劉佳　張琳

摘 要：論文針對個人客戶信息保護相關(guān)的重要法律法規(guī)及標準進行分析，指出了各個標準的應(yīng)用范圍、關(guān)注重點和亮點，并針對移動運營商企業(yè)的客戶數(shù)量龐大、客戶信息種類多和客戶信息敏感的特點，為移動運營商企業(yè)提出了客戶信息保護的實施建議。

關(guān)鍵詞：個人信息；法律法規(guī)；國際標準

中圖分類號：TP 393.08 文獻標識碼：A

1 引言

近年來，F(xiàn)acebook、阿里巴巴、京東等大型互聯(lián)網(wǎng)公司均曾陷入過客戶信息泄露風(fēng)波。隨著數(shù)據(jù)泄露事件的增多，各國政府及標準化組織，出臺了一系列相關(guān)的法律法規(guī)及標準規(guī)范，對客戶信息提出了明確的保護要求和建議。2017年6月《網(wǎng)絡(luò)安全法》[1]正式實施，2018年5月歐盟《通用數(shù)據(jù)保護規(guī)范》[2]正式實施，這都標志著國際和國內(nèi)政府對客戶信息安全的保護要求提到了新的高度。在越來越多、越來越嚴格的客戶信息保護制度下，作為客戶信息“集散地”之一的電信運營商，該如何保護自己的“數(shù)據(jù)資產(chǎn)”，是運營商企業(yè)非常重視的問題。本文從國際和國內(nèi)的個人信息保護相關(guān)的主要標準規(guī)范入手，對其內(nèi)容特點分別做了深入分析，并提出了電信運營商企業(yè)的客戶信息保護建議。

2 國際標準

國際標準化組織對個人隱私數(shù)據(jù)的保護起步較早，國際標準化組織（International Organization for Standardization，ISO）、美國國家標準與技術(shù)研究院（National Institute of Standards and Technology，NIST）等組織在2011年前后出臺了個人隱私數(shù)據(jù)保護的系列標準，尤其是歐盟近期出臺的通用數(shù)據(jù)保護規(guī)范（General Data Protection Regulation，GDPR），被認為史上最嚴的個人數(shù)據(jù)保護條例。

2.1 ISO 29100系列

國際標準化組織在2011年和2013年分別出臺了安全技術(shù)隱私保護框架ISO 29100[3]和隱私保護體系架構(gòu)ISO 29101[4]，標準中提出了隱私信息保護的要素、架構(gòu)、原則及全生命周期等內(nèi)容，旨在提供隱私保護的標準保護框架。

ISO 29100對隱私框架的基本要素進行了定義，列舉了隱私保護遵守的原則。標準中認為，隱私保護框架的基本要素包括參與者、角色、交互、對隱私信息的識別、隱私防護要求、隱私策略和隱私控制等，并對隱私數(shù)據(jù)的采集、使用、存儲三個階段提出了規(guī)范性要求，對數(shù)據(jù)保障措施和監(jiān)督審查兩個環(huán)節(jié)進行了重點描述，并建議涉及隱私保護的服務(wù)和應(yīng)用均在此標準架構(gòu)的基礎(chǔ)上進行標準開發(fā)。

ISO 29101在隱私數(shù)據(jù)的全生命周期環(huán)節(jié)上，比ISO29100要求更加全面，描述了信息采集、傳輸、使用、存儲和銷毀五個階段的要求，并提出了組件、角色和交互三種結(jié)構(gòu)視圖，與ISO 29100中的隱私保護原則進行對應(yīng)。同時，ISO 29101中提出了對隱私數(shù)據(jù)進行分級保護的概念，可分為敏感和非敏感級，但是并未對各類數(shù)據(jù)做明確的保護要求。

2.2 NIST出臺的相關(guān)標準

美國國家標準與技術(shù)研究院針對個人隱私數(shù)據(jù)也進行了研究，并出臺了一系列標準和報告，NIST SP 800系列為風(fēng)險控制類標準，其中與客戶信息相關(guān)的標準包括NIST SP 800-53[5]、NIST SP 800-122[6]等。

NIST SP 800-53為聯(lián)邦信息系統(tǒng)的安全和隱私控制規(guī)范，提出了隱私風(fēng)險評估的具體流程、步驟和風(fēng)險計算方法，制定了隱私控制目錄，包含8類26個控制措施，每一個控制措施均分為一般要求和增強要求，并對應(yīng)了不同的隱私保護級別，更便于組織機構(gòu)在實施安全控制措施的同時，實施隱私控制措施的要求。

NIST SP 800-122為個人身份信息機密性指南，標準中提出對個人身份信息要從技術(shù)、管理、物理防護等多維度采取有效防護和控制措施，建議組織機構(gòu)應(yīng)使用基于風(fēng)險管理的方法保護個人身份信息，也是對NIST SP 800-53附錄中提出的“隱私控制”內(nèi)容的細化。

2.3 通用數(shù)據(jù)保護規(guī)范

2018年5月25日，歐盟的《通用數(shù)據(jù)保護規(guī)范》（General Data Protection Regulation，GDPR）正式生效。較之前的個人數(shù)據(jù)保護標準，GDPR在管轄范圍、個人數(shù)據(jù)范圍、保護實施要求、監(jiān)管懲罰力度等方面都提出了非常高的要求和標準，因此被稱為“史上最嚴數(shù)據(jù)保護法案”。

（1）管轄范圍更寬泛

GDPR采用了“長臂管轄”原則，指出所有設(shè)立在歐盟境內(nèi)的數(shù)據(jù)控制或者處理機構(gòu)，其個人用戶數(shù)據(jù)處理行為無論是否發(fā)生在歐盟境內(nèi)均受GDPR約束管控；而對于設(shè)立在歐盟境外的數(shù)據(jù)控制或者處理機構(gòu)，如果其向歐盟境內(nèi)用戶服務(wù)過程中存在個人數(shù)據(jù)處理行為，那么該機構(gòu)也要遵守GDPR的規(guī)范要求。

（2）個人數(shù)據(jù)范圍廣

GDPR中明確規(guī)定，與一個確定的或可識別的自然人相關(guān)的任何信息，如姓名、身份證號碼、位置數(shù)據(jù)、在線身份識別等標識符，或自然人的身體、生理、遺傳、心理、經(jīng)濟、文化或社會身份有關(guān)的一個或多個因素均納入“個人數(shù)據(jù)”，同時，對以上信息進行的任何操作例如挖掘分析的結(jié)果數(shù)據(jù)也應(yīng)納入GDPR管轄的個人數(shù)據(jù)范圍。

（3）保護實施要求高

GDPR在“用戶權(quán)利”“數(shù)據(jù)處理”等方面提出了更加嚴格的要求?！皵?shù)據(jù)處理”環(huán)節(jié)，需要對數(shù)據(jù)處理行為進行全面記錄，確保數(shù)據(jù)處理過程的安全，并要實施個人數(shù)據(jù)保護影響評估；在“用戶權(quán)利”環(huán)節(jié)，在“用戶知情權(quán)”方面強調(diào)用戶必須對個人數(shù)據(jù)的收集使用作出具體明晰的同意行為，而沉默、默認勾選等方式均不能作為同意依據(jù)，除此之外，在用戶權(quán)利方面針對用戶的更正權(quán)、被遺忘權(quán)、拒絕權(quán)等都做了明確規(guī)定，加強了用戶主體權(quán)利的保護。

（4）監(jiān)管懲罰力度大

GDPR對違規(guī)數(shù)據(jù)處理的行為采取了分級處罰方式。針對未做好數(shù)據(jù)處理記錄、未進行數(shù)據(jù)保護影響評估等要求的數(shù)據(jù)處理機構(gòu)，設(shè)定了最低1000萬歐元或全球年營業(yè)額2%（取高）的罰款標準；如果數(shù)據(jù)處理機構(gòu)違反了“用戶知情同意權(quán)”、個人數(shù)據(jù)跨境傳輸?shù)纫?，則要面臨 2000 萬歐元或其全球年營業(yè)額 4%（取高）的巨額罰款。

2.4 小結(jié)

