更深入的数据合规与保护要求：个人信息和重要数据分类识别（中国篇）

更深入的数据合规与保护要求：个人信息和重要数据分类识别（中国篇）

IXCDC

数据处理与合规工作开展的第一步是对企业手中掌握的数据进行分类识别工作。我国对于不同种类的数据有着不同的法律规范和合规要求，因此精准识别，分类管理尤为重要。通常来说数据可以分为两大类，即个人信息和重要数据。

个人信息和重要数据分类识别

一、个人信息识别

（一）个人信息概念

《民法典》第一千零三十四条对个人信息进行了定义，并列举了若干常见个人信息以距离说明，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。因此，抛开其他来说，企业收集到的自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等信息肯定属于需要审查的出境数据的范畴。此外，《网络安全法》第七十六条第五款，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。《个人信息保护法》第四条，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。上述两个法条的规定指出了个人信息的根本特征——可识别性，只要该信息单独或与其他信息相结合可以识别到自然人，则为个人信息，而匿名化处理后的个人信息不属于此列。此处的可识别还需要注意程度要求。在安徽美景信息科技有限公司与淘宝（中国）软件有限公司商业贿赂不正当竞争纠纷中，法院认为个人信息指单独或与其他信息结合可识别自然人个人身份的各种信息和敏感信息，案涉“生意参谋”数据产品所涉网络用户信息主要表现为网络用户浏览、搜索、收藏、加购、交易等行为痕迹信息以及由行为痕迹信息推测所得出的行为人的性别、职业、所在区域、个人偏好等标签信息。该案将推测性标签信息排除在个人信息范畴之外，该案要求识别结果必须是高度确定的，相对准确的，可以具体化的个人，而不仅仅只是推测性的身份标签。快速识别见下图：

《民法典》第一千零三十四条

《网络安全法》第七十六条

《个人信息保护法》第四条

自然人的姓名、出生日期、身份证件号码、生物识别信息（指纹、虹膜、人脸）、住址、电话号码、电子邮箱、健康信息、行踪信息等。

可识别性：该信息单独或与其他信息相结合可以识别到自然人。

推测性身份标签信息除外。

兜底：已匿名化处理除外

（二）个人信息判定

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式通信记录和内容、账号密码、财产信息、征信信息行踪轨迹、住宿信息、健康生理信息、交易信息等。

判定某项信息是否属于个人信息，应考虑以下两条路径:是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是关联，即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息(如个人位置信息，个人通话记录、个人浏览记录等)即为个人信息。符合上:述两种情形之的信息.均应判定为个人信息。

（三）常见个人信息对照目录

序号

个人信息种类

常见信息列举

1

个人基本资料

个人姓名、生日、性别、民族、国籍，家庭住址、个人电话号码、电子邮件地址等

2

个人身份信息

身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等

3

个人生物识别信息

个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等

4

网络身份标识信息

个人信息主体账号、IP地址、个人数字证书等

5

个人健康生理信息

个人生病治疗产生的相关记录，如病症、住院、医嘱、检验报告、手术和麻醉记录、护理记录、用药记录、药物和食物过敏信息、生育信息、过往病史、家族病史、传染病史等。此外，个人健康状况也在此列，如身高、体重等。

6

个人教育工作信息

个人职业、职务、工作单位、受教育经历等

7

个人财产信息

银行账户、口令、存款信息、固定与非固定资产信息、征信信息、借贷信息、流水记录、消费记录等。此外，虚拟财政也在此列，例如游戏兑换码

8

个人通信信息

通信记录与内容、短信、电邮及描述个人通信的相关数据

9

联系人信息

通讯录、好友列表、群列表、电邮地址等

10

个人上网记录

以日志存储的个人上网操作记录，包括网页浏览记录、软件使用记录、点击记录和收藏列表等

11

个人常用设备信息

指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码在内的描述个人常用设备基本情况的信息

12

个人位置信息

包括行踪轨迹、精准定位信息、住宿信息、经纬度等

13

其他信息

宗教信仰、性取向等

（四）敏感个人信息

个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。可从以下角度判定是否属于个人敏感信息:

泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后,被以违青个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。

滥用:某些个人信息在被超出授权合理界限时使用(如变更处理日的、扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。

上表中的序号2、3、5、7、13属于个人敏感信息范畴。

二、重要数据识别

（一）重要数据概念及识别

关于重要数据的定义目前在理论界、实务届仍然属于“哥特巴赫猜想”，目前来说其定义的边界依然不够明确，具有很强的“口袋”特征。较为准确的定义来源于中央网络安全和信息化委员会办公室、工业和信息化部开展“个人信息和重要数据安全专项调查”，在中国互联网协会的《专项调查问题列表与答复》（“答复”）重要数据是指：不涉及国家秘密，但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据，包括: 

（1）地理、自然资源、重要物资储备等数据;

（2）基因、生物特征、疾病等数据;

