最优秀的中国互联网法律律师事务所之一

国家标准《信息安全技术 个人信息安全规范》评析

易镁金   2018-02-01 17:25

编者按:

 

随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法,或者转载对该标准的评论文章。本文作者易镁金系百度法务部高级法律顾问。

 
引言
个人信息是一项日益重要的民事权利,我国在民事、行政、刑事法律层面均建立了相应的保护机制,各行业的特别法律法规对某些特殊的个人信息也提出了特殊的法律要求,体现了国家不断加大保护公民个人信息的力度、严厉打击侵犯公民个人信息行为的趋势。但目前的相关法律法规大多停留于原则性、宣示性的层面,在实操方面亟需细化的规范性文件指导。

近日,中央网络安全和信息化领导小组办公室(以下简称“网信办”)、国家质量监督检验检疫总局全国信息安全标准化技术委员会(以下简称“信安标委”)联合发布的国家标准《信息安全技术个人信息安全规范》(GB/T 35273-2017)(以下简称《个人信息安全规范》或“规范”)为我国个人信息保护工作的开展提供了详实的实务指南,该标准是国家推荐性标准,将于2018年5月1日正式实施。

 
一、国家标准《个人信息安全规范》出台背景
《中华人民共和国网络安全法》(以下简称《网安法》)已于2017年6月1日正式实施。《网安法》作为我国网络空间安全管理的基本法律,框架性地构建了许多法律制度和要求,其中个人信息保护制度是《网安法》关注的重点。
 
为了促进相关制度的有效实施
一方面,以网信办为主的监管部门制定了多项配套法规,进一步细化和明确了《网安法》各项制度的具体要求、相关主体的职责以及监管部门的监管方式;

另一方面,信安标委同时制定并公开了一系列以信息安全技术为主的重要标准,为网络运营者提供了详实的操作性合规指引。《个人信息安全规范》自2016年4月开始立项,经过一年多的时间的讨论与修改终于尘埃落定。

参加该标准制定工作的单位包括北京信息安全测评中心、颐信科技有限公司、中国信息安全研究院、中国电子技术标准化研究院、公安部第一研究所、四川大学、上海国际问题研究院等。

《个人信息安全规范》定位于规范各类组织(包括机构、企业等)个人信息处理活动,是我国个人信息保护工作的国家推荐性标准。它为今后开展与个人信息保护相关的各类活动提供了参考,为国家主管部门、第三方测评机构等开展个人信息安全管理、评估工作提供指导和依据。
 
二、《个人信息安全规范》在我国
个人信息法律保护制度中的角色
近年来,随着徐玉玉等个人信息泄露案件被媒体广泛报道,个人信息的立法步伐日益加快。学界主张制定统一的《个人信息保护法》的呼声不断,但由于个人信息内涵及法律属性一直存在不小的争议,导致统一立法事宜并未摆上日程,使得我国的个人信息相关法律规定较为分散。

在2012年全国人民代表大会常务委员会(以下简称全国人大常委会)出台《关于加强网络信息保护的决定》之前,我国并没有个人信息保护的专门立法。

2010年之后伴随着社会各界对于个人信息保护问题关注度的不断提升,在立法中直接制定有关个人信息保护条款的趋势日益明显[①]。

 
2.1 我国个人信息保护相关法律法规
(1)国家根本大法层面,《宪法》(1982年,2004修正)中关于“公民的人格尊严不受侵犯,公民享有通信自由和通信秘密的权利,国家尊重和保障人权”等相关条款是个人信息应当受到法律保护的《宪法》依据。
 
(2)民事法律层面,《民法总则》(2017年)首次对隐私权和个人信息采取“二元论”保护模式[②]。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2014年)首次从司法解释层面,明确了个人信息的法律内涵及侵权责任承担方式。《侵权责任法》(2010年)首次将隐私权纳入民事权益的范畴。

 (3)行政监管法律层面,《网安法》(2017年)延续了《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年)、《电信和互联网用户个人信息保护规定》(2013年)、《消费者权益保护法》(2014年)等关于个人信息保护的思路,明确了“个人信息”的概念,对个人信息保护提出了更为严格的要求。

(4)刑事法律层面,《刑法修正案七》(2009年)新设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。《刑法修正案九》(2015年)对《刑法修正案七》进行了修改,将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,明确放宽了侵犯公民个人信息罪的主体范围。

2017年生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年)(以下简称《两高司法解释》)在《网安法》的基础上,进一步扩大了个人信息的定义范围,将反映特定自然人活动情况的各种信息,例如行踪轨迹信息等均纳入到个人信息保护范畴,同时明确了此罪的认定标准和量刑标准。随着一系列刑事法律的出台,我国个人信息保护迈开了刑法先行的步伐。
 
2.2 《个人信息安全规范》的法律效力及意义
虽然2017年《民法总则》、《网安法》和《两高司法解释》的出台极大程度上促进了我国在个人信息保护方面的立法进程,但对于行业发展,尤其是大数据领域个人信息保护问题,我国的立法并没有给出具体的答案,相关定义和实务方案亟待明确。

