全国信息安全标准化委员会 2019年第二次工作组“会议周”侧记

由全国信息安全标准化技术委员会主办，全国信息安全标准化技术委员会秘书处及中国电子技术标准化研究院承办的信安标委2019年第二次工作组“会议周”于2019年10月26日-10月30日在重庆召开。本会议由信安标委秘书长、电子标准院副院长杨建军主持，于2019年10月27日（周日）正式召开。

10月27日上午，重庆市委网信办主任文天平、中央网信办网络安全协调局二级巡视员李云峰为会议致辞；紧接着中国工程院院士邬贺铨、信安标委WG6组长于生多、信安标委SWG-BDS组长王建民、联想公司副总裁韦卫、华为2012可信理论实验室主任毛碧飞、APP违法违规收集个人信息专项治理工作组专家洪延青，依次发表了精彩演讲，演讲主题包括《5G时代的网络安全》、《芯片安全技术发展趋势》、《可信赖的发展与思考》、《APP个人信息保护评估工作情况介绍》。会议期间，还发布了两份重要文件，即《物联网安全标准化白皮书》及《人工智能安全标准化白皮书》。

10月27日下午，全国信息安全标准化技术委员会SWG-BDS工作组讨论了四项重要草案，分别为：一、个人信息安全规范（征求意见稿）；二、云计算安全服务能力要求（工作组草案）；三、云计算服务安全指南（工作组草案）；四、移动互联网应用（APP）收集个人信息基本规范（工作组草案）。

北京大成（上海）律师事务所陈立彤律师以科盈法律咨询（上海）有限公司（作为全国信息安全标准化技术委员会SWG-BDS工作组成员单位）首席数据官的身份参加了本次大会，并参加了全国信息安全标准化技术委员会SWG-BDS工作组讨论了上述四项重要草案并提出了重要的修改建议。

针对《信息安全技术 个人信息安全规范》，陈立彤律师指出个人信息控制者所控制的信息不仅包括其通过合法的方式自主收集的信息，也包括在其物理空间（比如宾馆）或者网络空间（比如APP）内其他第三方通过合法或者非法方式可以所收集得到的个人信息（比如用针头摄像头非法收集到的个人生物识别信息），对此，《信息安全技术 个人信息安全规范》第5.1条对个人信息控制者“收集个人信息的合法性”，既包括：

a) 不应以欺诈、诱骗、误导的方式收集个人信息;
b) 不应隐瞒产品或服务所具有的收集个人信息的业务功能;
c) 不应从非法渠道获取个人信息;
d) 不应收集法律法规明令禁止收集的个人信息;
e) 不应大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人敏感信息。

还应当包括“采取控制措施防止其物理空间或者网络空间的第三方以欺诈、诱骗、误导或者其他非法的方式收集个人信息”。在这个提案下，如果一个宾馆、民宿或者其他机构听任偷拍、盗拍的发生或者一个APP听任其他第三方在其网络空间非法收集个人信息，那么这些个人信息控制者就没有履行好“《信息安全技术 个人信息安全规范》”第5.1对于信息控制者的要求，从而有可能承担相应的法律责任。

针对《信息安全技术 云计算服务安全指南》，针对等级保护中云服务商的等级保护定级不能低于客户等级保护定级，陈立彤律师提出该指南的“7.2.1 选择云服务商”应当加上一条：云服务商的等级保护定级不能低于客户等级保护定级。

陈立彤律师

大成Dentons上海办公室

中国律师、美国纽约州律师、福特公司前亚太区合规总监；香港国际仲裁中心仲裁员、国际风险与合规协会副会长、国际标准组织ISO技术委员会TC309相关工作组成员，作为中国代表团成员参与制定组织治理、合规管理体系、反贿赂管理体系、法律风险管理等ISO标准并担任中国国家标准《合规管理体系指南》工作组副组长、担任中兴康讯的独董及出口委员会委员;入选司法部“全国千名涉外律师人才名单”，钱伯斯2020亚太榜公司调查/反腐败领域受认可律师。陈立彤律师为某世界知名互联网搜索引擎公司的无人驾驶项目提供全方位的法律与合规服务，是全球智能网联论坛运营公司首席数据合规顾问，该公司是全国信息安全标准化技术委员会SWG-BDS大数据安全特别工作组——该工作组负责起草的标准之一是《信息安全技术 个人信息安全规范》。