近日，《互联网个人信息安全保护指南》（下称《指南》）正式发布。

《指南》由公安机关会同北京网络行业协会、公安部第三研究所等单位研究制定，从管理机制、安全技术措施和业务流程三个方面对互联网服务单位的个人信息保护工作提出了详细措施，供通过互联网提供服务的企业、组织和个人参考借鉴。

南都记者注意到，《指南》系首个由公安部牵头出台、现行有效且专门针对个人信息安全的文件，纳入了网络安全等级保护系列标准中的部分管理、技术要求。在收集个人生物识别信息方面，《指南》提出，应仅收集和使用摘要信息，避免收集其原始信息。

据了解，自2007年起，公安部网络安全保卫局牵头组织国内有关专家学者、信息安全企业、科研院所、全国信息安全标准化技术委员会，按照等级保护国家标准要求相继制定出台了120多个行业标准、规范，形成了比较完整的网络安全等级保护标准体系。

《指南》的起草组专家陈长松告诉南都记者，《指南》系首个由公安部牵头出台、现行有效且专门针对个人信息安全的文件。虽然是“首个”文件，但在实战方面，公安机关通过侦办侵犯公民个人信息网络犯罪案件积累了大量经验。

据新华社报道，今年1月22日，公安部在全国范围内组织开展“净网2019”专项行动，严打侵犯公民个人信息、黑客攻击破坏等违法犯罪，深入整治网络黑产、网络乱象。截至目前，全国公安机关共侦破各类涉网案件10611起，采取刑事强制措施11058人。

《指南》中提到，在起草过程中，公安机关除了参考《信息安全技术 个人信息安全规范》和《信息安全技术 网络安全等级保护基本要求（信息系统安全等级保护基本要求）》等国家标准，还结合了侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况。

陈长松指出，《指南》里面有一些技术性要求，与等级保护的管理、技术要求相匹配，“这是跟《个人信息安全规范》比较大的不同”。

南都记者梳理发现，目前网信办、工信部、公安部、信安标委等与个人信息保护相关的职能部门都制定了专门针对个人信息保护的文件，包括《指南》《信息安全规范 个人信息安全规范》《个人信息和重要数据出境安全评估办法（征求意见稿）》《电信和互联网用户个人信息保护规定》等。

在国内外个人信息泄露事件频发、全球监管趋严的大环境下，个人信息保护的重要性愈发凸显，一些企业选择设立首席隐私官、数据保护官等职位，或者成立个人信息保护团队来应对市场需求，但更多的企业并未设立类似职位。

而《指南》建议，应由最高管理者或授权专人负责个人信息保护的工作。

“网安法里明确规定，网络运营者应确保其收集的个人信息安全，也要求确定网络安全负责人”，陈长松向南都记者表示，这意味着网络运营者有安全义务，重点是在管理上要“责任到人”，职务名称反而没那么重要，“首席安全官兼任数据保护官并没有什么问题。”

值得注意的是，《指南》对个人信息持有者的技术措施提出了“扩展要求”，涵盖云计算安全和物联网安全两方面。这与此前的《信息安全技术 网络安全等级保护基本要求》第2部分和第4部分有所重合。

陈长松表示，这是因为《指南》参照了等保的扩展要求，并且考虑到这几个特殊环境的一些细节可能会影响到个人信息安全。比如云计算平台可以在不同的云之间自由调度计算资源，背后很可能涉及跨境传输；在数据迁移过程中，完整性和保密性的问题也普遍存在。

他举例说，一个中小企业租用云平台关心的是提供的服务，对于云平台在哪里并不关心。“但是从个人信息保护的角度来说的话，境内存储本身就是《网络安全法》的一个基本要求”，不过他同时表示，数据出境也不是完全不可以，但必须遵守国家的相关规定。

公安三所的官方解读提到，《指南》中“个人信息”完全引用了《网络安全法》的定义，与《个人信息安全规范》不同，《指南》并不涉及个人敏感信息的概念。这说明，《指南》提出的要求是个人信息保护的最低要求。

南都记者注意到，对于极其敏感的人脸、声纹等个人生物识别信息，《指南》提出，应仅收集和使用摘要信息，避免收集其原始信息。

“因为生物特征这个东西是无法改变的，比如虹膜、指纹，也就是说，原始数据一旦泄露，就是一辈子的事情, 带来的影响非常之大”，陈长松说，因此《指南》建议仅存储个人生物特征识别的摘要信息，也就是经过分析、处理后得到的结果。

此外，《指南》对于第三方有关的委托、共享和转让也做出了详细措施。

比如在共享、转让前，应向个人信息主体告知转让该信息的目的、规模、公开范围数据接收方的类型等信息；受托方对个人信息的相关数据进行处理完成之后，应对存储的个人信息数据的内容进行删除。

值得注意的是，个人信息持有者在共享转让完成之后，对接收方负有延伸责任。《指南》提出，在共享、转让后，应了解接收方对个人信息的保存、使用情况和个人信息主体的权利，例如访问、更正、删除、注销等。

陈长松表示，这项措施是说共享方必须有能力保证接收方有同等或同等以上的能力来保存和使用这些个人信息。不过他坦言，如何让接收方证明的确有这个能力，目前还没有一个明确的办法，以后可能会出认证。

“《指南》的核心是提了好多技术措施。让大家参照技术措施做下来的话，起码在一定程度上风险是可控的”，他表示，希望《指南》能为个人信息持有者所借鉴，让他们“有所顾忌”，把个人信息安全防护做好。