个人信息安全规范辨析2.docx

个人信息安全规范辨析2（个人信息安全规范）辨析郎庆斌1摘要：（个人信息安全规范）作为社会普适的标准，应以个人信息安全为目的，以管理为主线，以个人信息生命周期为导向，扎实基础，严谨规则，传递全社会适用的个人信息安全标准规则的意义，并与质量管理体系、服务管理体系、信息安全管理体系互相借鉴、融合，保证个人信息管理的科学性、有效性。关键字：个人信息个人信息安全个人信息管理GB/T35273-2021（信息安全技术个人信息安全规范）下面简称规范将于5月1日开场施行，这是我国社会生活中的一件大事，对规范全社会个人信息使用，具有深远意义。然而，通观规范全文，存在过多的规则缝隙，因此，存在严重的安全风险、缺陷，甚至严重的缺陷。试辨析规范，与起草者商榷。一、标准题目1、题目与规则对应规范标题所传达的应是个人信息安全，根据标题，编制个人信息安全标准，应该怎样建立规则，保障个人信息相对安全：a明确个人信息存在形态、形式，建立个人信息安全模型；b明确个人信息安全本质，建立个人信息管理模型；c聚焦管理要素，达成管理结果，建立管理体系；d明确个人信息生命周期，确立体系框架内的管理环节；e基于ISMS的安全管理等等。2、题目与内涵标准名称（信息安全技术个人信息安全规范），应是普适的标准，可是，标准虽未明确限定为信息网络系统，然而，标准条文所传递的内涵，似乎如此，应该怎样理解？规范信息网络系统的个人信息处理本身没有问题，但是，怎样界定标准的边界，十分是外部边界？根据标准名称，怎样与信息网络系统之外的社会、生活、政治、经济等现实对标？假如仅仅限定为信息网络系统，怎样保证个人信息来源的安全性、合法性第5章仅限于一些采集的约束条件，并不明确个人信息源；果以信息系统为基，放大到网络，怎样保证个人信息安全并不限于规范限定的条件？在我国的国情中，存在大量的以纸质及其它形态媒介保存的个人信息，而这一部分恰恰是保护的重点收集或录入恐怕都存在这种状况，假如仅限于信息网络系统处理个人信息如规范制定的规则，怎样防止信息系统处理个人信息向纸质及其它形态媒介转移，进而产生严重的边界效应，所谓暗度陈仓，多少非法使用能够假汝之名。规范注重形式，疏于要义，倾向功利化。个人信息安全是一个生态问题，是寄生在社会生态中的生态系统，因而，是跨领域、跨行业的复合科学问题，需要概念、理论、实践等较深入的研究和相当充分的实践验证即目前所谓最佳实践。二、标准构造1、逻辑主线。1郎庆斌，大连软件行业协会参谋，辽宁软件及信息化标准专业委员会专家，从事个人信息安全标准化建设14年，主持、起草DB21/T1628和DB21/T2702个人信息安全地方标准体系建设。编制标准，需要设计一条严谨的、贯穿始终的逻辑主线，个人信息安全标准的逻辑主线，应是个人信息生命周期的服务管理经过。规范仅仅截取了个人信息采集、处理经过控制的不完全逻辑，使标准的执行效能、可操作性大大降低。2、管理和管理体系毋论信息安全、个人信息安全，关键是管理。管理缺失，无论约束什么规则，都是欠缺的、无法达成相对安全的目的。个人信息安全标准应以管理为主线，服务个人信息主体，管控个人信息质量，制定相应的约束规则。但组织内的管理是多维、发散的，需要建立个人信息安全管理体系，聚焦2维或3维个人信息管理要素。一如ISO9001所述“采用质量管理体系应该是组织的一项战略决策，能够帮助组织改良其整体绩效，并为可持续发展计划提供良好的基础。体系收敛管理维度，聚焦管理、质量、经过，是发散的管理构成的结果。个人信息管理者占有、管理个人信息，明确个人信息安全承诺。因此，必须确定其管理责任、义务和管理机制、策略，约束其管理行为或活动，以规范的形式，确立个人信息安全的导向。个人信息管理者内存在各种人员要素。必须指定责任主体，明确职能、职责。而非笼统地规定个人信息管理者的行为规则，可能造成事件责任主体不清，推诿扯皮，失去标准的效能。个人信息安全管理体系是组织为保障个人信息安全和个人信息主体权益构建的制度化、规范化、科学化的管理体制。不能简单以为组织内体系多如牛毛，而采取发散式管理，亟易产生责任穿插、边界效应、规范客体不清等弊端。