【条文主旨】
本条是关于个人信息处理者采取安全保障措施义务的规定。
【条文理解】
一、处理者的安全保障义务
本条明确了个人信息处理者对个人信息处理活动的安全保障义务。该义务执行的评估依据为个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等。义务执行目的则是符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失。
自《个人信息保护法》草案发布以来,个人信息处理者的安全保障义务的要求呈现比较成熟稳定的立法状态,即围绕着制度建设、信息分类、技术措施、人员管理、应急预案这五大角度以及最后兜底的其他措施,这六点个人信息处理者的义务已经深入处理者的实践,被业界接受认可,三次草案征求意见基本没有变动。
安全保障义务以列举形式体现,属于法定义务,个人信息处理者应该逐一遵守,否则应视为第66条规定的“处理个人信息未履行本法规定的个人信息保护义务的”情形,承担相应的法律责任。同时,如造成未经授权的访问以及个人信息泄露、篡改、丢失的,并造成个人信息权益损害的,根据第69条规定的过错推定原则,安全保障义务的全面履行应当视为企业证明自己没有过错的重要依据,因而安全保障义务在企业日常运营中具有重要的合规意义。
二、内部管控制度建设
就内部管理制度和操作规程而言,结合《个人信息保护法》第4条第2款,管理制度和操作规程至少应覆盖个人信息收集、存储、使用、加工、传输、提供、公开、删除等个人信息全生命周期流程。
《个人金融信息保护技术规范》(JR/T 0171—2020)提供了可供参考的宝贵经验,在该规范中,个人金融信息的内部管控要求不仅区分了各生命周期中的管控基本原则,还分列了相应的安全措施要求和管理要求,对于内控制度的合规要点。《个人金融信息技术规范》也作出了详细指导,包括建立个人金融信息保护管理规定、日常管理及操作流程管理要求,个人金融信息时效性管理制度、外包服务机构与外部服务机构管理制度和个人金融信息安全检查及监督机制等。
三、对个人信息分类管理
与《个人信息保护法(草案)》相比较,本条将“对个人信息实行分类分级管理”中的“分级”删除。“分级”是对个人信息纵向的分层,“分类”是对个人信息横向的切分。
针对个人信息分级问题,《个人信息保护法》已给出法定的方案,即区分一般个人信息和敏感个人信息的处理(第二章第二节专门规定),此外,在《侵犯公民个人信息刑事案件解释》中确立的极易导致个人信息处理者承担刑事责任的四类信息,无疑应当视为个人信息分级中最高级别的极敏感个人信息,因此,在《个人信息保护法》出台之前,个人信息分级体系实际已经具备基本雏形:(1)极敏感个人信息:行踪轨迹信息、通信内容、征信信息、财产信息。(2)敏感个人信息:生物识别、宗教信仰、特定身份、医疗健康、(金融账户)、(行踪轨迹)。(3)一般个人信息:除上述极敏感个人信息和敏感个人信息外的其他个人信息。
对个人信息分类而言,个人信息进行分类管理的实质目的在于需要根据信息类别确立对个人信息处理者不同的管控义务,并确认不同的个人信息主体权益。如敏感个人信息的处理,即要求处理者应当取得个人的单独同意,并将由国家网信部门统筹协调有关部门制定专门的个人信息保护规则、标准。目前已经有部分标准尝试对个人信息进行了分类,例如:
《信息安全技术个人信息安全规范》(GB/T 35273—2020):将个人信息类别区分为个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息、个人健康生理信息、个人教育工作信息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息、个人位置信息、其他信息。
《个人金融信息保护技术规范》(JR/T 0171—2020):将个人金融信息区分为C3类别信息(主要为用户鉴别信息)、C2类别信息(主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息)、C1类别信息(主要为机构内部的信息资产)。
《信息安全技术移动智能终端个人信息保护技术要求》(GB/T?34978—2017):将个人信息分类为通信信息、日志信息、账户信息、金融支付信息、传感采集信息、设备信息、文件信息。
需要看到的是,在目前个人信息的分类分级实践中,分类和分级并没有作绝对意义的区分,例如上述《信息安全技术个人信息安全规范》的分类同时也考虑了对一般个人信息和敏感个人信息的分级示例,再如《个人金融信息保护技术规范》中首创的对个人金融信息的C1、C2、C3分类方法,同时也对个人信息的级别进行了总结归纳以便纳入不同管理规则。
