在实践中,企业往往会遇到难以识别个人信息、敏感个人信息、重要数据的问题。
(一)个人信息的识别
《个人信息保护法》与《网络安全法》均明确了个人信息的概念,其判断的标准主要在于信息是否“已识别”或“可识别”自然人个人身份。但是,经过匿名化处理过的信息则不属于个人信息。企业通常对个人信息进行去标识化或匿名化处理。需要注意的是,虽然经匿名化处理的个人信息因无法再识别到个人而不再是个人信息,但是经去标识化处理的个人信息若在借助额外信息的情况下可以再次识别到个人,则仍属于个人信息。
例如,企业曾向境外接收方传输用户的手机号码、地址、姓名等完整字段,境外接收方也在其数据库中对这些字段进行了保留。在这种情况下,即使出境方企业在本次数据传输中使用了去标识化措施,境外接收方仍可以通过撞库或者用户 ID 映射的方式将这些信息识别到具体个人。此时,出境后的数据依然保留了个人信息的属性,应当被认为属于个人信息出境。
(二)敏感个人信息的识别
根据《个人信息保护法》,敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息以及不满十四周岁未成年人的个人信息。相较于个人信息,敏感个人信息遭到损害后会造成更为严重的影响。GB/T 35273-2020《信息安全技术 个人信息安全规范》在附录 B 列举了部分敏感个人信息类型,为企业合规实践提供了指引。
但是,在实践中,许多企业对经过去标识化处理后的敏感个人信息是否还应被视为敏感个人信息存在疑问。根据向省级网信办等监管部门咨询的结果,如果去标识化处理能够改变敏感个人信息的性质,那么经该等处理后的个人信息不再属于敏感个人信息。换言之,如果经过去标识化处理的敏感个人信息被泄露或者非法使用,且泄露和非法使用不会导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,那么经过去标识化处理的“敏感个人信息”不再属于敏感个人信息。
(三)重要数据的识别
为确保数据安全和维护国家利益,重要数据跨境传输已成为各国或各地区关注的规制焦点。我国监管部门也明确要求企业不仅需要对于“重要数据”的出境活动开展风险自评估工作,还需要向网信部门申报数据出境安全评估,以加强对数据跨境传输的监管,确保数据的安全。
《数据安全法》第二十一条规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。顺应这一要求,GB/T43697-2024《数据安全技术 数据分类分级规则》在 2024年 3月 15日正式发布,其中第 6.5 b)条及附录 G《重要数据识别指南》在国家总体宏观层面给出了明确的重要数据判断标准,即满足以下任一条件的数据,识别为重要数据:
(i)数据一旦遭到泄露、篡改、损坏或者非法获取、非法使用、非法共享,直接对国家安全造成一般危害;
(ii)数据一旦遭到泄露、篡改、损坏或者非法获取、非法使用、非法共享,直接对经济运行造成严重危害;
(iii)数据一旦遭到泄露、篡改、损坏或者非法获取、非法使用、非法共享,直接对社会秩序造成严重危害(如影响社会稳定);
(iv)数据一旦遭到泄露、篡改、损坏或者非法获取、非法使用、非法共享,直接对公共利益造成严重危害(如危害公共健康和安全);
(v)数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领
域、特定群体或特定区域;
(vi)数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社会稳定、公共健康和安全;
(vii)经行业领域主管(监管)部门评估确定的重要数据。此外,各地区、各部门也在抓紧推进确立本地区、本部门以及相关行业、领域的重要数据具体目录,为企业提供更具普适性和可操作性的重要数据识别规范,以重点保护列入目录的数据。
因此,尽管法律法规对“重要数据”进行了定义,也从国家宏观角度提供了识别指南规范,但各地区、各行业的重要数据目录仍未出台,企业在实际操作过程中,如何界定重要数据仍然存在一定的模糊性。对此,《跨境流动规定》第二条提出了明确指引,采用与判断企业是否属于 CIIO 同一方法,即以地方和行业主管部门的告知为标准。企业仅需注意相关部门、地区是否已经告知或者是否已经公开发布了本企业所处理的数据属于重要数据,这一定程度上减轻了企业的合规压力,缓解了识别重要数据“难”的问题。因此,建议企业后续不断关注各主管部门可能陆续发布的“重要数据”目录和清单,并对本企业拟出境数据合规性进行阶段性确认,与各主管部门能够保持积极且透明地沟通,及时调整数据跨境策略,以避免潜在的合规风险。
来源:环球律师事务所等团队
5478
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
