如何理解《網絡安全法》與國家標準《個人信息安全規范》的關系
編者按 隨著國家標準《個人信息安全規范》(GB/T 35273-2017)的正式發布【國家標準《個人信息安全規范》全文】,社會各界對該標準的關注在逐漸升溫。本公號將陸續邀請一些參與到該標準制定,或者在其工作中實際運用過該標準的朋友撰寫文章,請他們和大家分享對該標準的看法,或者轉載對該標準的評論文章。本文作者是公號君本人。 在標準發布后,經常被問道類似的問題:《個人信息安全規范》與《網絡安全法》是個什么關系?如果做到了《個人信息安全規范》中的要求,是否就符合《網絡安全法》?如果沒做到,是否就意味著違法等等。因此,我想利用這篇小短文,談談自己的個人看法。 國家機關對《個人信息安全規范》的提法 可能大家比較熟悉的有兩次: 第一次 2017年5月31日,《網絡安全法》生效前一天。國家互聯網信息辦公室發布了“《網絡安全法》施行前夕國家互聯網信息辦公室網絡安全協調局負責人答記者問”。其中: 問:《網絡安全法》于6月1日起施行,有關準備工作進展如何? 答:《網絡安全法》將于6月1日起正式施行,這在網絡安全歷史上具有里程碑意義。 《網絡安全法》的公布和施行,不僅從法律上保障了廣大人民群眾在網絡空間的利益,有效維護了國家網絡空間主權和安全,而且還有利于信息技術的應用,有利于發揮互聯網的巨大潛力。 《網絡安全法》公布后,各部門、各地方以及廣大企業、科研單位和院校開展了多種形式的學習宣傳貫徹活動,法律所確定的重要理念、基本要求正在深入人心。目前,有關部門正在按照法律要求抓緊研究起草相關制度文件,包括關鍵信息基礎設施保護辦法、個人信息和重要數據出境安全評估辦法、網絡關鍵設備和網絡安全專用產品目錄等。其中,《網絡產品和服務安全審查辦法(試行)》等配套制度文件已經公開發布。國家標準化部門正抓緊組織制定《個人信息安全規范》等國家標準。總體上看,各項工作都在按計劃推進。 第二次 2018年01月10日,國家互聯網信息辦公室網絡安全協調局約談“支付寶年度賬單事件”當事企業負責人。其中: 網絡安全協調局負責人指出,支付寶、芝麻信用收集使用個人信息的方式,不符合剛剛發布的《個人信息安全規范》國家標準的精神,違背了其前不久簽署的《個人信息保護倡議》的承諾。 兩次全是網絡安全協調局負責人談到了這個國標。實際上,還有第三次。 第三次 第三次 2017年08月25日,國家互聯網信息辦公室有關負責人就《互聯網跟帖評論服務管理規定》答記者問。其中: 問:《規定》對網站落實主體責任作出了哪些要求? 答:網上信息管理,網站應負主體責任,政府行政管理部門要加強監管。《規定》認真落實這一要求,對網站主體責任進行了明確規定,主要包括八個方面。 · 一是落實實名制要求。《規定》明確網站要按照“后臺實名、前臺自愿”原則,對注冊用戶進行真實身份信息認證,不得向未認證真實身份信息的用戶提供跟帖評論服務。 · 二是建立用戶信息保護制度。《網絡安全法》第四十條、四十一條、四十二條、四十三條、四十四條、四十五條對用戶信息保護制度作了規定,國家標準化部門正抓緊組織制定《個人信息安全規范》,因此本《規定》僅對此作了原則性表述。 這次是國家互聯網信息辦公室有關負責人。 實際上,主管監管部門對推薦性國家標準的如此表態,在國際上也并不鮮見。美國NIST所做的“網絡安全框架” (cybersecurity framework),本質上也是推薦性的。但是美國聯邦貿易委員會(FTC)在其網站就公開表態“網絡安全框架與FTC堅持的以流程為基礎的監管方式是相一致的”。(From the perspective of the staff of the Federal Trade Commission, NIST’s Cybersecurity Framework is consistent with the process-based approach that the FTC has followed)【https://www.ftc.gov/news-events/blogs/business-blog/2016/08/nist-cybersecurity-framework-ftc】 美國證券交易委員會(SEC)明確要求其監管對象在考慮從何入手評估該采用什么網絡安全措施時,應當使用的工具之一即是網絡安全框架(In considering where to begin to assess a company’s possible cybersecurity measures, one conceptual roadmap boards should