第三部分 數據保護相關新規解讀

一、《互聯網個人信息安全保護指南》與《互聯網個人信息安全保護指引（征求意見稿）》和《個人信息安全規范》對比解讀

前言

2019年4月10日，公安部網絡安全保衛局、北京網絡行業協會、公安部第三研究所聯合發布《互聯網個人信息安全保護指南》（以下簡稱《個人信息保護指南》）。從2018年11月30日公安部網絡安全保衛局發布《互聯網個人信息安全保護指引（征求意見稿）》（以下簡稱《指引意見稿》）面向社會征求修改意見，到正式版的公開發布，時間間隔不到半年，可見公安部門對個人信息保護工作的重視程度。

《個人信息保護指南》全文共七部分，包括范圍、規范性引用文件、術語和定義、管理機制、技術措施、業務流程和應急處置。其中，重點圍繞管理機制、技術措施、業務流程三個方面展開。接下來，從《個人信息保護指南》與《指引意見稿》和《個人信息安全規范》的對比角度，對七個部分進行具體解析（考慮到篇幅有限，前三部分將合并進行解析）。

（一）范圍、規范性引用文件、術語和定義

1.《個人信息保護指南》范圍

（1）效力

《個人信息保護指南》由公安部網絡安全保衛局發布，并非以公安部令的形式發布，不具有強制執行力。而且，相較于《指引意見稿》，《個人信息保護指南》在第1條“范圍”中刪去了“適用于網絡安全監管職能部門依法進行個人信息保護監督檢查時參考使用”。

但是，不能因此否認《個人信息保護指南》的參考借鑒價值。從公安機關的職責和依據看，《網絡安全法》第8條明確了公安部門有權在職責范圍內負責網絡安全保護和監督管理工作；《公安機關互聯網安全監督檢查規定》則作為公安部門進行網絡安全監督檢查的執法依據。從專項行動看，公安部深入開展打擊整治網絡違法犯罪“凈網2018”專項行動和2018年全國公安機關網絡安全執法檢查工作的開展，宣告了公安機關具體負責打擊網絡違法犯罪和開展網絡安全執法檢查的雙重職能。而在行使前述雙重職能的過程中，《個人信息保護指南》作為網絡安全保衛局制定的參考性標準，一定程度上會為公安機關認定被檢查機構是否履行網絡安全義務提供重要參考。

（2）適用對象

《指引意見稿》雖指出“為指導互聯網企業建立健全公民個人信息安全保護管理制度和技術措施”，但并未明確互聯網企業的認定標準。而《個人信息保護指南》則明確適用對象為“通過互聯網提供服務的企業，也適用于使用專網或非聯網環境控制和處理個人信息的組織或個人”。只要是通過互聯網提供服務的企業或者使用專網或非聯網環境控制和處理個人信息的組織和個人，傳統意義上的互聯網企業，金融機構、醫療機構、電信企業、新聞媒體、教育機構、房產中介等持有個人信息的企業和機構，基本都適用《個人信息保護指南》。

2.《個人信息保護指南》規范性引用文件

（1）引用文件的名稱

與《指引意見稿》相比，規范性引用文件沒有發生實質性變化，具體如下：

GB/T 25069—2010信息安全技術 術語

GB/T 35273—2017信息安全技術 個人信息安全規范

GB/T 22239信息安全技術 網絡安全等級保護基本要求（信息系統安全等級保護基本要求）

（2）引用文件的關系

從《個人信息保護指南》看，其大部分內容參照了《個人信息安全規范》和《網絡安全等級保護基本要求》兩個國家標準（包括其修訂稿）的主要內容，并將網絡安全等級保護的要求和個人信息保護的要求相結合并進行細化和補充，與前述兩個國家標準形成相輔相成、互相補充的關系。

