保护指引

保护指南

评析

本指引规定了个人信息安全保护的安全管理机制、安全技术措施和业务流程的安全。

本指引适用于指导个人信息持有者在个人信息生命周期处理过程中开展安全保护工作，也适用于网络安全监管职能部门依法进行个人信息保护监督检查时参考使用。

本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。

适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参考使用。本文件适用于通过互联网提供服务的企业，也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。

保护指南与保护指引的范围基本相同，仅在适用对象方面有所区分，保护指南明确适用对象包括互联网企业和专网或非联网环境控制和处理个人信息的组织或个人，删除了保护指引中原有的执法监督检查时参考使用的环节，强调了保护指南的参考作用。

保护指引

保护指南

评析

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239—2008 信息安全技术 信息系统安全等级保护基本要求

GB/T25069—2010 信息安全技术 术语

GB/T35273—2017 信息安全技术 个人信息安全规范

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069—2010 信息安全技术 术语

GB/T35273—2017 信息安全技术 个人信息安全规范

GB/T22239 信息安全技术 网络安全等级保护基本要求（信息系统安全等级保护基本要求）

保护指南最终删除了等保基本要求规范的日期限制，我们理解这与等保标准的修订进程有关，企业需要保持密切关注。

保护指引

保护指南

评析

3.1个人信息[1]

3.2个人信息主体

3.3个人信息生命周期：包括个人信息主体收集、保存、使用、委托处理、共享、转让和公开披露、销毁个人信息在内的全部生命历程。

3.4个人信息持有者：对个人信息进行控制和处理的组织或个人。

3.5个人信息持有：对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。

3.6个人信息收集

3.7个人信息使用

3.8个人信息删除

相较保护指引新增：

3.9个人信息处理系统

处理个人信息的计算机信息系统，涉及个人信息生命周期一个或多个阶段（收集、保存、应用、委托处理、共享、转让和公开披露、删除）。

保护指南最终就个人信息的定义引用了网安法的规定（保护指引引用了个人信息安全规范），并新增了个人信息处理系统的定义，除此之外，二者并无显著区别。但它们都提出了个人信息持有和持有者的概念，持有者包括个人信息安全规范中提及的控制者和处理者，此外还对个人信息生命周期进行了定义。

保护指引

保护指南

评析

4.1管理制度

4.1.1管理制度内容

4.1.2管理制度制定发布

4.1.3管理制度执行落实

4.1.4管理制度评审改进

4.2管理机构

4.2.1管理机构的岗位设置

4.2.2管理机构的人员配置

4.3管理人员

4.3.1管理人员的录用

4.3.2管理人员的离岗

4.3.3管理人员的考核

4.3.4管理人员的教育培训

4.3.5外部人员访问

新增：

4.1　基本要求

个人信息处理系统的安全管理要求应满足GB/T 22239相应等级的要求。

保护指南最后增加了4.1满足等级保护相应规定的总体要求，其他的要求基本保持不变，仅在内部顺序和内容组织上进行了微调。

保护指引

保护指南

评析

5.1基本要求

应按照GB/T 22239—2008 7.1第三级的物理安全、网络安全、主机安全、应用安全、数据安全及备份 恢复要求进行安全保护，并满足以下要求：

5.1　基本要求

个人信息处理系统其安全技术措施应满足GB/T 22239相应等级的要求，按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

与4.管理机制的修改思路保持一致，保护指南强调了应满足等保技术标准相应等级的要求，与保护指引统一采取第三极等保这一较高标准的要求不同，要求处理系统按照其相应等级履行义务，给予企业根据自身的保护等级和风险大小予以适当保护的空间，更加符合网安法等级保护制度。

