《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》劍指何方

隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)應(yīng)用等技術(shù)的快速發(fā)展及“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃的有序推進(jìn)，信息的價(jià)值被充分挖掘，其安全性問(wèn)題受到廣泛關(guān)注。在經(jīng)濟(jì)利益驅(qū)使下，侵犯公民個(gè)人隱私的現(xiàn)象日益增多，相關(guān)違法犯罪甚至已經(jīng)形成完整的利益鏈，給人們?nèi)粘Ｉ�活帶�?lái)很大的困擾，甚至造成財(cái)產(chǎn)損失，危及人身安全。如何保障用戶個(gè)人信息安全，已成為網(wǎng)絡(luò)信息安全工作的重要一環(huán)。

近日，公安部網(wǎng)絡(luò)安全保衛(wèi)局聯(lián)合北京網(wǎng)絡(luò)行業(yè)協(xié)會(huì)、公安部第三研究所共同研究制定了《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》（以下簡(jiǎn)稱《指南》），就個(gè)人信息安全保護(hù)的管理機(jī)制、安全技術(shù)措施和業(yè)務(wù)流程等作出規(guī)定。綜合來(lái)看，該《指南》的出臺(tái)，主要有以下幾點(diǎn)實(shí)踐意義。

一、對(duì)建立個(gè)人信息持有者的網(wǎng)絡(luò)安全合規(guī)性具有很強(qiáng)的指導(dǎo)意義

《指南》明確了適用對(duì)象為“個(gè)人信息持有者”，即對(duì)個(gè)人信息進(jìn)行控制和處理的組織或個(gè)人�！吨改稀芬�(guī)定，“適用于個(gè)人信息持有者在個(gè)人信息生命周期處理過(guò)程中開展安全保護(hù)工作參考使用。適用于通過(guò)互聯(lián)網(wǎng)提供服務(wù)的企業(yè)，也適用于使用專網(wǎng)或非聯(lián)網(wǎng)環(huán)境控制和處理個(gè)人信息的組織或個(gè)人”。可見，只要涉及對(duì)于個(gè)人信息的控制與處理，均屬于《指南》的適用范圍。

在確定了主要規(guī)范主體的基礎(chǔ)上，《指南》分別從管理機(jī)制、技術(shù)措施、業(yè)務(wù)流程和應(yīng)急處理等方面提出具體的個(gè)人信息保護(hù)措施。特別是對(duì)管理制度、管理機(jī)構(gòu)、管理人員提出了明確指導(dǎo)建議；對(duì)個(gè)人信息的收集、保存、應(yīng)用、刪除、第三方委托處理、共享和轉(zhuǎn)讓、公開披露等業(yè)務(wù)提出全流程管理。較為完善的整體架構(gòu)，使得各有關(guān)部門單位可以《指南》為依據(jù)，建立本企業(yè)的用戶信息保護(hù)制度。

二、對(duì)個(gè)人信息持有者在管理機(jī)制建設(shè)方面提出了明確的指導(dǎo)建議

個(gè)人信息持有者要提升信息保護(hù)水平，就必須加強(qiáng)內(nèi)控機(jī)制建設(shè)，建立相應(yīng)的管理制度、設(shè)置管理機(jī)構(gòu)，配備管理人員，這樣才能提升對(duì)個(gè)人信息的保護(hù)能力，落實(shí)保護(hù)責(zé)任。

在管理制度方面，《指南》對(duì)管理制度的內(nèi)容、制定發(fā)布、執(zhí)行落實(shí)與評(píng)審改進(jìn)4個(gè)方面提出了要求。如在管理制度內(nèi)容方面，建議制定個(gè)人信息保護(hù)的總體方針和安全策略等相關(guān)規(guī)章制度與文件，制定工作人員對(duì)個(gè)人信息日常管理的操作規(guī)程，建立個(gè)人信息管理制度體系以及制定個(gè)人信息安全事件應(yīng)急預(yù)案。

在管理機(jī)構(gòu)方面，《指南》對(duì)管理機(jī)構(gòu)以及管理人員均提出了要求。如就管理機(jī)構(gòu)而言，《指南》提出應(yīng)設(shè)置指導(dǎo)和管理個(gè)人信息保護(hù)的工作機(jī)構(gòu)，明確定義機(jī)構(gòu)的職責(zé)；應(yīng)由最高管理者或授權(quán)專人負(fù)責(zé)個(gè)人信息保護(hù)的工作；等等。

