2018年5月1日,推荐性国家标准《信息安全技术个人信息安全规范》(以下简称“规范”)正式实施。这部贯彻《中华人民共和国网络安全法》(以下简称“网安法”)中个人信息安全要求的重要配套标准,从2016年4月开始起草,历经两年终于得以正式实施,从收集、保存、使用、共享、转让、公开披露等个人信息处理活动方面,填补了国内个人信息保护在具体实践标准上的空白。

据悉,共有33位拥有政策制定、技术标准、企业实践等各领域经验的专家参与了规范的起草。起草过程中有哪些争论?规范实施后预期将达成什么效果?目前企业实践的情况如何?

针对这些问题,南都记者分别专访了三位起草人:北京大学互联网发展研究中心高级顾问洪延青、中国电子技术标准化研究院安全审查部技术总监何延哲,阿里巴巴集团法务部法律研究中心副主任顾伟,详述这部重要配套标准出台背后的故事。

诉求:标准绝不会比欧洲更严格 出台早在计划中

2017年底,南都个人信息保护研究中心发布了《2017个人信息保护年度报告》。报告显示,逾八成平台的隐私政策透明度“不合格”,且个人信息保护不力的问题在各行业普遍存在,形势可谓严峻。

阿里法务部法律研究中心副主任顾伟

对于个人信息保护形势严峻的现状,阿里巴巴集团法务部法律研究中心副主任顾伟认为原因有两个,一个是直接法律缺位。“我国没有专门的个人信息保护法,整体个人信息保护规定还比较零散。”

北京大学互联网发展研究中心高级顾问洪延青也有同样的感受。他认为,2017年6月1日起正式实施的《网络安全法》中,关于个人信息保护的第四十条至四十五条只是原则性规定,“相比其他国家动辄一大本,中国的6条规定太少了”。因此,早在网安法实施之前,规范就作为首个细化的配套标准被提上了日程。

在制定规范的过程中,起草人先对OECD、APEC隐私框架、欧盟《通用数据保护条例》(GDPR)、国际标准化组织(ISO)以及美国个人信息保护相关法律法规等一系列立法和标准进行了通盘梳理,尽可能多地把可用内容“堆砌”出来,再结合中国自身情况不断提炼、精简。

规范和欧美标准相比哪个更严格?洪延青分析,起草团队的明确诉求是:规范可能会比美国做得稍微严一些,但是绝不会比欧洲严,而且会与欧洲拉开一定的距离。“当然,国内法律法规是基本底线。”顾伟强调。

“个人信息保护不力的另一个原因,是整个互联网行业还没有脱离野蛮生长时期。”顾伟指出,大多数互联网企业都是初创公司,发展历史较短,内部数据治理制度还不完善。“随着国家对个人信息保护更加重视,以及行业本身成熟度不断提升,企业才逐渐认识到了问题,然后去应对。”

除了客观环境的影响,企业主动合规的意识也很重要。中国电子技术标准化研究院安全审查部技术总监何延哲提到,有些企业虽然有技术、有能力,但是对个人信息保护不够重视;还有一些机构、组织、企业技术薄弱,甚至不具备技术队伍,达不到规范要求,这就需要专门的技术企业帮助。

博弈:用实践与理想版本做碰撞

南都记者了解到,在规范起草的开始阶段,不同背景的起草人有不同的分工。比如洪延青、何延哲主要负责整个框架的拟定,“在思路、架构、内容上直接大量参与”;顾伟则负责“企业落地无障碍”“与国际接轨”等方面,用企业积累的实践经验“跟规范的理想版本做碰撞”;起草团队甚至一度计划“从理想角度和实践角度各出一版”。但是到了后期,所有内容都“融合起来了”。

尽管起草团队在大方向上保持一致,却也难免因为每个人的背景和立场不同,在一些细则上发生博弈。

在最终出台的规范附录D《隐私政策模板》第5项“您的权利”中写道:“当您从我们的服务中删除信息后,我们可能不会立即从备份系统中删除相应的信息,但会在备份更新时删除这些信息。”这句看似简单的条款背后,曾发生过一次让顾伟印象深刻的争论。

从企业实操的角度来说,当用户要求删除他的个人信息时,在线系统是可以做到即时删除的,但是后台的备份数据很难做到。“现在无论是等级保护要求也好,其他安全管理机制也好,都要求企业不断地做数据备份,免受不可预计的灾难带来的意外损失。”顾伟介绍,有些政务系统还要求做“冷备份”,即把备份数据存进移动硬盘里。

也就是说,即使在线删除了,也可能依然存在于这些备份里。可是,这显然有悖于大部分人所认为的“删除”———无论前台后台,一律立刻删除。

“让企业专门把所有备份找出来挨个删除,操作性很差,成本也很高,基本无法实现。”顾伟认为,从保护个人权益的角度来说,在线无法访问已经达到了目的,“不能为了保障个人权利,给企业施加过度的压力”。

最后讨论下来,决定后台不用“即时删除”用户个人信息,而是允许企业在每次备份更新的时候再一并删除,从而形成了现在的条款。

类似的争论在起草过程中还有不少。但在顾伟看来,规范的出台让国内企业对怎样才算做到个人信息保护合规,有了一个公认的、清晰的判断标准。洪延青也强调,规范主要起到引导作用,让企业法务在建立内部合规体系时,有一个条款清晰的公共产品可以引用。