固然，一体化体系建设是发展方向，但囿于目前国际、国内标准建设的发展，只能逐步与各种管理体系融合、协调，减少体系间的冲突，而不是因噎废食。譬如：1明显缺失个人信息主体权利规则。个人信息安全标准，必须明确个人信息主体权利。法律赋予权利，与标准互为救济，但不应强调法律权利，而忽视标准的作用。2必须明确个人信息管理者个人信息控制者的责任和义务。规范将管理者的责任和个人信息安全原则混为一谈，削弱了个人信息管理者应承当的责任，或可逃避担责。3由于标准缺失管理规则，缺少体系管理，故标准缺失了经过管理。一如ISO9001所述“将互相关联的经过做为体系理解和管理，会有助于组织实现其预期结果的有效性和效率。该方法能够使组织控制体系的经过间的互相关系和互相依存，提高组织的整体绩效。4由于标准缺失管理规则，缺少体系管理，故标准缺失内部审计、经过改良，这是确定个人信息管理效果的有效途径。在制定相应标准时，怎样在无法律依托下保证标准的严谨性和可操作性，保证行业自律的有效性和充分性，是需要认真研究的。规范缺失管理主体，缺失管理要素聚集，缺失体系整合。3、个人信息生命周期个人信息生命周期是个人信息管理者向个人信息主体提供全周期服务管理的经过。个人信息管理者通过计划、组织、协调个人信息相关资源需求与个人信息主体的符合性，采取相应的规范化、系列化控制策略和控制措施，保证个人信息的安全。在服务经过中，个人信息主体通过与个人信息管理者的互动，感悟服务质量，认知个人信息管理者在管理服务中的个人信息管理策略、管理机制、方式方法等。个人信息生命周期，包括个人信息获取经过、个人信息处理经过、基于生命周期的经过管理等三个管理环节。因而，在管理体系框架内，基于个人信息生命周期的个人信息管理，是保证个人信息安全的关键要素。规范缺失个人信息生命周期的规范，也是个人信息发散管理的主要原因。4、同一性因此，标准应与GB/T19001、GB/T24405.1、GB/T24405.2、GB/T22080、GB/T22081对应，并互相兼容，这是目前ISO/IEC标准体系的趋势，也应是我国标准的趋势。如ISO/IEC27001-2021：“本国际标准采用了通用的架构，具备与ISO/IEC标准体系一样的章节、一样的文本、通用的条款，。因而，本标准保持了与其它管理体系标准的兼容性。根据我们的国情，不必一样的章节、一样的文本，但用语、用词、通用的条款等还是必要的，以方便多种管理体系的趋同，及在认证经过中的兼容性等。如个人信息保护负责人，能够与GB/T19001用词一致，即个人信息管理者代表。三、术语和定义1、个人信息1身份人格要素是个人信息的构成要件。人格要素可分为物质性和精神性2类。身份是自然人在社会活动和实践中获取的人格要素，如职业、荣誉、资历等，属于精神性人格要素。在个人信息识别中，也应包括社会关系等个人信息应是与特定的自然人个体相关，并可识别该自然人，包括物质性人格要素精神性人格要素，而非仅仅单独识别自然人身份通过个人信息识别的自然人个体，而非自然人的身份，这种定义似是而非；2组合信息与其它信息结合识别特定自然人，应是与其它与个人信息主体相关信息对照、结合，而非其它慢散的信息，也并非仅仅结合；3存在形态个人信息定义与个人信息的存在形态无关。如规范定义个人信息以电子或其它方式记录，个人信息的构成要件是人格要素，因此，个人信息的存在形态是多样的，并不仅仅是电子或其它方式记录的形式，如“可通过听觉、视觉、触觉等感官直接识别个人的信息，因而，这种定义是多余的，抑或是预留规则缝隙；2、个人敏感信息规范定义个人敏感信息定义有待商榷。个人信息的敏感性，应包含敏感的个人信息和个人信息处理经过的敏感性。人格要素包含个人信息主体所具有的特殊的隐私私密，是敏感的个人信息，按国际通行的描绘，内涵多源于欧美，但在我国特定的国情下，更应强调其内涵的私密性。与静止的个人信息的隐私性不同，敏感的个人信息本身是敏感的，在社会、生活中保持其敏感性。在实践应用中，敏感的个人信息是严格禁止采集的。仅在极特殊情况，并采取特殊保护措施下能够采集。如身份证号码、手机号码、银行卡号等社会生活中经常用到的身份信息、财产信息等，其人格要素构成凸显价值特征，具有特定的商业价值。