國家保密局網(wǎng)站>>保密科技

我國個人信息保護(hù)標(biāo)準(zhǔn)體系與實(shí)踐

2018年12月29日    來源:國家保密科技測評中心【字體: 打印

個人信息保護(hù)是當(dāng)前被廣泛提及的熱門話題,2018年以來,隨著我國國家標(biāo)準(zhǔn)GB/T35273-2017《信息安全技術(shù)個人信息安全規(guī)范》標(biāo)準(zhǔn)的實(shí)施,以及歐盟通用數(shù)據(jù)保護(hù)條例(GDPR)的生效,個人信息保護(hù)的熱度進(jìn)一步攀升。我國近年來高度重視個人信息保護(hù)方面的工作,從法律法規(guī)到標(biāo)準(zhǔn)規(guī)范,自上而下形成了較完善的個人信息保護(hù)治理體系,本文就我國個人信息保護(hù)的國家標(biāo)準(zhǔn)展開進(jìn)一步論述,以供參考。

一、我國個人信息保護(hù)相關(guān)法律法規(guī)

我國對于個人數(shù)據(jù)保護(hù)的立法起步較晚,目前還沒有專門的個人信息保護(hù)法,但在個人信息保護(hù)方面已有了相關(guān)的法律法規(guī)、司法解釋、部門規(guī)章和規(guī)范性文件,主要有《網(wǎng)絡(luò)安全法》《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《刑法修正案(九)》《消費(fèi)者權(quán)益保護(hù)法》《民法總則》《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等。

2016年11月7日,全國人大常委會通過了《網(wǎng)絡(luò)安全法》,它是我國網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律,為我國的個人信息保護(hù)工作提供了法律依據(jù)!毒W(wǎng)絡(luò)安全法》明確了“個人信息”的定義,“單獨(dú)或者與其他信息結(jié)合識別自然人個人身份的各種信息”,記錄的載體可以是電子或者其他方式。第四十條明確了個人信息保護(hù)的責(zé)任主體是“網(wǎng)絡(luò)運(yùn)營者”,他們應(yīng)當(dāng)對“收集的用戶信息嚴(yán)格保密,并建立健全用戶信息保護(hù)制度”。第四十一至五十條規(guī)定了個人信息保護(hù)的基本原則,如第四十一條明確了網(wǎng)絡(luò)運(yùn)營者“公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍,并經(jīng)被收集者同意”體現(xiàn)公開透明和個人同意原則;“網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息”體現(xiàn)最少夠用原則;第四十二條“未經(jīng)被收集者同意,不得向他人提供個人信息”體現(xiàn)確保安全原則等。《網(wǎng)絡(luò)安全法》對于侵犯個人信息的行為給出了相關(guān)的處罰措施,第六章“法律責(zé)任”中明確規(guī)定“侵害個人信息依法得到保護(hù)的權(quán)利”的網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者,嚴(yán)重者可被“吊銷營業(yè)執(zhí)照”。

《網(wǎng)絡(luò)安全法》雖然專章規(guī)定了對個人信息的保護(hù),但個人信息保護(hù)問題涉及社會的方方面面,需要全面成熟的專門立法來進(jìn)一步規(guī)范。在今年9月份第十三屆全國人大常委會立法規(guī)劃中,《個人信息保護(hù)法》和《數(shù)據(jù)安全法》均被列為第一類項目,屬于條件比較成熟、任期內(nèi)擬提請審議的法律草案。這兩部法律的頒布將進(jìn)一步指導(dǎo)我國的個人信息保護(hù)工作,全面提升全社會的個人信息保護(hù)水平。

二、我國個人信息保護(hù)標(biāo)準(zhǔn)體系與主要內(nèi)容

《網(wǎng)絡(luò)安全法》以及正在立法規(guī)劃中的《個人信息保護(hù)法》和《數(shù)據(jù)安全法》一方面作為層級最高的法律指導(dǎo)著我國個人信息保護(hù)工作的開展;另一方面隨著網(wǎng)絡(luò)經(jīng)濟(jì)的不斷發(fā)展,各類個人信息泄露、濫用的事件層出不窮,法律具有概括性和滯后性,常常難以解決這些不斷涌現(xiàn)的新情況新案例。國家標(biāo)準(zhǔn)雖然與法律的屬性不同,但是國家標(biāo)準(zhǔn)是各相關(guān)方的共識,可以推動法律法規(guī)的內(nèi)容具體落地,在指導(dǎo)企業(yè)實(shí)踐方面有著不容忽視的重要意義。

目前,我國正在形成以《個人信息安全規(guī)范》為基礎(chǔ)的國家標(biāo)準(zhǔn)體系,各項配套國家標(biāo)準(zhǔn)正在有序制定中!秱人信息安全規(guī)范》針對個人信息面臨的安全問題,規(guī)范個人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為,遏制個人信息非法收集、濫用、泄露等亂象,最大程度保障個人的合法權(quán)益和社會公共利益。其他正在編制和研究中的個人信息保護(hù)國家標(biāo)準(zhǔn)還有:

《信息安全技術(shù)個人信息安全影響評估(征求意見稿)》規(guī)定了個人信息安全影響評估的基本概念、框架、方法和流程,給出了個人信息委托處理、轉(zhuǎn)讓、共享或公開披露前等幾種典型的場景,指導(dǎo)各類組織從影響個人自主決定權(quán)、引發(fā)差別性待遇、個人名譽(yù)受損或遭受精神壓力、個人財產(chǎn)受損4個維度進(jìn)行個人權(quán)益影響程度判斷,自行開展個人信息安全影響評估工作。

《信息安全技術(shù)個人信息去標(biāo)識化指南(送審稿)》建立了個人信息去標(biāo)識化工作的整體原則,包括合規(guī)、個人信息安全保護(hù)優(yōu)先、技術(shù)和管理相結(jié)合、充分應(yīng)用軟件工具、持續(xù)改進(jìn);指導(dǎo)和規(guī)范了去標(biāo)識化的過程,包括確定目標(biāo)、識別標(biāo)識、處理標(biāo)識、驗(yàn)證批準(zhǔn)以及有效的監(jiān)控和審查;提供了可供參考的去標(biāo)識化的技術(shù),包括統(tǒng)計技術(shù)、密碼技術(shù)、抑制技術(shù)、假名化技術(shù)、泛化技術(shù)、隨機(jī)化技術(shù)等;提供了常用去標(biāo)識化的模型,K-匿名模型、差分隱私模型以及去標(biāo)識化模型和技術(shù)的選擇,并給出了相應(yīng)的參考案例,為個人信息處理相關(guān)方提供去標(biāo)識化的指導(dǎo),也為第三方機(jī)構(gòu)測評提供依據(jù)。

《數(shù)據(jù)出境安全評估指南(征求意見稿)》提出了個人信息和重要數(shù)據(jù)出境的安全評估原則、流程要點(diǎn)和方法,列舉了境內(nèi)網(wǎng)絡(luò)運(yùn)營者與境外機(jī)構(gòu)進(jìn)行商業(yè)交易或業(yè)務(wù)合作、網(wǎng)絡(luò)運(yùn)營者通過自身互聯(lián)網(wǎng)平臺為位于境外的客戶提供服務(wù)等幾類常見的業(yè)務(wù)場景,指導(dǎo)網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)從數(shù)據(jù)出境識別、合規(guī)性評估、威脅分析、安全保障能力評估等方面進(jìn)行數(shù)據(jù)出境安全評估,也為網(wǎng)絡(luò)運(yùn)營者進(jìn)行數(shù)據(jù)出境安全管理制度和能力建設(shè)提供參考。

《個人信息告知同意指南(研究)》在2017年四部委指導(dǎo)下的隱私條款評審工作的基礎(chǔ)上,借鑒29工作組關(guān)于GDPR下同意的指南,研究了影響告知同意的因素,主要有告知的內(nèi)容、告知的展現(xiàn)形式、告知的實(shí)際和頻率、同意的模式和實(shí)現(xiàn)形式、告知同意載體的法律文件類別等,擬解決細(xì)化告知同意的例外情形、告知同意的證據(jù)留存、告知的機(jī)器可讀性等問題。

《健康醫(yī)療信息安全指南(草案)》分析總結(jié)了國內(nèi)外健康醫(yī)療信息安全威脅,匯集總結(jié)國內(nèi)外健康醫(yī)療信息安全管理的最佳實(shí)踐和最新研究成果,為國內(nèi)健康醫(yī)療信息安全管理提供具體的指導(dǎo),包括管理和技術(shù)方面的安全保障措施。

《個人信息安全工程指南(草案)》將個人信息保護(hù)納入信息系統(tǒng)工程中進(jìn)行考慮,用于解決在涉及個人信息的信息系統(tǒng)中處理隱私保護(hù)問題,實(shí)現(xiàn)可預(yù)測性、可管理性等目標(biāo)。

