我国现行涉及个人信息以及个人敏感信息的规定分散在不同部门发布的规范性文件。法律层面主要有《中华人民共和国民法典》、《中华人民共和国个人信息保护法》;在国家标准层面,由国家标准化管理委员会发布自 2020 年 10 月 1 日起实施的《信息安全技术 个人信息安全规范》(标准号:GB/T 35273-2020)对个人信息及个人敏感信息作出的规定相对更清晰具体。
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
规范除了对个人信息以及敏感信息做了定义,也给出了更详细的举例
今年8月,银保监会发文,要求银行保险机构全面摸排本机构自2021年以来与消费者个人信息处理活动相关的经营行为和管理情况,深入查找本机构个人信息保护方面存在的问题,并列出问题清单。
根据银保监会通知,银行保险机构侵害个人信息权益乱象主要表现形式包括个人信息收集、个人信息存储和传输、个人信息查询、个人信息使用、个人信息提供、个人信息删除、第三方合作等七个方面。其中涉及查询、使用以及对外合作提供,是个人信息滥用以及整改保护的重中之重。
主要表现为查询权限管理混乱和查询业务操作不规范。比如,员工之间共用账号、借用账号查询消费者个人信息;
例如保险公司未对查询权限严格限制,导致不具备权限的员工可以查询完整的保单号、投保人和被保险人证件号码、联系电话、联系地址等未经脱敏处理的个人信息等。
这方面的侵权行为主要为个人信息被用于不当营销、不当催收、撤回同意后继续使用,以及在未经消费者同意的情况下,利用已获得的消费者个人信息,擅自为消费者办理业务或冒充消费者办理业务等等。
比如,银行保险机构私自收集或违规收集消费者信息和联系方式用于营销;在消费者明确拒绝营销后仍继续营销;规避销售系统向消费者营销产品等。
主要表现形式为未经同意向他人或外部机构提供侵害个人权益或公司利益的敏感信息;尤其与第三方合作机构合作不审慎、违反规定向第三方合作机构提供个人信息等乱象。向第三方合作机构提供个人信息超出合作业务必须范围、未进行必要脱敏;未使用有效加密方式通过互联网等不安全渠道向第三方合作机构传输个人信息等。
总体来说,主要体现在“敏感信息”的访问权限、脱敏以及审计等几方面的问题。
保险企业应基于数据安全合规要求、结合企业的业务发展需要和风险承受能力等多重因素,平衡业务与措施,来制定数据安全策略。
保护措施的落地路径采用关注重点、结合自身、逐步完善的思路,典型/企业特殊敏感个人信息逐步扩展到敏感个人信息范围最终扩展到全部需保护的个人信息。
个人信息以及敏感个人信息的范围边界难以精确圈定,且在业务中的使用逻辑复杂。敏感个人信息泄露影响重大。根据信息遭到未经授权的查看、访问、变更、泄露等而产生的影响和危害,将个人信息按敏感程度从高到低分为C3\C2\C1三个类别。
C3主要为用户鉴别信息。一旦遭到未经授权的增删改查以及泄露,会对用户个人的信息安全、财产安全以及企业声誉造成严重的危害。例如账户登录密码、交易密码、查询密码、验证码、个人生物识别信息等。
C2类主要为可识别特定个人金融信息主体身份与金融状况的个人信息,以及用于金融产品与服务的关键信息。例如支付账号、身份证件信息、卡号、财产信息、健康信息、投保种类、家庭地址等。
C1类信息,主要是账户开户时间机构、以及上述两类未包含的基本信息。
C3类的典型账号密码信息以及C2类型中手机号、身份证、金融账户等信息的数据业务场景相对明确,可以优先实施数据保护和适用审计。
对于企业业务经营来说,由于业务需要,而获取的公民个人信息,在不同的使用场景下,具有不同的敏感程度。
以保险企业为例,寿险参保个人信息包含姓名电话号码等个人信息,也包含银行账户、健康生理等敏感信息。在实际业务中,姓名及电话号码等基础个人信息与敏感个人信息在保护的程度上,与数据场景有着极大关系。
有些信息,例如姓名、电话号码,在平日仅仅是普通个人信息,但是特殊的情形中,结合业务类型,应当认为是个人敏感信息或整体表单成为敏感信息。一旦泄露、非法提供或滥用可能被外部黑产获取进而危害人身和财产安全,抑或导致个人名誉、身心健康受到损害或歧视性待遇等的,就应当自觉将这些信息“升格”为个人敏感信息来保护。
因此,个人敏感信息这个定义是依赖于场景的——即何种信息在何时落入“个人敏感信息”这个类别,是和场景密切相关的。
多部法律法规或规范中反复提及最小化原则,例如在《个人信息保护法》中,就明确指出:“收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”
实际上,在企业的业务运行以及个人信息保护实践中,最小化原则也依然适用。主要包含业务相关信息的最小化展示、脱敏展示;共享、输出中的最小化两个方向。
例如,在处理险企参保客户的个人信息过程中,手机号作为重要的联系方式,具备非常大的敏感性。对不同的场景可以采取脱敏展现、授权控制访问、全程审计等手段。对于企业业务强相关不得不使用场景,也可以采用“虚拟”电话的方式,业务手段与信息保护的技术手段相结合,最小化风险。