个人信息安全是指公民身份、财产等个人信息的安全状况。

当前，我们已经进入到了一个高度依赖互联网的时代，互联网让人们的生活变得便捷和高效，但伴随而来的个人信息的安全威胁却不容小觑。黑客的攻击、恶意程序、网站与数据库漏洞、非授权访问、“内鬼”、各类钓鱼欺诈保持着强劲的增长势头，由此带来的个人信息泄露事件发生频率逐年递增，个人信息的泄露埋下无数安全隐患，财产损失更是不计其数。根据公开信息：

• 国泰航空940万名乘客资料外泄将被处罚38.9亿港元；

• 万豪国际旗下喜达屋酒店5亿名客户信息泄露，将赔偿125亿美金；

• “5.38亿微博用户绑定手机号数据，其中1.72亿有账号基本信息”的交易信息在暗网被以1388美元发布出售；

• 华大基因14万中国人DNA样本信息泄露，被科技部问责；

• ……

上述信息泄露包括：基本信息、设备信息、账户信息、隐私信息、DNA信息、社会关系信息和网络行为信息等。上述信息一旦泄露，可能会对人身安全、社会安全、甚至国家安全造成危害。

个人信息涉及的面较广且复杂，个人信息所有权和控制权不易界定，保护起来难度较大，一旦泄露危害公民隐私和利益。为了保护个人信息“财产”的安全不受损失，国家编制了GB/T 35273-2017《信息安全技术个人信息安全规范》（以下简称“《个人信息安全规范》”），该规范已于2018年5月1日正式实施。本法律规范颁布的核心目标是对个人信息进行分类、分级、分场景、体系化的保护。

下文我们将对此规范进行解读，并提供一些思路供思考。

一、规范的对象、范围

• 规范对象：针对个人信息面临的安全问题，规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为，旨在遏制个人信息非法收集、滥用、泄漏等乱象，最大程度地保障个人的合法权益和社会公共利益。

• 规范内容：围绕《个人信息安全规范》的主要内容包括：个人信息分类分级、个人信息的收集、个人信息的保存、个人信息的使用、个人信息的委托处理、共享、转让、公开披露、个人信息安全事件处置、组织的管理要求等几个层面展开。

• 适用范围：不仅适用于“规范各类组织个人信息处理活动”，也适用于“主管监管部门、第三方评估机构等组织对个人信息处理活动进行监管、管理和评估”。《个人信息安全规范》可作为各企业的进行网络安全和数据合规的重要指引，并指导各监管部门的网络安全管理和执法工作。

二、个人信息分类分级

目标：实现效率、安全的平衡

参考《个人信息安全规范》附录A、B。为了做到主次分明，高效管理，需要对个人信息完成分类分级。因为，并非所有个人信息都是敏感信息，各级组织应首先了解自身收集的数据类型和数量，并将用户信息按照规范进行相应的分类分级，规范中也分别对个人信息和个人敏感信息进行了示例，并告知了敏感信息判定的方法。

1、何为个人信息？

1）定义：能够识别特定自然人身份或自然人活动情况的各种信息，都属于个人信息。

2）判定：

识别：信息到个人，通过信息本身识别或联想到特定自然人；

关联：个人到信息，知晓特定自然人，则自然人在业务活动中产生的信息。

3）示例

2、何为个人敏感信息

1）定义：指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。

2）判定：会对个人信息主体权益带来重大风险，可通过如下三个途径判定：

①泄露危害：如，身份证复印件被他人用于银行账户开户办卡。

②非法提供危害：如，试管婴儿提供方姓名、性取向、传染病史。

③滥用危害：如，监控信息用于保险公司营销和确定保费高低。

3）示例：

对信息进行有效分类，可避免个人信息一刀切的控制方式，在信息的安全管理上采用更加精细的措施，使个人信息在共享使用的效率与使用的安全性之间获得平衡。

3、分级分类原则

分类：依据数据的来源、内容和用途进行分类；分级：按照数据的价值、内容敏感程度、影响和分发范围进行敏感级别划分。

4、分级分类方式

根据梳理出的备案数据资产，进行敏感数据的自动探测，通过特征探测定位敏感数据分布在哪些数据资产中；

针对敏感的数据资产进行分级分类标记，分出敏感数据所有者（部门、系统、管理人员等）；

业务部门对已分类数据资产进行敏感分级，划分成公开、内部、敏感等不同敏感级别。

个人信息的分类分级是个人信息安全保护的安全基础，针对个人敏感信息，严格遵照《个人信息安全规范》要求进行收集、存储和使用。在此建议参考相关法律法规基础上，使用专用的分类分级工具进行梳理，并结合业务专家经验，编写组织内部的数据分类分级技术指南，用于明确组织内部所收集信息的类别和敏感程度。

