陳長(zhǎng)松 公安部第三研究所研究員,,北京網(wǎng)絡(luò)行業(yè)協(xié)會(huì)副秘書長(zhǎng)
互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)這個(gè)主題,或者說個(gè)人信息安全保護(hù)這個(gè)事情,,最近這些年應(yīng)該來說大家都相當(dāng)?shù)年P(guān)注,,從國(guó)外的GDPR到我們國(guó)家相關(guān)法律的出臺(tái),以及標(biāo)準(zhǔn)的出臺(tái),。這里今天給大家分享一個(gè)主題主要就是公安部出臺(tái)的一個(gè)《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》,,這個(gè)指南的編制背景和基本概述,對(duì)指南里面的內(nèi)容做一些要點(diǎn)的解讀,,最后給點(diǎn)應(yīng)用的建議,。
這是2016年到2017年公安部和最高檢、最高法連續(xù)出臺(tái)了幾個(gè)指導(dǎo)性的典型案例,。第一個(gè)是公安部一口氣發(fā)了八個(gè),,這個(gè)是2016年的時(shí)候發(fā)出來八個(gè)侵犯公民個(gè)人信息犯罪典型案例,從這個(gè)典型案例里面大家可以看出來,,我后面會(huì)對(duì)這個(gè)案例做個(gè)總結(jié),。從這里面可以看出來有用黑客方式入侵的,有很簡(jiǎn)單的就是從網(wǎng)上收集來收集去再賣出去的,,也有內(nèi)部人員通過職務(wù)之便獲取到的個(gè)人信息出售出去等等,,這是公安部的第一批。公安部第二批一共發(fā)了十個(gè),,這里面包括了快遞公司,、銀行工作人員等等,具體就不多說了,。第三個(gè)是最高法,,從這里面可以看出來典型案例的覆蓋面非常廣,角度也非常的多,,基本上從省,、市覆蓋面,或者說形式的覆蓋面來說都相當(dāng)?shù)亩?。這是最高檢發(fā)布的侵犯公民個(gè)人信息犯罪典型案例,。
從這些案例我們做了一個(gè)簡(jiǎn)單的總結(jié),當(dāng)然特點(diǎn)還是非常多,,我們這里總結(jié)了三點(diǎn),。
第一,侵犯公民個(gè)人信息犯罪,,這個(gè)犯罪在我們國(guó)家主要就是侵犯了刑法,,刑法里面對(duì)于這個(gè)非法獲取和非法出售是很明確的,,向他人出售或者提供公民個(gè)人信息的,就是違反國(guó)家規(guī)定向他人出售或者提供公民個(gè)人信息的,,達(dá)到嚴(yán)重程度判多少,,達(dá)到特別嚴(yán)重判多少很明確。在前面四個(gè)案例之后,,兩高就直接出了一個(gè)司法解決告訴你什么是特別嚴(yán)重,,什么叫嚴(yán)重,到多少觸犯到法律到刑法能夠成為典型案例的程度,。曾經(jīng)有個(gè)案例,,是一個(gè)銀行的工作人員從內(nèi)部系統(tǒng)里面找出來一些用戶的信息賣給了別人,最終他賣的數(shù)非常少,,最終沒有達(dá)到刑法的程度,,所以嚴(yán)重和特別嚴(yán)重用來界定是否觸犯到刑法。前面那么多案例里面,,非常典型的非法獲取和出售里面向別人出售是基本,、最常見的表現(xiàn)形式,大家都說了什么東西最賺錢,?寫在刑法里面的東西最賺錢,,刑法里面規(guī)定不能做的事情都是最賺錢的。最后他們觸犯刑法都是把個(gè)人信息賣出去了,,這個(gè)向他人出售,,當(dāng)然這里面有很多途徑,比如說QQ群,、自己建網(wǎng)站,、建會(huì)員向別人出售等等各種各樣的途徑。第二個(gè)就是非法獲取,,這個(gè)途徑就相當(dāng)豐富了,,這里的非法獲取主要總結(jié)一下,竊取或者以其他方法非法獲取公民個(gè)人信息,,他們的方法非常多,,有黑客侵入了別人系統(tǒng)里面,有內(nèi)部人員違規(guī),,有從互聯(lián)網(wǎng)上建了個(gè)群找別人去買,,買完之后再高價(jià)賣出去,,賺個(gè)差價(jià)等等的竊取和非法獲取的方式非常多,。這是第一類,就是非法獲取和非法出售的特點(diǎn)在公民個(gè)人信息犯罪里面是特別多的,,特別典型的一個(gè)特點(diǎn),。
第二,,內(nèi)部人員違規(guī)。這個(gè)從運(yùn)營(yíng)商到前面我們看到的例子,,快遞公司,、銀行工作人員,甚至像一些特殊的人員能獲取到,、接觸到公民個(gè)人信息,,在履行職責(zé)或者提供服務(wù)的過程中獲取公民個(gè)人信息出售提供給別人,這個(gè)也是典型的案例,。
第三,,系統(tǒng)漏洞被利用。前面看到好幾個(gè)都是黑客是關(guān)鍵詞,,既然有人是用黑客的方式竊取數(shù)據(jù)的,,其實(shí)很大程度就是被竊取方的系統(tǒng)安全是做得不好,被竊取了,。包括像國(guó)際的大酒店集團(tuán)的一些用戶信息泄露,,很大程度都是一些自己人安全的問題。
因?yàn)檫@樣子的大背景,,公安機(jī)關(guān)認(rèn)為光靠GDPR,,或者說我們有一個(gè)《公民個(gè)人信息安全規(guī)范》這樣的規(guī)定流程,或者是否得到用戶同意得到公民信息不太夠,,這個(gè)過程中間對(duì)于個(gè)人信息安全保護(hù)很重要,,公安機(jī)關(guān)在這個(gè)基礎(chǔ)上結(jié)合這些案件最后制定了這樣的一個(gè)指南。
這個(gè)指南基本的修訂過程,,最早的時(shí)候也是從2017年從這幾個(gè)案例和兩高的司法解釋之后就開始籌備,,當(dāng)時(shí)我們立項(xiàng)的叫做《個(gè)人信息保護(hù)檢查規(guī)范》,希望從檢查的角度規(guī)范到底查哪些點(diǎn),,你這些點(diǎn)做得好我檢查到了,,檢查哪些做得好和不作為的,從這個(gè)規(guī)范進(jìn)行約束,,反過來以檢查促保護(hù),。而且這個(gè)檢查規(guī)范已經(jīng)通過了公安部的行業(yè)標(biāo)準(zhǔn)立項(xiàng),最后因?yàn)檫@個(gè)標(biāo)準(zhǔn)的編制過程周期比較長(zhǎng),,一般持續(xù)兩三年的周期,,但是現(xiàn)在這個(gè)公民個(gè)人信息泄露非常嚴(yán)重,后面希望轉(zhuǎn)一個(gè)角度,,還是把保護(hù)的事情說清楚,,所以面向社會(huì)征求了意見。去年底的時(shí)候公安部保衛(wèi)局發(fā)布了指引的方式征求大家的意見,,最終正式發(fā)布是在今年的2月26號(hào),,公安機(jī)關(guān)在開一個(gè)全國(guó)的移動(dòng)互聯(lián)網(wǎng)應(yīng)用安全的管理大會(huì)上面做了一個(gè)發(fā)布,,因?yàn)樾姓鞒痰倪^程正式稿子沒有拿出來給大家提供下載,后面4月份在公安部網(wǎng)安局的備忘網(wǎng)上面可以下載,。
這個(gè)稿子的編寫也得到了各個(gè)企業(yè),,包括各地公安機(jī)關(guān)很多的意見,包括各大互聯(lián)網(wǎng)公司提出了很多的意見,,我們也經(jīng)過了編制組的討論,,很多意見我們都采納進(jìn)來了,這里面包括阿里,、騰訊,、百度、京東等等大的企業(yè),,包括網(wǎng)絡(luò)安全企業(yè),。
我們?cè)诰幹七@個(gè)標(biāo)準(zhǔn)的時(shí)候借鑒了跟侵犯公民個(gè)人信息犯罪的相關(guān)法律法規(guī)要求,大家看出來了我們這個(gè)叫做指南,,既不是國(guó)家標(biāo)準(zhǔn),,也不是公安部的行業(yè)標(biāo)準(zhǔn),也不是一個(gè)法律法規(guī),。它是有什么樣的依據(jù)呢,?我后面會(huì)講,它是從一些法律的要求繼承下來的安全要求,。這里面關(guān)于刑法,,人大常委會(huì)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》,以及到最后的《網(wǎng)絡(luò)安全法》等等作為依據(jù),。
