陳長松 公安部第三研究所研究員,北京網(wǎng)絡行業(yè)協(xié)會副秘書長
互聯(lián)網(wǎng)個人信息安全保護這個主題,或者說個人信息安全保護這個事情,最近這些年應該來說大家都相當?shù)年P注,從國外的GDPR到我們國家相關法律的出臺,以及標準的出臺。這里今天給大家分享一個主題主要就是公安部出臺的一個《互聯(lián)網(wǎng)個人信息安全保護指南》,這個指南的編制背景和基本概述,對指南里面的內(nèi)容做一些要點的解讀,最后給點應用的建議。
這是2016年到2017年公安部和最高檢、最高法連續(xù)出臺了幾個指導性的典型案例。第一個是公安部一口氣發(fā)了八個,這個是2016年的時候發(fā)出來八個侵犯公民個人信息犯罪典型案例,從這個典型案例里面大家可以看出來,我后面會對這個案例做個總結。從這里面可以看出來有用黑客方式入侵的,有很簡單的就是從網(wǎng)上收集來收集去再賣出去的,也有內(nèi)部人員通過職務之便獲取到的個人信息出售出去等等,這是公安部的第一批。公安部第二批一共發(fā)了十個,這里面包括了快遞公司、銀行工作人員等等,具體就不多說了。第三個是最高法,從這里面可以看出來典型案例的覆蓋面非常廣,角度也非常的多,基本上從省、市覆蓋面,或者說形式的覆蓋面來說都相當?shù)亩?。這是最高檢發(fā)布的侵犯公民個人信息犯罪典型案例。
從這些案例我們做了一個簡單的總結,當然特點還是非常多,我們這里總結了三點。
第一,侵犯公民個人信息犯罪,這個犯罪在我們國家主要就是侵犯了刑法,刑法里面對于這個非法獲取和非法出售是很明確的,向他人出售或者提供公民個人信息的,就是違反國家規(guī)定向他人出售或者提供公民個人信息的,達到嚴重程度判多少,達到特別嚴重判多少很明確。在前面四個案例之后,兩高就直接出了一個司法解決告訴你什么是特別嚴重,什么叫嚴重,到多少觸犯到法律到刑法能夠成為典型案例的程度。曾經(jīng)有個案例,是一個銀行的工作人員從內(nèi)部系統(tǒng)里面找出來一些用戶的信息賣給了別人,最終他賣的數(shù)非常少,最終沒有達到刑法的程度,所以嚴重和特別嚴重用來界定是否觸犯到刑法。前面那么多案例里面,非常典型的非法獲取和出售里面向別人出售是基本、最常見的表現(xiàn)形式,大家都說了什么東西最賺錢?寫在刑法里面的東西最賺錢,刑法里面規(guī)定不能做的事情都是最賺錢的。最后他們觸犯刑法都是把個人信息賣出去了,這個向他人出售,當然這里面有很多途徑,比如說QQ群、自己建網(wǎng)站、建會員向別人出售等等各種各樣的途徑。第二個就是非法獲取,這個途徑就相當豐富了,這里的非法獲取主要總結一下,竊取或者以其他方法非法獲取公民個人信息,他們的方法非常多,有黑客侵入了別人系統(tǒng)里面,有內(nèi)部人員違規(guī),有從互聯(lián)網(wǎng)上建了個群找別人去買,買完之后再高價賣出去,賺個差價等等的竊取和非法獲取的方式非常多。這是第一類,就是非法獲取和非法出售的特點在公民個人信息犯罪里面是特別多的,特別典型的一個特點。
第二,內(nèi)部人員違規(guī)。這個從運營商到前面我們看到的例子,快遞公司、銀行工作人員,甚至像一些特殊的人員能獲取到、接觸到公民個人信息,在履行職責或者提供服務的過程中獲取公民個人信息出售提供給別人,這個也是典型的案例。
第三,系統(tǒng)漏洞被利用。前面看到好幾個都是黑客是關鍵詞,既然有人是用黑客的方式竊取數(shù)據(jù)的,其實很大程度就是被竊取方的系統(tǒng)安全是做得不好,被竊取了。包括像國際的大酒店集團的一些用戶信息泄露,很大程度都是一些自己人安全的問題。
