孫昌衛(wèi)

摘要：當今社會，數(shù)據(jù)的重要性和價值被越發(fā)重視，個人信息因和公眾密切相關被社會各界聚焦關注，本文介紹了國內(nèi)外典型的個人數(shù)據(jù)法規(guī)、標準，并提出安全建議，供大家參考。

據(jù)《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》統(tǒng)計顯示，截至 2018年6月，中國網(wǎng)民規(guī)模為8.02億，較 2017 年末增加 3.8%，互聯(lián)網(wǎng)普及率達 57.7%，其中手機網(wǎng)民規(guī)模達7.88億，在上網(wǎng)人群中的占比達98.3%。

高比例的上網(wǎng)人群催生出來大量的應用程序，這些應用程序為廣大網(wǎng)民提供各式各樣的便捷服務，但其中也出現(xiàn)了對個人信息違法收集、濫用、泄露等問題，這不僅會導致個人隱私數(shù)據(jù)泄露，同時還嚴重影響個人生命和財產(chǎn)安全。另外隨著國家政務系統(tǒng)的集約化，提供公共服務的應用系統(tǒng)不斷增加，數(shù)據(jù)共享使用、融合存儲，數(shù)據(jù)資源集中后高價值明顯，公民個人信息在此過程中面臨的安全風險也在日益劇增。

網(wǎng)絡安全是一個全球性的問題，其中公民個人信息保護問題面臨的挑戰(zhàn)更加嚴峻，也更加復雜。各國政府一直致力于公民個人信息保護，但依然不斷出現(xiàn)個人隱私數(shù)據(jù)泄露事件，例如2018年3月Facebook出現(xiàn)的數(shù)據(jù)泄露事件，導致5000萬用戶信息被第三方公司Cambridge Analytica用于大數(shù)據(jù)分析，并引發(fā)連鎖反應。2018年8月華住集團“5億條個人敏感信息泄露”，全部數(shù)據(jù)泄露資料更是高達141.5GB，9月份警方將犯罪嫌疑人抓獲歸案，同時也將依法查處涉案的主體單位?？梢娫诼鋵嵕W(wǎng)絡安全主體責任和安全防護措施方面我們絲毫不能懈怠，需要切實加強安全防護保障措施，在防護效果方面達到 “進不來、看不懂、拿不走、改不了、賴不掉”。

從法規(guī)保護層面而言，目前各個國家國情不同、重視程度不一樣，立法的進度和保障措施也不盡相同，其中以歐盟為代表的組織和國內(nèi)在個人信息保護方面存在著明顯差異。

“歐盟數(shù)據(jù)憲章”-通用數(shù)據(jù)保護條例   

2018 年 5 月 25 日，歐盟通用數(shù)據(jù)保護條例（Generall Data Protection Regulation, GDPR）正式實施，在全球范圍內(nèi)產(chǎn)生廣泛影響。GDPR提出了個人數(shù)據(jù)保護六大原則：合法合理透明性原則、目的限制原則、最小化數(shù)據(jù)處理原則、數(shù)據(jù)準確性原則、限制存儲期限原則、數(shù)據(jù)的完整性和保密性原則，在六大原則的指導下，通過一系列嚴格的問責機制，從系統(tǒng)設計和默認設置著手的隱私保護（Data protection by design and by default）、保留處理活動記錄、實施安全保障措施、數(shù)據(jù)泄露報告與通知、數(shù)據(jù)保護影響評估、事先協(xié)商、設置數(shù)據(jù)保護官等措施，對數(shù)據(jù)主體的知情權、訪問權、糾正券、刪除權（被遺忘權）、限制處理權、可移植權（可攜帶權）、拒絕權和與自動化個人決策相關權利進行保護。

GDPR要求數(shù)據(jù)控制者和處理者實施適當?shù)募夹g和管理措施，并在必要時進行審查和更新，盡管全文并未給出詳細的控制措施實施要求，但仍指出需對以下因素進行著重考慮：

• 個人數(shù)據(jù)的匿名化和加密；
• 數(shù)據(jù)系統(tǒng)持續(xù)保持保密性、完整性、可用性以及恢復的能力；
• 在發(fā)生自然事故或者技術事故的情況下，個人信息的及時獲取以及再存儲能力；
• 對技術性及管理性措施的有效性定期進行測試、訪問、評估，以確保處理過程的安全性。

