SPII 敏感个人可识别信息
Sensitive Personally Identifiable Information。是 PII 的高敏感子集,泄露代价更大,法律和合规要求更严格。
典型 SPII:
- 身份证号 / Social Security Number / Tax File Number
- 银行账户 / 信用卡号
- 医疗健康记录
- 生物特征(指纹、人脸、DNA)
- 性取向、宗教信仰、种族、政治观点(部分法域)
- 儿童的 PII(几乎所有法域都视为敏感)
SPII vs PII 的处理差异
| 维度 | PII | SPII |
|---|---|---|
| 存储 | 一般加密 | 强制加密 + 隔离 |
| 访问 | 角色控制 | 最小权限 + 审计日志 |
| 传输 | TLS | TLS + 端到端加密 |
| 保留期 | 业务需要 | 必须最短 |
| 泄露报告 | 部分场景必报 | 几乎都要报且时限严 |
公司层面,SPII 通常只允许极少数岗位接触,而且每次访问都留痕。