如果有兴趣了解更多信息,请观看以上视频。
个人信息保护合规推动官:吴婷 高级工程师软件测试工程师
(视频关键字幕)这个问题要分开看,首先我们要弄清楚什么是个人信息,然后根据这个定义,来对信息进行判定,哪些信息是个人信息,哪些信息不是。
首先,我们来看看国家的规定。
先看国家法律,根据《中华人民共和国个人信息保护法》,个人信息指的是,“是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
再来看国家标准,GB/T 35273-2020《信息安全技术 个人信息安全规范》,“是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”
我们来划一下关键词和重点,第一个关键词是个人,根据定义指的是自然人。根据2020年5月28日第十三届全国人民代表大会第三次会议通过的《中华人民共和国民法典》,跟自然人对应的有法人和非法人组织。个人信息主要指的是自然人有关的各种信息。
第二个关键词是信息。这个信息要以电子或者其他方式记录。比如保安室登记的访客纸质版信息、北京健康宝登记的个人电子信息等。
第三个关键词是已识别或者可识别,这个跟刚刚提到的国标里的定义对应起来,一个是识别,一个是关联。先说识别,识别分为两种情况:一个是单独识别,一个是与其他信息结合识别,识别什么?识别特定自然人身份或者反映特定自然人活动情况。
判定某项信息是否属于个人信息,主要考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性来识别出特定自然人,个人信息应有助于识别出特定个人。
二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。
符合上述两种情形之一的信息,均应判定为个人信息。(参考GB/T 35273-2020《信息安全技术 个人信息安全规范》)
如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
刚刚提到的《中华人民共和国个人信息保护法》第四条,对个人信息的定义最后一句话,提到“不包括匿名化处理后的信息。”
这里呢,跟大家继续分享一下什么是匿名化处理。
根据GB/T 35273-2020《信息安全技术 个人信息安全规范》,匿名化处理指的是,“通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。”
我们来理解一下这句话。首先匿名化处理是一个技术处理过程,做了什么技术处理呢?比如可能采取泛化的方法匿名化,让个人信息失去了被识别性或者关联性,而且这些信息不能被复原。所以呢, 既不能复原回原有的初始信息,又不能识别或者关联到个人,这样经过匿名化处理的信息,就不属于个人信息啦。
好的,我们再来简单回顾一下,什么是个人信息,哪些信息是个人信息。
“是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”——个保法
“是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”——国标
一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。
二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。
符合上述两种情形之一的信息,均应判定为个人信息。
好的,今天的分享就到这里,如果大家有疑问,可以关注我们的公众号“中国软件评测中心”,在对话框里私信留言即可,谢谢大家,我们是中国软件评测中心,“让个人信息保护更合规、更放心。”