ISO 29100系列標準強調(diào)隱私保護原則和隱私的全生命周期保護；而NIST SP 800-53和SP 800-122則是從風(fēng)險管理、訪問控制、職責(zé)分離等安全管理和控制手段方面來要求客戶信息保護，二者均非強制性要求，但是為行業(yè)標準和企業(yè)標準的制定提供了很好的參考和對標標準。GDPR則是上升到了法律層面，尤其是“長臂原則”使得歐盟范圍外的很多企業(yè)都受其影響，必須嚴格遵守其條款，否則將會受到嚴厲的制裁。

除了以上標準外，還有一些限定領(lǐng)域的標準規(guī)范，例如ISO 29190、ISO 27018和ISO29134 及NIST SP 800-144等也屬于隱私保護相關(guān)的標準范疇，分別用于規(guī)范企業(yè)級隱私保護等級的評價標準、公共云計算環(huán)境下的隱私保護標準和隱私信息管理影響評估標準等，本文將不再贅述。

3 國家法律法規(guī)

3.1 電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定

《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》[7]是為了保護電信和互聯(lián)網(wǎng)用戶的合法權(quán)益，維護網(wǎng)絡(luò)信息安全而制定的法規(guī)，由中華人民共和國工業(yè)和信息化部令第24號公布，于2013年9月1日起施行。規(guī)定中強調(diào)電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集、使用用戶個人信息，應(yīng)當遵循合法、正當、必要的原則，明確了其管轄范圍包括在中華人民共和國境內(nèi)提供的電信服務(wù)和互聯(lián)網(wǎng)信息服務(wù)過程中收集、使用個人信息的活動。同時，規(guī)定也提出了用戶個人信息的涵蓋范疇包括用戶姓名、出生日期、身份證號碼、住址、電話號碼、賬號密碼等信息，并重點闡述了這些個人信息的收集、使用環(huán)節(jié)的執(zhí)行要求和標準。

3.2 中華人民共和國網(wǎng)絡(luò)安全法

《中華人民共和國網(wǎng)絡(luò)安全法》（簡稱《網(wǎng)絡(luò)安全法》）由全國人民代表大會常務(wù)委員會發(fā)布，于2017年6月1日起施行。適用于所有在中華人民共和國境內(nèi)建設(shè)、運營、維護和使用的網(wǎng)絡(luò)及網(wǎng)絡(luò)運營者。針對用戶個人信息的保護，《網(wǎng)絡(luò)安全法》在第四十一至四十五條進行了明確闡述，規(guī)范了網(wǎng)絡(luò)運營者在用戶個人信息收集、使用、存儲等環(huán)節(jié)需要遵循的法律條款。也在法律層面明確了用戶個人信息收集、使用的用戶告知權(quán)利，并首次明確提出所有的個人信息重要數(shù)據(jù)要境內(nèi)存儲。

4 國家標準

4.1 公共及商用服務(wù)信息系統(tǒng)個人信息保護指南

《公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》（以下簡稱《指南》）[8]于2013年2月起實施?！吨改稀穼€人信息保護遵循的原則進行了重點闡述，提出了人信息保護的八項原則，包括目的明確原則、最少夠用原則、公開告知原則、個人同意原則、質(zhì)量保證原則、安全保障原則、誠信履行原則和責(zé)任明確原則，這也為相關(guān)行業(yè)、企業(yè)標準制定的原則提供了標桿性參考。其中公開告知原則、個人同意原則均在強調(diào)用戶個人主體明確授權(quán)的權(quán)利，也是該《指南》最顯著的特點，這兩項原則在信息采集和傳輸環(huán)節(jié)又多次被強調(diào)和提出。

4.2 個人信息安全規(guī)范

《信息安全技術(shù)個人信息安全規(guī)范》[9]于2017年12月發(fā)布，2018年5月1日開始實施。規(guī)范重新歸納總結(jié)了責(zé)任原則、目的明確原則、最少夠用原則、同意和選擇原則、質(zhì)量保證原則、確保安全原則、主體參與原則和公開透明原則的新八項原則，將《公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》中的內(nèi)容進行了重新歸納和排序，但原則內(nèi)容基本保持一致。

規(guī)范中對個人信息的全生命周期的收集、傳輸、使用等環(huán)節(jié)進行了明確要求，并創(chuàng)新性的強調(diào)了用戶信息收集頻率、用戶明示同意、信息存儲期限等問題，作出了重點要求。此外，規(guī)范的另外一個亮點，就是對個人信息提出了分類保護的概念，建議把個人信息分為個人身份和鑒別信息、個人服務(wù)和數(shù)據(jù)內(nèi)容信息、個人服務(wù)相關(guān)信息三類，采取相應(yīng)的技術(shù)手段進行保護。

