作者:宁宣凤 吴涵 陈胜男 付昊  金杜律师事务所

我国公安机关一直以来是个人信息保护的“执法先锋”,在《网络安全法》出台前后,公安机关就多次开展打击整治网络侵犯公民个人信息犯罪专项行动。尤其是整治网络违法犯罪“净网”专项行动中实行的“一案双查”制度,不仅让违法的犯罪分子无所遁形,也把一首“凉凉”送给拒不履行法定网络安全义务、为网络违法犯罪活动提供帮助的网络服务提供者。

执法的主动性、广泛性和强制性决定了公安机关是个人信息保护的一把“利刃”,如何在法律的底线之上合法合规地开展日常经营活动,理应是企业关注的重点。2019年4月19日,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,会同北京网络行业协会和公安部第三研究所等单位,研究制定的《互联网个人信息安全保护指南》(下称“指南”)将是企业了解“红线”、评估合规工作的重要参考。

一、《指南》的效力

1.《指南》的背景和影响

随着《网络安全法》及《个人信息安全规范》(下称“《安全规范》”)等配套措施陆续颁布实施,个人信息保护领域的执法已成为常态,各执法部门均开始或独立或联合出手,“净网2019”、“App违法违规收集使用个人信息专项治理”等专项调查行动陆续展开。

在此背景下,公安机关在办理个人信息网络犯罪案件和日常监管工作中积累了丰富的经验。早在2018年11月30日,公安部发布了《互联网个人信息安全保护指引(征求意见稿)》(下称“《征求意见稿》”)。不到半年,《指南》就已正式发布,一定程度上能够体现公安机关在个人信息保护执法工作中的经验总结;同时,《指南》作为公安机关在此领域第一部较为完整、全面的指引性文件,也体现出公安机关的积极执法态度和重视程度。

从效力上看,《指南》采用了“参考借鉴”、“参考使用”的说法,将自身定位为企业个人信息保护工作的指引性文件。虽然《指南》并不具备法律强制效力,但考虑到其为公安机关结合办案经验及安全监管工作情况形成,不排除各级公安机关在未来的个人信息保护执法办案活动中将其作为参照性的标准。而从执法一致性角度来看,公安部门的执法思路也会对其他个人信息保护执法部门产生影响,未来以发布指引性文件来推动个人信息合规与执法工作将可能成为我国个人信息保护执法的新趋势。

从适用范围上看,《指南》在引言部分提及供“互联网服务单位”参考借鉴,而在第1条同时提及“个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参考使用”,并明确适用于“通过互联网提供服务的企业”、“使用专网或非联网环境控制和处理个人信息的组织或个人”。相对于《网络安全法》中“网络运营者”的统一称谓和定义,《指南》的适用范围相对广泛,无论个人还是组织,无论是线上还是线下的个人信息处理活动,都可能参考适用《指南》内容。

总而言之,《指南》的影响可能是多方面的:

  • 对各级公安机关的执法而言,《指南》的细化要求将有助于更为明确、透明地开展执法活动。可以预见的是公安机关在网络安全和个人信息保护领域的执法活动将更加活跃,且认定标准更为统一;
  • 作为执法部门发布的个人信息保护领域指引性文件的先行者,《指南》中的规定将可能影响未来立法、执法活动。不过,《指南》如何与现有法律法规、国家标准等规范进行衔接和协调,以及将何等程度影响立法执法的进展,仍有待观察。

二、《指南》与“等保2.0的联系与差异

《指南》与《安全规范》以及其他个人信息保护相关的标准类文件的重大区别之一在于《指南》紧密结合了网络安全等级保护制度的相关内容,对作为个人信息底层载体的网络安全性提出了要求。

相对于《征求意见稿》中要求按照第三级等级保护标准开展安全保护工作,《指南》在管理机制和技术措施上对个人信息处理系统所需达到的网络安全保护级别进行了调整,即个人信息处理系统的安全管理要求和采取的安全技术措施应满足《信息安全技术 网络安全等级保护基本要求》(下称“等保2.0”)相应等级的要求。具体而言,从规定体例和关注点上对比《指南》和“等保2.0”可以看到:

关注点 指南要求 “等保2.0”要求(第三级及以下) 简要对比
管理机制
管理制度 以管理制度形成和完善周期为思路,《指南》明确了管理制度的内容、制定发布、执行落实和评审改进上的相关要求。 在安全管理制度上,“等保2.0”同样关注安全策略、管理制度、制定和发布、评审和修订等方面要求。 《指南》在管理制度方面大致对应了“等保2.0”中第二级的标准,不过在制度内容上部分达到了第三级的标准。
管理机构 《指南》主要关注了管理机构的岗位设置和人员配置。 “等保2.0”主要关注了安全管理机构的岗位设置、人员配置、授权和审批、沟通和合作、审核和检查。 《指南》的要求大致参考了“等保2.0”中第二级的相关要求,但关注点略有限缩;《指南》在岗位设置上强调了“最高管理者或授权专人”负责制,同时在人员配置的兼任等要求上可能超出“等保2.0”第二级的要求。
管理人员 《指南》关注管理人员的录用、离岗、考核、教育培训,并重点针对外部人员的访问提出了要求。 “等保2.0”的第三级中对安全管理人员的录用、离岗、安全意识教育和培训提出了要求,同时也从外部人员访问管理提出了相应要求。 《指南》单列出了对管理人员的考核,体现出责任落实到岗、到人的要求;同时,《指南》对外部人员访问提出了更严格的要求,例如要求物理环境下全程监控录像。
技术措施 通用要求
通信网络安全 《指南》重点强调了网络架构和通信传输两个方面。 “等保2.0”则关注网络架构、通信传输和可信验证三方面。 相对而言,“等保2.0”强调了对可信验证的要求;在网络架构方面,《指南》大致参照了“等保2.0”中第二级的要求并将个人信息处理系统作为重点网络区域,要求将个人信息处理系统划分为不同的网络区域;此外,在通信传输上《指南》采取了更高的标准,对应“等保2.0”第三级的要求。
区域边界安全 《指南》从边界防护、访问控制、入侵防范、恶意代码防范和安全审计方面提出了要求。 “等保2.0”在安全区域边界上则关注边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和可信验证。 除部分要求与“等保2.0”第一级、第二级对应外,《指南》对区域边界要求的具体规则基本对标“等保2.0”中第三级的部分要求,例如在入侵防范上强调同时防范内部和外部的网络攻击行为;在安全审计上,规定个人信息处理系统能够对远程访问的用户行为、访问互联网的行为等单独进行行为审计和数据分析。而“等保2.0”第三级除恶意代码防范外,还另外强调垃圾邮件防范。
计算环境安全 《指南》关注点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和程序可信执行、资源控制等方面。 从关注点上看,《指南》提出的计算环境安全,以及应用和数据安全对应的是“等保2.0”的安全计算环境部分要求,涵盖身份鉴别、访问控制、安全审计、可信验证、入侵防范、数据完整性、数据保密性、数据备份恢复、剩余信息保护等十一项具体要求。 相对于“等保2.0”,《指南》更加强调资源控制,限制系统资源最大使用限度;此外,在入侵防范上,《指南》除对标“等保2.0”第三级别要求外,还额外规定个人信息处理系统对于检测到的入侵行为进行防御。
应用和数据安全 《指南》关注点包括身份鉴别、访问控制、安全审计、软件容错、资源控制、数据完整性、数据保密性、数据备份恢复、剩余信息保护等方面。 《指南》针对软件容错、资源控制做了额外要求,且在身份鉴别部分也作出“等保2.0”之外的具体规定。
技术措施 扩展要求
云计算安全 《指南》仅针对个人信息存储位置、数据完整性和保密性提出了扩展要求。 “等保2.0”中对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理等提出了不同程度的扩展要求。 《指南》的扩展要求关注点显著限缩,在个人信息存储位置上采取了与“等保2.0”第一级一致的要求,即境内存储;而在其他扩展要求中采取了与“等保2.0”中第三级标准一致的要求。
物联网安全 《指南》强调了个人信息被感知节点设备采集后回传中的密码技术要求。 “等保2.0”关注安全物理环境、安全区域边界、安全计算环境和安全运维管理等扩展要求。 《指南》在物联网安全的扩展要求上另行针对信息回传的过程提出了应用密码技术的要求。