三、个人信息的收集

参考《个人信息规范》第5章个人信息收集。此章节主要规范个人信息收集过程应履行的安全要求和流程，并对个人信息控制者分别提出：合法性要求、最小化要求、授权同意要求、例外要求、明示同意要求、隐私政策的内容和发布要求。

1、合法性要求

建议告知个人信息控制者要明确告知用户，即将搜集的数据有哪些，并且不得欺骗、隐瞒产品或服务的搜集功能，不得收集法律禁止搜集的信息。

2、最小化要求

建议信息搜集要与现有业务有关，且保障最低频率、最少数量的搜集。

3、授权同意要求

建议必须告知数据收集和使用的规则，要在搜集界面有明显的标示。建议间接获得第三方数据时，要验证第三方提供信息的来源和合法性。

4、例外要求

建议按照主体业务，可以在一些特定业务场景不需要经过授权同意，如：国家安全、公安刑侦、自行公开、政务信息公开等一些场景。但并不是所有场景都可以例外，要符合法律流程要求下才可例外。

5、明示同意要求

建议收集时，应告知并确保个人信息主体是完全知情，自愿给出的，明确告知收集信息的必要性以及与产品或服务的关系；建议搜集未满14周岁未成年人信息，应征得监护人的明示同意。

6、隐私政策内容要求

建议按照组织单位的业务、产品、服务制定隐私政策，告知个人信息控制者的联系方式、搜集使用个人信息的目的及所涵盖的功能、信息保障的安全措施、以及对外信息交互所涉及的信息类型和承担的法律责任。举例说明：以京东和支付宝的用户隐私政策为例。

以上两家企业基于《网络安全法》、欧盟GDPR、《个人信息安全规范》，对所搜集信息采取了知情权、控制权、法律权益等方面与用户进行了约定，有效促进个人信息搜集的规范性。建议金融企业、政府单位、互联网企业这些个人数据“收集大户”一定要结合自身业务场景规范个人数据的收集。

想要抓住个人信息保护的痛点，参见《网络安全法》。该法律法规已经在信息收集使用、网络运营者应尽的保护义务等方面提出了明确要求，比如：网络运营者不得泄露、篡改、毁损其收集的个人信息，未经被收集者同意，不得向他人提供个人信息，但是经过处理无法识别特定个人且不能复原的除外。想要摆脱取证难、追责难的困局，继续诉诸《网络安全法》，其明确了网络信息安全的责任主体，确立了“谁收集，谁负责”的基本原则，个人隐私规范在此方面对个人信息控制者进行了细致的指导要求。所以落实个人信息收集过程中的各项要求，要参照《网络安全法》相关要求，两者结合，效果更好。

四、个人信息的保存

原文参考《个人信息规范》第6章个人信息的保存。个人信息保存，一般是指个人信息经过收集已经存储在个人信息控制者的产品或系统之中的情形。此章节主要规范个人信息在保存环节的安全时间要求、传输存储要求、去标识化要求、废止要求。

个人信息控制者，需要特别注意以下几点：

1、加密保护：信息传输和存储时，要考虑加密保护。个人生物信息的保存建议：仅存储生物识别信息的摘要值。

2、保存期限：收集者只对信息享有控制和管理权力而非所有权，因此需要考虑保存时间的最小化，超出保存期限后，要及时删除，或对个人信息采用脱敏方式去除隐私化。

3、停止收集：产品或服务停止运营，停止收集信息并告知用户，对相关信息进行删除或脱敏方式去除隐私化。

个人信息保存主要考虑了个人信息主体的合法权益和个人信息控制者应采用的保护思路和措施，建议不要只关注安全的“点”，要考虑安全的“面”，结合自身业务流程，按照数据分类分级结果，对信息存储进行加密保护、识别访问行为进行控制和去隐私化、访问过程全程监督。

五、个人信息的使用

原文参考《个人信息规范》第7章个人信息的使用

此章节主要针对个人信息的使用安全进行规范，包括个人信息的控制者、操作者、自然人应具备的流程和安全措施以及权力要求。

此章节设计落地时要紧密结合企业业务流程，保障个人信息使用过程的安全。原文中规范了控制者对个人信息的访问控制措施、限制措施等内容；也规范了作为控制者应该如何保障自然人对个人信息的权利要求。

