此前,国家标准GB/T 35273《信息安全技术 个人信息安全规范》在资料性附录中对个人敏感信息判定给出了示例。GB/T 35273已对敏感个人信息明确了定义,即一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。根据这一定义,指南对常见敏感个人信息进行了列举,对GB/T 35273中的示例进行了细化、调整和修改。比如,将GB/T 35273列为“其他信息”的宗教信仰、行踪轨迹分别单列,将“个人身份信息”调整为“特定身份信息”,对医疗健康信息、金融账户信息的示例进一步细化。

例如,单独的身份证号码可能不被直接视为敏感个人信息,但结合其他个人信息(如姓名、地址等)后,其整体属性可能转变为敏感个人信息。此外,指南还列举了生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息等八类常见敏感个人信息,并对每一类信息进行了详细的解释和示例说明,如通过调用个人手机精准位置权限采集的位置信息即为精准定位信息,而通过IP地址等测算的粗略位置信息则不属于此类。

3、ISO27701 PIMS体系建设的国际视野

3.1 ISO27701 PIMS体系概述

ISO27701作为ISO27001的扩展标准,专注于个人信息处理活动的隐私保护。它不仅继承了ISO27001在信息安全管理体系方面的成熟经验,还针对个人信息处理活动提出了更为严格的隐私保护要求。ISO27701要求组织在建立信息安全管理体系的基础上,进一步识别、评估、控制和管理与个人信息处理相关的隐私风险,确保个人信息处理的合法、正当和透明。

3.2 PIMS体系建设的核心要素

在ISO27701 PIMS体系建设中,核心要素包括隐私情景分析、隐私影响评估、隐私控制措施的实施与监控等。隐私情景分析要求组织识别个人信息处理活动的具体场景和流程,评估潜在的隐私风险;隐私影响评估则是对隐私风险的进一步量化分析,确定其可能带来的影响程度和范围;隐私控制措施的实施与监控则是根据评估结果制定相应的隐私保护策略和控制措施,并通过持续监控确保其有效执行。

4、《识别指南》于ISO27701 PIMS体系建设的结合

4.1 强化敏感个人信息识别能力

《识别指南》为ISO27701 PIMS体系建设中的敏感个人信息识别提供了直接支持。通过将《识别指南》中的识别规则和常见敏感个人信息类别融入PIMS体系建设的隐私情景分析和隐私影响评估环节,企业可以更加精准地识别出个人信息处理活动中的敏感个人信息,为后续的隐私保护措施提供明确的目标和方向。
4.2 提升隐私保护措施的针对性

在识别出敏感个人信息后,企业可以依据《识别指南》中的具体指导,制定更具针对性的隐私保护措施。例如,对于生物识别信息等高度敏感的个人信息,可以采取加密存储、访问控制、定期审计等多种措施,确保其安全处理;对于医疗健康信息等涉及个人隐私的敏感信息,则需严格遵守相关法律法规要求,明确告知信息主体相关权利和责任,确保处理的合法性和透明度。
4.3 完善隐私管理体系的持续改进机制

《识别指南》于ISO27701 PIMS体系建设还有助于完善隐私管理体系的持续改进机制。通过将《识别指南》中的识别规则和常见敏感个人信息类别纳入PIMS体系的监控和评审范围,企业可以及时发现隐私保护工作中存在的问题和不足,并采取相应的改进措施加以完善。同时,这种持续改进机制也有助于企业不断适应新的法律法规要求和技术发展趋势,确保个人信息处理活动的长期合规性和安全性。

5、我司在ISO27701 PIMS体系建设咨询服务及数据安全咨询服务方面的实践

作为一家专注于标准体系咨询的老牌顾问公司,我司在ISO27000系列体系建设咨询服务及数据安全咨询服务方面积累了丰富的经验。

在具体实践中,我们会结合客户的实际需求和业务特点,制定个性化的咨询服务方案。通过深入分析客户的个人信息处理流程和场景,我们帮助客户识别出潜在的敏感个人信息风险点,并制定相应的隐私保护措施和控制措施。同时,我们还为客户提供全面的隐私管理体系建设培训和指导服务,帮助客户建立符合ISO27701要求的隐私管理体系,并持续监控和优化其运行效果。

《网络安全标准实践指南——敏感个人信息识别指南》的发布为国内企业组织在ISO27701 PIMS体系建设中提供了有力支持。通过强化敏感个人信息识别能力、提升隐私保护措施的针对性以及完善隐私管理体系的持续改进机制等措施,企业可以更加有效地保护个人信息安全和隐私权益。我司将继续秉承专业、高效、贴心的服务理念,为客户提供优质的ISO27701 PIMS体系建设咨询服务及数据安全咨询服务支持,助力企业在数字化时代实现稳健发展。