我國個人信息保護標準體系與實踐

個人信息保護是當前被廣泛提及的熱門話題，2018年以來，隨著我國國家標準GB/T35273-2017《信息安全技術個人信息安全規范》標準的實施，以及歐盟通用數據保護條例（GDPR）的生效，個人信息保護的熱度進一步攀升。我國近年來高度重視個人信息保護方面的工作，從法律法規到標準規范，自上而下形成了較完善的個人信息保護治理體系，本文就我國個人信息保護的國家標準展開進一步論述，以供參考。

一、我國個人信息保護相關法律法規

我國對于個人數據保護的立法起步較晚，目前還沒有專門的個人信息保護法，但在個人信息保護方面已有了相關的法律法規、司法解釋、部門規章和規范性文件，主要有《網絡安全法》《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《刑法修正案（九）》《消費者權益保護法》《民法總則》《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等。

2016年11月7日，全國人大常委會通過了《網絡安全法》，它是我國網絡安全領域的基礎性法律，為我國的個人信息保護工作提供了法律依據。《網絡安全法》明確了“個人信息”的定義，“單獨或者與其他信息結合識別自然人個人身份的各種信息”，記錄的載體可以是電子或者其他方式。第四十條明確了個人信息保護的責任主體是“網絡運營者”，他們應當對“收集的用戶信息嚴格保密，并建立健全用戶信息保護制度”。第四十一至五十條規定了個人信息保護的基本原則，如第四十一條明確了網絡運營者“公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意”體現公開透明和個人同意原則；“網絡運營者不得收集與其提供的服務無關的個人信息”體現最少夠用原則；第四十二條“未經被收集者同意，不得向他人提供個人信息”體現確保安全原則等。《網絡安全法》對于侵犯個人信息的行為給出了相關的處罰措施，第六章“法律責任”中明確規定“侵害個人信息依法得到保護的權利”的網絡運營者、網絡產品或者服務的提供者，嚴重者可被“吊銷營業執照”。

《網絡安全法》雖然專章規定了對個人信息的保護，但個人信息保護問題涉及社會的方方面面，需要全面成熟的專門立法來進一步規范。在今年9月份第十三屆全國人大常委會立法規劃中，《個人信息保護法》和《數據安全法》均被列為第一類項目，屬于條件比較成熟、任期內擬提請審議的法律草案。這兩部法律的頒布將進一步指導我國的個人信息保護工作，全面提升全社會的個人信息保護水平。

二、我國個人信息保護標準體系與主要內容

《網絡安全法》以及正在立法規劃中的《個人信息保護法》和《數據安全法》一方面作為層級最高的法律指導著我國個人信息保護工作的開展；另一方面隨著網絡經濟的不斷發展，各類個人信息泄露、濫用的事件層出不窮，法律具有概括性和滯后性，常常難以解決這些不斷涌現的新情況新案例。國家標準雖然與法律的屬性不同，但是國家標準是各相關方的共識，可以推動法律法規的內容具體落地，在指導企業實踐方面有著不容忽視的重要意義。

目前，我國正在形成以《個人信息安全規范》為基礎的國家標準體系，各項配套國家標準正在有序制定中。《個人信息安全規范》針對個人信息面臨的安全問題，規范個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節中的相關行為，遏制個人信息非法收集、濫用、泄露等亂象，最大程度保障個人的合法權益和社會公共利益。其他正在編制和研究中的個人信息保護國家標準還有：

《信息安全技術個人信息安全影響評估（征求意見稿）》規定了個人信息安全影響評估的基本概念、框架、方法和流程，給出了個人信息委托處理、轉讓、共享或公開披露前等幾種典型的場景，指導各類組織從影響個人自主決定權、引發差別性待遇、個人名譽受損或遭受精神壓力、個人財產受損4個維度進行個人權益影響程度判斷，自行開展個人信息安全影響評估工作。

《信息安全技術個人信息去標識化指南（送審稿）》建立了個人信息去標識化工作的整體原則，包括合規、個人信息安全保護優先、技術和管理相結合、充分應用軟件工具、持續改進；指導和規范了去標識化的過程，包括確定目標、識別標識、處理標識、驗證批準以及有效的監控和審查；提供了可供參考的去標識化的技術，包括統計技術、密碼技術、抑制技術、假名化技術、泛化技術、隨機化技術等；提供了常用去標識化的模型，K-匿名模型、差分隱私模型以及去標識化模型和技術的選擇，并給出了相應的參考案例，為個人信息處理相關方提供去標識化的指導，也為第三方機構測評提供依據。

《數據出境安全評估指南（征求意見稿）》提出了個人信息和重要數據出境的安全評估原則、流程要點和方法，列舉了境內網絡運營者與境外機構進行商業交易或業務合作、網絡運營者通過自身互聯網平臺為位于境外的客戶提供服務等幾類常見的業務場景，指導網絡運營者、網絡安全服務機構從數據出境識別、合規性評估、威脅分析、安全保障能力評估等方面進行數據出境安全評估，也為網絡運營者進行數據出境安全管理制度和能力建設提供參考。

《個人信息告知同意指南（研究）》在2017年四部委指導下的隱私條款評審工作的基礎上，借鑒29工作組關于GDPR下同意的指南，研究了影響告知同意的因素，主要有告知的內容、告知的展現形式、告知的實際和頻率、同意的模式和實現形式、告知同意載體的法律文件類別等，擬解決細化告知同意的例外情形、告知同意的證據留存、告知的機器可讀性等問題。

《健康醫療信息安全指南（草案）》分析總結了國內外健康醫療信息安全威脅，匯集總結國內外健康醫療信息安全管理的最佳實踐和最新研究成果，為國內健康醫療信息安全管理提供具體的指導，包括管理和技術方面的安全保障措施。

