孫昌衛(wèi)

摘要：當(dāng)今社會(huì)，數(shù)據(jù)的重要性和價(jià)值被越發(fā)重視，個(gè)人信息因和公眾密切相關(guān)被社會(huì)各界聚焦關(guān)注，本文介紹了國(guó)內(nèi)外典型的個(gè)人數(shù)據(jù)法規(guī)、標(biāo)準(zhǔn)，并提出安全建議，供大家參考。

據(jù)《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》統(tǒng)計(jì)顯示，截至 2018年6月，中國(guó)網(wǎng)民規(guī)模為8.02億，較 2017 年末增加 3.8%，互聯(lián)網(wǎng)普及率達(dá) 57.7%，其中手機(jī)網(wǎng)民規(guī)模達(dá)7.88億，在上網(wǎng)人群中的占比達(dá)98.3%。

高比例的上網(wǎng)人群催生出來(lái)大量的應(yīng)用程序，這些應(yīng)用程序?yàn)閺V大網(wǎng)民提供各式各樣的便捷服務(wù)，但其中也出現(xiàn)了對(duì)個(gè)人信息違法收集、濫用、泄露等問(wèn)題，這不僅會(huì)導(dǎo)致個(gè)人隱私數(shù)據(jù)泄露，同時(shí)還嚴(yán)重影響個(gè)人生命和財(cái)產(chǎn)安全。另外隨著國(guó)家政務(wù)系統(tǒng)的集約化，提供公共服務(wù)的應(yīng)用系統(tǒng)不斷增加，數(shù)據(jù)共享使用、融合存儲(chǔ)，數(shù)據(jù)資源集中后高價(jià)值明顯，公民個(gè)人信息在此過(guò)程中面臨的安全風(fēng)險(xiǎn)也在日益劇增。

網(wǎng)絡(luò)安全是一個(gè)全球性的問(wèn)題，其中公民個(gè)人信息保護(hù)問(wèn)題面臨的挑戰(zhàn)更加嚴(yán)峻，也更加復(fù)雜。各國(guó)政府一直致力于公民個(gè)人信息保護(hù)，但依然不斷出現(xiàn)個(gè)人隱私數(shù)據(jù)泄露事件，例如2018年3月Facebook出現(xiàn)的數(shù)據(jù)泄露事件，導(dǎo)致5000萬(wàn)用戶信息被第三方公司Cambridge Analytica用于大數(shù)據(jù)分析，并引發(fā)連鎖反應(yīng)。2018年8月華住集團(tuán)“5億條個(gè)人敏感信息泄露”，全部數(shù)據(jù)泄露資料更是高達(dá)141.5GB，9月份警方將犯罪嫌疑人抓獲歸案，同時(shí)也將依法查處涉案的主體單位。可見(jiàn)在落實(shí)網(wǎng)絡(luò)安全主體責(zé)任和安全防護(hù)措施方面我們絲毫不能懈怠，需要切實(shí)加強(qiáng)安全防護(hù)保障措施，在防護(hù)效果方面達(dá)到 “進(jìn)不來(lái)、看不懂、拿不走、改不了、賴不掉”。

從法規(guī)保護(hù)層面而言，目前各個(gè)國(guó)家國(guó)情不同、重視程度不一樣，立法的進(jìn)度和保障措施也不盡相同，其中以歐盟為代表的組織和國(guó)內(nèi)在個(gè)人信息保護(hù)方面存在著明顯差異。

