近两年出台了非常多的数据安全相关法规，我们先来梳理一下各类数据与这些法规的对应关系。

个人信息、个人数据、个人隐私、个人行为数据，到底有啥区别？

企业数据、平台数据、公共数据到底是什么关系？

数据分级分类具体要做什么？

民法典、个人信息保护法、数据安全法、网络安全法，甚至国家安全法，分别监管哪类数据？

相信大家也经常听到以上名词，但是总感觉难以清晰的梳理其边界和关系。

本文思路来源于之前流传的某份会议纪要中某专家的看法，增加了一些我自己的理解，希望能够帮助大家梳理清楚这些概念。

先看个人信息和数据。

个人信息和个人数据基本上是等价的概念，此处不再赘述，以下均用个人信息指代。

而个人隐私和个人行为数据显然又是包含在个人信息中的。

其中，个人隐私，在民法典和个人信息保护法中的表述又不尽相同，分别叫私密信息和敏感个人信息，两者并不能完全等同。

民法典“隐私”范畴中的“私密信息”既在主观上“不愿为他人知悉”的部分，又在客观上能够识别自然人的才是“个人信息”，而“敏感个人信息”则未必具备隐私权属性。
一个人的面部特征是敏感个人信息，但因为可以自主公开，不是私密信息；一个人的暗恋史是私密信息，但因为被公开之后不一定会导致受到歧视，所以不一定是敏感信息；一个人的性取向是敏感信息，但对于已经选择对外公开的人来说，肯定不是私密信息。近两年出台了非常多的数据安全相关法规，我们先来梳理一下各类数据与这些法规的对应关系。

https://mp.weixin.qq.com/s/pHq6NYTVuZt-R9Quc-x5fw

除开个人隐私之外的个人信息，又可分为基础个人信息和个人行为数据，其中，基础个人信息即无需与任何平台或企业交互即可知的基础数据，如一个人的性别、身高、体重、年龄等，个人行为数据是要与平台或企业产生交互才会产生的数据。

这也不难理解，因为数据是在数字世界中存在的生产要素，因此，个人行为数据中的“行为”，指的是个人在数字世界中的行为，人需要通过企业或平台进入数字世界，因此必然产生交互。

即：

那么企业数据和平台数据又有何区别呢？

一个平台上会有多个企业，比如金融行业，贷款超市上的每个借贷产品，交通出行行业，聚合打车平台上面有多个打车企业的产品。

因此，企业有的数据，平台理论上都有。当然，不排除有些企业不愿公开给平台的数据，通过加密方式传送，导致平台没有，而企业有。

再往上是公共数据，公共数据涵盖的范围最广，当然，也会有部分数据，由于企业或平台不愿公开，而无法成为公共数据。

红框内是企业有但平台没有的数据，黄框内是企业自有不愿公开的数据，蓝框内是平台自有，不愿公开的数据。

其中，个人隐私、个人信息、个人行为数据，都属于个人数据，而公共数据、平台数据、企业数据，包括个人行为数据，都属于商业数据。

有疑问的就在个人行为数据这块，既属于个人数据，又属于商业数据，为个人与企业共有，如企业或平台需使用（产生此数据的企业或平台），需征得个人的授权同意，如第三方企业或平台需使用，则需征得产生此数据的企业或平台，以及个人双方/三方的授权同意。

即：

此外，数据安全法中还提到了重要数据和核心数据，这两类数据，和之前的分类并不在一个维度，个人认为他们从纵向贯穿了除个人隐私外的所有数据。

参考滴滴事件，少数个体的个人信息和个人行为数据，并不具有重大数据或核心数据的特点，而当大量的个人数据、个人行为数据汇聚在一起，甚至和企业数据、平台数据、公共数据相互加工映射之后，就可能发生性质的改变，成为重要数据或核心数据。

即：

那么，各类涉及数据安全的法规，又如何对应这些数据呢？

民法典保护个人隐私，以私密信息为主体，个人信息保护法同样保护个人隐私，以敏感个人信息为主体，并且还涵盖其他个人信息。

数据安全法范围最广，涵盖所有的数据；网络安全法涉及所有线上的重要数据，国家安全法涉及所有的核心数据。

那么什么是数据分类分级呢？

分类，就是按照上面的框架，纵向的划分每个行业的各类数据，即：

那么具体来看，个人信息保护法有什么值得注意的地方呢？

在适用范围方面，和GDPR类似，不仅中国人在国内受保护，在国外也一样^[1]：

在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,有下列情形之一的,也适用本法。

敏感信息的定义，比GDPR更广，特别是金融账户及个人行踪等信息：

结合《个人信息安全规范》，还包括通信记录，通讯录，网页浏览记录，住宿信息等。

在告知同意时：

向第三方提供，处理敏感个人信息及跨境传输都需要获得数据主体的单独同意

在保存周期方面：

保存期限应当为实现处理目的所必要的最短时间。

这个期限，几乎所有的平台现在都没有明确。

关于匿名化：

第二十四条规定“个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份”

关于撤回权：

基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。不得因撤回而拒绝提供服务，应提供便捷的撤回同意方式，不影响撤回前已同意的个人信息处理效力。

更加全面，而且考虑得更加细致了，现在大部分互联网平台应该都是没有撤回选项的，或者说，没有便捷的撤回选项。

关于跨境^[2]：

个人认为是考虑了滴滴事件的影响。

此外，还明确了牵头部门：

总的来看，对于个人信息的保护愈加严格，更加保护消费者权益，同时，对于互联网平台的合规成本越来越高。

国内互联网，特别是移动互联网的飞速发展，得益于对于个人数据的深度挖掘，不过，随着个人隐私保护意识的觉醒，随着主要矛盾从发展转移为公民对于美好生活的追求，标志着野蛮生长的草莽时代已经过去，合规与安全才是接下来发展的重中之重。