需特別注意的是，GDPR關于“同意”的認定標準較以往更為嚴格，且對兒童個人信息的保護更為注重。

國內(nèi)數(shù)據(jù)安全法律法規(guī)、政策標準

我國在多項法律中關注和強化對個人信息的保護。如2012年全國人大常委會通過了《關于加強網(wǎng)絡信息保護的決定》；2015年《中華人民共和國刑法修正案（九）》中明確了對個人信息保護的規(guī)定；2016年《中華人民共和國網(wǎng)絡安全法》確定了個人信息保護的基本規(guī)則。2017年《中華人民共和國民法總則》中也明確規(guī)定了自然人的個人信息受法律保護。2019年《中華人民共和國電子商務法》中也納入了保護消費者個人信息等規(guī)定。除此以外《網(wǎng)絡安全等級保護條例（征求意見稿）》和《關鍵信息基礎設施安全保護條例（征求意見稿）》中也對個人信息保護進行了相關規(guī)定，要求網(wǎng)絡運營者落實重要數(shù)據(jù)和個人信息安全保護制度，采取保護措施，保障數(shù)據(jù)和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全。

其中《中華人民共和國網(wǎng)絡安全法》在第四章 網(wǎng)絡信息安全部分，較大篇幅的對個人信息安全進行了規(guī)定，并且明確規(guī)定了“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息”。為了落實《中華人民共和國網(wǎng)絡安全法》《消費者權益保障法》，2019年1月25日，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局正式對外發(fā)布《關于開展App違法違規(guī)收集使用個人信息專項治理的公告》。從中我們也看出政府治理違規(guī)收集使用個人數(shù)據(jù)方面的決心，專項治理公告中明確要求：

• App運營者收集使用個人信息時要嚴格履行《中華人民共和國網(wǎng)絡安全法》規(guī)定的責任義務，對獲取的個人信息安全負責，采取有效措施加強個人信息保護。
• 相關部門依法編制大眾化應用基本業(yè)務功能及必要信息規(guī)范，并對用戶基數(shù)大、民眾密切相關的App隱私政策和個人信息收集使用情況進行評估。
• 主管部門將加大對違法違規(guī)收集使用個人信息行為的監(jiān)管和處罰力度，包括依法暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照等處罰手段；
• 開展App個人信息安全認證，同時也鼓勵運營者通過App個人信息安全認證。

在個人信息安全標準方面，2018年5月1日，信安標委組織制定的《信息安全技術 個人信息安全規(guī)范》正式實施，并于2019年1月30號公布二次修訂草案。這是國內(nèi)在個人信息安全保障方面的提升，在這部重磅的個人信息安全標準中明確了個人信息安全的基本原則，個人信息的收集、保存、使用、委托處理、共享、轉(zhuǎn)讓、公開披露的要求，個人信息安全事件處置和對組織的管理要求。同時相關的配套法規(guī)、標準也在陸續(xù)制定當中，相信推出時間指日可待。

雖然國內(nèi)針對個人信息安全保護有一系列的法律法規(guī)、政策標準。但是總體而言法規(guī)、標準依然不完善，缺少總體規(guī)劃，碎片化明顯，同時存在落地執(zhí)行不到位等情況。需要我們在立法層面加強頂層設計，統(tǒng)一規(guī)劃，緊密銜接，加強監(jiān)管和處罰措施，不斷完善現(xiàn)有管理機制，從國家層面為個人信息安全提供法律保障。

對個人信息安全的幾點建議

個人信息安全不單純是技術問題或者法律問題，需要統(tǒng)籌結(jié)合，上下聯(lián)動，綜合防御。各組織單位、行業(yè)客戶需要梳理清楚自身數(shù)據(jù)資產(chǎn)，識別個人敏感信息，加強內(nèi)部安全管理措施，數(shù)據(jù)在哪里，安全保障就要覆蓋到哪里。

在個人信息安全防護方面，行業(yè)單位需要落實國家網(wǎng)絡安全等級保護制度。在安全合規(guī)建設中及時整改、落實管理，構(gòu)建動態(tài)防御體系。加強數(shù)據(jù)安全動態(tài)監(jiān)測預警機制，加強信息收集、分析研判，個人信息安全事件發(fā)生時及時預警、迅速處置。對接觸到個人敏感信息的人員，進行鑒權控制、行為審計，并定期組織安全培訓，強化素質(zhì)教育、安全意識教育、安全技能教育，減少敏感數(shù)據(jù)從內(nèi)部泄露的風險。敏感數(shù)據(jù)定期備份，備份信息定期離線保存，避免數(shù)據(jù)勒索事件發(fā)生。加強普法教育，個人信息安全從身邊的小事做起，不隨意丟棄快遞單、不隨便參加掃描抽獎活動、使用App謹慎放權。

面對個人信息安全，沒有誰可以獨善其身，加強個人信息安全保護不僅需要國家立法保障，更加需要行業(yè)單位加強落地執(zhí)行，不斷完善監(jiān)督、檢查、處罰機制，同時也需要公民積極參與。只有社會各界共同努力，才能構(gòu)建風清氣朗的網(wǎng)絡空間。