查看原文
其他

实施《个人信息安全规范》,为公共服务安全保驾护航

何延哲 刘贤刚 网安寻路人 2020-02-27

编者按:


随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法,或者转载对该标准的评论文章。本文作者是中国电子技术标准化研究院的何延哲和刘贤刚。



实施《个人信息安全规范》,为公共服务安全保驾护航

 

 

随着信息技术和人类生产生活交汇融合,互联网快速普及,公共服务也随之进入了数字化时代,大大提升了公共服务的均等化、普惠化、便捷化水平。然而,近年来,公共服务领域所发生的众多个人信息安全事件,危害到了民众切身利益,也将个人信息保护问题推上了风口浪尖,产生了不良的社会影响。


2016年,徐玉玉、宋振宁等学生因个人信息泄露遭电信网络诈骗案件,导致受害人猝死或自杀,让人扼腕叹息;同年,全国30省份275位艾滋病感染者称接到诈骗电话,艾滋病感染者的个人信息疑似被大面积泄露;2017年,安徽、江西等多地在低保、保障房等福利分配相关政务信息公开、社区居民健康检查、高校公示受助学生信息时涉及个人信息泄露,信息公开变成了“隐私公开”。


大数据时代,公共服务领域如何既保护好个人信息安全,又充分利用个人信息造福民众?新发布的国家标准《个人信息安全规范》(GB/T 35273-2017)给出了具体的解决方案。


一、标准以问题为导向,针对典型个人信息安全问题有的放矢


《个人信息安全规范》在制定之初,便秉承了“解决我国当下个人信息安全问题”的初衷,从个人信息处理的生命周期和安全管理两个角度出发,分别针对典型问题给出了解决路径。个人信息的收集部分,首条便明确指出不得欺诈、诱骗、强迫个人信息主体提供其个人信息、不得隐瞒产品或服务所具有的收集个人信息的功能等个人信息收集的合法性要求,同时,诸多条款对如何避免“过度收集、默认勾选、一揽子协议”等常见问题提出了具体的指导,其中针对“黑色产业链贩卖个人信息”问题,标准要求间接获取个人信息时提供方需说明个人信息来源,并确认合法性,切断了其利益链条;最后,对隐私政策的内容和发布提出要求,并在附录D中给出了隐私政策的参考模板,这为公共服务领域改进“无隐私条款或隐私条款不规范”的情形提出了实用、易操作的样例。


个人信息的保存部分,首先针对“无限期存储”问题提出了保存个人信息的最小化要求;其次,所提出的去标识化处理,是降低个人信息泄露风险的最有效方法之一;针对高度敏感的生物特征识别信息,也给出了“红线型要求”,存储时应采用摘要等技术措施处理后存储,以预防泄露等事件给个人带来长期危害。


个人信息的使用部分,首先对个人信息的内部问控制措施和展示方面的要求给出细化,以降低“内部违规操作”和“个人信息泄露”的可能;其次,对使用环节提出了必要的限制措施,防止“个人信息滥用”。为了应对“删除难、注销难、无法撤回同意、申诉难”等问题,标准明确了组织应履行的义务,切实地保障了个人信息主体权益。


个人信息的委托处理、共享、转让、公开披露部分,针对“第三方供应商风险、非法共享转让、公开披露不当”等常见问题,相对应提出了合理、安全的处置方式。最后,关于个人信息安全管理方面,针对“安全事件处置不当、内部责任划分不清、管理落实不到位、安全意识淡薄、防护措施不足、内鬼作案盗取信息”等问题,标准从管理、技术等方面给出具体的指导。


从上述分析不难看出,如果能实施国家标准《个人信息安全规范》的相关要求,将很有可能避免出现本文开头所罗列的近年来发生的各类个人信息安全事件。推进国家标准《个人信息安全规范》在公共服务领域的广泛应用,化被动为主动,是预防各类个人信息安全事件出现的有效路径。


二、提升个人信息保护水平,是大数据时代做好网络安全的“必修课”


2017年6月1日,《网络安全法》正式实施,标志着我国网络安全工作有了基础性、全面性的法律遵从。从《网络安全法》框架和内容可以看出,大数据时代网络安全,主要由网络运行安全、网络信息安全、监测预警与应急处置等组成,而其中,网络信息安全部分着重对个人信息保护提出要求。在传统信息安全方面,网络安全等级保护等保障网络运行安全的要求已经得到较大面积的推广和实施,然而,个人信息安全问题,并非保密性、完整性、可用性三方面所能涵盖,个人的知情权、选择权、控制权等等均关系个人切身利益,这也是网络安全法单独强调其的原因。


国家标准《个人信息安全规范》紧紧围绕“保护个人权益”为核心,在《网络安全法》的框架下,结合国际通用保护理念,提出了权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与七大原则以及个人信息处理生命周期的控制和管理要求,为组织全面提升个人信息保护水平提供了详尽、完备和体系化的指导。公共服务领域涉及广大民众,个人信息是其必须依赖的核心资源,如今公共服务领域信息化、自动化程度日益变高,系统交互,数据互通日益频繁,要将《网络安全法》要求落到实处,切实提升个人信息保护水平,国家标准《个人信息安全规范》无论是权威性、全面性、实用性方面均是最佳之选。


三、以个人信息安全为准绳,有助于推进政府和社会信息资源开放共享


近年来,国务院、中办、国办等发布的《国家信息化发展战略纲要》、《促进大数据发展行动纲要》、《关于推进公共资源配置领域政府信息公开的意见》等相关文件中,反复提及推进政府和社会信息资源开放共享对推进数字化社会建设的重要性,2017年12月8日,习近平总书记在中共中央政治局第二次集体学习时强调,“要加强政企合作、多方参与,加快公共服务领域数据集中和共享,推进同企业积累的社会数据进行平台对接,形成社会治理强大合力。”


数据的开放和共享,既是机遇,也是难题。数据具有“易扩散、易拷贝”等特点,在开放和共享的过程中,稍有不慎,可能会引发长期且不易消除的影响。同时,“公共机构随意索要数据、数据开放不妥引发质疑、数据共享后接收方保护不力或滥用、安全责任划分难”等情形的出现更让“不敢、不愿开放和共享,或对政策长期观望”成为了一部分组织的无奈之举。


公共服务领域,数据的开放与共享是必然方向,而其程度,直接决定了民生服务的效率和质量,如何更有效地推进数据开放与共享,是当下的重点任务。国家标准《个人信息安全规范》中,对个人信息的共享、转让、公开披露做出了详细要求,其中首先强调,应充分重视风险,其次,应对此过程进行安全影响评估,并采取安全措施,最后还要求对相应过程要素进行记录,并承担相应责任,而接收方获取个人信息后,其应遵守标准所有的个人信息安全要求,履行权责一致原则。上述措施,一方面保障了过程的安全、接收方具备充分安全能力,另一方面,通过过程记录、责任划分等方式完成了安全责任的有效传递。公共服务领域与个人强相关,开放共享过程所涉及的数据几乎均包含个人信息,因此以国家标准《个人信息安全规范》来规范相关数据的开放和共享过程,以个人信息安全为准绳,尽可能降低过程中的安全风险,是消除组织“顾虑”,推进政府和社会信息资源开放共享工作顺利开展的重要抓手。


四、小结


“悠悠万事,民生为重”,2018年习近平总书记在新年贺词中,谈及“造福人民生活为最大政绩”。公共服务领域,与人民利益切身相关,在推进公共服务数字化的进程中,规范个人信息处理活动,及早预防出现人民利益受损情形,正是“以安全促发展”和“网络安全为人民”的真实写照。


标准,只有得到实施应用,才是其价值的最好体现,也是延续其生命力的最佳途径。国家标准《个人信息安全规范》概念清晰、原则明确、条款简明扼要、实用性强、适用性广,与法律法规一脉相承,与其他安全标准交叉少,配套性高,理应成为每位公共服务领域安全从业人员的“必读本”和“工具书”。加大该标准在公共服务领域宣贯、试点、及推广实施的力度,为惠民、便民的民生工程保驾护航,是标准后续应用的重中之重。





本公号此前发布的对《个人信息安全规范》的评论文章如下:

  1. 对用户知情同意规则的中国式探索——兼论国标《个人信息安全规范》

  2. 国家标准《信息安全技术 个人信息安全规范》评析

  3. 如何理解《网络安全法》与国家标准《个人信息安全规范》的关系

  4. 《个人信息安全规范》生效在即, 金融科技从业人员应了解这些事

  5. 对隐私条款的再思考及国家标准《个人信息安全规范》的破局之路

  6. 浅议以《个人信息安全规范》为主干梳理企业的个人信息保护合规规则体系

  7. “明者因时而变,知者随事而制”——《个人信息安全规范》实务探讨

  8. 侵犯公民个人信息罪视角下《个人信息安全规范》的理解与初探

  9. 对《个人信息安全规范》五大重点关切的回应和解释

  10. 浅谈《个人信息安全规范》的创新之处及相关思考

  11. 我眼中的《信息安全技术 个人信息安全规范》(GB/T 35273-2017)

  12. 企业如何适用《个人信息安全规范》

  13. 个人信息安全的"GSP"来了!

  14. 趋同的个人信息保护原则



    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存