何維群

（杭州數(shù)夢工場科技有限公司，浙江 杭州 310024）

0 引 言

隨著數(shù)字治理、數(shù)字經(jīng)濟、數(shù)據(jù)社會等數(shù)字化產(chǎn)業(yè)的不斷發(fā)展，個人信息的收集和利用變得越來越普遍。同時，個人敏感信息泄露、濫用等事件頻發(fā)，對數(shù)字化發(fā)展產(chǎn)生極大的負面影響。在數(shù)字化時代下，個人信息保護正遭受前所未有的新挑戰(zhàn)，具體體現(xiàn)在以下幾個方面：

（1）應用廣，暴露面大：個人信息在大數(shù)據(jù)時代應用越來越廣泛，包括疫情防控、個人廣告推廣、便民服務、信用評級等，使得個人隱私信息暴露風險大大增加[1]。

（2）流程長，接觸者多：個人信息從采集、匯聚、治理、分析、共享、應用直至銷毀等過程，涉及的每一個業(yè)務流程，都需要對相應人員開放必要數(shù)據(jù)權(quán)限，以滿足基本的數(shù)據(jù)處理需求，任何一個接觸數(shù)據(jù)的人員都有可能成為數(shù)據(jù)泄露源。

（3）價值高，威脅更大：個人信息已經(jīng)成為各行各業(yè)的戰(zhàn)略資源和隱形資產(chǎn)，數(shù)據(jù)量越大則價值越高，是不法分子竊取和勒索的重要對象。

（4）強保護，價值難體現(xiàn)：個人信息數(shù)據(jù)價值高，但過度保護將不利于數(shù)據(jù)價值的體現(xiàn)。

因此，在數(shù)據(jù)作為新的生產(chǎn)要素[2]的數(shù)字化時代中，仍采用傳統(tǒng)方式對所有數(shù)據(jù)采取一致的安全防護措施已無法滿足新的安全需求，基于分類分級的安全防護成為解決數(shù)據(jù)安全精細化管理的有效途徑。個人信息作為數(shù)據(jù)的重要組成部分，尤其在面向個人的大數(shù)據(jù)應用場景下，如何有效利用個人信息作為新的生產(chǎn)要素發(fā)揮價值，同時又避免個人隱私數(shù)據(jù)的泄露成為當下亟待解決的問題。

1 分類分級安全保護現(xiàn)狀

國家“十三五”規(guī)劃明確指出，加強數(shù)據(jù)資源安全保護，建立大數(shù)據(jù)安全管理制度，實行數(shù)據(jù)資源分類分級管理，保障安全高效可信應用?！吨腥A人民共和國網(wǎng)絡安全法》第二十一條明確指出，采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改?！吨腥A人民共和國數(shù)據(jù)安全法》第二十一條明確指出，國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護?！吨腥A人民共和國個人信息保護法》[3]第五章個人信息處理者的義務明確指出，對個人信息實行分類管理，采取相應的加密、去標識化等安全技術(shù)措施。

以上是與數(shù)據(jù)分類分級相關(guān)的法規(guī)和政策要求，缺乏具體操作層面的指導，對此也出臺了一些與數(shù)據(jù)分類分級相關(guān)的地方性或行業(yè)規(guī)范指南，對數(shù)據(jù)分類分級有一定的借鑒作用，但總體來說仍存在一些不足：

（1）缺乏針對性標準和規(guī)范指導：分類分級往往只把個人數(shù)據(jù)歸為一類進行統(tǒng)一保護，在實際應用場景中，無法再進行細化管理；《中華人民共和國個人信息保護法》、GB/T 35273—2020《信息安全技術(shù) 個人信息安全規(guī)范》[4]、GB/T 37964—2019《信息安全技術(shù) 個人信息去標識化指南》[5]等法規(guī)及相關(guān)安全要求和指導，但在實際落地過程中還存在較大的差異，缺乏針對性的指導。

（2）分類分級與安全保護區(qū)分考慮，達不到真正效果：分類分級的目的是更好地實現(xiàn)數(shù)據(jù)保護，而現(xiàn)今可參考的標準和規(guī)范往往將分類分級與安全保護區(qū)分開考慮，在大數(shù)據(jù)應用場景下，無法實現(xiàn)個人信息作為新的生產(chǎn)要素發(fā)揮價值的同時又滿足個人信息保護的閉環(huán)管理。