consider is the Framework for Improving Critical Infrastructure Cybersecurity, released by the National Institute of Standards and Technology)【https://www.sec.gov/news/speech/2014-spch061014laa#.VNpDDPnF8Ro】 美國國土安全部【https://www.dhs.gov/using-cybersecurity-framework】和美國能源部【https://energy.gov/oe/cybersecurity-critical-energy-infrastructure/reducing-cyber-risk-critical-infrastructure-nist】則制定專門政策鼓勵其監管對象采用網絡安全框架。 《個人信息安全規范》的屬性 第一,《個人信息安全規范》是個推薦性的國家標準。 2017年11月4日,《中華人民共和國標準化法》經第十二屆全國人民代表大會常務委員會第三十次會議修訂后發布,其中對推薦性標準是這樣表述的: 國家鼓勵采用推薦性標準(第二條); 對保障人身健康和生命財產安全、國家安全、生態環境安全以及滿足經濟社會管理基本需要的技術要求,應當制定強制性國家標準。(第十條)對滿足基礎通用、與強制性國家標準配套、對各有關行業起引領作用等需要的技術要求,可以制定推薦性國家標準。(第十一條) 推薦性國家標準、行業標準、地方標準、團體標準、企業標準的技術要求不得低于強制性國家標準的相關技術要求。(第二十一條) 第二,《個人信息安全規范》是依賴于全國信息安全標準化技術委員會(TC260)平臺上制定出來的。 2016年8月12日,中央網絡安全和信息化領導小組辦公室、國家質量監督檢驗檢疫總局、國家標準化管理委員會聯合發文《關于加強國家網絡安全標準化工作的若干意見》(中網辦發文〔2016〕5號)。其中要求: 建立統一權威的國家標準工作機制。網絡安全標準化工作要堅持統一謀劃、統一部署,緊貼實際需求,守住安全底線。全國信息安全標準化技術委員會在國家標準委的領導下,在中央網信辦的統籌協調和有關網絡安全主管部門的支持下,對網絡安全國家標準進行統一技術歸口,統一組織申報、送審和報批。 綜合理解 在我個人看來,《個人信息安全規范》首先是遵循了《網絡安全法》確立的個人信息保護框架。其次,《個人信息安全規范》提供了遵從《網絡安全法》關于個人信息保護要求的一個良好方案(good practice)。這個良好方案具備較好的科學性【可參考如下文章: 對用戶知情同意規則的中國式探索——兼論國標《個人信息安全規范》、 國家標準《信息安全技術 個人信息安全規范》評析、個人信息安全影響評估有助于防范“年度賬單”事件】,且凝聚了企、事業及科研機構等單位較為廣泛的共識。 再次,該標準是嚴格按照TC260的流程制定,意味著我國網絡安全相關的主管部門在該標準制定過程中,均對該標準提出了意見和建議。對此,該標準也均作了吸納。(見下圖TC260領導設置情況)
因此,在我個人看來,《個人信息安全規范》提出的方案,是符合《網絡安全法》相關條文的一個比較好的方案。但《個人信息安全規范》并不是唯一方案,有能力的企業完全可以自己理解《網絡安全法》的相關條文,并制定出一套合規體系,并向主管監管部門證明自己符合了《網絡安全法》。 同時注意到,按照《網絡安全法》第十條、第二十二條、第二十三條均提出,網絡運營者,或者網絡產品和服務、網絡關鍵設備和網絡安全專用產品應符合“國標標準的強制性要求”(也就是強制標準,或者經由國家法律援引的標準)。目前,《個人信息安全規范》不屬于網安法所說的“國標標準的強制性要求”。作為推薦性標準,按照國標法第二十一條的規定,“推薦性國家標準......的技術要求不得低于強制性國家標準的相關技術要求”。 所以綜上可以得出以下結論: 采用并忠實地落實了《個人信息安全規范》,可以確定就符合了《網絡安全法》關于個人信息保護的相關要求。 如果與《個人信息安全規范》的規定不相符,并不一定就是違反了《網絡安全法》關于個人信息保護的相關要求。但組織需要向主管監管部門證明自己實際上也是符合《網絡安全法》。 從這個角度來說,《個人信息安全規范》是用于做到《網絡安全法》合規的一個公共品,實際上給組織合規、內部制度建設等提供了大量現成的素材。這也是為什么我有了“法務之友”的稱號。 最后來一個重要提示:以上分析均僅僅是對追究《網絡安全法》規定的法律責任而言。 來源:e安在線
