00 背景
近年,隨着信息技術的快速發展和互聯網應用的普及,越來越多的組織大量收集、使用個人信息,給人們生活帶來便利的同時,也出現了對個人信息的非法收集、濫用、泄露等問題,個人信息安全面臨嚴重威脅。
0x01 個人信息
以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,如姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯繫方式、通信記錄和內容、賬號密碼、財產信息、徵信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。
判定某項信息是否屬於個人信息,應考慮以下兩條路徑:一是識別,即從信息到個人,由信息本身的特殊性識別出特定自然人,個人信息應有助於識別出特定個人。二是關聯,即從個人到信息,如已知特定自然人,則由該特定自然人在其活動中產生的信息
(如個人位置信息、個人通話記錄、個人瀏覽記錄等)即爲個人信息。
0x02個人信息舉例
序號 | 簡要 | 描述 |
1 | 個人基本資料 | 個人姓名、生日、性別、民族、國籍、家庭關係、住址、個人電話號碼、電子郵箱等 |
2 | 個人身份信息 | 身份證、軍官證、護照、駕駛證、工作證、出入證、社保卡、居住證等 |
3 | 個人生物識別信息 | 個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部特徵等 |
4 | 網絡身份標識信息 | 系統賬號、IP地址、郵箱地址及與前述有關的密碼、口令、口令保護答案、用戶個人數字證書等 |
5 | 個人健康生理信息 | 個人因生病醫治等產生的相關記錄,如病症、住院志、醫囑單、檢驗報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現病史、傳染病史等,以及與個人身體健康狀況產生的相關信息,及體重、身高、肺活量等 |
6 | 個人教育工作信息 | 個人職業、職位、工作單位、學歷、學位、教育經歷、工作經歷、培訓記錄、成績單等 |
7 | 個人財產信息 | 銀行賬號、鑑別信息(口令)、存款信息(包括資金數量、支付收款記錄等)、房產信息、信貸記錄、徵信信息、交易和消費記錄、流水記錄等,以及虛擬貨幣、虛擬交易、遊戲類兌換碼等虛擬財產信息 |
8 | 個人通信信息 | 通信記錄和內容、短信、彩信、電子郵件,以及描述個人通信的數據(通常稱爲元數據)等 |
9 | 聯繫人信息 | 通訊錄、好友列表、羣列表、電子郵件地址列表等 |
10 | 個人上網記錄 | 指通過日誌儲存的用戶操作記錄,包括網站瀏覽記錄、軟件使用記錄、點擊記錄等 |
11 | 個人常用設備信息 | 指包括硬件序列號、設備MAC地址、軟件列表、唯一設備識別碼(如 IMEI/android ID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等)等在內的描述個人常用設備基本情況的信息 |
12 | 個人位置信息 | 包括行蹤軌跡、精準定位信息、住宿信息、經緯度等 |
13 | 其他信息 | 婚史、宗教信仰、性取向、未公開的違法犯罪記錄等 |
0x03 敏感信息
1.個人敏感信息: 是指一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。通常情況下,14歲以下(含)兒童的個人信息和自然人的隱私信息屬於個人敏感信息。可從以下角度判定是否屬於個人敏感信息:
2. 泄露:個人信息一旦泄露,將導致個人信息主體及收集、使用個人信息的組織和機構喪失對個人信息的控制能力,造成個人信息擴散範圍和用途的不可控。某些個人信息在泄漏後,被以違背個人信息主體意願的方式直接使用或與其他信息進行關聯分析,可能對個人信息主體權益帶來重大風險,應判定爲個人敏感信息。例如,個人信息主體的身份證複印件被他人用於手機號卡實名登記、銀行賬戶開戶辦卡等。
3. 非法提供:某些個人信息僅因在個人信息主體授權同意範圍外擴散,即可對個人信息主體權益帶來重大風險,應判定爲個人敏感信息。例如,性取向、存款信息、傳染病史等。
濫用:某些個人信息在被超出授權合理界限時使用(如變更處理目的、擴大處理範圍等),可能對個人信息主體權益帶來重大風險,應判定爲個人敏感信息。例如,在未取得個人信息主體授權時,將健康信息用於保險公司營銷和確定個體保費高低。
0x04 敏感信息舉例
序號 | 簡要 | 描述 |
1 | 個人財產信息 | 銀行賬號、鑑別信息(口令)、存款信息(包括資金數量、支付收款記錄等)、房產信息、信貸記錄、徵信信息、交易和消費記錄、流水記錄等,以及虛擬貨幣、虛擬交易、遊戲類兌換碼等虛擬財產信息 |
2 | 個人健康生理信息 | 個人因生病醫治等產生的相關記錄,如病症、住院志、醫囑單、檢驗報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現病史、傳染病史等,以及與個人身體健康狀況產生的相關信息等 |
3 | 個人生物識別信息 | 個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部特徵等 |
4 | 個人身份信息 | 身份證、軍官證、護照、駕駛證、工作證、社保卡、居住證等 |
5 | 網絡身份標識信息 | 系統賬號、郵箱地址及與前述有關的密碼、口令、口令保護答案、用戶個人數字證書等 |
6 | 其他信息 | 個人電話號碼、性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內容、行蹤軌跡、網頁瀏覽記錄、住宿信息、精準定位信息等 |
歡迎大家分享更好的思路,熱切期待^^_^^ !