3.《個人信息保護指南》術語和定義

（1）《指引意見稿》增加及補充的術語和定義

《指引意見稿》增加及補充了“個人信息生命周期”“個人信息持有者”“個人信息持有”“個人信息使用”的術語和定義。相較于《個人信息安全規范》，主要適用對象從“個人信息控制者”擴大到了“個人信息持有者”，將個人信息控制和處理的主體都納入規制范圍。

（2）《個人信息保護指南》進一步增加及補充的術語和定義

在《指引意見稿》新增及補充術語和定義的基礎上，《個人信息保護指南》進一步增加了“3.9 個人信息處理系統”的定義，即只要是處理個人信息的計算機信息系統，涉及個人信息生命周期一個或多個階段，都被認定為個人信息處理系統。

（二）管理機制

整體上，管理機制可以總結為“制度落實”和“責任到人”兩個方面。從企業的角度，完善管理機制，不僅有利于為加強個人信息保護提供制度和人員支持，而且有助于有效防范“內鬼”違法違規使用、對外提供和泄露個人信息，實現責任到人和有跡可循，降低企業自身承擔刑事責任的風險。

接下來，從對比的角度，具體解析管理機制的內容。

1.《指引意見稿》相應規定解析

《網絡安全法》第21條規定：“國家實行網絡安全等級保護制度……（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任……”在此基礎上，結合《網絡安全等級保護基本要求》及其修訂稿的規定，參考《個人信息安全規范》及其修訂草案“安全事件應急處置和報告”“明確責任部門與人員”和“人員管理與培訓”的要求，《指引意見稿》將管理機制具化為管理制度、管理機構、管理人員。

2.《個人信息保護指南》新增及主要調整內容解析

（1）增加管理機制“基本要求”

《個人保護指南》在《指引意見稿》的基礎上，進一步增加了“4.1 基本要求”，明確了個人信息處理系統的安全管理要求并非一概而論，而是應滿足《網絡安全等級保護基本要求》相應等級的要求。

（2）進一步明確個人信息保護負責人的崗位重要性

從事個人信息保護工作的最高負責人也得到進一步明確。從《指引意見稿》的“最高管理者或最高管理者應設置專門崗位從事個人信息保護的工作”，調整為“最高管理者或授權專人負責個人信息保護的工作”，進一步提高了從事個人信息保護工作最高負責人崗位的重要性。

（3）增加設置審計管理員崗位

《個人保護指南》在第4.3.1c）條和第4.3.2b）條增加了設置審計管理員的職責要求，并明確了審計管理員作為重要崗位人員，和安全管理員一樣應為專職，不應兼任網絡管理員、系統管理員、數據庫管理員、數據操作員等其他重要崗位。

（4）進一步從嚴規范外部人員的訪問

在《指引意見稿》明確建立關于物理環境的外部人員訪問的安全措施和關于網絡通道的外部人員訪問的安全措施基礎上，《個人信息保護指南》進一步增加了外部人員訪問申請需獲得批準、全程錄音錄像和制定外部人員允許接入受控網絡訪問系統規定的要求，對外部人員的訪問管控進一步加強，旨在有效降低在外部人員訪問環節對個人信息造成的竊取、盜用和泄露等安全風險。

（三）技術措施

《網絡安全法》第21條規定“國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改……（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（四）采取數據分類、重要數據備份和加密等措施……”從前述規定可以看出，《網絡安全法》明確了采取相應技術措施履行安全保護義務的要求。《公安機關互聯網安全監督檢查規定》也明確了公安機關對被檢查單位技術措施進行監督檢查的職責。對企業來說，需要完善技術措施，妥善履行安全保護義務，以更好地防范網絡安全風險和迎接公安機關的監督檢查。

接下來，從對比的角度，具體解析技術措施的內容。

1.《指引意見稿》相應規定解析

根據《網絡安全法》第21條規定，結合《網絡安全等級保護基本要求》及其修訂稿的規定，并參考《個人信息安全規范》及其修訂草案“個人信息訪問控制措施”的相應內容，《指引意見稿》明確了應按照《網絡安全等級保護基本要求》第三級的物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復要求進行安全保護，并進一步明確包括網絡和通信安全、設備和計算、應用和數據在內的基本要求，以及針對云計算安全和物聯網安全擴展的增強要求。通過該等技術措施要求，旨在加強網絡運行安全穩定和個人信息保護。

