《互聯網個人信息安全保護指南》劍指何方

隨著云計算、大數據、移動應用等技術的快速發展及“互聯網+”行動計劃的有序推進，信息的價值被充分挖掘，其安全性問題受到廣泛關注。在經濟利益驅使下，侵犯公民個人隱私的現象日益增多，相關違法犯罪甚至已經形成完整的利益鏈，給人們日常生活帶來很大的困擾，甚至造成財產損失，危及人身安全。如何保障用戶個人信息安全，已成為網絡信息安全工作的重要一環。

近日，公安部網絡安全保衛局聯合北京網絡行業協會、公安部第三研究所共同研究制定了《互聯網個人信息安全保護指南》（以下簡稱《指南》），就個人信息安全保護的管理機制、安全技術措施和業務流程等作出規定。綜合來看，該《指南》的出臺，主要有以下幾點實踐意義。

一、對建立個人信息持有者的網絡安全合規性具有很強的指導意義

《指南》明確了適用對象為“個人信息持有者”，即對個人信息進行控制和處理的組織或個人�！吨改稀芬幎ǎ�“適用于個人信息持有者在個人信息生命周期處理過程中開展安全保護工作參考使用。適用于通過互聯網提供服務的企業，也適用于使用專網或非聯網環境控制和處理個人信息的組織或個人”。可見，只要涉及對于個人信息的控制與處理，均屬于《指南》的適用范圍。

在確定了主要規范主體的基礎上，《指南》分別從管理機制、技術措施、業務流程和應急處理等方面提出具體的個人信息保護措施。特別是對管理制度、管理機構、管理人員提出了明確指導建議；對個人信息的收集、保存、應用、刪除、第三方委托處理、共享和轉讓、公開披露等業務提出全流程管理。較為完善的整體架構，使得各有關部門單位可以《指南》為依據，建立本企業的用戶信息保護制度。

二、對個人信息持有者在管理機制建設方面提出了明確的指導建議

個人信息持有者要提升信息保護水平，就必須加強內控機制建設，建立相應的管理制度、設置管理機構，配備管理人員，這樣才能提升對個人信息的保護能力，落實保護責任。

在管理制度方面，《指南》對管理制度的內容、制定發布、執行落實與評審改進4個方面提出了要求。如在管理制度內容方面，建議制定個人信息保護的總體方針和安全策略等相關規章制度與文件，制定工作人員對個人信息日常管理的操作規程，建立個人信息管理制度體系以及制定個人信息安全事件應急預案。

在管理機構方面，《指南》對管理機構以及管理人員均提出了要求。如就管理機構而言，《指南》提出應設置指導和管理個人信息保護的工作機構，明確定義機構的職責；應由最高管理者或授權專人負責個人信息保護的工作；等等。

在管理人員方面，《指南》要求加強對個人信息管理人員在錄用、離崗、考核、教育培訓等方面的管理，并對具體的管理措施作出規定。值得一提的是，文件首次提出，要定期考核管理人員對相關工作的基礎知識、安全責任以及懲戒措施、法律法規等的理解，并記錄存檔考核記錄。

三、細化了個人信息全生命周期動態調節的機制

針對我國目前個人信息全生命周期保護不足的狀況，《指南》提出在個人信息持有者收集、保存、應用、委托處理、共享、轉讓和公開披露、刪除個人信息等環節的操作規程，在實際操作層面填補了空白，為提升公民個人信息全生命周期保護意識、企業合規操作提供了新的業務參照和行為指引。

針對個人信息在全生命流程的各個環節，《指南》的規定內容各有側重。

1.收集環節：個人信息收集前，應當遵循合法、正當、必要的原則向被收集的個人信息主體公開收集、使用規則，明示收集、使用信息的目的、方式和范圍等；個人信息收集應獲得個人信息主體的同意和授權，不應收集與其提供的服務無關的個人信息，不應通過捆綁產品或服務各項業務功能等方式強迫收集個人信息；個人信息收集應執行收集前簽署的約定和協議，不應超范圍收集。