具體的內(nèi)容這里簡(jiǎn)單的過一下,。第一個(gè),《網(wǎng)絡(luò)安全法》現(xiàn)在基本上是個(gè)人信息安全保護(hù)最高最核心的一個(gè)法律,,《網(wǎng)絡(luò)安全法》里面大量的篇幅告訴大家個(gè)人信息保護(hù)有哪些方面需要注意,,第一個(gè)是收集使用,從收集使用的過程就必須合法合規(guī),,不能越權(quán),。第二個(gè)是個(gè)人安全保護(hù)的義務(wù),你必須為持有個(gè)人信息持有個(gè)人安全保護(hù)的義務(wù),,你不能說收回來了大門是敞開的,,這個(gè)是不行的。還有規(guī)定了個(gè)人信息的刪除權(quán),、更正權(quán),,跟GDPR很像,禁止非法獲取、出售,、提供,這個(gè)跟刑法是對(duì)接的,,以及包括監(jiān)督管理部門的保密義務(wù),,在執(zhí)法過程中間接觸到個(gè)人信息也有保密的義務(wù)。
《刑法》剛才已經(jīng)講過了,,侵犯公民個(gè)人信息非法獲取和出售都涉及到,,這里面涉及到了兩高的司法解釋,這個(gè)司法解釋明確出來我們達(dá)到多少條是達(dá)到嚴(yán)重,,而這個(gè)條數(shù)很多人不需要去記的,,因?yàn)檫@個(gè)條數(shù)是500、5000條,,太少了,,隨便一般案子出來都是幾百萬條、幾千萬條,,這個(gè)標(biāo)準(zhǔn)的編制中間還借鑒了尤其是今年比較火的一個(gè)標(biāo)準(zhǔn),,就是《個(gè)人信息安全規(guī)范》,這個(gè)《個(gè)人信息安全規(guī)范》在信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)他們制定出來一個(gè)相對(duì)從技術(shù)角度,,應(yīng)該是從流程的角度規(guī)范個(gè)人信息安全應(yīng)該怎么去保護(hù),。今年網(wǎng)信辦按照這個(gè)《個(gè)人信息安全規(guī)范》要求APP在收集個(gè)人信息的時(shí)候要做到這個(gè)要求。最后一個(gè)依據(jù)是公安部的互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定,,在座的對(duì)等保比較熟悉,,等保從出生開始是對(duì)重要信息系統(tǒng)開始,進(jìn)到《網(wǎng)絡(luò)安全法》之后國(guó)家實(shí)行網(wǎng)絡(luò)等級(jí)安全保護(hù),,所有的都要做等級(jí)保護(hù),,這個(gè)等級(jí)保護(hù)大家的概念是從比較重要的會(huì)使用等級(jí)保護(hù),一般的互聯(lián)網(wǎng)公司可能沒有想到這個(gè)事情,,實(shí)際上來說公安機(jī)關(guān)在監(jiān)督,、指導(dǎo)、檢查互聯(lián)網(wǎng)的安全保護(hù)工作之中,,除了等級(jí)保護(hù)之外,,其實(shí)還有很多的職責(zé)在,公安部發(fā)了一個(gè)151號(hào)令檢查哪些對(duì)象,,主要是互聯(lián)網(wǎng)單位,、聯(lián)網(wǎng)上網(wǎng)場(chǎng)所等等,包括聯(lián)網(wǎng)使用單位,,他們要做哪些安全義務(wù),,這些安全義務(wù)都是有法律依據(jù)讓它去做的,它會(huì)去檢查,。檢查之中有一條很明,,在檢查當(dāng)中發(fā)現(xiàn)互聯(lián)網(wǎng)服務(wù)提供者和聯(lián)網(wǎng)使用單位,,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個(gè)人信息,,他會(huì)去查的,,這個(gè)會(huì)繼續(xù)往前推進(jìn)。
