首页 观点正文

个人信息安全规范国标填补规则空白

  《信息安全技术个人信息安全规范》的出台在软法层面填补了诸多规则空白,为提升公民意识、企业合规和政府调节水平提供了新的业务参照、新的行为指引

  针对新闻媒体报道的“支付宝年度账单事件”,2018年1月6日,国家互联网信息办公室网络安全协调局约谈了支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人。网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的《个人信息保护倡议》的承诺;应严格按照《网络安全法》的要求,加强对支付宝平台的全面排查,进行专项整顿,切实采取有效措施,防止类似事件再次发生。供图/CFP

   2017年12月29日,全国信息安全标准化技术委员会归口的《信息安全技术个人信息安全规范》等23项国家标准正式发布。其中,《信息安全技术个人信息安全规范》(GB/T 35273-2017)(以下简称为《安全规范》),作为国家推荐标准将于2018年5月1日起正式实施。其主要内容包括个人信息及其相关术语基本定义,个人信息安全基本原则,个人信息收集、保存、使用和处理等流转环节以及个人信息安全事件处置和组织管理要求等。

  总体而言,在《网络安全法》规范框架下,立足信息安全的维度,《安全规范》厘定、阐明了个人信息安全保护领域的诸多重要问题,例如“个人信息”这一术语的基本定义、个人信息安全的基本要求等等。此外,《安全规范》以个人信息的流转处理、安全事件的处置应对以及组织管理要求等作为逻辑脉络,针对个人信息的收集、保存、使用以及委托处理、共享、转让、公开披露等各个业务环节对个人信息控制者等主体提出了具体的操作要求以及应守准则。在目前我国个人信息处理规范相对不足的情况下,可以认为《安全规范》的出台在软法层面填补了诸多规则空白,为提升公民意识、企业合规和政府调节水平提供了新的业务参照、新的行为指引。

   个人信息安全的基本原则

  在维护个人信息安全的过程中,需要坚持多方共同参与,积极发挥公民以及其他主体的保护能动性。《安全规范》对个人信息以及个人敏感信息的范围加以界定,进而明确提出了开展个人信息处理活动中个人信息控制者应当遵循的基本原则和安全要求,包括:权责一致;目的明确;选择同意;最少够用;公开透明;确保安全;以及主体参与等等。总体上强调了个人敏感信息尊重个人信息主体真实意愿,保障个人信息主体的访问、更正以及删除其个人信息的权利,同时要求个人信息控制者具备与安全风险相匹配的安全能力,并且采取适当的管理措施和技术手段保护个人信息的保密性、完整性和可用性,切实承担相应的义务与责任。

  可以认为,《安全规范》突出的个人信息处理活动应遵循的原则呼应了国家有关个人信息安全的政策战略、法律法规以及其他规范,尝试勾勒具体且明确的操作规则进而提供可行的合规指南。

   个人信息的流转环节

   一、收集

  《安全规范》在个人信息收集这一重要环节,严格界定了个人信息控制者的权利并明确了其义务,规定在收集个人信息前,应当向信息主体明示相关内容并取得同意;涉及间接获取方式以及个人敏感信息时,应当做出必要说明或取得明示同意且遵守有关法律、行政法规关于个人信息保护的规定。

  在信息收集方面,《安全规范》就个人信息控制者的义务提出了以下几点要旨:(1)合法性,要求个人信息控制者在法律法规规定的范围内采用合法的手段和获取信息的渠道,在征得个人信息主体同意的前提下收集个人信息或要求信息主体提供个人信息。(2)最小化,要求个人信息的收集类型、频率和数量应在必要性的最小要求之内,即符合最少够用原则。在能达到所需目的条件下,只处理最少的个人信息类型和数量。(3)授权同意,要求个人信息控制者处理个人信息时的目的、方式、范围以及相关规则,均要经过个人信息主体的授权同意。

  对于个人敏感信息,《安全规范》根据敏感程度的不同,考虑到敏感度较高的个人信息的收集与提供对个人信息主体带来的不同范围的利害影响,要求个人信息控制者要在个人信息主体完全知情的基础上给出自愿的、具体的、清晰明确的同意的意思表示。同时,若涉及产品或服务的核心功能以及附加功能,应明确告知个人信息主体对此享有的同意与拒绝提供或被收集信息的权利以及由此带来的不利影响。

   二、保存

  针对个人信息的保存,《安全规范》提出了关于信息保存的时间最小化要求与去标识化处理要求,作为个人信息控制者,有义务采取技术措施和其他必要措施,确保其收集的个人信息安全,防止其泄露、毁损、丢失:(1)时间最小化,要求信息的保存时间应与使用目的保持程度上的一致,应满足一定的必要性,在超过保存期限后,即应对信息作出删除或匿名化处理。(2)去标识化处理,是对信息主体的技术性保护,要求将收集到的信息去除识别性特征,并避免该数据二次复原重新识别,妥善地保管信息控制者收集到的各类数据。

  对于个人敏感信息,《安全规范》进一步要求个人信息控制者对存储的个人敏感信息采取加密的安全措施,对于生物识别类信息,应采用技术措施处理后再行存储。该处理方式与去标识化处理方式存在一定的差异,去标识化处理主要是针对信息的特征化处理,使该信息失去独立识别信息主体的能力,而此处涉及的处理方式是对生物信息通过加密技术手段存储或只存储该信息的摘要部分。