因為這樣子的大背景,公安機關認為光靠GDPR,或者說我們有一個《公民個人信息安全規(guī)范》這樣的規(guī)定流程,或者是否得到用戶同意得到公民信息不太夠,這個過程中間對于個人信息安全保護很重要,公安機關在這個基礎上結合這些案件最后制定了這樣的一個指南。
這個指南基本的修訂過程,最早的時候也是從2017年從這幾個案例和兩高的司法解釋之后就開始籌備,當時我們立項的叫做《個人信息保護檢查規(guī)范》,希望從檢查的角度規(guī)范到底查哪些點,你這些點做得好我檢查到了,檢查哪些做得好和不作為的,從這個規(guī)范進行約束,反過來以檢查促保護。而且這個檢查規(guī)范已經(jīng)通過了公安部的行業(yè)標準立項,最后因為這個標準的編制過程周期比較長,一般持續(xù)兩三年的周期,但是現(xiàn)在這個公民個人信息泄露非常嚴重,后面希望轉一個角度,還是把保護的事情說清楚,所以面向社會征求了意見。去年底的時候公安部保衛(wèi)局發(fā)布了指引的方式征求大家的意見,最終正式發(fā)布是在今年的2月26號,公安機關在開一個全國的移動互聯(lián)網(wǎng)應用安全的管理大會上面做了一個發(fā)布,因為行政流程的過程正式稿子沒有拿出來給大家提供下載,后面4月份在公安部網(wǎng)安局的備忘網(wǎng)上面可以下載。
這個稿子的編寫也得到了各個企業(yè),包括各地公安機關很多的意見,包括各大互聯(lián)網(wǎng)公司提出了很多的意見,我們也經(jīng)過了編制組的討論,很多意見我們都采納進來了,這里面包括阿里、騰訊、百度、京東等等大的企業(yè),包括網(wǎng)絡安全企業(yè)。
我們在編制這個標準的時候借鑒了跟侵犯公民個人信息犯罪的相關法律法規(guī)要求,大家看出來了我們這個叫做指南,既不是國家標準,也不是公安部的行業(yè)標準,也不是一個法律法規(guī)。它是有什么樣的依據(jù)呢?我后面會講,它是從一些法律的要求繼承下來的安全要求。這里面關于刑法,人大常委會《關于加強網(wǎng)絡信息保護的決定》,以及到最后的《網(wǎng)絡安全法》等等作為依據(jù)。
具體的內(nèi)容這里簡單的過一下。第一個,《網(wǎng)絡安全法》現(xiàn)在基本上是個人信息安全保護最高最核心的一個法律,《網(wǎng)絡安全法》里面大量的篇幅告訴大家個人信息保護有哪些方面需要注意,第一個是收集使用,從收集使用的過程就必須合法合規(guī),不能越權。第二個是個人安全保護的義務,你必須為持有個人信息持有個人安全保護的義務,你不能說收回來了大門是敞開的,這個是不行的。還有規(guī)定了個人信息的刪除權、更正權,跟GDPR很像,禁止非法獲取、出售、提供,這個跟刑法是對接的,以及包括監(jiān)督管理部門的保密義務,在執(zhí)法過程中間接觸到個人信息也有保密的義務。
《刑法》剛才已經(jīng)講過了,侵犯公民個人信息非法獲取和出售都涉及到,這里面涉及到了兩高的司法解釋,這個司法解釋明確出來我們達到多少條是達到嚴重,而這個條數(shù)很多人不需要去記的,因為這個條數(shù)是500、5000條,太少了,隨便一般案子出來都是幾百萬條、幾千萬條,這個標準的編制中間還借鑒了尤其是今年比較火的一個標準,就是《個人信息安全規(guī)范》,這個《個人信息安全規(guī)范》在信息安全標準化技術委員會他們制定出來一個相對從技術角度,應該是從流程的角度規(guī)范個人信息安全應該怎么去保護。今年網(wǎng)信辦按照這個《個人信息安全規(guī)范》要求APP在收集個人信息的時候要做到這個要求。