《互联网个人隐私信息安全保护指南》发布

  2019年4月10日，由公安部网络安全保卫局、公安部第三研究所和北京市网络行业协会等相关专家一同研究制定的《互联网个人隐私信息安全保护指南》正式对外发布。该指南的出台，旨在进一步贯彻落实《网络安全法》并有效指导我国个人隐私信息持有者建立健全公民个人信息安全。互联网公司、联网单位在今后的个人隐私信息保护工作中可以借鉴该指南以更有效地展开工作。

  为有效防范侵犯公民个人隐私信息违背法律规定的行为，保障网络数据安全和公民合法权益，公安机关结合侦办侵犯公民个人隐私信息网络犯罪案件和安全监督管理工作中掌握的情况，组织北京市网络行业协会和公安部第三研究所等单位相关专家，研究起草了《互联网个人隐私信息安全保护指南》，供互联网服务单位在个人隐私信息保护工作中参考借鉴。

  适用于个人隐私信息持有者在个人隐私信息生命周期处理过程中开展安全保护工作参考使用。本文件适用于利用互联网提供服务的企业，也适用于使用专网或非联网环境控制和处理个人隐私信息的组织或个人。

  下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

  GB/T 22239 信息安全技术 网络安全等级保护基本要求（信息系统安全等级保护基本要求）

  以电子或者其他方式记录的能够单独或者与别的信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、手机号等。

  注：个人隐私信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

  对个人隐私信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。

  获得对个人隐私信息的控制权的行为，包括由个人隐私信息主体主动提供、通过与个人隐私信息主体交互或记录个人隐私信息主体行为等自动采集，以及通过共享、转让、搜集公开信息间接获取等方式。

  通过自动或非自动方式对个人信息做相关操作，例如记录、组织、排列、存储、改编或变更、检索、咨询、披露、传播或以其他方式提供、调整或组合、限制、删除等。

  在实现日常业务功能所涉及的系统中去除个人隐私信息的行为，使其保持不可被检索、访问的状态。

  包括个人隐私信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人隐私信息在内的全部生命历程。

  处理个人隐私信息的计算机信息系统，涉及个人隐私信息生命周期一个或多个阶段（收集、保存、应用、委托处理、共享、转让和公开披露、删除）。

  个人隐私信息处理系统的安全管理要求应满足GB/T 22239相应等级的要求。

  a)  应制定个人信息保护的总体方针和安全策略等相关规章制度和文件，这中间还包括本机构的个人隐私信息保护工作的目标、范围、原则和安全框架等相关说明；

  c)  应建立个人隐私信息管理制度体系，这中间还包括安全策略、管理制度、操作规程和记录表单；

  b) 应明确安全管理制度的制定程序和发布方式，对制定的安全管理制度进行论证和审定，并形成论证和评审记录；

  b)   安全管理制度评审应形成记录，如果对制度做过修订，应更新所有下发的相关安全管理制度。

  c) 应明确设置安全主管、安全管理每个方面的负责人，设立审计管理员和安全管理员等岗位，清晰、明确定义其职责范围。

  a)  应明确安全管理岗位人员的配备，包括数量、专职还是兼职情况等；配备负责数据保护的专门人员；

  b)  应建立安全管理岗位人员信息表，登记机房管理员、系统管理员、数据库管理员、网络管理员、审计管理员、安全管理员等重要岗位人员的信息，审计管理员和安全管理员不应兼任网络管理员、系统管理员、数据库管理员、数据操作员等岗位。

  b) 应明确人员录用时对人员的条件要求，对被录用人的身份、背景和专业资格进行审核检查，对技术人员的技术技能进行考核；

  d) 应建立管理文档，说明录用人员应具备的条件（如学历、学位要求，技术人员应具备的专业方面技术水平，管理人员应具备的安全管理知识等）；

  f) 应记录录用人录用时的技能考核文档或记录，记录考核内容和考核结果等；

  g) 应签订保密协议，这中间还包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。

  a) 人员离岗时应办理调离手续，签署调离后个人隐私信息保密义务的承诺书，防范内部员工、管理员因工作原因非法持有、披露和使用个人信息；

  b) 应对即将离岗人员具有操控方法，及时终止离岗人员的所有访问权限，取回其身份认证的配件，诸如身份证件、钥匙、徽章以及机构提供的软硬件设备；采用生理特征进行访问控制的，需要及时删除生理特征录入的相关信息；

