个人信息保护是当前被广泛提及的热门话题,2018年以来,随着我国国家标准GB/T35273-2017《信息安全技术个人信息安全规范》标准的实施,以及欧盟通用数据保护条例(GDPR)的生效,个人信息保护的热度进一步攀升。我国近年来高度重视个人信息保护方面的工作,从法律法规到标准规范,自上而下形成了较完善的个人信息保护治理体系,本文就我国个人信息保护的国家标准展开进一步论述,以供参考。
一、我国个人信息保护相关法律法规
我国对于个人数据保护的立法起步较晚,目前还没有专门的个人信息保护法,但在个人信息保护方面已有了相关的法律法规、司法解释、部门规章和规范性文件,主要有《网络安全法》《全国人民代表大会常务委员会pt老虎机游戏:加强网络信息保护的决定》《刑法修正案(九)》《消费者权益保护法》《民法总则》《最高人民法院、最高人民检察院pt老虎机游戏:办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等。
2016年11月7日,全国人大常委会通过了《网络安全法》,它是我国网络安全领域的基础性法律,为我国的个人信息保护工作提供了法律依据。《网络安全法》明确了“个人信息”的定义,“单独或者与其他信息结合识别自然人个人身份的各种信息”,记录的载体可以是电子或者其他方式。第四十条明确了个人信息保护的责任主体是“网络运营者”,他们应当对“收集的用户信息严格保密,并建立健全用户信息保护制度”。第四十一至五十条规定了个人信息保护的基本原则,如第四十一条明确了网络运营者“公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”体现公开透明和个人同意原则;“网络运营者不得收集与其提供的服务无关的个人信息”体现最少够用原则;第四十二条“未经被收集者同意,不得向他人提供个人信息”体现确保安全原则等。《网络安全法》对于侵犯个人信息的行为给出了相关的处罚措施,第六章“法律责任”中明确规定“侵害个人信息依法得到保护的权利”的网络运营者、网络产品或者服务的提供者,严重者可被“吊销营业执照”。
《网络安全法》虽然专章规定了对个人信息的保护,但个人信息保护问题涉及社会的方方面面,需要全面成熟的专门立法来进一步规范。在今年9月份第十三届全国人大常委会立法规划中,《个人信息保护法》和《数据安全法》均被列为第一类项目,属于条件比较成熟、任期内拟提请审议的法律草案。这两部法律的颁布将进一步指导我国的个人信息保护工作,全面提升全社会的个人信息保护水平。
二、我国个人信息保护标准体系与主要内容
《网络安全法》以及正在立法规划中的《个人信息保护法》和《数据安全法》一方面作为层级最高的法律指导着我国个人信息保护工作的开展;另一方面随着网络经济的不断发展,各类个人信息泄露、滥用的事件层出不穷,法律具有概括性和滞后性,常常难以解决这些不断涌现的新情况新案例。国家标准虽然与法律的属性不同,但是国家标准是各相关方的共识,可以推动法律法规的内容具体落地,在指导企业实践方面有着不容忽视的重要意义。
目前,我国正在形成以《个人信息安全规范》为基础的国家标准体系,各项配套国家标准正在有序制定中。《个人信息安全规范》针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,遏制个人信息非法收集、滥用、泄露等乱象,最大程度保障个人的合法权益和社会公共利益。其他正在编制和研究中的个人信息保护国家标准还有:
《信息安全技术个人信息安全影响评估(征求意见稿)》规定了个人信息安全影响评估的基本概念、框架、方法和流程,给出了个人信息委托处理、转让、共享或公开披露前等几种典型的场景,指导各类组织从影响个人自主决定权、引发差别性待遇、个人名誉受损或遭受精神压力、个人财产受损4个维度进行个人权益影响程度判断,自行开展个人信息安全影响评估工作。
《信息安全技术个人信息去标识化指南(送审稿)》建立了个人信息去标识化工作的整体原则,包括合规、个人信息安全保护优先、技术和管理相结合、充分应用软件工具、持续改进;指导和规范了去标识化的过程,包括确定目标、识别标识、处理标识、验证批准以及有效的监控和审查;提供了可供参考的去标识化的技术,包括统计技术、密码技术、抑制技术、假名化技术、泛化技术、随机化技术等;提供了常用去标识化的模型,K-匿名模型、差分隐私模型以及去标识化模型和技术的选择,并给出了相应的参考案例,为个人信息处理相关方提供去标识化的指导,也为第三方机构测评提供依据。
《数据出境安全评估指南(征求意见稿)》提出了个人信息和重要数据出境的安全评估原则、流程要点和方法,列举了境内网络运营者与境外机构进行商业交易或业务合作、网络运营者通过自身互联网平台为位于境外的客户提供服务等几类常见的业务场景,指导网络运营者、网络安全服务机构从数据出境识别、合规性评估、威胁分析、安全保障能力评估等方面进行数据出境安全评估,也为网络运营者进行数据出境安全管理制度和能力建设提供参考。
《个人信息告知同意指南(研究)》在2017年四部委指导下的隐私条款评审工作的基础上,借鉴29工作组pt老虎机游戏:GDPR下同意的指南,研究了影响告知同意的因素,主要有告知的内容、告知的展现形式、告知的实际和频率、同意的模式和实现形式、告知同意载体的法律文件类别等,拟解决细化告知同意的例外情形、告知同意的证据留存、告知的机器可读性等问题。
