NIST SP 800-122（个人身份信息机密性保护指南）

第一步：为什么需要这个标准？——PII泄露的现实危机

在日常网络生活中，你的姓名、身份证号、手机号、住址、社保号、银行账号等，都属于个人身份信息（PII，Personally Identifiable Information）。一旦泄露，可能导致身份盗用、金融诈骗、骚扰电话等严重后果。但长期以来，各机构对“哪些信息算PII”“如何保护”“泄露了怎么办”缺乏统一理解。NIST SP 800-122正是为解决这一问题而发布的一份美国联邦指南，帮助组织识别并保护PII的机密性。

第二步：PII的精确定义——不仅仅是“姓名+身份证”

该标准将PII定义为：任何能够直接或间接识别特定个人的信息。包括两类：

1. 直接标识符：单独使用就能确定个人身份，如：姓名、社保号、驾照号、护照号、生物特征（指纹/人脸）。
2. 间接标识符：单独不能确定身份，但与其他信息结合后可以识别个人，如：出生日期、邮政编码、性别、种族、工作单位、IP地址、设备MAC地址。

关键点：间接标识符的组合也可能构成PII。例如“1985年6月1日出生的男性，住在某小镇，在某工厂上班”——即便没有姓名，也可能唯一确定一个人。

第三步：机密性保护的三个核心维度

该标准聚焦于机密性（即防止未授权访问），而非完整性和可用性。它提出三个操作层面：

1. 识别（Identify）：组织必须盘点所有存储、处理、传输的PII。包括数据库、备份磁带、日志文件、云存储、打印文档、甚至员工笔记本上的临时文件。
2. 分类（Categorize）：根据PII的敏感性和泄露风险分级。例如：
   • 低敏感：公开可获取的姓名+工作电话。
   • 中敏感：内部员工通讯录（含家庭地址）。
   • 高敏感：社保号+银行账号+医疗记录。
3. 保护（Protect）：根据分类结果采用不同强度的安全控制措施（见下一步）。

第四步：具体保护措施——从“最小必要”到“强制加密”

标准详细列出了技术和管理措施，核心原则包括：

• 最小化收集与保留：只收集完成业务所必需的PII，并在不再需要时彻底销毁（如匿名化或物理销毁硬盘）。
• 访问控制：严格限制谁可以访问PII，采用“需知原则”（need-to-know）。例如：客服人员只能查看客户姓名和订单号，无权查看社保号。
• 加密：所有存储的PII（静态数据）和传输中的PII（网络传输）必须使用FIPS 140-2验证的加密算法（如AES-256）。
• 审计日志：记录所有对PII的访问、修改、删除操作，日志至少保留3年。
• 数据脱敏：在测试或开发环境中使用伪造的PII替代真实数据。

第五步：泄露通知要求——发现后能等多久？

标准明确规定：一旦发现PII泄露，组织必须在4小时内启动内部响应流程，并在不迟于发现后24小时通知受影响的个人和监管机构（如美国联邦贸易委员会FTC）。通知内容必须包括：

• 泄露了哪些PII字段
• 泄露发生的大致时间窗口
• 已采取和将采取的补救措施
• 受害者可采取的自我保护步骤（如冻结信用报告）

第六步：与其他标准的关系——不是孤岛

NIST SP 800-122经常与以下标准配合使用：

• NIST SP 800-53（安全与隐私控制基线）：其中IA系列（识别与认证）、AU系列（审计）控制项可直接用于保护PII。
• NIST SP 800-88（介质清除指南）：用于安全销毁存储过PII的硬盘、磁带。
• GDPR / CCPA（欧盟/加州隐私法）：虽然法律体系不同，但技术控制措施可复用。

第七步：真实场景演练——如果我是企业IT管理员

假设公司数据库被SQL注入攻击，泄露了10万条客户记录。按NIST SP 800-122：

1. 立即隔离受影响系统，保留日志和内存镜像（用于取证）。
2. 确定泄露的PII类型：如果只有姓名+邮箱，属于低风险；如果包括社保号+驾照号，属于高风险。
3. 高风险情况下：4小时内启动通知流程，24小时内通知客户和监管机构。
4. 事后改进：检查是否违反了“最小化收集”原则（比如为何要存社保号？是否可用其他替代标识符？），并对数据库实施强制加密和脱敏测试数据。

第八步：常见误解澄清

• 误解1：“匿名化数据就不是PII。” → 错误。如果匿名数据可被重新识别（例如通过链接攻击），仍属于PII。
• 误解2：“只有美国机构需要遵守。” → 该标准虽由美国NIST发布，但全球许多企业将其作为最佳实践参考，尤其是处理美国公民数据的组织。
• 误解3：“加密后就无需访问控制。” → 错误。加密仅解决存储和传输中的机密性，但解密后的数据在内存中或授权访问过程中仍需严格权限控制。