我國個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系與實(shí)踐

個(gè)人信息保護(hù)是當(dāng)前被廣泛提及的熱門話題，2018年以來，隨著我國國家標(biāo)準(zhǔn)GB/T35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)的實(shí)施，以及歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）的生效，個(gè)人信息保護(hù)的熱度進(jìn)一步攀升。我國近年來高度重視個(gè)人信息保護(hù)方面的工作，從法律法規(guī)到標(biāo)準(zhǔn)規(guī)范，自上而下形成了較完善的個(gè)人信息保護(hù)治理體系，本文就我國個(gè)人信息保護(hù)的國家標(biāo)準(zhǔn)展開進(jìn)一步論述，以供參考。

一、我國個(gè)人信息保護(hù)相關(guān)法律法規(guī)

我國對于個(gè)人數(shù)據(jù)保護(hù)的立法起步較晚，目前還沒有專門的個(gè)人信息保護(hù)法，但在個(gè)人信息保護(hù)方面已有了相關(guān)的法律法規(guī)、司法解釋、部門規(guī)章和規(guī)范性文件，主要有《網(wǎng)絡(luò)安全法》《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《刑法修正案（九）》《消費(fèi)者權(quán)益保護(hù)法》《民法總則》《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》等。

2016年11月7日，全國人大常委會(huì)通過了《網(wǎng)絡(luò)安全法》，它是我國網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律，為我國的個(gè)人信息保護(hù)工作提供了法律依據(jù)�！毒W(wǎng)絡(luò)安全法》明確了“個(gè)人信息”的定義，“單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息”，記錄的載體可以是電子或者其他方式。第四十條明確了個(gè)人信息保護(hù)的責(zé)任主體是“網(wǎng)絡(luò)運(yùn)營者”，他們應(yīng)當(dāng)對“收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度”。第四十一至五十條規(guī)定了個(gè)人信息保護(hù)的基本原則，如第四十一條明確了網(wǎng)絡(luò)運(yùn)營者“公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意”體現(xiàn)公開透明和個(gè)人同意原則；“網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息”體現(xiàn)最少夠用原則；第四十二條“未經(jīng)被收集者同意，不得向他人提供個(gè)人信息”體現(xiàn)確保安全原則等�！毒W(wǎng)絡(luò)安全法》對于侵犯個(gè)人信息的行為給出了相關(guān)的處罰措施，第六章“法律責(zé)任”中明確規(guī)定“侵害個(gè)人信息依法得到保護(hù)的權(quán)利”的網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者，嚴(yán)重者可被“吊銷營業(yè)執(zhí)照”。

《網(wǎng)絡(luò)安全法》雖然專章規(guī)定了對個(gè)人信息的保護(hù)，但個(gè)人信息保護(hù)問題涉及社會(huì)的方方面面，需要全面成熟的專門立法來進(jìn)一步規(guī)范。在今年9月份第十三屆全國人大常委會(huì)立法規(guī)劃中，《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》均被列為第一類項(xiàng)目，屬于條件比較成熟、任期內(nèi)擬提請審議的法律草案。這兩部法律的頒布將進(jìn)一步指導(dǎo)我國的個(gè)人信息保護(hù)工作，全面提升全社會(huì)的個(gè)人信息保護(hù)水平。

二、我國個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系與主要內(nèi)容

《網(wǎng)絡(luò)安全法》以及正在立法規(guī)劃中的《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》一方面作為層級最高的法律指導(dǎo)著我國個(gè)人信息保護(hù)工作的開展；另一方面隨著網(wǎng)絡(luò)經(jīng)濟(jì)的不斷發(fā)展，各類個(gè)人信息泄露、濫用的事件層出不窮，法律具有概括性和滯后性，常常難以解決這些不斷涌現(xiàn)的新情況新案例。國家標(biāo)準(zhǔn)雖然與法律的屬性不同，但是國家標(biāo)準(zhǔn)是各相關(guān)方的共識(shí)，可以推動(dòng)法律法規(guī)的內(nèi)容具體落地，在指導(dǎo)企業(yè)實(shí)踐方面有著不容忽視的重要意義。

目前，我國正在形成以《個(gè)人信息安全規(guī)范》為基礎(chǔ)的國家標(biāo)準(zhǔn)體系，各項(xiàng)配套國家標(biāo)準(zhǔn)正在有序制定中。《個(gè)人信息安全規(guī)范》針對個(gè)人信息面臨的安全問題，規(guī)范個(gè)人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為，遏制個(gè)人信息非法收集、濫用、泄露等亂象，最大程度保障個(gè)人的合法權(quán)益和社會(huì)公共利益。其他正在編制和研究中的個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)還有：

《信息安全技術(shù)個(gè)人信息安全影響評估（征求意見稿）》規(guī)定了個(gè)人信息安全影響評估的基本概念、框架、方法和流程，給出了個(gè)人信息委托處理、轉(zhuǎn)讓、共享或公開披露前等幾種典型的場景，指導(dǎo)各類組織從影響個(gè)人自主決定權(quán)、引發(fā)差別性待遇、個(gè)人名譽(yù)受損或遭受精神壓力、個(gè)人財(cái)產(chǎn)受損4個(gè)維度進(jìn)行個(gè)人權(quán)益影響程度判斷，自行開展個(gè)人信息安全影響評估工作。

《信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化指南（送審稿）》建立了個(gè)人信息去標(biāo)識(shí)化工作的整體原則，包括合規(guī)、個(gè)人信息安全保護(hù)優(yōu)先、技術(shù)和管理相結(jié)合、充分應(yīng)用軟件工具、持續(xù)改進(jìn)；指導(dǎo)和規(guī)范了去標(biāo)識(shí)化的過程，包括確定目標(biāo)、識(shí)別標(biāo)識(shí)、處理標(biāo)識(shí)、驗(yàn)證批準(zhǔn)以及有效的監(jiān)控和審查；提供了可供參考的去標(biāo)識(shí)化的技術(shù)，包括統(tǒng)計(jì)技術(shù)、密碼技術(shù)、抑制技術(shù)、假名化技術(shù)、泛化技術(shù)、隨機(jī)化技術(shù)等；提供了常用去標(biāo)識(shí)化的模型，K-匿名模型、差分隱私模型以及去標(biāo)識(shí)化模型和技術(shù)的選擇，并給出了相應(yīng)的參考案例，為個(gè)人信息處理相關(guān)方提供去標(biāo)識(shí)化的指導(dǎo)，也為第三方機(jī)構(gòu)測評提供依據(jù)。

《數(shù)據(jù)出境安全評估指南（征求意見稿）》提出了個(gè)人信息和重要數(shù)據(jù)出境的安全評估原則、流程要點(diǎn)和方法，列舉了境內(nèi)網(wǎng)絡(luò)運(yùn)營者與境外機(jī)構(gòu)進(jìn)行商業(yè)交易或業(yè)務(wù)合作、網(wǎng)絡(luò)運(yùn)營者通過自身互聯(lián)網(wǎng)平臺(tái)為位于境外的客戶提供服務(wù)等幾類常見的業(yè)務(wù)場景，指導(dǎo)網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)從數(shù)據(jù)出境識(shí)別、合規(guī)性評估、威脅分析、安全保障能力評估等方面進(jìn)行數(shù)據(jù)出境安全評估，也為網(wǎng)絡(luò)運(yùn)營者進(jìn)行數(shù)據(jù)出境安全管理制度和能力建設(shè)提供參考。

《個(gè)人信息告知同意指南（研究）》在2017年四部委指導(dǎo)下的隱私條款評審工作的基礎(chǔ)上，借鑒29工作組關(guān)于GDPR下同意的指南，研究了影響告知同意的因素，主要有告知的內(nèi)容、告知的展現(xiàn)形式、告知的實(shí)際和頻率、同意的模式和實(shí)現(xiàn)形式、告知同意載體的法律文件類別等，擬解決細(xì)化告知同意的例外情形、告知同意的證據(jù)留存、告知的機(jī)器可讀性等問題。

《健康醫(yī)療信息安全指南（草案）》分析總結(jié)了國內(nèi)外健康醫(yī)療信息安全威脅，匯集總結(jié)國內(nèi)外健康醫(yī)療信息安全管理的最佳實(shí)踐和最新研究成果，為國內(nèi)健康醫(yī)療信息安全管理提供具體的指導(dǎo)，包括管理和技術(shù)方面的安全保障措施。

《個(gè)人信息安全工程指南（草案）》將個(gè)人信息保護(hù)納入信息系統(tǒng)工程中進(jìn)行考慮，用于解決在涉及個(gè)人信息的信息系統(tǒng)中處理隱私保護(hù)問題，實(shí)現(xiàn)可預(yù)測性、可管理性等目標(biāo)。

目前，國內(nèi)已經(jīng)掀起了對個(gè)人信息保護(hù)標(biāo)準(zhǔn)進(jìn)行研究的熱潮，就當(dāng)前我國個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系而言，其科學(xué)性、先進(jìn)性、完備性在進(jìn)一步提升，與國際隱私保護(hù)標(biāo)準(zhǔn)體系的差距也越來越小。