三、《指南》个人信息处理要求重点问题评析

《指南》在管理机制和技术措施上基于“等保2.0”就个人信息处理系统提出了针对性的要求,并对企业处理个人信息的业务流程要求在《网络安全法》及配套国家标准的基础上有所发展。

1.本地化要求

在个人信息存储方面,《指南》针对云计算提出了与“等保2.0”相同的扩展要求,即确保个人信息在云计算平台中存储于中国境内,如需出境应遵循国家相关规定。不仅如此,针对企业在境内运营中收集和产生的个人信息,《指南》也要求本地化存储。这意味着,对于云计算平台而言,其须依据“等保2.0”的在中国境内部署基础设施,并应保证平台内的个人信息均存储于中国境内。而对一般企业而言,如遵循《指南》要求,在本地部署服务器或使用本地化存储的云服务也将可能成为其在境内从事相关业务收集、处理个人信息的必要条件。

《网络安全法》目前仅针对关键信息基础设施作出个人信息和重要数据本地化存储的规定,此后国家互联网信息办公室公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》(下称“网信办征求意见稿”)将数据本地化要求扩展适用于所有的网络运营者。而此次《指南》两次提及数据本地化存储,并将该要求适用于包括云平台在内的各类个人信息持有者。《指南》的这一要求与网信办征求意见稿口径保持一致,反映出公安机关针对数据本地化要求的态度。但考虑到网信办征求意见稿仍在征求意见中,对于数据本地化规则是否会扩展适用仍有待确认。这也进一步提示企业须密切关注数据存储规则的走向,并须适时根据立法和执法的发展对自身业务部署进行必要的调整。

2.敏感数据处理要求

《指南》虽未针对“个人敏感信息”进行专门定义,但其中多次出现针对敏感数据的要求,也能够体现公安机关针对敏感个人信息的关注。

例如,在个人信息的收集阶段,《指南》特别要求不应大规模收集或处理种族、民族、政治观点、宗教信仰等敏感数据,并且,针对我国公民的该等敏感数据的分析结果,不得公开披露。此前《安全规范》虽在附录中将宗教信仰归类为个人敏感信息,但未对其设定特别规则,而《指南》此次针对该等数据做出特别要求,似是参考了欧盟《一般数据保护条例》(GDPR)对种族、民族、政治观点、宗教信仰等“特殊类型个人数据”的关注,可见其充分考虑了这些数据的政治敏感属性和可能产生的社会影响。

针对敏感程度较高的个人生物识别信息,《指南》也特别要求仅收集和使用个人生物识别信息摘要,将《安全规范》中对个人生物识别信息在存储阶段的要求提前至收集和使用阶段。这意味着如企业须利用指纹、面部特征等个人生物识别信息进行身份验证等操作时,仅能获取并使用摘要信息实现身份验证,不得留存甚至不得收集原始信息。对于行业内大多数以生物识别技术为基础的智能设备生产企业而言,《指南》的这一要求将可能导致其须对既有应用的生物识别技术和相关硬件设备进行调整和改造,对企业的商业实践提出了更高的合规要求。另外,《指南》除重申禁止公开披露个人生物识别信息外,还进一步要求不得公开披露基因、疾病等个人生理信息,涉及个人健康信息的医疗行业应当重点关注。

3.关于授权同意的例外规定

《网络安全法》中确立了收集使用个人信息的授权同意原则,但并未明确可能存在的例外情形。《安全规范》作为推荐性国家标准,在标准中明确提供在收集、使用个人信息时无需授权同意的例外。《指南》在现有的规范体系下,结合公安机关的执法实践,就授权同意的例外问题作出特别要求,主要包括第6.3、6.6和6.7部分的相应条款。

1) 6.3 c):“完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利;如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用,应经用户明确授权方可使用其数据”。

从文义上理解,此条规定中的例外对象是完全自动化处理的用户画像技术。比如,在某些增值应用中使用完全自动化处理的用户画像技术时,可以通过“opt-out”的默认同意方式开展处理,但仍应确保用户的拒绝权利。《安全规范》第7.10部分中也规定,当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时,应向个人信息主体提供申诉方法。相对于《安全规范》而言,《指南》明确地提出了例外情形,是出于对实践中广泛应用自动化用户画像技术的适当调整。