此过程，一定要梳理产品或服务的运行流转过程，梳理人员、数据敏感程度、数据流向、数据访问过程等进行严密监管，并且在参考规范过程中在技术上也考虑如下安全措施：

1、黑客攻击防控：基于数据库漏洞攻击的基础上很容易被突破，导致数据被黑客窃取。例如可使用虚拟补丁技术，应对数据库漏洞问题。

2、个人信息展示：除必要信息外，个人信息展示使用时应脱敏去隐私化消除身份指向性。例如：12306查询个人信息时，身份证号采用加*遮蔽其中几位。

3、个人信息的加密：基于文件层和硬盘层的加密将无法与数据库的权控体系结合，对运维人员无效。如何实现存储加密、权限控制和快速检索的整体解决，是这一问题的关键所在，只有这样的存储加密才能确保安全的同时保证数据可用。例如：黑客或内鬼进行拖库，加密技术保障了拿走的信息是密文，无法解开。

4、个人敏感数据访问控制：建立对于敏感数据的访问、批量数据下载的审批制度，这是数据治理的关键。其中，工单的审批若无法在执行环节得到有效控制，访问审批制度就仅仅是空中楼阁。应用最小化授权、权利分离、超权审批、敏感操作控制等措施，例如：运维人员对数据进行统计分析，先审批，批准后才可允许访问指定数据。

5、保持业务逻辑的数据脱敏：在测试、开发和BI分析环境中的数据，需将敏感数据模糊化处理，但保持与生产数据的高度仿真，是实现安全又可用的基础。例如：某银行对VIP用户行为进行分析，脱敏用户标示信息，保留流水信息，完成分析后，使用可逆算法对数据进行还原，分析过程不泄密。

6、数据提取分发后的管控：数据的共享是数据的基本使用属性，但数据的复制是没有痕迹的；数据分发后如何保证数据不会被流转到失控的环境，或者被复制后可溯源，这是数据提取分发管理的关键。例如：医院上传卫计委全民健康数据，针对交换的数据进行水印标示，加入发送者、时间、数据量等水印内容，遇到泄密事件第一时间回溯泄密者。

六、个人信息委托处理

原文参考《个人信息规范》第8章个人信息的委托处理、共享、转让、公开披露。此章节主要规范，个人信息在多个场景下处理时应遵循的法律和安全要求。以数据跨境为例提出的建议思路：

1、数据收集

通过有效遵循国家法律法规、监管政策的要求，对数据的收集和获取过程执行了有效的安全控制，以保证对各类数据的合规收集；定义组织机构内部的数据分类分级原则，对生成/收集的数据添加数据分类分级的标识，为数据安全管理建立有效的安全基础；类别包含：个人信息、金融交易信息XXXX等；级别分为：允许跨境、限制跨境、禁止跨境。

2、合规检查

对数据量、数据规模、数据内容进行合规性检查， 是否违反相关法律和标准；应明确数据的限定用途、使用范围、跨境方式和使用期限；

3、数据加工

对限制离境、禁止离境类数据进行加工处理，脱敏后，使其降级，满足允许跨境级别。

4、数据存储

通过建立有效的数据加密措施，保证数据存储过程中所有数据的保密性、完整性；应建立细粒度访问控制机制，粒度字段级。

5、出境审批

应对跨境数据进行准确描述，描述内容满足准确性、真实性要求；应对跨境数据描述的准确性、真实性进行审核；应明确数据内容、数据用途、交付质量、交付方式、跨境参与方安全责任、保密条款等内容；应对跨境数据进行安全风险评估，并出具安全风险评估报告；应通知跨境审批结果，是否通过审批，并出具意见和改进建议。

6、数据传输

利用加密、脱敏、签名、鉴别和认证等机制对传输中的敏感数据进行安全管理，监控数据传输时的安全策略实施情况，防止传输过程中可能引发的敏感数据泄漏和数据传输双方对身份的抵赖；数据跨境完成后，数据供方应及时关闭数据访问接口，数据供方发出数据交付完成确认；数据跨境完成后，数据需方发出数据接收完成确认。

7、跨境追溯

通过建立针对信息内容追溯机制，实现对数据的有效追溯；采用数据水印方式对原数据基础上进行添加水印，出现泄漏事件后，第一时间能够进行追溯泄漏源头。

8、过程审计

应对上述基本环节的操作行为进行全生命周期审计，应对违法、违规事件出现进行分析和监控。

应安全保存跨境全过程日志至少6个月以上；跨境日志应能够防篡改，保障日志的完整性、有效性。

个人信息在不同的业务属性和场景会面临委托、共享、交换、转让、收购、公开、跨境等场景，不同场景里面我们一方面遵循现有法律法规，另一方面要做好信息交割或传递过程中的安全，此方面管理和技术两方面要共同重视，且要禁止出现信息“跨界”之后双方都不负责的情形，建议管理方面基于业务流程使用管理制度和技术工具。

