个人信息安全规范》辨析
郎庆斌
摘要:《个人信息安全规范》作为社会普适的标准,应以个人信息安全为目标,以管理为主线,以个人信息生命周期为导向,扎实基础,严谨规则,传递全社会适用的个人信息安全标准规则的意义,并与质量管理体系、服务管理体系、信息安全管理体系相互借鉴、融合,保证个人信息管理的科学性、有效性。
关键字:个人信息 个人信息安全 个人信息管理
GB/T 35273-2017《信息安全技术 个人信息安全规范》(以下简称规范)将于51日开始实施,这是我国社会生活中的一件大事,对规范全社会个人信息使用,具有深远意义。
然而,通观规范全文,存在太多的规则缝隙,因而,存在严重的安全风险、缺陷,甚至严重的缺陷。试辨析规范,与起草者商榷。
一、标准题目
1个人敏感信息、题目与规则对应
规范标题所传达的应是个人信息安全,依据标题,编制个人信息安全标准,应该如何建立规则,保障个人信息相对安全:
a)明确个人信息存在形态、形式,建立个人信息安全模型;
b)明确个人信息安全本质,建立个人信息管理模型;
c)聚焦管理要素,达成管理结果,建立管理体系;
d)明确个人信息生命周期,确立体系框架内的管理环节;
e)基于ISMS的安全管理等等。
2、题目与内涵
标准名称《信息安全技术  个人信息安全规范》,应是普适的标准,可是,标准虽未明确限定为信息网络系统,然而,标准条文所传递的内涵,似乎如斯,应该如何理解?规范信息网
络系统的个人信息处理本身没有问题,但是,如何界定标准的边界,特别是外部边界?依据标准名称,如何与信息网络系统之外的社会、生活、政治、经济等现实对标?
如果仅仅限定为信息网络系统,如何保证个人信息来源的安全性、合法性(第5章仅限于一些收集的约束条件,并不明确个人信息源);果以信息系统为基,放大到网络,如何保证个人信息安全(并不限于规范限定的条件)?
在我国的国情中,存在大量的以纸质及其它形态媒介保存的个人信息,而这一部分恰恰是保护的重点(采集或录入恐怕都存在这种状况),如果仅限于信息网络系统处理个人信息(如规范制定的规则),如何防止信息系统处理个人信息向纸质及其它形态媒介转移,从而产生严重的边界效应,所谓暗度陈仓,多少非法使用可以假汝之名。
规范注重形式,疏于要义,倾向功利化。个人信息安全是一个生态问题,是寄生在社会生态中的生态系统,因此,是跨领域、跨行业的复合科学问题,需要概念、理论、实践等较深刻的研究和相当充分的实践验证(即目前所谓最佳实践)。
二、标准结构
1、逻辑主线。
编制标准,需要设计一条严谨的、贯穿始终的逻辑主线,个人信息安全标准的逻辑主线,应是个人信息生命周期的服务管理过程。规范仅仅截取了个人信息收集、处理过程控制的不完全逻辑,使标准的执行效能、可操作性大大降低。
2、管理和管理体系
毋论信息安全、个人信息安全,关键是管理。管理缺失,无论约束什么规则,都是欠缺的、无法达成相对安全的目的。个人信息安全标准应以管理为主线,服务个人信息主体,管控个人信息质量,制定相应的约束规则。
但组织内的管理是多维、发散的,需要建立个人信息安全管理体系,聚焦2维或3维个人信息管理要素。一如ISO9001所述“采用质量管理体系应该是组织的一项战略决策,可以帮助组织改进其整体绩效,并为可持续发展计划提供良好的基础”。体系收敛管理维度,聚焦管理、质量、过程,是发散的管理形成的结果。
个人信息管理者占有、管理个人信息,明确个人信息安全承诺。因而,必须确定其管理责任
、义务和管理机制、策略,约束其管理行为或活动,以规范的形式,确立个人信息安全的导向。
个人信息管理者内存在各种人员要素。必须指定责任主体,明确职能、职责。而非笼统地规定个人信息管理者的行为规则,可能造成事件责任主体不清,推诿扯皮,失去标准的效能。