目前,國內(nèi)已經(jīng)掀起了對個人信息保護(hù)標(biāo)準(zhǔn)進(jìn)行研究的熱潮,就當(dāng)前我國個人信息保護(hù)標(biāo)準(zhǔn)體系而言,其科學(xué)性、先進(jìn)性、完備性在進(jìn)一步提升,與國際隱私保護(hù)標(biāo)準(zhǔn)體系的差距也越來越小。

三、個人信息安全規(guī)范與GDPR要求的比較

《個人信息安全規(guī)范》系統(tǒng)、詳細(xì)地闡述了組織實(shí)踐中對個人信息處理所遵循的要求,且成為很多組織落實(shí)我國網(wǎng)絡(luò)安全法等法律法規(guī)要求的重要參考,也有很多機(jī)構(gòu)就標(biāo)準(zhǔn)內(nèi)容與歐盟GDPR做對比分析。嚴(yán)格意義上來說,標(biāo)準(zhǔn)與法規(guī)本身性質(zhì)不同、用途不同,兩者無法去比較,但是從內(nèi)容來看,兩者有著類似的條款要求,僅從內(nèi)容角度進(jìn)行比較也有助于增進(jìn)對條款的理解。

第一,從基本原則來看,個人信息安全規(guī)范與GDPR所提出的原則基本一致,如合法、公開、透明、最少夠用、確保安全、問責(zé)等,這也是國際上對個人信息保護(hù)的共識體現(xiàn);第二,從個人信息處理的合法性基礎(chǔ)方面,GDPR給出了6個合法性事由,包括數(shù)據(jù)主體的同意、履行合同所必需、履行法定義務(wù)、保護(hù)個人重要利益、維護(hù)公共利益、追求正當(dāng)利益等,而個人信息安全規(guī)范是以

我國法律法規(guī)為基礎(chǔ),因此仍然提出了以“同意”為基礎(chǔ)的措施,只不過對不同情形征得“同意”的方式方法進(jìn)行細(xì)化,也提出了免于同意的場景;第三,GDPR賦予數(shù)據(jù)主體更為廣泛的控制權(quán),包括了知情、訪問、更正、刪除、限制處理、可攜帶、反對等權(quán)利,而個人信息安全規(guī)范中,首先,是就法律法規(guī)提出的訪問、更正和刪除基本權(quán)利予以細(xì)化;其次,基于個人信息保護(hù)的原則提出了撤回同意、注銷賬號、獲取副本等權(quán)利,其中對獲取個人信息的副本的范圍進(jìn)行限定,便于落地實(shí)施,這也是結(jié)合國情以及實(shí)踐綜合考慮的體現(xiàn)。

四、個人信息保護(hù)標(biāo)準(zhǔn)應(yīng)用實(shí)踐

從組織實(shí)踐角度出發(fā),要落實(shí)標(biāo)準(zhǔn)要求,實(shí)現(xiàn)全面、可持續(xù)的合規(guī)管理,參考實(shí)踐思路如下?傮w來看,組織應(yīng)從兩個角度全面考慮個人信息安全工作:一是對內(nèi)建立體系,二是對外接受監(jiān)督,然后從落實(shí)責(zé)任、關(guān)鍵工作、能力提升3方面逐步提升個人信息保護(hù)水平。此外,組織還可以將內(nèi)部優(yōu)秀實(shí)踐擴(kuò)大到多款產(chǎn)品或業(yè)務(wù)生態(tài)的上下游,以帶動整體保護(hù)水平的提升。

在落實(shí)責(zé)任層面,其一,個人信息保護(hù)合規(guī)工作開展得順利與否直接取決于組織的負(fù)責(zé)人是否重視,是否提供了足夠的資源保障,標(biāo)準(zhǔn)強(qiáng)調(diào)了“組織應(yīng)明確其法定代表人或主要負(fù)責(zé)人對個人信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任”;其二,組織的多個部門應(yīng)進(jìn)行明確分工,形成以責(zé)任部門和責(zé)任人為核心的組織架構(gòu);其三,責(zé)任部門和責(zé)任人應(yīng)根據(jù)組織所運(yùn)營的產(chǎn)品或服務(wù)的具體特點(diǎn),制定個人信息保護(hù)的目標(biāo)、方針等策略性文件,以及相應(yīng)的工作計劃,比如可以選取一款典型產(chǎn)品就當(dāng)前情況與《個人信息安全規(guī)范》標(biāo)準(zhǔn)要求進(jìn)行差距分析,全方位識別弱點(diǎn)環(huán)節(jié),為制訂工作計劃提供參考。

