个人信息、个人数据、个人隐私、个人行为数据，到底有啥区别？

企业数据、平台数据、公共数据到底是什么关系？

数据分级分类具体要做什么？

民法典、个人信息保护法、数据安全法、网络安全法，甚至国家安全法，分别监管哪类数据？

相信大家也经常听到以上名词，但是总感觉难以清晰的梳理其边界和关系。

本文思路来源于之前流传的某份会议纪要中某专家的看法，增加了一些我自己的理解，希望能够帮助大家梳理清楚这些概念。

先看个人信息和数据。

个人信息和个人数据基本上是等价的概念，此处不再赘述，以下均用个人信息指代。

而个人隐私和个人行为数据显然又是包含在个人信息中的。

其中，个人隐私，在民法典和个人信息保护法中的表述又不尽相同，分别叫私密信息和敏感个人信息，两者并不能完全等同。

民法典“隐私”范畴中的“私密信息”既在主观上“不愿为他人知悉”的部分，又在客观上能够识别自然人的才是“个人信息”，而“敏感个人信息”则未必具备隐私权属性。一个人的面部特征是敏感个人信息，但因为可以自主公开，不是私密信息；一个人的暗恋史是私密信息，但因为被公开之后不一定会导致受到歧视，所以不一定是敏感信息；一个人的性取向是敏感信息，但对于已经选择对外公开的人来说，肯定不是私密信息。

除开个人隐私之外的个人信息，又可分为基础个人信息和个人行为数据，其中，基础个人信息即无需与任何平台或企业交互即可知的基础数据，如一个人的性别、身高、体重、年龄等，个人行为数据是要与平台或企业产生交互才会产生的数据。

这也不难理解，因为数据是在数字世界中存在的生产要素，因此，个人行为数据中的“行为”，指的是个人在数字世界中的行为，人需要通过企业或平台进入数字世界，因此必然产生交互。

即：

那么企业数据和平台数据又有何区别呢？

一个平台上会有多个企业，比如金融行业，贷款超市上的每个借贷产品，交通出行行业，聚合打车平台上面有多个打车企业的产品。

因此，企业有的数据，平台理论上都有。当然，不排除有些企业不愿公开给平台的数据，通过加密方式传送，导致平台没有，而企业有。

再往上是公共数据，公共数据涵盖的范围最广，当然，也会有部分数据，由于企业或平台不愿公开，而无法成为公共数据。

红框内是企业有但平台没有的数据，黄框内是企业自有不愿公开的数据，蓝框内是平台自有，不愿公开的数据。

其中，个人隐私、个人信息、个人行为数据，都属于个人数据，而公共数据、平台数据、企业数据，包括个人行为数据，都属于商业数据。

有疑问的就在个人行为数据这块，既属于个人数据，又属于商业数据，为个人与企业共有。

如企业或平台需使用（产生此数据的企业或平台），需征得个人的授权同意；

如第三方企业或平台需使用，则需征得产生此数据的企业或平台，以及个人双方/三方的授权同意。

即：

此外，数据安全法中还提到了重要数据和核心数据，这两类数据，和之前的分类并不在一个维度，个人认为他们从纵向贯穿了除个人隐私外的所有数据。

参考滴滴事件，少数个体的个人信息和个人行为数据，并不具有重大数据或核心数据的特点，而当大量的个人数据、个人行为数据汇聚在一起，甚至和企业数据、平台数据、公共数据相互加工映射之后，就可能发生性质的改变，成为重要数据或核心数据。

即：

那么，各类涉及数据安全的法规，又如何对应这些数据呢？

民法典保护个人隐私，以私密信息为主体，个人信息保护法同样保护个人隐私，以敏感个人信息为主体，并且还涵盖其他个人信息。

数据安全法范围最广，涵盖所有的数据；网络安全法涉及所有线上的重要数据，国家安全法涉及所有的核心数据。

那么什么是数据分类分级呢？

分类，就是按照上面的框架，纵向的划分每个行业的各类数据，即：

而数据分级，则是需要在每个行业内，再把数据根据敏感程度分成不同的层级，横跨每种数据类型，就像把这个图放在XY轴平面上，每分一级就是往Z轴上盖一层楼，估计得把这图画成3D的才能表现出来……

以上就是我理解的各类数据和对应的监管法规/框架，可能有些细节仍然有失偏颇，希望大家多提意见，数据玩家将会继续优化，帮助大家更好的理解这一堆概念。