GB/T 35273—2017《信息安全技術?個人信息安全規范》解讀

董貞良

GB/T 35273—2017《信息安全技術 個人信息安全規范》在術語定義方面，除了引用GB/T 25069—2010《信息安全技術 術語》中的定義，共定義了14個術語。在下文中，我們重點分析兩組詞匯：個人信息和個人敏感信息；匿名化和去標識化。在框架方面，GB/T 35273—2017規范了收集、保存、使用、共享、轉讓、公開披露等信息處理環節，還給出了數據保護指導，例如，安全事件應急和組織管理要求等。

1 個人信息和個人敏感信息

個人信息和個人敏感信息是GB/T 35273—2017中最重要的兩個基礎詞匯，在附錄A和附錄B中分別給出了示例。

個人信息是指以電子或其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反應特定自然人活動的各種信息。

從定義中可以看出，個人信息與存儲介質無關，標準中認為判定某項信息是否屬于個人信息存在兩種情況：一是從信息是否能夠識別到特定自然人，或者有助于識別出特定自然人；二是已知的特定自然人在其活動中關聯出的信息。由于“有助于識別出特定自然人”也屬于個人信息的范疇，這表明個人信息是很寬泛的概念。

個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。通常情況下，14歲以下（含）兒童的個人信息和自然人的隱私信息屬于個人敏感信息。

個人敏感信息是個人信息的一部分，在GB/T 35273—2017附錄B給出的示例中，個人財產信息、個人健康生理信息、個人生物識別信息、個人身份信息、網絡身份標識信息和其他例如性取向和婚史等信息，既作為個人信息的示例，又作為個人敏感信息的示例。

這其中又涉及另一個概念——隱私。在GB/T 35273—2017中，沒有單獨定義隱私，但是“自然人的隱私信息屬于個人敏感信息”，這說明隱私是個人敏感信息的一部分。因此，個人信息、個人敏感信息和隱私三者關系如圖1所示。

圖1 個人信息、個人敏感信息和隱私的關系

2 匿名化和去標識化

匿名化和去標識化是保護個人信息最重要的兩種技術處理手段。

匿名化是指通過個人信息的技術處理，使得個人信息主體無法被識別，且處理后的信息不能被復原的過程。

用到個人信息的諸多場景并不能避免，因此只能通過技術處理來解決這個問題。匿名化是最常見的手段之一，例如，在社會科學研究中，尤其是敏感問題調查中，一般都是采用匿名化處理的。

標準中還有一個非常重要的注解，個人信息經過匿名化處理后所得的信息不屬于個人信息。這點很重要，可見，科研過程中用到的匿名信息不屬于個人信息的范疇。

去標識化是指通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程。

去標識化是更復雜的技術處理手段，例如，通過假名、加密、哈希函數等手段替代個人信息的標識。由于相對復雜，因此目前有正在征求意見稿階段的《信息安全技術 個人信息去標識化指南》，更多信息，可以關注該標準。

3 框架和主要內容

GB/T 35273—2017正文共10章，另有4個資料性附錄。

正文前3章說明了范圍、規范性引用文件、術語和定義。

第4章提出了個人信息安全的基本原則，即權責一致原則、目的明確原則、最少夠用原則、公開透明原則和確保安全原則。類似的原則在GB/Z 28828—2012《信息安全技術 公共及商用服務信息系統個人信息保護指南》中也出現過。

第5章至第7章，按照個人信息生命周期從個人信息的收集、存儲和使用3個方面提出要求。值得指出的是，在個人信息收集章節中，有隱私政策的相關內容，如上文所述，本標準中并沒有定義隱私。

第8章提出個人信息的委托處理、共享、轉讓、公開披露的要求，其中包括了個人信息跨境傳輸要求，但是未做詳細要求，另見他文。

第9章提出了個人信息安全事件處置的要求，這個流程與通用的信息安全事件管理基本保持了一致，但是需要逐一告知個人信息主體。

第10章提出組織的管理要求。這部分要求主要來自現有的信息安全“良好實踐（Good Practice）”，例如包括了責任分配、影響評估和安全審計等內容。

4 與其他規范的兼容性

GB/T 35273—2017與現有的法律法規和標準保持了一致，目錄及其簡要分析如表1所示。

5 小結

GB/T 35273—2017規范了個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節的相關行為，對于遏制個人信息非法收集、濫用、泄露等亂象，最大程度地保障個人的合法權益和社會公共利益，必將起到積極的作用。GB/T 35273—2017于2018年5月1日正式開始實施，這意味著，個人信息保護雖然尚未進入“有法可依”的時代，但確實已經進入了“有章可循”的階段。

（注：本文僅做學術探討，與作者所在單位觀點無關）

參考文獻

[1]謝宗曉. 信息安全管理體系實施指南（第二版）[M]. 北 京：中國質檢出版社/中國標準出版社，2017.

[2]謝宗曉. 政府部門信息安全管理基本要求理解與實施[M].北京：中國標準出版社，2014.

[3]謝宗曉，甄杰，林潤輝，等. 網絡空間安全管理[M]. 北 京：中國標準出版社，2016.