个人信息保护(Personal Information Protection)指的是采取一系列措施来确保个人的信息不被未经授权的收集、使用、披露、篡改或销毁,以保障个人的隐私和权益。
一、个人信息的范畴
通常包括但不限于姓名、身份证号码、地址、电话号码、电子邮件地址、健康状况、财务信息、生物识别信息(如指纹、面部识别)等能够单独或者与其他信息结合识别特定自然人身份的各种信息。
GB/T35273—2020 个人信息示例如下:
一级类别\t\t二级类别\t\t典型示例和说明
个人基本资料\t个人基本资料\t自然人基本情况信息,如个人姓名、生日、年龄、性别、民族、国籍、籍贯、政治面貌、婚姻状况、家庭关系、住址、个人电话号码、电子邮件地址、兴趣爱好等
个人身份信息\t个人身份信息\t可直接标识自然人身份的信息,如身份证、军官证、护照、驾驶证、工作证、社保卡、居住证、港澳台通行证等证件号码、证件照片或影印件等。其中特定身份信息属于敏感个人信息,具体参见敏感个人信息国家标准
个人生物识别信息\t个人生物识别信息\t个人面部识别特征、虹膜、指纹、基因、声纹、步态、耳廓、眼纹等生物特征识别信息,包括生物特征识别原始信息(如样本、图像)、比对信息(如特征值、模板)等
网络身份标识信息\t网络身份标识信息\t可标识网络或通信用户身份的信息及账户相关资料信息(金融账户除外),如用户账号、用户ID、即时通信账号、网络社交用户账号、用户头像、昵称、个性签名、IP地址等
个人健康生理信息\t健康状况信息\t与个人身体健康状况相关的个人信息,如体重、身高、体温、肺活量、血压、血型等
个人健康生理信息\t医疗健康信息\t个人因疾病诊疗等医疗健康服务产生的相关信息,如医疗就诊记录、生育信息、既往病史等,具体范围参见敏感个人信息国家标准
个人教育工作信息\t个人教育信息\t个人教育和培训的相关信息,如学历、学位、教育经历、学号、成绩单、资质证书、培训记录、奖惩信息、受资助信息等
个人教育工作信息\t个人工作信息\t个人求职和工作的相关信息,如个人职业、职位、职称、工作单位、工作地点、工作经历、工资、工作表现、简历、离退休状况等
个人财产信息\t金融账户信息\t金融账户及鉴别相关信息,如银行、证券等账户的账号、密码等,具体参见敏感个人信息国家标准
个人财产信息\t个人交易信息\t交易过程中产生的交易信息和消费记录,如交易订单、交易金额、支付记录、透支记录、交易状态、交易日志、交易凭证、账单,证券委托、成交、持仓信息,保单信息、理赔信息等
个人财产信息\t个人资产信息\t个人实体和虚拟财产信息,如个人收入状况、房产信息、存款信息、车辆信息、纳税额、公积金缴存明细、银行流水、虚拟财产(如虚拟货币、虚拟交易、游戏类兑换码等)等
个人资产信息\t个人借贷信息\t个人在借贷过程中产生的信息,如个人借款信息、还款信息、欠款信息、信贷记录、征信信息、担保情况等
身份鉴别信息\t身份鉴别信息\t用于个人身份鉴别的数据,如账号口令、数字证书、短信验证码、密码提示问题等
个人通信信息\t个人通信信息\t通信记录,短信、彩信、话音、电子邮件、即时通信等通信内容(如文字、图片、音频、视频、文件等),及描述个人通信的元数据(如通话时长)等
联系人信息\t联系人信息\t描述个人与关联方关系的信息,如通讯录、好友列表、群列表、电子邮件地址列表、家庭关系、工作关系、社交关系、父母或监护人信息、配偶信息等
个人上网记录\t个人操作记录\t个人在业务服务过程中的操作记录和行为数据,包括网页浏览记录、软件使用记录、点击记录、Cookie、发布的社交信息、点击记录、收藏列表、搜索记录、服务使用时间、下载记录等
个人上网记录\t业务行为数据\t用户使用某业务的行为记录(如游戏业务:用户游戏登录时间、最近充值时间、累计充值额度、用户通关记录)等
个人设备信息\t可变更的唯一设备识别码\tAndroid ID、广告标识符(IDFA)、应用开发商标识符(IDFV)、开放匿名设备标识符(OAID)等
个人设备信息\t不可变更的唯一设备识别码\t国际移动设备识别码(IMEI)、移动设备识别码(MEID)、设备媒体访问控制(MAC)地址、硬件序列号等
