一文区分个人信息、敏感个人信息和隐私信息
在初学数据合规的过程中,我们通常会对“个人信息”、“个人敏感信息”、“个人隐私”之间的区别和联系感到疑惑。由于法规中各等级信息的处理规则和保护强度不同,所以对于信息的界定成为了数据合规工作的基础之一。
如果从纯概念的界定上对个人信息,敏感个人信息和隐私信息进行区分和解读往往会造成一定的混淆。事实上,对这些概念的理解不应脱离具体的应用场景,应结合具体法域,行业,数据处理方式等具体问题具体分析。
什么是个人信息?
从法律法规中的定义出发,个人信息定义如下:
《中华人民共和国个人信息保护法》 第四条:个人信息是以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
欧盟《通用数据保护条例》(GDPR) 第4(1)条 :个人数据指的是任何已识别或可识别的自然人(“数据主体”)相关的信息。
需要说明的是,主流法规是以“可识别”来划定个人信息的范围,一般“可识别”的个人信息分为两种情况:一是可以识别出这个人是谁,另一种是识别出某个人干了什么、用了什么、去了哪里等,所以只要能区分开这个人和其他人就可以算个人信息。这种识别可以是直接识别,也可以是结合其他信息共同识别出。
那么问题来了,结合其他信息共同识别的情况下,需要结合多大范围内的信息才算“可识别”的?
英国《数据保护和数字信息法案》给出了更为详细的解释,该解释进一步缩小了个人信息的范围,根据这一定义,如果控制者或处理者只能在理论上在第三方的帮助下(例如,互联网服务提供商提供的IP地址数据)识别这个人,则数据不能被视为个人数据。
在这个解释下,掌握较多数据的大型公司的个人信息量和信息保护责任远远大于小型公司。
敏感个人信息
一些特定的情况下如需要处理敏感个人信息的,需遵守《个人信息保护法》第二十九条和第三十条的规定。即告知个人处理事项,并取得个人的明确单独同意。
从法律法规中的定义出发,敏感个人信息定义如下:
《中华人民共和国个人信息保护法》 第二十八条:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
《通用数据保护条例》(GDPR) 第9条 对特殊类型个人数据的处理 第1款:对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据,应当禁止处理。由此可见GDPR的特殊类型个人数据是对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据。
从二者对比来看,个人的生物识别、宗教信仰、特定身份、医疗健康等数据都属于这一概念,而个保法提到的金融数据、行踪轨迹等GDPR并未明文规定,GDPR中的性生活和性取向在国内的个保法中也没有提及。
那么关于“生物识别”“金融数据”及“行踪轨迹”,相关的行业法规中是否有更细化的定义呢?
这就牵扯到了典型场景下的个人信息及个人敏感信息枚举及定义。
典型场景下的个人信息
1
金融
《中国人民银行金融消费者权益保护实施办法》第二十八条规定:“本办法所称消费者金融信息,是指银行、支付机构通过开展业务或者其他合法渠道处理的消费者信息,包括个人身份信息、财产信息、账户信息、信用信息、金融交易信息及其他与特定消费者购买、使用金融产品或者服务相关的信息。”
由此我们得知,以上列举的个人信息类型均为“个人敏感信息”,如果没有取得我们的单独同意,是不可以私自获取的,包括常见的“入职背景调查”场景。
而由于金融行业对于数据管理的规范性,个人金融信息又可以细分为以下几个级别:
《个人金融信息保护技术规范》将个人金融信息按敏感程度从高到低分为C3、C2、C1实施不同级别的保护。
C3(用户鉴别信息)
银行卡磁道;银行卡密码;网络支付密码;
账户登录密码;交易密码;生物识别信息。
C2(可识别信息主体身份与金融状况的个人金融信息)
支付账号;证件信息;手机号码;账户登录名;
用户鉴别辅助信息;个人财产信息;信贷信息;交易信息;主体照片;音视频信息。
C1(机构内部的信息资产)
账户开立时间;开户机构;支付标记信息。
2
交通
“行踪轨迹”相关的个人信息具体定义可参考《汽车数据安全管理若干规定(试行)》:
个人信息 —— 指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息;
敏感个人信息 —— 指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。
3
医疗
国家标准《信息安全技术—健康医疗数据:安全指南》(GB/T 39725-2020)给出了行业中的个人健康医疗数据及健康医疗数据的定义:
个人健康医疗数据:单独或与其他信息结合后能够识别特定自然人或反映自然人生理或心理健康的相关电子数据。
健康医疗数据:个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。