最后一個依據(jù)是公安部的互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定,在座的對等保比較熟悉,等保從出生開始是對重要信息系統(tǒng)開始,進到《網(wǎng)絡安全法》之后國家實行網(wǎng)絡等級安全保護,所有的都要做等級保護,這個等級保護大家的概念是從比較重要的會使用等級保護,一般的互聯(lián)網(wǎng)公司可能沒有想到這個事情,實際上來說公安機關在監(jiān)督、指導、檢查互聯(lián)網(wǎng)的安全保護工作之中,除了等級保護之外,其實還有很多的職責在,公安部發(fā)了一個151號令檢查哪些對象,主要是互聯(lián)網(wǎng)單位、聯(lián)網(wǎng)上網(wǎng)場所等等,包括聯(lián)網(wǎng)使用單位,他們要做哪些安全義務,這些安全義務都是有法律依據(jù)讓它去做的,它會去檢查。檢查之中有一條很明,在檢查當中發(fā)現(xiàn)互聯(lián)網(wǎng)服務提供者和聯(lián)網(wǎng)使用單位,竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息,他會去查的,這個會繼續(xù)往前推進。
第二個部分簡單介紹一下相關的概述,既然一個指南,或者說一個文件,它的范圍是很重要的。這個指南主要制定了個人信息安全保護的管理機制、安全技術措施和業(yè)務流程,從這個范圍大家可以看出來,它比我們國家的標準個人信息安全規(guī)范多出了對于管理和技術方面的要求,在業(yè)務流程的基礎上加了很多。適用于個人信息持有者在個人信息生命周期處理過程開展安全保護工作參考使用,這個在征求意見稿中間當時我們提到一個叫做互聯(lián)網(wǎng)企業(yè),所以有很多企業(yè)來問了,我算不算互聯(lián)網(wǎng)企業(yè)?互聯(lián)網(wǎng)企業(yè)BAT是互聯(lián)網(wǎng)企業(yè),銀行算不算互聯(lián)網(wǎng)企業(yè)?現(xiàn)在來看有很多網(wǎng)上銀行都是依靠互聯(lián)網(wǎng)在進行服務的,后面在正式發(fā)布稿的時候我們經(jīng)過討論給它明確了我們不提到底是互聯(lián)網(wǎng)企業(yè),還是非互聯(lián)網(wǎng)企業(yè),我們認為適用于通過互聯(lián)網(wǎng)提供服務的企業(yè),也適用于使用專網(wǎng),或者非聯(lián)網(wǎng)環(huán)境下控制和處理個人信息的組織和個人,這個就覆蓋到,甚至包括了現(xiàn)在很常見的房產(chǎn)中介,我去賣一個房子只要在一個中介登記了所有人都來找我了,實際上就是個人信息被非法出售了。依托不依托互聯(lián)網(wǎng)不重要,只要是你手上持有個人信息都是這個指南要約束的。
關于個人信息這里也做一個簡單的解讀,這個標準的梳理里面,個人信息我們直接引用了《網(wǎng)絡安全法》的說法,使用電子和其他方式記錄的能夠單獨,或者和其他方信息結合識別自然人個人身份等信息,后面包括這些東西都是《網(wǎng)絡安全法》的原文,但是我們補充了后面幾條,后面幾條是國家標準個人信息安全規(guī)范的個人信息的那條梳理,我們補充了后面的內(nèi)容,因為我們認為本身包括但不限于盡量多的列舉給大家能夠給清晰的理解這個概念和范疇,這是第一點給大家解釋的,我們是繼承了《網(wǎng)絡安全法》的概念。第二個,在個人信息安全規(guī)范國家標準里面分出了兩級:個人信息、個人敏感信息。但是對于這個指南不提個人敏感信息的概念,我們這個指南約束的是最低標準,只要持有個人信息就要做到這個水平,對于個人敏感信息還有更高的要求暫時不做特別的規(guī)定,但是這里面是最基本的要求。
另外,術語也不多解釋,這里面挑出了前面說的個人信息持有者,前面一直在引用的就是個人信息安全規(guī)范里面提到的是個人信息控制者,個人信息控制者指的是有權決定個人信息處理目的方式等的組織和個人,這個的定義有點像GDPR,我們認為更準確的去說用持有者更好一點,我們認為控制者意思是都是上級部門控制的,我不控制,只是聽他說的我去處理,就逃避責任,所以我們不用控制這個表示含義,我們認為持有者包含了控制和處理兩個范疇。
