作者简介
辛建峰
中国网络安全审查技术与认证中心高级工程师,长期从事信息技术产品安全、信息系统安全、个人信息安全等方面的研究工作。
张晓梅
中国网络安全审查技术与认证中心高级工程师,长期从事信息安全检测、实验室管理等方面的工作。
毕强
中国网络安全审查技术与认证中心工程师,长期从事信息安全认证及检测、实验室管理等方面的工作。
杨莉
中国网络安全审查技术与认证中心助理工程师,主要从事信息技术产品安全检测、移动应用程序安全检测、软件测评等方面的工作。
陈淑娟
中国网络安全审查技术与认证中心助理工程师,主要从事信息技术产品安全检测、移动应用程序安全检测、软件测评等方面的工作。
论文引用格式:
辛建峰, 张晓梅, 毕强, 等. 个人信息流转安全合规探索[J]. 信息通信技术与政策, 2023, 50(1): 7-12.
个人信息流转安全合规探索
辛建峰 张晓梅 毕强 杨莉 陈淑娟
(中国网络安全审查技术与认证中心,北京 100001)
摘要:基于对国内个人信息安全相关法规、标准的梳理,对个人信息的流转方式进行了分类研究;对个人信息流转在应用过程中遇到的安全合规问题进行了梳理、分类及原因分析;提出个人信息流转安全合规分析模型;对个人信息控制者的个人信息流转活动提出安全合规建议。
关键词:个人信息流转;安全合规;合规建议;个人信息控制者
0 引言
自2021年11月《中华人民共和国个人信息保护法》(简称《个人信息保护法》)实施以来,中央网信办、工业和信息化部、国家市场监督管理总局、公安部等部门以不同形式组织了个人信息安全专项执法检查;与《个人信息保护法》相关的标准体系逐步完善;针对个人信息控制者及其相关业务的检测、认证、评估制度陆续建立,个人信息控制者对法规、标准的认识逐步深入。
由于《个人信息保护法》及相关标准多为概括性、总体性要求,因此在实施过程中,各部门、第三方机构、标准制定者、个人信息控制者对法规和标准的理解存在差异。本文以《个人信息保护法》、GB/T 35273—2020《信息安全技术 个人信息安全规范》[1]等法规、标准的合规活动为研究对象,结合个人信息安全相关标准制定、修订及检测认证工作实践,系统梳理个人信息流转的主要方式,对企业的个人信息流转安全合规活动提出建议。
1 个人信息流转
1.1 个人信息流转的分类
如表1所示,《个人信息保护法》及GB/T 35273—2020《信息安全技术 个人信息安全规范》涉及多类个人信息流转方式。为便于理解和区分,将表1中除“删除”外的各类个人信息流转方式以流转图表示,详情见图1~图6。
表1 个人信息流转类型
图1 个人信息收集
图2 个人信息共享
图3 个人信息转让
图4 个人信息共同控制
图5 个人信息委托处理
图6 第三方接入
1.2 易混淆的概念
1.2.1 委托处理与第三方接入
委托处理与第三方接入的主要区别是个人信息控制权的所有者不同。在委托处理场景下,个人信息控制权属于委托方,受托方仅能按照与个人信息控制者的约定处理个人信息,委托处理完后需将个人信息返还或删除。在第三方接入场景下,个人信息控制权属于第三方,第三方仅将其他平台作为业务入口。
1.2.2 共享与共同控制
在共享场景下,个人信息的全部或一部分被复制给独立的个人信息控制者处理。在共同控制场景下,个人信息仅存在一份,所有个人信息控制者共同决定个人信息处理的方式和目的。
1.3 小结
理解和区分法规及标准中不同的个人信息流转类型,是开展个人信息流转安全合规工作的基础。其中尤以理解“个人信息控制权”的流转为关键。以共享的定义为例,个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程[1]。即共享的个人信息控制权为多个个人信息控制者独立控制。以此类推,收集的个人信息控制权由个人信息主体流转至个人信息控制者;转让的个人信息控制权由一个个人信息控制者流转至其他个人信息控制者;共同控制的个人信息控制权由多个个人信息控制者共同决定个人信息的处理;委托处理的个人信息控制权暂时共享给第三方;第三方接入的个人信息控制权由第三方独立获取。
2 个人信息流转安全合规实践问题及原因分析
2.1 产业界、法规界、标准界认知的差异
本部分以信息技术产业界的第三方软件开发工具包(Software Development Kit,SDK)与法规、标准中第三方接入为例说明产业界与法规界、标准界认知的差异。
第三方SDK是随着信息技术产业的发展,产业分工细化而产生的,是信息技术产业自然发展的产物。第三方SDK具有提高开发效率、减少重复劳动、保护知识产权等优点。典型的第三方SDK包括地图导航、问题诊断、数据分析、身份鉴别等类型。