这些信息是经常、反复使用，甚至某些信息是公开的。因此，这些个人信息本身不具有敏感性，其敏感性是个人信息处理、使用经过的敏感，应保持经过的敏感性，与敏感的个人信息有本质区别。如附录B举例，既包括敏感的个人信息，也包括个人信息处理经过的敏感性。试问，身份信息、财产信息等是在社会生活中经常用到的，应保持经过的敏感性，而生活隐私、健康信息、生物识别信息和其它信息中包含的隐私部分则本身即是敏感的，在社会、生活中保持其敏感性，仅在极特殊情况，并采取特殊保护措施下使用，假如相提并论，隐私还是隐私吗？这种定义只可能产生暗度陈仓的作用，使个人隐私暴露无疑。十分在目前全社会诈骗横行，对个人信息主体的危害是宏大的。3、个人信息主体标识是记号、标志。在识别型个人信息定义中，个人信息是逆向识别个人信息主体的要件，传递的是个人信息主体的权益。因此，个人信息并不是个人信息主体的标识，而是构成个人信息主体的识别因子。个人信息主体定义应是“可通过个人信息识别的自然人。4、个人信息控制者规范定义1controller个人信息控制者似可看做贬义词。合法拥有的个人信息，不仅控制，需要管理，应凸显管理能力，保证管理质量，使个人信息主体感悟服务能力。controller是欧盟形式的用词，国内以往的通常译法，是管理者，更能体现个人信息拥有者的本质特征。对非法拥有或合法拥有但非法使用者，仅仅是为非法目的的控制。因而，标准中的正确用词，应是个人信息管理者。2定义用语规范的定义用语有待商榷。所谓“有权决定，并未明确赋权者，也未明确个人信息源的合法性故而个人信息控制者似可看做贬义词，因此，定义似是而非，存在歧义。个人信息管理者的定义，是合法占有或拥有个人信息，个人信息处理目的、方式等的决定，不应出如今定义中。因而，定义必须明确个人信息管理者是获得个人信息主体受权，且基于明确、合法目的，管理个人信息的组织或个人。5、采集1关于控制权“获得对个人信息的控制权的行为，很像贬义词。采集是一种行为。个人信息的合法采集，是责任、义务的体现，并不仅是获得控制权。因此，采集是基于明确目的和受权的个人信息获取行为。2直接和间接采集根据规范，直接采集似乎仅限于自动收集似乎是通过计算机系统、网络系统等，但根据规范的标准题目，这样的定义过于狭义。直接采集并不仅限于自动收集。间接采集同样不限于分享、转让、搜集公开信息。3本条定义注解，不敢苟同。即便产品或服务提供者仅提供工具供个人信息主体使用，提供者不访问个人信息如例，仍然属于间接采集的范畴，由于，产品或服务提供者能够预知这种采集行为，并应为此承当责任。6、处理规范没有定义“处理，但在范围中明确处理包含采集、保存、使用、分享、转让、公开披露等，并逐个定义。但处理是一种使用个人信息的行为，并不仅限于此，其它的处理行为怎样解释？如加工、检索采集是个人信息的源头，应专门定义，且在定义中应明确其明确、合法的目的。而不是集中在个人信息处理中。处理亦应有一个较为广泛的定义。7、明示同意该定义仍存在歧义。通过书面声明或主动做出肯定性动作，并不能明确表达个人信息主体的真实意愿。个人信息管理者的活动、行为必须与个人信息主体的意愿一致，个人信息主体明确表示赞成。表达赞成的方式能够是声明，可以以是其它有规范记录的、可鉴证的形式。8、用户画像根据定义，实际是个人信息的二次开发。如此定义，极易引起歧义，产生规则缝隙。英文译文采用了欧盟的用词profiling，该词并不能简单地译为“画像，根据（一般数据保护法）原文，似亦应理解为个人信息的二次开发。profiling译为“分析，似更合适。9、转让1转移转移是个人信息扩散的一种行为和经过，责任和义务是不确定的。由于转移是一种个人信息扩散行为和经过，无论何种转移类型，均存在目的性和功利性，必须附带个人信息管理者的责任和义务，明确个人信息主体的权利。因此，转移并不能准确传递基于利益移动个人信息行为和经过的要义。转移的内涵和外延很广泛，既包括个人信息交易，也包括合法的个人信息提供、委托等，因此，“将个人信息控制权由一个控制者向另一个控制者转移的经过，是不完备的。且所谓控制权的转移，假如发生在非法拥有者之间，则会产生个人信息主体权益不可逆转的灭失。因而，定义存在不如忽视的缺陷。2转让与“转移类似，在转让的一般描绘中，责任和义务是不确定的。由于转让亦是一种个人信息扩散行为和经过，无论何种转让类型，同样存在目的性和功利性，必须附带个人信息管理者的责任和义务，明确个人信息主体的权利。因此，转让也不能准确传递基于利益移动个人信息行为和经过的要义。转让并不仅仅如规范所定义的控制权转移这样简单，它存在歧义。定义应该明确变更的前提，且转让既能够包括个人信息交换、交易，可以以包括合法的个人信息提供、委托等，应界定转让行为的边界。而且，交换、交易应该是处理行为，完全没有必要冠以“转让。且在目前国情大背景下，明确规范交换、交易，更趋合理、明晰。10、分享规范定义分享为“个人信息控制者向其他控制者提供个人信息，且双方分别对个人信息拥有独立控制权的经过，这就存在问题，怎样明确责任、义务？根据定义所述，实际是个人信息的提供，提供方应向接受方提出责任、质量、安全等要求，由接受方负责管理，而不是双方拥有控制权。分享，是双方共同共享，这就违犯了个人信息管理的真理，多少非法使用能够假汝之名。11、匿名化1匿名化后的个人信息不能复原，在实践中恐不现实，如对日软件外包业务中，可能包含碎片化的个人信息，嗣后是需要复原的。2个人信息匿名化后的信息，应属于琐碎的个人信息，不能排除通过某些技术手段复原的可能，亦不能排除拼凑不完全个人信息的可能。12、英译文3.3、3.4的英文怎样与3.1对应？personaldata是欧盟形式的用词，并不适用我国的语境和标准用语。四、标准正文规范开宗明义，明确“本标准规范了开展采集、保存、使用、分享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求，既是个人信息安全规范，所涉及范围，不应局限于此，试扼要分析。1、个人信息生命周期个人信息生命周期是“当个人信息主体同意直接采集个人信息直至个人信息彻底销毁的生命历程，是个人信息管理者向个人信息主体提供服务管理的经过DB21/T1628.1，因而，应建立个人信息生命周期各个环节的管理规则.个人信息生命周期的3个环节,包括：1个人信息获取经过：个人信息主体同意，基于特定、明确、合法目的，直接或间接采集个人信息；2个人信息处理经过：基于采集目的的个人信息使用、利用经过，可划分4种形式：a包括编辑、加工、检索、存储、传输等不同的使用流程；b包括提供、委托、交换等不同的利用经过；c包括交易、二次开发等不同的利用经过；d个人信息的后处理经过；3基于生命周期的经过管理：在个人信息生命周期内，采用PDCA形式管理针对个人信息及相关资源、环境、管理体系等的活动或行为。规范仅仅截取了个人信息全生命周期的部分和部分中的某些环节，因此，将产生极大的安全风险和边界效应。2、个人信息管理如前述，管理是个人信息安全标准的主线。各项采集、处理等规则再完好、严苛，假如没有管理规则保障，是不能保证能效的，十分在中国国情下。因而，规范应基于管理要素约束管理策略、管理机制等，包括计划、组织、制度、人员、文档等，制定相应的规则。规范仅仅编制了一章很简单的管理规则，泛泛地与安全技术混为一谈。没有明确组织的职能、责任主体的职责、各项管理要素规则等，且规则并不严谨，将会构成安全漏洞。3、个人信息采集处理1规则定位规范建立的个人信息采集规则，似乎是为信息网络系统度身打造，但（个人信息安全规范）应该是普适的标准，根据规范名称，信息网络系统之外应该遵循什么规则呢？2分类个人信息采集的安全，更应考虑个人信息主体的本身责任，十分如规范定位信息网络系统。故而，个人信息分类，似应为直接、间接和被动采集，并制定相应的规则。3处理处理，绝不止于规范范围所述，也不止于基于信息网络系统的自动采集，相关的约束规则应该既考虑采集形式的普遍性，也考虑约束规则的普遍适用。4、风险和安全技术个人信息安全影响评估，不能替代风险管理。风险管理并不仅仅评估对个人信息主体的影响，而应识别与个人信息相关所有因素的风险，分析并采取相应措施。由于管理机制缺失、体系管理缺失，缺失风险管理主体、风险经过管控、风险评估等，降低了风险管理能力、风险管控能力和执行能力。