的標準的主要內(nèi)容和章節(jié)分為管理機制、技術措施、業(yè)務流程、應急處置四個方面。管理措施從基本要求、管理制度、管理機構、管理人員4個方面去約束,后面會展開講一下。技術措施從基本要求、通用要求、拓展要求去講的,其中基本要求不管是管理的,還是技術的,基本要求都是對標等保的,通用要求相對來說一大部分是參照等保的結構和框架,拓展要求也借鑒了等保,但是我們主要針對云計算和互聯(lián)網(wǎng)提出的。從業(yè)務流程上相對從個人信息的處理生命周期過程來去講述要怎么去做。最后是應急處置從兩個方面:預案、處置和響應。
要點的解讀這里面給大家解讀幾個。第一個,這個指南和等級保護是什么樣的等級保護,現(xiàn)在等保2.0時代到來了,現(xiàn)在做等保的人都在說要按照2.0的標準來做。等保作為網(wǎng)絡安全法中間的基本國策,所以我們整個的安全管理要求和技術要求都是和等保相對應的。在征求意見稿中間直接明確提出來安全等級保護的第三級做保護的,但是在正式發(fā)布稿中間經(jīng)過了各家意見的反饋,我們認為不要直接一刀切按照第三級,我們的最低要求是應該滿足相應等級的要求,這句話很短,相應等級到底是哪級?其實是按照等保的過程做定級評估、備案、整改、檢測等等過程,你這個級要經(jīng)過定級處理。你這里面持有的個人信息的泄露,你這個系統(tǒng)的破壞會對國家安全、社會穩(wěn)定,以及公民,或者其他企業(yè)造成什么樣的要求去評估它定什么級,然后它應該符合相應的管理要求和相應的技術要求。這是等保作為我們這個的最低標準,就是作為這里的兜底條件,你至少要達到等保的水平。
第二個,我們對于等保之外又細化明確強調(diào)了一下幾個內(nèi)容,當然管理機制上我們從管理制度、管理機構、管理人員這幾個角度去講。當然這里面相對來說等保2.0里面是按照管理制度、管理機構、管理人員、安全建設、安全運維去講的,我們這里主要跟人員有關的。這里主要說人員配備,企業(yè)有大有小,人員的配備到底該怎么去衡量?在這個指南里面列到了很多角色,包括系統(tǒng)管理員、數(shù)據(jù)庫管理員、安全審計員、數(shù)據(jù)操作員等等,我們這里明確了安全管理員和審計員是不能兼任數(shù)據(jù)操作員等等這樣的身份,其他角色如果企業(yè)小可以兼任,但是這兩個角色是不可以兼任的,這兩個角色不能兼任的事情也不是我們空頭想的,這個本身來說從權限最小化、監(jiān)督檢查的角度去考慮,也同時是國家標準個人信息安全規(guī)范里面就是這么約束的,這是管理制度的要求。
除了管理制度,就是我們技術上面提了哪些?技術上面我們還是參照等保2.0,安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境,這里面主要摘出來了安全通信網(wǎng)絡和安全區(qū)域邊界、安全計算環(huán)境,因為物理環(huán)境里面很多個人信息處理系統(tǒng)可能在云上面,所以我們暫時沒有做特別的要求。但是我們認為等保1.0里面的數(shù)據(jù)要求那一頁的部分更適合個人信息的保護,我們在安全計算環(huán)境里面同樣還是拆出了一部分跟應用、數(shù)據(jù)密切相關的還是單獨獨立出來,這個是從技術措施上我們做的這些要求,具體的詳細條款不說了。
第二個是關于個人信息境內(nèi)存儲的要求,從《網(wǎng)絡安全法》里面提到關鍵基礎設施里面收集的個人信息應該在境內(nèi)存儲,我們這個指南里面做的擴充,我們認為不只是關鍵基礎設施里面收集的個人信息應該在境內(nèi)存儲,我們認為在境內(nèi)運營中間收集和產(chǎn)生的個人信息都應該在境內(nèi)存儲,當然不是說不可以出境,剛剛網(wǎng)信辦發(fā)了一個《個人信息出境的評估辦法》,我們認為如需出境應該經(jīng)迅國家相關規(guī)定。第二個在云計算的環(huán)境里面,云計算的基礎設施很快有可能是跨境、調(diào)度的,這里面做了一個強調(diào),云計算的平臺應該存儲于中國境內(nèi)。這個是對于個人信息境內(nèi)存儲的要求。
關于物聯(lián)網(wǎng)也沒有太多的要求,我們認為物聯(lián)網(wǎng)在個人信息接觸面上面更多還是從物聯(lián)網(wǎng)感知節(jié)點采集到的信息,里面涉及到個人信息回傳到后端,物聯(lián)網(wǎng)的計算能力比較弱,可能很多廠商就會師加密存儲,全是明文的,這里面強調(diào)了應該用密碼技術保證通信過程中間個人信息的保密性。
關于個人信息的業(yè)務流程,還是從收集、保存、應用、刪除、第三方委托處理、共享和轉讓、公開披露,這個相對來說和個人信息安全規(guī)范整個的生命周期大致一致。稍微有點不同的就是中間這個環(huán)境,應用、刪除這個環(huán)節(jié)上面有些不同,我們把刪除這個概念獨立出來,在個人信息安全規(guī)范里面是一個使用的章節(jié),包含了刪除這個概念,而我們在這里面要求了把刪除獨立出來,因為我們認為個人信息在收集的一開始就要清楚你什么時候要刪除它,因為現(xiàn)在有很多企業(yè)在收集個人信息的時候就想著收,從來沒有想過刪除它,或者銷毀它,但是正常來說應該有一個刪除的過程,后面我會說如果在匿名化的情況下是可以不經(jīng)過用戶同意的,否則的話必須要經(jīng)過用戶同意,要遵守這個過程中間《網(wǎng)絡安全法》的要求。
在我們這個指南里面對匿名化不提這個詞,因為這個詞和去標識化這個術語在《網(wǎng)絡安全法》里面都有講,匿名化這個詞我們認為跟其他的理解有一些模糊,因為有的認為匿名化這個概念就是去標識化,或者就是讓人家看不出來,不是《網(wǎng)絡安全法》里面明確說出來的概念。我們這里面直接用了《網(wǎng)絡安全法》的原文,叫做經(jīng)過處理無法識別特定個人且不能復員的,我們這里強調(diào)的了對于個人信息的應用應該滿足符合個人信息主體之前簽署的相關協(xié)議和規(guī)定,不應該超范圍的使用。當然一個例外是這些信息已經(jīng)經(jīng)過處理了,已經(jīng)識別不出個人了,我們認為已經(jīng)就不是個人信息了。業(yè)務流程里面在刪除這個條款里面,我們也是明確的規(guī)定個人信息在超過保存期限后應該進行刪除,什么情況可以不刪除?經(jīng)過處理無法識別特定個人且不能復員的除外,仍然是按照《網(wǎng)絡安全法》的要求來提的。
最后我給大家分享一下,我們認為這個指南可能會在哪兩個重要的場景下去應用,第一個是APP收集使用個人信息,這個在今年年初的時候,在座只要是有用APP,或者如果有廠家開發(fā)APP的,就應該知道四部委發(fā)的文,就是網(wǎng)信辦、工信部、公安部和市場監(jiān)管總局《關于開展APP違法違規(guī)收集使用個人信息專項治理的公告》,這個公告里面很明確提出來了APP運營者在收集使用個人信息的時候應該嚴格履行《網(wǎng)絡安全法》的責任義務,除了你要有合法合規(guī)的理由和用戶同意之后才去收集使用之外,你要采取有效的措施加強個人信息的保護。所以我們用APP在做收集使用個人信息的時候,你就要想到這個指南可以成為我遵照怎么樣更好地采取措施加強個人信息保護的參考依據(jù)。這個專項治理的公告里面明確指出來公安機關的職責,公安機關開展打擊整治網(wǎng)絡犯罪專項工作依法嚴厲打擊針對利用個人信息的違法犯罪行為,這個指南可以用在這個方面。