（3）缺乏有效的工具支撐：分類分級安全保護在技術(shù)實現(xiàn)方面需要考慮眾多因素。如需要支持不同的數(shù)據(jù)源、海量數(shù)據(jù)、頻繁更新數(shù)據(jù)、數(shù)據(jù)加工流轉(zhuǎn)等場景，在數(shù)字化時代，這些場景非常普遍，然而目前市面上很少有能滿足這些復雜應用場景的分類分級保護工具。

在個人信息廣泛應用于數(shù)字化業(yè)務發(fā)展的今天，迫切需要有關(guān)基于分類分級的個人信息安全保護方法，在確保充分發(fā)揮個人信息數(shù)據(jù)價值的同時，有效避免或降低個人信息數(shù)據(jù)面臨泄露、濫用等安全風險。

2 分類分級安全保護目標

個人信息分類分級是通過對個人信息微數(shù)據(jù)①微數(shù)據(jù)：一個結(jié)構(gòu)化數(shù)據(jù)集，其中每條（行）記錄對應一個個人信息主體，記錄中的每個字段（列）對應一個屬性。進行分類分級和打標，基于個人信息在不同應用場景的需求，對分類分級的數(shù)據(jù)采取不同的安全保護措施（如授權(quán)、脫敏、加密等），以實現(xiàn)對個人信息微數(shù)據(jù)的精細化管理和保護，確保個人信息在數(shù)據(jù)治理、數(shù)據(jù)開發(fā)、數(shù)據(jù)共享等應用場景中的數(shù)據(jù)使用和數(shù)據(jù)保護之間的平衡，防止個人信息數(shù)據(jù)的泄露、濫用等數(shù)據(jù)安全風險的出現(xiàn)。

3 個人信息分類分級方法

個人信息的分類分級包括分類和分級兩個層面，分類是指對個人信息的微數(shù)據(jù)基于不同屬性或特征，按照一定的原則和方法進行區(qū)分和歸類，以便更好地實現(xiàn)數(shù)據(jù)的分級；分級是指在分類的基礎上，對個人信息微數(shù)據(jù)的敏感程度以及遭受泄露、濫用等可能對國家、社會及個人等造成的影響進行分級。因此，需要進一步明確個人信息分類分級的原則和方法。

個人信息分類分級的對象是指個人信息的微數(shù)據(jù)，具體包括微數(shù)據(jù)的每條（行）記錄、微數(shù)據(jù)記錄中的每個字段（列）以及由微數(shù)據(jù)組合成的數(shù)據(jù)表。

3.1 分類原則和方法

3.1.1 分類原則

個人信息數(shù)據(jù)分類可遵循以下原則：

（1）易管理：數(shù)據(jù)分類的主要目的是便于管理，提高管理效率；

（2）抓重點：重點對個人標識信息進行歸類，對個人信息中的通用屬性可合并歸類；

（3）防交叉：在數(shù)據(jù)分類時應防止出現(xiàn)分類重復或交叉的情況；

（4）可擴展：對個人數(shù)據(jù)分類應盡可能滿足多種場景的應用需求，如數(shù)據(jù)治理、數(shù)據(jù)開發(fā)、數(shù)據(jù)共享、數(shù)據(jù)開放等。

3.1.2 分類方法

個人信息分類主要從微數(shù)據(jù)的兩個維度進行分類：一是按照微數(shù)據(jù)是否屬于標識信息進行分類，主要包括直接標識符和準標識符；二是微數(shù)據(jù)是否屬于個人敏感信息；其他的微數(shù)據(jù)可歸為通用信息。這幾類數(shù)據(jù)分別舉例說明如下。

（1）直接標識符：微數(shù)據(jù)中的屬性，在特定環(huán)境下可以單獨識別個人信息主體。例如：姓名、地址、電子郵件地址、電話號碼、傳真號碼、信用卡號碼、車牌號碼、車輛識別號碼、社會保險號碼、健康卡號碼、病歷號碼、設備標識符、生物識別碼、互聯(lián)網(wǎng)協(xié)議地址號和網(wǎng)絡通用資源定位符等。

（2）準標識符：微數(shù)據(jù)中的屬性，結(jié)合其他屬性可唯一識別個人信息主體。比如：性別、出生日期或年齡、事件日期（例如入院、手術(shù)、出院、訪問）、地點（例如郵政編碼、建筑名稱、地區(qū)）、族裔血統(tǒng)、出生國、語言、原住民身份、可見的少數(shù)民族地位、職業(yè)、婚姻狀況、受教育水平、上學年限、犯罪歷史、總收入和宗教信仰等。

（3）個人敏感信息：是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、選中軌跡、住宿信息、健康生理記錄、交易信息、14歲以下（含）兒童個人信息[6]等。

