解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)
编者按:
2018年11月30日,公安部网络安全保卫局发布《互联网个人信息安全保护指引》(以下简称“指引”),并面向社会广泛征求意见,引发了广泛关注【指引全文见公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》面向社会征求修改意见】。DPO社群成员何延哲是网络安全标准方面的专家,对等保系列标准、个人信息安全系列标准非常熟悉,他根据现有标准的内容对该指引内容进行溯源和解析,相信有助于大家对该指引提出自己的意见和建议。贴出来仅供大家参考指正。
正文:
从标准名称和引言来看,其针对的对象主要为互联网企业,旨在指导其建立健全公民个人信息安全保护管理制度和技术措施,同时提及公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,组织有关机构和专家起草了本指引。
从总体来看,本指引的结构、框架和格式等与国家或行业标准(依据GB/T1.1—2009《标准化工作导则 第1部分:标准的结构和编写》起草)的结构、框架和格式相似,全文分为引言、范围、规范性引用文件、术语和定义、主要内容等几部分。
从范围来看,指引“规定了个人信息安全保护的安全管理机制、安全技术措施和业务流程的安全”,并指出“指引适用于指导个人信息持有者在个人信息生命周期处理过程中开展安全保护工作,也适用于网络安全监管职能部门依法进行个人信息保护监督检查时参考使用”。本指引具体的属性以及与其他相关法律、法规、规章、规范性文件等政策文件的关系未进行说明。
指引在规范性引用文件中,明确引用了GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》以及 GB/T 35273—2017《信息安全技术 个人信息安全规范》。
同时,就指引主要内容:第4章 管理机制、第5章 技术措施、第6章 业务流程中的主要内容而言,其中绝大部分参照了以上两个国家标准(包括其修订稿)的主要内容。现就具体的指引条文与以上两个国家标准的关系做以下解析:
《互联网个人信息安全保护指引》(征求意见稿) | GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求以及其修订版本《网络安全等级保护基本要求(修订中)》 | GB/T 35273-2017 信息安全技术 个人信息安全规范 | 备注/其他 | |
3 定义与术语 | 3.1/3.2/3.8直接引用GB/T 35273-2017中的定义 | 其他定义参考了GB/T 35273-2017中相关定义和其他常用概念 | ||
4 管理机制 | 4.1 管理制度 | 参考了GB/T 22239-2008中7.2.1安全管理制度 内容,以及最新修订版本相应内容 | 参考了GB/T 35273-2017中9.1 安全事件应急处置和报告和10.1 明确责任部门与人员 部分内容 | |
4.2 管理机构 | 参考了GB/T 22239-2008中7.2.2安全管理机构 内容,以及最新修订版本相应内容 | 参考了GB/T 35273-2017中7.1 个人信息访问控制措施 和10.1 明确责任部门与人员 相应内容 | ||
4.3 管理人员 | 参考了GB/T 22239-2008中7.2.3人员安全管理 内容,以及最新修订版本相应内容 | 参考了GB/T 35273-2017中10.1 明确责任部门与人员和10.4 人员管理与培训 相应内容 | ||
5 技术措施 | 5.1 基本要求 | 直接等同采用GB/T 22239-2008 7.1第三级的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复中的全部要求 | ||
5.1.1 网络和通信安全 | 参考了《网络安全等级保护基本要求》最新修订稿中第三级安全要求8.1.2网络和通信安全 相应内容 | |||
5.1.2 设备和计算 | 参考了《网络安全等级保护基本要求》最新修订稿中第三级安全要求8.1.3设备和计算安全 相应内容 | 参考了GB/T 35273-2017中7.1 个人信息访问控制措施 部分内容 | ||
5.1.3 应用和数据 | 参考了《网络安全等级保护基本要求》最新修订稿中第三级安全要求8.1.4应用和数据安全 相应内容 | |||
5.2.1 云计算安全增强要求 | 参考了《网络安全等级保护基本要求》最新修订稿中云计算安全扩展要求8.2.4应用和数据安全 相应内容 | |||
5.2.2 物联网安全扩展增强要求 | 参考了《网络安全等级保护基本要求》最新修订稿中物联网安全扩展要求8.4.3设备和计算安全部分内容 | |||
6 业务流程 | 6.1 收集 | 条款a)b)c)参考了GB/T 35273-2017中5 个人信息的收集 相应内容 | 条款d)基于等级保护基本要求及有关实践提出了要求 | |
6.2 保存 | 条款a)b)c)参考了GB/T 35273-2017中6 个人信息的保存 相应内容 | 条款d)基于等级保护基本要求及有关实践提出了要求 | ||
6.3 应用 | 参考了GB/T 35273-2017中7 个人信息的使用 相应内容 | |||
6.4 删除 | 条款a)b)c)d)基于个人信息安全规范、等级保护基本要求及有关实践提出了要求 | |||
6.5 第三方委托处理 | 参考了GB/T 35273-2017中8.1委托处理 相应内容 | |||
6.6 共享和转让 | 参考了GB/T 35273-2017中8.2个人信息共享、转让 相应内容 | |||
6.7 公开披露 | 参考了GB/T 35273-2017中8.4 个人信息公开披露 相应内容 | |||
6.8 应急处置 | 参考了GB/T 35273-2017中9.1 安全事件应急处置和报告 和 9.2安全事件告知 相应内容 |
从以上解析可以看出,本指引的编制思路是将等级保护相关要求与个人信息安全国家标准要求进行结合,并重新组织结构和语言。同时,本指引中以下几点值得关注:
第一,本指引5.1基本要求中指出,“应按照GB/T 22239—2008 7.1第三级的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复要求进行安全保护,并满足以下要求”,其意味着等级保护第三级的技术部分要求为必选的基础,第5章其他技术措施是对GB/T 22239—2008 7.1第三级技术要求的补充、强化或扩展;
第二,本指引第4章 管理机制 并未将GB/T 22239—2008 7.2第三级管理要求全部引入,只选取了管理制度、管理机构、管理人员部分,并结合了GB/T 35273-2017的组织管理有关要求;
第三,本指引提出的主要适用对象为“个人信息持有者”,根据其定义,个人信息持有者既包括了个人信息控制者,也包括了个人信息处理者,因此,无论是个人信息控制者或是个人信息处理者均需实施指引所有要求;
第四,本指引未对个人信息主体的权利进行专门的详细陈述,其中相关的部分有:
6.3 应用
b) 个人信息主体应拥有控制本人信息的权限,包括:1) 允许对本人信息的访问;2) 允许对本人信息的修改,包括纠正不准确和不完整的数据;
6.6 共享和转让
f) 在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利,例如访问、更正、删除、注销等。
第五,本指引所使用的一些词汇,如:明示同意、共享、转让、公开披露等,其定义可以在本指引的规范性引用文件GB/T 35273-2017中找到。
以上解析供大家参考。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点