“歐盟數(shù)據(jù)憲章”-通用數(shù)據(jù)保護(hù)條例   

2018 年 5 月 25 日，歐盟通用數(shù)據(jù)保護(hù)條例（Generall Data Protection Regulation, GDPR）正式實(shí)施，在全球范圍內(nèi)產(chǎn)生廣泛影響。GDPR提出了個(gè)人數(shù)據(jù)保護(hù)六大原則：合法合理透明性原則、目的限制原則、最小化數(shù)據(jù)處理原則、數(shù)據(jù)準(zhǔn)確性原則、限制存儲(chǔ)期限原則、數(shù)據(jù)的完整性和保密性原則，在六大原則的指導(dǎo)下，通過(guò)一系列嚴(yán)格的問(wèn)責(zé)機(jī)制，從系統(tǒng)設(shè)計(jì)和默認(rèn)設(shè)置著手的隱私保護(hù)（Data protection by design and by default）、保留處理活動(dòng)記錄、實(shí)施安全保障措施、數(shù)據(jù)泄露報(bào)告與通知、數(shù)據(jù)保護(hù)影響評(píng)估、事先協(xié)商、設(shè)置數(shù)據(jù)保護(hù)官等措施，對(duì)數(shù)據(jù)主體的知情權(quán)、訪問(wèn)權(quán)、糾正券、刪除權(quán)（被遺忘權(quán)）、限制處理權(quán)、可移植權(quán)（可攜帶權(quán)）、拒絕權(quán)和與自動(dòng)化個(gè)人決策相關(guān)權(quán)利進(jìn)行保護(hù)。

GDPR要求數(shù)據(jù)控制者和處理者實(shí)施適當(dāng)?shù)募夹g(shù)和管理措施，并在必要時(shí)進(jìn)行審查和更新，盡管全文并未給出詳細(xì)的控制措施實(shí)施要求，但仍指出需對(duì)以下因素進(jìn)行著重考慮：

• 個(gè)人數(shù)據(jù)的匿名化和加密；
• 數(shù)據(jù)系統(tǒng)持續(xù)保持保密性、完整性、可用性以及恢復(fù)的能力；
• 在發(fā)生自然事故或者技術(shù)事故的情況下，個(gè)人信息的及時(shí)獲取以及再存儲(chǔ)能力；
• 對(duì)技術(shù)性及管理性措施的有效性定期進(jìn)行測(cè)試、訪問(wèn)、評(píng)估，以確保處理過(guò)程的安全性。

需特別注意的是，GDPR關(guān)于“同意”的認(rèn)定標(biāo)準(zhǔn)較以往更為嚴(yán)格，且對(duì)兒童個(gè)人信息的保護(hù)更為注重。

國(guó)內(nèi)數(shù)據(jù)安全法律法規(guī)、政策標(biāo)準(zhǔn)

我國(guó)在多項(xiàng)法律中關(guān)注和強(qiáng)化對(duì)個(gè)人信息的保護(hù)。如2012年全國(guó)人大常委會(huì)通過(guò)了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》；2015年《中華人民共和國(guó)刑法修正案（九）》中明確了對(duì)個(gè)人信息保護(hù)的規(guī)定；2016年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》確定了個(gè)人信息保護(hù)的基本規(guī)則。2017年《中華人民共和國(guó)民法總則》中也明確規(guī)定了自然人的個(gè)人信息受法律保護(hù)。2019年《中華人民共和國(guó)電子商務(wù)法》中也納入了保護(hù)消費(fèi)者個(gè)人信息等規(guī)定。除此以外《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見(jiàn)稿）》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》中也對(duì)個(gè)人信息保護(hù)進(jìn)行了相關(guān)規(guī)定，要求網(wǎng)絡(luò)運(yùn)營(yíng)者落實(shí)重要數(shù)據(jù)和個(gè)人信息安全保護(hù)制度，采取保護(hù)措施，保障數(shù)據(jù)和信息在收集、存儲(chǔ)、傳輸、使用、提供、銷毀過(guò)程中的安全。

其中《中華人民共和國(guó)網(wǎng)絡(luò)安全法》在第四章 網(wǎng)絡(luò)信息安全部分，較大篇幅的對(duì)個(gè)人信息安全進(jìn)行了規(guī)定，并且明確規(guī)定了“任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息”。為了落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保障法》，2019年1月25日，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場(chǎng)監(jiān)管總局正式對(duì)外發(fā)布《關(guān)于開(kāi)展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》。從中我們也看出政府治理違規(guī)收集使用個(gè)人數(shù)據(jù)方面的決心，專項(xiàng)治理公告中明確要求：

• App運(yùn)營(yíng)者收集使用個(gè)人信息時(shí)要嚴(yán)格履行《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定的責(zé)任義務(wù)，對(duì)獲取的個(gè)人信息安全負(fù)責(zé)，采取有效措施加強(qiáng)個(gè)人信息保護(hù)。
• 相關(guān)部門依法編制大眾化應(yīng)用基本業(yè)務(wù)功能及必要信息規(guī)范，并對(duì)用戶基數(shù)大、民眾密切相關(guān)的App隱私政策和個(gè)人信息收集使用情況進(jìn)行評(píng)估。
• 主管部門將加大對(duì)違法違規(guī)收集使用個(gè)人信息行為的監(jiān)管和處罰力度，包括依法暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照等處罰手段；
• 開(kāi)展App個(gè)人信息安全認(rèn)證，同時(shí)也鼓勵(lì)運(yùn)營(yíng)者通過(guò)App個(gè)人信息安全認(rèn)證。

在個(gè)人信息安全標(biāo)準(zhǔn)方面，2018年5月1日，信安標(biāo)委組織制定的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》正式實(shí)施，并于2019年1月30號(hào)公布二次修訂草案。這是國(guó)內(nèi)在個(gè)人信息安全保障方面的提升，在這部重磅的個(gè)人信息安全標(biāo)準(zhǔn)中明確了個(gè)人信息安全的基本原則，個(gè)人信息的收集、保存、使用、委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露的要求，個(gè)人信息安全事件處置和對(duì)組織的管理要求。同時(shí)相關(guān)的配套法規(guī)、標(biāo)準(zhǔn)也在陸續(xù)制定當(dāng)中，相信推出時(shí)間指日可待。

雖然國(guó)內(nèi)針對(duì)個(gè)人信息安全保護(hù)有一系列的法律法規(guī)、政策標(biāo)準(zhǔn)。但是總體而言法規(guī)、標(biāo)準(zhǔn)依然不完善，缺少總體規(guī)劃，碎片化明顯，同時(shí)存在落地執(zhí)行不到位等情況。需要我們?cè)诹⒎▽用婕訌?qiáng)頂層設(shè)計(jì)，統(tǒng)一規(guī)劃，緊密銜接，加強(qiáng)監(jiān)管和處罰措施，不斷完善現(xiàn)有管理機(jī)制，從國(guó)家層面為個(gè)人信息安全提供法律保障。

對(duì)個(gè)人信息安全的幾點(diǎn)建議

個(gè)人信息安全不單純是技術(shù)問(wèn)題或者法律問(wèn)題，需要統(tǒng)籌結(jié)合，上下聯(lián)動(dòng)，綜合防御。各組織單位、行業(yè)客戶需要梳理清楚自身數(shù)據(jù)資產(chǎn)，識(shí)別個(gè)人敏感信息，加強(qiáng)內(nèi)部安全管理措施，數(shù)據(jù)在哪里，安全保障就要覆蓋到哪里。

在個(gè)人信息安全防護(hù)方面，行業(yè)單位需要落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。在安全合規(guī)建設(shè)中及時(shí)整改、落實(shí)管理，構(gòu)建動(dòng)態(tài)防御體系。加強(qiáng)數(shù)據(jù)安全動(dòng)態(tài)監(jiān)測(cè)預(yù)警機(jī)制，加強(qiáng)信息收集、分析研判，個(gè)人信息安全事件發(fā)生時(shí)及時(shí)預(yù)警、迅速處置。對(duì)接觸到個(gè)人敏感信息的人員，進(jìn)行鑒權(quán)控制、行為審計(jì)，并定期組織安全培訓(xùn)，強(qiáng)化素質(zhì)教育、安全意識(shí)教育、安全技能教育，減少敏感數(shù)據(jù)從內(nèi)部泄露的風(fēng)險(xiǎn)。敏感數(shù)據(jù)定期備份，備份信息定期離線保存，避免數(shù)據(jù)勒索事件發(fā)生。加強(qiáng)普法教育，個(gè)人信息安全從身邊的小事做起，不隨意丟棄快遞單、不隨便參加掃描抽獎(jiǎng)活動(dòng)、使用App謹(jǐn)慎放權(quán)。

面對(duì)個(gè)人信息安全，沒(méi)有誰(shuí)可以獨(dú)善其身，加強(qiáng)個(gè)人信息安全保護(hù)不僅需要國(guó)家立法保障，更加需要行業(yè)單位加強(qiáng)落地執(zhí)行，不斷完善監(jiān)督、檢查、處罰機(jī)制，同時(shí)也需要公民積極參與。只有社會(huì)各界共同努力，才能構(gòu)建風(fēng)清氣朗的網(wǎng)絡(luò)空間。