四、采取相应的加密、去标识化等安全技术措施
(一)加密
根据《信息安全技术信息系统密码应用基本要求》(GB/T 39786—2021)的规定,加密是指对数据进行密码变换以产生密文的过程。《
网络安全法》对加密的规定体现在第21条,网络运营者应当“采取数据分类、重要数据备份和加密等措施”,以符合履行网络安全保护义务的要求。《个人信息保护法》延续了《网络安全法》的要求,规定个人信息处理者应当“采取相应的加密、去标识化等安全技术措施”等必要措施,以“确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失”。
部分学者认为,相比《网络安全法》的静态存储要求,《个人信息保护法》的要求需要对存储的静态数据、传输中的动态数据,以及随时处于流动的无论其状态的各种数据采取符合法律要求、行业实践和保护惯例的技术措施。
(二)去标识化
《个人信息保护法》对去标识化作出了明确定义:“去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。”根据《信息安全技术个人信息安全规范》的定义,去标识化是指建立在个体基础之上,保留个体颗粒度,采用假名、加密、哈希函数等替代对个人信息的标识。可见,去标识化后的信息可以借助额外信息识别特定自然人,本质上仍为一种个人信息。
因此,若消除或控制去标识化信息与特定自然人之间的关联性,则去标识化后的信息将脱离个人信息的定义范畴。《网络安全法》《信息安全技术个人信息安全规范》等定义和描述均对这种思路进行了确认。例如,《网络安全法》第42条规定“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”
由于《个人信息保护法》对于个人信息处理者对外提供个人信息设定了需要获得用户单独同意的前提,对个人信息流动现状提出了重大挑战。去标识化作为一种潜在的有助于个人信息流动的手段受到密切关注。2021年4月公布的《个人信息去标识化效果分级评估规范》(征求意见稿)中,对于去标识化技术进行了详细探讨,并将标识符(微数据中的一个或多个属性,可以实现对个人信息主体的唯一识别)区分为“直接标识符”(微数据中的属性,在特定环境下可以单独识别个人信息主体)和“准标识符”(微数据中的属性,结合其他属性可唯一识别个人信息主体)。重新标识个人信息主体的风险越低,则意味着去标识化效果越好,应用于相应的个人信息流动场景中的风险越小。
在个人信息流动需求激增和个人信息权益风险保障措施加固的冲突下,去标识化可能会成为企业实现其个人信息流动的可选重要合规方式,也已经存在有效评估个人信息流动风险的具体方法论,因此投入必要的技术力量完成个人信息去标识化的相关技术落地,是个人信息处理者平衡其合规义务和效益追求的重要支点。
五、加强人员管理和教育培训
个人信息处理者人员管理义务主要集中在合理确定个人信息处理的操作权限及定期对从业人员进行安全教育和培训。这两项管理义务均对个人信息处理者的动态风险管控水平提出较高要求。《信息安全技术个人信息安全规范》第7.1条“个人信息访问控制措施”和第11.6条“人员管理与培训”中对此进行了细化规定。
(一)操作权限控制
《信息安全技术个人信息安全规范》第7.1条有关“个人信息访问控制措施”的要求已经非常具体,可以作为落地细则出台之前的合规方式参考。根据该条款,在操作权限控制方面,个人信息处理者应当:“a)对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;b)对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作;c)对安全管理人员、数据操作人员、审计人员的角色进行分离设置;d)确因工作需要,需授权特定人员超权限处理个人信息的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;e)对个人敏感信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息”。
(二)人员管理