第三方接入的概念出现于“GB/T 35273—2020 9.7 第三方接入管理”[1]章节。根据该标准的解释,第三方接入者仅将其他产品或服务作为业务入口,可独立收集个人信息。
由此可见,第三方SDK是信息技术产业界的技术概念;而第三方接入是有关个人信息安全的法规、标准概念,是个人信息的一种流转类型,二者不能等同。第三方SDK可集成各种业务功能,可涉及个人信息法规、标准中的多种个人信息流转类型。下面通过两个第三方SDK举例说明。
(1)嵌入在手机应用程序(Application Program,APP)中的地图导航SDK可为APP提供定位服务和数据,地图导航SDK也会自行独立收集一部分个人信息,因此该业务场景涉及第三方接入、共享等个人信息流转方式。
(2)短信接口SDK可帮助APP运营者向指定手机号发送短信,短信接口SDK的运营商不能存储手机号及短信内容,仅可提供短信接口服务,因此短信接口SDK属于委托处理的业务场景。
产业界多从生产的视角看待技术方案,其目的是提高生产效率;法规界、标准界多从合规视角看待技术方案,其目的是符合法规、标准要求。二者之间存在一定的认知差异。
2.2 个人信息流转的模糊边界
当前法规、标准对个人信息流转的规定均为原则性、框架性的,不能覆盖所有情况和边界,下面通过几个场景举例说明因个人信息流转的模糊边界而引起的相关问题。
场景1:个人信息控制者复杂的股权结构导致个人信息安全风险加大。如某款APP的运营者涉及众多股东,具有复杂的股权结构。APP运营者股东间应属于个人信息共同控制者,如果约定所有股东均可访问个人信息,则个人信息泄露的风险骤增,但此种情况在符合当前法规、标准要求时是允许的。
场景2:某大型企业拥有多款APP,该企业旗下APP之间的个人信息可否共享?目前的法规、标准尚未对此有明确规定。从检测、认证机构的安全实践角度看,未获得个人信息主体同意前不建议共享;从企业的经营利益角度看,存在共享的情况。
场景3:不同部门对法规、标准的理解和实施尺度不一致。如针对个人信息的收集,一些部门认为在APP端本地采集个人信息即为收集;另一些部门则认为APP端本地采集个人信息因未发生个人信息控制权流转,不属于收集。
个人信息安全相关的法规、标准颁布实施时间较短,在实施过程中难免遭遇一些特殊情况,相信随着法规的深入实施和标准的不断完善,一些模糊边界引起的问题会得到解决。
2.3 个人信息流转安全合规实践相关问题的原因分析
信息技术产业界、法规界、标准界看待信息技术方案的视角不同,导致认知存在差异,需要经历一段磨合期。
《个人信息保护法》自2021年11月实施至今已2年多。《个人信息保护法》的实施对维护公民个人信息安全、国家安全意义重大。《个人信息保护法》规范了个人信息处理的基本原则和框架,打击了贩卖个人信息黑色产业链,弥补了个人信息安全领域的法律空白,是产业和时代发展的必然结果。《个人信息保护法》相关法规、标准制定的目的是保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。在《个人信息保护法》出台之前,信息技术产业界以追求生产效率、提高经济效益为目的,对个人信息的保护缺乏有效监管。
当前,我国网民规模、国家顶级域名注册量均为全球第一,互联网发展水平、数字经济规模等居全球第二[2]。随着移动互联网飞速发展,人们在工作和生活中产生越来越多个人信息,这些信息被收集和分析,极大地推动了经济社会的发展[3]。《个人信息保护法》在我国信息技术产业高度发达的背景下应运而生。《个人信息保护法》的出台对信息技术产业界提出了新要求,企业在发展的同时需要适应新的法规、标准要求,产业发展与新法规、标准要求之间的矛盾需要时间解决。《个人信息保护法》等新法规、标准均为原则性、框架性要求,政府相关部门陆续出台了个人信息安全治理相关的部门规章,但要求和判定尺度不统一,国家层面权威、统一的评价细则尚未出台。
3 个人信息流转安全合规分析模型
本章针对个人信息控制者提出个人信息流转安全合规分析模型,包括模型构建、模型维护等环节。
3.1 模型构建
个人信息流转安全合规分析模型构建流程如图7所示。表2所示为模型中各阶段工作的详细说明。
图7 个人信息流转安全合规分析模型
表2 个人信息流转安全合规分析模型说明
3.2 模型维护
当发生新增及更新法规和标准、业务变更、使用新的第三方SDK、对外提供个人信息业务发生变化等情况时,需根据模型重新评估,根据个人信息流转的合规必要性和业务需求适时启动整改流程。
3.3 小结
本章所提出的个人信息流转安全合规分析模型可为个人信息控制者内部进行个人信息流转安全合规工作提供借鉴。本模型仅提供个人信息流转安全合规分析的大致思路,个人信息控制者可根据自身实际业务需求参考使用。
4 个人信息流转安全合规建议
4.1 密切跟踪法规、标准动态
近年,《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《个人信息保护法》、跨境个人信息安全相关法律法规等相继出台,政府各管理部门在此基础上颁布、实施了相应的管理办法[4-5],个人信息安全相关国家标准制定、修订速度加快[6-9]。总体来看,我国基本形成了从顶层设计到政策落地一整套的个人信息保护框架[10]。建议个人信息控制者积极参与个人信息安全相关法规、标准、制度的建立,密切跟踪法规、标准的实施,拓宽沟通渠道,为个人信息流转安全合规工作奠定基础。
4.2 严格个人信息流转内部控制
当前,个人信息安全是社会热点话题,个人信息安全方面出问题会对企业造成较大负面影响。建议个人信息控制者内部严格控制个人信息流转活动;根据法规、标准要求对个人信息流转活动进行分类,并利用本文的个人信息流转安全合规分析模型进行内部控制,以此降低外部个人信息安全违规风险。
4.3 提高个人信息安全相关技术能力
一方面,建议密切跟踪个人信息安全相关法规、标准具体实施尺度,结合个人信息控制者内部的业务需求,适时调整企业内部的个人信息安全管理制度和技术策略,从业务层面防范个人信息安全事件发生。另一方面,建议企业增强信息安全基础技术能力建设,增强个人信息安全技术保障能力,提高第三方调试和攻击的难度。
5 结束语
本文从个人信息流转安全合规角度,梳理了个人信息流转的分类,对关键的个人信息流转概念进行了区分说明,对在个人信息流转安全合规活动期间所遇到的部分问题进行了介绍和原因分析,提出了个人信息流转安全合规分析模型,对个人信息控制者的个人信息安全流转合规活动提出建议,可为个人信息控制者的个人信息安全流转合规活动提供参考。
Exploration of personal information transfer and security compliance
XIN Jianfeng, ZHANG Xiaomei, BI Qiang, YANG Li, CHEN Shujuan
(China Cybersecurity Review Technology and Certification Center, Beijing 100001, China)
Abstract: Based on the review of domestic regulations and standards related to personal information security, this paper first classifies and studies the transfer methods of personal information. In addition, it sorts out, classifies, and analyzes the actual security compliance problems encountered in the process of personal information transfer. Then, it proposes a security compliance analysis model for personal information transfer. Finally, it gives security compliance suggestions for the personal information transfer activities of personal information controllers.
Keywords: personal information transfer; security compliance; compliance suggestions; personal information controller
以上文章刊于《信息通信技术与政策》2024年 第1期
声明:本文来自信息通信技术与政策,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。