在管理人員方面，《指南》要求加強(qiáng)對(duì)個(gè)人信息管理人員在錄用、離崗、考核、教育培訓(xùn)等方面的管理，并對(duì)具體的管理措施作出規(guī)定。值得一提的是，文件首次提出，要定期考核管理人員對(duì)相關(guān)工作的基礎(chǔ)知識(shí)、安全責(zé)任以及懲戒措施、法律法規(guī)等的理解，并記錄存檔考核記錄。

三、細(xì)化了個(gè)人信息全生命周期動(dòng)態(tài)調(diào)節(jié)的機(jī)制

針對(duì)我國(guó)目前個(gè)人信息全生命周期保護(hù)不足的狀況，《指南》提出在個(gè)人信息持有者收集、保存、應(yīng)用、委托處理、共享、轉(zhuǎn)讓和公開披露、刪除個(gè)人信息等環(huán)節(jié)的操作規(guī)程，在實(shí)際操作層面填補(bǔ)了空白，為提升公民個(gè)人信息全生命周期保護(hù)意識(shí)、企業(yè)合規(guī)操作提供了新的業(yè)務(wù)參照和行為指引。

針對(duì)個(gè)人信息在全生命流程的各個(gè)環(huán)節(jié)，《指南》的規(guī)定內(nèi)容各有側(cè)重。

1.收集環(huán)節(jié)：個(gè)人信息收集前，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則向被收集的個(gè)人信息主體公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍等；個(gè)人信息收集應(yīng)獲得個(gè)人信息主體的同意和授權(quán)，不應(yīng)收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息，不應(yīng)通過(guò)捆綁產(chǎn)品或服務(wù)各項(xiàng)業(yè)務(wù)功能等方式強(qiáng)迫收集個(gè)人信息；個(gè)人信息收集應(yīng)執(zhí)行收集前簽署的約定和協(xié)議，不應(yīng)超范圍收集。

2.保存環(huán)節(jié)：收集到的個(gè)人信息應(yīng)采取相應(yīng)的安全加密存儲(chǔ)等安全措施進(jìn)行處理；應(yīng)對(duì)保存的個(gè)人信息根據(jù)收集、使用目的、被收集人授權(quán)設(shè)置相應(yīng)的保存時(shí)限；應(yīng)對(duì)保存的個(gè)人信息在超出設(shè)置的時(shí)限后予以刪除�！�

3.應(yīng)用環(huán)節(jié)：個(gè)人信息的應(yīng)用，應(yīng)符合與個(gè)人信息主體簽署的相關(guān)協(xié)議和規(guī)定，不應(yīng)超范圍應(yīng)用個(gè)人信息；個(gè)人信息主體應(yīng)擁有控制本人信息的權(quán)限；完全依靠自動(dòng)化處理的用戶畫像技術(shù)應(yīng)用于精準(zhǔn)營(yíng)銷、搜索結(jié)果排序、個(gè)性化推送新聞、定向投放廣告等增值應(yīng)用，可事先不經(jīng)用戶明確授權(quán)，但應(yīng)確保用戶有反對(duì)或者拒絕的權(quán)利。

4.刪除環(huán)節(jié)：個(gè)人信息在超過(guò)保存時(shí)限之后應(yīng)進(jìn)行刪除，經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外；個(gè)人信息持有者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息時(shí)，個(gè)人信息主體要求刪除其個(gè)人信息的，應(yīng)采取措施予以刪除。

5.第三方委托處理環(huán)節(jié)：在對(duì)個(gè)人信息委托處理時(shí)，不應(yīng)超出該信息主體授權(quán)同意的范圍；在對(duì)個(gè)人信息的相關(guān)處理進(jìn)行委托時(shí)，應(yīng)對(duì)委托行為進(jìn)行個(gè)人信息安全影響評(píng)估；對(duì)個(gè)人信息進(jìn)行委托處理時(shí)，應(yīng)簽訂相關(guān)協(xié)議要求受托方符合本文件；應(yīng)向受托方進(jìn)行對(duì)個(gè)人信息數(shù)據(jù)的使用和訪問(wèn)的授權(quán)。