第二個(gè)部分簡(jiǎn)單介紹一下相關(guān)的概述,,既然一個(gè)指南,,或者說一個(gè)文件,它的范圍是很重要的,。這個(gè)指南主要制定了個(gè)人信息安全保護(hù)的管理機(jī)制,、安全技術(shù)措施和業(yè)務(wù)流程,從這個(gè)范圍大家可以看出來,,它比我們國(guó)家的標(biāo)準(zhǔn)個(gè)人信息安全規(guī)范多出了對(duì)于管理和技術(shù)方面的要求,,在業(yè)務(wù)流程的基礎(chǔ)上加了很多。適用于個(gè)人信息持有者在個(gè)人信息生命周期處理過程開展安全保護(hù)工作參考使用,,這個(gè)在征求意見稿中間當(dāng)時(shí)我們提到一個(gè)叫做互聯(lián)網(wǎng)企業(yè),,所以有很多企業(yè)來問了,我算不算互聯(lián)網(wǎng)企業(yè),?互聯(lián)網(wǎng)企業(yè)BAT是互聯(lián)網(wǎng)企業(yè),,銀行算不算互聯(lián)網(wǎng)企業(yè)?現(xiàn)在來看有很多網(wǎng)上銀行都是依靠互聯(lián)網(wǎng)在進(jìn)行服務(wù)的,,后面在正式發(fā)布稿的時(shí)候我們經(jīng)過討論給它明確了我們不提到底是互聯(lián)網(wǎng)企業(yè),,還是非互聯(lián)網(wǎng)企業(yè),我們認(rèn)為適用于通過互聯(lián)網(wǎng)提供服務(wù)的企業(yè),,也適用于使用專網(wǎng),,或者非聯(lián)網(wǎng)環(huán)境下控制和處理個(gè)人信息的組織和個(gè)人,這個(gè)就覆蓋到,,甚至包括了現(xiàn)在很常見的房產(chǎn)中介,,我去賣一個(gè)房子只要在一個(gè)中介登記了所有人都來找我了,實(shí)際上就是個(gè)人信息被非法出售了,。依托不依托互聯(lián)網(wǎng)不重要,,只要是你手上持有個(gè)人信息都是這個(gè)指南要約束的。
關(guān)于個(gè)人信息這里也做一個(gè)簡(jiǎn)單的解讀,,這個(gè)標(biāo)準(zhǔn)的梳理里面,,個(gè)人信息我們直接引用了《網(wǎng)絡(luò)安全法》的說法,使用電子和其他方式記錄的能夠單獨(dú),,或者和其他方信息結(jié)合識(shí)別自然人個(gè)人身份等信息,,后面包括這些東西都是《網(wǎng)絡(luò)安全法》的原文,但是我們補(bǔ)充了后面幾條,后面幾條是國(guó)家標(biāo)準(zhǔn)個(gè)人信息安全規(guī)范的個(gè)人信息的那條梳理,,我們補(bǔ)充了后面的內(nèi)容,,因?yàn)槲覀冋J(rèn)為本身包括但不限于盡量多的列舉給大家能夠給清晰的理解這個(gè)概念和范疇,這是第一點(diǎn)給大家解釋的,,我們是繼承了《網(wǎng)絡(luò)安全法》的概念,。第二個(gè),在個(gè)人信息安全規(guī)范國(guó)家標(biāo)準(zhǔn)里面分出了兩級(jí):個(gè)人信息,、個(gè)人敏感信息。但是對(duì)于這個(gè)指南不提個(gè)人敏感信息的概念,,我們這個(gè)指南約束的是最低標(biāo)準(zhǔn),,只要持有個(gè)人信息就要做到這個(gè)水平,對(duì)于個(gè)人敏感信息還有更高的要求暫時(shí)不做特別的規(guī)定,,但是這里面是最基本的要求,。
另外,術(shù)語也不多解釋,,這里面挑出了前面說的個(gè)人信息持有者,,前面一直在引用的就是個(gè)人信息安全規(guī)范里面提到的是個(gè)人信息控制者,個(gè)人信息控制者指的是有權(quán)決定個(gè)人信息處理目的方式等的組織和個(gè)人,,這個(gè)的定義有點(diǎn)像GDPR,,我們認(rèn)為更準(zhǔn)確的去說用持有者更好一點(diǎn),我們認(rèn)為控制者意思是都是上級(jí)部門控制的,,我不控制,,只是聽他說的我去處理,就逃避責(zé)任,,所以我們不用控制這個(gè)表示含義,,我們認(rèn)為持有者包含了控制和處理兩個(gè)范疇。
