GB/T 35273—2017《信息安全技术?个人信息安全规范》解读
2018-09-10 21:37董贞良
中国质量与标准导报 2018年6期
董贞良
GB/T 35273—2017《信息安全技术 个人信息安全规范》在术语定义方面,除了引用GB/T 25069—2010《信息安全技术 术语》中的定义,共定义了14个术语。在下文中,我们重点分析两组词汇:个人信息和个人敏感信息;匿名化和去标识化。在框架方面,GB/T 35273—2017规范了收集、保存、使用、共享、转让、公开披露等信息处理环节,还给出了数据保护指导,例如,安全事件应急和组织管理要求等。
1 个人信息和个人敏感信息
个人信息和个人敏感信息是GB/T 35273—2017中最重要的两个基础词汇,在附录A和附录B中分别给出了示例。
个人信息是指以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反应特定自然人活动的各种信息。
从定义中可以看出,个人信息与存储介质无关,标准中认为判定某项信息是否属于个人信息存在两种情况:一是从信息是否能够识别到特定自然人,或者有助于识别出特定自然人;二是已知的特定自然人在其活动中关联出的信息。由于“有助于识别出特定自然人”也属于个人信息的范畴,这表明个人信息是很宽泛的概念。
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和自然人的隐私信息属于个人敏感信息。
个人敏感信息是个人信息的一部分,在GB/T 35273—2017附录B给出的示例中,个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、网络身份标识信息和其他例如性取向和婚史等信息,既作为个人信息的示例,又作为个人敏感信息的示例。
这其中又涉及另一个概念——隐私。在GB/T 35273—2017中,没有单独定义隐私,但是“自然人的隐私信息属于个人敏感信息”,这说明隐私是个人敏感信息的一部分。因此,个人信息、个人敏感信息和隐私三者关系如图1所示。
图1 个人信息、个人敏感信息和隐私的关系
2 匿名化和去标识化
匿名化和去标识化是保护个人信息最重要的两种技术处理手段。
匿名化是指通过个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。
用到个人信息的诸多场景并不能避免,因此只能通过技术处理来解决这个问题。匿名化是最常见的手段之一,例如,在社会科学研究中,尤其是敏感问题调查中,一般都是采用匿名化处理的。
标准中还有一个非常重要的注解,个人信息经过匿名化处理后所得的信息不属于个人信息。这点很重要,可见,科研过程中用到的匿名信息不属于个人信息的范畴。
去标识化是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。
去标识化是更复杂的技术处理手段,例如,通过假名、加密、哈希函数等手段替代个人信息的标识。由于相对复杂,因此目前有正在征求意见稿阶段的《信息安全技术 个人信息去标识化指南》,更多信息,可以关注该标准。
3 框架和主要内容
GB/T 35273—2017正文共10章,另有4个资料性附录。
正文前3章说明了范围、规范性引用文件、术语和定义。
第4章提出了个人信息安全的基本原则,即权责一致原则、目的明确原则、最少够用原则、公开透明原则和确保安全原则。类似的原则在GB/Z 28828—2012《信息安全技术 公共及商用服务信息系统个人信息保护指南》中也出现过。
第5章至第7章,按照个人信息生命周期从个人信息的收集、存储和使用3个方面提出要求。值得指出的是,在个人信息收集章节中,有隐私政策的相关内容,如上文所述,本标准中并没有定义隐私。
第8章提出个人信息的委托处理、共享、转让、公开披露的要求,其中包括了个人信息跨境传输要求,但是未做详细要求,另见他文。
第9章提出了个人信息安全事件处置的要求,这个流程与通用的信息安全事件管理基本保持了一致,但是需要逐一告知个人信息主体。
第10章提出组织的管理要求。这部分要求主要来自现有的信息安全“良好实践(Good Practice)”,例如包括了责任分配、影响评估和安全审计等内容。
4 与其他规范的兼容性
GB/T 35273—2017与现有的法律法规和标准保持了一致,目录及其简要分析如表1所示。
5 小結
GB/T 35273—2017规范了个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节的相关行为,对于遏制个人信息非法收集、滥用、泄露等乱象,最大程度地保障个人的合法权益和社会公共利益,必将起到积极的作用。GB/T 35273—2017于2018年5月1日正式开始实施,这意味着,个人信息保护虽然尚未进入“有法可依”的时代,但确实已经进入了“有章可循”的阶段。
(注:本文仅做学术探讨,与作者所在单位观点无关)
参考文献
[1]谢宗晓. 信息安全管理体系实施指南(第二版)[M]. 北 京:中国质检出版社/中国标准出版社,2017.
[2]谢宗晓. 政府部门信息安全管理基本要求理解与实施[M].北京:中国标准出版社,2014.
[3]谢宗晓,甄杰,林润辉,等. 网络空间安全管理[M]. 北 京:中国标准出版社,2016.
猜你喜欢
幼儿教育·父母孩子版(2022年4期)2022-05-08
职工法律天地·上半月(2021年6期)2021-08-03
中国军转民·下半月(2021年12期)2021-02-15
VOGUE服饰与美容(2020年9期)2020-09-02
读书文摘(下半月)(2020年11期)2020-05-26
疯狂英语·爱英语(2020年9期)2020-01-07
娃娃乐园·3-7岁综合智能(2016年2期)2016-10-24
娃娃乐园·3-7岁综合智能(2016年6期)2016-09-19
语文世界(初中版)(2014年8期)2014-10-14
高中生·青春励志(2009年11期)2009-12-03