个人信息安全管理体系是组织为保障个人信息安全和个人信息主体权益构建的制度化、规范化、科学化的管理体制。不能简单认为组织内体系多如牛毛,而采取发散式管理,亟易产生责任交叉、边界效应、规范客体不清等弊端。虽然,一体化体系建设是发展方向,但囿于目前国际、国内标准建设的发展,只能逐步与各种管理体系融合、协调,减少体系间的冲突,而不是因噎废食。
譬如:
1)明显缺失个人信息主体权利规则。个人信息安全标准,必须明确个人信息主体权利。法律赋予权利,与标准互为救济,但不应强调法律权利,而忽视标准的作用。
2)必须明确个人信息管理者(个人信息控制者)的责任和义务。规范将管理者的责任和个
人信息安全原则混为一谈,削弱了个人信息管理者应承担的责任,或可逃避担责。
3)由于标准缺失管理规则,缺少体系管理,故标准缺失了过程管理。一如ISO9001所述“将相互关联的过程做为体系理解和管理,会有助于组织实现其预期结果的有效性和效率。该方法能够使组织控制体系的过程间的相互关系和相互依存,提高组织的整体绩效”。
4)由于标准缺失管理规则,缺少体系管理,故标准缺失内部审计、过程改进,这是确定个人信息管理效果的有效途径。
在制定相应标准时,如何在无法律依托下保证标准的严谨性和可操作性,保证行业自律的有效性和充分性,是需要认真研究的。
规范缺失管理主体,缺失管理要素聚集,缺失体系整合。
3、个人信息生命周期
个人信息生命周期是个人信息管理者向个人信息主体提供全周期服务管理的过程。个人信息管理者通过计划、组织、协调个人信息相关资源需求与个人信息主体的符合性,采取相应的
规范化、系列化控制策略和控制措施,保证个人信息的安全。在服务过程中,个人信息主体通过与个人信息管理者的互动,感知服务质量,认知个人信息管理者在管理服务中的个人信息管理策略、管理机制、方式方法等。
个人信息生命周期,包括个人信息获取过程、个人信息处理过程、基于生命周期的过程管理等三个管理环节。
因此,在管理体系框架内,基于个人信息生命周期的个人信息管理,是保证个人信息安全的关键要素。
规范缺失个人信息生命周期的规范,也是个人信息发散管理的主要原因。
4、同一性
因而,标准应与GB/T 19001GB/T 24405.1GB/T 24405.2GB/T 22080GB/T 22081对应,并相互兼容,这是目前ISO/IEC标准体系的趋势,也应是我国标准的趋势。如ISO/IEC 27001-2013:“本国际标准采用了通用的架构,具备与ISO/IEC标准体系相同的章节、相同的文本、通用的条款,……。因此,本标准保持了与其它管理体系标准的兼容性”。根据我们的
国情,不必相同的章节、相同的文本,但用语、用词、通用的条款等还是必要的,以方便多种管理体系的趋同,及在认证过程中的兼容性等。如个人信息保护负责人,可以与GB/T 19001用词一致,即个人信息管理者代表。
三、术语和定义
1、个人信息
1)身份
人格要素是个人信息的构成要件。人格要素可分为物质性和精神性2类。身份是自然人在社会活动和实践中获取的人格要素,如职业、荣誉、资历等,属于精神性人格要素。在个人信息识别中,也应包括社会关系等
个人信息应是与特定的自然人个体相关,并可识别该自然人,包括物质性人格要素精神性人格要素,而非仅仅单独识别自然人身份(通过个人信息识别的自然人个体,而非自然人的身份,这种定义似是而非);
2)组合信息
与其它信息结合识别特定自然人,应是与其它与个人信息主体相关信息对照、结合,而非其它慢散的信息,也并非仅仅结合;
3)存在形态
