个人敏感信息识别授权规则说明
# 个人敏感信息识别授权规则说明
——个人敏感信息识别授权规则试用范围及详细说明
# 个人敏感信息识别授权规则的作用
个人敏感信息识别授权规则适用场景:
● 相关功能位于管理中心 > 信息安全管理 > 用户信息授权 > 自有渠道 > 发送敏感信息授权,需要先完成功能配置后该规则才能生效。
● 法规层面,在会话过程中企业如果需要获取用户个人敏感信息需要用户单独进行授权,管理工作台提供了一套规则在会话过程中识别敏感词并提醒用户进行敏感信息授权。
# 法规依据
基于《中华人民共和国个人信息保护法》及《信息安全技术个人信息安全规范》中关于个人信息保护的相关要求,明确该识别规则:
● 《中华人民共和国个人信息保护法》于 2021 年 11 月 1 日起正式实施。第二十八条明确“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨 迹等信息,以及不满十四周岁未成年人的个人信息”。第二十九条规定“处理敏感个人信息应当取得个人的单独同意”。
● GB/T 35273-2020《信息安全技术个人信息安全规范》中对于个人敏感信息的具体范围进行了举例,包括:个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、其他信息等五大类。
# 规则描述
基于《中华人民共和国个人信息保护法》和《信息安全技术个人信息安全规范》,系统通过正则识别和关键词两种方式进行在线会话中客户是否发送个人敏感信息的识别,其中:
● 正则识别主要通过正则规则进行身份证、护照、驾驶证、军官证、居住证、银行账号等证件号码的识别;
● 关键词识别基于关键词库,只要在对话过程中访客会话包含关键词即进行个人敏感信息单独授权提示,关键词库如下:
| 序号 | 个人敏感信息类别 | 涉及关键词 |
|---|---|---|
| 1 | 个人财产信息 | 银行账户、口令、存款、收款、房产、信贷、征信、交易、消费、虚拟货币、虚拟交易、兑换码、密码、信用报告、房屋 |
| 2 | 个人健康生理信息 | 病史、手术记录、病症、麻醉记录、住院志、用药记录、药物过敏、检验报告、病症、护理记录、食物过敏、生育 |
| 3 | 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别 |
| 4 | 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、社保卡、居住证 |
| 5 | 其他信息 | 通讯录、婚姻、宗教、信仰、犯罪记录、好友列表、定位、住宿信息、住宿记录、浏览记录、同性恋 |
# 规则影响说明
命中“识别规则”的客户消息,需要客户授权同意后才会发送到客服工作台进行展示,客户授权的有效期为24小时(即已授权的访客,在24小时内重新发起会话均不再校验及重复提示个人敏感信息授权),可能会带来如下影响:
● 命中“识别规则”后聊天页面会出现提醒弹窗,可能会影响用户整体咨询体验;
● 个人敏感信息识别范围主要参考通用法规要求,可能存在部分敏感信息无法识别或识别不准确的情况。
个人敏感信息识别后授权提示图:
