第三部分 数据保护相关新规解读
一、《互联网个人信息安全保护指南》与《互联网个人信息安全保护指引(征求意见稿)》和《个人信息安全规范》对比解读
前言
2019年4月10日,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所联合发布《互联网个人信息安全保护指南》(以下简称《个人信息保护指南》)。从2018年11月30日公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》(以下简称《指引意见稿》)面向社会征求修改意见,到正式版的公开发布,时间间隔不到半年,可见公安部门对个人信息保护工作的重视程度。
《个人信息保护指南》全文共七部分,包括范围、规范性引用文件、术语和定义、管理机制、技术措施、业务流程和应急处置。其中,重点围绕管理机制、技术措施、业务流程三个方面展开。接下来,从《个人信息保护指南》与《指引意见稿》和《个人信息安全规范》的对比角度,对七个部分进行具体解析(考虑到篇幅有限,前三部分将合并进行解析)。
(一)范围、规范性引用文件、术语和定义
1.《个人信息保护指南》范围
(1)效力
《个人信息保护指南》由公安部网络安全保卫局发布,并非以公安部令的形式发布,不具有强制执行力。而且,相较于《指引意见稿》,《个人信息保护指南》在第1条“范围”中删去了“适用于网络安全监管职能部门依法进行个人信息保护监督检查时参考使用”。
但是,不能因此否认《个人信息保护指南》的参考借鉴价值。从公安机关的职责和依据看,《网络安全法》第8条明确了公安部门有权在职责范围内负责网络安全保护和监督管理工作;《公安机关互联网安全监督检查规定》则作为公安部门进行网络安全监督检查的执法依据。从专项行动看,公安部深入开展打击整治网络违法犯罪“净网2018”专项行动和2018年全国公安机关网络安全执法检查工作的开展,宣告了公安机关具体负责打击网络违法犯罪和开展网络安全执法检查的双重职能。而在行使前述双重职能的过程中,《个人信息保护指南》作为网络安全保卫局制定的参考性标准,一定程度上会为公安机关认定被检查机构是否履行网络安全义务提供重要参考。
(2)适用对象
《指引意见稿》虽指出“为指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施”,但并未明确互联网企业的认定标准。而《个人信息保护指南》则明确适用对象为“通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人”。只要是通过互联网提供服务的企业或者使用专网或非联网环境控制和处理个人信息的组织和个人,传统意义上的互联网企业,金融机构、医疗机构、电信企业、新闻媒体、教育机构、房产中介等持有个人信息的企业和机构,基本都适用《个人信息保护指南》。
2.《个人信息保护指南》规范性引用文件
(1)引用文件的名称
与《指引意见稿》相比,规范性引用文件没有发生实质性变化,具体如下:
GB/T 25069—2010信息安全技术 术语
GB/T 35273—2017信息安全技术 个人信息安全规范
GB/T 22239信息安全技术 网络安全等级保护基本要求(信息系统安全等级保护基本要求)
(2)引用文件的关系
从《个人信息保护指南》看,其大部分内容参照了《个人信息安全规范》和《网络安全等级保护基本要求》两个国家标准(包括其修订稿)的主要内容,并将网络安全等级保护的要求和个人信息保护的要求相结合并进行细化和补充,与前述两个国家标准形成相辅相成、互相补充的关系。
3.《个人信息保护指南》术语和定义
(1)《指引意见稿》增加及补充的术语和定义
《指引意见稿》增加及补充了“个人信息生命周期”“个人信息持有者”“个人信息持有”“个人信息使用”的术语和定义。相较于《个人信息安全规范》,主要适用对象从“个人信息控制者”扩大到了“个人信息持有者”,将个人信息控制和处理的主体都纳入规制范围。
(2)《个人信息保护指南》进一步增加及补充的术语和定义
在《指引意见稿》新增及补充术语和定义的基础上,《个人信息保护指南》进一步增加了“3.9 个人信息处理系统”的定义,即只要是处理个人信息的计算机信息系统,涉及个人信息生命周期一个或多个阶段,都被认定为个人信息处理系统。
(二)管理机制
整体上,管理机制可以总结为“制度落实”和“责任到人”两个方面。从企业的角度,完善管理机制,不仅有利于为加强个人信息保护提供制度和人员支持,而且有助于有效防范“内鬼”违法违规使用、对外提供和泄露个人信息,实现责任到人和有迹可循,降低企业自身承担刑事责任的风险。
接下来,从对比的角度,具体解析管理机制的内容。
1.《指引意见稿》相应规定解析
《网络安全法》第21条规定:“国家实行网络安全等级保护制度……(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任……”在此基础上,结合《网络安全等级保护基本要求》及其修订稿的规定,参考《个人信息安全规范》及其修订草案“安全事件应急处置和报告”“明确责任部门与人员”和“人员管理与培训”的要求,《指引意见稿》将管理机制具化为管理制度、管理机构、管理人员。
2.《个人信息保护指南》新增及主要调整内容解析
(1)增加管理机制“基本要求”
《个人保护指南》在《指引意见稿》的基础上,进一步增加了“4.1 基本要求”,明确了个人信息处理系统的安全管理要求并非一概而论,而是应满足《网络安全等级保护基本要求》相应等级的要求。
(2)进一步明确个人信息保护负责人的岗位重要性
从事个人信息保护工作的最高负责人也得到进一步明确。从《指引意见稿》的“最高管理者或最高管理者应设置专门岗位从事个人信息保护的工作”,调整为“最高管理者或授权专人负责个人信息保护的工作”,进一步提高了从事个人信息保护工作最高负责人岗位的重要性。
(3)增加设置审计管理员岗位
《个人保护指南》在第4.3.1c)条和第4.3.2b)条增加了设置审计管理员的职责要求,并明确了审计管理员作为重要岗位人员,和安全管理员一样应为专职,不应兼任网络管理员、系统管理员、数据库管理员、数据操作员等其他重要岗位。
(4)进一步从严规范外部人员的访问
在《指引意见稿》明确建立关于物理环境的外部人员访问的安全措施和关于网络通道的外部人员访问的安全措施基础上,《个人信息保护指南》进一步增加了外部人员访问申请需获得批准、全程录音录像和制定外部人员允许接入受控网络访问系统规定的要求,对外部人员的访问管控进一步加强,旨在有效降低在外部人员访问环节对个人信息造成的窃取、盗用和泄露等安全风险。
(三)技术措施
《网络安全法》第21条规定“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改……(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施……”从前述规定可以看出,《网络安全法》明确了采取相应技术措施履行安全保护义务的要求。《公安机关互联网安全监督检查规定》也明确了公安机关对被检查单位技术措施进行监督检查的职责。对企业来说,需要完善技术措施,妥善履行安全保护义务,以更好地防范网络安全风险和迎接公安机关的监督检查。
接下来,从对比的角度,具体解析技术措施的内容。
1.《指引意见稿》相应规定解析
根据《网络安全法》第21条规定,结合《网络安全等级保护基本要求》及其修订稿的规定,并参考《个人信息安全规范》及其修订草案“个人信息访问控制措施”的相应内容,《指引意见稿》明确了应按照《网络安全等级保护基本要求》第三级的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复要求进行安全保护,并进一步明确包括网络和通信安全、设备和计算、应用和数据在内的基本要求,以及针对云计算安全和物联网安全扩展的增强要求。通过该等技术措施要求,旨在加强网络运行安全稳定和个人信息保护。
2.《个人信息保护指南》新增及主要调整内容解析
(1)从统一按照第三级保护要求到满足相应等级要求
《个人信息保护指南》“5.1 基本要求”明确“个人信息处理系统其安全技术措施应满足GB/T 22239相应等级的要求”,而不再适用《指引意见稿》的统一按照第三级保护要求,体现出更多的弹性和严谨性。对于无需按照第三级保护要求的企业来说,可以参考并作为企业技术措施不断完善的方向。更灵活的信息保护要求为企业留下了相应的发展空间。
(2)区域边界安全的防护和审计更加严格
《个人信息保护指南》第5.2.2.1b)条增加了“对非授权设备跨越边界行为进行检查或限制”的要求,将非授权设备跨越边界的行为均视为可能存在风险的行为,并要求进行检查或限制。《个人信息保护指南》第5.2.2.5a)条将安全审计的范围从“重要的用户行为和重要安全事件”扩展到“每个用户行为和安全事件”,将所有用户的行为和安全事件都纳入审计范围,旨在及时发现个人信息处理系统的网络边界、重要网络节点的潜在风险,降低安全隐患。
(3)信息泄露后强制修改密码和备份数据恢复测试的强化
《个人信息保护指南》第5.2.4.1c)条新增“当确定信息被泄露后,应提供提示全部用户强制修改密码的功能,在验证确认用户后修改密码”的要求,加强了对于全部用户密码修改的管控。
《个人信息保护指南》第5.2.4.8a)条增加了“定期对备份数据进行恢复测试,保证数据可用性”的要求,强化个人信息的本地数据备份与恢复功能的执行力度,确保在数据受到攻击、破坏、丢失等问题时能够及时恢复数据。
(4)云计算平台个人信息境内储存要求及出境规范
《个人信息保护指南》第5.3.1a)条新增“应确保个人信息在云计算平台中存储于中国境内,如需出境应遵循国家相关规定”,明确要求云计算平台个人信息境内储存,加强个人信息的属地化管理。对于需要出境的个人信息,应该按照国家相关规定采取相应措施。
(四)业务流程
《网络安全法》第41条、第42条、第43条对个人信息的收集、使用、保存、对外共享提出了明确的规范要求。《个人信息安全规范》及其修订草案,对个人信息全生命周期的规范要求进行了细化和扩充。在《网络安全法》规定的基础上,重点参考《个人信息安全规范》及其修订草案,并部分借鉴《网络安全等级保护基本要求》及其修订版内容,明确了个人信息全生命周期的规范要求及技术要求。
接下来,从对比的角度,具体解析业务流程的内容。
1.《指引意见稿》相应规定解析
《指引意见稿》明确了个人信息收集、保存、应用、删除、第三方委托处理、共享和转让、公开披露和应急处置全业务流程的个人信息保护规定。相较于《个人信息安全规范》,在其收集、保存和删除业务流程的具体要求中,增加了基于等级保护基本要求及有关实践的技术要求内容。
2.《个人信息保护指南》新增及主要调整内容解析
《个人信息保护指南》将《个人信息安全规范》修订草案的部分新增及调整内容吸纳,并对个人信息持有者提出了更多的规范要求。
(1)生物信息摘要、不得强制收集、收集无关信息和大规模收集特定敏感数据
参照《个人信息安全规范》修订草案,《个人信息保护指南》第6.1b)条和第6.1e)条提出了“不应收集与其提供的服务无关的个人信息”“不应通过捆绑产品或服务各项业务功能等方式强迫收集个人信息”和“个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息”的要求,旨在加强对过度收集和捆绑收集个人信息的规制,更好地保护个人生物识别原始信息,提高用户的自主权利。
《个人信息保护指南》第6.1d)条则首次提出“不应大规模收集或处理我国公民的种族、民族、政治观点、宗教信仰等敏感数据”的要求,降低因大规模收集或处理该等特定敏感数据,对国家安全、社会稳定造成的不利影响。对于需要收集和处理用户该等特定敏感数据的企业,需要避免只收集该等特定敏感数据,并控制收集和处理的规模,在使用该等特定敏感数据进行用户画像等其他处理活动时不得依据该等特定敏感数据歧视用户。
(2)境内运营收集和产生的个人信息境内存储及出境规范
《个人信息保护指南》第6.2a)条增加了“在境内运营中收集和产生的个人信息应在境内存储,如需出境应遵循国家相关规定”的要求,明确要求境内运营收集和产生的个人信息境内存储。对于需要出境的个人信息,应该按照国家相关规定采取相应措施。
(3)个人信息修改的规制和增值应用的区分授权
《个人信息保护指南》第6.3b)条增加了“保证修改后的本人信息具备真实性和有效性”的要求,对个人信息修改增加了规制,即不能随意使用虚假信息和失效信息进行修改。
在《个人信息安全规范》修订草案“用户画像”和“约束信息系统自动化决策”的基础上,《个人信息保护指南》第6.3c)条增加了完全依靠自动化处理的用户画像技术对增值应用的区分授权要求,包括两种情形:1)应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利;2)如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用,应经用户明确授权方可使用其数据。也就是说,如果画像技术可能为用户带来法律后果,或者提供给其他网络运营者使用,需要经用户明确授权;如果应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等,至少应通过退订、关闭对应栏目等方式保障用户有反对或者拒绝的权利。该条实际上兼顾了大数据时代用户个人信息保护和实现数据价值的利益衡量,有利于数据价值发掘的同时保障用户的个人信息权利。
(4)强调个人信息安全影响评估要求
