陈长松 公安部第三研究所研究员，北京网络行业协会副秘书长

摘要：近期，公安部网络安全保卫局联合北京网络行业协会、公安部第三研究所发布了《互联网个人信息安全保护指南》，旨在指导个人信息持有者建立健全公民个人信息安全保护管理制度和技术措施，防范侵犯公民个人信息违法行为，保障网络数据安全和公民合法权益。本主题介绍《指南》的编制背景、适用范围和法律依据，解读主要条款的若干要点。

互联网个人信息安全保护这个主题，或者说个人信息安全保护这个事情，最近这些年应该来说大家都相当的关注，从国外的GDPR到我们国家相关法律的出台，以及标准的出台。这里今天给大家分享一个主题主要就是公安部出台的一个《互联网个人信息安全保护指南》，这个指南的编制背景和基本概述，对指南里面的内容做一些要点的解读，最后给点应用的建议。

这是2016年到2017年公安部和最高检、最高法连续出台了几个指导性的典型案例。第一个是公安部一口气发了八个，这个是2016年的时候发出来八个侵犯公民个人信息犯罪典型案例，从这个典型案例里面大家可以看出来，我后面会对这个案例做个总结。从这里面可以看出来有用黑客方式入侵的，有很简单的就是从网上收集来收集去再卖出去的，也有内部人员通过职务之便获取到的个人信息出售出去等等，这是公安部的第一批。公安部第二批一共发了十个，这里面包括了快递公司、银行工作人员等等，具体就不多说了。第三个是最高法，从这里面可以看出来典型案例的覆盖面非常广，角度也非常的多，基本上从省、市覆盖面，或者说形式的覆盖面来说都相当的多。这是最高检发布的侵犯公民个人信息犯罪典型案例。

从这些案例我们做了一个简单的总结，当然特点还是非常多，我们这里总结了三点。

第一，侵犯公民个人信息犯罪，这个犯罪在我们国家主要就是侵犯了刑法，刑法里面对于这个非法获取和非法出售是很明确的，向他人出售或者提供公民个人信息的，就是违反国家规定向他人出售或者提供公民个人信息的，达到严重程度判多少，达到特别严重判多少很明确。在前面四个案例之后，两高就直接出了一个司法解决告诉你什么是特别严重，什么叫严重，到多少触犯到法律到刑法能够成为典型案例的程度。曾经有个案例，是一个银行的工作人员从内部系统里面找出来一些用户的信息卖给了别人，最终他卖的数非常少，最终没有达到刑法的程度，所以严重和特别严重用来界定是否触犯到刑法。前面那么多案例里面，非常典型的非法获取和出售里面向别人出售是基本、最常见的表现形式，大家都说了什么东西最赚钱？写在刑法里面的东西最赚钱，刑法里面规定不能做的事情都是最赚钱的。最后他们触犯刑法都是把个人信息卖出去了，这个向他人出售，当然这里面有很多途径，比如说QQ群、自己建网站、建会员向别人出售等等各种各样的途径。第二个就是非法获取，这个途径就相当丰富了，这里的非法获取主要总结一下，窃取或者以其他方法非法获取公民个人信息，他们的方法非常多，有黑客侵入了别人系统里面，有内部人员违规，有从互联网上建了个群找别人去买，买完之后再高价卖出去，赚个差价等等的窃取和非法获取的方式非常多。这是第一类，就是非法获取和非法出售的特点在公民个人信息犯罪里面是特别多的，特别典型的一个特点。

第二，内部人员违规。这个从运营商到前面我们看到的例子，快递公司、银行工作人员，甚至像一些特殊的人员能获取到、接触到公民个人信息，在履行职责或者提供服务的过程中获取公民个人信息出售提供给别人，这个也是典型的案例。

第三，系统漏洞被利用。前面看到好几个都是黑客是关键词，既然有人是用黑客的方式窃取数据的，其实很大程度就是被窃取方的系统安全是做得不好，被窃取了。包括像国际的大酒店集团的一些用户信息泄露，很大程度都是一些自己人安全的问题。

因为这样子的大背景，公安机关认为光靠GDPR，或者说我们有一个《公民个人信息安全规范》这样的规定流程，或者是否得到用户同意得到公民信息不太够，这个过程中间对于个人信息安全保护很重要，公安机关在这个基础上结合这些案件最后制定了这样的一个指南。

这个指南基本的修订过程，最早的时候也是从2017年从这几个案例和两高的司法解释之后就开始筹备，当时我们立项的叫做《个人信息保护检查规范》，希望从检查的角度规范到底查哪些点，你这些点做得好我检查到了，检查哪些做得好和不作为的，从这个规范进行约束，反过来以检查促保护。而且这个检查规范已经通过了公安部的行业标准立项，最后因为这个标准的编制过程周期比较长，一般持续两三年的周期，但是现在这个公民个人信息泄露非常严重，后面希望转一个角度，还是把保护的事情说清楚，所以面向社会征求了意见。去年底的时候公安部保卫局发布了指引的方式征求大家的意见，最终正式发布是在今年的2月26号，公安机关在开一个全国的移动互联网应用安全的管理大会上面做了一个发布，因为行政流程的过程正式稿子没有拿出来给大家提供下载，后面4月份在公安部网安局的备忘网上面可以下载。

这个稿子的编写也得到了各个企业，包括各地公安机关很多的意见，包括各大互联网公司提出了很多的意见，我们也经过了编制组的讨论，很多意见我们都采纳进来了，这里面包括阿里、腾讯、百度、京东等等大的企业，包括网络安全企业。

我们在编制这个标准的时候借鉴了跟侵犯公民个人信息犯罪的相关法律法规要求，大家看出来了我们这个叫做指南，既不是国家标准，也不是公安部的行业标准，也不是一个法律法规。它是有什么样的依据呢？我后面会讲，它是从一些法律的要求继承下来的安全要求。这里面关于刑法，人大常委会《关于加强网络信息保护的决定》，以及到最后的《网络安全法》等等作为依据。

具体的内容这里简单的过一下。第一个，《网络安全法》现在基本上是个人信息安全保护最高最核心的一个法律，《网络安全法》里面大量的篇幅告诉大家个人信息保护有哪些方面需要注意，第一个是收集使用，从收集使用的过程就必须合法合规，不能越权。第二个是个人安全保护的义务，你必须为持有个人信息持有个人安全保护的义务，你不能说收回来了大门是敞开的，这个是不行的。还有规定了个人信息的删除权、更正权，跟GDPR很像，禁止非法获取、出售、提供，这个跟刑法是对接的，以及包括监督管理部门的保密义务，在执法过程中间接触到个人信息也有保密的义务。

《刑法》刚才已经讲过了，侵犯公民个人信息非法获取和出售都涉及到，这里面涉及到了两高的司法解释，这个司法解释明确出来我们达到多少条是达到严重，而这个条数很多人不需要去记的，因为这个条数是500、5000条，太少了，随便一般案子出来都是几百万条、几千万条，这个标准的编制中间还借鉴了尤其是今年比较火的一个标准，就是《个人信息安全规范》，这个《个人信息安全规范》在信息安全标准化技术委员会他们制定出来一个相对从技术角度，应该是从流程的角度规范个人信息安全应该怎么去保护。今年网信办按照这个《个人信息安全规范》要求APP在收集个人信息的时候要做到这个要求。最后一个依据是公安部的互联网安全监督检查规定，在座的对等保比较熟悉，等保从出生开始是对重要信息系统开始，进到《网络安全法》之后国家实行网络等级安全保护，所有的都要做等级保护，这个等级保护大家的概念是从比较重要的会使用等级保护，一般的互联网公司可能没有想到这个事情，实际上来说公安机关在监督、指导、检查互联网的安全保护工作之中，除了等级保护之外，其实还有很多的职责在，公安部发了一个151号令检查哪些对象，主要是互联网单位、联网上网场所等等，包括联网使用单位，他们要做哪些安全义务，这些安全义务都是有法律依据让它去做的，它会去检查。检查之中有一条很明，在检查当中发现互联网服务提供者和联网使用单位，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，他会去查的，这个会继续往前推进。

第二个部分简单介绍一下相关的概述，既然一个指南，或者说一个文件，它的范围是很重要的。这个指南主要制定了个人信息安全保护的管理机制、安全技术措施和业务流程，从这个范围大家可以看出来，它比我们国家的标准个人信息安全规范多出了对于管理和技术方面的要求，在业务流程的基础上加了很多。适用于个人信息持有者在个人信息生命周期处理过程开展安全保护工作参考使用，这个在征求意见稿中间当时我们提到一个叫做互联网企业，所以有很多企业来问了，我算不算互联网企业？互联网企业BAT是互联网企业，银行算不算互联网企业？现在来看有很多网上银行都是依靠互联网在进行服务的，后面在正式发布稿的时候我们经过讨论给它明确了我们不提到底是互联网企业，还是非互联网企业，我们认为适用于通过互联网提供服务的企业，也适用于使用专网，或者非联网环境下控制和处理个人信息的组织和个人，这个就覆盖到，甚至包括了现在很常见的房产中介，我去卖一个房子只要在一个中介登记了所有人都来找我了，实际上就是个人信息被非法出售了。依托不依托互联网不重要，只要是你手上持有个人信息都是这个指南要约束的。

关于个人信息这里也做一个简单的解读，这个标准的梳理里面，个人信息我们直接引用了《网络安全法》的说法，使用电子和其他方式记录的能够单独，或者和其他方信息结合识别自然人个人身份等信息，后面包括这些东西都是《网络安全法》的原文，但是我们补充了后面几条，后面几条是国家标准个人信息安全规范的个人信息的那条梳理，我们补充了后面的内容，因为我们认为本身包括但不限于尽量多的列举给大家能够给清晰的理解这个概念和范畴，这是第一点给大家解释的，我们是继承了《网络安全法》的概念。第二个，在个人信息安全规范国家标准里面分出了两级：个人信息、个人敏感信息。但是对于这个指南不提个人敏感信息的概念，我们这个指南约束的是最低标准，只要持有个人信息就要做到这个水平，对于个人敏感信息还有更高的要求暂时不做特别的规定，但是这里面是最基本的要求。

另外，术语也不多解释，这里面挑出了前面说的个人信息持有者，前面一直在引用的就是个人信息安全规范里面提到的是个人信息控制者，个人信息控制者指的是有权决定个人信息处理目的方式等的组织和个人，这个的定义有点像GDPR，我们认为更准确的去说用持有者更好一点，我们认为控制者意思是都是上级部门控制的，我不控制，只是听他说的我去处理，就逃避责任，所以我们不用控制这个表示含义，我们认为持有者包含了控制和处理两个范畴。

的标准的主要内容和章节分为管理机制、技术措施、业务流程、应急处置四个方面。管理措施从基本要求、管理制度、管理机构、管理人员4个方面去约束，后面会展开讲一下。技术措施从基本要求、通用要求、拓展要求去讲的，其中基本要求不管是管理的，还是技术的，基本要求都是对标等保的，通用要求相对来说一大部分是参照等保的结构和框架，拓展要求也借鉴了等保，但是我们主要针对云计算和互联网提出的。从业务流程上相对从个人信息的处理生命周期过程来去讲述要怎么去做。最后是应急处置从两个方面：预案、处置和响应。

要点的解读这里面给大家解读几个。第一个，这个指南和等级保护是什么样的等级保护，现在等保2.0时代到来了，现在做等保的人都在说要按照2.0的标准来做。等保作为网络安全法中间的基本国策，所以我们整个的安全管理要求和技术要求都是和等保相对应的。在征求意见稿中间直接明确提出来安全等级保护的第三级做保护的，但是在正式发布稿中间经过了各家意见的反馈，我们认为不要直接一刀切按照第三级，我们的最低要求是应该满足相应等级的要求，这句话很短，相应等级到底是哪级？其实是按照等保的过程做定级评估、备案、整改、检测等等过程，你这个级要经过定级处理。你这里面持有的个人信息的泄露，你这个系统的破坏会对国家安全、社会稳定，以及公民，或者其他企业造成什么样的要求去评估它定什么级，然后它应该符合相应的管理要求和相应的技术要求。这是等保作为我们这个的最低标准，就是作为这里的兜底条件，你至少要达到等保的水平。

第二个，我们对于等保之外又细化明确强调了一下几个内容，当然管理机制上我们从管理制度、管理机构、管理人员这几个角度去讲。当然这里面相对来说等保2.0里面是按照管理制度、管理机构、管理人员、安全建设、安全运维去讲的，我们这里主要跟人员有关的。这里主要说人员配备，企业有大有小，人员的配备到底该怎么去衡量？在这个指南里面列到了很多角色，包括系统管理员、数据库管理员、安全审计员、数据操作员等等，我们这里明确了安全管理员和审计员是不能兼任数据操作员等等这样的身份，其他角色如果企业小可以兼任，但是这两个角色是不可以兼任的，这两个角色不能兼任的事情也不是我们空头想的，这个本身来说从权限最小化、监督检查的角度去考虑，也同时是国家标准个人信息安全规范里面就是这么约束的，这是管理制度的要求。

除了管理制度，就是我们技术上面提了哪些？技术上面我们还是参照等保2.0，安全物理环境、安全通信网络、安全区域边界、安全计算环境，这里面主要摘出来了安全通信网络和安全区域边界、安全计算环境，因为物理环境里面很多个人信息处理系统可能在云上面，所以我们暂时没有做特别的要求。但是我们认为等保1.0里面的数据要求那一页的部分更适合个人信息的保护，我们在安全计算环境里面同样还是拆出了一部分跟应用、数据密切相关的还是单独独立出来，这个是从技术措施上我们做的这些要求，具体的详细条款不说了。

第二个是关于个人信息境内存储的要求，从《网络安全法》里面提到关键基础设施里面收集的个人信息应该在境内存储，我们这个指南里面做的扩充，我们认为不只是关键基础设施里面收集的个人信息应该在境内存储，我们认为在境内运营中间收集和产生的个人信息都应该在境内存储，当然不是说不可以出境，刚刚网信办发了一个《个人信息出境的评估办法》，我们认为如需出境应该经迅国家相关规定。第二个在云计算的环境里面，云计算的基础设施很快有可能是跨境、调度的，这里面做了一个强调，云计算的平台应该存储于中国境内。这个是对于个人信息境内存储的要求。

关于物联网也没有太多的要求，我们认为物联网在个人信息接触面上面更多还是从物联网感知节点采集到的信息，里面涉及到个人信息回传到后端，物联网的计算能力比较弱，可能很多厂商就会师加密存储，全是明文的，这里面强调了应该用密码技术保证通信过程中间个人信息的保密性。

关于个人信息的业务流程，还是从收集、保存、应用、删除、第三方委托处理、共享和转让、公开披露，这个相对来说和个人信息安全规范整个的生命周期大致一致。稍微有点不同的就是中间这个环境，应用、删除这个环节上面有些不同，我们把删除这个概念独立出来，在个人信息安全规范里面是一个使用的章节，包含了删除这个概念，而我们在这里面要求了把删除独立出来，因为我们认为个人信息在收集的一开始就要清楚你什么时候要删除它，因为现在有很多企业在收集个人信息的时候就想着收，从来没有想过删除它，或者销毁它，但是正常来说应该有一个删除的过程，后面我会说如果在匿名化的情况下是可以不经过用户同意的，否则的话必须要经过用户同意，要遵守这个过程中间《网络安全法》的要求。

在我们这个指南里面对匿名化不提这个词，因为这个词和去标识化这个术语在《网络安全法》里面都有讲，匿名化这个词我们认为跟其他的理解有一些模糊，因为有的认为匿名化这个概念就是去标识化，或者就是让人家看不出来，不是《网络安全法》里面明确说出来的概念。我们这里面直接用了《网络安全法》的原文，叫做经过处理无法识别特定个人且不能复员的，我们这里强调的了对于个人信息的应用应该满足符合个人信息主体之前签署的相关协议和规定，不应该超范围的使用。当然一个例外是这些信息已经经过处理了，已经识别不出个人了，我们认为已经就不是个人信息了。业务流程里面在删除这个条款里面，我们也是明确的规定个人信息在超过保存期限后应该进行删除，什么情况可以不删除？经过处理无法识别特定个人且不能复员的除外，仍然是按照《网络安全法》的要求来提的。

最后我给大家分享一下，我们认为这个指南可能会在哪两个重要的场景下去应用，第一个是APP收集使用个人信息，这个在今年年初的时候，在座只要是有用APP，或者如果有厂家开发APP的，就应该知道四部委发的文，就是网信办、工信部、公安部和市场监管总局《关于开展APP违法违规收集使用个人信息专项治理的公告》，这个公告里面很明确提出来了APP运营者在收集使用个人信息的时候应该严格履行《网络安全法》的责任义务，除了你要有合法合规的理由和用户同意之后才去收集使用之外，你要采取有效的措施加强个人信息的保护。所以我们用APP在做收集使用个人信息的时候，你就要想到这个指南可以成为我遵照怎么样更好地采取措施加强个人信息保护的参考依据。这个专项治理的公告里面明确指出来公安机关的职责，公安机关开展打击整治网络犯罪专项工作依法严厉打击针对利用个人信息的违法犯罪行为，这个指南可以用在这个方面。

第二个就是重点防范重要数据和公民个人信息的泄露，在具体这个过程中间有哪几个点？我这里给大家说一下。第一点肯定是先把我们系统中间具有的重要数据，尤其是公民个人信息要作为一个底数要摸底，到底我这个系统存有哪些重要数据和公民个人信息，在摸底数的时候存有的这些数据是否符合《网络安全法》采集使用的规定，在采集使用的过程中间是否征求了民众的同意，包括删除权等等这些要求，不仅仅是有什么，这个有什么来自于合法合规的，同时它的使用，包括共享、转让、公开披露都是按照《网络安全法》的要求去做的，这是摸清底数。

第二点重点对于互联网相关的信息系统数据安全保护是一个重点要去考虑的事情，如果你的信息系统是在互联网上对外提供服务，如果包含了个人信息和重点数据重点要防护这个，从哪几个方面防护，指南也给了很多的技术措施，包括安全管理的一些要求。重点提几个，比如说弱口令，很多的互联网网站挂在网上本身就有弱口令，直接通过这个弱口令进去了，这是很常见的问题。互联网上的信息包括了访问授权、访问控制，它能够向哪些人访问、使用等等权限的设置，这都是互联网上访问的一些要点。

第三点就是内部系统的安全保护，前面在讲案例的时候提到内部人员其实是很大的问题，有快递公司的内部人员把用户的信息给卖了，也有银行的工作人员、电信运营商，甚至有国家机关的工作人员。他们内部系统的数据安全保护要从哪几个要点呢？既然叫做内部系统，首先第一点必须跟外面是有一定的隔离，这个系统是跟互联网是隔离的，当然这个隔离不一定是物理隔离，有可能是逻辑隔离，这个隔离中间的安全措施是否有效，这个是很重要的一点。因为它的隔离，比如说我的系统升级补丁是否还及时，大家知道web club（音）病毒一出来、一放大，很多号称跟互联网物理隔离的网络最后都中招了，说明它其实是有问题的。当然是两个问题，一个是肯定是有非法外连，第二个肯定是病毒的升级、补丁的升级不及时，这个是基本的安全要求。内部的系统更重要的是为什么一些人非授权能够把用户的数据都泄露出去呢？其实很大程度是在这个系统中间对于用户个人信息的使用上面是有问题的，它的权限设置没有达到它使用的最小，它的用户审计，包括安全性没有达到足够高。

第四点防范系统供应链安全风险，大家知道中美贸易战之中一提就提供应链，在个人信息系统中间它的供应链非常的重要，这个供应链除了类似于像云服务、IDC机房这样子的服务提供商之外，更多的出现在这个系统的运维人员，或者信息系统的建设方，很多侵犯公民个人信息的都是因为某个系统集成商的工作人员在里面设了一个后门，通过这个后门犯罪分子就进入了银行的内部系统把征信报告拿出去了，所以供应链的安全是我们要重点去考虑的。

最后一点就是要及时应对处置安全的事件，一旦有安全事件要及时上报，因为涉及到公民个人信息，涉及到犯罪的要及时上报给公安机关，同时保留证据用来最后进行司法方面的起诉，或者说办案。