实施《个人信息安全规范》,为公共服务安全保驾护航2018-02-08

中国电子技术标准化研究院 何延哲 刘贤刚

随着信息技术和人类生产生活交汇融合,互联网快速普及,公共服务也随之进入了数字化时代,大大提升了公共服务的均等化、普惠化、便捷化水平。然而,近年来,公共服务领域所发生的众多个人信息安全事件,危害到了民众切身利益,也将个人信息保护问题推上了风口浪尖,产生了不良的社会影响。2016年,徐玉玉、宋振宁等学生因个人信息泄露遭电信网络诈骗案件,导致受害人猝死或自杀,让人扼腕叹息;同年,全国30省份275位艾滋病感染者称接到诈骗电话,艾滋病感染者的个人信息疑似被大面积泄露;2017年,安徽、江西等多地在低保、保障房等福利分配相关政务信息公开、社区居民健康检查、高校公示受助学生信息时涉及个人信息泄露,信息公开变成了“隐私公开”。

大数据时代,公共服务领域如何既保护好个人信息安全,又充分利用个人信息造福民众?新发布的国家标准《个人信息安全规范》(GB/T 35273-2017)给出了具体的解决方案。

一、标准以问题为导向,针对典型个人信息安全问题有的放矢

《个人信息安全规范》在制定之初,便秉承了“解决我国当下个人信息安全问题”的初衷,从个人信息处理的生命周期和安全管理两个角度出发,分别针对典型问题给出了解决路径。个人信息的收集部分,首条便明确指出不得欺诈、诱骗、强迫个人信息主体提供其个人信息、不得隐瞒产品或服务所具有的收集个人信息的功能等个人信息收集的合法性要求,同时,诸多条款对如何避免“过度收集、默认勾选、一揽子协议”等常见问题提出了具体的指导,其中针对“黑色产业链贩卖个人信息”问题,标准要求间接获取个人信息时提供方需说明个人信息来源,并确认合法性,切断了其利益链条;最后,对隐私政策的内容和发布提出要求,并在附录D中给出了隐私政策的参考模板,这为公共服务领域改进“无隐私条款或隐私条款不规范”的情形提出了实用、易操作的样例。

个人信息的保存部分,首先针对“无限期存储”问题提出了保存个人信息的最小化要求;其次,所提出的去标识化处理,是降低个人信息泄露风险的最有效方法之一;针对高度敏感的生物特征识别信息,也给出了“红线型要求”,存储时应采用摘要等技术措施处理后存储,以预防泄露等事件给个人带来长期危害。个人信息的使用部分,首先对个人信息的内部问控制措施和展示方面的要求给出细化,以降低“内部违规操作”和“个人信息泄露”的可能;其次,对使用环节提出了必要的限制措施,防止“个人信息滥用”。为了应对“删除难、注销难、无法撤回同意、申诉难”等问题,标准明确了组织应履行的义务,切实地保障了个人信息主体权益。个人信息的委托处理、共享、转让、公开披露部分,针对“第三方供应商风险、非法共享转让、公开披露不当”等常见问题,相对应提出了合理、安全的处置方式。最后,关于个人信息安全管理方面,针对“安全事件处置不当、内部责任划分不清、管理落实不到位、安全意识淡薄、防护措施不足、内鬼作案盗取信息”等问题,标准从管理、技术等方面给出具体的指导。

从上述分析不难看出,如果能实施国家标准《个人信息安全规范》的相关要求,将很有可能避免出现本文开头所罗列的近年来发生的各类个人信息安全事件。推进国家标准《个人信息安全规范》在公共服务领域的广泛应用,化被动为主动,是预防各类个人信息安全事件出现的有效路径。

二、提升个人信息保护水平,是大数据时代做好网络安全的“必修课”

2017年6月1日,《网络安全法》正式实施,标志着我国网络安全工作有了基础性、全面性的法律遵从。从《网络安全法》框架和内容可以看出,大数据时代网络安全,主要由网络运行安全、网络信息安全、监测预警与应急处置等组成,而其中,网络信息安全部分着重对个人信息保护提出要求。在传统信息安全方面,网络安全等级保护等保障网络运行安全的要求已经得到较大面积的推广和实施,然而,个人信息安全问题,并非保密性、完整性、可用性三方面所能涵盖,个人的知情权、选择权、控制权等等均关系个人切身利益,这也是网络安全法单独强调其的原因。国家标准《个人信息安全规范》紧紧围绕“保护个人权益”为核心,在《网络安全法》的框架下,结合国际通用保护理念,提出了权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与七大原则以及个人信息处理生命周期的控制和管理要求,为组织全面提升个人信息保护水平提供了详尽、完备和体系化的指导。公共服务领域涉及广大民众,个人信息是其必须依赖的核心资源,如今公共服务领域信息化、自动化程度日益变高,系统交互,数据互通日益频繁,要将《网络安全法》要求落到实处,切实提升个人信息保护水平,国家标准《个人信息安全规范》无论是权威性、全面性、实用性方面均是最佳之选。

三、以个人信息安全为准绳,有助于推进政府和社会信息资源开放共享

近年来,国务院、中办、国办等发布的《国家信息化发展战略纲要》、《促进大数据发展行动纲要》、《关于推进公共资源配置领域政府信息公开的意见》等相关文件中,反复提及推进政府和社会信息资源开放共享对推进数字化社会建设的重要性,2017年12月8日,习近平总书记在中共中央政治局第二次集体学习时强调,“要加强政企合作、多方参与,加快公共服务领域数据集中和共享,推进同企业积累的社会数据进行平台对接,形成社会治理强大合力。”

数据的开放和共享,既是机遇,也是难题。数据具有“易扩散、易拷贝”等特点,在开放和共享的过程中,稍有不慎,可能会引发长期且不易消除的影响。同时,“公共机构随意索要数据、数据开放不妥引发质疑、数据共享后接收方保护不力或滥用、安全责任划分难”等情形的出现更让“不敢、不愿开放和共享,或对政策长期观望”成为了一部分组织的无奈之举。公共服务领域,数据的开放与共享是必然方向,而其程度,直接决定了民生服务的效率和质量,如何更有效地推进数据开放与共享,是当下的重点任务。国家标准《个人信息安全规范》中,对个人信息的共享、转让、公开披露做出了详细要求,其中首先强调,应充分重视风险,其次,应对此过程进行安全影响评估,并采取安全措施,最后还要求对相应过程要素进行记录,并承担相应责任,而接收方获取个人信息后,其应遵守标准所有的个人信息安全要求,履行权责一致原则。上述措施,一方面保障了过程的安全、接收方具备充分安全能力,另一方面,通过过程记录、责任划分等方式完成了安全责任的有效传递。公共服务领域与个人强相关,开放共享过程所涉及的数据几乎均包含个人信息,因此以国家标准《个人信息安全规范》来规范相关数据的开放和共享过程,以个人信息安全为准绳,尽可能降低过程中的安全风险,是消除组织“顾虑”,推进政府和社会信息资源开放共享工作顺利开展的重要抓手。

四、小结

“悠悠万事,民生为重”,2018年习近平总书记在新年贺词中,谈及“造福人民生活为最大政绩”。公共服务领域,与人民利益切身相关,在推进公共服务数字化的进程中,规范个人信息处理活动,及早预防出现人民利益受损情形,正是“以安全促发展”和“网络安全为人民”的真实写照。

标准,只有得到实施应用,才是其价值的最好体现,也是延续其生命力的最佳途径。国家标准《个人信息安全规范》概念清晰、原则明确、条款简明扼要、实用性强、适用性广,与法律法规一脉相承,与其他安全标准交叉少,配套性高,理应成为每位公共服务领域安全从业人员的“必读本”和“工具书”。加大该标准在公共服务领域宣贯、试点、及推广实施的力度,为惠民、便民的民生工程保驾护航,是标准后续应用的重中之重。