在《个人信息安全规范》及其修订草案“委托处理”“个人信息共享、转让”“个人信息公开披露”强调开展个人信息安全影响评估的基础上,《个人信息保护指南》在其第6.5b)条增加“对委托行为进行个人信息安全影响评估”、第6.6b)条增加“确保受让方具备足够的数据安全能力”确保评估效果要求以及第6.7a)条增加“事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施”的要求。个人信息安全影响评估的具体规范内容,可参考《个人信息安全规范》及其修订草案中关于“开展个人信息安全影响评估”的要求。
(5)公开披露个人信息的进一步规制
参考《个人信息安全规范》及其修订草案“公开披露”的要求,《个人信息保护指南》增加第6.7c)条“公开披露个人敏感信息前,除第6.7 b)条中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容”、第6.7e)条“承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任”和第6.7f)条“不得公开披露个人生物识别信息和基因、疾病等个人生理信息”的要求,旨在加强对公开披露个人信息范围的限制,着重保护个人敏感信息和强化个人信息持有者对公开披露个人信息的主体责任。
此处,《个人信息保护指南》增加条6.7g)条“不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果”的要求,降低因公开披露该等特定敏感数据分析结果对国家安全、社会稳定造成的不利影响。
(五)应急处置
《网络安全法》第55条规定,发生网络安全事件,应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。在此基础上,《个人信息安全规范》及其修订草案规定了“个人信息安全事件处置”的要求。在《网络安全法》规定的基础上,参考《个人信息安全规范》及其修订草案规定,《个人信息保护指南》明确了应急机制和预案、处置和响应的要求。
接下来,从对比的角度,具体解析应急处置的内容。
1.《指引意见稿》相应规定解析
《指引意见稿》将应急处置作为业务流程的一部分,提出了建立健全工作机制、制定应急预案、定期组织演练、制定上报机制、进行应急响应训练和应急演练、知晓应急处置策略和规程、记录信息安全事件信息、影响评估和事态控制以及告知个人信息主体的要求。
2.《个人信息保护指南》新增及主要调整内容解析
(1)将“应急处置”作为专章进行规定
与《指引意见稿》将应急处置作为业务流程的一部分不同,《个人信息保护指南》将“应急处置”作为专章进行规定,体现出对应急处置的重视程度进一步提高。
(2)应急预案内容细化要求和定期评估完善要求
《个人信息保护指南》第7.1b)条增加“个人信息安全事件应急预案,包括应急处理流程、事件上报流程等内容”的要求,对应急预案的内容进行了细化要求。
《个人信息保护指南》第7.1d)条增加“应定期对原有的应急预案重新评估,修订完善”的要求,对应急预案的评估和更新提出了要求,保证应急预案能够不断适应最新的企业发展状况和个人信息保护态势。
(3)应急响应培训和应急演练的周期和效果明确
与《个人信息安全规范》及其修订草案要求至少每年一次组织内部相关人员进行应急响应培训和应急演练相比,《个人信息保护指南》第7.1c)条明确了至少半年一次进行应急响应培训和应急演练的要求,时间周期要求更加严格。从效果看,参考《个人信息安全规范》及其修订草案要求,《个人信息保护指南》第7.1c)条增加“使其掌握岗位职责和应急处置策略和规程,留存应急培训和应急演练记录”的要求,防止应急响应培训和应急演练流于形式,切实提高应急处置能力。
(4)进一步明确风险防范、事件上报及社会公众警示信息发布
参考《个人信息安全规范》及其修订草案要求,《个人信息保护指南》第7.2a)条增加“发现网络存在较大安全风险,应采取措施,进行整改,消除隐患;发生安全事件时,应及时向公安机关报告,协助开展调查和取证工作,尽快消除隐患”,第7.2d)条增加“应按《国家网络安全事件应急预案》等相关规定及时上报安全事件,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式”,第7.2e)条增加“及时向社会发布与公众有关的警示信息”的要求,进一步明确网络安全风险防范、安全事件上报和社会公众警示信息发布的规范要求。
2019年,个人信息保护明显进入加速期。《互联网个人信息安全保护指南》的正式发布,为互联网个人信息保护提供了更加明确的参考和指导。建议个人信息持有者,根据《网络安全法》有关规定,参考《个人信息安全规范》及其修订草案、《App自评估指南》和本文解读的《互联网个人信息安全保护指南》,完善个人信息安全保护的管理机制、安全技术措施、业务流程和应急处置方案,保障网络数据安全和用户合法权益。