从例外的增值应用场景来看,《指南》明确列举了精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用。一定程度上,《指南》的这一规定反映出,在实践中,精准营销等例外增值应用可能与企业提供的产品和/或服务关系相对密切,因此在提供产品或服务后,企业基于已合法收集的个人信息进行进一步地增值应用可以适用授权同意的例外规定,当然如果增值应用给用户带来了法律后果则仍需用户同意。

总的来说,此条例外规定一定程度上给企业进行一些必要且合理的增值个人信息自动化处理提供了空间,但并不应当被解读为突破了《网络安全法》及相关法律法规建立的授权同意原则。同时,《指南》在此也仍然强调了例外适用的主体范围限制,即企业通常仅能基于此例外服务自己,如涉及到其他网络运营者,例外规定将无法适用。

2) 6.6 b)以及6.7 b):在共享、转让、公开披露前应得到个人信息主体的授权同意(或明示同意),“与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外”。

从授权同意例外的范围上看,《指南》的规定比《安全规范》进行了明显的限缩,删除了维护重大合法权益、公开个人信息、自行公开等多种情形。公安机关在执法实践中是否会认同《安全规范》的其他例外情况还有待观察,但如果上述例外情况并不被公安机关认可,则会要求企业在更广泛的场景下取得个人信息主体的同意乃至明示同意。

以公开个人信息为例,目前存在多个行业对公开个人信息进行数据挖掘并提供商业化的服务。以监测服务为例,利用公开渠道收集的信息进行监测是一种相对成熟的行业实践,具体行业的应用如程序化广告行业的舆情监测服务、互联网安全行业的安全态势感知服务等。由于监测所需的数据体量十分庞大,企业之间通常需要以合作、联盟等方式共享一些数据。如果《指南》的要求被严格执行,则可能意味着企业间的合作和联盟需要取得所有公开个人信息对应主体的同意。

除上述问题之外,《指南》中其他部分也对企业提出了较高的指引性要求。例如针对保存信息的主要设备应对个人信息数据提供备份和恢复功能,一方面从合规角度能够确保数据安全,避免因数据毁损产生较大损失,而另一方面也可能进一步增加企业在设备运营成本上的投入。又如在委托处理情形下须保证受托方符合《指南》的要求,也要求企业在聘任数据受托处理方时进行审慎考量。

四、结语

《指南》作为指引性文件,显著体现了公安机关在个人信息执法活动中的特点和重心,例如与网络安全等级保护制度的紧密联系、对数据本地化和跨境传输的高度关注、个人信息安全事件的管理和应对等。《指南》提供的更为细致,甚至更为严格的指引也要求企业的网络安全及数据合规工作必须进入“深水区”,具体而言:

  • 对于尚未开展网络安全和数据合规工作的企业而言,无疑需要尽早全面开展相应合规工作,筛查《网络安全法》及相关法律法规、国家标准规定下可能存在的缺陷,并切实进行完善;
  • 对于《指南》出台前已参照相关法律法规、国家标准完成合规工作的企业而言,《指南》提出的新要求意味着企业需要对照《指南》与此前的合规标准,尤其是上述组织机构和技术措施要求、数据本地化、敏感数据处理和安全事件应对等要点,及时补充评估现有合规措施是否充分,并相应采取完善措施;
  • 此外,企业也应当及时跟进公安机关的具体执法实践,以进一步明确《指南》中相关要求的落实情况。

我国《个人信息保护法》尽管被列入了十三届全国人大常委会五年立法规划,但距离正式出台尚需要一段时间。在此之前,个人信息保护的执法工作仍然有赖于包括公安机关、网信部门、工信部门、市场监督管理部门等执法部门的积极努力。对于企业而言,在缺乏统一合规标准/指引的情况下,针对个人信息保护,不仅需要“修炼内功”,加强内部网络安全与数据合规体系,还需要“紧跟潮流”,时刻了解不同执法部门的动向、理解执法部门各自的侧重与关注点。