（中國電子技術(shù)標(biāo)準(zhǔn)化研究院，北京）

在當(dāng)前的數(shù)據(jù)治理框架下，個(gè)人信息保護(hù)無疑是最受關(guān)注的內(nèi)容之一，2018年以來，隨著我國國家標(biāo)準(zhǔn)GB/T 35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)的實(shí)施，以及歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）的生效，個(gè)人信息保護(hù)的熱度進(jìn)一步攀升。本文就當(dāng)前形勢(shì)下，數(shù)據(jù)安全與個(gè)人信息保護(hù)的核心內(nèi)容，以及組織如何使用國家標(biāo)準(zhǔn)開展個(gè)人信息保護(hù)合規(guī)工作進(jìn)行簡要論述，以供參考。

1 數(shù)據(jù)安全和個(gè)人信息保護(hù)的關(guān)系

眾所周知，當(dāng)前網(wǎng)絡(luò)安全的內(nèi)涵和外延已經(jīng)和從前有很大不同，尤其是數(shù)據(jù)安全已成為近年來的高頻詞，同時(shí)其包含的內(nèi)容也有所擴(kuò)展，比如，原來看到的數(shù)據(jù)安全事件，大部分總結(jié)起來就是兩個(gè)字“泄漏”。但從2017年開始，很多數(shù)據(jù)安全事件不只是泄漏問題，菜鳥與順豐、華為與微信關(guān)于數(shù)據(jù)的爭端，支付寶的帳單事件，大數(shù)據(jù)殺熟，嘀嘀順風(fēng)車個(gè)人標(biāo)簽不可修改等等。這些新事件與原來網(wǎng)絡(luò)安全中所強(qiáng)調(diào)的保密性、完整性、可用性幾乎沒有關(guān)聯(lián)，所以亟待一些新的要求和規(guī)定，來完善數(shù)據(jù)安全方面的治理方法。

其次，數(shù)據(jù)安全因相關(guān)方不同呈現(xiàn)不同的保護(hù)需求。比如，從企業(yè)角度出發(fā)，其主要關(guān)注的是“商業(yè)秘密保護(hù)”；從個(gè)人角度出發(fā)，個(gè)人處于相對(duì)弱勢(shì)的位置，需要國家通過公權(quán)力的方式對(duì)組織提出相關(guān)要求，讓組織能夠保護(hù)好個(gè)人信息；此外，從國家安全、社會(huì)公共利益角度來看，與其相關(guān)的重要數(shù)據(jù)則需要額外的保護(hù)措施。如何理解重要數(shù)據(jù)的概念，打個(gè)比方，現(xiàn)在很多場(chǎng)景都可以對(duì)個(gè)人進(jìn)行精確畫像，以致于對(duì)個(gè)人生活習(xí)慣、行蹤軌跡等非常了解，一旦數(shù)據(jù)濫用、泄露對(duì)個(gè)人造成的傷害也會(huì)更加精準(zhǔn)和嚴(yán)重。換個(gè)角度，如果對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施或者對(duì)一種社會(huì)現(xiàn)象、一類社會(huì)群體，同理也可以進(jìn)行精確畫像，這類重要數(shù)據(jù)一旦被惡意使用很可能會(huì)對(duì)公共利益產(chǎn)生危害，甚至影響國家安全。

個(gè)人信息保護(hù)，簡單來說，是從個(gè)人權(quán)益角度出發(fā)看數(shù)據(jù)安全問題，而正是因?yàn)閭€(gè)人觀點(diǎn)、立場(chǎng)等的差異性，個(gè)人信息用途的多樣化，導(dǎo)致個(gè)人信息保護(hù)變得格外復(fù)雜，也促使對(duì)個(gè)人信息保護(hù)的治理手段趨向于多元化。目前，縱觀全球，通過監(jiān)管處罰、法律訴訟、企業(yè)自律、推廣實(shí)踐、宣傳引導(dǎo)等一系列方式進(jìn)行綜合治理成為了主流做法。自《網(wǎng)絡(luò)安全法》實(shí)施以來，我國進(jìn)一步加快個(gè)人信息保護(hù)治理工作的步調(diào)，其綜合治理的框架已逐步完善，國家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》的發(fā)布正是其中重要的一個(gè)環(huán)節(jié)，標(biāo)準(zhǔn)對(duì)于各類組織個(gè)人信息保護(hù)方面的合規(guī)和自律工作有著重要的指導(dǎo)意義。

2 《個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)的適用價(jià)值

《個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)于2016年立項(xiàng)，于2017年底正式發(fā)布，從當(dāng)前全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)立項(xiàng)的個(gè)人信息保護(hù)相關(guān)標(biāo)準(zhǔn)來看，正在制定過程中的標(biāo)準(zhǔn)有《個(gè)人信息去標(biāo)識(shí)化指南》、《個(gè)人信息安全影響評(píng)估指南》、《數(shù)據(jù)出境安全評(píng)估指南》等，2018年新立項(xiàng)標(biāo)準(zhǔn)《個(gè)人信息安全工程指南》制定項(xiàng)目，以及《個(gè)人信息告知同意指南》研究項(xiàng)目，可見以《個(gè)人信息安全規(guī)范》為基礎(chǔ)的個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系已現(xiàn)雛形。因此，以《個(gè)人信息安全規(guī)范》為組織個(gè)人信息保護(hù)合規(guī)的基礎(chǔ)，是構(gòu)建完善、可持續(xù)的個(gè)人信息保護(hù)體系。

從《個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)的適用范圍來看，標(biāo)準(zhǔn)的推薦使用對(duì)象比較廣泛，包括各類作為數(shù)據(jù)控制者的組織，還有主管監(jiān)管部門、第三方機(jī)構(gòu)等。事實(shí)上，《個(gè)人信息安全規(guī)范》已經(jīng)得到了非常廣泛的關(guān)注與應(yīng)用，以主管監(jiān)管部門為例，2017年7月-9月，中央網(wǎng)信辦等四部門指導(dǎo)，信安標(biāo)委秘書處組織十款產(chǎn)品隱私條款評(píng)審過程中，大量參考了標(biāo)準(zhǔn)的相關(guān)要求，2018年1月，國家網(wǎng)信部門在通報(bào)“支付寶年度賬單事件”時(shí)，提及了標(biāo)準(zhǔn)。2018年5月，銀保監(jiān)會(huì)發(fā)布《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》提到應(yīng)符合相關(guān)標(biāo)準(zhǔn)，2018年4月，我國政府在“聯(lián)合國打擊網(wǎng)絡(luò)犯罪政府專家組”會(huì)議的有關(guān)評(píng)論意見中論述了標(biāo)準(zhǔn)的重要作用。除此之外，各行各業(yè)開展了很多關(guān)于《個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)有關(guān)的宣貫、研討、實(shí)務(wù)等活動(dòng)，進(jìn)一步擴(kuò)大了標(biāo)準(zhǔn)的影響力。

從標(biāo)準(zhǔn)主體內(nèi)容來看，首先，標(biāo)準(zhǔn)明確了個(gè)人信息、個(gè)人敏感信息、個(gè)人信息控制者、個(gè)人信息主體、收集、去標(biāo)識(shí)化、匿名化、共享、轉(zhuǎn)讓等重要的定義，這對(duì)規(guī)范個(gè)人信息處理相關(guān)用詞的規(guī)范性，以及界定相應(yīng)措施和責(zé)任有著很好的支撐作用；其次，標(biāo)準(zhǔn)所提出的個(gè)人信息安全七大原則，一方面和國際通行的原則保持一致，另外強(qiáng)調(diào)了權(quán)責(zé)一致原則的重要性，即一旦出現(xiàn)侵害個(gè)人信息主體的情形，個(gè)人信息控制者應(yīng)承擔(dān)相應(yīng)責(zé)任。標(biāo)準(zhǔn)的主體內(nèi)容中，分別從收集、保存、使用、委托處理、共享、轉(zhuǎn)讓、公開披露各環(huán)節(jié)提出相應(yīng)要求，同時(shí)提出了組織的相關(guān)管理要求。在標(biāo)準(zhǔn)制定過程中，以解決問題的實(shí)效性為根本出發(fā)點(diǎn)，兼顧與國際接軌增加全面性，同時(shí)兼顧考慮要求自身的可操作性以及平衡發(fā)展的需求，設(shè)置了主體的條款內(nèi)容，形成了適應(yīng)當(dāng)前國情需要，可有效指導(dǎo)組織提升個(gè)人信息保護(hù)水平的最佳實(shí)踐。

3 《個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)合規(guī)實(shí)踐思路

從組織實(shí)踐角度出發(fā)，要落實(shí)標(biāo)準(zhǔn)要求，實(shí)現(xiàn)全面、可持續(xù)的合規(guī)管理，可以參考以下思路?？傮w來看，組織應(yīng)從兩個(gè)角度全面考慮個(gè)人信息安全工作，一是對(duì)內(nèi)建立體系，二是對(duì)外接受監(jiān)督；其次，從落實(shí)責(zé)任、關(guān)鍵工作、能力提升三方面逐步提升個(gè)人信息保護(hù)水平；此外，如果組織有多款產(chǎn)品或服務(wù)涉及個(gè)人信息處理，應(yīng)主動(dòng)向不同產(chǎn)品線拓展個(gè)人信息保護(hù)工作，如果組織屬于平臺(tái)運(yùn)營方，其生態(tài)內(nèi)涉及用戶從平臺(tái)入口訪問眾多合作伙伴的產(chǎn)品或服務(wù)，或生態(tài)內(nèi)有密切的業(yè)務(wù)合作，同樣應(yīng)基于平臺(tái)管理者角色，主動(dòng)向平臺(tái)生態(tài)內(nèi)合作伙伴提出相應(yīng)的個(gè)人信息安全要求，以帶動(dòng)整體保護(hù)水平的提升。

在落實(shí)責(zé)任層面，其一，個(gè)人信息保護(hù)合規(guī)工作開展的順利與否直接取決于組織的負(fù)責(zé)人是否重視，是否提供了足夠的資源保障，標(biāo)準(zhǔn)強(qiáng)調(diào)了“組織應(yīng)明確其法定代表人或主要負(fù)責(zé)人對(duì)個(gè)人信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任”；其二，組織的多個(gè)部門應(yīng)進(jìn)行明確分工，形成以責(zé)任部門和責(zé)任人為核心的組織架構(gòu)；其三，責(zé)任部門和責(zé)任人應(yīng)根據(jù)組織所運(yùn)營的產(chǎn)品或服務(wù)的具體特點(diǎn)，制定個(gè)人信息保護(hù)的目標(biāo)、方針等策略性文件，以及相應(yīng)的工作計(jì)劃，比如可以選取一款典型產(chǎn)品就當(dāng)前情況與《個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)要求進(jìn)行差距分析，全方位識(shí)別弱點(diǎn)環(huán)節(jié)，為制定工作計(jì)劃提供參考。

在關(guān)鍵工作層面，其一，建立和維護(hù)個(gè)人信息清單尤為重要，擁有完善的個(gè)人信息清單是組織全面、有效、持續(xù)實(shí)施的個(gè)人信息安全保障措施的重要前提，對(duì)組織所持有的個(gè)人信息可知、可查，對(duì)組織個(gè)人信息處理活動(dòng)可視、可溯，也是組織個(gè)人信息安全保障能力的重要體現(xiàn)；其二，實(shí)施個(gè)人信息安全影響評(píng)估（PIA）有助于組織提前發(fā)現(xiàn)和預(yù)防風(fēng)險(xiǎn)事件。比如，在產(chǎn)品設(shè)計(jì)、上線前進(jìn)行個(gè)人信息安全影響評(píng)估，分析對(duì)個(gè)人權(quán)益可能造成的影響，如個(gè)人的自主權(quán)利、引發(fā)差別待遇、精神壓力、財(cái)產(chǎn)損失等，進(jìn)一步采取相應(yīng)措施降低風(fēng)險(xiǎn)，為產(chǎn)品和業(yè)務(wù)穩(wěn)定上線運(yùn)營提供保障。就個(gè)人信息安全影響評(píng)估，國家標(biāo)準(zhǔn)《個(gè)人信息安全影響評(píng)估指南》正在制定中，進(jìn)一步提供了細(xì)致實(shí)用的參考；其三，發(fā)布隱私政策接受社會(huì)監(jiān)督。隱私政策是體現(xiàn)組織個(gè)人信息保護(hù)策略公開透明的重要舉措，是個(gè)人以及社會(huì)了解組織的窗口，組織應(yīng)基于上述步驟的工作成果，歸納總結(jié)相關(guān)策略、規(guī)則，形成完善的隱私政策，體現(xiàn)重視個(gè)人信息保護(hù)工作，主動(dòng)接受監(jiān)督的態(tài)度?！秱€(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)附錄中給出的隱私政策的模板可以作為參考。

在能力提升方面，組織應(yīng)建立個(gè)人信息保護(hù)的技術(shù)體系，采用技術(shù)手段和工具系統(tǒng)強(qiáng)化個(gè)人信息安全能力。其一，應(yīng)加強(qiáng)數(shù)據(jù)安全能力，避免防止個(gè)人信息的泄漏、損毀、丟失。加強(qiáng)數(shù)據(jù)安全能力已有很多現(xiàn)有途徑可選，比如采取參考國家有關(guān)數(shù)據(jù)安全能力成熟度標(biāo)準(zhǔn)強(qiáng)化安全能力，參照等級(jí)保護(hù)、云計(jì)算服務(wù)相關(guān)標(biāo)準(zhǔn)加強(qiáng)系統(tǒng)和平臺(tái)安全等；其二，積極采取去標(biāo)識(shí)化措施降低個(gè)人信息處理的風(fēng)險(xiǎn)，個(gè)人信息去標(biāo)識(shí)化是普遍被認(rèn)為最有效、簡便的降低風(fēng)險(xiǎn)的措施，組織應(yīng)該充分結(jié)合業(yè)務(wù)場(chǎng)景考慮使用此種方法，正在制定的國家標(biāo)準(zhǔn)《個(gè)人信息去標(biāo)識(shí)化指南》對(duì)去標(biāo)識(shí)化過程和管理措施給出了詳盡的參考；其三，應(yīng)逐步在產(chǎn)品中實(shí)現(xiàn)隱私設(shè)計(jì)（Privacy-by-design）和默認(rèn)隱私（Privacy-by-default）理念，將個(gè)人信息保護(hù)與產(chǎn)品功能體驗(yàn)相結(jié)合，實(shí)現(xiàn)個(gè)人信息主體權(quán)利實(shí)施的便捷化。此外，合規(guī)能力的展現(xiàn)也是組織應(yīng)該重視的工作，一方面有助于以合規(guī)推動(dòng)業(yè)務(wù)發(fā)展，另一方面可適當(dāng)減少對(duì)接監(jiān)督管理工作的成本。

總之，以數(shù)據(jù)為驅(qū)動(dòng)力的時(shí)代已然來臨，數(shù)據(jù)安全的合規(guī)能力將成為組織賴以生存和發(fā)展的必備技能，同時(shí)也是構(gòu)建開放、包容、安全、有序的數(shù)字社會(huì)的重要前提。