如何理解《网络安全法》与国家标准《个人信息安全规范》的关系
编者按:
随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法,或者转载对该标准的评论文章。本文作者是公号君本人。
在标准发布后,经常被问道类似的问题:《个人信息安全规范》与《网络安全法》是个什么关系?如果做到了《个人信息安全规范》中的要求,是否就符合《网络安全法》?如果没做到,是否就意味着违法等等。因此,我想利用这篇小短文,谈谈自己的个人看法。
国家机关对《个人信息安全规范》的提法
可能大家比较熟悉的有两次:
第一次
2017年5月31日,《网络安全法》生效前一天。国家互联网信息办公室发布了“《网络安全法》施行前夕国家互联网信息办公室网络安全协调局负责人答记者问”。其中:
问:《网络安全法》于6月1日起施行,有关准备工作进展如何?
答:《网络安全法》将于6月1日起正式施行,这在网络安全历史上具有里程碑意义。
《网络安全法》的公布和施行,不仅从法律上保障了广大人民群众在网络空间的利益,有效维护了国家网络空间主权和安全,而且还有利于信息技术的应用,有利于发挥互联网的巨大潜力。
《网络安全法》公布后,各部门、各地方以及广大企业、科研单位和院校开展了多种形式的学习宣传贯彻活动,法律所确定的重要理念、基本要求正在深入人心。目前,有关部门正在按照法律要求抓紧研究起草相关制度文件,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设备和网络安全专用产品目录等。其中,《网络产品和服务安全审查办法(试行)》等配套制度文件已经公开发布。国家标准化部门正抓紧组织制定《个人信息安全规范》等国家标准。总体上看,各项工作都在按计划推进。
第二次
2018年01月10日,国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业负责人。其中:
网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的《个人信息保护倡议》的承诺。
两次全是网络安全协调局负责人谈到了这个国标。实际上,还有第三次。
第三次
2017年08月25日,国家互联网信息办公室有关负责人就《互联网跟帖评论服务管理规定》答记者问。其中:
问:《规定》对网站落实主体责任作出了哪些要求?
答:网上信息管理,网站应负主体责任,政府行政管理部门要加强监管。《规定》认真落实这一要求,对网站主体责任进行了明确规定,主要包括八个方面。一是落实实名制要求。《规定》明确网站要按照“后台实名、前台自愿”原则,对注册用户进行真实身份信息认证,不得向未认证真实身份信息的用户提供跟帖评论服务。二是建立用户信息保护制度。《网络安全法》第四十条、四十一条、四十二条、四十三条、四十四条、四十五条对用户信息保护制度作了规定,国家标准化部门正抓紧组织制定《个人信息安全规范》,因此本《规定》仅对此作了原则性表述。
这次是国家互联网信息办公室有关负责人。
实际上,主管监管部门对推荐性国家标准的如此表态,在国际上也并不鲜见。美国NIST所做的“网络安全框架”(cybersecurity framework),本质上也是推荐性的。但是美国联邦贸易委员会(FTC)在其网站就公开表态“网络安全框架与FTC坚持的以流程为基础的监管方式是相一致的”。(From the perspective of the staff of the Federal Trade Commission, NIST’s Cybersecurity Framework is consistent with the process-based approach that the FTC has followed)【https://www.ftc.gov/news-events/blogs/business-blog/2016/08/nist-cybersecurity-framework-ftc】
美国证券交易委员会(SEC)明确要求其监管对象在考虑从何入手评估该采用什么网络安全措施时,应当使用的工具之一即是网络安全框架(In considering where to begin to assess a company’s possible cybersecurity measures, one conceptual roadmap boards should consider is the Framework for Improving Critical Infrastructure Cybersecurity, released by the National Institute of Standards and Technology)【https://www.sec.gov/news/speech/2014-spch061014laa#.VNpDDPnF8Ro】
美国国土安全部【https://www.dhs.gov/using-cybersecurity-framework】和美国能源部【https://energy.gov/oe/cybersecurity-critical-energy-infrastructure/reducing-cyber-risk-critical-infrastructure-nist】则制定专门政策鼓励其监管对象采用网络安全框架。
《个人信息安全规范》的属性
第一,《个人信息安全规范》是个推荐性的国家标准。
2017年11月4日,《中华人民共和国标准化法》经第十二届全国人民代表大会常务委员会第三十次会议修订后发布,其中对推荐性标准是这样表述的:
国家鼓励采用推荐性标准(第二条);
对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求,应当制定强制性国家标准。(第十条)对满足基础通用、与强制性国家标准配套、对各有关行业起引领作用等需要的技术要求,可以制定推荐性国家标准。(第十一条)
推荐性国家标准、行业标准、地方标准、团体标准、企业标准的技术要求不得低于强制性国家标准的相关技术要求。(第二十一条)
第二,《个人信息安全规范》是依赖于全国信息安全标准化技术委员会(TC260)平台上制定出来的。
2016年8月12日,中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合发文《关于加强国家网络安全标准化工作的若干意见》(中网办发文〔2016〕5号)。其中要求:
建立统一权威的国家标准工作机制。网络安全标准化工作要坚持统一谋划、统一部署,紧贴实际需求,守住安全底线。全国信息安全标准化技术委员会在国家标准委的领导下,在中央网信办的统筹协调和有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批。
综合理解
在我个人看来,《个人信息安全规范》首先是遵循了《网络安全法》确立的个人信息保护框架。其次,《个人信息安全规范》提供了遵从《网络安全法》关于个人信息保护要求的一个良好方案(good practice)。这个良好方案具备较好的科学性【可参考如下文章: 对用户知情同意规则的中国式探索——兼论国标《个人信息安全规范》、 国家标准《信息安全技术 个人信息安全规范》评析、个人信息安全影响评估有助于防范“年度账单”事件】,且凝聚了企、事业及科研机构等单位较为广泛的共识。
再次,该标准是严格按照TC260的流程制定,意味着我国网络安全相关的主管部门在该标准制定过程中,均对该标准提出了意见和建议。对此,该标准也均作了吸纳。(见下图TC260领导设置情况)
因此,在我个人看来,《个人信息安全规范》提出的方案,是符合《网络安全法》相关条文的一个比较好的方案。但《个人信息安全规范》并不是唯一方案,有能力的企业完全可以自己理解《网络安全法》的相关条文,并制定出一套合规体系,并向主管监管部门证明自己符合了《网络安全法》。
同时注意到,按照《网络安全法》第十条、第二十二条、第二十三条均提出,网络运营者,或者网络产品和服务、网络关键设备和网络安全专用产品应符合“国标标准的强制性要求”(也就是强制标准,或者经由国家法律援引的标准)。目前,《个人信息安全规范》不属于网安法所说的“国标标准的强制性要求”。作为推荐性标准,按照国标法第二十一条的规定,“推荐性国家标准......的技术要求不得低于强制性国家标准的相关技术要求”。
所以综上可以得出以下结论:
采用并忠实地落实了《个人信息安全规范》,可以确定就符合了《网络安全法》关于个人信息保护的相关要求。
如果与《个人信息安全规范》的规定不相符,并不一定就是违反了《网络安全法》关于个人信息保护的相关要求。但组织需要向主管监管部门证明自己实际上也是符合《网络安全法》。
从这个角度来说,《个人信息安全规范》是用于做到《网络安全法》合规的一个公共品,实际上给组织合规、内部制度建设等提供了大量现成的素材。这也是为什么我有了“法务之友”的称号。
最后来一个重要提示:以上分析均仅仅是对追究《网络安全法》规定的法律责任而言。