隐私保护国际标准进展与简析
作者:谢宗晓 李松涛
来源:《中国质量与标准导报》2019年第01期
个人敏感信息
        1 隐私的定义与范围
        在GB/T 35273—2017《信息安全技术 个人信息安全规范》中没有专门定义“隐私”,但是在其附录B(个人敏感信息判定)中提出:“通常情况下,14周岁以下(含)儿童的个人信息和自然人隐私信息属于个人敏感信息。”可见,隐私信息作为个人敏感信息的子集处理。GB/T 35273—2017中将个人敏感信息定义为:
        “一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
        注1:个人敏感信息包括身份证号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下(含)儿童的个人信息等。”
        在ISO/IEC 29100:2011《信息技术 安全技术 隐私框架》等国际标准中,实际也没有给出“隐私”的准确定义,主要定义的是个人识别信息(Personally Identifiable Information,PII)。但其中有相关定义,例如,隐私违反、隐私控制和隐私策略等。
        此外,在ISO/TS 14441:2013《健康信息学 用于一致性评估的EHR系统安全与隐私要求》和ISO/TR 18638:2017《健康信息学 卫生保健组织健康信息隐私教育指南》等标准中定义了“信息隐私(information privacy)”,在ISO/TS 19299:2015《电子收费 安全框架》和ISO/TS 21719-2:2018《电子收费 车载设备个性化 第2部分:利用专用短程通讯》等标准中,将同样的概念定义为“数据隐私(data privacy)”,但这些定义都是在各自的应用情境(context)中,不是非常通用。