1.2.4 基于监管的数据分类

基于上述章节介绍的数据分类框架和实施步骤，按照欧盟标准，对于数据的顶层分类可将个人数据分为财务和金融数据、社交数据、外在特征或生理数据、内在特征数据等。

2016年4月14日，欧洲议会投票通过了《通用数据保护条例》[3]（GDPR），该法规包括91个条文，共计204页，于2018年5月25日正式生效。GDPR前身是欧盟在1995年制定的《数据保护法令》[16]。该条例的通过，标志着欧盟对个人信息的保护及其监管达到了前所未有的高度。对比世界各国的个人数据保护法律，该条例可看作世界上最严格的数据保护法之一。

《通用数据保护条例》中包含个人数据和敏感数据的定义。其中，涉及以下一种或多种类别的个人数据属于敏感数据。

（1）基本的身份信息，如姓名、地址和身份证号码等。

（2）网络数据，如位置、IP地址、Cookie数据和RFID标签等。

（3）医疗保健和遗传数据。

（4）生物识别数据，如指纹、虹膜等。

（5）种族或民族数据。

（6）宗教/哲学信仰。

（7）政治观点。

（8）涉及健康、性生活或性取向的数据。

GDPR对于敏感数据的定义，大部分继承了早期的荷兰《个人数据保护法》（Personal Data Protection Act）[18]中的类别，仅在医疗保健、遗传数据和生物识别数据等维度做了增补和修订。

《通用数据保护条例》的颁布和实施，在全球范围内产生了广泛而深刻的影响。其立法的原则，对于个人数据的定义和分类，以及严格的保护要求，都深刻地影响了其后各个国家和地区的个人数据保护立法。

GDPR的定义侧重原则，且比较宽泛。其他个人保护的法律法规也有类似或不同的要求。从总体维度，可以将个人数据划分为如下的类别。

1.财务和金融数据

财务和金融数据是指与个人的财务状况有关的数据。除授予个人数据保护有关的法律约束外，此类数据还可能受到其他的监管法律，如消费者保护相关的法律、金融监管相关的法律的约束。

财务和金融数据的类别与示例见表1-3。

2.社交数据

社交数据包括作为“社会人”的各个维度的数据。提供社交服务、通信服务和公共服务的组织需要重点关注此类数据。此类数据涉及的监管约束非常繁杂，需要根据所在国家和地区的相关监管要求进一步识别。

社交数据的类别与示例见表1-4。

3.外在特征或生理数据

此类别包含大量归属于“自然人”的各个维度的数据。提供通信服务、互联网服务、医疗和健康服务、公共服务的组织需要重点关注此类数据。针对医疗和健康数据，常有更严格的监管要求。

外在特征或生理数据的类别与示例见表1-5。

此外，与个人性生活关联的私密信息也属于此类。

4.内在特征数据

此类别包含特定于每个个人的数据。内在特征数据的类别与示例见表1-6。

除上述类别外，还有历史数据和跟踪数据两种类别。前者是指在个人的生命中发生过且影响到该个人的事情。跟踪数据既包含设备标识（IP地址、MAC地址、浏览器指纹）等可以用于跟踪到具体个人的数据，也包括个人的位置信息（经纬度、所在地区）、联系方式（手机号、电子邮件地址）等。

以上述个人数据的分类为框架，结合实际收集和控制的数据，组织可以定义出适合组织情况的数据类别和数据清单，并可遵照监管要求，实施相应的保护措施。