的標(biāo)準(zhǔn)的主要內(nèi)容和章節(jié)分為管理機(jī)制,、技術(shù)措施,、業(yè)務(wù)流程、應(yīng)急處置四個(gè)方面,。管理措施從基本要求,、管理制度、管理機(jī)構(gòu),、管理人員4個(gè)方面去約束,,后面會(huì)展開講一下。技術(shù)措施從基本要求,、通用要求,、拓展要求去講的,其中基本要求不管是管理的,還是技術(shù)的,,基本要求都是對(duì)標(biāo)等保的,,通用要求相對(duì)來說一大部分是參照等保的結(jié)構(gòu)和框架,拓展要求也借鑒了等保,,但是我們主要針對(duì)云計(jì)算和互聯(lián)網(wǎng)提出的,。從業(yè)務(wù)流程上相對(duì)從個(gè)人信息的處理生命周期過程來去講述要怎么去做。最后是應(yīng)急處置從兩個(gè)方面:預(yù)案,、處置和響應(yīng),。
要點(diǎn)的解讀這里面給大家解讀幾個(gè)。第一個(gè),,這個(gè)指南和等級(jí)保護(hù)是什么樣的等級(jí)保護(hù),,現(xiàn)在等保2.0時(shí)代到來了,現(xiàn)在做等保的人都在說要按照2.0的標(biāo)準(zhǔn)來做,。等保作為網(wǎng)絡(luò)安全法中間的基本國(guó)策,,所以我們整個(gè)的安全管理要求和技術(shù)要求都是和等保相對(duì)應(yīng)的。在征求意見稿中間直接明確提出來安全等級(jí)保護(hù)的第三級(jí)做保護(hù)的,,但是在正式發(fā)布稿中間經(jīng)過了各家意見的反饋,,我們認(rèn)為不要直接一刀切按照第三級(jí),我們的最低要求是應(yīng)該滿足相應(yīng)等級(jí)的要求,,這句話很短,,相應(yīng)等級(jí)到底是哪級(jí)?其實(shí)是按照等保的過程做定級(jí)評(píng)估,、備案,、整改、檢測(cè)等等過程,,你這個(gè)級(jí)要經(jīng)過定級(jí)處理,。你這里面持有的個(gè)人信息的泄露,你這個(gè)系統(tǒng)的破壞會(huì)對(duì)國(guó)家安全,、社會(huì)穩(wěn)定,,以及公民,或者其他企業(yè)造成什么樣的要求去評(píng)估它定什么級(jí),,然后它應(yīng)該符合相應(yīng)的管理要求和相應(yīng)的技術(shù)要求,。這是等保作為我們這個(gè)的最低標(biāo)準(zhǔn),就是作為這里的兜底條件,,你至少要達(dá)到等保的水平,。
第二個(gè),我們對(duì)于等保之外又細(xì)化明確強(qiáng)調(diào)了一下幾個(gè)內(nèi)容,,當(dāng)然管理機(jī)制上我們從管理制度,、管理機(jī)構(gòu),、管理人員這幾個(gè)角度去講。當(dāng)然這里面相對(duì)來說等保2.0里面是按照管理制度,、管理機(jī)構(gòu),、管理人員、安全建設(shè),、安全運(yùn)維去講的,,我們這里主要跟人員有關(guān)的。這里主要說人員配備,,企業(yè)有大有小,,人員的配備到底該怎么去衡量?在這個(gè)指南里面列到了很多角色,,包括系統(tǒng)管理員,、數(shù)據(jù)庫管理員、安全審計(jì)員,、數(shù)據(jù)操作員等等,,我們這里明確了安全管理員和審計(jì)員是不能兼任數(shù)據(jù)操作員等等這樣的身份,,其他角色如果企業(yè)小可以兼任,,但是這兩個(gè)角色是不可以兼任的,這兩個(gè)角色不能兼任的事情也不是我們空頭想的,,這個(gè)本身來說從權(quán)限最小化,、監(jiān)督檢查的角度去考慮,也同時(shí)是國(guó)家標(biāo)準(zhǔn)個(gè)人信息安全規(guī)范里面就是這么約束的,,這是管理制度的要求,。
除了管理制度,就是我們技術(shù)上面提了哪些,?技術(shù)上面我們還是參照等保2.0,,安全物理環(huán)境、安全通信網(wǎng)絡(luò),、安全區(qū)域邊界,、安全計(jì)算環(huán)境,這里面主要摘出來了安全通信網(wǎng)絡(luò)和安全區(qū)域邊界,、安全計(jì)算環(huán)境,,因?yàn)槲锢憝h(huán)境里面很多個(gè)人信息處理系統(tǒng)可能在云上面,所以我們暫時(shí)沒有做特別的要求,。但是我們認(rèn)為等保1.0里面的數(shù)據(jù)要求那一頁的部分更適合個(gè)人信息的保護(hù),,我們?cè)诎踩?jì)算環(huán)境里面同樣還是拆出了一部分跟應(yīng)用、數(shù)據(jù)密切相關(guān)的還是單獨(dú)獨(dú)立出來,,這個(gè)是從技術(shù)措施上我們做的這些要求,,具體的詳細(xì)條款不說了,。
第二個(gè)是關(guān)于個(gè)人信息境內(nèi)存儲(chǔ)的要求,從《網(wǎng)絡(luò)安全法》里面提到關(guān)鍵基礎(chǔ)設(shè)施里面收集的個(gè)人信息應(yīng)該在境內(nèi)存儲(chǔ),,我們這個(gè)指南里面做的擴(kuò)充,,我們認(rèn)為不只是關(guān)鍵基礎(chǔ)設(shè)施里面收集的個(gè)人信息應(yīng)該在境內(nèi)存儲(chǔ),我們認(rèn)為在境內(nèi)運(yùn)營(yíng)中間收集和產(chǎn)生的個(gè)人信息都應(yīng)該在境內(nèi)存儲(chǔ),,當(dāng)然不是說不可以出境,,剛剛網(wǎng)信辦發(fā)了一個(gè)《個(gè)人信息出境的評(píng)估辦法》,我們認(rèn)為如需出境應(yīng)該經(jīng)迅國(guó)家相關(guān)規(guī)定,。第二個(gè)在云計(jì)算的環(huán)境里面,,云計(jì)算的基礎(chǔ)設(shè)施很快有可能是跨境、調(diào)度的,,這里面做了一個(gè)強(qiáng)調(diào),,云計(jì)算的平臺(tái)應(yīng)該存儲(chǔ)于中國(guó)境內(nèi)。這個(gè)是對(duì)于個(gè)人信息境內(nèi)存儲(chǔ)的要求,。
關(guān)于物聯(lián)網(wǎng)也沒有太多的要求,,我們認(rèn)為物聯(lián)網(wǎng)在個(gè)人信息接觸面上面更多還是從物聯(lián)網(wǎng)感知節(jié)點(diǎn)采集到的信息,里面涉及到個(gè)人信息回傳到后端,,物聯(lián)網(wǎng)的計(jì)算能力比較弱,,可能很多廠商就會(huì)師加密存儲(chǔ),全是明文的,,這里面強(qiáng)調(diào)了應(yīng)該用密碼技術(shù)保證通信過程中間個(gè)人信息的保密性,。
關(guān)于個(gè)人信息的業(yè)務(wù)流程,還是從收集,、保存,、應(yīng)用、刪除,、第三方委托處理,、共享和轉(zhuǎn)讓、公開披露,,這個(gè)相對(duì)來說和個(gè)人信息安全規(guī)范整個(gè)的生命周期大致一致,。稍微有點(diǎn)不同的就是中間這個(gè)環(huán)境,應(yīng)用,、刪除這個(gè)環(huán)節(jié)上面有些不同,,我們把刪除這個(gè)概念獨(dú)立出來,在個(gè)人信息安全規(guī)范里面是一個(gè)使用的章節(jié),,包含了刪除這個(gè)概念,,而我們?cè)谶@里面要求了把刪除獨(dú)立出來,因?yàn)槲覀冋J(rèn)為個(gè)人信息在收集的一開始就要清楚你什么時(shí)候要?jiǎng)h除它,,因?yàn)楝F(xiàn)在有很多企業(yè)在收集個(gè)人信息的時(shí)候就想著收,,從來沒有想過刪除它,,或者銷毀它,但是正常來說應(yīng)該有一個(gè)刪除的過程,,后面我會(huì)說如果在匿名化的情況下是可以不經(jīng)過用戶同意的,,否則的話必須要經(jīng)過用戶同意,要遵守這個(gè)過程中間《網(wǎng)絡(luò)安全法》的要求,。
在我們這個(gè)指南里面對(duì)匿名化不提這個(gè)詞,,因?yàn)檫@個(gè)詞和去標(biāo)識(shí)化這個(gè)術(shù)語在《網(wǎng)絡(luò)安全法》里面都有講,匿名化這個(gè)詞我們認(rèn)為跟其他的理解有一些模糊,,因?yàn)橛械恼J(rèn)為匿名化這個(gè)概念就是去標(biāo)識(shí)化,,或者就是讓人家看不出來,不是《網(wǎng)絡(luò)安全法》里面明確說出來的概念,。我們這里面直接用了《網(wǎng)絡(luò)安全法》的原文,,叫做經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)員的,我們這里強(qiáng)調(diào)的了對(duì)于個(gè)人信息的應(yīng)用應(yīng)該滿足符合個(gè)人信息主體之前簽署的相關(guān)協(xié)議和規(guī)定,,不應(yīng)該超范圍的使用,。當(dāng)然一個(gè)例外是這些信息已經(jīng)經(jīng)過處理了,已經(jīng)識(shí)別不出個(gè)人了,,我們認(rèn)為已經(jīng)就不是個(gè)人信息了,。業(yè)務(wù)流程里面在刪除這個(gè)條款里面,我們也是明確的規(guī)定個(gè)人信息在超過保存期限后應(yīng)該進(jìn)行刪除,,什么情況可以不刪除,?經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)員的除外,,仍然是按照《網(wǎng)絡(luò)安全法》的要求來提的,。
最后我給大家分享一下,我們認(rèn)為這個(gè)指南可能會(huì)在哪兩個(gè)重要的場(chǎng)景下去應(yīng)用,,第一個(gè)是APP收集使用個(gè)人信息,,這個(gè)在今年年初的時(shí)候,在座只要是有用APP,,或者如果有廠家開發(fā)APP的,,就應(yīng)該知道四部委發(fā)的文,就是網(wǎng)信辦,、工信部,、公安部和市場(chǎng)監(jiān)管總局《關(guān)于開展APP違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》,這個(gè)公告里面很明確提出來了APP運(yùn)營(yíng)者在收集使用個(gè)人信息的時(shí)候應(yīng)該嚴(yán)格履行《網(wǎng)絡(luò)安全法》的責(zé)任義務(wù),,除了你要有合法合規(guī)的理由和用戶同意之后才去收集使用之外,,你要采取有效的措施加強(qiáng)個(gè)人信息的保護(hù)。所以我們用APP在做收集使用個(gè)人信息的時(shí)候,,你就要想到這個(gè)指南可以成為我遵照怎么樣更好地采取措施加強(qiáng)個(gè)人信息保護(hù)的參考依據(jù),。這個(gè)專項(xiàng)治理的公告里面明確指出來公安機(jī)關(guān)的職責(zé),,公安機(jī)關(guān)開展打擊整治網(wǎng)絡(luò)犯罪專項(xiàng)工作依法嚴(yán)厲打擊針對(duì)利用個(gè)人信息的違法犯罪行為,這個(gè)指南可以用在這個(gè)方面,。
第二個(gè)就是重點(diǎn)防范重要數(shù)據(jù)和公民個(gè)人信息的泄露,,在具體這個(gè)過程中間有哪幾個(gè)點(diǎn)?我這里給大家說一下,。第一點(diǎn)肯定是先把我們系統(tǒng)中間具有的重要數(shù)據(jù),,尤其是公民個(gè)人信息要作為一個(gè)底數(shù)要摸底,到底我這個(gè)系統(tǒng)存有哪些重要數(shù)據(jù)和公民個(gè)人信息,,在摸底數(shù)的時(shí)候存有的這些數(shù)據(jù)是否符合《網(wǎng)絡(luò)安全法》采集使用的規(guī)定,,在采集使用的過程中間是否征求了民眾的同意,包括刪除權(quán)等等這些要求,,不僅僅是有什么,,這個(gè)有什么來自于合法合規(guī)的,同時(shí)它的使用,,包括共享,、轉(zhuǎn)讓、公開披露都是按照《網(wǎng)絡(luò)安全法》的要求去做的,,這是摸清底數(shù),。
第二點(diǎn)重點(diǎn)對(duì)于互聯(lián)網(wǎng)相關(guān)的信息系統(tǒng)數(shù)據(jù)安全保護(hù)是一個(gè)重點(diǎn)要去考慮的事情,如果你的信息系統(tǒng)是在互聯(lián)網(wǎng)上對(duì)外提供服務(wù),,如果包含了個(gè)人信息和重點(diǎn)數(shù)據(jù)重點(diǎn)要防護(hù)這個(gè),,從哪幾個(gè)方面防護(hù),指南也給了很多的技術(shù)措施,,包括安全管理的一些要求,。重點(diǎn)提幾個(gè),比如說弱口令,,很多的互聯(lián)網(wǎng)網(wǎng)站掛在網(wǎng)上本身就有弱口令,,直接通過這個(gè)弱口令進(jìn)去了,這是很常見的問題,?;ヂ?lián)網(wǎng)上的信息包括了訪問授權(quán)、訪問控制,,它能夠向哪些人訪問,、使用等等權(quán)限的設(shè)置,這都是互聯(lián)網(wǎng)上訪問的一些要點(diǎn),。
第三點(diǎn)就是內(nèi)部系統(tǒng)的安全保護(hù),,前面在講案例的時(shí)候提到內(nèi)部人員其實(shí)是很大的問題,有快遞公司的內(nèi)部人員把用戶的信息給賣了,,也有銀行的工作人員,、電信運(yùn)營(yíng)商,,甚至有國(guó)家機(jī)關(guān)的工作人員。他們內(nèi)部系統(tǒng)的數(shù)據(jù)安全保護(hù)要從哪幾個(gè)要點(diǎn)呢,?既然叫做內(nèi)部系統(tǒng),,首先第一點(diǎn)必須跟外面是有一定的隔離,這個(gè)系統(tǒng)是跟互聯(lián)網(wǎng)是隔離的,,當(dāng)然這個(gè)隔離不一定是物理隔離,,有可能是邏輯隔離,這個(gè)隔離中間的安全措施是否有效,,這個(gè)是很重要的一點(diǎn),。因?yàn)樗母綦x,比如說我的系統(tǒng)升級(jí)補(bǔ)丁是否還及時(shí),,大家知道web club(音)病毒一出來,、一放大,很多號(hào)稱跟互聯(lián)網(wǎng)物理隔離的網(wǎng)絡(luò)最后都中招了,,說明它其實(shí)是有問題的,。當(dāng)然是兩個(gè)問題,一個(gè)是肯定是有非法外連,,第二個(gè)肯定是病毒的升級(jí),、補(bǔ)丁的升級(jí)不及時(shí),這個(gè)是基本的安全要求,。內(nèi)部的系統(tǒng)更重要的是為什么一些人非授權(quán)能夠把用戶的數(shù)據(jù)都泄露出去呢,?其實(shí)很大程度是在這個(gè)系統(tǒng)中間對(duì)于用戶個(gè)人信息的使用上面是有問題的,它的權(quán)限設(shè)置沒有達(dá)到它使用的最小,,它的用戶審計(jì),,包括安全性沒有達(dá)到足夠高。
第四點(diǎn)防范系統(tǒng)供應(yīng)鏈安全風(fēng)險(xiǎn),,大家知道中美貿(mào)易戰(zhàn)之中一提就提供應(yīng)鏈,,在個(gè)人信息系統(tǒng)中間它的供應(yīng)鏈非常的重要,,這個(gè)供應(yīng)鏈除了類似于像云服務(wù),、IDC機(jī)房這樣子的服務(wù)提供商之外,更多的出現(xiàn)在這個(gè)系統(tǒng)的運(yùn)維人員,,或者信息系統(tǒng)的建設(shè)方,,很多侵犯公民個(gè)人信息的都是因?yàn)槟硞€(gè)系統(tǒng)集成商的工作人員在里面設(shè)了一個(gè)后門,通過這個(gè)后門犯罪分子就進(jìn)入了銀行的內(nèi)部系統(tǒng)把征信報(bào)告拿出去了,,所以供應(yīng)鏈的安全是我們要重點(diǎn)去考慮的,。
最后一點(diǎn)就是要及時(shí)應(yīng)對(duì)處置安全的事件,一旦有安全事件要及時(shí)上報(bào),,因?yàn)樯婕暗焦駛€(gè)人信息,,涉及到犯罪的要及時(shí)上報(bào)給公安機(jī)關(guān),,同時(shí)保留證據(jù)用來最后進(jìn)行司法方面的起訴,或者說辦案,。