2.《個人信息保護指南》新增及主要調整內容解析

（1）從統一按照第三級保護要求到滿足相應等級要求

《個人信息保護指南》“5.1 基本要求”明確“個人信息處理系統其安全技術措施應滿足GB/T 22239相應等級的要求”，而不再適用《指引意見稿》的統一按照第三級保護要求，體現出更多的彈性和嚴謹性。對于無需按照第三級保護要求的企業來說，可以參考并作為企業技術措施不斷完善的方向。更靈活的信息保護要求為企業留下了相應的發展空間。

（2）區域邊界安全的防護和審計更加嚴格

《個人信息保護指南》第5.2.2.1b）條增加了“對非授權設備跨越邊界行為進行檢查或限制”的要求，將非授權設備跨越邊界的行為均視為可能存在風險的行為，并要求進行檢查或限制。《個人信息保護指南》第5.2.2.5a）條將安全審計的范圍從“重要的用戶行為和重要安全事件”擴展到“每個用戶行為和安全事件”，將所有用戶的行為和安全事件都納入審計范圍，旨在及時發現個人信息處理系統的網絡邊界、重要網絡節點的潛在風險，降低安全隱患。

（3）信息泄露后強制修改密碼和備份數據恢復測試的強化

《個人信息保護指南》第5.2.4.1c）條新增“當確定信息被泄露后，應提供提示全部用戶強制修改密碼的功能，在驗證確認用戶后修改密碼”的要求，加強了對于全部用戶密碼修改的管控。

《個人信息保護指南》第5.2.4.8a）條增加了“定期對備份數據進行恢復測試，保證數據可用性”的要求，強化個人信息的本地數據備份與恢復功能的執行力度，確保在數據受到攻擊、破壞、丟失等問題時能夠及時恢復數據。

（4）云計算平臺個人信息境內儲存要求及出境規范

《個人信息保護指南》第5.3.1a）條新增“應確保個人信息在云計算平臺中存儲于中國境內，如需出境應遵循國家相關規定”，明確要求云計算平臺個人信息境內儲存，加強個人信息的屬地化管理。對于需要出境的個人信息，應該按照國家相關規定采取相應措施。

（四）業務流程

《網絡安全法》第41條、第42條、第43條對個人信息的收集、使用、保存、對外共享提出了明確的規范要求。《個人信息安全規范》及其修訂草案，對個人信息全生命周期的規范要求進行了細化和擴充。在《網絡安全法》規定的基礎上，重點參考《個人信息安全規范》及其修訂草案，并部分借鑒《網絡安全等級保護基本要求》及其修訂版內容，明確了個人信息全生命周期的規范要求及技術要求。

接下來，從對比的角度，具體解析業務流程的內容。

1.《指引意見稿》相應規定解析

《指引意見稿》明確了個人信息收集、保存、應用、刪除、第三方委托處理、共享和轉讓、公開披露和應急處置全業務流程的個人信息保護規定。相較于《個人信息安全規范》，在其收集、保存和刪除業務流程的具體要求中，增加了基于等級保護基本要求及有關實踐的技術要求內容。

2.《個人信息保護指南》新增及主要調整內容解析

《個人信息保護指南》將《個人信息安全規范》修訂草案的部分新增及調整內容吸納，并對個人信息持有者提出了更多的規范要求。

（1）生物信息摘要、不得強制收集、收集無關信息和大規模收集特定敏感數據

參照《個人信息安全規范》修訂草案，《個人信息保護指南》第6.1b）條和第6.1e）條提出了“不應收集與其提供的服務無關的個人信息”“不應通過捆綁產品或服務各項業務功能等方式強迫收集個人信息”和“個人生物識別信息應僅收集和使用摘要信息，避免收集其原始信息”的要求，旨在加強對過度收集和捆綁收集個人信息的規制，更好地保護個人生物識別原始信息，提高用戶的自主權利。

《個人信息保護指南》第6.1d）條則首次提出“不應大規模收集或處理我國公民的種族、民族、政治觀點、宗教信仰等敏感數據”的要求，降低因大規模收集或處理該等特定敏感數據，對國家安全、社會穩定造成的不利影響。對于需要收集和處理用戶該等特定敏感數據的企業，需要避免只收集該等特定敏感數據，并控制收集和處理的規模，在使用該等特定敏感數據進行用戶畫像等其他處理活動時不得依據該等特定敏感數據歧視用戶。

（2）境內運營收集和產生的個人信息境內存儲及出境規范

《個人信息保護指南》第6.2a）條增加了“在境內運營中收集和產生的個人信息應在境內存儲，如需出境應遵循國家相關規定”的要求，明確要求境內運營收集和產生的個人信息境內存儲。對于需要出境的個人信息，應該按照國家相關規定采取相應措施。

（3）個人信息修改的規制和增值應用的區分授權

《個人信息保護指南》第6.3b）條增加了“保證修改后的本人信息具備真實性和有效性”的要求，對個人信息修改增加了規制，即不能隨意使用虛假信息和失效信息進行修改。

在《個人信息安全規范》修訂草案“用戶畫像”和“約束信息系統自動化決策”的基礎上，《個人信息保護指南》第6.3c）條增加了完全依靠自動化處理的用戶畫像技術對增值應用的區分授權要求，包括兩種情形：1）應用于精準營銷、搜索結果排序、個性化推送新聞、定向投放廣告等增值應用，可事先不經用戶明確授權，但應確保用戶有反對或者拒絕的權利；2）如應用于征信服務、行政司法決策等可能對用戶帶來法律后果的增值應用，或跨網絡運營者使用，應經用戶明確授權方可使用其數據。也就是說，如果畫像技術可能為用戶帶來法律后果，或者提供給其他網絡運營者使用，需要經用戶明確授權；如果應用于精準營銷、搜索結果排序、個性化推送新聞、定向投放廣告等，至少應通過退訂、關閉對應欄目等方式保障用戶有反對或者拒絕的權利。該條實際上兼顧了大數據時代用戶個人信息保護和實現數據價值的利益衡量，有利于數據價值發掘的同時保障用戶的個人信息權利。

（4）強調個人信息安全影響評估要求

在《個人信息安全規范》及其修訂草案“委托處理”“個人信息共享、轉讓”“個人信息公開披露”強調開展個人信息安全影響評估的基礎上，《個人信息保護指南》在其第6.5b）條增加“對委托行為進行個人信息安全影響評估”、第6.6b）條增加“確保受讓方具備足夠的數據安全能力”確保評估效果要求以及第6.7a）條增加“事先開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施”的要求。個人信息安全影響評估的具體規范內容，可參考《個人信息安全規范》及其修訂草案中關于“開展個人信息安全影響評估”的要求。

（5）公開披露個人信息的進一步規制

參考《個人信息安全規范》及其修訂草案“公開披露”的要求，《個人信息保護指南》增加第6.7c）條“公開披露個人敏感信息前，除第6.7 b）條中告知的內容外，還應向個人信息主體告知涉及的個人敏感信息的內容”、第6.7e）條“承擔因公開披露個人信息對個人信息主體合法權益造成損害的相應責任”和第6.7f）條“不得公開披露個人生物識別信息和基因、疾病等個人生理信息”的要求，旨在加強對公開披露個人信息范圍的限制，著重保護個人敏感信息和強化個人信息持有者對公開披露個人信息的主體責任。

