2018年11月30日,继《互联网安全监督检查规定》(“《第151号令》”)生效后一个月,公安部网络安全保卫局(“网安局”)发布《互联网个人信息安全保护指引(征求意见稿)》(“《指引》”),旨在从管理机制、技术措施和业务流程三个方面指导互联网企业建立健全个人信息安全保护的安全管理机制和技术措施。《指引》的结构、框架和格式与国家或行业标准的形式相似,这可能是中国首部以标准形式编写的行政性规范文件。

一、《指引》的效力:仅为行政规范性文件,不具有强制约束力

《网络安全法》授予了公安机关在其职责范围内负责网络安全保护和监督管理工作的权力。实践中,在网络安全领域,公安机关的执法主要集中在打击网络犯罪、开展网络安全执法检查等。虽然,《指引》并未明确与其他相关法律、法规、规章等政策文件的关系。但从其起草目的和适用范围来看,可将其视为公安机关为配合《网安法》落地以及进一步细化《第151号令》而制定的执行细则。

从法律层级来看,目前我国并没有对指引的法律层级作出明确的定性。根据之前颁布的指引文件来看,判断指引的性质需结合立法部门和具体内容进行综合判断。该《指引》作为由网安局而非公安部以公安部命令的形式发布的文件,并非《立法法》下的部门规章,而是行政规范性文件。从法律效力而言,该指引明确规定“适用于网络安全监管职能部门依法进行个人信息保护监督检查时参考使用”。因此,虽然《指引》本身不具有强制性约束力,但可能作为公安机关认定网络运营者是否履行网络安全和个人信息保护义务的标准,并依照《网安法》对相应的违法行为进行处罚。

二、适用对象:扩大了《网安法》的适用范围

《指引》提出的主要适用对象为“个人信息持有者”,根据其定义,个人信息持有者既包括了个人信息控制者,也包括了个人信息处理者,因此,无论是个人信息控制者或是个人信息处理者均需实施指引所有要求。

《网安法》适用于网络运营者,即网络的所有者、管理者和网络服务提供者。

《第151号令》适用于互联网服务提供者和联网使用单位。

《个人信息安全规范》(“PISS”)仅适用于个人信息控制者。

上述各法律及规范的适用主体范围关系如下:

三、《指引》的主要内容:指导互联网企业从三方面展开安全保护工作

内容上,《指引》参考了PISS以及《信息系统安全等级保护基本要求》(包括其修订稿,以下简称“《基本要求》”)的主要内容,要求个人信息持有者从以下三个方面开展安全保护工作。

(一)管理机制:建立防火墙,防范企业刑事风险

从目前公安机关侦办的侵犯公民个人信息案件来看,企业“内鬼”是造成个人信息泄露的重要原因之一。为降低企业被卷入侵犯公民个人信息罪的风险,企业需制定相关的内部管理制度,明确员工权限,规范员工行为,对员工行为进行监管、培训、教育。在雀巢员工侵犯公民个人信息案中,兰州市中院认可了雀巢公司所制定和实施的含有个人信息保护合规内容的《员工行为规范》等公司政策,认为其足以证明“雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为”,因此企业制定并实施个人信息保护合规制度对降低单位犯罪风险具有重要实践价值。

该部分参考了《基本要求》中第三级基本要求中的管理要求以及PISS中安全事件应急处置和报告、明确责任部门与人员和人员管理与培训相应内容,指导企业如何从管理制度、管理机构和管理人员三个方面制定制定相关内部政策,切割个人责任与单位责任,防控单位主体刑事风险。

(二)技术措施:确保网络运行安全,应对互联网安全检查

《第151号令》规定了公安机关可以采取现场监督检查或远程检测的两种方式开展互联网安全监督检查,并规定了公安机关在对互联网服务提供者和联网使用单位检测是否存在网络安全漏洞,可以开展远程检测,但并没有规定现场监督检查具体的适用情形。因此,现场监督检查可能会以突袭检查的方式展开。在现场监督检查中,《第151号令》授权公安机关检查人员查看网络与信息安全保护技术措施运行情况等权力。《指引》作为公安机关执法参考,在现场监督检查中,公安机关可能会按照技术措施部分的要求从五个方面检查执法对象是否履行法定网络安全义务。互联网企业可以参照该部分建立应对公安机关互联网安全监督检查方案。

值得注意的是,《指引》很大程度了采用了《基本要求》中第三级基本要求,即在公安机关看来,互联网企业一般需采取第三级以上的基础要求才能满足履行了《网安法》下的网络安全等级保护义务。

(三)业务流程:关注各环节的个人信息保护

《指引》从收集、保存、应用、删除、第三方委托处理、共享和转让、公开披露和应急处理方面进行了规定,保证了整个业务流程安全。业务流程部分除参考PISS中相应的内容外,还基于等级保护基本要求和有关实践增加了相应的安全保护要求。具体对比如下:

《指引》业务流程部分

PISS

其他

收集

条款a、b、c参考了个人信息的收集部分的内容

条款d基于等级保护基本要求及有关实践提出了要求

保存

条款a、b、c参考了PISS个人信息的保存的相应内容

条款d基于等级保护基本要求及有关实践提出了要求

应用

参考了PISS个人信息的使用的相应内容

删除

基于个人信息安全规范、等级保护基本要求及有关实践提出了要求

第三方委托

参考了PISS中委托处理的相应内容

共享和转让

参考了PISS个人信息共享、转让的相应内容

公开披露

参考了PISS个人信息公开披露的相应内容

应急处置

参考了PISS安全事件应急处置和报告和安全事件告知的相应内容

四、结论

作为首个执法部门出台的互联网个人信息保护行政性规范文件,该《指引》虽仍处于征求意见稿阶段,但具有极大的参考价值。一方面,各地公安机关可以援引此文件开展网络安全执法活动,另一方面互联网企业可以在参照《指引》于个人信息生命周期中开展安全保护工作的同时,也建立起符合各自业务实际情况的个人信息保护合规制度。(本文为大成数据保护团队原创,Edith/Taiga对于本文有贡献。)

声明:本文来自个人信息与数据保护实务评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。