个人敏感信息识别授权规则说明
# 个人敏感信息识别授权规则说明
——个人敏感信息识别授权规则试用范围及详细说明
# 个人敏感信息识别授权规则的作用
个人敏感信息识别授权规则适用场景:
● 相关功能位于管理中心 > 安全管理 > 客户信息授权 ,需要先完成功能配置后该规则才能生效。
● 法规层面,在会话过程中企业如果需要获取客户个人敏感信息需要客户单独进行授权,管理工作台内置了一套“敏感词识别规则”,可以实时在会话过程中识别敏感词。在线客服咨询过程中客户在输入框编辑的信息,如果系统识别正在输入的信息包含敏感词(例如电话号码、身份证号等敏感信息),该客户正在输入的消息将不支持在人工客服的工作台进行预览;如果用户在聊天页面输入敏感信息(例如电话号码、身份证号等敏感信息)并且已经发送,在聊天页面将让客户进行在线客服咨询中客户发送信息、询前表单、留言消息提供弹窗提醒,要求客户进行二次确认,客服人员才可以看到聊天信息。
# 法规依据
基于《中华人民共和国个人信息保护法》及《信息安全技术个人信息安全规范》中关于个人信息保护的相关要求,明确该识别规则:
● 《中华人民共和国个人信息保护法》于 2021 年 11 月 1 日起正式实施。第二十八条明确“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨 迹等信息,以及不满十四周岁未成年人的个人信息”。第二十九条规定“处理敏感个人信息应当取得个人的单独同意”。
● GB/T 35273-2020《信息安全技术个人信息安全规范》中对于个人敏感信息的具体范围进行了举例,包括:个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、其他信息等五大类。
# 规则描述
基于《中华人民共和国个人信息保护法》和《信息安全技术个人信息安全规范》,系统通过正则识别和关键词两种方式进行在线会话中客户是否发送个人敏感信息的识别,其中:
● 正则识别主要通过正则规则进行身份证、护照、驾驶证、军官证、居住证、银行账号等证件号码的识别;
● 关键词识别基于关键词库,只要在对话过程中访客会话包含关键词即进行个人敏感信息单独授权提示,关键词库如下:
| 序号 | 个人敏感信息类别 | 涉及关键词 |
|---|---|---|
| 1 | 个人财产信息 | 银行账户、口令、存款、收款、房产、信贷、征信、交易、消费、虚拟货币、虚拟交易、兑换码、密码、信用报告、房屋 |
| 2 | 个人健康生理信息 | 病史、手术记录、病症、麻醉记录、住院志、用药记录、药物过敏、检验报告、病症、护理记录、食物过敏、生育 |
| 3 | 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别 |
| 4 | 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、社保卡、居住证 |
| 5 | 其他信息 | 通讯录、婚姻、宗教、信仰、犯罪记录、好友列表、定位、住宿信息、住宿记录、浏览记录、同性恋 |
# 规则影响说明
命中“识别规则”的客户消息,需要客户授权同意后才会发送到客服工作台进行展示,客户授权的有效期为24小时(即已授权的访客,在24小时内重新发起会话均不再校验及重复提示个人敏感信息授权),可能会带来如下影响:
● 如果客户在输入框编辑消息时命中“识别规则”(例如电话号码、身份证号等敏感信息)后,客服工作台的信息预览功能不可用;
● 如果客户在发送消息、询前表单、留言消息等命中“识别规则”(例如电话号码、身份证号等敏感信息)后,聊天页面会出现提醒弹窗,可能会影响用户整体咨询体验;
● 个人敏感信息识别范围主要参考通用法规要求,可能存在部分敏感信息无法识别或识别不准确的情况。
个人敏感信息识别后授权提示图:
