2020-07-28
孫昌衛
摘要:當今社會,數據的重要性和價值被越發重視,個人信息因和公眾密切相關被社會各界聚焦關注,本文介紹了國內外典型的個人數據法規、標準,并提出安全建議,供大家參考。
據《中國互聯網絡發展狀況統計報告》統計顯示,截至 2018年6月,中國網民規模為8.02億,較 2017 年末增加 3.8%,互聯網普及率達 57.7%,其中手機網民規模達7.88億,在上網人群中的占比達98.3%。
高比例的上網人群催生出來大量的應用程序,這些應用程序為廣大網民提供各式各樣的便捷服務,但其中也出現了對個人信息違法收集、濫用、泄露等問題,這不僅會導致個人隱私數據泄露,同時還嚴重影響個人生命和財產安全。另外隨著國家政務系統的集約化,提供公共服務的應用系統不斷增加,數據共享使用、融合存儲,數據資源集中后高價值明顯,公民個人信息在此過程中面臨的安全風險也在日益劇增。
網絡安全是一個全球性的問題,其中公民個人信息保護問題面臨的挑戰更加嚴峻,也更加復雜。各國政府一直致力于公民個人信息保護,但依然不斷出現個人隱私數據泄露事件,例如2018年3月Facebook出現的數據泄露事件,導致5000萬用戶信息被第三方公司Cambridge Analytica用于大數據分析,并引發連鎖反應。2018年8月華住集團“5億條個人敏感信息泄露”,全部數據泄露資料更是高達141.5GB,9月份警方將犯罪嫌疑人抓獲歸案,同時也將依法查處涉案的主體單位。可見在落實網絡安全主體責任和安全防護措施方面我們絲毫不能懈怠,需要切實加強安全防護保障措施,在防護效果方面達到 “進不來、看不懂、拿不走、改不了、賴不掉”。
從法規保護層面而言,目前各個國家國情不同、重視程度不一樣,立法的進度和保障措施也不盡相同,其中以歐盟為代表的組織和國內在個人信息保護方面存在著明顯差異。
“歐盟數據憲章”-通用數據保護條例
2018 年 5 月 25 日,歐盟通用數據保護條例(Generall Data Protection Regulation, GDPR)正式實施,在全球范圍內產生廣泛影響。GDPR提出了個人數據保護六大原則:合法合理透明性原則、目的限制原則、最小化數據處理原則、數據準確性原則、限制存儲期限原則、數據的完整性和保密性原則,在六大原則的指導下,通過一系列嚴格的問責機制,從系統設計和默認設置著手的隱私保護(Data protection by design and by default)、保留處理活動記錄、實施安全保障措施、數據泄露報告與通知、數據保護影響評估、事先協商、設置數據保護官等措施,對數據主體的知情權、訪問權、糾正券、刪除權(被遺忘權)、限制處理權、可移植權(可攜帶權)、拒絕權和與自動化個人決策相關權利進行保護。
GDPR要求數據控制者和處理者實施適當的技術和管理措施,并在必要時進行審查和更新,盡管全文并未給出詳細的控制措施實施要求,但仍指出需對以下因素進行著重考慮:
需特別注意的是,GDPR關于“同意”的認定標準較以往更為嚴格,且對兒童個人信息的保護更為注重。
國內數據安全法律法規、政策標準
我國在多項法律中關注和強化對個人信息的保護。如2012年全國人大常委會通過了《關于加強網絡信息保護的決定》;2015年《中華人民共和國刑法修正案(九)》中明確了對個人信息保護的規定;2016年《中華人民共和國網絡安全法》確定了個人信息保護的基本規則。2017年《中華人民共和國民法總則》中也明確規定了自然人的個人信息受法律保護。2019年《中華人民共和國電子商務法》中也納入了保護消費者個人信息等規定。除此以外《網絡安全等級保護條例(征求意見稿)》和《關鍵信息基礎設施安全保護條例(征求意見稿)》中也對個人信息保護進行了相關規定,要求網絡運營者落實重要數據和個人信息安全保護制度,采取保護措施,保障數據和信息在收集、存儲、傳輸、使用、提供、銷毀過程中的安全。
其中《中華人民共和國網絡安全法》在第四章 網絡信息安全部分,較大篇幅的對個人信息安全進行了規定,并且明確規定了“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息”。為了落實《中華人民共和國網絡安全法》《消費者權益保障法》,2019年1月25日,中央網信辦、工業和信息化部、公安部、市場監管總局正式對外發布《關于開展App違法違規收集使用個人信息專項治理的公告》。從中我們也看出政府治理違規收集使用個人數據方面的決心,專項治理公告中明確要求:
在個人信息安全標準方面,2018年5月1日,信安標委組織制定的《信息安全技術 個人信息安全規范》正式實施,并于2019年1月30號公布二次修訂草案。這是國內在個人信息安全保障方面的提升,在這部重磅的個人信息安全標準中明確了個人信息安全的基本原則,個人信息的收集、保存、使用、委托處理、共享、轉讓、公開披露的要求,個人信息安全事件處置和對組織的管理要求。同時相關的配套法規、標準也在陸續制定當中,相信推出時間指日可待。
雖然國內針對個人信息安全保護有一系列的法律法規、政策標準。但是總體而言法規、標準依然不完善,缺少總體規劃,碎片化明顯,同時存在落地執行不到位等情況。需要我們在立法層面加強頂層設計,統一規劃,緊密銜接,加強監管和處罰措施,不斷完善現有管理機制,從國家層面為個人信息安全提供法律保障。
對個人信息安全的幾點建議
個人信息安全不單純是技術問題或者法律問題,需要統籌結合,上下聯動,綜合防御。各組織單位、行業客戶需要梳理清楚自身數據資產,識別個人敏感信息,加強內部安全管理措施,數據在哪里,安全保障就要覆蓋到哪里。
在個人信息安全防護方面,行業單位需要落實國家網絡安全等級保護制度。在安全合規建設中及時整改、落實管理,構建動態防御體系。加強數據安全動態監測預警機制,加強信息收集、分析研判,個人信息安全事件發生時及時預警、迅速處置。對接觸到個人敏感信息的人員,進行鑒權控制、行為審計,并定期組織安全培訓,強化素質教育、安全意識教育、安全技能教育,減少敏感數據從內部泄露的風險。敏感數據定期備份,備份信息定期離線保存,避免數據勒索事件發生。加強普法教育,個人信息安全從身邊的小事做起,不隨意丟棄快遞單、不隨便參加掃描抽獎活動、使用App謹慎放權。