（4）通用信息：是指有一定通用性的個人微數(shù)據(jù)信息，如民族、國籍、政治面貌、證件類型、證件名稱等。

3.2 分級原則和方法

3.2.1 分級原則

個人信息數(shù)據(jù)分級可遵循以下原則：

（1）可執(zhí)行性[7]：保證數(shù)據(jù)分級使用和執(zhí)行的可行性。

（2）合理性[7]：數(shù)據(jù)級別具有合理性，不能將所有數(shù)據(jù)集中劃分在一兩個等級中，而另外一些等級沒有數(shù)據(jù)。級別劃定過低可能導致數(shù)據(jù)不能得到有效保護；級別劃定過高可能導致不必要的業(yè)務開支。

3.2.2 分級方法

分級方法主要從分級要素和分級定義兩個方面進行說明。

（1）分級兩要素：識別個人信息主體的難易程度；數(shù)據(jù)受到泄露或篡改后對個人信息主體造成影響程度[8]。

（2）分級定義說明：根據(jù)可識別個人信息主體難易程度和數(shù)據(jù)敏感程度，將個人信息數(shù)據(jù)由低到高劃分為S1～S5級，個人信息的分級方法如表1所示。

表1 個人信息數(shù)據(jù)分級

3.3 特殊說明

除以上基于字段分級外，還有一些特殊場景的分級需求，這里簡單描述，本文不再展開說明。

（1）行分級：滿足特殊行信息數(shù)據(jù)的重點保護要求，如特殊崗位人員信息、14歲以下（含）兒童個人信息，可根據(jù)提供的特定人員安全要求情況進行分級，一般不低于S4級。

（2）表分級：針對一個完整隱私事件的記錄，在獨立字段沒有意義的情況下，適合用整張表定級，如酒店住宿信息中包括入住日期、離店日期、酒店名稱、入住房間號等。

3.4 分類分級示例

基于某項目個人信息匯集情況，按照個人信息數(shù)據(jù)分類分級方法，給出了分類目錄和分級目錄如表2、表3所示，供其他企業(yè)在個人信息保護方面提供參考。

表2 分類目錄

表3 分級目錄

4 分類分級安全保護技術(shù)實現(xiàn)

分類分級是為了更好地實現(xiàn)對個人信息微數(shù)據(jù)的精細化管理和保護，確保個人信息在數(shù)據(jù)治理、開發(fā)、共享等應用場景中的數(shù)據(jù)使用和數(shù)據(jù)保護之間的平衡，因此，個人信息保護的核心是實現(xiàn)基于分類分級的數(shù)據(jù)安全管控，分類分級與安全保護兩者之間不是各自孤立存在，而是緊密結(jié)合、相互依存的。

4.1 技術(shù)架構(gòu)

從分類分級工具的技術(shù)架構(gòu)設計來看，應至少包括數(shù)據(jù)接入、分類分級服務、數(shù)據(jù)安全控制、標準應用程序接口等功能，以支持數(shù)據(jù)治理、數(shù)據(jù)共享、數(shù)據(jù)開放等不同應用場景中對數(shù)據(jù)安全保護的要求，分類分級工具技術(shù)架構(gòu)參考如圖1所示。

圖1 分類分級工具技術(shù)架構(gòu)

如圖1所示，分類分級工具技術(shù)架構(gòu)包含數(shù)據(jù)層、控制層、服務層、接口層和中臺層。數(shù)據(jù)層是指分類分級的數(shù)據(jù)源，包含傳統(tǒng)數(shù)據(jù)庫和各類大數(shù)據(jù)平臺；控制層是指授權(quán)、脫敏、加密、審計等各類安全控制措施；服務層主要實現(xiàn)對數(shù)據(jù)層數(shù)據(jù)的分類服務和分級服務；接口層是指將服務層和控制層的能力通過接口方式對外提供服務；中臺層是指數(shù)據(jù)歸集、治理、共享、開放等各類與數(shù)據(jù)相關(guān)的業(yè)務，在業(yè)務實現(xiàn)過程通過接口調(diào)用底層數(shù)據(jù)分類分級和相關(guān)控制措施實現(xiàn)數(shù)據(jù)利用與安全保護之間的平衡。

4.2 關(guān)鍵技術(shù)實現(xiàn)方法

分類分級技術(shù)工具的實現(xiàn)需要綜合考慮多方面的因素，才能較好地適應各應用中復雜場景的需求，除滿足基本分類分級功能外，還需要重點考慮以下關(guān)鍵技術(shù)實現(xiàn)。

