作者:陳長松
北京網(wǎng)絡(luò)行業(yè)協(xié)會副秘書長、公安部第三研究所研究員
2019年4月10日,公安部網(wǎng)絡(luò)安全保衛(wèi)局聯(lián)合北京網(wǎng)絡(luò)行業(yè)協(xié)會、公安部第三研究所正式發(fā)布了《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》(以下簡稱“指南”),這份指南是在2018年11月30日公安部網(wǎng)絡(luò)安全保護(hù)局發(fā)布的《互聯(lián)網(wǎng)個人信息安全保護(hù)指引(征求意見稿)》基礎(chǔ)上,聽取和采納社會各方意見修改而成。本公眾號特邀指南主要起草人,就指引的若干內(nèi)容進(jìn)行解讀,供大家參考
一、編制背景
近年來,侵犯公民個人信息的現(xiàn)象日益增多,侵犯公民個人信息的違法犯罪行為也日益猖獗,更為嚴(yán)重的是,此類違法犯罪已經(jīng)形成了完整的利益鏈,甚至是灰色產(chǎn)業(yè)鏈,給人們?nèi)粘I顜砗艽蟮母蓴_,直至造成財產(chǎn)損失,甚至危及人身安全。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,互聯(lián)網(wǎng)行業(yè)持有個人信息的現(xiàn)象日益普遍,侵犯公民個人信息的違法犯罪也與計算機(jī)信息系統(tǒng)密切相關(guān)。鑒于此,公安機(jī)關(guān)結(jié)合偵辦侵犯公民個人信息網(wǎng)絡(luò)犯罪案件和安全監(jiān)督管理工作中掌握的情況,會同北京網(wǎng)絡(luò)行業(yè)協(xié)會和公安部第三研究所等單位,研究制定了本指南。
二、適用范圍
指南的第1章 范圍明確了適用對象為“個人信息持有者”,即對個人信息進(jìn)行控制和處理的組織或個人,指南正式版將征求意見稿的“互聯(lián)網(wǎng)企業(yè)”進(jìn)一步明確為“通過互聯(lián)網(wǎng)提供服務(wù)的企業(yè)”,并且包含了其他“使用專網(wǎng)或非聯(lián)網(wǎng)環(huán)境控制和處理個人信息的組織或個人”,也就是說除了傳統(tǒng)意義的互聯(lián)網(wǎng)企業(yè),也包含金融、電信、交通、教育、醫(yī)療等行業(yè),甚至存有大量公民個人信息的房產(chǎn)中介等企業(yè),都應(yīng)參考指南保護(hù)個人信息安全。
三、指南與一些法律法規(guī)的相關(guān)性
《網(wǎng)絡(luò)安全法》特別加強(qiáng)和明確了個人信息保護(hù)方面的要求,指南的業(yè)務(wù)流程主要要求按照《網(wǎng)絡(luò)安全法》編制的,一些細(xì)化要求參考了推薦性國家標(biāo)準(zhǔn)GB/T 35273—2017《信息安全技術(shù) 個人信息安全規(guī)范》;另外,《網(wǎng)絡(luò)安全法》指出國家實行網(wǎng)絡(luò)安全等級保護(hù)制度,指南的管理要求、技術(shù)要求和應(yīng)急處置,都與《網(wǎng)絡(luò)安全等級保護(hù)基本要求》(《信息系統(tǒng)安全等級保護(hù)基本要求》)相一致,履行保護(hù)義務(wù),“保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”為目標(biāo),這也是《網(wǎng)絡(luò)安全法》的明確要求。另一方面,是否存在“竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息”等行為,也是《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定(公安部令第151號)》的檢查重點之一。
四、指南與等級保護(hù)定級的關(guān)系
指南對于網(wǎng)絡(luò)安全等級保護(hù)級別的要求并非明確為三級。指南指出“應(yīng)滿足GB/T 22239相應(yīng)等級的要求,按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”,這與征求意見稿的“應(yīng)按照GB/T 22239—2008 7.1第三級的…”略有不同,就是說具體按照《網(wǎng)絡(luò)安全等級保護(hù)基本要求》的哪一級進(jìn)行保護(hù),則是需要經(jīng)過等級保護(hù)定級備案的過程。這就意味著,根據(jù)影響國家安全、社會秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權(quán)益的程度,涉及個人信息的數(shù)量和類別達(dá)到一定規(guī)模,仍需按照三級甚至更高級別進(jìn)行防護(hù)。
五、指南中的個人信息是否分級
指南中“個人信息”完全引用了《網(wǎng)絡(luò)安全法》的定義,與國家標(biāo)準(zhǔn)《個人信息安全規(guī)范》在個人信息之外還界定一個個人敏感信息不同,指南并不涉及個人敏感信息這個概念。這說明,指南提出的要求,是個人信息保護(hù)的最低要求。
六、關(guān)于匿名化的操作
在《個人信息安全規(guī)范》中,匿名化是指“通過對個人信息的技術(shù)處理,使得個人信息主體無法被識別,且處理后的信息不能被復(fù)原的過程。”這個術(shù)語與歐盟GDPR的匿名化說法有所不同。指南則不使用匿名化這個說法,直接引用《網(wǎng)絡(luò)安全法》“經(jīng)過處理無法識別特定個人且不能復(fù)原”的描述。
七、對于用戶畫像的要求
用戶畫像是互聯(lián)網(wǎng)企業(yè)最常用的營銷手段之一,涉及個人信息該如何合法合規(guī)使用是企業(yè)非常關(guān)心的問題。指南指出,“完全依靠自動化處理的用戶畫像技術(shù)應(yīng)用于精準(zhǔn)營銷、搜索結(jié)果排序、個性化推送新聞、定向投放廣告等增值應(yīng)用,可事先不經(jīng)用戶明確授權(quán),但應(yīng)確保用戶有反對或者拒絕的權(quán)利;如應(yīng)用于征信服務(wù)、行政司法決策等可能對用戶帶來法律后果的增值應(yīng)用,或跨網(wǎng)絡(luò)運營者使用,應(yīng)經(jīng)用戶明確授權(quán)方可使用其數(shù)據(jù)”。
八、指南與GB/T 22239和GB/T 35273的章節(jié)對比?
從具體內(nèi)容看,指南的第4章 管理機(jī)制、第5章 技術(shù)措施、第6章 業(yè)務(wù)流程、第7章 應(yīng)急處置,與《網(wǎng)絡(luò)安全等級保護(hù)基本要求》(《信息系統(tǒng)安全等級保護(hù)基本要求》)和《信息安全技術(shù) 個人信息安全規(guī)范》兩個國家標(biāo)準(zhǔn)從內(nèi)容和要求上做了對接,具體如下:
