数字经济下的个人信息保护指引,解析《互联网个人信息安全保护指引(征求意见稿)》
11月30日,万豪国际集团发布公告称,旗下喜达屋酒店客房预订数据库遭遇黑客侵入,最多约5亿名客人的信息可能被泄露。令人震惊的是,据其发布的公告称,泄露最早发生于2014年,但直到2018年9月8日万豪国际集团的内部安全工具才首次发出警报,即万豪国际集团让客户隐私数据“裸奔”长达至少4年之久。无独有偶,12月3日,有媒体曝出陌陌3000万条数据泄露并在暗网出售的消息,卖家11月30日贴出的交易截图显示,这些数据的写入时间是2015年7月17日,据卖家透露,这是三年前不法分子通过撞库获得的。
接踵而至的数据泄露安全事件,让个人信息保护相关问题一直处于互联网产业发展的舆论核心。11月30日,公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》(以下简称“《指引》”)并面对社会征求修改意见,再次从制度层面回应了当前网络真实环境中发生的如数据泄露等个人信息数据保护难题,为互联网企业发展过程中个人信息安全保护提供了更细致具体的指引和规范,同时也进一步明确了互联网企业在个人信息安全保护方面的合规要求。
一、 制定背景
公安部网络安全保卫局在征求意见公布通知中提到,为了深入贯彻落实《网络安全法》(以下简称“《网安法》”),指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益研究而起草《指引》。
《网安法》第三章规定网络运营者的网络运行安全义务,其中在第21条规定网络运营者的一般安全保护义务,即网络运营者应当按照网络安全等级保护制度的要求为保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,应当履行:(1)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(3)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(4)采取数据分类、重要数据备份和加密等措施;(5)法律、行政法规规定的其他义务。《指引》对《网安法》第三章特别是第二十一条规定的网络安全保护义务的框架进行了细化。
二、 《指引》的主要内容
《指引》共包含六个部分16个小节,其内容结构如下表:
1范围 | 介绍《指引》的规定内容和应用情形 |
2 规范性引用文件 | 列明应用《指引》必不可少的文件 |
3 术语和定义 | 说明《指引》中出现的术语及其定义 |
4 管理机制 | 提出个人信息持有者在管理制度、管理机构和管理人员等3方面指引规范 |
5 技术措施 | 提出个人信息持有者在物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复要求进行安全保护的要求 |
6 业务流程 | 明确对个人信息持有者在收集、保存、应用、删除、第三方委托处理、共享和转让、公开披露及应急处置等方面的要求 |
除了说明性条款,《指引》主要从管理机制、技术措施和业务流程三个角度对个人信息持有者提出了要求,即对个人信息保护的主体、客体和方法提出了具体规范。
(一) 针对主体目标(个人信息持有者)的要求:管理机制
《指引》提出的主要适用主体目标为“个人信息持有者”。据其定义,为“对个人信息进行控制和处理的组织或个人”,即《指引》规制对象不仅包括对个人信息进行控制和处理的组织也包括对个人信息进行控制和处理的自然人。但《指引》未明确何为个人信息的“控制”和“处理”。关于“控制”和“处理”的定义,可参照欧盟《通用数据保护条例(GDPR)》(以下称“GDPR”)第4条第7项与第8项的规定,控制者(controller)是指单独或与他人共同决定个人数据处理的目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织;处理者(processor)是指为控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。但需要注意以下两点:第一、欧盟的GDPR将主体分为“自然人、法人、公共机构、行政机关或其他非法人组织”,《指引》将主体表述为“组织或个人”。两者对主体规定的逻辑内涵基本相同,但在法律适用上具有较大的区别。GDPR对主体表述更为具体,使得在适用GDPR时,可以基于法律的明文规定直接确定;而适用《指引》时,需要首先通过对法律的解释甚至通过事实进行分析确定。第二、GDPR的中所规定的数据控制者和数据处理者在义务履行、责任承担等方面均存在区别,而《指引》并未对两者进行区分。
《指引》在这一部分参考了《信息安全技术 个人信息安全规范》(GB/T 35273-2017)中“7.1 个人信息访问控制措施” 、“9.1 安全事件应急处置和报告”、“10.1 明确责任部门与人员”和“10.4 人员管理与培训”的相应内容。管理制度方面,包括管理制度的内容、制定发布、执行落实和评审改进;管理机构方面,包括管理机构岗位设置和人员配置;管理人员方面,包括人员的录用、离岗、考核、教育培训和外部人员访问的人员管理内容。以上制度规范可以概括为针对主体目标在制度管理和责任落实两个方面的内容。
1. 制度管理
制度内容方面,《指引》要求网络运营者公司内部合规管理规范中应当制定个人信息保护的总体方针和安全策略等相关规章制度和文件、个人信息的保护管理制度、工作人员对个人信息日常管理的操作规程和个人信息安全事件应急预案。制度实施方面,网络运营者应当明确管理制度制定发布、执行落实和评审改进的实施程序,以保证管理制度内容的贯彻实施;制度管理方面,要求网络经营者具备提供个人信息数据保护的管理能力,熟悉个人信息数据保护的操作流程和特点,且对个人信息安全保护相关的法律法规有深入的理解和解读,建立切实可行的信息安全管理制度,以保证信息安全。
2. 责任落实
《指引》与《信息安全技术 个人信息安全规范》(GB/T 35273-2017)关于人员管理的内容一脉相承。值得关注的是,《指引》将网络运营者安全服务提供的机密性要求,映射到管理人员的录用规范上,要求管理人员的录用需要对被录用人的专业资格进行审查,对技术人员的技术技能进行考核,而且还要建立管理文档,说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等),即要求被录用的管理人员需要具备有效管理执行内部管理制度的能力和经验。同时,《指引》还规定网络运营者需要对被录用的管理人员进行身份背景审查并签订保密协议,以背景审查和保密协议的规范手段预防持有的个人信息外泄。
(二) 针对客体目标(个人信息)的安全要求:业务流程
《指引》中在网络经营者业务流程中对个人信息的收集、保存、应用、删除、第三方委托处理、共享和转让、公开披露和应急处置8个方面进行了较为具体的规范。明确在完整的个人信息生命周期中,个人信息持有者对信息主体的告知义务、信息披露义务和安全保障义务等法律义务在实践中具体落实的细则要求。2013年2月1日起实施的我国首个个人信息保护国家标准,信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012),仅从个人信息的收集、加工、移转和删除四个阶段规定了指引要求,而《指引》参考引用《信息安全技术 个人信息安全规范》(GB/T 35273—2017)的相关规范对个人信息的业务流程要求进行了丰富和细化。增加了“保存”、“第三方委托处理”、 “公开披露”和“应急处置”部分。并将“加工”改为“应用”,“转移”改为“共享和转移”扩大了对个人信息持有者处理数据行为的规范范围,并参考GB/T 35273-2017中7 个人信息的使用和8.2个人信息共享、转让 相应内容部分进行了完善。
在“6.5 第三方委托处理”部分中,信息持有者与被选择第三方之间的责任划分问题。依据《指引》的要求,信息持有者对第三方具有审慎选择义务,应对受托方的数据安全能力进行评估,确保第三方具有保障个人信息数据安全的设备、措施和技术能力,防止其持有的数据通过第三方向外泄露。需要特别注意的是,信息持有者应当明确与第三方约定责任的承担方式和最终归属。根据我国《合同法》第406条关于委托合同的规定,有偿的委托合同,因受托人的过错给委托人造成损失的,委托人可以要求赔偿损失。即若数据受托处理方因过错导致个人信息安全事件给信息持有者造成损失的(如信息权利主体要求信息持有者承担侵权赔偿责任或其他损失),信息持有者可以依据委托合同向数据受托处理方要求赔偿损失。信息持有者进一步规定委托方和受托方的责任有利于明确双方的责任划分,避免出现争议。在“6.6 共享和转让“部分,信息持有者也需要关注与受让方之间的责任分配问题,依据《个人信息保护法(2017年草案)》第42条规定,发生侵权时,信息主体无法确认侵权人的,可以向有权收集、利用或处理个人信息的两个或两个以上的相关主体主张损害赔偿,事先对信息持有者与受让方之间的赔偿责任进行划分,避免因事后责任难以理清而产生的纠纷。
在收集、保存、使用、委托处理、共享、转让和公开披露、销毁个人信息在内的整个个人信息生命周期中,信息持有者对信息主体负有告知义务、信息披露义务和安全保障义务等法律义务。依据《网安法》的规定,信息持有者因实施上述处理和控制信息数据的行为而导致信息主体遭受人身或财产损失的,依法承担民事责任。
(三) 针对保护方法措施的要求:技术措施
《指引》对个人信息安全保护提出的技术方法要求“应按照GB/T 22239—2008 7.1第三级的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复要求进行安全保护,并满足以下要求”,即保护等级是第三级的个人信息持有者需要在满足《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239—2008)对第三级的技术部分要求的基础上,还需要按照《指引》第5章部分的其他技术措施要求对自身的技术措施进行补充、强化或扩展。
比如,《指引》在物理安全保护的物理位置选择与管理方面进行了补充,《指引》要求将个人信息处理系统所处网络划分不同的网络区域进行不同层次的防护处理,如(1)对个人信息处理系统和存储个人信息的设备应作为重点区域部署,并设有边界防护措施;(2)对信息处理核心软硬件所在的位置,按照物理位置和业务功能进行区域划分,区域之间设置物理隔离装置并对该区域设置来访人员申请审批流程的手段,防范来自人为的恶意破坏。
一、 小结
《指引》具体描述了互联网中个人信息安全体系的保护防范轮廓,面向现实网络真实环境中存在的问题和特点提供了具有针对性的操作细则,也对《网安法》具体责任的落实和个人信息安全保护体系提供了更完整的思路。
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