三、個(gè)人信息安全規(guī)范與GDPR要求的比較

《個(gè)人信息安全規(guī)范》系統(tǒng)、詳細(xì)地闡述了組織實(shí)踐中對個(gè)人信息處理所遵循的要求，且成為很多組織落實(shí)我國網(wǎng)絡(luò)安全法等法律法規(guī)要求的重要參考，也有很多機(jī)構(gòu)就標(biāo)準(zhǔn)內(nèi)容與歐盟GDPR做對比分析。嚴(yán)格意義上來說，標(biāo)準(zhǔn)與法規(guī)本身性質(zhì)不同、用途不同，兩者無法去比較，但是從內(nèi)容來看，兩者有著類似的條款要求，僅從內(nèi)容角度進(jìn)行比較也有助于增進(jìn)對條款的理解。

第一，從基本原則來看，個(gè)人信息安全規(guī)范與GDPR所提出的原則基本一致，如合法、公開、透明、最少夠用、確保安全、問責(zé)等，這也是國際上對個(gè)人信息保護(hù)的共識(shí)體現(xiàn)；第二，從個(gè)人信息處理的合法性基礎(chǔ)方面，GDPR給出了6個(gè)合法性事由，包括數(shù)據(jù)主體的同意、履行合同所必需、履行法定義務(wù)、保護(hù)個(gè)人重要利益、維護(hù)公共利益、追求正當(dāng)利益等，而個(gè)人信息安全規(guī)范是以

我國法律法規(guī)為基礎(chǔ)，因此仍然提出了以“同意”為基礎(chǔ)的措施，只不過對不同情形征得“同意”的方式方法進(jìn)行細(xì)化，也提出了免于同意的場景；第三，GDPR賦予數(shù)據(jù)主體更為廣泛的控制權(quán)，包括了知情、訪問、更正、刪除、限制處理、可攜帶、反對等權(quán)利，而個(gè)人信息安全規(guī)范中，首先，是就法律法規(guī)提出的訪問、更正和刪除基本權(quán)利予以細(xì)化；其次，基于個(gè)人信息保護(hù)的原則提出了撤回同意、注銷賬號(hào)、獲取副本等權(quán)利，其中對獲取個(gè)人信息的副本的范圍進(jìn)行限定，便于落地實(shí)施，這也是結(jié)合國情以及實(shí)踐綜合考慮的體現(xiàn)。

四、個(gè)人信息保護(hù)標(biāo)準(zhǔn)應(yīng)用實(shí)踐

從組織實(shí)踐角度出發(fā)，要落實(shí)標(biāo)準(zhǔn)要求，實(shí)現(xiàn)全面、可持續(xù)的合規(guī)管理，參考實(shí)踐思路如下�？傮w來看，組織應(yīng)從兩個(gè)角度全面考慮個(gè)人信息安全工作：一是對內(nèi)建立體系，二是對外接受監(jiān)督，然后從落實(shí)責(zé)任、關(guān)鍵工作、能力提升3方面逐步提升個(gè)人信息保護(hù)水平。此外，組織還可以將內(nèi)部優(yōu)秀實(shí)踐擴(kuò)大到多款產(chǎn)品或業(yè)務(wù)生態(tài)的上下游，以帶動(dòng)整體保護(hù)水平的提升。

在落實(shí)責(zé)任層面，其一，個(gè)人信息保護(hù)合規(guī)工作開展得順利與否直接取決于組織的負(fù)責(zé)人是否重視，是否提供了足夠的資源保障，標(biāo)準(zhǔn)強(qiáng)調(diào)了“組織應(yīng)明確其法定代表人或主要負(fù)責(zé)人對個(gè)人信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任”；其二，組織的多個(gè)部門應(yīng)進(jìn)行明確分工，形成以責(zé)任部門和責(zé)任人為核心的組織架構(gòu)；其三，責(zé)任部門和責(zé)任人應(yīng)根據(jù)組織所運(yùn)營的產(chǎn)品或服務(wù)的具體特點(diǎn)，制定個(gè)人信息保護(hù)的目標(biāo)、方針等策略性文件，以及相應(yīng)的工作計(jì)劃，比如可以選取一款典型產(chǎn)品就當(dāng)前情況與《個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)要求進(jìn)行差距分析，全方位識(shí)別弱點(diǎn)環(huán)節(jié)，為制訂工作計(jì)劃提供參考。

