國(guó)家保密局網(wǎng)站>>保密科技

《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》劍指何方

2019年08月22日    來源:指導(dǎo)管理司【字體: 打印

隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)應(yīng)用等技術(shù)的快速發(fā)展及“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃的有序推進(jìn),信息的價(jià)值被充分挖掘,其安全性問題受到廣泛關(guān)注。在經(jīng)濟(jì)利益驅(qū)使下,侵犯公民個(gè)人隱私的現(xiàn)象日益增多,相關(guān)違法犯罪甚至已經(jīng)形成完整的利益鏈,給人們?nèi)粘I顜砗艽蟮睦_,甚至造成財(cái)產(chǎn)損失,危及人身安全。如何保障用戶個(gè)人信息安全,已成為網(wǎng)絡(luò)信息安全工作的重要一環(huán)。

近日,公安部網(wǎng)絡(luò)安全保衛(wèi)局聯(lián)合北京網(wǎng)絡(luò)行業(yè)協(xié)會(huì)、公安部第三研究所共同研究制定了《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》(以下簡(jiǎn)稱《指南》),就個(gè)人信息安全保護(hù)的管理機(jī)制、安全技術(shù)措施和業(yè)務(wù)流程等作出規(guī)定。綜合來看,該《指南》的出臺(tái),主要有以下幾點(diǎn)實(shí)踐意義。

一、對(duì)建立個(gè)人信息持有者的網(wǎng)絡(luò)安全合規(guī)性具有很強(qiáng)的指導(dǎo)意義

《指南》明確了適用對(duì)象為“個(gè)人信息持有者”,即對(duì)個(gè)人信息進(jìn)行控制和處理的組織或個(gè)人!吨改稀芬(guī)定,“適用于個(gè)人信息持有者在個(gè)人信息生命周期處理過程中開展安全保護(hù)工作參考使用。適用于通過互聯(lián)網(wǎng)提供服務(wù)的企業(yè),也適用于使用專網(wǎng)或非聯(lián)網(wǎng)環(huán)境控制和處理個(gè)人信息的組織或個(gè)人”。可見,只要涉及對(duì)于個(gè)人信息的控制與處理,均屬于《指南》的適用范圍。

在確定了主要規(guī)范主體的基礎(chǔ)上,《指南》分別從管理機(jī)制、技術(shù)措施、業(yè)務(wù)流程和應(yīng)急處理等方面提出具體的個(gè)人信息保護(hù)措施。特別是對(duì)管理制度、管理機(jī)構(gòu)、管理人員提出了明確指導(dǎo)建議;對(duì)個(gè)人信息的收集、保存、應(yīng)用、刪除、第三方委托處理、共享和轉(zhuǎn)讓、公開披露等業(yè)務(wù)提出全流程管理。較為完善的整體架構(gòu),使得各有關(guān)部門單位可以《指南》為依據(jù),建立本企業(yè)的用戶信息保護(hù)制度。

二、對(duì)個(gè)人信息持有者在管理機(jī)制建設(shè)方面提出了明確的指導(dǎo)建議

個(gè)人信息持有者要提升信息保護(hù)水平,就必須加強(qiáng)內(nèi)控機(jī)制建設(shè),建立相應(yīng)的管理制度、設(shè)置管理機(jī)構(gòu),配備管理人員,這樣才能提升對(duì)個(gè)人信息的保護(hù)能力,落實(shí)保護(hù)責(zé)任。

在管理制度方面,《指南》對(duì)管理制度的內(nèi)容、制定發(fā)布、執(zhí)行落實(shí)與評(píng)審改進(jìn)4個(gè)方面提出了要求。如在管理制度內(nèi)容方面,建議制定個(gè)人信息保護(hù)的總體方針和安全策略等相關(guān)規(guī)章制度與文件,制定工作人員對(duì)個(gè)人信息日常管理的操作規(guī)程,建立個(gè)人信息管理制度體系以及制定個(gè)人信息安全事件應(yīng)急預(yù)案。

在管理機(jī)構(gòu)方面,《指南》對(duì)管理機(jī)構(gòu)以及管理人員均提出了要求。如就管理機(jī)構(gòu)而言,《指南》提出應(yīng)設(shè)置指導(dǎo)和管理個(gè)人信息保護(hù)的工作機(jī)構(gòu),明確定義機(jī)構(gòu)的職責(zé);應(yīng)由最高管理者或授權(quán)專人負(fù)責(zé)個(gè)人信息保護(hù)的工作;等等。

在管理人員方面,《指南》要求加強(qiáng)對(duì)個(gè)人信息管理人員在錄用、離崗、考核、教育培訓(xùn)等方面的管理,并對(duì)具體的管理措施作出規(guī)定。值得一提的是,文件首次提出,要定期考核管理人員對(duì)相關(guān)工作的基礎(chǔ)知識(shí)、安全責(zé)任以及懲戒措施、法律法規(guī)等的理解,并記錄存檔考核記錄。

三、細(xì)化了個(gè)人信息全生命周期動(dòng)態(tài)調(diào)節(jié)的機(jī)制

針對(duì)我國(guó)目前個(gè)人信息全生命周期保護(hù)不足的狀況,《指南》提出在個(gè)人信息持有者收集、保存、應(yīng)用、委托處理、共享、轉(zhuǎn)讓和公開披露、刪除個(gè)人信息等環(huán)節(jié)的操作規(guī)程,在實(shí)際操作層面填補(bǔ)了空白,為提升公民個(gè)人信息全生命周期保護(hù)意識(shí)、企業(yè)合規(guī)操作提供了新的業(yè)務(wù)參照和行為指引。

針對(duì)個(gè)人信息在全生命流程的各個(gè)環(huán)節(jié),《指南》的規(guī)定內(nèi)容各有側(cè)重。

1.收集環(huán)節(jié):個(gè)人信息收集前,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則向被收集的個(gè)人信息主體公開收集、使用規(guī)則,明示收集、使用信息的目的、方式和范圍等;個(gè)人信息收集應(yīng)獲得個(gè)人信息主體的同意和授權(quán),不應(yīng)收集與其提供的服務(wù)無關(guān)的個(gè)人信息,不應(yīng)通過捆綁產(chǎn)品或服務(wù)各項(xiàng)業(yè)務(wù)功能等方式強(qiáng)迫收集個(gè)人信息;個(gè)人信息收集應(yīng)執(zhí)行收集前簽署的約定和協(xié)議,不應(yīng)超范圍收集。

2.保存環(huán)節(jié):收集到的個(gè)人信息應(yīng)采取相應(yīng)的安全加密存儲(chǔ)等安全措施進(jìn)行處理;應(yīng)對(duì)保存的個(gè)人信息根據(jù)收集、使用目的、被收集人授權(quán)設(shè)置相應(yīng)的保存時(shí)限;應(yīng)對(duì)保存的個(gè)人信息在超出設(shè)置的時(shí)限后予以刪除!

3.應(yīng)用環(huán)節(jié):個(gè)人信息的應(yīng)用,應(yīng)符合與個(gè)人信息主體簽署的相關(guān)協(xié)議和規(guī)定,不應(yīng)超范圍應(yīng)用個(gè)人信息;個(gè)人信息主體應(yīng)擁有控制本人信息的權(quán)限;完全依靠自動(dòng)化處理的用戶畫像技術(shù)應(yīng)用于精準(zhǔn)營(yíng)銷、搜索結(jié)果排序、個(gè)性化推送新聞、定向投放廣告等增值應(yīng)用,可事先不經(jīng)用戶明確授權(quán),但應(yīng)確保用戶有反對(duì)或者拒絕的權(quán)利。

4.刪除環(huán)節(jié):個(gè)人信息在超過保存時(shí)限之后應(yīng)進(jìn)行刪除,經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外;個(gè)人信息持有者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息時(shí),個(gè)人信息主體要求刪除其個(gè)人信息的,應(yīng)采取措施予以刪除。

5.第三方委托處理環(huán)節(jié):在對(duì)個(gè)人信息委托處理時(shí),不應(yīng)超出該信息主體授權(quán)同意的范圍;在對(duì)個(gè)人信息的相關(guān)處理進(jìn)行委托時(shí),應(yīng)對(duì)委托行為進(jìn)行個(gè)人信息安全影響評(píng)估;對(duì)個(gè)人信息進(jìn)行委托處理時(shí),應(yīng)簽訂相關(guān)協(xié)議要求受托方符合本文件;應(yīng)向受托方進(jìn)行對(duì)個(gè)人信息數(shù)據(jù)的使用和訪問的授權(quán)。

6.共享和轉(zhuǎn)讓環(huán)節(jié):個(gè)人信息原則上不得共享、轉(zhuǎn)讓。

7.公開披露環(huán)節(jié):個(gè)人信息原則上不得公開披露。如經(jīng)法律授權(quán)或具備合理事由確需公開披露時(shí),應(yīng)充分重視風(fēng)險(xiǎn)。

四、采取了安全管理和技術(shù)雙輪驅(qū)動(dòng)的技術(shù)措施

《指南》意圖以構(gòu)建層層防御的縱深安全防護(hù)體系的方式,通過多重安全保障手段的實(shí)施,夯實(shí)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全防護(hù),為用戶個(gè)人信息的采集、存儲(chǔ)、傳輸和使用提供安全可靠的載體。

在技術(shù)措施方面,《指南》首先規(guī)定了基本要求,提出個(gè)人信息處理系統(tǒng)其安全技術(shù)措施應(yīng)滿足GB/T 22239相應(yīng)等級(jí)的要求,按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。需要注意的是,《指南》并沒有一刀切地要求個(gè)人信息持有者按照最高等級(jí)實(shí)行安全保護(hù)措施,而是基于企業(yè)自身的具體情況,按照所對(duì)應(yīng)的等級(jí)開展安全保護(hù)。

此外,《指南》對(duì)通用要求、擴(kuò)展要求分別作出規(guī)定。就通用要求而言,規(guī)定了通信網(wǎng)絡(luò)安全、區(qū)域邊界安全、計(jì)算環(huán)境安全、應(yīng)用和數(shù)據(jù)安全。就擴(kuò)展要求而言,提出云計(jì)算安全擴(kuò)展要求和物聯(lián)網(wǎng)安全擴(kuò)展要求。

五、強(qiáng)調(diào)建立個(gè)人信息安全事件應(yīng)急處置機(jī)制

在傳統(tǒng)網(wǎng)絡(luò)安全事件監(jiān)控與應(yīng)急響應(yīng)的基礎(chǔ)上,《指南》進(jìn)一步加強(qiáng)對(duì)用戶個(gè)人信息安全事件的監(jiān)控與應(yīng)急響應(yīng)機(jī)制,確保在發(fā)生用戶個(gè)人信息突發(fā)事件時(shí)能夠及時(shí)、高效、順暢、規(guī)范地開展應(yīng)急處置。

《指南》要求,有關(guān)部門單位應(yīng)建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制,在個(gè)人信息處理過程中發(fā)生應(yīng)急事件時(shí)具有上報(bào)有關(guān)主管部門的機(jī)制;應(yīng)制定個(gè)人信息安全事件應(yīng)急預(yù)案;應(yīng)定期(至少每半年一次)組織內(nèi)部相關(guān)人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練,使其掌握崗位職責(zé)和應(yīng)急處置策略和規(guī)程,留存應(yīng)急培訓(xùn)和應(yīng)急演練記錄;發(fā)現(xiàn)網(wǎng)絡(luò)存在較大安全風(fēng)險(xiǎn),應(yīng)采取措施,進(jìn)行整改,消除隱患;等等。

總而言之,雖然該《指南》不具有強(qiáng)制力,僅為個(gè)人和企業(yè)在個(gè)人信息生命周期處理過程中開展安全保護(hù)工作參考使用,但鑒于我國(guó)個(gè)人信息保護(hù)立法欠缺的實(shí)際情況,《指南》第4章管理機(jī)制、第5章技術(shù)措施、第6章業(yè)務(wù)流程、第7章應(yīng)急處置等均與《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》)和《信息安全技術(shù) 個(gè)人信息安全規(guī)范》兩個(gè)國(guó)家標(biāo)準(zhǔn)在要求上做了對(duì)接,因此,《指南》的發(fā)布可以說及時(shí)地填補(bǔ)了個(gè)人信息保護(hù)中諸多實(shí)操領(lǐng)域的規(guī)范空白,必將大大促進(jìn)網(wǎng)絡(luò)環(huán)境安全可靠。

 

(原載于《保密工作》雜志2019年第7期)