近日,“百万银行数据被挂外国暗网售卖”的消息在网上不断流传,多家银行牵涉其中。尽管涉事的各家银行在进行数据比对核查之后,均否认了被兜售数据资料包的真实性,但是牵涉面甚广的庞大金融数据,尤其是个人金融信息数据的安全性如何保障,持续引发社会的广泛关注。
而在3月6日,国家市场监督管理总局、国家标准化管理委员会发布了新版国家标准《信息安全技术 个人信息安全规范》(GB/T35273-2020)(下称《规范》),并定于 2020年10月1日实施。简单来说,这两件事情分别从事件驱动及和政策驱动的角度,提醒IT、互联网乃至全社会公民重视个人信息的安全保护。
那么下面开始,美创技术专家首先概述性的介绍17版《规范》和20版《规范》的内容,然后重点介绍下关于20版的几点新变化的理解,最后谈下个人信息保护的思考。
两版规范均是从收集、存储、使用、共享、转让、公开披露、删除等活动对个人信息保护进行规范。相较于部分法律法规大多停留于原则性要求,这两版规范在实操方面都有不错的参考性和可落地性。从公共社会影响方面,两份规范都不仅促进个人信息的保护,更能提升大数据及信息安全等产业的发展水平,整体加强社会对个人信息保护的意识。 相比17版《规范》,20版《规范》开篇,即明确了主要技术变化如下(图1),但是若将两版规范一一对照,则会发现其中改变远不止如此,而变化内容可谓是“字字珠玑”,本节将简单罗列两大一小三个变化,供相关从业者进行思考。
从图1中可以看出,《规范》所列出的11条变化,仅第七章一章就占据4条,而其余章节也只在1、2条之间,所以第一大变化,即为第7章的变化,可以简单概括为从17版的一章变为20版的两章,条目参考图2。图2:17版与20版 关于“个人信息的使用”的变化对比20版章节的增加,实质是更加关注个人信息的主体。即个人信息的使用主体一般为第三者,这些在第七章中规定,通俗来讲,就是别人使用“我”的信息该怎么做,而“我”作为信息主体的权利呢,则是在第八章中进行明确。另外,20版第七章中,新增了“用户画像的使用限制”与“个性化展示的使用”两条内容,则是针对日益火热的大数据分析进行规约。关于20版《规范》的第二大变化, 美创技术专家认为是新增了“9.7 第三方接入管理”。 新增本条的目的之一,可视为是在进行政府数字化改革的过程中,提供给各级大数据局或数据主管部门捋清责任边界,加强监管监督的重要依据。
首先,目前政府类组织本身并不具备数据分析或数据开发能力,但面对政务资源共享、开放等需求,继而选择与各类的社会企业进行合作,在这个过程中,需要建立接入的管理机制和工作流程;第二,就目前而言,本身政府内部的各单位之间,政务数据共享都存在安全责任边界问题,所以在第三方使用数据的过程中,为避免出现纠纷,则通过c、d、e、f四条进行明确落实;第三,由于政府这类组织的特殊性,数据安全责任主体并不能随工作进行转移,所以唯一办法就是加强第三方产品或服务的监管审计,出现问题后及时切断。
目前浙江省网信办联同有关部门,已经出台《信息技术服务外包安全管理办法》,其中就对外包服务商的机构和人员管理、行为监管、技术防护和应急处置已经监督处罚进行了详细规定。“两大一小”三个变化中,小的变化“个人信息控制者”的定义值得我们关注,在17版中描述为“有权决定个人信息处理目的、方式等的组织或个人”,20版中则是“有能力决定个人信息处理目的、方式等的组织或个人。”一个是“权”,一个是“能力”,而从民法学上讲,权利能力反映了权利主体取得权利和承担义务的资格,行为能力则是指权利主体能够通过自己的行为取得权利和承担义务的能力,所以两者相较,可以看出20版的规范对象更加宽泛。诚然,个人隐私信息的保护如同“男女平等”这类箴言类似,具有不言而喻的正确性,但是如果结合到最近的“新冠病毒”,个人隐私保护的“度”值得思考。如现在有新冠患者隐瞒本属于“个人”的行程信息,造成危害公共安全及社会资源的浪费,无论是国家或者个人的角度,都应进行严肃处理。正如在两版规范中, 都有明确条目规定个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意的情形及个人信息控制者不必事先征得个人信息主体的授权同意,即可共享、转让、公开披露个人信息的情形,总结来说,就是目前这个阶段,个人隐私信息应在国家安全乃至公共安全的基础上进行约束。最后是美创技术专家整理的目前几个比较通用,由信安标委制定完成,关于个人信息安全规范的标准: ▐ 《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019)
▐ 《信息安全技术 个人信息安全工程指南》(征求意见稿)
▐ 《信息安全技术 个人信息安全影响评估指南》(征求意见稿)
▐ 《信息安全技术 个人信息告知同意指南》(征求意见稿)
(以上相关材料,关注美创资讯微信公众号后,回复“ 个人信息安全 ”即可获得)
浙公网安备 33010502006954号 
