個(gè)人客戶信息保護(hù)的法律法規(guī)及標(biāo)準(zhǔn)綜述

劉佳　張琳

摘 要：論文針對個(gè)人客戶信息保護(hù)相關(guān)的重要法律法規(guī)及標(biāo)準(zhǔn)進(jìn)行分析，指出了各個(gè)標(biāo)準(zhǔn)的應(yīng)用范圍、關(guān)注重點(diǎn)和亮點(diǎn)，并針對移動(dòng)運(yùn)營商企業(yè)的客戶數(shù)量龐大、客戶信息種類多和客戶信息敏感的特點(diǎn)，為移動(dòng)運(yùn)營商企業(yè)提出了客戶信息保護(hù)的實(shí)施建議。

關(guān)鍵詞：個(gè)人信息；法律法規(guī)；國際標(biāo)準(zhǔn)

中圖分類號(hào)：TP 393.08 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

近年來，F(xiàn)acebook、阿里巴巴、京東等大型互聯(lián)網(wǎng)公司均曾陷入過客戶信息泄露風(fēng)波。隨著數(shù)據(jù)泄露事件的增多，各國政府及標(biāo)準(zhǔn)化組織，出臺(tái)了一系列相關(guān)的法律法規(guī)及標(biāo)準(zhǔn)規(guī)范，對客戶信息提出了明確的保護(hù)要求和建議。2017年6月《網(wǎng)絡(luò)安全法》[1]正式實(shí)施，2018年5月歐盟《通用數(shù)據(jù)保護(hù)規(guī)范》[2]正式實(shí)施，這都標(biāo)志著國際和國內(nèi)政府對客戶信息安全的保護(hù)要求提到了新的高度。在越來越多、越來越嚴(yán)格的客戶信息保護(hù)制度下，作為客戶信息“集散地”之一的電信運(yùn)營商，該如何保護(hù)自己的“數(shù)據(jù)資產(chǎn)”，是運(yùn)營商企業(yè)非常重視的問題。本文從國際和國內(nèi)的個(gè)人信息保護(hù)相關(guān)的主要標(biāo)準(zhǔn)規(guī)范入手，對其內(nèi)容特點(diǎn)分別做了深入分析，并提出了電信運(yùn)營商企業(yè)的客戶信息保護(hù)建議。

2 國際標(biāo)準(zhǔn)

國際標(biāo)準(zhǔn)化組織對個(gè)人隱私數(shù)據(jù)的保護(hù)起步較早，國際標(biāo)準(zhǔn)化組織（International Organization for Standardization，ISO）、美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）等組織在2011年前后出臺(tái)了個(gè)人隱私數(shù)據(jù)保護(hù)的系列標(biāo)準(zhǔn)，尤其是歐盟近期出臺(tái)的通用數(shù)據(jù)保護(hù)規(guī)范（General Data Protection Regulation，GDPR），被認(rèn)為史上最嚴(yán)的個(gè)人數(shù)據(jù)保護(hù)條例。

2.1 ISO 29100系列

國際標(biāo)準(zhǔn)化組織在2011年和2013年分別出臺(tái)了安全技術(shù)隱私保護(hù)框架ISO 29100[3]和隱私保護(hù)體系架構(gòu)ISO 29101[4]，標(biāo)準(zhǔn)中提出了隱私信息保護(hù)的要素、架構(gòu)、原則及全生命周期等內(nèi)容，旨在提供隱私保護(hù)的標(biāo)準(zhǔn)保護(hù)框架。

ISO 29100對隱私框架的基本要素進(jìn)行了定義，列舉了隱私保護(hù)遵守的原則。標(biāo)準(zhǔn)中認(rèn)為，隱私保護(hù)框架的基本要素包括參與者、角色、交互、對隱私信息的識(shí)別、隱私防護(hù)要求、隱私策略和隱私控制等，并對隱私數(shù)據(jù)的采集、使用、存儲(chǔ)三個(gè)階段提出了規(guī)范性要求，對數(shù)據(jù)保障措施和監(jiān)督審查兩個(gè)環(huán)節(jié)進(jìn)行了重點(diǎn)描述，并建議涉及隱私保護(hù)的服務(wù)和應(yīng)用均在此標(biāo)準(zhǔn)架構(gòu)的基礎(chǔ)上進(jìn)行標(biāo)準(zhǔn)開發(fā)。

ISO 29101在隱私數(shù)據(jù)的全生命周期環(huán)節(jié)上，比ISO29100要求更加全面，描述了信息采集、傳輸、使用、存儲(chǔ)和銷毀五個(gè)階段的要求，并提出了組件、角色和交互三種結(jié)構(gòu)視圖，與ISO 29100中的隱私保護(hù)原則進(jìn)行對應(yīng)。同時(shí)，ISO 29101中提出了對隱私數(shù)據(jù)進(jìn)行分級(jí)保護(hù)的概念，可分為敏感和非敏感級(jí)，但是并未對各類數(shù)據(jù)做明確的保護(hù)要求。

2.2 NIST出臺(tái)的相關(guān)標(biāo)準(zhǔn)

美國國家標(biāo)準(zhǔn)與技術(shù)研究院針對個(gè)人隱私數(shù)據(jù)也進(jìn)行了研究，并出臺(tái)了一系列標(biāo)準(zhǔn)和報(bào)告，NIST SP 800系列為風(fēng)險(xiǎn)控制類標(biāo)準(zhǔn)，其中與客戶信息相關(guān)的標(biāo)準(zhǔn)包括NIST SP 800-53[5]、NIST SP 800-122[6]等。

NIST SP 800-53為聯(lián)邦信息系統(tǒng)的安全和隱私控制規(guī)范，提出了隱私風(fēng)險(xiǎn)評(píng)估的具體流程、步驟和風(fēng)險(xiǎn)計(jì)算方法，制定了隱私控制目錄，包含8類26個(gè)控制措施，每一個(gè)控制措施均分為一般要求和增強(qiáng)要求，并對應(yīng)了不同的隱私保護(hù)級(jí)別，更便于組織機(jī)構(gòu)在實(shí)施安全控制措施的同時(shí)，實(shí)施隱私控制措施的要求。

NIST SP 800-122為個(gè)人身份信息機(jī)密性指南，標(biāo)準(zhǔn)中提出對個(gè)人身份信息要從技術(shù)、管理、物理防護(hù)等多維度采取有效防護(hù)和控制措施，建議組織機(jī)構(gòu)應(yīng)使用基于風(fēng)險(xiǎn)管理的方法保護(hù)個(gè)人身份信息，也是對NIST SP 800-53附錄中提出的“隱私控制”內(nèi)容的細(xì)化。

2.3 通用數(shù)據(jù)保護(hù)規(guī)范

2018年5月25日，歐盟的《通用數(shù)據(jù)保護(hù)規(guī)范》（General Data Protection Regulation，GDPR）正式生效。較之前的個(gè)人數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)，GDPR在管轄范圍、個(gè)人數(shù)據(jù)范圍、保護(hù)實(shí)施要求、監(jiān)管懲罰力度等方面都提出了非常高的要求和標(biāo)準(zhǔn)，因此被稱為“史上最嚴(yán)數(shù)據(jù)保護(hù)法案”。

（1）管轄范圍更寬泛

GDPR采用了“長臂管轄”原則，指出所有設(shè)立在歐盟境內(nèi)的數(shù)據(jù)控制或者處理機(jī)構(gòu)，其個(gè)人用戶數(shù)據(jù)處理行為無論是否發(fā)生在歐盟境內(nèi)均受GDPR約束管控；而對于設(shè)立在歐盟境外的數(shù)據(jù)控制或者處理機(jī)構(gòu)，如果其向歐盟境內(nèi)用戶服務(wù)過程中存在個(gè)人數(shù)據(jù)處理行為，那么該機(jī)構(gòu)也要遵守GDPR的規(guī)范要求。

（2）個(gè)人數(shù)據(jù)范圍廣

GDPR中明確規(guī)定，與一個(gè)確定的或可識(shí)別的自然人相關(guān)的任何信息，如姓名、身份證號(hào)碼、位置數(shù)據(jù)、在線身份識(shí)別等標(biāo)識(shí)符，或自然人的身體、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會(huì)身份有關(guān)的一個(gè)或多個(gè)因素均納入“個(gè)人數(shù)據(jù)”，同時(shí)，對以上信息進(jìn)行的任何操作例如挖掘分析的結(jié)果數(shù)據(jù)也應(yīng)納入GDPR管轄的個(gè)人數(shù)據(jù)范圍。