《個人信息安全工程指南（草案）》將個人信息保護納入信息系統工程中進行考慮，用于解決在涉及個人信息的信息系統中處理隱私保護問題，實現可預測性、可管理性等目標。

目前，國內已經掀起了對個人信息保護標準進行研究的熱潮，就當前我國個人信息保護標準體系而言，其科學性、先進性、完備性在進一步提升，與國際隱私保護標準體系的差距也越來越小。

三、個人信息安全規范與GDPR要求的比較

《個人信息安全規范》系統、詳細地闡述了組織實踐中對個人信息處理所遵循的要求，且成為很多組織落實我國網絡安全法等法律法規要求的重要參考，也有很多機構就標準內容與歐盟GDPR做對比分析。嚴格意義上來說，標準與法規本身性質不同、用途不同，兩者無法去比較，但是從內容來看，兩者有著類似的條款要求，僅從內容角度進行比較也有助于增進對條款的理解。

第一，從基本原則來看，個人信息安全規范與GDPR所提出的原則基本一致，如合法、公開、透明、最少夠用、確保安全、問責等，這也是國際上對個人信息保護的共識體現；第二，從個人信息處理的合法性基礎方面，GDPR給出了6個合法性事由，包括數據主體的同意、履行合同所必需、履行法定義務、保護個人重要利益、維護公共利益、追求正當利益等，而個人信息安全規范是以

我國法律法規為基礎，因此仍然提出了以“同意”為基礎的措施，只不過對不同情形征得“同意”的方式方法進行細化，也提出了免于同意的場景；第三，GDPR賦予數據主體更為廣泛的控制權，包括了知情、訪問、更正、刪除、限制處理、可攜帶、反對等權利，而個人信息安全規范中，首先，是就法律法規提出的訪問、更正和刪除基本權利予以細化；其次，基于個人信息保護的原則提出了撤回同意、注銷賬號、獲取副本等權利，其中對獲取個人信息的副本的范圍進行限定，便于落地實施，這也是結合國情以及實踐綜合考慮的體現。

四、個人信息保護標準應用實踐

從組織實踐角度出發，要落實標準要求，實現全面、可持續的合規管理，參考實踐思路如下。總體來看，組織應從兩個角度全面考慮個人信息安全工作：一是對內建立體系，二是對外接受監督，然后從落實責任、關鍵工作、能力提升3方面逐步提升個人信息保護水平。此外，組織還可以將內部優秀實踐擴大到多款產品或業務生態的上下游，以帶動整體保護水平的提升。

在落實責任層面，其一，個人信息保護合規工作開展得順利與否直接取決于組織的負責人是否重視，是否提供了足夠的資源保障，標準強調了“組織應明確其法定代表人或主要負責人對個人信息安全負全面領導責任”；其二，組織的多個部門應進行明確分工，形成以責任部門和責任人為核心的組織架構；其三，責任部門和責任人應根據組織所運營的產品或服務的具體特點，制定個人信息保護的目標、方針等策略性文件，以及相應的工作計劃，比如可以選取一款典型產品就當前情況與《個人信息安全規范》標準要求進行差距分析，全方位識別弱點環節，為制訂工作計劃提供參考。

在建章立制層面，其一，建立和維護個人信息清單尤為重要，擁有完善的個人信息清單是組織全面、有效、持續實施的個人信息安全保障措施的重要前提，對組織所持有的個人信息可知、可查，對組織個人信息處理活動可視、可溯，也是組織個人信息安全保障能力的重要體現；其二，實施個人信息安全影響評估（PIA）有助于組織提前發現和預防風險事件。比如，在產品設計、上線前進行個人信息安全影響評估，分析對個人權益可能造成的影響，如個人的自主權利、引發差別待遇、精神壓力、財產損失等，進一步采取相應措施降低風險，為產品和業務穩定上線運營提供保障。就個人信息安全影響評估，國家標準《個人信息安全影響評估指南》正在制定中，進一步提供了細致實用的參考；其三，發布隱私政策接受社會監督。隱私政策是體現組織個人信息保護策略公開透明的重要舉措，是個人以及社會了解組織的窗口，組織應基于上述步驟的工作成果，歸納總結相關策略、規則，形成完善的隱私政策，體現重視個人信息保護工作，主動接受監督的態度。《個人信息安全規范》標準附錄中給出的隱私政策的模板可以作為參考。

在能力提升方面，組織應建立個人信息保護的技術體系，采用技術手段和工具系統強化個人信息安全能力。其一，應加強數據安全能力，避免和防止個人信息的泄露、損毀、丟失。加強數據安全能力已有很多現有途徑可選，比如采取參考國家有關數據安全能力成熟度標準強化安全能力，參照等級保護、云計算服務相關標準加強系統和平臺安全等；其二，積極采取去標識化措施降低個人信息處理的風險，個人信息去標識化是普遍被認為最有效、簡便的降低風險的措施，組織應該充分結合業務場景考慮使用此種方法，正在制定的國家標準《個人信息去標識化指南》對去標識化過程和管理措施給出了詳盡的參考；其三，應逐步在產品中實現隱私設計（privacy-by-design）和默認隱私（privacy-by-default）理念，將個人信息保護與產品功能體驗相結合，實現個人信息主體權利實現的便捷化。此外，合規能力的展現也是組織應該重視的工作，一方面有助于以合規推動業務發展，另一方面可適當減少對接監督管理工作的成本。

總之，數據成為新時代發展的重要驅動力，組織應對數據安全合規問題慎重對待，以法律法規為準繩，以標準規范為參考，建立符合自身發展需求的內部治理方案，方能在數字時代凸顯自身優勢、發揮數據價值。

（原載于《保密科學技術》雜志2018年10月刊）