安全技术是个人信息管理的技术保障，应该根据个人信息的存在形态、分布特征等，制定相应的约束规则不仅仅遵循GB/T22080、GB/T22081。5、分享分享的用语不妥，如前述。共同个人信息控制者所谓分享这一概念不妥，只要一方负有管理责任，如规范举例，服务平台与平台上的签约商家，服务平台只负责签约商家的管理，包括信息安全，签约商家则为个人信息的管理者，承当责任和义务，这里不存在共同的关系。注，举部署采集个人信息的第三方插件例，应是谁部署谁承当责任和义务，即个人信息管理者，并不存在共同关系。这种共同关系，实则是责任淡化的伏笔。规范制定的规则，存在过多的规则缝隙和施行风险，亦有规则为滥用留有余地，是规则的反动。五、标准与法律行业自律的约束是非强迫性标准。个人信息安全需要一部专门法，与行业自律互为救济。个人信息安全专门法，与技术、管理、知识、实践等相关外，与国家和地区社会发展、自然人基本素质、传统文化中消极因素的消减等有必然的联络，因而，专门法的研制，基于国情，并不在于社会整体个人信息安全威胁增长、舆情汹汹，应在于行业自律的能动和效力。当行业自律蔓延，碰到法律瓶颈寻求法律救济时，将推进专门法的立法工作。法律救济是法律关系主体的合法权益遭到侵犯并造成损害时，获得恢复和弥补的法律制度。标准与法律的互为救济，是在标准框架内的行业自律机制碰到法律瓶颈时寻求法律的支撑；相关法律在施行经过中可能出现的边界效应，亦需要标准的填充和弥补。目前，国内主要有三部法律，明确对应个人信息相关民事、刑事法律责任，和2个标准：1中华人民共和国刑法（中华人民共和国刑法修正案九）2021年8月29日发布2021年11月1日施行；2最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释2021年3月20日由最高人民法院审讯委员会第1712次会议、2021年4月26日由最高人民检察院第十二届检察委员会第63次会议通过；3中华人民共和国网络安全法2021年6月1日施行；4GB/Z28812-2021（信息安全技术公共及商用服务信息系统个人信息保护指南）5GB/T35273-2021（信息安全技术个人信息安全规范）GeneralDataProtectionRegulationGDPR一般数据保护法案，是国内比拟推崇的欧盟个人数据保护法律，2021年修订于1995年的（个人数据保护指令），对中国的个人信息安全标准、法律建设起到很好的借鉴作用。2020年，英国标准协会BSI发布了欧洲第一个个人信息保护标准，与（个人数据保护指令）互相救济，以应对由于严苛的法律引发的边界效应。该标准2021年3月，根据GDPR的要求重新修订。比照国内、外相关法律、标准，国内缺乏的是缜密的逻辑思维、前瞻性的观点和严谨的科学精神，独有的是功利倾向，乃至利益输送。规范缺乏全向思维，仅限于信息网络系统的一般处理，并与国家网安法互相补充非救济。国内个人信息安全相关标准研制肇始于大连软协。鉴于对日软件外包中个人信息安全的贸易壁垒发端，初期几乎完全模拟日本标准，至2021年开场构成完全自主的个人信息安全标准体系，至2021年，完成DB21/T1628标准体系8+1个标准和相应的基础理论研究专著，启动研制DB21/T2702个人信息安全管理体系评价标准体系。大连的工作是奠基性、创始性的，获得了工信部的高度评价，并处于全球个人信息安全研究的前沿。DB21/T1628系列标准与网络安全法能够构成大致的法律救济与GDPR倒能够构成相对完备的法律救济关系。1网络安全法规范基于网络的、与个人信息相关的行为、活动仅针对个人信息安全；2刑法是泛社会的、规定犯罪、刑事责任和刑罚的法律，涵盖基于网络的、与个人信息相关的行为、活动。3网络安全法关于个人信息安全的相关条款是粗粒度、不完备的，需要标准的救济；4网络安全法规定的相关人员、组织应承当的法律责任，需要关于犯罪、刑事责任和刑罚法律的补充。总之，本标准存在过多的安全风险和规则缝隙。做为国家标准，应严谨、规范、科学，在我国特有的大环境、个人信息语境中，选择适宜、前瞻、普适的形式和合适、适用、有效的相关概念、用语、用词。