七、个人信息安全事件处置

原文参考《个人信息规范》第9章个人信息安全事件处置。此章节对网络安全事件应急预案和个人信息安全事件处置予以了进一步的详细要求，包括安全事件应急处置和报告、安全事件告知两方面的内容。

《网络安全法》第二十五条和第四十二条，已经提出了网络运营者应当制定并在发生危害网络安全的事件时及时启动网络安全事件应急预案，以及个人信息安全受到严重侵害时及时通报用户和有关主管部门的要求。

在安全事件应急响应方面，建议企业制定个人信息安全事件应急预案，其中包括个人信息安全事件的分类、事件分级、组织体系与职责、预防预警、应急响应、保障措施等；定期组织内部相关人员进行应急响应培训和应急演练；在发生个人信息安全事件时，应及时将事件相关情况告知受影响的个人信息主体及有关主管部门。并且应建立数据的访问、使用、流转过程中全面监控，一旦出现可能导致数据外泄、受损的恶意行为时，审计机制可以第一时间发出威胁告警，通知管理人员。管理人员在第一时间掌握威胁信息后，可以针对性阻止该威胁，从而降低或避免损失。

八、组织的管理要求

原文参考《个人信息规范》第10章组织的管理要求。此章节主要是：组织管理并不是要打破现有组织，而是针对个人信息保护，建立一个责任和义务领导责任，通过以获得人力、财力、物力保障。关于个人信息安全管理组织提供如下思路建议：

1、构建个人信息安全保障组

（1）个人信息保障工作组职责

1）负责制定个人信息信息安全策略，明确信息安全目标。

2）组织相关平台负责人定期召开信息安全会议。

3）负责个人信息安全突发事件应急方案实施和个人信息信息系统日常安全运行管理的组织协调及决策工作。

4）研究决定个人信息安全工作的重大事项。

（2）个人信息保障工作组责任

1）承担信息安全管理领导小组的具体工作，协助在个人信息事务上的决策。

2）负责个人信息管理体系的建立、实施和日常运行，起草信息安全政策，确定信息安全管理标准，督促各信息安全执行单位对于信息安全政策、措施的实施。

3）负责定期召开信息安全管理工作会议，定期总结运行情况以及安全事件记录，并向信息安全管理小组领导汇报。

4）负责制定个人信息政策行为标准，并对违反信息安全政策的人员和事件进行确认和处罚。

5）负责调查个人信息事件，并维护、总结安全事件记录报告。

2、建立总则

（1）明确保障所保护的信息：针对最重要的个人客户信息。

（2）明确保障目的：为了加强客户信息安全管理，规范客户信息访问的流程和用户访问权限以及规范承载客户信息的环境，降低客户信息被违法使用和传播的风险。

（3）明确安全影响评估流程：客户信息安全面临的风险和威胁主要包括：因为权限管理与控制不当，导致客户信息被随意处置；因为流程设计与管理不当，导致客户信息被不当获取；因为安全管控措施落实不到位，导致客户信息被窃取等。

（4）明确人员管理与培训：适用于客户信息的使用人员、运维人员、开发测试人员、管理人员和安全审计人员。

3、梳理职责

（1）涉及客户信息的业务管理部职责

• 负责规范本部门访问客户信息的业务人员岗位角色及其职责；

• 负责主管的业务系统的个人敏感信息安全保护，建立落实管理制度和实施细则；

• 负责业务层面客户信息安全的日常管理和审计工作；

• 负责受理客户信息泄密事件的投诉、上报；

• 制订对业务合作伙伴的信息泄露的惩罚措施及具体实施；

• 协助完成客户信息泄密现象的市场调查；

• 协助进行客户信息泄密事件的查处。

（2）人力资源部职责

• 组织有关员工签订保密承诺书；

• 及时发布人员岗位变动、离职的信息给帐号管理部门；

• 参与对客户信息泄密人员的查处。

建议这个团队的构成是IT、人资、法律、财务、业务和市场部门等所有参与人、知识产权、私密信息相关的部门；在一些大型的机构中甚至要包括主管的副总裁、董事会成员，只有有效地构建一个涵盖业务、管理、安全、执行等部门的组织管理机构，才能做到业务和安全的有效平衡。

小结

互联网绝不能变成一个没有隐私、没有禁忌的法外之地。相反，应该更加注重保护隐私重视信息安全。人们在享受互联网带来技术红利的同时，不能忘记技术发展的初衷。因为未来还会有更多产品和服务融入百姓生活，进入政务、金融、医疗、教育等公共服务领域，想要跟上信息化发展的步伐，相关部门就要加强立法打击、技术防范，社会公众也要提高风险防范意识。唯有共同守住个人信息保护的红线，我们才能真正迎来“万物互联”时代。