（1）數(shù)據(jù)源自動發(fā)現(xiàn)：自動發(fā)現(xiàn)未知數(shù)據(jù)源資產(chǎn)，實現(xiàn)數(shù)據(jù)源資產(chǎn)持續(xù)管理。如支持掃描網(wǎng)段信息、自定義掃描端口等；能自動發(fā)現(xiàn)常見的數(shù)據(jù)庫和數(shù)據(jù)倉庫的類型；支持定期掃描，以反映不同數(shù)據(jù)庫服務上線的變化。

（2）高識別率：應支持正則表達式、機器學習、智能推薦等多種模式，提高數(shù)據(jù)自動識別的準確率，降低人工干預成本。

（3）多源數(shù)據(jù)接入：支持大數(shù)據(jù)平臺、傳統(tǒng)數(shù)據(jù)庫、分布式數(shù)據(jù)庫等數(shù)據(jù)接入及元數(shù)據(jù)采集。

（4）支持多種掃描方式：支持元數(shù)據(jù)的全量掃描、增量掃描的方式進行自動化分類分級打標；支持實時掃描新增數(shù)據(jù)和加工后新生成數(shù)據(jù)的分類分級打標，避免因此產(chǎn)生的防護真空。

（5）支持多種分級模式：支持列分級、行分級、表分級以滿足不同業(yè)務需求。列分級即字段分級，是數(shù)據(jù)分類分級的最小單元，是分類分級的基本功能；行分級主要是滿足特殊行信息數(shù)據(jù)的重點保護要求，如特殊崗位人員信息；表分級是指針對一個完整隱私事件的記錄表，獨立字段都沒有意義的情況下，適合用整張表定級，如酒店住宿表。

（6）多場景支持：滿足數(shù)據(jù)加工、數(shù)據(jù)共享、數(shù)據(jù)開放等不同場景中數(shù)據(jù)分類分級需求。

（7）權(quán)限聯(lián)動：基于分類分級聯(lián)動，實現(xiàn)權(quán)限的自動分配。

4.3 分類分級安全保護示例

數(shù)據(jù)安全防護措施主要包括數(shù)據(jù)授權(quán)、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)水印、安全審計等[9]，為便于更好地理解分類分級與安全保護之間的關(guān)聯(lián)關(guān)系，下面通過數(shù)據(jù)授權(quán)、數(shù)據(jù)脫敏兩個方面介紹如何將數(shù)據(jù)分類分級與數(shù)據(jù)防護措施相結(jié)合，如表4所示，以有效實現(xiàn)數(shù)據(jù)安全閉環(huán)的效果。

表4 分類分級與安全措施對應

數(shù)據(jù)授權(quán)是指針對可以接觸個人信息數(shù)據(jù)的不同人員，如數(shù)據(jù)安全管理員、內(nèi)部數(shù)據(jù)管理員等，根據(jù)業(yè)務需求設置不同的訪問權(quán)限，訪問權(quán)限應與數(shù)據(jù)分級進行關(guān)聯(lián)，確保數(shù)據(jù)授權(quán)滿足最小服務的授權(quán)原則。

數(shù)據(jù)脫敏的核心是實現(xiàn)數(shù)據(jù)可用性和安全性之間的平衡，既要滿足業(yè)務系統(tǒng)的需求，又要兼顧最小可用原則，最大限度地保護敏感信息。因此，在實施過程中，應該圍繞可用性和安全性兩方面進行規(guī)范。例如當敏感數(shù)據(jù)用于開發(fā)測試場景中，可采用如數(shù)據(jù)擾亂等保留數(shù)據(jù)屬性特征的脫敏方式；如果將敏感數(shù)據(jù)用于大屏公開展示情況，則可以選擇掩碼方式隱藏部分敏感內(nèi)容。企業(yè)應結(jié)合自身業(yè)務開展的情況，分類分析數(shù)據(jù)需要脫敏的場景，規(guī)范每種場景下數(shù)據(jù)脫敏的規(guī)則和流程。

5 結(jié) 語

本文闡述了個人信息保護面臨的新挑戰(zhàn)及防護現(xiàn)狀，提出通過對個人信息的微數(shù)據(jù)進行分類分級，并根據(jù)分類分級結(jié)果與數(shù)據(jù)安全保護措施相結(jié)合的方法，實現(xiàn)對個人信息的精細化管理和保護，給出了個人信息分類分級方法建議以及分類分級工具技術(shù)實現(xiàn)需要重點考慮的因素，為其他企業(yè)在個人信息保護方面的研究及實踐提供參考。制機制的意見[EB/OL].(2020-03-30)[2021-08-08]. http://www.gov.cn/zhengce/2020-04/09/content_5500 622.html.