（3）保護(hù)實(shí)施要求高

GDPR在“用戶權(quán)利”“數(shù)據(jù)處理”等方面提出了更加嚴(yán)格的要求。“數(shù)據(jù)處理”環(huán)節(jié)，需要對數(shù)據(jù)處理行為進(jìn)行全面記錄，確保數(shù)據(jù)處理過程的安全，并要實(shí)施個(gè)人數(shù)據(jù)保護(hù)影響評(píng)估；在“用戶權(quán)利”環(huán)節(jié)，在“用戶知情權(quán)”方面強(qiáng)調(diào)用戶必須對個(gè)人數(shù)據(jù)的收集使用作出具體明晰的同意行為，而沉默、默認(rèn)勾選等方式均不能作為同意依據(jù)，除此之外，在用戶權(quán)利方面針對用戶的更正權(quán)、被遺忘權(quán)、拒絕權(quán)等都做了明確規(guī)定，加強(qiáng)了用戶主體權(quán)利的保護(hù)。

（4）監(jiān)管懲罰力度大

GDPR對違規(guī)數(shù)據(jù)處理的行為采取了分級(jí)處罰方式。針對未做好數(shù)據(jù)處理記錄、未進(jìn)行數(shù)據(jù)保護(hù)影響評(píng)估等要求的數(shù)據(jù)處理機(jī)構(gòu)，設(shè)定了最低1000萬歐元或全球年?duì)I業(yè)額2%（取高）的罰款標(biāo)準(zhǔn)；如果數(shù)據(jù)處理機(jī)構(gòu)違反了“用戶知情同意權(quán)”、個(gè)人數(shù)據(jù)跨境傳輸?shù)纫螅瑒t要面臨 2000 萬歐元或其全球年?duì)I業(yè)額 4%（取高）的巨額罰款。

2.4 小結(jié)

ISO 29100系列標(biāo)準(zhǔn)強(qiáng)調(diào)隱私保護(hù)原則和隱私的全生命周期保護(hù)；而NIST SP 800-53和SP 800-122則是從風(fēng)險(xiǎn)管理、訪問控制、職責(zé)分離等安全管理和控制手段方面來要求客戶信息保護(hù)，二者均非強(qiáng)制性要求，但是為行業(yè)標(biāo)準(zhǔn)和企業(yè)標(biāo)準(zhǔn)的制定提供了很好的參考和對標(biāo)標(biāo)準(zhǔn)。GDPR則是上升到了法律層面，尤其是“長臂原則”使得歐盟范圍外的很多企業(yè)都受其影響，必須嚴(yán)格遵守其條款，否則將會(huì)受到嚴(yán)厲的制裁。

除了以上標(biāo)準(zhǔn)外，還有一些限定領(lǐng)域的標(biāo)準(zhǔn)規(guī)范，例如ISO 29190、ISO 27018和ISO29134 及NIST SP 800-144等也屬于隱私保護(hù)相關(guān)的標(biāo)準(zhǔn)范疇，分別用于規(guī)范企業(yè)級(jí)隱私保護(hù)等級(jí)的評(píng)價(jià)標(biāo)準(zhǔn)、公共云計(jì)算環(huán)境下的隱私保護(hù)標(biāo)準(zhǔn)和隱私信息管理影響評(píng)估標(biāo)準(zhǔn)等，本文將不再贅述。

3 國家法律法規(guī)

3.1 電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定

《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》[7]是為了保護(hù)電信和互聯(lián)網(wǎng)用戶的合法權(quán)益，維護(hù)網(wǎng)絡(luò)信息安全而制定的法規(guī)，由中華人民共和國工業(yè)和信息化部令第24號(hào)公布，于2013年9月1日起施行。規(guī)定中強(qiáng)調(diào)電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集、使用用戶個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明確了其管轄范圍包括在中華人民共和國境內(nèi)提供的電信服務(wù)和互聯(lián)網(wǎng)信息服務(wù)過程中收集、使用個(gè)人信息的活動(dòng)。同時(shí)，規(guī)定也提出了用戶個(gè)人信息的涵蓋范疇包括用戶姓名、出生日期、身份證號(hào)碼、住址、電話號(hào)碼、賬號(hào)密碼等信息，并重點(diǎn)闡述了這些個(gè)人信息的收集、使用環(huán)節(jié)的執(zhí)行要求和標(biāo)準(zhǔn)。

3.2 中華人民共和國網(wǎng)絡(luò)安全法

《中華人民共和國網(wǎng)絡(luò)安全法》（簡稱《網(wǎng)絡(luò)安全法》）由全國人民代表大會(huì)常務(wù)委員會(huì)發(fā)布，于2017年6月1日起施行。適用于所有在中華人民共和國境內(nèi)建設(shè)、運(yùn)營、維護(hù)和使用的網(wǎng)絡(luò)及網(wǎng)絡(luò)運(yùn)營者。針對用戶個(gè)人信息的保護(hù)，《網(wǎng)絡(luò)安全法》在第四十一至四十五條進(jìn)行了明確闡述，規(guī)范了網(wǎng)絡(luò)運(yùn)營者在用戶個(gè)人信息收集、使用、存儲(chǔ)等環(huán)節(jié)需要遵循的法律條款。也在法律層面明確了用戶個(gè)人信息收集、使用的用戶告知權(quán)利，并首次明確提出所有的個(gè)人信息重要數(shù)據(jù)要境內(nèi)存儲(chǔ)。

4 國家標(biāo)準(zhǔn)

4.1 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南

《公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（以下簡稱《指南》）[8]于2013年2月起實(shí)施。《指南》對個(gè)人信息保護(hù)遵循的原則進(jìn)行了重點(diǎn)闡述，提出了人信息保護(hù)的八項(xiàng)原則，包括目的明確原則、最少夠用原則、公開告知原則、個(gè)人同意原則、質(zhì)量保證原則、安全保障原則、誠信履行原則和責(zé)任明確原則，這也為相關(guān)行業(yè)、企業(yè)標(biāo)準(zhǔn)制定的原則提供了標(biāo)桿性參考。其中公開告知原則、個(gè)人同意原則均在強(qiáng)調(diào)用戶個(gè)人主體明確授權(quán)的權(quán)利，也是該《指南》最顯著的特點(diǎn)，這兩項(xiàng)原則在信息采集和傳輸環(huán)節(jié)又多次被強(qiáng)調(diào)和提出。

4.2 個(gè)人信息安全規(guī)范

《信息安全技術(shù)個(gè)人信息安全規(guī)范》[9]于2017年12月發(fā)布，2018年5月1日開始實(shí)施。規(guī)范重新歸納總結(jié)了責(zé)任原則、目的明確原則、最少夠用原則、同意和選擇原則、質(zhì)量保證原則、確保安全原則、主體參與原則和公開透明原則的新八項(xiàng)原則，將《公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》中的內(nèi)容進(jìn)行了重新歸納和排序，但原則內(nèi)容基本保持一致。

規(guī)范中對個(gè)人信息的全生命周期的收集、傳輸、使用等環(huán)節(jié)進(jìn)行了明確要求，并創(chuàng)新性的強(qiáng)調(diào)了用戶信息收集頻率、用戶明示同意、信息存儲(chǔ)期限等問題，作出了重點(diǎn)要求。此外，規(guī)范的另外一個(gè)亮點(diǎn)，就是對個(gè)人信息提出了分類保護(hù)的概念，建議把個(gè)人信息分為個(gè)人身份和鑒別信息、個(gè)人服務(wù)和數(shù)據(jù)內(nèi)容信息、個(gè)人服務(wù)相關(guān)信息三類，采取相應(yīng)的技術(shù)手段進(jìn)行保護(hù)。

5 影響及建議

對于移動(dòng)運(yùn)營商企業(yè)來說，客戶群體龐大，掌握的客戶信息種類、渠道繁多，信息內(nèi)容較為敏感，因此需要更加嚴(yán)格的遵守客戶信息相關(guān)的規(guī)定，做好認(rèn)真梳理，謹(jǐn)慎核查，以防疏漏。對移動(dòng)運(yùn)營商企業(yè)的客戶信息保護(hù)工作提出幾點(diǎn)建議。