此處，《個人信息保護指南》增加條6.7g）條“不得公開披露我國公民的種族、民族、政治觀點、宗教信仰等敏感數據分析結果”的要求，降低因公開披露該等特定敏感數據分析結果對國家安全、社會穩定造成的不利影響。

（五）應急處置

《網絡安全法》第55條規定，發生網絡安全事件，應當立即啟動網絡安全事件應急預案，對網絡安全事件進行調查和評估，要求網絡運營者采取技術措施和其他必要措施，消除安全隱患，防止危害擴大，并及時向社會發布與公眾有關的警示信息。在此基礎上，《個人信息安全規范》及其修訂草案規定了“個人信息安全事件處置”的要求。在《網絡安全法》規定的基礎上，參考《個人信息安全規范》及其修訂草案規定，《個人信息保護指南》明確了應急機制和預案、處置和響應的要求。

接下來，從對比的角度，具體解析應急處置的內容。

1.《指引意見稿》相應規定解析

《指引意見稿》將應急處置作為業務流程的一部分，提出了建立健全工作機制、制定應急預案、定期組織演練、制定上報機制、進行應急響應訓練和應急演練、知曉應急處置策略和規程、記錄信息安全事件信息、影響評估和事態控制以及告知個人信息主體的要求。

2.《個人信息保護指南》新增及主要調整內容解析

（1）將“應急處置”作為專章進行規定

與《指引意見稿》將應急處置作為業務流程的一部分不同，《個人信息保護指南》將“應急處置”作為專章進行規定，體現出對應急處置的重視程度進一步提高。

（2）應急預案內容細化要求和定期評估完善要求

《個人信息保護指南》第7.1b）條增加“個人信息安全事件應急預案，包括應急處理流程、事件上報流程等內容”的要求，對應急預案的內容進行了細化要求。

《個人信息保護指南》第7.1d）條增加“應定期對原有的應急預案重新評估，修訂完善”的要求，對應急預案的評估和更新提出了要求，保證應急預案能夠不斷適應最新的企業發展狀況和個人信息保護態勢。

（3）應急響應培訓和應急演練的周期和效果明確

與《個人信息安全規范》及其修訂草案要求至少每年一次組織內部相關人員進行應急響應培訓和應急演練相比，《個人信息保護指南》第7.1c）條明確了至少半年一次進行應急響應培訓和應急演練的要求，時間周期要求更加嚴格。從效果看，參考《個人信息安全規范》及其修訂草案要求，《個人信息保護指南》第7.1c）條增加“使其掌握崗位職責和應急處置策略和規程，留存應急培訓和應急演練記錄”的要求，防止應急響應培訓和應急演練流于形式，切實提高應急處置能力。

（4）進一步明確風險防范、事件上報及社會公眾警示信息發布

參考《個人信息安全規范》及其修訂草案要求，《個人信息保護指南》第7.2a）條增加“發現網絡存在較大安全風險，應采取措施，進行整改，消除隱患；發生安全事件時，應及時向公安機關報告，協助開展調查和取證工作，盡快消除隱患”，第7.2d）條增加“應按《國家網絡安全事件應急預案》等相關規定及時上報安全事件，報告內容包括但不限于：涉及個人信息主體的類型、數量、內容、性質等總體情況，事件可能造成的影響，已采取或將要采取的處置措施，事件處置相關人員的聯系方式”，第7.2e）條增加“及時向社會發布與公眾有關的警示信息”的要求，進一步明確網絡安全風險防范、安全事件上報和社會公眾警示信息發布的規范要求。

2019年，個人信息保護明顯進入加速期。《互聯網個人信息安全保護指南》的正式發布，為互聯網個人信息保護提供了更加明確的參考和指導。建議個人信息持有者，根據《網絡安全法》有關規定，參考《個人信息安全規范》及其修訂草案、《App自評估指南》和本文解讀的《互聯網個人信息安全保護指南》，完善個人信息安全保護的管理機制、安全技術措施、業務流程和應急處置方案，保障網絡數據安全和用戶合法權益。