11月30日,公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》面向社会征求修改意见。指引明确引用了GB/T22239—2008《信息安全技术信息系统安全等级保护基本要求》以及GB/T35273—2017《信息安全技术个人信息安全规范》。
公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》面向社会征求修改意见
为深入贯彻落实《网络安全法》,指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,组织北京市网络行业协会、北京邮电大学和公安部第三研究所相关专家,研究起草了《互联网个人信息安全保护指引(征求意见稿)》。
为凝聚各界共识和智慧,进一步完善防护措施,更好地为互联网企业和广大网民保护个人信息提供指导指引,现面向社会广泛征求意见。公众可以登陆“全国互联网安全管理服务平台”()查阅征求意见稿,有关建议可通过电子邮件方式发送至或传真至。
为指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,组织北京市网络行业协会、北京邮电大学和公安部第三研究所相关专家,研究起草了《互联网个人信息安全保护指引(征求意见稿)》。
本指引规定了个人信息安全保护的安全管理机制、安全技术措施和业务流程的安全。
本指引适用于指导个人信息持有者在个人信息生命周期处理过程中开展安全保护工作,也适用于网络安全监管职能部门依法进行个人信息保护监督检查时参考使用。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
包括个人信息主体收集、保存、使用、委托处理、共享、转让和公开披露、销毁个人信息在内的全部生命历程。
对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。
通过自动或非自动方式对个人信息进行操作,例如收集、记录、组织、排列、存储、改编或变更、检索、咨询、使用、披露、传播、保护或以其他方式提供、调整或组合、限制、删除或销毁等。
在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
a)应制定个人信息保护的总体方针和安全策略等相关规章制度和文件,其中包括本机构的个人信息保护工作的目标、范围、原则和安全框架等相关说明;
c)应建立个人信息管理制度体系,其中包括安全策略、管理制度、操作规程和记录表单;
b)应明确安全管理制度的制定程序和发布方式,对制定的安全管理制度进行论证和审定,并形成论证和评审记录;
a)应定期对安全管理制度进行评审,存在不足或需要改进的予以修订;应定期对安全管理制度进行评审,发现存在不足或需要改进应及时进行修订;
b)安全管理制度评审应形成记录,如果对制度做过修订,应更新所有下发的相关安全管理制度。
c)应明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员和安全管理员等各个岗位,清晰、明确定义其职责范围。
a)应明确安全管理岗位人员的配备,包括数量、专职还是兼职情况等;配备负责数据保护的专门人员;
b)应建立安全管理岗位人员信息表,登记机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员的信息,安全管理员不应兼任网络管理员、系统管理员、数据库管理员等岗位。
b)应明确人员录用时对人员的条件要求,对被录用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核;
d)应建立管理文档,说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等);
g)应签订保密协议,其中包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。
b)应对即将离岗人员具有控制方法,及时终止离岗人员的所有访问权限,取回其身份认证的配件,诸如身份证件、钥匙、徽章以及机构提供的软硬件设备;
c)应形成对离岗人员的安全处理记录(如交还身份证件、设备等的登记记录);
a)应设立专人负责定期对接触个人信息数据工作的工作人员进行全面、严格的安全审查、意识考核和技能考核;
a)应制定培训计划并按计划对各岗位员工进行基本的安全意识教育培训和岗位技能培训;
c)应定期考查安全管理员、系统管理员和网络管理员其对工作相关的信息安全基础知识、安全责任和惩戒措施等的理解程度;
d)应制定安全教育和培训计划文档,明确培训方式、培训对象、培训内容、培训时间和地点等,培训内容包含信息安全基础知识、岗位操作规程等;
应按照GB/T22239—20087.1第三级的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复要求进行安全保护,并满足以下要求:
a)应为个人信息处理系统所处网络划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
b)个人信息处理系统和存储个人信息的设备应作为重点区域部署,并设有边界防护措施。
应在个人信息处理系统边界部署入侵防护设备,检测、防止或限制从外部、内部发起的网络攻击行为。
应在个人信息处理系统的网络边界处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
a)应在个人信息处理系统的网络边界、重要网络节点进行安全审计,审计应覆盖到每个用户,应对重要的用户行为和重要安全事件进行审计;
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应对审计记录进行保护,定期备份并避免受到未预期的删除、修改或覆盖等;
e)应能够对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
d)个人信息处理系统和存储个人信息的设备应启用登陆失败处理功能,采取诸如结束会话、限制非法登录次数和自动退出等措施;
e)个人信息处理系统和存储个人信息的设备进行远程管理时,应采取措施防止身份鉴别信息在网络传输过程中被窃听;
f)个人信息处理系统和存储个人信息的设备应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
b)个人信息处理系统和存储个人信息的设备应重命名或删除默认账户,修改默认账户的默认口令;