5 影響及建議

對于移動運營商企業(yè)來說，客戶群體龐大，掌握的客戶信息種類、渠道繁多，信息內(nèi)容較為敏感，因此需要更加嚴格的遵守客戶信息相關(guān)的規(guī)定，做好認真梳理，謹慎核查，以防疏漏。對移動運營商企業(yè)的客戶信息保護工作提出幾點建議。

5.1 深入學(xué)習(xí)和研究國際國內(nèi)法律法規(guī)

針對國際和國內(nèi)的法律法規(guī)，企業(yè)法務(wù)部門要進行相關(guān)條款的分析和解讀，尤其像GDPR這類具有“長臂原則”的國際法規(guī)，需要認真研究其管轄范圍，協(xié)調(diào)公司內(nèi)部各部門梳理涉及相關(guān)條款的子公司、部門、業(yè)務(wù)、設(shè)備、數(shù)據(jù)、人員等，預(yù)先做好法律風(fēng)險評估和規(guī)避風(fēng)險方案。

5.2 對標國際國內(nèi)標準，制定行業(yè)或企業(yè)標準

與國際、國內(nèi)標準嚴格對標，并結(jié)合自身行業(yè)或業(yè)務(wù)特點，制定符合移動運營商業(yè)務(wù)特點的客戶信息保護行業(yè)或企業(yè)標準。從保護原則、保護框架上，要滿足國際國內(nèi)標準要求。同時要從管理和技術(shù)上，做好客戶信息分級防護，確?？蛻粜畔踩珶o死角。

5.3 對內(nèi)做好定期業(yè)務(wù)審計、安全審核和風(fēng)險評估

企業(yè)業(yè)務(wù)部門和運維部門要做好各類客戶信息操作的日志、紙質(zhì)信息材料的留存，并做好日常審計工作。由信息安全責(zé)任部門定期開展專項安全檢查，包括自查、互查、抽查，找出問題風(fēng)險，并及時整改，對客戶信息泄露事件做到事后有據(jù)可查。

5.4 對外做好設(shè)備維護方、數(shù)據(jù)合作方的資質(zhì)審查、責(zé)任劃分和數(shù)據(jù)保護

作為運營商企業(yè)，擁有大量的設(shè)備維護方、數(shù)據(jù)合作方等外部廠商、人員和設(shè)備。需要在業(yè)務(wù)合作合同上明確各方工作范圍和接觸數(shù)據(jù)范圍，并且對安全責(zé)任劃分明確，合作方人員需簽署保密協(xié)議。除此之外，對駐地合作方人員、設(shè)備要做好物理隔離，并通過權(quán)限限制、后門檢查、數(shù)據(jù)模糊化等技術(shù)手段，降低對外合作渠道的數(shù)據(jù)泄露風(fēng)險。

6 結(jié)束語

本文對國內(nèi)外個人信息保護相關(guān)的法律法規(guī)和標準規(guī)范進行了研究梳理，對其內(nèi)容特點分別做了深入分析，并站在電信運營商角度，提出了加強客戶信息保護的相關(guān)建議。

參考文獻

[1] 全國人民代表大會常務(wù)委員會，中華人民共和國網(wǎng)絡(luò)安全法[Z].2016-11-7.

[2] Council of the European Union，General Data Protection Regulation [Z]. 2018-5-25.

[3] ISO 29100，Information Technology-Security Techniques-Privacy Framework， 2011-12-15.

[4] ISO 29101，Information Technology- Security Techniques-Privacy Architecture Framework，2013-10-15.

[5] NIST Special Publication 800-53，Security and Privacy Controls for Federal Information Systems and Organizations，2013-4.

[6] NIST Special Publication 800-122，Guide to Protecting the Confidentiality of Personally Identifiable Information （PII），2010-4.

[7] 中華人民共和國工業(yè)和信息化部.電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定[S].2013-7-16.

[8] GB/Z 28828-2012，信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南[S].

[9] GB/T 35273-2017，信息安全技術(shù)個人信息安全規(guī)范[S].