《个人信息安全规范》相比国内现行的法律法规规章,以及现有的国家标准,提出了超过130项具体的个人信息保护措施,篇幅超30页,规定详细指导性强,针对各类组织的个人信息处理活动给出了具体操作规范。
 
从法律效力上,《个人信息安全规范》是国家推荐性标准,不属于强制性标准,国家鼓励企业自愿采用。

《中华人民共和国标准化法》第二条规定:本法所称标准(含标准样品),是指农业、工业、服务业以及社会事业等领域需要统一的技术要求。标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准分为强制性标准、推荐性标准,行业标准、地方标准是推荐性标准。强制性标准必须执行。

国家鼓励采用推荐性标准。第二十一条规定:国家鼓励社会团体、企业制定高于推荐性标准相关技术要求的团体标准、企业标准。《个人信息安全规范》给软件行业、互联网行业提供一个可以参考、指导、遵照执行的标准。从内容来看,很像网站的“隐私政策”制定说明。

事实上,《个人信息安全规范》里的很多原则、规范包括隐私政策模板等内容已经在2017年9月网信办召开的个人信息保护提升行动之隐私条款专项工作中被多家参评的互联网公司所使用。在此规范还未发布前,已有相关企业将此规范的内容作为企业内部个人信息保护合规红线相关制度的重要依据。
【表1:个人信息保护相关的重要法规
及规范性文件汇总目录】

 

三、《个人信息安全规范》的主要内容和创新点 
3.1《个人信息安全规范》的体例结构
《个人信息安全规范》分为五个部分:
第一部分给出了规范使用的范围、规范性引用文件、相关术语和定义。

第二部分提出了个人信息安全保障七大原则。

三部分是个人信息收集、保存、使用、委托处理、共享、转让和公开披露全生命周期的具体规范要求。

第四部分是个人信息安全事件处置和组织的管理要求。

第五部分是资料性附录,包括个人信息示例、个人敏感信息判定、保障个人信息主体选择同意权的方法、隐私政策模板。整体而言,体例完整,结构科学。
 
3.2 提出个人信息保护七大原则
围绕个人权益为中心的目标,《个人信息安全规范》借鉴OECD(Organization for Economic Co-operationand Development)《保护个人信息跨国传送及隐私权指导纲领(1980)》和APEC(Asia-Pacific Economic Cooperation)《隐私保护框架(2004)》等国际准则和地区立法的规定,针对个人信息控制者开展个人信息处理活动提出了个人信息安全七大基本原则:

(1)权责一致原则,对个人信息主体合法权益造成的损害承担责任。

(2)目的明确原则,具有合法、正当、必要、明确的个人信息处理目的。

(3)选择同意原则,向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。

(4)最少够用原则,除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。

(5)公开透明原则,以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。

(6)确保安全原则,具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。

(7)主体参与原则,向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。

 
3.3 明确了相关重要定义的范围
《网安法》和《两高司法解释》等法律法规虽然给出个人信息的定义,但未明确个人信息处理活动中重要术语的定义。《个人信息安全规范》弥补了目前法律法规在此方面的不足,为此后制定和实施个人信息保护相关法律法规奠定了基础。

除个人信息定义外,《个人信息安全规范》明确给出了个人敏感信息、个人信息主体、个人信息控制者、收集、明示同意、用户画像、个人信息安全影响评估、删除、公开披露、转让、共享、匿名化、去标识化的定义

值得一提的是,《个人信息安全规范》以资料性附录的形式给出了个人信息、个人敏感信息的范围和类型。将之前存在争议的网络身份标识信息、个人上网记录、个人常用设备信息均列入到个人信息的控制范围内。
【表2:《个人信息安全规范》资料性附录
《个人信息举例》】
【表3:《个人信息安全规范》资料性附录
《个人敏感信息举例》】


 
3.4覆盖个人信息处理活动全生命周期
《个人信息安全规范》的第三部分给出个人信息全生命周期的安全规范要求。涵盖收集、保存、使用、转让和披露、通用安全各个环节。
 
3.4.1个人信息的收集
规范在个人信息的收集环节明确了合法性和最小化的要求,对收集个人信息时的授权同意进行了分类,针对直接获取个人信息和间接获取个人信息提出了不同的规范要求,同时还规定了收集个人信息无需征得个人信息主体授权同意的例外情形。

此环节还重点明确了收集个人敏感信息时的明示同意的具体操作规范以及隐私政策的内容要求,并且通过资料性附录的形式给出了收集敏感信息的产品功能界面模板和隐私政策模板。

 

3.4.2个人信息的保存
个人信息的保存环节,该规范提出了个人信息保存时间最小化、去标识化处理的具体要求。对个人敏感信息的储存,规范要求个人信息控制者采用加密等安全措施,并要求存储个人生物识别信息时应采用技术措施处理后再进行存储。最后,还要求个人信息控制者在停止运营其产品和服务时,应停止收集活动、通知个人信息主体,对所持有的个人信息进行删除或匿名化处理。
 