《健康医疗信息安全指南(草案)》分析总结了国内外健康医疗信息安全威胁,汇集总结国内外健康医疗信息安全管理的最佳实践和最新研究成果,为国内健康医疗信息安全管理提供具体的指导,包括管理和技术方面的安全保障措施。
《个人信息安全工程指南(草案)》将个人信息保护纳入信息系统工程中进行考虑,用于解决在涉及个人信息的信息系统中处理隐私保护问题,实现可预测性、可管理性等目标。
目前,国内已经掀起了对个人信息保护标准进行研究的热潮,就当前我国个人信息保护标准体系而言,其科学性、先进性、完备性在进一步提升,与国际隐私保护标准体系的差距也越来越小。
三、个人信息安全规范与GDPR要求的比较
《个人信息安全规范》系统、详细地阐述了组织实践中对个人信息处理所遵循的要求,且成为很多组织落实我国网络安全法等法律法规要求的重要参考,也有很多机构就标准内容与欧盟GDPR做对比分析。严格意义上来说,标准与法规本身性质不同、用途不同,两者无法去比较,但是从内容来看,两者有着类似的条款要求,仅从内容角度进行比较也有助于增进对条款的理解。
第一,从基本原则来看,个人信息安全规范与GDPR所提出的原则基本一致,如合法、公开、透明、最少够用、确保安全、问责等,这也是国际上对个人信息保护的共识体现;第二,从个人信息处理的合法性基础方面,GDPR给出了6个合法性事由,包括数据主体的同意、履行合同所必需、履行法定义务、保护个人重要利益、维护公共利益、追求正当利益等,而个人信息安全规范是以
我国法律法规为基础,因此仍然提出了以“同意”为基础的措施,只不过对不同情形征得“同意”的方式方法进行细化,也提出了免于同意的场景;第三,GDPR赋予数据主体更为广泛的控制权,包括了知情、访问、更正、删除、限制处理、可携带、反对等权利,而个人信息安全规范中,首先,是就法律法规提出的访问、更正和删除基本权利予以细化;其次,基于个人信息保护的原则提出了撤回同意、注销账号、获取副本等权利,其中对获取个人信息的副本的范围进行限定,便于落地实施,这也是结合国情以及实践综合考虑的体现。
四、个人信息保护标准应用实践
从组织实践角度出发,要落实标准要求,实现全面、可持续的合规管理,参考实践思路如下。总体来看,组织应从两个角度全面考虑个人信息安全工作:一是对内建立体系,二是对外接受监督,然后从落实责任、关键工作、能力提升3方面逐步提升个人信息保护水平。此外,组织还可以将内部优秀实践扩大到多款产品或业务生态的上下游,以带动整体保护水平的提升。
在落实责任层面,其一,个人信息保护合规工作开展得顺利与否直接取决于组织的负责人是否重视,是否提供了足够的资源保障,标准强调了“组织应明确其法定代表人或主要负责人对个人信息安全负全面领导责任”;其二,组织的多个部门应进行明确分工,形成以责任部门和责任人为核心的组织架构;其三,责任部门和责任人应根据组织所运营的产品或服务的具体特点,制定个人信息保护的目标、方针等策略性文件,以及相应的工作计划,比如可以选取一款典型产品就当前情况与《个人信息安全规范》标准要求进行差距分析,全方位识别弱点环节,为制订工作计划提供参考。
在建章立制层面,其一,建立和维护个人信息清单尤为重要,拥有完善的个人信息清单是组织全面、有效、持续实施的个人信息安全保障措施的重要前提,对组织所持有的个人信息可知、可查,对组织个人信息处理活动可视、可溯,也是组织个人信息安全保障能力的重要体现;其二,实施个人信息安全影响评估(PIA)有助于组织提前发现和预防风险事件。比如,在产品设计、上线前进行个人信息安全影响评估,分析对个人权益可能造成的影响,如个人的自主权利、引发差别待遇、精神压力、财产损失等,进一步采取相应措施降低风险,为产品和业务稳定上线运营提供保障。就个人信息安全影响评估,国家标准《个人信息安全影响评估指南》正在制定中,进一步提供了细致实用的参考;其三,发布隐私政策接受社会监督。隐私政策是体现组织个人信息保护策略公开透明的重要举措,是个人以及社会了解组织的窗口,组织应基于上述步骤的工作成果,归纳总结相关策略、规则,形成完善的隐私政策,体现重视个人信息保护工作,主动接受监督的态度。《个人信息安全规范》标准附录中给出的隐私政策的模板可以作为参考。
在能力提升方面,组织应建立个人信息保护的技术体系,采用技术手段和工具系统强化个人信息安全能力。其一,应加强数据安全能力,避免和防止个人信息的泄露、损毁、丢失。加强数据安全能力已有很多现有途径可选,比如采取参考国家有关数据安全能力成熟度标准强化安全能力,参照等级保护、云计算服务相关标准加强系统和平台安全等;其二,积极采取去标识化措施降低个人信息处理的风险,个人信息去标识化是普遍被认为最有效、简便的降低风险的措施,组织应该充分结合业务场景考虑使用此种方法,正在制定的国家标准《个人信息去标识化指南》对去标识化过程和管理措施给出了详尽的参考;其三,应逐步在产品中实现隐私设计(privacy-by-design)和默认隐私(privacy-by-default)理念,将个人信息保护与产品功能体验相结合,实现个人信息主体权利实现的便捷化。此外,合规能力的展现也是组织应该重视的工作,一方面有助于以合规推动业务发展,另一方面可适当减少对接监督管理工作的成本。
总之,数据成为新时代发展的重要驱动力,组织应对数据安全合规问题慎重对待,以法律法规为准绳,以标准规范为参考,建立符合自身发展需求的内部治理方案,方能在数字时代凸显自身优势、发挥数据价值。
(原载于《保密科学技术》杂志2018年10月刊)