2.保存環節：收集到的個人信息應采取相應的安全加密存儲等安全措施進行處理；應對保存的個人信息根據收集、使用目的、被收集人授權設置相應的保存時限；應對保存的個人信息在超出設置的時限后予以刪除。　

3.應用環節：個人信息的應用，應符合與個人信息主體簽署的相關協議和規定，不應超范圍應用個人信息；個人信息主體應擁有控制本人信息的權限；完全依靠自動化處理的用戶畫像技術應用于精準營銷、搜索結果排序、個性化推送新聞、定向投放廣告等增值應用，可事先不經用戶明確授權，但應確保用戶有反對或者拒絕的權利。

4.刪除環節：個人信息在超過保存時限之后應進行刪除，經過處理無法識別特定個人且不能復原的除外；個人信息持有者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息時，個人信息主體要求刪除其個人信息的，應采取措施予以刪除。

5.第三方委托處理環節：在對個人信息委托處理時，不應超出該信息主體授權同意的范圍；在對個人信息的相關處理進行委托時，應對委托行為進行個人信息安全影響評估；對個人信息進行委托處理時，應簽訂相關協議要求受托方符合本文件；應向受托方進行對個人信息數據的使用和訪問的授權。

6.共享和轉讓環節：個人信息原則上不得共享、轉讓。

7.公開披露環節：個人信息原則上不得公開披露。如經法律授權或具備合理事由確需公開披露時，應充分重視風險。

四、采取了安全管理和技術雙輪驅動的技術措施

《指南》意圖以構建層層防御的縱深安全防護體系的方式，通過多重安全保障手段的實施，夯實網絡基礎設施安全防護，為用戶個人信息的采集、存儲、傳輸和使用提供安全可靠的載體。

在技術措施方面，《指南》首先規定了基本要求，提出個人信息處理系統其安全技術措施應滿足GB/T 22239相應等級的要求，按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。需要注意的是，《指南》并沒有一刀切地要求個人信息持有者按照最高等級實行安全保護措施，而是基于企業自身的具體情況，按照所對應的等級開展安全保護。

此外，《指南》對通用要求、擴展要求分別作出規定。就通用要求而言，規定了通信網絡安全、區域邊界安全、計算環境安全、應用和數據安全。就擴展要求而言，提出云計算安全擴展要求和物聯網安全擴展要求。

五、強調建立個人信息安全事件應急處置機制

在傳統網絡安全事件監控與應急響應的基礎上，《指南》進一步加強對用戶個人信息安全事件的監控與應急響應機制，確保在發生用戶個人信息突發事件時能夠及時、高效、順暢、規范地開展應急處置。

《指南》要求，有關部門單位應建立健全網絡安全風險評估和應急工作機制，在個人信息處理過程中發生應急事件時具有上報有關主管部門的機制；應制定個人信息安全事件應急預案；應定期（至少每半年一次）組織內部相關人員進行應急響應培訓和應急演練，使其掌握崗位職責和應急處置策略和規程，留存應急培訓和應急演練記錄；發現網絡存在較大安全風險，應采取措施，進行整改，消除隱患；等等。

總而言之，雖然該《指南》不具有強制力，僅為個人和企業在個人信息生命周期處理過程中開展安全保護工作參考使用，但鑒于我國個人信息保護立法欠缺的實際情況，《指南》第4章管理機制、第5章技術措施、第6章業務流程、第7章應急處置等均與《網絡安全等級保護基本要求》（《信息系統安全等級保護基本要求》）和《信息安全技術 個人信息安全規范》兩個國家標準在要求上做了對接，因此，《指南》的發布可以說及時地填補了個人信息保護中諸多實操領域的規范空白，必將大大促進網絡環境安全可靠。

 

（原載于《保密工作》雜志2019年第7期）