董貞良

GB/T 35273—2017《信息安全技術(shù) 個人信息安全規(guī)范》在術(shù)語定義方面，除了引用GB/T 25069—2010《信息安全技術(shù) 術(shù)語》中的定義，共定義了14個術(shù)語。在下文中，我們重點(diǎn)分析兩組詞匯：個人信息和個人敏感信息；匿名化和去標(biāo)識化。在框架方面，GB/T 35273—2017規(guī)范了收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)，還給出了數(shù)據(jù)保護(hù)指導(dǎo)，例如，安全事件應(yīng)急和組織管理要求等。

1 個人信息和個人敏感信息

個人信息和個人敏感信息是GB/T 35273—2017中最重要的兩個基礎(chǔ)詞匯，在附錄A和附錄B中分別給出了示例。

個人信息是指以電子或其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反應(yīng)特定自然人活動的各種信息。

從定義中可以看出，個人信息與存儲介質(zhì)無關(guān)，標(biāo)準(zhǔn)中認(rèn)為判定某項(xiàng)信息是否屬于個人信息存在兩種情況：一是從信息是否能夠識別到特定自然人，或者有助于識別出特定自然人；二是已知的特定自然人在其活動中關(guān)聯(lián)出的信息。由于“有助于識別出特定自然人”也屬于個人信息的范疇，這表明個人信息是很寬泛的概念。

個人敏感信息是指一旦泄露、非法提供或?yàn)E用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇等的個人信息。通常情況下，14歲以下（含）兒童的個人信息和自然人的隱私信息屬于個人敏感信息。

個人敏感信息是個人信息的一部分，在GB/T 35273—2017附錄B給出的示例中，個人財產(chǎn)信息、個人健康生理信息、個人生物識別信息、個人身份信息、網(wǎng)絡(luò)身份標(biāo)識信息和其他例如性取向和婚史等信息，既作為個人信息的示例，又作為個人敏感信息的示例。

這其中又涉及另一個概念——隱私。在GB/T 35273—2017中，沒有單獨(dú)定義隱私，但是“自然人的隱私信息屬于個人敏感信息”，這說明隱私是個人敏感信息的一部分。因此，個人信息、個人敏感信息和隱私三者關(guān)系如圖1所示。

圖1 個人信息、個人敏感信息和隱私的關(guān)系

2 匿名化和去標(biāo)識化

匿名化和去標(biāo)識化是保護(hù)個人信息最重要的兩種技術(shù)處理手段。

匿名化是指通過個人信息的技術(shù)處理，使得個人信息主體無法被識別，且處理后的信息不能被復(fù)原的過程。

用到個人信息的諸多場景并不能避免，因此只能通過技術(shù)處理來解決這個問題。匿名化是最常見的手段之一，例如，在社會科學(xué)研究中，尤其是敏感問題調(diào)查中，一般都是采用匿名化處理的。

標(biāo)準(zhǔn)中還有一個非常重要的注解，個人信息經(jīng)過匿名化處理后所得的信息不屬于個人信息。這點(diǎn)很重要，可見，科研過程中用到的匿名信息不屬于個人信息的范疇。

去標(biāo)識化是指通過對個人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程。

去標(biāo)識化是更復(fù)雜的技術(shù)處理手段，例如，通過假名、加密、哈希函數(shù)等手段替代個人信息的標(biāo)識。由于相對復(fù)雜，因此目前有正在征求意見稿階段的《信息安全技術(shù) 個人信息去標(biāo)識化指南》，更多信息，可以關(guān)注該標(biāo)準(zhǔn)。

3 框架和主要內(nèi)容

GB/T 35273—2017正文共10章，另有4個資料性附錄。

正文前3章說明了范圍、規(guī)范性引用文件、術(shù)語和定義。

第4章提出了個人信息安全的基本原則，即權(quán)責(zé)一致原則、目的明確原則、最少夠用原則、公開透明原則和確保安全原則。類似的原則在GB/Z 28828—2012《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》中也出現(xiàn)過。

第5章至第7章，按照個人信息生命周期從個人信息的收集、存儲和使用3個方面提出要求。值得指出的是，在個人信息收集章節(jié)中，有隱私政策的相關(guān)內(nèi)容，如上文所述，本標(biāo)準(zhǔn)中并沒有定義隱私。

第8章提出個人信息的委托處理、共享、轉(zhuǎn)讓、公開披露的要求，其中包括了個人信息跨境傳輸要求，但是未做詳細(xì)要求，另見他文。

第9章提出了個人信息安全事件處置的要求，這個流程與通用的信息安全事件管理基本保持了一致，但是需要逐一告知個人信息主體。

第10章提出組織的管理要求。這部分要求主要來自現(xiàn)有的信息安全“良好實(shí)踐（Good Practice）”，例如包括了責(zé)任分配、影響評估和安全審計(jì)等內(nèi)容。

4 與其他規(guī)范的兼容性

GB/T 35273—2017與現(xiàn)有的法律法規(guī)和標(biāo)準(zhǔn)保持了一致，目錄及其簡要分析如表1所示。

5 小結(jié)

GB/T 35273—2017規(guī)范了個人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)的相關(guān)行為，對于遏制個人信息非法收集、濫用、泄露等亂象，最大程度地保障個人的合法權(quán)益和社會公共利益，必將起到積極的作用。GB/T 35273—2017于2018年5月1日正式開始實(shí)施，這意味著，個人信息保護(hù)雖然尚未進(jìn)入“有法可依”的時代，但確實(shí)已經(jīng)進(jìn)入了“有章可循”的階段。

（注：本文僅做學(xué)術(shù)探討，與作者所在單位觀點(diǎn)無關(guān)）

參考文獻(xiàn)

[1]謝宗曉. 信息安全管理體系實(shí)施指南（第二版）[M]. 北 京：中國質(zhì)檢出版社/中國標(biāo)準(zhǔn)出版社，2017.

[2]謝宗曉. 政府部門信息安全管理基本要求理解與實(shí)施[M].北京：中國標(biāo)準(zhǔn)出版社，2014.

[3]謝宗曉，甄杰，林潤輝，等. 網(wǎng)絡(luò)空間安全管理[M]. 北 京：中國標(biāo)準(zhǔn)出版社，2016.