5.1.1 网络和通信安全

5.1.1.1 网络架构

5.1.1.2 通信传输

5.1.1.3 边界防护

5.1.1.4 访问控制

5.1.1.5 入侵防范

5.1.1.6 恶意代码和垃圾邮件防范

5.1.1.7 安全审计

5.1.2 设备和计算

5.1.2.1 身份鉴别

5.1.2.2 访问控制

5.1.2.3 安全审计

5.1.2.4 入侵防范

5.1.2.5 恶意代码防范和程序可信执行

5.1.2.6 资源控制

5.1.3 应用和数据

5.1.3.1 身份鉴别

5.1.3.2 访问控制

5.1.3.4 软件容错

5.1.3.5 资源控制

5.1.3.6 数据完整性

5.1.3.7 数据保密性

5.1.3.8 数据备份恢复

5.1.3.9 剩余信息保护

5.2   增强要求

5.2.1   云计算安全增强要求

5.2.2   物联网安全扩展增强要求

5.2　通用要求

5.2.1　通信网络安全

5.2.1.1　网络架构

5.2.1.2　通信传输

5.2.2　区域边界安全

5.2.2.1　边界防护

5.2.2.2　访问控制

5.2.2.3　入侵防范

5.2.2.4　恶意代码防范

5.2.2.5　安全审计

5.2.3　计算环境安全

5.2.3.1　身份鉴别

5.2.3.2　访问控制

5.2.3.3　安全审计

5.2.3.4　入侵防范

5.2.3.5　恶意代码防范和程序可信执行

5.2.3.6　资源控制

5.2.4　应用和数据安全

5.2.4.1　身份鉴别

5.2.4.2　访问控制

5.2.4.3　安全审计

5.2.4.4　软件容错

5.2.4.5　资源控制

5.2.4.6　数据完整性

5.2.4.7　数据保密性

5.2.4.8　数据备份恢复

5.2.4.9　剩余信息保护

5.3扩展要求

5.3.1　云计算安全扩展要求

新增：a) 应确保个人信息在云计算平台中存储于中国境内，如需出境应遵循国家相关规定；

5.2.2   物联网安全扩展增强要求

就通用要求而言，基本源自等级保护标准中与数据保护相关的内容，具体内容上保护指南与之前相差不大，仅做了体系上和逻辑上的微调。

保护指南新增了关于个人信息云平台存储的要求，一是确保数据本地化存储（云计算的IDC要在境内），二是如需出境，则还要遵循数据出境的监管规定。

保护指引

保护指南

评析

6.1收集

个人信息的收集行为应满足以下要求：

a) 个人信息收集前，应向被收集的个人信息主体公示本机构收集的目的、范围、方法和手段、处理方式等信息；

b) 个人信息收集应获得个人信息主体的同意和授权；

c) 个人信息收集应执行收集前签署的约定和协议，不应有超范围收集的现象；

d) 应确保收集个人信息过程的安全性：

1） 收集个人信息之前，应有对被收集人进行身份认证的机制，该身份认证机制应具有相应安全性；

2） 收集个人信息时，信息在传输过程中应进行加密等保护处理；

3） 收集个人信息的系统应落实网络安全等级保护要求；

4） 收集个人信息时应有对收集内容进行安全检测和过滤的机制，防止非法内容提交

个人信息的收集行为应满足以下要求：

a)   个人信息收集前，应当遵循合法、正当、必要的原则向被收集的个人信息主体公开收集、使用规则，明示收集、使用信息的目的、方式和范围等信息；

b)   个人信息收集应获得个人信息主体的同意和授权，不应收集与其提供的服务无关的个人信息，不应通过捆绑产品或服务各项业务功能等方式强迫收集个人信息；

c)   个人信息收集应执行收集前签署的约定和协议，不应超范围收集；

d)   不应大规模收集或处理我国公民的种族、民族、政治观点、宗教信仰等敏感数据；

e)   个人生物识别信息应仅收集和使用摘要信息，避免收集其原始信息；

f)   应确保收集个人信息过程的安全性：

1）收集个人信息之前，应有对被收集人进行身份认证的机制，该身份认证机制应具有相应安全性；

2）收集个人信息时，信息在传输过程中应进行加密等保护处理；

3）收集个人信息的系统应落实网络安全等级保护要求；

4）收集个人信息时应有对收集内容进行安全检测和过滤的机制，防止非法内容提交。

1.增加了网安法项下规定的收集原则，使用明示而非公示的表述，结合了APP自查指南的规定，对于收集无关信息，捆绑授权的现象进一步作出了禁止；

2.对于生物识别信息等个人敏感信息进一步做出了降低风险进行收集的要求；

3.对于大规模收集公民的敏感数据进行了禁止，与网安法项下的重要数据制度或可相关；

4.与《个人信息安全规范》相比，强调了等保及内容管理相关的技术措施。

6.2保存

个人信息的保存行为应满足以下要求：

a) 收集到的个人信息应采取相应的安全加密存储等安全措施进行处理；

b) 应对保存的个人信息根据收集、使用目的、被收集人授权设置相应的保存时限；

c) 应对保存的个人信息在超出设置的时限后予以删除；

d) 保存信息的主要设备，应对个人信息数据提供备份和恢复功能，确保数据备份的频率和时间间隔，并使用不少于以下一种备份手段：

1) 具有本地数据备份功能；

2) 将备份介质进行场外存放；

3) 具有异地数据备份功能。

个人信息的保存行为应满足以下要求：

a)   在境内运营中收集和产生的个人信息应在境内存储，如需出境应遵循国家相关规定；

b)   收集到的个人信息应采取相应的安全加密存储等安全措施进行处理；

c)   应对保存的个人信息根据收集、使用目的、被收集人授权设置相应的保存时限；

d)   应对保存的个人信息在超出设置的时限后予以删除；

e)   保存信息的主要设备，应对个人信息数据提供备份和恢复功能，确保数据备份的频率和时间间隔，并使用不少于以下一种备份手段：

1)   具有本地数据备份功能；

2)   将备份介质进行场外存放；

3)   具有异地数据备份功能。

1.增加了境内运营收集的个人信息本地化存储的要求；

2.与《个人信息安全规范》相比增加了备份的一些技术要求。

6.3应用

个人信息的应用应满足以下要求：

a)   对个人信息的应用，应符合与个人信息主体签署的相关协议和规定，不应超范围应用个人信息；注：经过匿名化或脱敏的方式处理的个人信息数据可用于历史、统计或科学目的，可以超出与信息主体签署的 相关使用协议和约定，但应提供适当的保护措施进行保护。

b)   个人信息主体应拥有控制本人信息的权限，包括：1) 允许对本人信息的访问；2) 允许对本人信息的修改，包括纠正不准确和不完整的数据；

c)   应对个人信息的接触者设置相应的访问控制措施，包括：1) 对被授权访问个人信息数据的工作人员按照最小授权的原则，只能访问最少够用的信息， 只具有完成职责所需的最少的数据操作权限；2) 对个人信息的重要操作设置内部审批流程，如批量修改、拷贝、下载等；3) 对特定人员超限制处理个人信息时配置相应的责任人或负责机构进行审批，并对这种行为   进行记录。

d)   应对必须要通过界面展示的个人信息进行去标识化的处理。

个人信息的应用应满足以下要求：

a)   对个人信息的应用，应符合与个人信息主体签署的相关协议和规定，不应超范围应用个人信息；注：经过处理无法识别特定个人且不能复原的个人信息数据，可以超出与信息主体签署的相关使用协议和约定，但应提供适当的保护措施进行保护。

b)   个人信息主体应拥有控制本人信息的权限，包括：1) 允许对本人信息的访问；2) 允许通过适当方法对本人信息的修改或删除，包括纠正不准确和不完整的数据，并保证修改后的本人信息具备真实性和有效性；

c)   完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用，可事先不经用户明确授权，但应确保用户有反对或者拒绝的权利；如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用，或跨网络运营者使用，应经用户明确授权方可使用其数据；

d)   应对个人信息的接触者设置相应的访问控制措施，包括：

1)   对被授权访问个人信息数据的工作人员按照最小授权的原则，只能访问最少够用的信息，只具有完成职责所需的最少的数据操作权限；2) 对个人信息的重要操作设置内部审批流程，如批量修改、拷贝、下载等；3) 对特定人员超限制处理个人信息时配置相应的责任人或负责机构进行审批，并对这种行为进行记录。

e)   应对必须要通过界面（如显示屏幕、纸面）展示的个人信息进行去标识化的处理。

1.采取了网络安全法项下关于匿名化的表述；

2.增加了修改权删除权的行使效果描述；

3.关于自动化处理的用户画像进行了基本的规定，与《个人信息安全规范》7.10约束信息系统自动决策相比，对于可能对用户带来法律后果的应用提出了更进一步明确授权的要求（7.10仅要求提供申诉的权利），但在实践中可能需要具体分析（如司法决策可能无需用户明确授权）；此外与《个人信息安全规范》2019修改草案7.4个性化展示及退出的规定也有所差异，仅确保其有反对或拒绝的权利（7.4还包括显著标识、提供不针对选项以及增强控制能力），这一点需要进一步关注《个人信息安全规范》的修订情况。

6.4删除

a)   个人信息相关存储设备，应在个人信息超过保存时限之后进行删除；

b)   个人信息相关存储设备，将存储的个人信息数据进行删除之后应采取措施防止通过技术手段恢复；

c)   对存储过个人信息的设备在进行新信息的存储时，应将之前的内容全部进行删除；

d)   废弃存储设备，应在进行删除后再进行处理。

a)   个人信息在超过保存时限之后应进行删除，经过处理无法识别特定个人且不能复原的除外；

b)   个人信息持有者如有违反法律、行政法规的规定或者双方的约定收集、使用其个人信息时，个人信息主体要求删除其个人信息的，应采取措施予以删除；

c)   个人信息相关存储设备，将存储的个人信息数据进行删除之后应采取措施防止通过技术手段恢复；

d)   对存储过个人信息的设备在进行新信息的存储时，应将之前的内容全部进行删除；

e)   废弃存储设备，应在进行删除后再进行处理。

1.增加了匿名化的例外；

2.增加了个人信息主体有权要求非法收集使用个人信息的删除。

6.5　第三方委托处理

a)   在对个人信息委托处理时，不应超出该信息主体授权同意的范围；

b)   在对个人信息的相关处理进行委托时，应对受托方的数据安全能力进行评估；

c)   对个人信息进行委托处理时，应签订相关协议要求受托方符合本规范；

d)   应向受托方进行对个人信息数据的使用和访问的授权；

e)   受托方对个人信息的相关数据进行处理完成之后，应对存储的个人信息数据的内容进行删除。

a)   在对个人信息委托处理时，不应超出该信息主体授权同意的范围；

b)   在对个人信息的相关处理进行委托时，应对委托行为进行个人信息安全影响评估；

c)   对个人信息进行委托处理时，应签订相关协议要求受托方符合本文件；

d)   应向受托方进行对个人信息数据的使用和访问的授权；

e)   受托方对个人信息的相关数据进行处理完成之后，应对存储的个人信息数据的内容进行删除。

基本一致

6.6共享和转让

如存在个人信息共享和转让行为时，应满足以下要求：

a)   共享和转让行为应经过合法性、必要性评估；

b)   在对个人信息进行共享和转让时应进行安全影响评估，应对受让方的数据安全能力进行评估，并按照评估结果采取有效的保护个人信息主体的措施；

c)   在共享、转让前应向个人信息主体告知转让该信息的目的、数据接收方的类型等信息；

d)   在共享、转让前应得到个人信息主体的授权同意；

e)   应记录共享、转让信息内容，将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记；

f)   在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利，例如访问、更正、删除、注销等。

个人信息原则上不得共享、转让。如存在个人信息共享和转让行为时，应满足以下要求：

a)   共享和转让行为应经过合法性、必要性评估；

b)   在对个人信息进行共享和转让时应进行个人信息安全影响评估，应对受让方的数据安全能力进行评估确保受让方具备足够的数据安全能力，并按照评估结果采取有效的保护个人信息主体的措施；

c)   在共享、转让前应向个人信息主体告知转让该信息的目的、规模、公开范围数据接收方的类型等信息；

d)   在共享、转让前应得到个人信息主体的授权同意，与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外；

e)   应记录共享、转让信息内容，将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记；

f)   在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利，例如访问、更正、删除、注销等；

g)   当个人信息持有者发生收购、兼并、重组、破产等变更时，个人信息持有者应向个人信息主体告知有关情况，并继续履行原个人信息持有者的责任和义务，如变更个人信息使用目的时，应重新取得个人信息主体的明示同意。

根据《个人信息安全规范》对于授权同意的例外和收购、兼并、重组、破产等变更进行了增补规定。

6.7公开披露

个人信息原则上不得公开披露。如存在该行为，应满足以下要求：

a)  公开披露行为应经过合法性、必要性评估；

b)   应对该行为进行安全影响评估，并按照评估结果采取有效的保护个人信息主体的措施；

c)   在披露前应向个人信息主体告知披露的目的、类型等；

d)   在公开披露前应得到个人信息主体的明示同意；

e)   应记录公开披露的信息内容，将公开披露情况中包括公开披露的日期、数据量、目的和数据接收方的基本情况在内的信息进行记录。

个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露时，应充分重视风险，遵守以下要求：

a)   事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施；

b)   向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意，与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外；

c)   公开披露个人敏感信息前，除6.7 b）中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的内容；

d)   准确记录和保存个人信息的公开披露的情况，包括公开披露的日期、规模、目的、公开范围等；

e)   承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任；

f)   不得公开披露个人生物识别信息和基因、疾病等个人生理信息；

g)   不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。

1.补充了公开这一高危处理动作的例外情形；

2.补强了关于个人敏感信息告知的内容，要求对于生物识别信息等个人生理相关的个人敏感信息不得公开披露；

3.要求公开披露的持有者需要承担公开披露造成个人信息主体合法权益造成损害的责任；

4.不得公开我国公民的敏感数据分析结果与网安法项下的重要数据制度或可相关。

保护指引

保护指南

评析

6.8 应急处置

a) 应建立健全网络安全风险评估和应急工作机制；

b) 应制定网络安全事件应急预案；

c) 应定期组织相关个人信息事件安全事件演练；

d) 应制定相关制度信息，在个人信息处理过程中发生应急事件时具有上报有关主管部门的机制；

e) 应对进行个人信息处理的相关内部人员进行应急响应培训和应急演练；

f) 应了解知晓应急处置策略和规程；

g) 应记录信息安全事件信息，在应急事件发生后对事件内容进行记录，包括发现事件的人员、事件、涉及的个人信息和人数、发生事件的系统名称等；

h) 应对事件造成的影响进行评估，并采取必要的措施对事态进行控制；

i) 应将事件的情况告知受影响的个人信息主体。

7.1应急机制和预案

a)   应建立健全网络安全风险评估和应急工作机制，在个人信息处理过程中发生应急事件时具有上报有关主管部门的机制；

b)   应制定个人信息安全事件应急预案，包括应急处理流程、事件上报流程等内容；

c)   应定期（至少每半年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程，留存应急培训和应急演练记录；

d)   应定期对原有的应急预案重新评估，修订完善。

将应急处置分为应急机制和预案、处置与相应两个部分，对于应急机制中的培训对象、应急培训演练的周期、评估审计机制做出了详细规定。

7.2处置和响应

a) 发现网络存在较大安全风险，应采取措施，进行整改，消除隐患；发生安全事件时,应及时向公安机关报告，协助开展调查和取证工作，尽快消除隐患；

b) 发生个人信息安全事件后，应记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门；

c) 应对安全事件造成的影响进行调查和评估，采取技术措施和其他必要措施，消除安全隐患，防止危害扩大；

d) 应按《国家网络安全事件应急预案》等相关规定及时上报安全事件，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式；

e) 应将事件的情况告知受影响的个人信息主体，并及时向社会发布与公众有关的警示信息。

根据网络安全法项下关于安全事件管理的规定和《国家网络安全事件应急预案》对于处置和响应进一步细化，强调了事件发生前风险隐患的自查整改和发生时的及时汇报；细化了事件记录的要求和技术措施所达到的效果；对于安全事件的上报项目进行了明确规定；并且要求向社会发布警示。