在建章立制層面,其一,建立和維護(hù)個人信息清單尤為重要,擁有完善的個人信息清單是組織全面、有效、持續(xù)實(shí)施的個人信息安全保障措施的重要前提,對組織所持有的個人信息可知、可查,對組織個人信息處理活動可視、可溯,也是組織個人信息安全保障能力的重要體現(xiàn);其二,實(shí)施個人信息安全影響評估(PIA)有助于組織提前發(fā)現(xiàn)和預(yù)防風(fēng)險事件。比如,在產(chǎn)品設(shè)計、上線前進(jìn)行個人信息安全影響評估,分析對個人權(quán)益可能造成的影響,如個人的自主權(quán)利、引發(fā)差別待遇、精神壓力、財產(chǎn)損失等,進(jìn)一步采取相應(yīng)措施降低風(fēng)險,為產(chǎn)品和業(yè)務(wù)穩(wěn)定上線運(yùn)營提供保障。就個人信息安全影響評估,國家標(biāo)準(zhǔn)《個人信息安全影響評估指南》正在制定中,進(jìn)一步提供了細(xì)致實(shí)用的參考;其三,發(fā)布隱私政策接受社會監(jiān)督。隱私政策是體現(xiàn)組織個人信息保護(hù)策略公開透明的重要舉措,是個人以及社會了解組織的窗口,組織應(yīng)基于上述步驟的工作成果,歸納總結(jié)相關(guān)策略、規(guī)則,形成完善的隱私政策,體現(xiàn)重視個人信息保護(hù)工作,主動接受監(jiān)督的態(tài)度!秱人信息安全規(guī)范》標(biāo)準(zhǔn)附錄中給出的隱私政策的模板可以作為參考。

在能力提升方面,組織應(yīng)建立個人信息保護(hù)的技術(shù)體系,采用技術(shù)手段和工具系統(tǒng)強(qiáng)化個人信息安全能力。其一,應(yīng)加強(qiáng)數(shù)據(jù)安全能力,避免和防止個人信息的泄露、損毀、丟失。加強(qiáng)數(shù)據(jù)安全能力已有很多現(xiàn)有途徑可選,比如采取參考國家有關(guān)數(shù)據(jù)安全能力成熟度標(biāo)準(zhǔn)強(qiáng)化安全能力,參照等級保護(hù)、云計算服務(wù)相關(guān)標(biāo)準(zhǔn)加強(qiáng)系統(tǒng)和平臺安全等;其二,積極采取去標(biāo)識化措施降低個人信息處理的風(fēng)險,個人信息去標(biāo)識化是普遍被認(rèn)為最有效、簡便的降低風(fēng)險的措施,組織應(yīng)該充分結(jié)合業(yè)務(wù)場景考慮使用此種方法,正在制定的國家標(biāo)準(zhǔn)《個人信息去標(biāo)識化指南》對去標(biāo)識化過程和管理措施給出了詳盡的參考;其三,應(yīng)逐步在產(chǎn)品中實(shí)現(xiàn)隱私設(shè)計(privacy-by-design)和默認(rèn)隱私(privacy-by-default)理念,將個人信息保護(hù)與產(chǎn)品功能體驗(yàn)相結(jié)合,實(shí)現(xiàn)個人信息主體權(quán)利實(shí)現(xiàn)的便捷化。此外,合規(guī)能力的展現(xiàn)也是組織應(yīng)該重視的工作,一方面有助于以合規(guī)推動業(yè)務(wù)發(fā)展,另一方面可適當(dāng)減少對接監(jiān)督管理工作的成本。

總之,數(shù)據(jù)成為新時代發(fā)展的重要驅(qū)動力,組織應(yīng)對數(shù)據(jù)安全合規(guī)問題慎重對待,以法律法規(guī)為準(zhǔn)繩,以標(biāo)準(zhǔn)規(guī)范為參考,建立符合自身發(fā)展需求的內(nèi)部治理方案,方能在數(shù)字時代凸顯自身優(yōu)勢、發(fā)揮數(shù)據(jù)價值。

(原載于《保密科學(xué)技術(shù)》雜志2018年10月刊)