在建章立制層面，其一，建立和維護(hù)個(gè)人信息清單尤為重要，擁有完善的個(gè)人信息清單是組織全面、有效、持續(xù)實(shí)施的個(gè)人信息安全保障措施的重要前提，對組織所持有的個(gè)人信息可知、可查，對組織個(gè)人信息處理活動(dòng)可視、可溯，也是組織個(gè)人信息安全保障能力的重要體現(xiàn)；其二，實(shí)施個(gè)人信息安全影響評估（PIA）有助于組織提前發(fā)現(xiàn)和預(yù)防風(fēng)險(xiǎn)事件。比如，在產(chǎn)品設(shè)計(jì)、上線前進(jìn)行個(gè)人信息安全影響評估，分析對個(gè)人權(quán)益可能造成的影響，如個(gè)人的自主權(quán)利、引發(fā)差別待遇、精神壓力、財(cái)產(chǎn)損失等，進(jìn)一步采取相應(yīng)措施降低風(fēng)險(xiǎn)，為產(chǎn)品和業(yè)務(wù)穩(wěn)定上線運(yùn)營提供保障。就個(gè)人信息安全影響評估，國家標(biāo)準(zhǔn)《個(gè)人信息安全影響評估指南》正在制定中，進(jìn)一步提供了細(xì)致實(shí)用的參考；其三，發(fā)布隱私政策接受社會(huì)監(jiān)督。隱私政策是體現(xiàn)組織個(gè)人信息保護(hù)策略公開透明的重要舉措，是個(gè)人以及社會(huì)了解組織的窗口，組織應(yīng)基于上述步驟的工作成果，歸納總結(jié)相關(guān)策略、規(guī)則，形成完善的隱私政策，體現(xiàn)重視個(gè)人信息保護(hù)工作，主動(dòng)接受監(jiān)督的態(tài)度�！秱�(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)附錄中給出的隱私政策的模板可以作為參考。

在能力提升方面，組織應(yīng)建立個(gè)人信息保護(hù)的技術(shù)體系，采用技術(shù)手段和工具系統(tǒng)強(qiáng)化個(gè)人信息安全能力。其一，應(yīng)加強(qiáng)數(shù)據(jù)安全能力，避免和防止個(gè)人信息的泄露、損毀、丟失。加強(qiáng)數(shù)據(jù)安全能力已有很多現(xiàn)有途徑可選，比如采取參考國家有關(guān)數(shù)據(jù)安全能力成熟度標(biāo)準(zhǔn)強(qiáng)化安全能力，參照等級保護(hù)、云計(jì)算服務(wù)相關(guān)標(biāo)準(zhǔn)加強(qiáng)系統(tǒng)和平臺(tái)安全等；其二，積極采取去標(biāo)識(shí)化措施降低個(gè)人信息處理的風(fēng)險(xiǎn)，個(gè)人信息去標(biāo)識(shí)化是普遍被認(rèn)為最有效、簡便的降低風(fēng)險(xiǎn)的措施，組織應(yīng)該充分結(jié)合業(yè)務(wù)場景考慮使用此種方法，正在制定的國家標(biāo)準(zhǔn)《個(gè)人信息去標(biāo)識(shí)化指南》對去標(biāo)識(shí)化過程和管理措施給出了詳盡的參考；其三，應(yīng)逐步在產(chǎn)品中實(shí)現(xiàn)隱私設(shè)計(jì)（privacy-by-design）和默認(rèn)隱私（privacy-by-default）理念，將個(gè)人信息保護(hù)與產(chǎn)品功能體驗(yàn)相結(jié)合，實(shí)現(xiàn)個(gè)人信息主體權(quán)利實(shí)現(xiàn)的便捷化。此外，合規(guī)能力的展現(xiàn)也是組織應(yīng)該重視的工作，一方面有助于以合規(guī)推動(dòng)業(yè)務(wù)發(fā)展，另一方面可適當(dāng)減少對接監(jiān)督管理工作的成本。

總之，數(shù)據(jù)成為新時(shí)代發(fā)展的重要驅(qū)動(dòng)力，組織應(yīng)對數(shù)據(jù)安全合規(guī)問題慎重對待，以法律法規(guī)為準(zhǔn)繩，以標(biāo)準(zhǔn)規(guī)范為參考，建立符合自身發(fā)展需求的內(nèi)部治理方案，方能在數(shù)字時(shí)代凸顯自身優(yōu)勢、發(fā)揮數(shù)據(jù)價(jià)值。

（原載于《保密科學(xué)技術(shù)》雜志2018年10月刊）