6.共享和轉(zhuǎn)讓環(huán)節(jié)：個(gè)人信息原則上不得共享、轉(zhuǎn)讓。

7.公開披露環(huán)節(jié)：個(gè)人信息原則上不得公開披露。如經(jīng)法律授權(quán)或具備合理事由確需公開披露時(shí)，應(yīng)充分重視風(fēng)險(xiǎn)。

四、采取了安全管理和技術(shù)雙輪驅(qū)動(dòng)的技術(shù)措施

《指南》意圖以構(gòu)建層層防御的縱深安全防護(hù)體系的方式，通過(guò)多重安全保障手段的實(shí)施，夯實(shí)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全防護(hù)，為用戶個(gè)人信息的采集、存儲(chǔ)、傳輸和使用提供安全可靠的載體。

在技術(shù)措施方面，《指南》首先規(guī)定了基本要求，提出個(gè)人信息處理系統(tǒng)其安全技術(shù)措施應(yīng)滿足GB/T 22239相應(yīng)等級(jí)的要求，按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。需要注意的是，《指南》并沒有一刀切地要求個(gè)人信息持有者按照最高等級(jí)實(shí)行安全保護(hù)措施，而是基于企業(yè)自身的具體情況，按照所對(duì)應(yīng)的等級(jí)開展安全保護(hù)。

此外，《指南》對(duì)通用要求、擴(kuò)展要求分別作出規(guī)定。就通用要求而言，規(guī)定了通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計(jì)算環(huán)境安全、應(yīng)用和數(shù)據(jù)安全。就擴(kuò)展要求而言，提出云計(jì)算安全擴(kuò)展要求和物聯(lián)網(wǎng)安全擴(kuò)展要求。

五、強(qiáng)調(diào)建立個(gè)人信息安全事件應(yīng)急處置機(jī)制

在傳統(tǒng)網(wǎng)絡(luò)安全事件監(jiān)控與應(yīng)急響應(yīng)的基礎(chǔ)上，《指南》進(jìn)一步加強(qiáng)對(duì)用戶個(gè)人信息安全事件的監(jiān)控與應(yīng)急響應(yīng)機(jī)制，確保在發(fā)生用戶個(gè)人信息突發(fā)事件時(shí)能夠及時(shí)、高效、順暢、規(guī)范地開展應(yīng)急處置。

《指南》要求，有關(guān)部門單位應(yīng)建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制，在個(gè)人信息處理過(guò)程中發(fā)生應(yīng)急事件時(shí)具有上報(bào)有關(guān)主管部門的機(jī)制；應(yīng)制定個(gè)人信息安全事件應(yīng)急預(yù)案；應(yīng)定期（至少每半年一次）組織內(nèi)部相關(guān)人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，使其掌握崗位職責(zé)和應(yīng)急處置策略和規(guī)程，留存應(yīng)急培訓(xùn)和應(yīng)急演練記錄；發(fā)現(xiàn)網(wǎng)絡(luò)存在較大安全風(fēng)險(xiǎn)，應(yīng)采取措施，進(jìn)行整改，消除隱患；等等。

總而言之，雖然該《指南》不具有強(qiáng)制力，僅為個(gè)人和企業(yè)在個(gè)人信息生命周期處理過(guò)程中開展安全保護(hù)工作參考使用，但鑒于我國(guó)個(gè)人信息保護(hù)立法欠缺的實(shí)際情況，《指南》第4章管理機(jī)制、第5章技術(shù)措施、第6章業(yè)務(wù)流程、第7章應(yīng)急處置等均與《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》）和《信息安全技術(shù) 個(gè)人信息安全規(guī)范》兩個(gè)國(guó)家標(biāo)準(zhǔn)在要求上做了對(duì)接，因此，《指南》的發(fā)布可以說(shuō)及時(shí)地填補(bǔ)了個(gè)人信息保護(hù)中諸多實(shí)操領(lǐng)域的規(guī)范空白，必將大大促進(jìn)網(wǎng)絡(luò)環(huán)境安全可靠。

 

（原載于《保密工作》雜志2019年第7期）