值得一提的是,GB/T 39725-2020也对医疗行业个人信息的分级提供了指南,其中按照信息泄露后可能对主体造成的损害程度将健康医疗数据分为五个级别,分别需要实施不同等级的保护,及不同等级的访问策略。
隐私信息
首先说结论,隐私的概念大于个人信息。
隐私是自然人的私生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息,权力主体行权的核心目的在于“不愿为人知晓”和“生活安宁”,即隐私的核心是“私密性”,即信息主体不想让外界知悉这些空间、获得的信息,即使有些信息并不属于他的个人信息,甚至只是一种物理空间(私人活动所覆盖的范围)。
民法典不仅将“私人生活安宁”纳入隐私权的保护范围,还对隐私权和个人信息保护加以区分。民法典第1034条规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”两者紧密联系,如私密信息既属于隐私也属于个人信息。
隐私权关涉个人的人格尊严,保障个人私有领域不受侵犯、不被刺探,侧重于对私人生活安宁与私人信息秘密的保护。而个人信息保护,除了涉及人格尊严,还带有明显的公共利益考量,侧重于对个人信息全生命周期处理活动的保护,涉及个人信息的收集、存储、使用、加工、传输、公开等环节。”
可以看出,这个概念仍然比较宽泛,实际的隐私研究中,隐私不光关乎私人的利益,还是一种管理手段,通常从两个角度出发:私域与公域。
私域与公域是指私人生活领域与国家或社会及两者的关系。
私域即私人生活领域,它以私人的个性化的生活为中心,是一个他人、社会和国家无权干预的领域。
而公域指国家或社会。是私人们通过交往活动所构成的公共生活领域。
私域和公域本身并不产生矛盾和冲突,而是隐私概念的两个方向,可以理解为自下而上和自上而下。
下面我们从某些学者的研究中探寻其中的平衡。
加州大学伯克利分校教授Paul M. Schwartz 提出了当代隐私学习应该明确的两个最重要的问题:
第一个问题是,我们如何在确保隐私形式有意义的同时,对他人保持适当的责任?
第二个问题是,国家在个人隐私的监管中应该扮演什么角色?
回答这些问题,目的是在私域的“问责制”和公域的“国家监管“之间找到合适的理论及管理基础。在某些情况下,个人隐私保护是最重要的公共利益,并接受一定程度的国家干预来创造和加强有益的隐私规范。
所以,Schwartz教授对第一个问题(关于问责制)的一般回答是,为了形成一个良好的社会并塑造我们的身份,我们的社会应该重视隐私,并采取“沿着不同管理标准划线,以可行的水平进行审查”;
他对第二个问题(关于国家监管)的回答是,国家在纠正信息市场失灵和限制偏好伪造方面可以发挥积极作用。
最后,国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》中对个人信息进行了列举:
个人资本资料
个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等 。
个人身份信息
身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等。
个人生物识别信息
个人基因、指纹、声纹、掌纹、虹膜、面部识别特征等。
网络身份识别信息
个人信息主体账号、IP地址、个人数字证书等。
个人健康生理信息
个人因生病医治产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、先病史、传染病史、以及与个人身体健康状况相关的信息,如身高、体重、肺活量等。
个人教育工作信息
个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等。
个人财产信息
银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟资产信息。
个人通信信息
通信记录和内容、短信、彩信、电子邮件、以及描述个人通信的数据(通常成为元数据)等。
联系人信息
通讯录、好友列表、群列表、电子邮件地址列表等。
个人上网记录
指通过日志存储的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等。
个人常用设备信息
指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM卡的IMSI信息等)等在内的描述个人常用设备基本情况的信息。
个人位置信息
包括行踪轨迹、精准定位信息、住宿信息、经纬度等。
其他信息
婚史、宗教信仰、性取向、未公开的违法犯罪记录等 。
本质上,个人信息的分类或分级应结合此类信息一旦泄露对当事人造成的主观伤害或客观伤害的风险进行判断(Risk of harm), 让个人信息保护落到实处。