个人信息保护标准与合 规实践 Personal Information Protection Standards & Compliance Practice 中国电子技术标准化研究院 何延哲 2018.6 1 目 录 Content 《个人信息安全规范》的制定背景 000 《个人信息安全规范》的主要内容 000 个人信息保护合规实践 000 数据安全合规策略与建议 000 2 标准[最佳实践] 灵活、丰富、易懂、易用 3 一 个人信息保护国家标准 2017年立项 个人信息去标识化 指南 （送审稿） 2016年立项 GB/Z 28828—2012 公共及商用服务 信息系统个人信 息保护指南 01 GB/T 35273 个人信息安 全规范发布 03 2017年立项 02 个人信息安全影 响评估指南 （PIA）(草案) 04 2016年立项 数据出境安全评 估指南 (征求意见稿) 05 4 《个人信息安全规范》制定思路 Major Concern 实效性Effective 标准要求是否会对个 人信息安全现状改善 有立竿见影的效果 全面性Comprehensive 01 02 可操作性Operational 制约的可能Restrictive 标准要求是否和现状 差异过大，是否适应 当前的发展趋势 标准要求是否能够涵盖 所有的个人信息处理场 景和控制点，是否能够 与国际接轨 04 03 标准要求是否具有普 遍指导意义，是否有 拿来即用的效果 5 以问题为导向 Problem-Driven 过度收集、秘密收集、欺诈收集、强迫 收集、非法收集、从黑市上购买 强制推送商业广告、无限期存储、使 用个人信息 随便变更目的使用个人信息、未经授权同意 对外提供个人信息、非法披露个人信息 对用户的查询、更正、删除、注销请 求和投诉置若罔闻 在非必要的情形下保持了对个人身份指向性、对个 人敏感信息随意处理、停止运营后随意处置收集的 个人信息 内部人员非法对外倒卖个人信息、外包处理业务管理 不严导致泄露、极力掩盖泄露事实、平台缺乏对商户 在收集、使用个人信息行为的管控 01 02 03 04 05 06 把握“相对” 保护 Relative Protection 比例原则 D Balance S 影响评估 时间投入、成本投入、实施难度 VS 保护措施的效果 产品体验 VS 保护效果提升 评估对个人权益的影响 7 Scope 标准的适用范围 1 二 本标准规范了开展收集、保存、使用、 共享、转让、公开披露等个人信息处理 活动应遵循的原则和安全要求。 2 本标准适用于规范各类组织个人信息处理活动， 也适用于主管监管部门、第三方评估机构等组 织对个人信息处理活动进行监督、管理和评估。 3 本标准主要针对个人信息控制者的处理个人 信息的过程提出安全要求。 个人信息控制者（controller）：有权决定个 人信息处理目的、方式等的组织或个人。 8 法律法规相关文件 国内 • 2000年 《全国人民代表大会常务委员会关于维护互联网安全的决定》 • 2005年 《中华人民共和国刑刑法修正案（五）》 • 2009年 《中华人民共和国刑刑法修正案（七）》 • 2012年 《全国人大常委会关于加强网络信息保护的决定》 • 2013年 《工业与信息化部 电信和互联网用户个人信息保护规定》 • 2015年 《中华人民共和国刑刑法修正案（九）》 • 2016年 《网络安全法》第四章 网络信息安全 • 2017年 《两高关于办理侵犯公民个人信息刑事案件适用法律若干问题的 解释》 • 2017年 《民法总则》 • …… 9 个人信息保护方面的立法 • EU. General Data Protection Regulation. [2015-5-24] • Consumer Bill of Rights, White House 2012.2 • 香港、日本、马来西亚等 • …… 相关国际规则 • EU-U.S. Privacy Shield [2016-2-2] • The OECD Privacy Framework, OECD 2013 • APEC Privacy Framework, APEC 2005.12 • …… 国际 国际 10 国际： [3] ISO/IEC FDIS 29100:2011(E) - Information technology Security techniques - Privacy framework [4] ISO/IEC FDIS 29101(E) - Information technology - Security techniques - Privacy architecture framework [5] ISO/IEC 2nd CD 29134 – Information technology - Security techniques – Privacy impact assessment [6] ISO/IEC 2nd CD 29151 – Information technology - Security techniques - Code of practice for personally identifiable information protection [7] NIST SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations [8] NIST SP800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) [9] NISTIR 8062 (Draft) Privacy Risk Management for Federal Information Systems [10] ISO/IEC 1st WD 29184 — Information technology — Security techniques — Guidelines for online privacy notices and consent [11] CWA 16113:2012 Personal Data Protection Good Practices 标准类： 国内： [1] GB/Z 28828-2012 信息安全技术 公共及商用服务信息系统个人信息保 护指南 [2] GB/T 32921—2016　信息安全 技术　信息技术产品供应方行为安全 准则 11 标准编制过程 2016年12月-2017年4月 • 2016年8月 • 8月形成标准草案，在 TC260大数据组内部征求 工作组意见。 2016年5月 • 标准立项，成立编制组，由科 研机构、学校、企事业单位、 互联网公司等组成，进行广泛 的法律和标准研究。 • 标准对外征求意见，欧盟商会、美国信息产业联盟、 清华大学、腾讯、阿里、安理律师事务所、公安部三 所等单位，共计提交了146条意见，标准编制组充分 吸纳并处理。 2017年4月，参加TC260标准会议周，经认可进行送 审稿阶段 2016年10月 • 参加TC260标准会议周， 汇报标准情况并转化为征 求意见稿。 2017年7月 • 标准进入报批稿阶段，预计2017 年内标准将正式发布。 12 重要的定义 u 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特 定自然人身份或者反映特定自然人活动情况的各种信息。 注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识 别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、 财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交 易信息等。 注2：关于个人信息的范围和类型可参见附录A。 u 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致 个人名誉、身心健康受到损害或歧视性待遇等的个人信息。 注1：个人敏感信息包括身份证件号码、个人生物识别信息、银行 账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿 信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信 息等。 注2：关于个人敏感信息的范围和类型可参见附录B。 便于落地 使用定义和例举两 种方式： 对于使用、篡改、泄露 后可能会对自然人权益 带来重大风险的个人敏 感信息，应给予增强的 保护。本标准既提供具 体的例举，也提供细化 的认定规则。 13 保护对象的范围 Scope 手机号码属于典型的 personal identifiable information 乘车记录，如乘车的路径、 品牌、时间等属于 personal information ，或个人活动信息 PII • 单条乘车记录或一个路径并不能 够关联到个人，但多条信息可以 • 单纯的PII几乎无商业价 将该信息所关联的个人从人群中 值，没有太多值得分析 的价值，只是一个连接 到个人的路径。 • Link Path 独立出来，至于这个人是谁并不 PI 是最重要的。 • 个人活动信息体现了更多的商业 价值（如晚上经常打车就是加班 族、打车档次高属于高级白领等） • More business opportunity 1 14 获取个人信息的渠道 u 收集　collect 获得对个人信息的控制权的行为，包括由个人信 息主体主动提供、通过与个人信息主体交互或记 录个人信息主体行为等自动采集，以及通过共享、 转让、搜集公开信息间接获取等方式。 注：如果产品或服务的提供者提供工具供 个人信息主体使用，提供者不对个人信息进行访 问的，则不属于本标准所称的收集行为。例如， 离线导航软件在终端获取用户位置信息后，如不 回传至软件提供者，则不属于个人信息收集行为。 30% 源头：个人信息 主体主动填写的 信息 20% 间接获取 自动采集 源头：个人信息主 体的设备和软件 （手机、PC、浏览 器、APP等） u 7.3　个人信息的使用限制 对所收集的个人信息进行加工处理而产生的信息， 能够单独或与其他信息结合识别自然人个人身份， 或者反映自然人个人活动情况的，应将其认定为 个人信息。