信息化觀察網(wǎng)

《信息安全技術(shù)個(gè)人信息安全規(guī)范》的出臺(tái)在軟法層面填補(bǔ)了諸多規(guī)則空白，為提升公民意識(shí)、企業(yè)合規(guī)和政府調(diào)節(jié)水平提供了新的業(yè)務(wù)參照、新的行為指引。

針對(duì)新聞媒體報(bào)道的“支付寶年度賬單事件”，2018年1月6日，國(guó)家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局約談了支付寶（中國(guó)）網(wǎng)絡(luò)技術(shù)有限公司、芝麻信用管理有限公司的有關(guān)負(fù)責(zé)人。網(wǎng)絡(luò)安全協(xié)調(diào)局負(fù)責(zé)人指出，支付寶、芝麻信用收集使用個(gè)人信息的方式，不符合剛剛發(fā)布的《個(gè)人信息安全規(guī)范》國(guó)家標(biāo)準(zhǔn)的精神，違背了其前不久簽署的《個(gè)人信息保護(hù)倡議》的承諾；應(yīng)嚴(yán)格按照《網(wǎng)絡(luò)安全法》的要求，加強(qiáng)對(duì)支付寶平臺(tái)的全面排查，進(jìn)行專項(xiàng)整頓，切實(shí)采取有效措施，防止類似事件再次發(fā)生。

2017年12月29日，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口的《信息安全技術(shù)個(gè)人信息安全規(guī)范》等23項(xiàng)國(guó)家標(biāo)準(zhǔn)正式發(fā)布。其中，《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273-2017）（以下簡(jiǎn)稱為《安全規(guī)范》），作為國(guó)家推薦標(biāo)準(zhǔn)將于2018年5月1日起正式實(shí)施。其主要內(nèi)容包括個(gè)人信息及其相關(guān)術(shù)語(yǔ)基本定義，個(gè)人信息安全基本原則，個(gè)人信息收集、保存、使用和處理等流轉(zhuǎn)環(huán)節(jié)以及個(gè)人信息安全事件處置和組織管理要求等。

總體而言，在《網(wǎng)絡(luò)安全法》規(guī)范框架下，立足信息安全的維度，《安全規(guī)范》厘定、闡明了個(gè)人信息安全保護(hù)領(lǐng)域的諸多重要問(wèn)題，例如“個(gè)人信息”這一術(shù)語(yǔ)的基本定義、個(gè)人信息安全的基本要求等等。此外，《安全規(guī)范》以個(gè)人信息的流轉(zhuǎn)處理、安全事件的處置應(yīng)對(duì)以及組織管理要求等作為邏輯脈絡(luò)，針對(duì)個(gè)人信息的收集、保存、使用以及委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露等各個(gè)業(yè)務(wù)環(huán)節(jié)對(duì)個(gè)人信息控制者等主體提出了具體的操作要求以及應(yīng)守準(zhǔn)則。在目前我國(guó)個(gè)人信息處理規(guī)范相對(duì)不足的情況下，可以認(rèn)為《安全規(guī)范》的出臺(tái)在軟法層面填補(bǔ)了諸多規(guī)則空白，為提升公民意識(shí)、企業(yè)合規(guī)和政府調(diào)節(jié)水平提供了新的業(yè)務(wù)參照、新的行為指引。

個(gè)人信息安全的基本原則

在維護(hù)個(gè)人信息安全的過(guò)程中，需要堅(jiān)持多方共同參與，積極發(fā)揮公民以及其他主體的保護(hù)能動(dòng)性?！栋踩?guī)范》對(duì)個(gè)人信息以及個(gè)人敏感信息的范圍加以界定，進(jìn)而明確提出了開(kāi)展個(gè)人信息處理活動(dòng)中個(gè)人信息控制者應(yīng)當(dāng)遵循的基本原則和安全要求，包括：權(quán)責(zé)一致；目的明確；選擇同意；最少夠用；公開(kāi)透明；確保安全；以及主體參與等等?？傮w上強(qiáng)調(diào)了個(gè)人敏感信息尊重個(gè)人信息主體真實(shí)意愿，保障個(gè)人信息主體的訪問(wèn)、更正以及刪除其個(gè)人信息的權(quán)利，同時(shí)要求個(gè)人信息控制者具備與安全風(fēng)險(xiǎn)相匹配的安全能力，并且采取適當(dāng)?shù)墓芾泶胧┖图夹g(shù)手段保護(hù)個(gè)人信息的保密性、完整性和可用性，切實(shí)承擔(dān)相應(yīng)的義務(wù)與責(zé)任。

可以認(rèn)為，《安全規(guī)范》突出的個(gè)人信息處理活動(dòng)應(yīng)遵循的原則呼應(yīng)了國(guó)家有關(guān)個(gè)人信息安全的政策戰(zhàn)略、法律法規(guī)以及其他規(guī)范，嘗試勾勒具體且明確的操作規(guī)則進(jìn)而提供可行的合規(guī)指南。

個(gè)人信息的流轉(zhuǎn)環(huán)節(jié)

一、收集

《安全規(guī)范》在個(gè)人信息收集這一重要環(huán)節(jié)，嚴(yán)格界定了個(gè)人信息控制者的權(quán)利并明確了其義務(wù)，規(guī)定在收集個(gè)人信息前，應(yīng)當(dāng)向信息主體明示相關(guān)內(nèi)容并取得同意；涉及間接獲取方式以及個(gè)人敏感信息時(shí)，應(yīng)當(dāng)做出必要說(shuō)明或取得明示同意且遵守有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。

在信息收集方面，《安全規(guī)范》就個(gè)人信息控制者的義務(wù)提出了以下幾點(diǎn)要旨：（1）合法性，要求個(gè)人信息控制者在法律法規(guī)規(guī)定的范圍內(nèi)采用合法的手段和獲取信息的渠道，在征得個(gè)人信息主體同意的前提下收集個(gè)人信息或要求信息主體提供個(gè)人信息。（2）最小化，要求個(gè)人信息的收集類型、頻率和數(shù)量應(yīng)在必要性的最小要求之內(nèi)，即符合最少夠用原則。在能達(dá)到所需目的條件下，只處理最少的個(gè)人信息類型和數(shù)量。（3）授權(quán)同意，要求個(gè)人信息控制者處理個(gè)人信息時(shí)的目的、方式、范圍以及相關(guān)規(guī)則，均要經(jīng)過(guò)個(gè)人信息主體的授權(quán)同意。

對(duì)于個(gè)人敏感信息，《安全規(guī)范》根據(jù)敏感程度的不同，考慮到敏感度較高的個(gè)人信息的收集與提供對(duì)個(gè)人信息主體帶來(lái)的不同范圍的利害影響，要求個(gè)人信息控制者要在個(gè)人信息主體完全知情的基礎(chǔ)上給出自愿的、具體的、清晰明確的同意的意思表示。同時(shí)，若涉及產(chǎn)品或服務(wù)的核心功能以及附加功能，應(yīng)明確告知個(gè)人信息主體對(duì)此享有的同意與拒絕提供或被收集信息的權(quán)利以及由此帶來(lái)的不利影響。

二、保存

針對(duì)個(gè)人信息的保存，《安全規(guī)范》提出了關(guān)于信息保存的時(shí)間最小化要求與去標(biāo)識(shí)化處理要求，作為個(gè)人信息控制者，有義務(wù)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止其泄露、毀損、丟失：（1）時(shí)間最小化，要求信息的保存時(shí)間應(yīng)與使用目的保持程度上的一致，應(yīng)滿足一定的必要性，在超過(guò)保存期限后，即應(yīng)對(duì)信息作出刪除或匿名化處理。（2）去標(biāo)識(shí)化處理，是對(duì)信息主體的技術(shù)性保護(hù)，要求將收集到的信息去除識(shí)別性特征，并避免該數(shù)據(jù)二次復(fù)原重新識(shí)別，妥善地保管信息控制者收集到的各類數(shù)據(jù)。

對(duì)于個(gè)人敏感信息，《安全規(guī)范》進(jìn)一步要求個(gè)人信息控制者對(duì)存儲(chǔ)的個(gè)人敏感信息采取加密的安全措施，對(duì)于生物識(shí)別類信息，應(yīng)采用技術(shù)措施處理后再行存儲(chǔ)。該處理方式與去標(biāo)識(shí)化處理方式存在一定的差異，去標(biāo)識(shí)化處理主要是針對(duì)信息的特征化處理，使該信息失去獨(dú)立識(shí)別信息主體的能力，而此處涉及的處理方式是對(duì)生物信息通過(guò)加密技術(shù)手段存儲(chǔ)或只存儲(chǔ)該信息的摘要部分。

服務(wù)提供過(guò)程中的個(gè)人信息保護(hù)在整個(gè)數(shù)據(jù)存儲(chǔ)過(guò)程中的重要性是毋庸置疑的，易被忽略的是個(gè)人信息控制者停止運(yùn)營(yíng)其產(chǎn)品或服務(wù)時(shí)，個(gè)人信息的安全應(yīng)如何得到保障。對(duì)此，《安全規(guī)范》規(guī)定個(gè)人信息控制者應(yīng)及時(shí)停止收集行為，并將停止運(yùn)營(yíng)通知以公告或逐一送達(dá)方式通知個(gè)人信息主體，與此同時(shí)對(duì)其所持有的個(gè)人信息做出刪除或匿名化處理。

二、使用

在《安全規(guī)范》中，信息的使用是個(gè)人信息主體權(quán)利最為豐富的一個(gè)環(huán)節(jié)，同時(shí)針對(duì)個(gè)人信息控制者的義務(wù)也做出了進(jìn)一步細(xì)化。

首先，是對(duì)個(gè)人信息控制者義務(wù)的明確以及對(duì)其使用個(gè)人信息的權(quán)利限制，諸如數(shù)據(jù)訪問(wèn)控制、個(gè)人信息的展示限制以及使用限制等等。數(shù)據(jù)的訪問(wèn)遵循的是最小授權(quán)原則，該原則在《安全規(guī)范》中一直貫穿始終，與最少夠用、個(gè)人信息保存的時(shí)間最小化要求等共同強(qiáng)調(diào)個(gè)人信息處理環(huán)節(jié)每項(xiàng)操作的必要性。在此基礎(chǔ)上，《安全規(guī)范》采用設(shè)置角色分離、內(nèi)部審批流程以及對(duì)超權(quán)限處理信息人員記錄在冊(cè)等方式嚴(yán)格限制訪問(wèn)個(gè)人信息的人員范圍，采取措施制定標(biāo)準(zhǔn)來(lái)規(guī)范訪問(wèn)模式，建立有效實(shí)用的控制機(jī)制。

其次，在信息使用這一環(huán)節(jié)，《安全規(guī)范》規(guī)定了個(gè)人信息主體訪問(wèn)、更正、刪除、撤回同意、注銷賬戶以及獲取個(gè)人信息副本的權(quán)利。在個(gè)人信息主體發(fā)現(xiàn)其所提供的個(gè)人信息應(yīng)被訪問(wèn)、更正或者刪除時(shí)，個(gè)人信息控制者應(yīng)及時(shí)予以回應(yīng)，也即要求個(gè)人信息控制者面對(duì)個(gè)人信息主體請(qǐng)求的相關(guān)響應(yīng)機(jī)制。

三、對(duì)外提供

個(gè)人信息數(shù)據(jù)的對(duì)外提供，狹義而言主要包括委托處理、共享、轉(zhuǎn)讓以及公開(kāi)披露等幾種方式。

在委托處理情況下，《安全規(guī)范》規(guī)定個(gè)人信息控制者做出的委托行為應(yīng)當(dāng)在法律以及信息主體授權(quán)的范圍內(nèi)，并且個(gè)人信息控制者不僅要對(duì)個(gè)人信息安全影響進(jìn)行評(píng)估，還要對(duì)受委托人實(shí)行一定方式的監(jiān)督，諸如合同約定、審計(jì)等。可以認(rèn)為，委托處理作為將數(shù)據(jù)委托第三方處理的方式，委托方應(yīng)當(dāng)嚴(yán)格審核受托人的資格且對(duì)其進(jìn)行必要的監(jiān)督，以防止發(fā)生無(wú)法估量的危害后果。

對(duì)于共享轉(zhuǎn)讓以及公開(kāi)披露環(huán)節(jié)，《安全規(guī)范》分別做了下述規(guī)定：共享與轉(zhuǎn)讓的情況，原則上應(yīng)予以控制，但又確實(shí)存在需要共享及轉(zhuǎn)讓的情況，考慮到實(shí)際上存在非常重大的風(fēng)險(xiǎn)，因而相較于委托處理的審查以及監(jiān)督方式，另外還需要個(gè)人信息控制者對(duì)轉(zhuǎn)讓與共享的數(shù)據(jù)信息以及轉(zhuǎn)讓共享的情況加以記錄，但其前提是要經(jīng)由個(gè)人信息主體的同意。

個(gè)人信息的公開(kāi)披露有別于個(gè)人信息的展示，個(gè)人信息的展示僅要求個(gè)人信息控制者對(duì)將要被展示的信息去除特征化即可，主要目的在于降低個(gè)人信息在展示環(huán)節(jié)的泄露風(fēng)險(xiǎn)?！栋踩?guī)范》在披露環(huán)節(jié)規(guī)定，原則上拒絕公開(kāi)披露個(gè)人信息，除非經(jīng)由法律授權(quán)或者其他合理事由許可，并且在對(duì)其造成的影響進(jìn)行安全評(píng)估以后，取得個(gè)人信息主體的明示同意，才可以披露相關(guān)信息。

個(gè)人信息安全事件處理與組織管理

個(gè)人信息安全事件的處理主要涉及發(fā)生事故后的緊急應(yīng)對(duì)措施，《安全規(guī)范》就此規(guī)定了應(yīng)急處置和報(bào)告等相關(guān)問(wèn)題。個(gè)人信息控制者應(yīng)當(dāng)就個(gè)人信息制定相關(guān)的安全事件緊急預(yù)案，防患于未然，而相關(guān)的工作人員則要進(jìn)行定期培訓(xùn)以及應(yīng)急演練。預(yù)先演練，熟悉處理流程，在事故發(fā)生后，對(duì)事件內(nèi)容進(jìn)行記錄，并評(píng)估可能造成的影響，同時(shí)將相關(guān)情況告知受影響的個(gè)人信息主體，進(jìn)而據(jù)此形成較為完備的安全事件應(yīng)急處理機(jī)制，最大程度降低事件帶來(lái)的不良后果。

事前的預(yù)防效果一般而言優(yōu)于事后的補(bǔ)救，對(duì)于安全事件的處理問(wèn)題，配備完善的技術(shù)隊(duì)伍，明確各方負(fù)責(zé)人的領(lǐng)導(dǎo)責(zé)任，以此形成良好的管理系統(tǒng)和個(gè)人信息保護(hù)工作機(jī)構(gòu)，為個(gè)人信息安全事件建立堅(jiān)實(shí)的防火墻是比較有效的預(yù)防措施?！栋踩?guī)范》就組織的管理要求制定了一系列相關(guān)規(guī)范，較為主要的措施包括要求個(gè)人信息控制者定期對(duì)個(gè)人信息安全影響進(jìn)行評(píng)估，建立自身的評(píng)估機(jī)制。除此以外，還應(yīng)建設(shè)適當(dāng)?shù)臄?shù)據(jù)安全能力，定期對(duì)相關(guān)人員進(jìn)行管理培訓(xùn)，并對(duì)自身建立的相關(guān)隱私政策以及安全措施的有效性進(jìn)行審計(jì)，完善具體的審計(jì)系統(tǒng)，落實(shí)必要的管理和技術(shù)措施，最大程度地防范個(gè)人信息的泄露、損毀和丟失等情況發(fā)生。