第二個就是重點防范重要數(shù)據(jù)和公民個人信息的泄露,在具體這個過程中間有哪幾個點?我這里給大家說一下。第一點肯定是先把我們系統(tǒng)中間具有的重要數(shù)據(jù),尤其是公民個人信息要作為一個底數(shù)要摸底,到底我這個系統(tǒng)存有哪些重要數(shù)據(jù)和公民個人信息,在摸底數(shù)的時候存有的這些數(shù)據(jù)是否符合《網(wǎng)絡安全法》采集使用的規(guī)定,在采集使用的過程中間是否征求了民眾的同意,包括刪除權等等這些要求,不僅僅是有什么,這個有什么來自于合法合規(guī)的,同時它的使用,包括共享、轉讓、公開披露都是按照《網(wǎng)絡安全法》的要求去做的,這是摸清底數(shù)。
第二點重點對于互聯(lián)網(wǎng)相關的信息系統(tǒng)數(shù)據(jù)安全保護是一個重點要去考慮的事情,如果你的信息系統(tǒng)是在互聯(lián)網(wǎng)上對外提供服務,如果包含了個人信息和重點數(shù)據(jù)重點要防護這個,從哪幾個方面防護,指南也給了很多的技術措施,包括安全管理的一些要求。重點提幾個,比如說弱口令,很多的互聯(lián)網(wǎng)網(wǎng)站掛在網(wǎng)上本身就有弱口令,直接通過這個弱口令進去了,這是很常見的問題?;ヂ?lián)網(wǎng)上的信息包括了訪問授權、訪問控制,它能夠向哪些人訪問、使用等等權限的設置,這都是互聯(lián)網(wǎng)上訪問的一些要點。
第三點就是內(nèi)部系統(tǒng)的安全保護,前面在講案例的時候提到內(nèi)部人員其實是很大的問題,有快遞公司的內(nèi)部人員把用戶的信息給賣了,也有銀行的工作人員、電信運營商,甚至有國家機關的工作人員。他們內(nèi)部系統(tǒng)的數(shù)據(jù)安全保護要從哪幾個要點呢?既然叫做內(nèi)部系統(tǒng),首先第一點必須跟外面是有一定的隔離,這個系統(tǒng)是跟互聯(lián)網(wǎng)是隔離的,當然這個隔離不一定是物理隔離,有可能是邏輯隔離,這個隔離中間的安全措施是否有效,這個是很重要的一點。因為它的隔離,比如說我的系統(tǒng)升級補丁是否還及時,大家知道web club(音)病毒一出來、一放大,很多號稱跟互聯(lián)網(wǎng)物理隔離的網(wǎng)絡最后都中招了,說明它其實是有問題的。當然是兩個問題,一個是肯定是有非法外連,第二個肯定是病毒的升級、補丁的升級不及時,這個是基本的安全要求。內(nèi)部的系統(tǒng)更重要的是為什么一些人非授權能夠把用戶的數(shù)據(jù)都泄露出去呢?其實很大程度是在這個系統(tǒng)中間對于用戶個人信息的使用上面是有問題的,它的權限設置沒有達到它使用的最小,它的用戶審計,包括安全性沒有達到足夠高。
第四點防范系統(tǒng)供應鏈安全風險,大家知道中美貿(mào)易戰(zhàn)之中一提就提供應鏈,在個人信息系統(tǒng)中間它的供應鏈非常的重要,這個供應鏈除了類似于像云服務、IDC機房這樣子的服務提供商之外,更多的出現(xiàn)在這個系統(tǒng)的運維人員,或者信息系統(tǒng)的建設方,很多侵犯公民個人信息的都是因為某個系統(tǒng)集成商的工作人員在里面設了一個后門,通過這個后門犯罪分子就進入了銀行的內(nèi)部系統(tǒng)把征信報告拿出去了,所以供應鏈的安全是我們要重點去考慮的。
最后一點就是要及時應對處置安全的事件,一旦有安全事件要及時上報,因為涉及到公民個人信息,涉及到犯罪的要及時上報給公安機關,同時保留證據(jù)用來最后進行司法方面的起訴,或者說辦案。