《信息安全技术个人信息安全规范》第11.6条有关“人员管理与培训”也作出了详尽要求,包括个人信息处理者应当:“a)应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查,以了解其犯罪记录、诚信状况等;b)应明确内部涉及个人信息处理不同岗位的安全职责,建立发生安全事件的处罚机制;c)应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务;d)应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督;e)应建立相应的内部制度和政策对员工提出个人信息保护的指引和要求;f)应定期(至少每年一次)或在个人信息保护政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握个人信息保护政策和相关规程”。
除通用规定外,《个人金融信息保护技术规范》对于操作权限和人员管理也提出了其本身的特殊要求。例如,在操作权限方面,要求个人信息处理者应将传输、处理、存储个人金融信息的系统默认用户权限设置为“拒绝所有访问”;个人金融信息不应在远程访问设备上留存等。在人员管理方面,《个人金融信息保护技术规范》要求系统开发人员、测试人员和运维人员之间不互相兼岗,对培训和意识教育活动需要保存相关记录。
六、制定并组织实施安全事件应急预案
《网络安全法》第25条和第34条均要求网络运营者和关键信息基础设施运营者制定应急预案,并要求关键信息基础设施运营者对制定的预案进行定期演练。《个人信息保护法》将个人信息处理者的应急制度要求拔高于普通的网络运营者但低于关键信息基础设施运营者,根据《个人信息保护法》的要求,个人信息处理者应当“制定并组织实施个人信息安全事件应急预案”,这意味着个人信息处理者在制定应急预案之外,还应不定期组织实施该应急预案。个人信息处理者应注意在日常运营中保留对应急预案组织实施的证据,以作为履行个人信息处理者的合规凭证。
七、域外相关制度
GDPR和《加州消费者隐私法案》(CCPA)、《加州隐私权法案》(CPRA)具有相似性,即强调根据个人信息处理的风险,采取与之相适应的安全保障措施。在列举的具体措施方面,我国《个人信息保护法》相较于GDPR更为细致全面,明确了个人信息处理者对个人信息应当实行分级管理、对从业人员定期展开安全培训。
(一)欧盟GDPR第32条
根据该条规定:(1)采取安全措施的考虑因素包括:最新水平、实施成本、处理的性质、处理的范围、处理的语境与目的,以及处理给自然人权利与自由带来的伤害可能性与严重性;在评估合适的安全级别的时候,应当特别考虑处理所带来的风险,特别是在个人数据传输、储存或处理过程中的意外或非法销毁、丢失、篡改、未经授权的披露或访问。(2)具体的安全措施包括:个人数据的匿名化和加密;保持处理系统与服务的保密性、公正性、有效性以及重新恢复的能力;在遭受物理性或技术性事件的情形中,有能力恢复对个人数据的获取与访问;具有为保证处理安全而常规性地测试、评估与评价技术性与组织性手段有效性的流程。
(二)《加州消费者隐私法案》和《加州隐私权法案》第1798.100条
根据《加州消费者隐私法案》和《加州隐私权法案》第1798.100条规定,采取安全措施考虑的因素包括:收集消费者个人信息的处理者应根据按照个人信息的性质实施合理的安全程序和做法。[1]但是,上述法律文件没有规定具体的安全措施。
(三)英国数据保护机构Information?Commissioner#apos;s?Office(ICO)的安全措施核对清单
英国数据保护机构Information?Commissioner#apos;s?Office(ICO)的安全措施核对清单规定:
(1)我们对我们的处理过程所带来的风险进行分析,并以此来评估我们需要实施的适当的安全水平;
(2)在决定采取何种措施时,我们会考虑到最新的技术水平和实施成本;
(3)我们有一个信息安全政策(或同等的政策),并采取措施确保该政策得到执行;(3)必要时,我们会制定额外的政策,并确保控制措施到位以执行这些政策;
(4)我们确保定期审查我们的信息安全政策和措施,并在必要时对其进行改进;
(5)我们已经通过考虑我们想要实现的安全结果来评估我们需要做什么;
(6)我们已经制定了基本的技术控制措施,例如像Cyber?Essentials这样的既定框架所规定的措施;
(7)我们知道,根据我们的情况和我们处理的个人数据的类型,我们可能还需要采取其他技术措施;
(8)我们在适当的情况下使用加密和/或假名化;
(9)我们理解对我们处理的个人数据的保密性、完整性和可用性的要求;
(10)我们确保在发生任何事件时能够恢复对个人数据的访问,例如建立一个适当的备份程序;
(11)我们对我们的措施进行定期测试和审查,以确保它们保持有效,并根据测试结果对需要改进的地方采取行动;
(12)在适当的情况下,我们实施遵守经批准的行为准则或认证机制的措施;
(13)我们确保我们使用的任何数据处理器也实施适当的技术和组织措施。
