《网络安全法》(以下简称“《网安法》”)第四章 “网络信息安全”第四十条至第四十五条规定了网络运营者对用户个人信息的网络安全义务。为了贯彻落实《网安法》中对用户个人信息的安全保护要求,2019年3月,中央网信办、工信部、公安部、市场监管总局四部门联合成立App违法违规收集使用个人信息专项治理工作组,截至4月16日,举报信息超过3480条,涉及1300余款App。对于30款用户量大、问题严重的App,工作组向其运营者发送了整改通知。
政府部门对个人信息保护工作的高度重视,不仅体现于加强监管执法,同时还体现在对企业个人信息保护工作指引的重视,旨在提高企业自查自检自纠能力。4月10日,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布《互联网个人信息安全保护指南》(以下简称“《指南》”),从个人信息安全保护的管理机制、安全技术措施和业务流程三个方面为互联网企业提供相关的参考。
一、 适用范围及效力
(一)适用范围
《指南》“1 范围”明确,本文件适用于个人信息持有者在个人信息周期处理过程中的安全保护工作开展。《指南》对“个人信息持有者”的定义为,“对个人信息进行控制和处理的组织或个人”,即不论是否将个人信息用户用于商业生产或经营活动,只要对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制等相关活动或行为的组织或自然人,都是《指南》的适用主体。
《指南》还指出,本文件不仅适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。即不论对个人信息进行控制和处理的组织或个人不论其使用网络环境类型如何,皆适用本指南的规范指引,专网或非联网环境并非不适用本指南及不履行《网安法》用户个人信息安全保护义务的豁免理由。因此,《指南》适用于所有对个人信息进行控制和处理的组织或个人,并为其开展个人信息保护方面的工作提供相应参考与借鉴。
(二)新规效力
《指南》是公安部网络安全保卫局、北京网络行业协会、公安部第三研究所三部门联合发布的规范性文件,并未采取部门规章的发布样式,且其制定目的是供互联网企业或单位在个人信息安全保护工作中参考借鉴。因此,本次发布《指南》不具有强制执行力。此外,我们注意到2018年11月发布的《个人信息安全保护指引(征求意见稿)》(以下简称《征求意见稿》)中规定,本文件“也适用于网络安全监管职能部门依法进行个人信息保护监督检查时参考使用”,而正式发布的《指南》却删去相关表述。
但这并不意味着本《指南》不能作为监督部门的执法参考。因为《指南》制定是对《网安法》的有关规定进行细化落实,也是为企业自建自检是否履行个人信息安全保障义务所提供的重要合规参考,因此,《指南》也可能成为有关部门监管检查企业是否落实个人信息安全保障合规要求的参考。
二、 《指南》的主要内容
《指南》共包括六个部分19个小节,除去范围、规范性引用文件、术语和定义等说明性条款外,《指南》内容的核心部分为:
(一) 管理机制
《指南》“4.1 基本要求”中将《GB/T22239信息安全技术网络安全等级保护基本要求》(以下简称“《基本要求》”)相应等级要求作为个人信息处理系统的安全管理的基本要求,是对《网安法》第二十一条网络安全等级保护制度要求的呼应。因此,个人信息持有者开展个人信息安全工作时,首先要依据《网络安全等级保护条例(征求意见稿)》第十五条“网络等级”的相关规定,进行网络安全等级测评,接着根据等级测评结果,按照《基本要求》中的相应等级要求建立和完善个人信息的管理机制。
“4.2 管理制度”部分,《指南》参考了《信息安全技术个人信息安全规范》(GB/T 35273-2017)中“7.1 个人信息访问控制措施” 、“9.1 安全事件应急处置和报告”、“10.1 明确责任部门与人员”和“10.4 人员管理与培训”的相应内容。同时在管理制度、管理机构、管理人员的管理上进一步细化,例如要求个人信息控制者明确管理制度制定发布、执行落实和评审改进的实施程序,以保证管理制度内容的贯彻实施。在管理机构人员配置方面,明确审计管理员和安全管理员实行专人专岗制度,不应兼任网络管理员、系统管理员、数据库管理员、数据操作员等岗位。
(二) 技术措施
《指南》将安全技术措施的要求分为基本要求、通用要求和扩展要求三个层次。《征求意见稿》要求个人信息持有者一律按第三级网络安全等级标准实施保护,《指南》对此进行调整。“5.1 基本要求”规定,个人信息持有者的处理系统其安全技术措施应满足GB/T 22239相应等级的要求,按照网络安全等级保护制度的要求,履行安全保护义务。相对《征求意见稿》,《指南》的规定减轻了无需按照第三级等保要求企业的负担,整体安排上更为科学合理。
“5.2 通用要求”从通信网络安全、区域边界安全、计算环境安全、应用和数据安全四个方面补充强化了个人信息持有者的技术措施标准。例如,“5.2.3.1 身份鉴别”要求个人信息持有者应对登录个人信息处理系统的用户进行身份标识和鉴别,身份鉴别标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换,并在处理系统中启用登录失败处理功能,采取诸如结束会话、限制非法登录次数和自动退出等措施。同时要求,对用户进行身份鉴别的技术应采用口令、密码技术、生物技术等两种或两种以上组合,且其中一种鉴别技术至少应使用密码技术来实现,密码技术应符合国家密码主管部门规范。
“5.3 扩展要求”规定,个人信息持有者进行扩展时应满足云计算安全和物联网安全两方面的要求。其中“5.3.1 云计算安全扩展要求”第a项强调,个人信息在云计算平台中存储于中国境内,如需出境应遵循国家相关规定,再次明确了《网安法》中个人信息的本地存储要求和跨境转移的限制。
(三) 业务流程
1、 个人信息的收集
个人信息收集方面,《指南》“6.1 收集”较之《个人信息安全规范》“5 个人信息的收集”的规定,细化收集个人敏感信息时的最少收集要求,增加收集个人信息过程的安全保障要求,并强调个人信息持有者获得个人信息主体的同意和授权时,不得通过捆绑产品或服务各项业务功能等方式强迫收集个人信息。因此,个人信息持有者在进行个人信息收集时,除了需要满足《个人信息安全规范》的相应要求,还需注意不应大规模收集或处理我国公民的种族、民族、政治观点、宗教信仰等敏感数据;收集个人生物识别类的个人敏感信息时,应仅收集和使用摘要信息,避免收集其原始信息。同时,个人信息持有者应确保收集过程中个人信息的安全,如收集个人信息时,信息在传输过程中应进行加密等保护处理,并对收集内容进行安全检测和过滤的机制,防止非法内容提交。
2、个人信息的应用
《网安法》第四十二条但书规定,经过处理无法识别特定个人且不能复原的去标识个人信息可以未经被收集者同意向他人提供。《指南》“6.3 应用”第a项进一步细化对去标识人信息的处理,提出经过处理无法识别特定个人且不能复原的个人信息数据,可以超出与信息主体签署的相关使用协议和约定,但应提供适当的保护措施进行保护。即经过有效去标识化处理的个人信息数据的应用处理,可以不征得个人信息主体的同意,但是仍需要提供适当的保护措施,防止去标识化的个人信息与其他数据信息结合成为可以进行身份识别并确定特定个人身份的风险。
此外,“6.3 应用”第c项对个性化展示服务的个人信息应用的规定更加具体化。《指南》提出,完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利。即个人信息持有者可以事先不经用户明确授权,即可使用依靠自动化处理的用户画像技术应用于各项增值应用,但应当在业务功能的版面增设用户撤销授权的渠道,确保用户拒绝授权的选择自由。个人信息持有者还需要关注的是,《指南》“6.3 应用”第c项后半段规定的例外情况,如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用,仍须应经用户明确授权后才可使用其数据。
除了以上两点,《指南》还在个人信息的保存、删除、第三方委托处理、共享和转让、公开披露等其他方面做出相应的业务流程指引规范,这些方面的相关规定与《个人信息安全规范》相应部分的框架基本一致。《指南》为个人信息持有者在业务流程中落实个人信息安全保护义务提供了更为具体化的指引规范。
(四) 应急处置
《指南》在“7 应急处置”中规定了“应急机制和预案”以及“处置和响应”两方面要求。此部分内容的逻辑框架与内容基本上与《个人信息安全规范》“9 个人信息安全事件处置”的要求一致,但是《指南》对个人信息持有者进行定期应急响应培训和应急演练的期限要求更为严格。《个人信息安全规范》要求至少每年进行一次应急响应培训和应急演练,而《指南》“7.1 应急机制和预案”第c项规定,个人信息持有者应至少每半年进行一次应急响应培训和应急演练,并留存应急培训和应急演练记录。此外,《指南》“7.2 处置和响应”还要求个人信息持有者在发生安全事件时,应及时向公安机关报告,协助开展调查和取证工作。
三、 小结
为了深入贯彻落实《网安法》,为个人信息持有者建立并完善个人信息安全保护制度体系提供指导,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布《指南》。《指南》更为具体地描述了互联网中个人信息安全体系的保护防范轮廓,面向现实网络真实环境中存在的问题和特点提供了具有针对性的操作细则,为互联网企业的个人信息安全合规提供了重要参考。
政府部门对个人信息保护工作的高度重视,不仅体现于加强监管执法,同时还体现在对企业个人信息保护工作指引的重视,旨在提高企业自查自检自纠能力。4月10日,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布《互联网个人信息安全保护指南》(以下简称“《指南》”),从个人信息安全保护的管理机制、安全技术措施和业务流程三个方面为互联网企业提供相关的参考。
一、 适用范围及效力
(一)适用范围
《指南》“1 范围”明确,本文件适用于个人信息持有者在个人信息周期处理过程中的安全保护工作开展。《指南》对“个人信息持有者”的定义为,“对个人信息进行控制和处理的组织或个人”,即不论是否将个人信息用户用于商业生产或经营活动,只要对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制等相关活动或行为的组织或自然人,都是《指南》的适用主体。
《指南》还指出,本文件不仅适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。即不论对个人信息进行控制和处理的组织或个人不论其使用网络环境类型如何,皆适用本指南的规范指引,专网或非联网环境并非不适用本指南及不履行《网安法》用户个人信息安全保护义务的豁免理由。因此,《指南》适用于所有对个人信息进行控制和处理的组织或个人,并为其开展个人信息保护方面的工作提供相应参考与借鉴。
(二)新规效力
《指南》是公安部网络安全保卫局、北京网络行业协会、公安部第三研究所三部门联合发布的规范性文件,并未采取部门规章的发布样式,且其制定目的是供互联网企业或单位在个人信息安全保护工作中参考借鉴。因此,本次发布《指南》不具有强制执行力。此外,我们注意到2018年11月发布的《个人信息安全保护指引(征求意见稿)》(以下简称《征求意见稿》)中规定,本文件“也适用于网络安全监管职能部门依法进行个人信息保护监督检查时参考使用”,而正式发布的《指南》却删去相关表述。
但这并不意味着本《指南》不能作为监督部门的执法参考。因为《指南》制定是对《网安法》的有关规定进行细化落实,也是为企业自建自检是否履行个人信息安全保障义务所提供的重要合规参考,因此,《指南》也可能成为有关部门监管检查企业是否落实个人信息安全保障合规要求的参考。
二、 《指南》的主要内容
《指南》共包括六个部分19个小节,除去范围、规范性引用文件、术语和定义等说明性条款外,《指南》内容的核心部分为:
相应部分标题 | 主要内容 |
4 管理机制 | 提出个人信息持有者在管理制度、管理机构和管理人员等3方面指引规范 |
5 技术措施 | 从基本要求、通用要求和扩展要求三个层次,提出个人信息持有者在物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复要求进行安全保护的要求 |
6 业务流程 | 明确对个人信息持有者在收集、保存、应用、删除、第三方委托处理、共享和转让、公开披露等方面的要求 |
7 应急处置 | 从应急机制和预案及处置和响应两方面,细化个人信息持有者的应急处置制度要求。 |
(一) 管理机制
《指南》“4.1 基本要求”中将《GB/T22239信息安全技术网络安全等级保护基本要求》(以下简称“《基本要求》”)相应等级要求作为个人信息处理系统的安全管理的基本要求,是对《网安法》第二十一条网络安全等级保护制度要求的呼应。因此,个人信息持有者开展个人信息安全工作时,首先要依据《网络安全等级保护条例(征求意见稿)》第十五条“网络等级”的相关规定,进行网络安全等级测评,接着根据等级测评结果,按照《基本要求》中的相应等级要求建立和完善个人信息的管理机制。
“4.2 管理制度”部分,《指南》参考了《信息安全技术个人信息安全规范》(GB/T 35273-2017)中“7.1 个人信息访问控制措施” 、“9.1 安全事件应急处置和报告”、“10.1 明确责任部门与人员”和“10.4 人员管理与培训”的相应内容。同时在管理制度、管理机构、管理人员的管理上进一步细化,例如要求个人信息控制者明确管理制度制定发布、执行落实和评审改进的实施程序,以保证管理制度内容的贯彻实施。在管理机构人员配置方面,明确审计管理员和安全管理员实行专人专岗制度,不应兼任网络管理员、系统管理员、数据库管理员、数据操作员等岗位。
(二) 技术措施
《指南》将安全技术措施的要求分为基本要求、通用要求和扩展要求三个层次。《征求意见稿》要求个人信息持有者一律按第三级网络安全等级标准实施保护,《指南》对此进行调整。“5.1 基本要求”规定,个人信息持有者的处理系统其安全技术措施应满足GB/T 22239相应等级的要求,按照网络安全等级保护制度的要求,履行安全保护义务。相对《征求意见稿》,《指南》的规定减轻了无需按照第三级等保要求企业的负担,整体安排上更为科学合理。
“5.2 通用要求”从通信网络安全、区域边界安全、计算环境安全、应用和数据安全四个方面补充强化了个人信息持有者的技术措施标准。例如,“5.2.3.1 身份鉴别”要求个人信息持有者应对登录个人信息处理系统的用户进行身份标识和鉴别,身份鉴别标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换,并在处理系统中启用登录失败处理功能,采取诸如结束会话、限制非法登录次数和自动退出等措施。同时要求,对用户进行身份鉴别的技术应采用口令、密码技术、生物技术等两种或两种以上组合,且其中一种鉴别技术至少应使用密码技术来实现,密码技术应符合国家密码主管部门规范。
“5.3 扩展要求”规定,个人信息持有者进行扩展时应满足云计算安全和物联网安全两方面的要求。其中“5.3.1 云计算安全扩展要求”第a项强调,个人信息在云计算平台中存储于中国境内,如需出境应遵循国家相关规定,再次明确了《网安法》中个人信息的本地存储要求和跨境转移的限制。
(三) 业务流程
1、 个人信息的收集
个人信息收集方面,《指南》“6.1 收集”较之《个人信息安全规范》“5 个人信息的收集”的规定,细化收集个人敏感信息时的最少收集要求,增加收集个人信息过程的安全保障要求,并强调个人信息持有者获得个人信息主体的同意和授权时,不得通过捆绑产品或服务各项业务功能等方式强迫收集个人信息。因此,个人信息持有者在进行个人信息收集时,除了需要满足《个人信息安全规范》的相应要求,还需注意不应大规模收集或处理我国公民的种族、民族、政治观点、宗教信仰等敏感数据;收集个人生物识别类的个人敏感信息时,应仅收集和使用摘要信息,避免收集其原始信息。同时,个人信息持有者应确保收集过程中个人信息的安全,如收集个人信息时,信息在传输过程中应进行加密等保护处理,并对收集内容进行安全检测和过滤的机制,防止非法内容提交。
2、个人信息的应用
《网安法》第四十二条但书规定,经过处理无法识别特定个人且不能复原的去标识个人信息可以未经被收集者同意向他人提供。《指南》“6.3 应用”第a项进一步细化对去标识人信息的处理,提出经过处理无法识别特定个人且不能复原的个人信息数据,可以超出与信息主体签署的相关使用协议和约定,但应提供适当的保护措施进行保护。即经过有效去标识化处理的个人信息数据的应用处理,可以不征得个人信息主体的同意,但是仍需要提供适当的保护措施,防止去标识化的个人信息与其他数据信息结合成为可以进行身份识别并确定特定个人身份的风险。
此外,“6.3 应用”第c项对个性化展示服务的个人信息应用的规定更加具体化。《指南》提出,完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利。即个人信息持有者可以事先不经用户明确授权,即可使用依靠自动化处理的用户画像技术应用于各项增值应用,但应当在业务功能的版面增设用户撤销授权的渠道,确保用户拒绝授权的选择自由。个人信息持有者还需要关注的是,《指南》“6.3 应用”第c项后半段规定的例外情况,如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用,仍须应经用户明确授权后才可使用其数据。
除了以上两点,《指南》还在个人信息的保存、删除、第三方委托处理、共享和转让、公开披露等其他方面做出相应的业务流程指引规范,这些方面的相关规定与《个人信息安全规范》相应部分的框架基本一致。《指南》为个人信息持有者在业务流程中落实个人信息安全保护义务提供了更为具体化的指引规范。
(四) 应急处置
《指南》在“7 应急处置”中规定了“应急机制和预案”以及“处置和响应”两方面要求。此部分内容的逻辑框架与内容基本上与《个人信息安全规范》“9 个人信息安全事件处置”的要求一致,但是《指南》对个人信息持有者进行定期应急响应培训和应急演练的期限要求更为严格。《个人信息安全规范》要求至少每年进行一次应急响应培训和应急演练,而《指南》“7.1 应急机制和预案”第c项规定,个人信息持有者应至少每半年进行一次应急响应培训和应急演练,并留存应急培训和应急演练记录。此外,《指南》“7.2 处置和响应”还要求个人信息持有者在发生安全事件时,应及时向公安机关报告,协助开展调查和取证工作。
三、 小结
为了深入贯彻落实《网安法》,为个人信息持有者建立并完善个人信息安全保护制度体系提供指导,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布《指南》。《指南》更为具体地描述了互联网中个人信息安全体系的保护防范轮廓,面向现实网络真实环境中存在的问题和特点提供了具有针对性的操作细则,为互联网企业的个人信息安全合规提供了重要参考。