个人设备信息\t应用软件列表\t用户在终端上安装的应用程序列表,如每款应用软件的名称、版本等
个人位置信息\t粗略位置信息\t仅能定位到行政区、县级等的位置信息,如地区代码、城市代码等
个人位置信息\t行踪轨迹信息\t与个人所处地理位置、活动地点和活动轨迹等相关的信息,具体范围参见敏感个人信息国家标准
个人位置信息\t住宿出行信息\t个人住宿信息,及乘坐飞机、火车、汽车、轮船等交通出行信息等
个人标签信息\t个人标签信息\t基于个人上网记录等加工产生的个人用户标签、画像信息,如行为习惯、兴趣偏好等
个人运动信息\t个人运动信息\t步数、步频、运动时长、运动距离、运动方式、运动心率等
其他个人信息\t其他个人信息\t性取向、婚史、宗教信仰、未公开的违法犯罪记录等
二、个人信息保护的重要性
1. 维护个人的隐私权和尊严,每个人都有权控制自己的信息如何被使用。
2. 防止身份盗窃和欺诈,避免个人因信息泄露而遭受经济损失和其他危害。
3. 增强公众对数字服务和技术的信任,促进数字经济的健康发展。
三、个人信息保护的原则
1. 合法性、正当性和透明性原则:收集和处理个人信息应具有合法依据,且应明确告知个人相关信息。
2. 目的限制原则:个人信息的收集和处理应基于特定、明确和合法的目的。
3. 数据最小化原则:只收集和处理实现目的所需的最少个人信息。
4. 准确性原则:保证个人信息的准确和及时更新。
5. 存储期限限制原则:个人信息的存储时间不应超过实现目的所需的时间。
6. 安全保障原则:采取适当的技术和组织措施来保护个人信息的安全。
四、《个人信息保护法》
《中华人民共和国个人信息保护法》自2021年11月1日起施行。
该法对个人信息的处理进行了多方面的规范和约束:
- 明确个人信息的定义和处理范围:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括收集、存储、使用、加工、传输、提供、公开、删除等。
- 确立个人信息处理的基本原则:处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的,并应与处理目的直接相关,采取对个人权益影响最小的方式;同时要遵循公开、透明原则,保证个人信息的质量等。
- 规定个人信息处理的条件:符合取得个人的同意;为订立、履行个人作为一方当事人的合同所必需,或按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;法律、行政法规规定的其他情形等条件之一的,个人信息处理者方可处理个人信息。基于个人同意处理个人信息的,个人有权撤回其同意。
- 明确个人在个人信息处理活动中的权利:包括知情权、决定权、查阅复制权、可携带权、更正补充权、删除权、要求解释说明权等。
- 规范个人信息处理者的义务:个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全;在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项;委托处理、向他人提供、转移、公开个人信息等情形,也需遵循相应规定。
- 对国家机关处理个人信息作出特别规定:国家机关处理个人信息的活动,适用本法。
- 设定严格的法律责任。
《个人信息保护法》的出台,旨在保护个人信息权益,规范个人信息处理活动,促进个人信息的合理利用,对于维护公民的合法权益、保障社会的正常秩序具有重要意义。
五、个人信息保护的方法和措施:
1. 法律法规的制定和执行:国家出台相关法律法规。
2. 技术手段:如加密技术、访问控制、数据脱敏等,确保个人信息在存储、传输和处理过程中的安全。
3. 企业的自我约束:企业应建立完善的个人信息保护制度和流程,对员工进行培训。
4. 用户的自我保护意识:个人应注意保护自己的信息,不随意在不可信的平台上提供个人敏感信息。
总之,个人信息保护是当今数字化时代的重要议题,需要政府、企业和个人共同努力来实现。