中国电子技术标准化研究院安全审查部技术总监何延哲

何延哲则表示,网安法比较简单,偏重原则性和框架性,而规范可以在细节上作网安法的天然补充。“规范在设计时做到了‘一个问题一个措施’,内容涉及方方面面、各行各业,希望规范能作为个人信息保护领域的核心和基础标准,得到广泛的应用。”

创新:打破受诟病的“一揽子协议”

三位起草人分别对南都记者表示,规范除了对网安法的原则性规定提出了细化标准,也有不少创新的提法和实施要点。

洪延青指出了规范的四个创新点:一是通过区分核心和附加功能,打破了被诟病已久的“一揽子协议”。也就是说,即使用户同意了隐私政策,也不意味着一并打开了附加功能;二是收集个人敏感信息需要做到增强式告知;三是对个人信息控制者内部的规范建设提出了明确要求;四是提出了个人信息安全影响评估的要求。

从实施要点的角度,何延哲提到,规范不仅首次对个人信息和个人敏感信息做了区分,还在对个人信息的处理上做了限制和规范。比如,规定了间接获取个人信息的合法性,使得数据交易有了参考标准,能有效遏制黑灰产等非法数据流通;又例如,进一步规范了个人信息的使用限制,即只有当企业的数据用途更改后超出合理关联的目的时,才需重新申请用户授权,“规范在频繁授权对用户造成打扰与维护用户合法权益之间取得了平衡”。

“个人信息保护光靠管理是不够的,一定要搭配技术支撑,才能更好地保护。”何延哲举例说,规范要求对个人敏感信息加密、在大屏幕上、网站上公示信息时进行去标识化处理;要求公司员工权限最小化,在数据被批量导出时引发报警机制,从而有效防止内鬼;还有建立个人信息清单,“稍大一点的企业应建立专门的数据管理系统,记录数据的生命周期”。

规范不只对企业有极大的指导意义,顾伟认为,它对用户也很有价值,而且两者的侧重点不太一样。

他指出,对用户而言,规范最大的价值在于,对收集、使用、共享、披露等个人信息处理活动需要向用户告知的充分性和完备性有一个较为明确的要求。

比如,一般信息怎么告知,涉及到个人敏感信息要告知到什么程度?“之前没有任何一部法律对具体告知细节做出规定,可是用户如果连处理个人信息的目的、方式、范围都不了解的话,怎么可能维护自己的权益?”

对企业而言,规范的很多规定其实企业已经在做了,所以顾伟觉得规范的附录可能更有指导意义一些。“合规要看细节,而规范里具体划分个人信息和个人敏感信息的细节规定,起到了定纷止争的作用。”他说,如果让企业自己去把握对个人信息的分级,很难有一个准确客观的标准,因为“业务员的理解跟合规人员的理解肯定是不一样的”。

实践:企业可自己制定合规体系

值得注意的是,规范是推荐性国家标准,不具有强制性。在洪延青看来,规范提出的方案只是符合网安法相关条文的一个“比较好的方案”,但“不是唯一方案”,有能力的企业完全可以根据自己的理解,制定一套自己的合规体系,并向主管监管部门证明其符合网安法。

北京大学互联网发展研究中心高级顾问洪延青

事实上,由于各种网络产品和服务的业务场景模式各异,企业通常会根据自己的实际业务情况选择实践方案。

以用户授权同意为例,大多数企业理解的最佳实践方案,是提供一个未勾选的勾选框,用户勾选之后才能点击同意。但也有企业采用的是“最低”的合规方案,即明文表示“点击同意之前,请详细阅读并知悉协议内容”,但不提供勾选框。这两种方案都达到了引导用户阅读相应的授权文件的目的。

如果涉及到与人身财产权益相关的个人敏感信息,还有更严格的方案:比如必须把协议从上到下拉到底,或者阅读时长必须达到一定标准,勾选框才会出现,否则用户无法点击同意。

“只能说各家业务情况不一样,所以具体的实践方案不一样,这也是正常的。”顾伟解释说,比如航旅纵横是平台,应用场景较为单一,微信是社交平台,淘宝是电商平台……各家采集的数据类型、敏感程度、涉及到权利义务的安排,都有自己的特色,需要基于企业自身的实际情况具体设计授权方案。但“至少规范提供了客观范例,不会偏差太多”。

顾伟透露,阿里正在开发的数据安全成熟度模型,国标已经立项,正在加速推进。而个人信息保护不仅是数据安全成熟度的重要指标,也在数据研究成熟度模型里适用。“这一切的核心目的,是让企业探索最适合自己的数据治理实践方案。”他说。

不可否认的是,规范是个人信息保护领域较为系统的指引之一,尤其附录展示的很多实践细节让企业有章可循,即使对个人信息保护的认识不多,也可以直接参照范例把握企业政策的走向,从而降低合规成本。正如顾伟所了解到的,“企业(对规范)欢迎居多,因为省了很多事”。

这一点也在调研数据中有所反映。何延哲透露,中国电子技术标准化研究院近日对100家企业调研发现,相比之前,有60家企业在个人信息保护合规上做了改进,体现了企业对网安法和规范的重视。

顾伟指出,规范更多的还是一个配合网安法出台、指导企业保护个人信息的综合性、统领性国标,有些具体细节还有待其他国标进一步规定。何延哲也向南都记者表示,中国电子技术标准化研究院将于近期发布《个人信息安全规范》标准的实践指南,该指南将为有意按照规范进行改进的企业提供有效帮助。

采写:南都记者 蒋琳

声明:本文来自南方都市报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。