文章

中国网络安全法系列解读之一

个人信息保护要求的应对

众所周知,具有里程碑意义的《中国人民共和国网络安全法》于2016年11月6日由全国人大正式通过并将于2017年6月1日正式生效,作为国内第一部系统性提出网络空间治理的法律法规,特别加强和明确了个人信息保护方面的要求。这些要求不仅继承现有法律法规的主要条款要求,例如2012年全国人大《关于加强网络信息保护的决定》、2014年全国人大《刑法修正案》、2015年工商总局《侵害消费者权益行为处罚办法》等法律法规,而且还根据新形势、新情况和新需求,增加新内容。

德勤风险咨询部门信息技术风险团队认为本次网络安全法的出台及其之前一系列国内法律法规的势必规范网络运营者网络空间内搜集、处理、使用、传输个人信息的各类行为,将会遏制和打击当前存在的个人信息滥用及其衍生的诈骗等网络犯罪活动,提升全社会个人信息保护的意识和管理水平,从而维护、保护网络空间公民、法人和其他组织的合法权益。

A.网络安全法对个人信息保护的要求

网络安全法下的个人信息保护要求,德勤认为有以下三个鲜明特点:

1. 明确履行个人信息保护的责任主体义务: 搜集、使用个人信息的网络运营者包括网络所有者、网络管理者和网络服务提供者就是个人信息保护的责任主体,并需要接受国家网信部门和有关监管部门的监督和管理;

2. 系统性定义个人信息保护的要求,并与国内外最佳实践接轨;德勤认为本次网络安全法与国际最佳实践、其他国家在个人信息保护的法律法规保持了相当高的一致性。我们对网络安全法下个人信息保护要求与已被广泛接受的2005年亚太经合组织颁布的《APEC个人隐私保护框架》进行了比较,每个管理维度都有明确的应对,具体如下表所示。

APEC隐私框架(九原则)

中华人民共和国网络安全法有关个人信息保护的要求

1. 预防损害原则

(第四十九条)网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉与举报;

2. 告知原则

(第四十一条)网络运营者收集、使用个人信息,应公开搜集、使用规则明示搜集、使用信息的目的、方式和范围并经被搜集者同意;

3. 搜集限制原则

(第四十一条)网络运营者收集、使用个人信息,应当遵循合法、正当、必要原则;不得搜集与其服务提供无关的个人信息;

4. 个人信息使用原则

(第四十一条)不得违反法律、行政法规的规范和双方约定收集、使用个人信息,并按法律、行政法规规定和用户约定,处理其保存的个人信息;

(第四十二条)未经被搜集者同意不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外;

(第四十四条)不得非法出售非法向他人提供个人信息;

5. 自主选择原则

(第四十一条)网络运营者收集、使用个人信息,应经被搜集者同意

(第四十二条)未经被搜集者同意不得向他人提供个人信息;

6. 完整性原则

(第四十二条)网络运营者不得泄露、篡改、毁损其搜集的个人信息;

7. 安全管理原则

(第四十二条)应当采取技术措施和其他必要措施,确保信息安全。防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施

8. 查阅及更正原则

(第四十三条)个人发现网络运营者违反法律、行政法规的规定或双方约定收集、使用个人信息的,有权要求删除其个人信息,发现有错误的有权要求网络运营中更正。网络运营者应采取措施删除或更正;

9. 责任原则

(第四十条)网络运营者对其搜集的用户信息严格保密,建立健全用户信息保护制度

 

3. 兼顾个人信息应用方面的鼓励创新和个人信息的合理保护:在当今互联网、大数据时代,各种数据包括个人数据需充分处理、共享、使用才能最大化发挥其商业价值。但个人信息又需要合理保护,如何合理平衡是网络安全法立法时必须要考虑的问题。例如法规提出“未经被搜集者同意,不得向他人提供个人信息,但是经过处理无法识别特定个人且不能复原的除外”,最后说明的例外情况就是上述原则的体现。

B. 企业如何应对网络安全法的个人信息保护要求

德勤认为企业需认真评估和应对网络安全法在个人信息保护方面的上述要求,并采取积极、主动的措施应对上述要求。我们建议企业采取如下四个步骤:

1. 计划与信息搜集: 确认企业是否属于网络安全法适用对象,是否属于网络运营者?确认企业是否或即将搜集、使用、存储公民的个人信息?确认企业拥有的或者正在使用的信息系统是否属于关键信息基础设施?如果是,建议企业先应尽快盘点已搜集、使用、存储的个人信息类型、个人信息对应的容器和载体、内部访问、处理、分析、使用这些个人信息对应的人员岗位、存储这些个人信息的信息系统情况(例如系统后台数据库的物理位置等)、这些个人信息是否会被内部人员或者系统后台接口的方式披露、传输给外部第三方?

2. 差异分析和对标:基于第一步信息搜集的结果,企业应评估当时业务操作与系统操作的现状是否能满足网络安全法中的法规要求,如下表所示:

内容

评估问题(示例,仅供参考)

搜集

  • 搜集个人信息时是否履行告知程序?告知声明是否涵盖应告知的必要项目?

使用

  • 是否有超出岗位授权的人员能够访问、查询、修改个人信息?

存储

  • 存储个人信息的物理位置安全么?在适当地点?适当的安全控制?

销毁

  • 包含个人信息的载体(纸张或电子介质)是否应选择安全的办法执行销毁?

传输

  • 传输客户个人数据的地点、传输的对象是否适当?(数据是否能传输给公司外部第三方?)

第三方

  • 数据传递给第三方过程是否有要求加密等安全保护机制?

关键信息基础设施

  • 如果个人信息相关的信息系统被界定为关键信息基础设施,还应根据网络安全法的要求,实现下列要求:

- 专门安全管理机构与人员,安全人员背景调查;

- 定期安全培训、教育;

- 定期容灾备份

- 网络安全定期演练

- 采购网络产品与服务影响国家安全,需国家安全审查

- 采购网络产品与服务签订安全保密协议

- 每年至少一次安全检测评估

注:如果企业尚不能确认是否属于关键信息技术设施的运营者,我们建议企业尽快与监管机构或行业组织例如各省市网信办、银监会、保监会等组织进行持续咨询与沟通。

 

3. 整改与行动:上一步差异分析的结果应根据影响程度、整改成本等尽快明确整改策略、整改计划与具体执行方案,如果确实不能再2017年6月1日之前改善完成到位的企业应考虑替代性程序或方法。

4. 持续改进:基于企业业务、管理、信息系统的不断变化,其个人信息搜集、使用、存储的范围、生命周期的管理方式也随之变化。因此企业不仅在2017年6月1日之前解决现有业务处理、信息系统中存在的不合规事项,更需要考虑建立一套可持续的、完整的个人信息保护管理框架。企业从治理层包括目标战略、治理组织;管理层包括岗位职责、个人信息保护流程、个人信息保护教育培训、个人信息保护评估与改进机制等维度完善企业个人信息保护的框架。从而不仅实现某个时间点上的合法合规(Make Clean),更要实现可持续性的合规合规(Stay Clean)并最终赢得企业消费者和客户的认可、信任和期望。

此内容是否提供了您需要的资讯?