查看原文
其他

解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

何延哲 网安寻路人 2020-02-26

编者按:


2018年11月30日,公安部网络安全保卫局发布《互联网个人信息安全保护指引》(以下简称“指引”),并面向社会广泛征求意见,引发了广泛关注【指引全文见公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》面向社会征求修改意见】。DPO社群成员何延哲是网络安全标准方面的专家,对等保系列标准、个人信息安全系列标准非常熟悉,他根据现有标准的内容对该指引内容进行溯源和解析,相信有助于大家对该指引提出自己的意见和建议。贴出来仅供大家参考指正。



正文:


从标准名称和引言来看,其针对的对象主要为互联网企业,旨在指导其建立健全公民个人信息安全保护管理制度和技术措施,同时提及公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,组织有关机构和专家起草了本指引。


从总体来看,本指引的结构、框架和格式等与国家或行业标准(依据GB/T1.1—2009《标准化工作导则 第1部分:标准的结构和编写》起草)的结构、框架和格式相似,全文分为引言、范围、规范性引用文件、术语和定义、主要内容等几部分。


从范围来看,指引“规定了个人信息安全保护的安全管理机制、安全技术措施和业务流程的安全”,并指出“指引适用于指导个人信息持有者在个人信息生命周期处理过程中开展安全保护工作,也适用于网络安全监管职能部门依法进行个人信息保护监督检查时参考使用”。本指引具体的属性以及与其他相关法律、法规、规章、规范性文件等政策文件的关系未进行说明。


指引在规范性引用文件中,明确引用了GB/T 22239—2008《信息安全技术 信息系统安全等级保护基本要求》以及 GB/T 35273—2017《信息安全技术 个人信息安全规范》。


同时,就指引主要内容:第4章 管理机制、第5章 技术措施、第6章 业务流程中的主要内容而言,其中绝大部分参照了以上两个国家标准(包括其修订稿)的主要内容。现就具体的指引条文与以上两个国家标准的关系做以下解析:

 

《互联网个人信息安全保护指引》(征求意见稿)

GB/T  22239-2008信息安全技术 信息系统安全等级保护基本要求以及其修订版本《网络安全等级保护基本要求(修订中)》

GB/T  35273-2017 信息安全技术 个人信息安全规范

备注/其他

3 定义与术语  


3.1/3.2/3.8直接引用GB/T 35273-2017中的定义

其他定义参考了GB/T 35273-2017中相关定义和其他常用概念

4 管理机制

4.1 管理制度

参考了GB/T 22239-20087.2.1安全管理制度  内容,以及最新修订版本相应内容

参考了GB/T 35273-20179.1 安全事件应急处置和报告10.1 明确责任部门与人员 部分内容


4.2 管理机构

参考了GB/T 22239-20087.2.2安全管理机构  内容,以及最新修订版本相应内容

参考了GB/T 35273-20177.1 个人信息访问控制措施  和10.1 明确责任部门与人员 相应内容


4.3 管理人员

参考了GB/T 22239-20087.2.3人员安全管理  内容,以及最新修订版本相应内容

参考了GB/T 35273-201710.1 明确责任部门与人员10.4 人员管理与培训 相应内容


5 技术措施

5.1 基本要求

直接等同采用GB/T 22239-2008 7.1第三级的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复中的全部要求



5.1.1 网络和通信安全

参考了《网络安全等级保护基本要求》最新修订稿中第三级安全要求8.1.2网络和通信安全  相应内容



5.1.2 设备和计算

参考了《网络安全等级保护基本要求》最新修订稿中第三级安全要求8.1.3设备和计算安全  相应内容

参考了GB/T  35273-20177.1 个人信息访问控制措施 部分内容


5.1.3 应用和数据

参考了《网络安全等级保护基本要求》最新修订稿中第三级安全要求8.1.4应用和数据安全  相应内容



5.2.1 云计算安全增强要求

参考了《网络安全等级保护基本要求》最新修订稿中云计算安全扩展要求8.2.4应用和数据安全  相应内容



5.2.2 物联网安全扩展增强要求

参考了《网络安全等级保护基本要求》最新修订稿中物联网安全扩展要求8.4.3设备和计算安全部分内容



6 业务流程

6.1 收集


条款abc)参考了GB/T  35273-20175 个人信息的收集 相应内容

条款d)基于等级保护基本要求及有关实践提出了要求

6.2 保存


条款abc)参考了GB/T  35273-20176 个人信息的保存 相应内容

条款d)基于等级保护基本要求及有关实践提出了要求

6.3 应用


参考了GB/T  35273-20177 个人信息的使用 相应内容


6.4 删除



条款abcd)基于个人信息安全规范、等级保护基本要求及有关实践提出了要求

6.5 第三方委托处理


参考了GB/T  35273-20178.1委托处理 相应内容


6.6 共享和转让


参考了GB/T  35273-20178.2个人信息共享、转让  相应内容


6.7 公开披露


参考了GB/T  35273-20178.4 个人信息公开披露 相应内容


6.8 应急处置


参考了GB/T  35273-20179.1 安全事件应急处置和报告   9.2安全事件告知 相应内容


 

从以上解析可以看出,本指引的编制思路是将等级保护相关要求与个人信息安全国家标准要求进行结合,并重新组织结构和语言。同时,本指引中以下几点值得关注:


第一,本指引5.1基本要求中指出,“应按照GB/T 22239—2008 7.1第三级的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复要求进行安全保护,并满足以下要求”,其意味着等级保护第三级的技术部分要求为必选的基础,第5章其他技术措施是对GB/T 22239—2008 7.1第三级技术要求的补充、强化或扩展;


第二,本指引第4章 管理机制 并未将GB/T 22239—2008 7.2第三级管理要求全部引入,只选取了管理制度、管理机构、管理人员部分,并结合了GB/T 35273-2017的组织管理有关要求;


第三,本指引提出的主要适用对象为“个人信息持有者”,根据其定义,个人信息持有者既包括了个人信息控制者,也包括了个人信息处理者,因此,无论是个人信息控制者或是个人信息处理者均需实施指引所有要求;


第四,本指引未对个人信息主体的权利进行专门的详细陈述,其中相关的部分有:


6.3 应用

b) 个人信息主体应拥有控制本人信息的权限,包括:1) 允许对本人信息的访问;2) 允许对本人信息的修改,包括纠正不准确和不完整的数据;


6.6 共享和转让

f) 在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利,例如访问、更正、删除、注销等。


第五,本指引所使用的一些词汇,如:明示同意、共享、转让、公开披露等,其定义可以在本指引的规范性引用文件GB/T 35273-2017中找到。


以上解析供大家参考。

 



关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制 

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)



    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存