  服务提供过程中的个人信息保护在整个数据存储过程中的重要性是毋庸置疑的,易被忽略的是个人信息控制者停止运营其产品或服务时,个人信息的安全应如何得到保障。对此,《安全规范》规定个人信息控制者应及时停止收集行为,并将停止运营通知以公告或逐一送达方式通知个人信息主体,与此同时对其所持有的个人信息做出删除或匿名化处理。

   二、使用

   在《安全规范》中,信息的使用是个人信息主体权利最为丰富的一个环节,同时针对个人信息控制者的义务也做出了进一步细化。

  首先,是对个人信息控制者义务的明确以及对其使用个人信息的权利限制,诸如数据访问控制、个人信息的展示限制以及使用限制等等。数据的访问遵循的是最小授权原则,该原则在《安全规范》中一直贯穿始终,与最少够用、个人信息保存的时间最小化要求等共同强调个人信息处理环节每项操作的必要性。在此基础上,《安全规范》采用设置角色分离、内部审批流程以及对超权限处理信息人员记录在册等方式严格限制访问个人信息的人员范围,采取措施制定标准来规范访问模式,建立有效实用的控制机制。

  其次,在信息使用这一环节,《安全规范》规定了个人信息主体访问、更正、删除、撤回同意、注销账户以及获取个人信息副本的权利。在个人信息主体发现其所提供的个人信息应被访问、更正或者删除时,个人信息控制者应及时予以回应,也即要求个人信息控制者面对个人信息主体请求的相关响应机制。

   三、对外提供

   个人信息数据的对外提供,狭义而言主要包括委托处理、共享、转让以及公开披露等几种方式。

  在委托处理情况下,《安全规范》规定个人信息控制者做出的委托行为应当在法律以及信息主体授权的范围内,并且个人信息控制者不仅要对个人信息安全影响进行评估,还要对受委托人实行一定方式的监督,诸如合同约定、审计等。可以认为,委托处理作为将数据委托第三方处理的方式,委托方应当严格审核受托人的资格且对其进行必要的监督,以防止发生无法估量的危害后果。

  对于共享转让以及公开披露环节,《安全规范》分别做了下述规定:共享与转让的情况,原则上应予以控制,但又确实存在需要共享及转让的情况,考虑到实际上存在非常重大的风险,因而相较于委托处理的审查以及监督方式,另外还需要个人信息控制者对转让与共享的数据信息以及转让共享的情况加以记录,但其前提是要经由个人信息主体的同意。

  个人信息的公开披露有别于个人信息的展示,个人信息的展示仅要求个人信息控制者对将要被展示的信息去除特征化即可,主要目的在于降低个人信息在展示环节的泄露风险。《安全规范》在披露环节规定,原则上拒绝公开披露个人信息,除非经由法律授权或者其他合理事由许可,并且在对其造成的影响进行安全评估以后,取得个人信息主体的明示同意,才可以披露相关信息。

   个人信息安全事件处理与组织管理

  个人信息安全事件的处理主要涉及发生事故后的紧急应对措施,《安全规范》就此规定了应急处置和报告等相关问题。个人信息控制者应当就个人信息制定相关的安全事件紧急预案,防患于未然,而相关的工作人员则要进行定期培训以及应急演练。预先演练,熟悉处理流程,在事故发生后,对事件内容进行记录,并评估可能造成的影响,同时将相关情况告知受影响的个人信息主体,进而据此形成较为完备的安全事件应急处理机制,最大程度降低事件带来的不良后果。

  事前的预防效果一般而言优于事后的补救,对于安全事件的处理问题,配备完善的技术队伍,明确各方负责人的领导责任,以此形成良好的管理系统和个人信息保护工作机构,为个人信息安全事件建立坚实的防火墙是比较有效的预防措施。《安全规范》就组织的管理要求制定了一系列相关规范,较为主要的措施包括要求个人信息控制者定期对个人信息安全影响进行评估,建立自身的评估机制。除此以外,还应建设适当的数据安全能力,定期对相关人员进行管理培训,并对自身建立的相关隐私政策以及安全措施的有效性进行审计,完善具体的审计系统,落实必要的管理和技术措施,最大程度地防范个人信息的泄露、损毁和丢失等情况发生。

   (文 / 吴沈括 霍文新吴沈括:北京师范大学刑科院暨法学院副教授、硕导,中国互联网协会研究中心秘书长;霍文新:北京师范大学刑事法律科学研究院。本文是国家社会科学基金项目[批准号:15CFX035]的阶段性成果。)

  【相关链接

  国家标准《信息安全技术 个人信息安全规范》获批发布(全文)

  按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》于2017年12月29日正式发布,将于2018年5月1日实施。

  世界最严数据法律来了,中国数字经济企业如何应对?

 2018年5月25日,欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)将正式生效。GDPR序言共173条,正文分为11章99条。历经多年商讨的GDPR新条例的实施,意味着欧盟的数据保护水平将达到前所未有的高度。堪称世界史上最严格的数据保护法律,必将对未来全球数字经济产生深远影响。

 GDPR即将生效,中国发布的《信息安全技术个人信息安全规范》也于2018年5月1日起实施。

 

 

责任编辑:陈近梅

分享: