《敏感个人信息处理安全要求》（征求意见稿）解读与合规实践

近日，全国信息安全标准化技术委员会发布关于征求国家标准《信息安全技术 敏感个人信息处理安全要求》（征求意见稿）意见的通知，根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该标准征求意见稿面向社会公开征求意见。

该标准是为支撑《个人信息保护法》第二节敏感个人信息的处理规则的落地实施，针对医疗健康、金融账户、行踪轨迹等敏感个人信息，明确数据处理者进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求，重点针对采集必要性、安全保护、脱敏规则、告知同意等方面提出要求。适用于规范个人信息处理者的个人信息处理活动，也可为监管部门、第三方评估机构对个人信息处理者开展个人信息处理活动进行监督、管理、评估提供参考。

个人信息处理者在进行个人信息处理前，应首先识别哪些数据资产属于敏感个人信息。

标准指出，个人信息遭到泄露或者非法使用，容易导致自然人的人格尊严受到侵害、人身安全受到危害、财产安全受到危害的，总体考虑个人信息汇聚融合后的整体属性，如汇聚融合的个人信息遭到泄露或者非法使用容易对个人权益造成较大影响的，应判断个人信息整体具有敏感个人信息属性。

常见敏感个人信息类别包括生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、身份鉴别信息、未成年人个人信息等。

在合规实践中，由于人工识别的被动与低效，可以结合机器学习技术对全类型的个人信息进行梳理，不仅包含识别个人身份的基础属性，也包括与业务紧密关联的敏感个人信息，如金融行业中的账户信息、财产信息、借贷信息等。信息以结构化、半结构化、非结构化等多形态方式，或在数据库中存储，或转为办公文档方式流转，或在内部业务流转过程中进一步进行格式转换、数据的解析等等，基于内容的深度识别将有助于信息梳理的全面和精准。

与此同时，个人信息跨业务跨域流转使大量的暗数据沉淀积累，既不能挖掘数据的价值，也会存在安全隐患。对暗数据的AI分类梳理标注，可以发现数据价值，规范数据的进一步使用。而处于活跃期的明数据，在使用和增长过程中持续变动，通过明数据的AI分分类梳理标注，将从链条上将各类信息梳理清晰。

更进一步，个人信息的存在方式，除了直观可见的完整的个人信息记录，还包括个人信息的痕迹、碎片化的数据，即个人信息影子，以及看似已删除的数据、驻留内存但感知不到的数据。这些单独的点滴信息不足以给个人信息构成威胁，但多条信息汇聚就比较容易获得个人信息的完整画像。通过对个人信息影子和非感知数据的追溯，挖掘隐式数据的踪迹，保护个人信息生命周期安全。

标准规定，处理敏感个人信息应具有特定的目的和充分的必要性，取得个人的单独同意，应在满足GB/T35273—2020要求的基础上，在收集、存储、使用、加工、传输、提供、公开、删除等处理的各个环节采取严格保护措施。重点安全保护要求条款诸如：

●对敏感个人信息的访问、修改、删除、导出等操作，应在对角色权限控制的基础上，按照业务流程的需求触发操作授权；

● 敏感个人信息存储环境应建立异常监测和分析能力，对出现的异常情况进行及时响应，动态调整安全保护措施，按照就高从严原则设定安全保护措施；

● 对敏感个人信息的处理活动应建立异常监测预警和响应机制，对超出业务正常需求的异常操作（如频繁、大量敏感个人信息浏览查询、下载、打印，非工作时间操作等）应采取中断操作，并通过邮件、消息、弹窗等形式进行告警，开展分析调查，提前排除隐患。

在合规实践中，全面的风险感知评估、细粒度的精确响应处置、以及按需的实时的策略调整都依赖于建立数据链的全运营周期追溯。

追溯个人信息在企业中流动，主要包括三个方面：

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。