5.1 深入學(xué)習(xí)和研究國際國內(nèi)法律法規(guī)

針對國際和國內(nèi)的法律法規(guī)，企業(yè)法務(wù)部門要進(jìn)行相關(guān)條款的分析和解讀，尤其像GDPR這類具有“長臂原則”的國際法規(guī)，需要認(rèn)真研究其管轄范圍，協(xié)調(diào)公司內(nèi)部各部門梳理涉及相關(guān)條款的子公司、部門、業(yè)務(wù)、設(shè)備、數(shù)據(jù)、人員等，預(yù)先做好法律風(fēng)險(xiǎn)評(píng)估和規(guī)避風(fēng)險(xiǎn)方案。

5.2 對標(biāo)國際國內(nèi)標(biāo)準(zhǔn)，制定行業(yè)或企業(yè)標(biāo)準(zhǔn)

與國際、國內(nèi)標(biāo)準(zhǔn)嚴(yán)格對標(biāo)，并結(jié)合自身行業(yè)或業(yè)務(wù)特點(diǎn)，制定符合移動(dòng)運(yùn)營商業(yè)務(wù)特點(diǎn)的客戶信息保護(hù)行業(yè)或企業(yè)標(biāo)準(zhǔn)。從保護(hù)原則、保護(hù)框架上，要滿足國際國內(nèi)標(biāo)準(zhǔn)要求。同時(shí)要從管理和技術(shù)上，做好客戶信息分級(jí)防護(hù)，確保客戶信息安全無死角。

5.3 對內(nèi)做好定期業(yè)務(wù)審計(jì)、安全審核和風(fēng)險(xiǎn)評(píng)估

企業(yè)業(yè)務(wù)部門和運(yùn)維部門要做好各類客戶信息操作的日志、紙質(zhì)信息材料的留存，并做好日常審計(jì)工作。由信息安全責(zé)任部門定期開展專項(xiàng)安全檢查，包括自查、互查、抽查，找出問題風(fēng)險(xiǎn)，并及時(shí)整改，對客戶信息泄露事件做到事后有據(jù)可查。

5.4 對外做好設(shè)備維護(hù)方、數(shù)據(jù)合作方的資質(zhì)審查、責(zé)任劃分和數(shù)據(jù)保護(hù)

作為運(yùn)營商企業(yè)，擁有大量的設(shè)備維護(hù)方、數(shù)據(jù)合作方等外部廠商、人員和設(shè)備。需要在業(yè)務(wù)合作合同上明確各方工作范圍和接觸數(shù)據(jù)范圍，并且對安全責(zé)任劃分明確，合作方人員需簽署保密協(xié)議。除此之外，對駐地合作方人員、設(shè)備要做好物理隔離，并通過權(quán)限限制、后門檢查、數(shù)據(jù)模糊化等技術(shù)手段，降低對外合作渠道的數(shù)據(jù)泄露風(fēng)險(xiǎn)。

6 結(jié)束語

本文對國內(nèi)外個(gè)人信息保護(hù)相關(guān)的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范進(jìn)行了研究梳理，對其內(nèi)容特點(diǎn)分別做了深入分析，并站在電信運(yùn)營商角度，提出了加強(qiáng)客戶信息保護(hù)的相關(guān)建議。

參考文獻(xiàn)

[1] 全國人民代表大會(huì)常務(wù)委員會(huì)，中華人民共和國網(wǎng)絡(luò)安全法[Z].2016-11-7.

[2] Council of the European Union，General Data Protection Regulation [Z]. 2018-5-25.

[3] ISO 29100，Information Technology-Security Techniques-Privacy Framework， 2011-12-15.

[4] ISO 29101，Information Technology- Security Techniques-Privacy Architecture Framework，2013-10-15.

[5] NIST Special Publication 800-53，Security and Privacy Controls for Federal Information Systems and Organizations，2013-4.

[6] NIST Special Publication 800-122，Guide to Protecting the Confidentiality of Personally Identifiable Information （PII），2010-4.

[7] 中華人民共和國工業(yè)和信息化部.電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定[S].2013-7-16.

[8] GB/Z 28828-2012，信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南[S].

[9] GB/T 35273-2017，信息安全技術(shù)個(gè)人信息安全規(guī)范[S].