3.4.3个人信息的使用
在个人信息的使用部分,规范重点明确个人信息主体享有的信息访问权、更正权、删除权、撤销权、注销权、申诉权。对个人信息控制者提出了个人信息访问、展示、使用的限制要求。

同时也规定了与国家安全、国防安全直接相关的;与公共安全、公共卫生、重大公共利益直接相关的;与犯罪侦查、起诉、审判和执行判决等直接相关的;个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的;响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;涉及商业秘密等相关情形下可以不响应个人信息主体的权利请求。
 
3.4.4 个人信息的委托处理、共享、转让、公开披露
在此部分,规范重点规定了个人信息控制者在将用户的个人信息进行外部处理时的规范要求。明确了个人信息控制者不得超授权范围做出委托行为,并须对委托行为进行个人信息安全影响评估,个人信息控制者可通过合同或审计等方式对受委托者进行监督。受委托人未按要求处理个人信息或无法提供足够的安全保护水平或发送安全事件时对个人信息控制者负有反馈义务。

在个人信息共享和转让环节,规范列明了原则上不得共享、转让。确需共享、转让时应事先征得个人信息主体的同意,涉及敏感信息的,应该征得个人信息主体的明示同意。收购、兼并、重组时的个人信息转让,个人信息控制者负有告知义务,如变更后的个人信息控制者变更信息使用目的的,须重新获得个人信息主体的明示同意。
 
公开披露环节,原则上不得公开披露,经法律授权或具备合理事由确需公开披露时,需事先开展个人信息安全影响评估。告知个人信息主体公开披露个人信息的目的、类型,公开披露个人敏感信息前,应该告知涉及的个人敏感信息的内容,不得公开披露个人生物识别信息。共享、转让、公开披露环节与使用环节一样规定了事先征得同意的例外情形。
 
针对服务平台与平台上签约商家等作为共同个人信息控制的情形,规范规定了个人信息控制者和第三方分别承担责任和义务。对于第三方插件问题上,规范认为个人信息控制者和第三方为共同个人信息控制。

 
3.5 明确安全管理的要求
规范要求个人信息控制者建立安全事件应急处置和报告制度,定期开展个人信息安全影响评估,建立数据安全能力,同时要求个人信息控制者对相关人员进行管理和培训,以及安全审计。
 
四、域外法律对《个人信息安全规范》制定的影响
标准在制定过程中参考了个人信息保护方面通行的国际准则、外国的最新立法、权威的国际标准等。

除此之外,《个人信息安全规范》还参考OECD隐私框架、APEC隐私框架等国际规则,欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)、欧美《隐私盾框架》(EU-U.S. Privacy Shield Framework)、美国《消费者隐私权法案》(Consumer Privacy Bill of Rights)等欧美个人信息保护方面的立法。
 
《个人信息安全规范》在参考个人信息保护方面的国际标准的基础上做到与国际接轨。ISO/IECJTC1/S C27是国际标准化组织(I SO)和国际电工委员会(IEC)联合技术委员会(JTC1)下属专门负责信息安全领域标准化研究与制定工作的分技术委员会,SC27/WG5负责身份管理和隐私保护相关标准的研制和维护。

目前最具代表性和体系性的属ISO/IEC29100系列标准,包括:ISO/IEC 29100《隐私保护框架》、ISO/IEC 29101《隐私体系架构》、ISO/IEC 29190《隐私能力评估模型》、ISO/IEC 29134《隐私影响评估》、ISO/IEC29151《个人可识别信息保护指南》等。此外,还有美国的保护个人身份信息机密性指南(NIST SP800-122)、联邦信息系统隐私与安全控制(NISTSP800-53);欧盟的数据保护审计实践清单(CWA 15262:2005),管理者的自评估框架(CWA 16112:2010),个人数据保护良好实践(CWA 16113:2010),等等[③]。
 
五、结语
总体而言《个人信息安全规范》的出台对于行业影响的积极意义大于对大数据等行业发展所产生的限制。期望后续在国家主管部门、第三方测评机构等引用此文件开展个人信息安全管理、评估工作时能够把握好个人信息主体、个人信息控制者、第三方等相关方合理诉求的平衡,让指引文件一方面能够促进个人信息的保护,另一方也能提升大数据、软件等产业的发展水平,多方共治,共同加强社会整体对个人信息保护的意识。
 

[1]王融:《大数据时代》[M],中国工信出版集团、人民邮电出版社,2017年3月第一版,第97页。
[2]李永军:《<民法总则>中个人隐私与信息的“二元制”保护及请求权基础》。
[3]何延哲 洪延青:《<个人信息安全规范>在全国信息安全标准化技术委员会2016年第二次工作组会议周上的进展汇报》。