查看原文
其他

一图理解我国数据安全监管框架

GClover 一个数据玩家的自我修养 2022-03-25

点击上方蓝字关注数据玩家


个人信息、个人数据、个人隐私、个人行为数据,到底有啥区别?


企业数据、平台数据、公共数据到底是什么关系?


数据分级分类具体要做什么?


民法典、个人信息保护法、数据安全法、网络安全法,甚至国家安全法,分别监管哪类数据?


相信大家也经常听到以上名词,但是总感觉难以清晰的梳理其边界和关系。


本文思路来源于之前流传的某份会议纪要中某专家的看法,增加了一些我自己的理解,希望能够帮助大家梳理清楚这些概念。

先看个人信息和数据。


个人信息和个人数据基本上是等价的概念,此处不再赘述,以下均用个人信息指代。


而个人隐私和个人行为数据显然又是包含在个人信息中的。


其中,个人隐私,在民法典和个人信息保护法中的表述又不尽相同,分别叫私密信息和敏感个人信息,两者并不能完全等同。 

民法典“隐私”范畴中的“私密信息”既在主观上“不愿为他人知悉”的部分,又在客观上能够识别自然人的才是“个人信息”,而“敏感个人信息”则未必具备隐私权属性。一个人的面部特征是敏感个人信息,但因为可以自主公开,不是私密信息;一个人的暗恋史是私密信息,但因为被公开之后不一定会导致受到歧视,所以不一定是敏感信息;一个人的性取向是敏感信息,但对于已经选择对外公开的人来说,肯定不是私密信息。   
隐私护卫队,公众号:网安寻路人第二十期DPO沙龙纪实:《个人信息保护法(草案)》专题研讨会之二


除开个人隐私之外的个人信息,又可分为基础个人信息和个人行为数据,其中,基础个人信息即无需与任何平台或企业交互即可知的基础数据,如一个人的性别、身高、体重、年龄等,个人行为数据是要与平台或企业产生交互才会产生的数据。


这也不难理解,因为数据是在数字世界中存在的生产要素,因此,个人行为数据中的“行为”,指的是个人在数字世界中的行为,人需要通过企业或平台进入数字世界,因此必然产生交互。


即:



那么企业数据和平台数据又有何区别呢?


一个平台上会有多个企业,比如金融行业,贷款超市上的每个借贷产品,交通出行行业,聚合打车平台上面有多个打车企业的产品。


因此,企业有的数据,平台理论上都有。当然,不排除有些企业不愿公开给平台的数据,通过加密方式传送,导致平台没有,而企业有。


再往上是公共数据,公共数据涵盖的范围最广,当然,也会有部分数据,由于企业或平台不愿公开,而无法成为公共数据。



红框内是企业有但平台没有的数据,黄框内是企业自有不愿公开的数据,蓝框内是平台自有,不愿公开的数据。


其中,个人隐私、个人信息、个人行为数据,都属于个人数据,而公共数据、平台数据、企业数据,包括个人行为数据,都属于商业数据。


有疑问的就在个人行为数据这块,既属于个人数据,又属于商业数据,为个人与企业共有。


如企业或平台需使用(产生此数据的企业或平台),需征得个人的授权同意;


如第三方企业或平台需使用,则需征得产生此数据的企业或平台,以及个人双方/三方的授权同意。


即:


此外,数据安全法中还提到了重要数据和核心数据,这两类数据,和之前的分类并不在一个维度,个人认为他们从纵向贯穿了除个人隐私外的所有数据。


参考滴滴事件,少数个体的个人信息和个人行为数据,并不具有重大数据或核心数据的特点,而当大量的个人数据、个人行为数据汇聚在一起,甚至和企业数据、平台数据、公共数据相互加工映射之后,就可能发生性质的改变,成为重要数据或核心数据。


即:



那么,各类涉及数据安全的法规,又如何对应这些数据呢?


民法典保护个人隐私,以私密信息为主体,个人信息保护法同样保护个人隐私,以敏感个人信息为主体,并且还涵盖其他个人信息。


数据安全法范围最广,涵盖所有的数据;网络安全法涉及所有线上的重要数据,国家安全法涉及所有的核心数据。



那么什么是数据分类分级呢?


分类,就是按照上面的框架,纵向的划分每个行业的各类数据,即:



而数据分级,则是需要在每个行业内,再把数据根据敏感程度分成不同的层级,横跨每种数据类型,就像把这个图放在XY轴平面上,每分一级就是往Z轴上盖一层楼,估计得把这图画成3D的才能表现出来……


以上就是我理解的各类数据和对应的监管法规/框架,可能有些细节仍然有失偏颇,希望大家多提意见,数据玩家将会继续优化,帮助大家更好的理解这一堆概念。






你点的每个好看,我都认真当成了喜欢

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存