更新时间:2024-03-11 19:28
敏感数据是指泄漏后可能会给社会或个人带来严重危害的数据。包括个人隐私数据,如姓名、身份证号码、住址、电话、银行账号、邮箱、密码、医疗信息、教育背景等;也包括企业或社会机构不适合公布的数据,如企业的经营情况,企业的网络结构、IP地址列表等。
这些与个人生活、工作密切相关的信息受到不同行业和政府数据隐私法规的管制。如果负责存储和发布这些信息的企业或政府无法保证数据隐私,他们就会面临严重的财务、法律或问责风险,同时在用户信任方面蒙受巨大损失。
在大数据快速推动国家信息化发展的整体趋势下,第十三个五年规划纲要中明确提出:“实施国家大数据战略,推进数据资源开放共享。”然而,各行业数据资源中往往包含大量的敏感和重要信息,一旦泄露或遭到非法利用,将会给个人甚至是国家带来无法弥补的损失。同时,随着大数据分析的成熟和价值挖掘的深入,从看似安全的数据中还原出用户的敏感、隐私信息已不再困难。
A1一Fedaghi(2007)指出,个人数据的敏感程度是决定个人隐私感知的最重要因素之一,并且敏感度的高低可以决定数据保护的安全级别。还有学者发现,“收集有关个人商业交易信息的行为比收集个人行为信息的行为(如拍摄视频)更易被接受”。“数据敏感度会影响用户披露个人信息的意愿”。此外,数据敏感度还会影响到奖励信息收集的有效性,“只有当所收集的数据非敏感信息时,奖励方能减少用户的隐私担忧”。对于数据主体(datasubjects,亦即数据所有者),“未能确保自身敏感数据的安全性,将导致更多过失性的数据泄露”。敏感数据的丢失一直是组织和个人面对数据泄露事件时最大的担忧。总而言之,敏感数据可被视为隐私和数据保护的“核心领域”,不可加以限制。
关于如何鉴定和分类“敏感数据”这一“核心领域”,先前的研究发现则存在诸多矛盾之处。
首先,依据伊兹欧尼的观点,“测定数据的敏感程度应当反映所在社会的价值观”,敏感数据的判断标准受到该社会特定规范性文化的影响。但即便是文化传统相似的欧盟成员同之间依然存在一些差异,例如,在一些欧盟国家,“照片可被用来区分公民的民族/种族”,因而被视为敏感数据,而统筹所有成员国的欧盟数据保护工作小组(The Working Party)并不将网络照片归为敏感一类。
其次,即便是在同一个同家、州或城市,不同的法律或部门也可能对同一类数据的归类不尽相同。 以美国为例,《金融隐私权法》规定,客户的金融信息、银行账户信息被视为高度敏感数据,美国联邦贸易委员会(FTC)公布的五大敏感数据也包括财务信息,但HIPAA法案却将其排除在外。
再者,同一文化或社会中,敏感数据的标准还会随着时间而改变。不同年代的人有着不同的隐私期待或判断标准。正如巴布科克的形象对比,“千禧一代对隐私数据的感知与我辈不一定相同,正如路易斯·布兰代斯发明隐私权的原因在我辈看来是如此大惊小怪,因为我们生活在一个谈论他人性生活细节成为公共讨论调味品的时代”。
综上所述,需要对全球的隐私相关法律作系统而持续的审视,以建立统一的国际性敏感数据标准,从而区别对待某些类别的个人数据一一敏感数据,更好地予以保护。而毫无疑问的是,“确定数据敏感度具有现实可操作性,个人数据中的大多数敏感类型是可以被归类的”