作者:陈长松 北京网络行业协会副秘书长、公安部第三研究所研究员

2019年4月10日,公安部网络安全保卫局联合北京网络行业协会、公安部第三研究所正式发布了《互联网个人信息安全保护指南》(以下简称“指南”),这份指南是在2018年11月30日公安部网络安全保护局发布的《互联网个人信息安全保护指引(征求意见稿)》基础上,听取和采纳社会各方意见修改而成。本公众号特邀指南主要起草人,就指引的若干内容进行解读,供大家参考

一、编制背景

近年来,侵犯公民个人信息的现象日益增多,侵犯公民个人信息的违法犯罪行为也日益猖獗,更为严重的是,此类违法犯罪已经形成了完整的利益链,甚至是灰色产业链,给人们日常生活带来很大的干扰,直至造成财产损失,甚至危及人身安全。随着网络技术的发展,互联网行业持有个人信息的现象日益普遍,侵犯公民个人信息的违法犯罪也与计算机信息系统密切相关。鉴于此,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,会同北京网络行业协会和公安部第三研究所等单位,研究制定了本指南。

二、适用范围

指南的第1章 范围明确了适用对象为“个人信息持有者”,即对个人信息进行控制和处理的组织或个人,指南正式版将征求意见稿的“互联网企业”进一步明确为“通过互联网提供服务的企业”,并且包含了其他“使用专网或非联网环境控制和处理个人信息的组织或个人”,也就是说除了传统意义的互联网企业,也包含金融、电信、交通、教育、医疗等行业,甚至存有大量公民个人信息的房产中介等企业,都应参考指南保护个人信息安全。

三、指南与一些法律法规的相关性

《网络安全法》特别加强和明确了个人信息保护方面的要求,指南的业务流程主要要求按照《网络安全法》编制的,一些细化要求参考了推荐性国家标准GB/T 35273—2017《信息安全技术 个人信息安全规范》;另外,《网络安全法》指出国家实行网络安全等级保护制度,指南的管理要求、技术要求和应急处置,都与《网络安全等级保护基本要求》(《信息系统安全等级保护基本要求》)相一致,履行保护义务,“保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”为目标,这也是《网络安全法》的明确要求。另一方面,是否存在“窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息”等行为,也是《公安机关互联网安全监督检查规定(公安部令第151号)》的检查重点之一。

四、指南与等级保护定级的关系

指南对于网络安全等级保护级别的要求并非明确为三级。指南指出“应满足GB/T 22239相应等级的要求,按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”,这与征求意见稿的“应按照GB/T 22239—2008 7.1第三级的…”略有不同,就是说具体按照《网络安全等级保护基本要求》的哪一级进行保护,则是需要经过等级保护定级备案的过程。这就意味着,根据影响国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的程度,涉及个人信息的数量和类别达到一定规模,仍需按照三级甚至更高级别进行防护。

五、指南中的个人信息是否分级

指南中“个人信息”完全引用了《网络安全法》的定义,与国家标准《个人信息安全规范》在个人信息之外还界定一个个人敏感信息不同,指南并不涉及个人敏感信息这个概念。这说明,指南提出的要求,是个人信息保护的最低要求。

六、关于匿名化的操作

在《个人信息安全规范》中,匿名化是指“通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。”这个术语与欧盟GDPR的匿名化说法有所不同。指南则不使用匿名化这个说法,直接引用《网络安全法》“经过处理无法识别特定个人且不能复原”的描述。

七、对于用户画像的要求

用户画像是互联网企业最常用的营销手段之一,涉及个人信息该如何合法合规使用是企业非常关心的问题。指南指出,“完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利;如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用,应经用户明确授权方可使用其数据”。

八、指南与GB/T 22239和GB/T 35273的章节对比‍

从具体内容看,指南的第4章 管理机制、第5章 技术措施、第6章 业务流程、第7章 应急处置,与《网络安全等级保护基本要求》(《信息系统安全等级保护基本要求》)和《信息安全技术 个人信息安全规范》两个国家标准从内容和要求上做了对接,具体如下:

声明:本文来自国家网安检测中心服务号,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。