《互聯(lián)網(wǎng)個人信息安全保護指南》劍指何方

隨著云計算、大數(shù)據(jù)、移動應(yīng)用等技術(shù)的快速發(fā)展及“互聯(lián)網(wǎng)+”行動計劃的有序推進，信息的價值被充分挖掘，其安全性問題受到廣泛關(guān)注。在經(jīng)濟利益驅(qū)使下，侵犯公民個人隱私的現(xiàn)象日益增多，相關(guān)違法犯罪甚至已經(jīng)形成完整的利益鏈，給人們?nèi)粘Ｉ�活帶來很大的困擾，甚至造成財產(chǎn)損失，危及人身安全。如何保障用戶個人信息安全，已成為網(wǎng)絡(luò)信息安全工作的重要一環(huán)。

近日，公安部網(wǎng)絡(luò)安全保衛(wèi)局聯(lián)合北京網(wǎng)絡(luò)行業(yè)協(xié)會、公安部第三研究所共同研究制定了《互聯(lián)網(wǎng)個人信息安全保護指南》（以下簡稱《指南》），就個人信息安全保護的管理機制、安全技術(shù)措施和業(yè)務(wù)流程等作出規(guī)定。綜合來看，該《指南》的出臺，主要有以下幾點實踐意義。

一、對建立個人信息持有者的網(wǎng)絡(luò)安全合規(guī)性具有很強的指導(dǎo)意義

《指南》明確了適用對象為“個人信息持有者”，即對個人信息進行控制和處理的組織或個人�！吨改稀芬�(guī)定，“適用于個人信息持有者在個人信息生命周期處理過程中開展安全保護工作參考使用。適用于通過互聯(lián)網(wǎng)提供服務(wù)的企業(yè)，也適用于使用專網(wǎng)或非聯(lián)網(wǎng)環(huán)境控制和處理個人信息的組織或個人”�？梢�，只要涉及對于個人信息的控制與處理，均屬于《指南》的適用范圍。

在確定了主要規(guī)范主體的基礎(chǔ)上，《指南》分別從管理機制、技術(shù)措施、業(yè)務(wù)流程和應(yīng)急處理等方面提出具體的個人信息保護措施。特別是對管理制度、管理機構(gòu)、管理人員提出了明確指導(dǎo)建議；對個人信息的收集、保存、應(yīng)用、刪除、第三方委托處理、共享和轉(zhuǎn)讓、公開披露等業(yè)務(wù)提出全流程管理。較為完善的整體架構(gòu)，使得各有關(guān)部門單位可以《指南》為依據(jù)，建立本企業(yè)的用戶信息保護制度。

二、對個人信息持有者在管理機制建設(shè)方面提出了明確的指導(dǎo)建議

個人信息持有者要提升信息保護水平，就必須加強內(nèi)控機制建設(shè)，建立相應(yīng)的管理制度、設(shè)置管理機構(gòu)，配備管理人員，這樣才能提升對個人信息的保護能力，落實保護責(zé)任。

在管理制度方面，《指南》對管理制度的內(nèi)容、制定發(fā)布、執(zhí)行落實與評審改進4個方面提出了要求。如在管理制度內(nèi)容方面，建議制定個人信息保護的總體方針和安全策略等相關(guān)規(guī)章制度與文件，制定工作人員對個人信息日常管理的操作規(guī)程，建立個人信息管理制度體系以及制定個人信息安全事件應(yīng)急預(yù)案。

在管理機構(gòu)方面，《指南》對管理機構(gòu)以及管理人員均提出了要求。如就管理機構(gòu)而言，《指南》提出應(yīng)設(shè)置指導(dǎo)和管理個人信息保護的工作機構(gòu)，明確定義機構(gòu)的職責(zé)；應(yīng)由最高管理者或授權(quán)專人負責(zé)個人信息保護的工作；等等。

在管理人員方面，《指南》要求加強對個人信息管理人員在錄用、離崗、考核、教育培訓(xùn)等方面的管理，并對具體的管理措施作出規(guī)定。值得一提的是，文件首次提出，要定期考核管理人員對相關(guān)工作的基礎(chǔ)知識、安全責(zé)任以及懲戒措施、法律法規(guī)等的理解，并記錄存檔考核記錄。

三、細化了個人信息全生命周期動態(tài)調(diào)節(jié)的機制

針對我國目前個人信息全生命周期保護不足的狀況，《指南》提出在個人信息持有者收集、保存、應(yīng)用、委托處理、共享、轉(zhuǎn)讓和公開披露、刪除個人信息等環(huán)節(jié)的操作規(guī)程，在實際操作層面填補了空白，為提升公民個人信息全生命周期保護意識、企業(yè)合規(guī)操作提供了新的業(yè)務(wù)參照和行為指引。

針對個人信息在全生命流程的各個環(huán)節(jié)，《指南》的規(guī)定內(nèi)容各有側(cè)重。

1.收集環(huán)節(jié)：個人信息收集前，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則向被收集的個人信息主體公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍等；個人信息收集應(yīng)獲得個人信息主體的同意和授權(quán)，不應(yīng)收集與其提供的服務(wù)無關(guān)的個人信息，不應(yīng)通過捆綁產(chǎn)品或服務(wù)各項業(yè)務(wù)功能等方式強迫收集個人信息；個人信息收集應(yīng)執(zhí)行收集前簽署的約定和協(xié)議，不應(yīng)超范圍收集。

2.保存環(huán)節(jié)：收集到的個人信息應(yīng)采取相應(yīng)的安全加密存儲等安全措施進行處理；應(yīng)對保存的個人信息根據(jù)收集、使用目的、被收集人授權(quán)設(shè)置相應(yīng)的保存時限；應(yīng)對保存的個人信息在超出設(shè)置的時限后予以刪除�！�

3.應(yīng)用環(huán)節(jié)：個人信息的應(yīng)用，應(yīng)符合與個人信息主體簽署的相關(guān)協(xié)議和規(guī)定，不應(yīng)超范圍應(yīng)用個人信息；個人信息主體應(yīng)擁有控制本人信息的權(quán)限；完全依靠自動化處理的用戶畫像技術(shù)應(yīng)用于精準營銷、搜索結(jié)果排序、個性化推送新聞、定向投放廣告等增值應(yīng)用，可事先不經(jīng)用戶明確授權(quán)，但應(yīng)確保用戶有反對或者拒絕的權(quán)利。

4.刪除環(huán)節(jié)：個人信息在超過保存時限之后應(yīng)進行刪除，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外；個人信息持有者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息時，個人信息主體要求刪除其個人信息的，應(yīng)采取措施予以刪除。

5.第三方委托處理環(huán)節(jié)：在對個人信息委托處理時，不應(yīng)超出該信息主體授權(quán)同意的范圍；在對個人信息的相關(guān)處理進行委托時，應(yīng)對委托行為進行個人信息安全影響評估；對個人信息進行委托處理時，應(yīng)簽訂相關(guān)協(xié)議要求受托方符合本文件；應(yīng)向受托方進行對個人信息數(shù)據(jù)的使用和訪問的授權(quán)。

6.共享和轉(zhuǎn)讓環(huán)節(jié)：個人信息原則上不得共享、轉(zhuǎn)讓。

7.公開披露環(huán)節(jié)：個人信息原則上不得公開披露。如經(jīng)法律授權(quán)或具備合理事由確需公開披露時，應(yīng)充分重視風(fēng)險。

四、采取了安全管理和技術(shù)雙輪驅(qū)動的技術(shù)措施

《指南》意圖以構(gòu)建層層防御的縱深安全防護體系的方式，通過多重安全保障手段的實施，夯實網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全防護，為用戶個人信息的采集、存儲、傳輸和使用提供安全可靠的載體。

在技術(shù)措施方面，《指南》首先規(guī)定了基本要求，提出個人信息處理系統(tǒng)其安全技術(shù)措施應(yīng)滿足GB/T 22239相應(yīng)等級的要求，按照網(wǎng)絡(luò)安全等級保護制度的要求，履行安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。需要注意的是，《指南》并沒有一刀切地要求個人信息持有者按照最高等級實行安全保護措施，而是基于企業(yè)自身的具體情況，按照所對應(yīng)的等級開展安全保護。

此外，《指南》對通用要求、擴展要求分別作出規(guī)定。就通用要求而言，規(guī)定了通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計算環(huán)境安全、應(yīng)用和數(shù)據(jù)安全。就擴展要求而言，提出云計算安全擴展要求和物聯(lián)網(wǎng)安全擴展要求。

五、強調(diào)建立個人信息安全事件應(yīng)急處置機制

在傳統(tǒng)網(wǎng)絡(luò)安全事件監(jiān)控與應(yīng)急響應(yīng)的基礎(chǔ)上，《指南》進一步加強對用戶個人信息安全事件的監(jiān)控與應(yīng)急響應(yīng)機制，確保在發(fā)生用戶個人信息突發(fā)事件時能夠及時、高效、順暢、規(guī)范地開展應(yīng)急處置。

《指南》要求，有關(guān)部門單位應(yīng)建立健全網(wǎng)絡(luò)安全風(fēng)險評估和應(yīng)急工作機制，在個人信息處理過程中發(fā)生應(yīng)急事件時具有上報有關(guān)主管部門的機制；應(yīng)制定個人信息安全事件應(yīng)急預(yù)案；應(yīng)定期（至少每半年一次）組織內(nèi)部相關(guān)人員進行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，使其掌握崗位職責(zé)和應(yīng)急處置策略和規(guī)程，留存應(yīng)急培訓(xùn)和應(yīng)急演練記錄；發(fā)現(xiàn)網(wǎng)絡(luò)存在較大安全風(fēng)險，應(yīng)采取措施，進行整改，消除隱患；等等。

總而言之，雖然該《指南》不具有強制力，僅為個人和企業(yè)在個人信息生命周期處理過程中開展安全保護工作參考使用，但鑒于我國個人信息保護立法欠缺的實際情況，《指南》第4章管理機制、第5章技術(shù)措施、第6章業(yè)務(wù)流程、第7章應(yīng)急處置等均與《網(wǎng)絡(luò)安全等級保護基本要求》（《信息系統(tǒng)安全等級保護基本要求》）和《信息安全技術(shù) 個人信息安全規(guī)范》兩個國家標(biāo)準在要求上做了對接，因此，《指南》的發(fā)布可以說及時地填補了個人信息保護中諸多實操領(lǐng)域的規(guī)范空白，必將大大促進網(wǎng)絡(luò)環(huán)境安全可靠。

 

（原載于《保密工作》雜志2019年第7期）