作者:金茂律师事务所 万波 律师 王书玥 律师助理
一、引言
近一段时间来,全国信息安全标准化技术委员会公布了多项关于信息安全技术的征求意见稿,例如《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》《信息安全技术 基于个人信息的自动化决策安全要求(征求意见稿)》《信息安全技术 重要数据处理安全要求(征求意见稿)》《信息安全技术 数据交易服务安全要求(征求意见稿)》等等。这意味着我国《网络安全法》《数据安全法》及《个人信息保护法》中确立的如“重要数据保护制度”等各类制度,将逐步得到细化、落实,各类数据处理者在实操方面的技术规范和标准也将随之进一步明晰。
本文将着眼于《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》(以下简称“《标准意见稿》”),对其进行一个初步的解读。
二、定义部分
我们将《标准意见稿》中的主要定义与2020年10月1日实施的《信息安全技术 个人信息安全规范》(GB/T 35273—2020)(以下简称“《安全规范》”)以及2021年11月1日生效的《个人信息保护法》中的相关定义进行了对比:
从上述表格可以看出,《标准意见稿》中对于相关术语的定义综合了《安全规范》与《个人信息保护法》的表述,从较早出台的《安全规范》出发,结合了最新的《个人信息保护法》中的定义,将术语的定义进行了统一。
三、对于敏感个人信息的识别
《标准意见稿》中对于敏感个人信息的界定,基于《个人信息保护法》第二十八条第一款 的规定进行了沿生与细化,并在每一条属性后进行了列举:
符合以下任一属性的,应识别为敏感个人信息:
1) 个人信息遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害;
示例1:个人信息主体可能会因特定身份、犯罪记录、宗教信仰、性取向、特定疾病和健康状态等信息泄露遭到歧 视性待遇。
2) 个人信息遭到泄露或者非法使用,容易导致自然人的人身安全受到危害;
3) 个人信息遭到泄露或者非法使用,容易导致自然人的财产安全受到危害;
示例2:泄露、非法使用金融账户信息及其相关的鉴别信息(如支付口令),可能会造成个人信息主体的财产损失。
4) 总体考虑个人信息汇聚融合后的整体属性,如汇聚融合的个人信息遭到泄露或者非法使用容易对个人权益造成较大影响的,应判断个人信息整体具有敏感个人信息属性。
值得注意的是,《标准意见稿》中增加了“对汇聚融合后的个人信息整体判断是否构成敏感个人信息”的要求,即综合考虑和判断,而非根据示例简单地认定敏感个人信息。
基于《个人信息保护法》中对于敏感个人信息类别的列举,《标准意见稿》对于每个类别进行了细化解释,并在附录A中列举,便于个人信息处理者用以参考识别。
四、告知与同意的特殊要求
在即将于2023年12月1日实施的《信息安全技术 个人信息处理中告知和同意的实施指南》(GB/T 42574—2023)(以下简称“《告知同意指南》”)中,首次提出了“增强告知”的概念,其主要用于帮助个人理解个人信息处理规则中的关键内容或与特定业务功能处理目的相关的个人信息处理规则,且通常采用个人不可绕过的方式(如设置专门界面或单独步骤)向个人告知相关信息,以协助个人作出是否同意的决定。《标准意见稿》则沿用了这一概念,要求个人信息处理者采取“增强告知”+“单独同意”的措施以切实履行义务。
五、对于敏感个人信息的保护措施与安全要求
《个人信息保护法》在第二十八条第二款规定“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”,但并未细化规定何为“严格保护措施”。《标准意见稿》则从安全保护要求和安全管理要求层面,针对敏感个人信息的全流程需采取的保护措施进行了更细致、实操层面上的规定。
例如在敏感个人信息传输环节:互联网传输敏感个人信息时,《标准意见稿》要求应至少采用通道加密方式进行传输,宜采用通道加密与内容加密两种加密方式结合进行,通道加密和内容加密算法应符合有关行业技术标准与行业主管部门有关规定要求;应定期梳理应用及 API 资产清单,定期针对应用及 API 传输敏感个人信息情况进行审计等等。
在敏感个人信息访问环节:《标准意见稿》要求应在对角色权限控制的基础上,按照业务流程的需求触发操作授权,定期针对敏感个人信息的访问、修改、删除、导出等操作进行日志审计;建立异常监测预警和响应机制,对超出业务正常需求的异常操作(如频繁、大量敏感个人信息浏览查询、下载、打印,非工作时间操作等)应采取中断操作,并通过邮件、消息、弹窗等形式进行告警,开展分析调查,提前排除隐患;在敏感个人信息展示界面宜添加包括访问主体标识、访问时间等内容的水印,宜默认禁用复制、打印、截屏等功能等等。
此外,《标准意见稿》还针对处理生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人信息的特殊安全要求进行了规定。值得注意的是,《标准意见稿》在作出细化规定的同时,引用了相关信息所处行业的现行国家标准,即以现行行业标准为基础,加以补充规定,避免各类标准内容的重复性。例如在处理生物识别信息时,要求以满足《信息安全技术 生物特征识别信息保护基本要求》(GB/T 40660—2021)为基础;同样的,在医疗健康信息方面,要求首先应满足《信息安全技术 健康医疗数据安全指南》(GB/T 39725—2020)的规定。
六、小结
随着信息安全要求以及监管的不断深入,各类信息数据的安全保护标准或法律法规也在不断细化与修订。此前,国家网信办已就《人脸识别技术应用安全管理规定(试行)(征求意见稿)》进行公开征求意见,信安标委也在紧锣密鼓地制定信息安全各领域的国家标准。这些标准、法规在细化技术措施要求的同时,也给企业予以实操上的指导,帮助企业通过更加标准化、规范化的信息安全管理提升效益。