个人信息定义与个人信息的存在形态无关。如规范定义个人信息以电子或其它方式记录,个人信息的构成要件是人格要素,因而,个人信息的存在形态是多样的,并不仅仅是电子或其它方式记录的形式,如“可通过听觉、视觉、触觉等感官直接识别个人的信息”,因此,这种定义是多余的,抑或是预留规则缝隙;
2、个人敏感信息(规范定义)
个人敏感信息定义有待商榷。个人信息的敏感性,应包含敏感的个人信息和个人信息处理过程的敏感性。
人格要素包含个人信息主体所具有的特殊的隐私私密,是敏感的个人信息,按国际通行的描述,内涵多源于欧美,但在我国特定的国情下,更应强调其内涵的私密性。
与静止的个人信息的隐私性不同,敏感的个人信息本身是敏感的,在社会、生活中保持其敏感性。在实践应用中,敏感的个人信息是严格禁止收集的。仅在极特殊情况,并采取特殊保护措施下可以收集。
如身份证号码、手机号码、银行卡号等社会生活中经常用到的身份信息、财产信息等,其人格要素构成凸显价值特征,具有特定的商业价值。这些信息是经常、反复使用,甚至某些信息是公开的。因而,这些个人信息本身不具有敏感性,其敏感性是个人信息处理、使用过程的敏感,应保持过程的敏感性,与敏感的个人信息有本质区别。
如附录B举例,既包括敏感的个人信息,也包括个人信息处理过程的敏感性。试问,身份信息、财产信息等是在社会生活中经常用到的,应保持过程的敏感性,而生活隐私、健康信息、生物识别信息和其它信息中包含的隐私部分则本身即是敏感的,在社会、生活中保持其敏感性,仅在极特殊情况,并采取特殊保护措施下使用,如果相提并论,隐私还是隐私吗?这种定义只可能产生暗度陈仓的作用,使个人隐私暴露无疑。特别在目前全社会横行,对个人信息主体的危害是巨大的。
3、个人信息主体
标识是记号、标志。在识别型个人信息定义中,个人信息是逆向识别个人信息主体的要件,传递的是个人信息主体的权益。因而,个人信息并不是个人信息主体的标识,而是构成个人信息主体的识别因子。
个人信息主体定义应是“可通过个人信息识别的自然人”。
4、个人信息控制者(规范定义)
1controller
个人信息控制者似可看做贬义词。合法拥有的个人信息,不仅控制,需要管理,应凸显管理能力,保证管理质量,使个人信息主体感知服务能力。
controller是欧盟模式的用词,国内以往的通常译法,是管理者,更能体现个人信息拥有者的本质特征。
对非法拥有或合法拥有但非法使用者,仅仅是为非法目的的控制。
因此,标准中的正确用词,应是个人信息管理者。
2)定义用语
规范的定义用语有待商榷。所谓 “有权决定”,并未明确赋权者,也未明确个人信息源的合法性(故而个人信息控制者似可看做贬义词),因而,定义似是而非,存在歧义。
个人信息管理者的定义,是合法占有或拥有个人信息,个人信息处理目的、方式等的决定,不应出现在定义中。
因此,定义必须明确个人信息管理者是获得个人信息主体授权,且基于明确、合法目的,管理个人信息的组织或个人。
5、收集
1)关于控制权
“获得对个人信息的控制权的行为”,很像贬义词。
收集是一种行为。个人信息的合法收集,是责任、义务的体现,并不仅是获得控制权。因而,收集是基于明确目的和授权的个人信息获取行为。
2)直接和间接收集
依据规范,直接收集似乎仅限于自动采集(似乎是通过计算机系统、网络系统等),但依据规范的标准题目,这样的定义过于狭义。直接收集并不仅限于自动采集。
间接收集同样不限于共享、转让、搜集公开信息。
3)本条定义注解,不敢苟同。即使产品或服务提供者仅提供工具供个人信息主体使用,提供者不访问个人信息(如例),仍然属于间接收集的范畴,因为,产品或服务提供者可以预知这种收集行为,并应为此承担责任。
6、处理