（3）宏观统计等重要经济数据；

（4）网络信息系统的缺陷、漏洞、防范措施等数据;（5）人群导航位置、大型设备目标位置和移动数据；（6）法律法规规定的其他重要数据。

（二）重要数据识别表

A．能源

A1.石油天然气

产量信息、销售信息、价格信息、施工作业信息、安全生产与节能信息、能源储备信息。

A2.煤炭

行业基本情况数据（包括企业及从业人员的解构与分布情况）、行业经济数据、行业采购数据、销售数据、投资数据。

A3.石化

国家石化工业中长期规划数据、主要经济技术指标、重大政策、年度进出口计划、未分配的控制外汇金额。

A4.电力

发电厂生产运营相关数据、输配电数据、建设运营维护数据、资产数据、安防数据、未发布电网/电厂规划图、城市电网分布数据。

B．通信

B1.通信

规划建设数据、运营维护数据、安保数据、无线电数据、统计分析数据、网络威胁原数据、通信内容、信令、记录等数据、核心技术与核心设备主要参数。

C．电子信息

C1.电子信息

产业运行数据、产业发展数据、电子信息百强企业业务数据、电子信息产品基础硬件型号、参数、源代码和目标、技术方案、实验数据、检测报告、重要工艺技术等技术资料、国防、政务、公共服务领域电子信息设备销售和使用信息、关键领域或重要行业电子信息产品使用、养护数据、涉及政府、商业、个人秘密的信息。

D.冶金

D1.钢铁

钢铁产业的规模与行业竞争力数据、大客户采购数量信息、产品流入重点领域数据、国防与国民经济发展所需特钢信息、钢铁行情预测与检测数据等。

D2.有色金属

有色金属行业规模与竞争力数据、国防与国民经济发展所需有色金属信息、有色金属行情预测与检测数据等。

E．装备制造

E1.装备制造

投资信息、装备工程活动信息

F.化工

F1.化工

化工产品生产、储备数据、化工项目与军用化工品出口数据、剧毒化工品运输数据、安保数据、危险化工厂建设数据、厂房数据、危险化工品存储与流向数据。

G．国防军工

G1.国防军工

几乎全部相关数据。

H．地理

H1.重要目标信息

国家或地区重要安全警卫目标影像信息、资源分析数据、边疆边界数据。

H2.地理标识信息

专用铁路、公路信息、未公开机场、机关和单位信息、重要基础设施、监狱、渡口呢哦不解构、机场内部解构及运力属性信息、高压电线、通信线路、水库库容、桥梁隧道信息、江河水文运输信息、水坝信息等。

H3.测绘信息

各类重力测试成果、军事禁区及海域磁力测量数据、数字高程模型与数字地表模型。

H4.互联网地图

我国地图相关数据

H5.北斗卫星导航

灾备服务能力数据、高精度位置数据、用户名录、属性、装备识别号和短信服务内容数据。

I．民用核设施

I1.民用核设施

安全监管信息、设施运行信息、产业发展信息等（包括核原料分布、储量信息、国家核工业发展规划信息）。

G．交通运输

J1.交通运输

含有或可分析推论出交通运输信息系统部署情况、无线电谱的数据、关键铁路路线、涉外交通工程建设中数据。

H．邮政快递

H1.邮政快递

客户个人信息、交易金额信息、运单信息、易被用于黑客攻击的行业数据。

I．水利

I1.水利

水情信息拍报电码、未经批准公布的水情预报、大型及重点水库运行管理数据、大型水利枢纽工程项目相关数据及水文分析成果、省水利发展中长期规划、七大江河流域水中长期供求计划、涉外技术合作中未公开的技术成果资料、水库移民生活资料和专项资金年度计划、水情资料、实时水文工程运行数据、省际水事纠纷资料、水利部门统计年鉴、全国江河湖泊水文数据。

J．人口健康

J1.人口健康

药品监测中获取的个人隐私数据、公共卫生事件中获取的病人、家属与密切接触者的隐私数据、个人电子病历健康档案、生命登记信息、家族遗传信息、器官移植与计生生殖医疗服务中获取的个人信息。

K．金融

K1.金融

金融机构安全信息、自然人、法人或其他组织金融信息、央行等金融监管部门和外汇管理部门工作中产生的工作秘密信息。

L．征信

L1.征信

法院执行信息、欠缴税款信息、欠缴社保信息、行政和公共事业欠费信息、信用还款信息、民间借贷等商业和生活信用信息。

M．食药品

M1.食药品

包括但不限于食药品实验、检测与溯源数据。

N．统计

N1.人口

人口普查数据

N2.经济

GDP初步核算、规模以上工业主要指标数据、粮食棉花产量数据、省、自治区、直辖市出厂价格指数、工业产品产量、地产开发数据、农林牧渔产值、能源消费总量、人均收入、人均支出等。

O．气象

O1.气象

各类气象原始数据、专项气象数据、非国际交换取得的国外气象数据、为军事和高科需要获取的气象数据。

P．广播电视

P1.广播电视

包括但不限于广播电视运维、调度指挥信息、监测数据、不宜公开的报道媒体资源、无线和卫星传输覆盖网系统配置、播出参数、站台位置、全国直播卫星用户信息等。

Q．海洋环境

Q1.海洋环境

包括但不限于海洋地形、水文、气象、水声环境和海洋物理等整编数据、领海内温盐、水声、底质、潮汐、海流实测数据、未公开的生态环境监测数据。

R．电子商务

R1.电子商务

个人注册信息、企业注册信息、电子商务交易记录、个人消费习惯偏好、企业经营数据、信用记录、电商平台企业经营数据、电商服务相关数据（包括物流数据）等。