c)个人信息处理系统和存储个人信息的设备应及时删除或停用多余的、过期的账户,避免共享账户的存在;
d)个人信息处理系统和存储个人信息的设备应进行角色划分,并授予管理用户所需的最小权限,实现管理用户的权限分离;
e)个人信息处理系统和存储个人信息的设备应由授权主体配置访问控制策略,访问控制策略应规定主体对客体的访问规则;
f)个人信息处理系统和存储个人信息的设备的访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
g)个人信息处理系统和存储个人信息的设备应对个人信息设置安全标记,并控制主体对有安全标记资源的访问。
a)个人信息处理和存储设备应启用安全审计功能,并且审计覆盖到每个用户,应对重要的用户行为和重要的安全事件进行审计;
c)应对审计记录进行保护,进行定期备份并避免受到未预期的删除、修改或覆盖等;
a)个人信息处理和存储设备应遵循最小安装的原则,只安装需要的组件和应用程序;
c)个人信息处理和存储设备应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
d)个人信息处理和存储设备应能够发现存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
e)个人信息处理和存储设备应能够检测到对重要节点的入侵行为,并在发生严重入侵事件时提供报警。
应采取免受恶意代码攻击的技术措施或可信验证机制对系统程序、应用程序和重要配置文件/参数进行可信执行验证,并在检测到其完整性受到破坏时采取恢复措施。
a)应限制单个用户或进程对个人信息处理和存储设备系统资源的最大使用限度;
a)个人信息处理应用应对登陆的用户进行身份标识和鉴别,该身份标识应具有唯一性,鉴别信息应具有复杂度并要求定期更换;
b)个人信息处理应用应提供并启用登陆失败处理功能,并在多次登陆后采取必要的保护措施;
d)用户身份鉴别信息丢失或失效时,应采取技术措施保证鉴别信息重置过程的安全;
e)应采取口令、密码技术、生物技术等两种或两种以上的组合鉴别技术对用户进行身份鉴别,且其中一种鉴别技术使用密码技术来实现;
d)应授予不同账户为完成各自承担任务所需的最小权限,在它们之间形成相互制约的关系;
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;
f)访问控制的粒度应达到主体为用户级,客体为文件、数据库表级、记录或字段级;
a)个人信息处理应用应提供安全审计功能,审计应覆盖到每个用户,应对重要的用户行为和重要的安全事件进行审计;
c)应对审计记录进行保护,定期备份,并避免受到未预期的删除、修改或覆盖等;
a)应提供个人信息的有效性校验功能,保证通过人机接口输入或通过通信接口输入的内容符合个人信息处理应用设定要求;
b)应能够发现个人信息处理应用软件组件可能存在的已知漏洞,并能够在充分测试评估后及时修补漏洞;
a)在通信双方中的一方在一段时间内未做任何响应时,另一方应能够自动结束会话;
a)应采取校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据和个人信息;
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据和个人信息;
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据和个人信息;
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据和个人信息;
a)应使用校验技术或密码技术保证虚拟机迁移过程中,个人信息的完整性,并在检测到完整性受到破坏时采取必要的恢复措施;
b)应使用密码技术保证虚拟机迁移过程中,个人信息的保密性,防止在迁移过程中的个人信息泄露;
物联网感知节点设备采集信息回传应采用密码技术保证通信过程中个人信息的保密性。
a)个人信息收集前,应向被收集的个人信息主体公示本机构收集的目的、范围、方法和手段、处理方式等信息;
1)收集个人信息之前,应有对被收集人进行身份认证的机制,该身份认证机制应具有相应安全性;
4)收集个人信息时应有对收集内容进行安全检测和过滤的机制,防止非法内容提交。
b)应对保存的个人信息根据收集、使用目的、被收集人授权设置相应的保存时限;
d)保存信息的主要设备,应对个人信息数据提供备份和恢复功能,确保数据备份的频率和时间间隔,并使用不少于以下一种备份手段:
a)对个人信息的应用,应符合与个人信息主体签署的相关协议和规定,不应超范围应用个人信息;
注:经过匿名化或脱敏的方式处理的个人信息数据可用于历史、统计或科学目的,可以超出与信息主体签署的相关使用协议和约定,但应提供适当的保护措施进行保护。
1)对被授权访问个人信息数据的工作人员按照最小授权的原则,只能访问最少够用的信息,只具有完成职责所需的最少的数据操作权限;
3)对特定人员超限制处理个人信息时配置相应的责任人或负责机构进行审批,并对这种行为进行记录。
b)个人信息相关存储设备,将存储的个人信息数据进行删除之后应采取措施防止通过技术手段恢复;
c)对存储过个人信息的设备在进行新信息的存储时,应将之前的内容全部进行删除;
b)在对个人信息的相关处理进行委托时,应对受托方的数据安全能力进行评估;
e)受托方对个人信息的相关数据进行处理完成之后,应对存储的个人信息数据的内容进行删除。
b)在对个人信息进行共享和转让时应进行安全影响评估,应对受让方的数据安全能力进行评估,并按照评估结果采取有效的保护个人信息主体的措施;
c)在共享、转让前应向个人信息主体告知转让该信息的目的、数据接收方的类型等信息;
e)应记录共享、转让信息内容,将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记;
f)在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利,例如访问、更正、删除、注销等。
b)应对该行为进行安全影响评估,并按照评估结果采取有效的保护个人信息主体的措施;
e)应记录公开披露的信息内容,将公开披露情况中包括公开披露的日期、数据量、目的和数据接收方的基本情况在内的信息进行记录。
d)应制定相关制度信息,在个人信息处理过程中发生应急事件时具有上报有关主管部门的机制;
g)应记录信息安全事件信息,在应急事件发生后对事件内容进行记录,包括发现事件的人员、事件、涉及的个人信息和人数、发生事件的系统名称等;