  c) 应形成对离岗人员的安全处理记录（如交还身份证件、设备等的登记记录）；

  a)   应设立专人负责定期对接触个人隐私信息数据工作的工作人员做全面、严格的安全审查、意识考核和技能考核；

  d)   应定期考查安全管理员、系统管理员和网络管理员其对工作相关的信息安全基础知识、安全责任和惩戒措施、有关规定法律法规等的理解程度，并对考核记录进行记录存档。

  a)   应制定培训计划并按计划对各岗位员工做基本的安全意识教育培训和岗位技能培训；

  b)   应制定安全教育和培训计划文档，明确培训方式、培训对象、培训内容、培训时间和地点等，培训内容包含信息安全基础知识、岗位操作规程等；

  c)   应形成安全教育和培训记录，记录包含培训人员、培训内容、培训结果等。

  3)  外部人员访问被批准后应有专人全程陪同或监督，并进行全程监控录像；

  个人信息处理系统其安全技术措施应满足GB/T 22239相应等级的要求，按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者没有经过授权的访问，防止网络数据泄露或者被窃取、篡改。

  a) 应为个人信息处理系统所处网络划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址；

  应在个人信息处理系统边界部署入侵保护措施，检测、防止或限制从外部、内部发起的网络攻击行为。

  应在个人信息处理系统的网络边界处对恶意代码进行仔细的检测和清除，并维护恶意代码防护机制的升级和更新。

  a) 应在个人隐私信息处理系统的网络边界、重要网络节点进行安全审计，审计应覆盖到每个用户、用户行为和安全事件；

  b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功，以及个人信息的范围、类型、操作方式、操作人、流转双方及其他与审计相关的信息；

  c) 应对审计记录进行保护，定期备份并避免受到未预期的删除、修改或覆盖等；

  e) 应能够对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。

  a) 应对登录个人信息处理系统的用户进行身份标识和鉴别，身份鉴别标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换；

  b) 个人信息处理系统应启用登录失败处理功能，采取诸如结束会话、限制非法登录次数和自动退出等措施；

  c) 个人信息处理系统来进行远程管理时，应采取一定的措施防止身份鉴别信息在网络传输过程中被窃听；

  d) 个人隐私信息处理系统应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现，密码技术应符合国家密码主管部门规范。

  c) 个人信息处理系统应及时删除或停用多余的、过期的账户，避免共享账户的存在；

  d) 个人信息处理系统应进行角色划分，并授予管理用户所需的最小权限，实现管理用户的权限分离；

  e) 个人信息处理系统应由授权主体配置访问控制策略，访问控制策略应规定主体对客体的访问规则；

  f)  个人信息处理系统的访问控制的粒度应达到主体为用户级或进程级，客体为文件、数据库表级；

  g) 个人信息处理系统应对个人信息设置安全标记，并控制主体对有安全标记资源的访问。

  a) 个人信息处理系统应启用安全审计功能，并且审计覆盖到每个用户，应对重要的用户行为和重要的安全事件进行审计；

  b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

  c) 应对审计记录进行保护，进行定期备份并避免受到未预期的删除、修改或覆盖等；

  a) 个人信息处理系统应遵循最小安装的原则，只安装需要的组件和应用程序；

  c) 个人信息处理系统应通过设定终端接入方式或网络地址范围对利用互联网来管理的管理终端进行限制；

  d) 个人信息处理系统应能发现存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

  e) 个人隐私信息处理系统应能够检测到对重要节点的入侵行为并进行防御，并在发生严重入侵事件时提供报警；

  应采取免受恶意代码攻击的技术措施或可信验证机制对系统程序、应用程序和重要配置文件/参数进行可信执行验证，并在检测到其完整性受到破坏时采取恢复措施。

  a) 应限制单个用户或进程对个人信息处理和存储设备系统资源的最大使用限度；

  c) 应对重要节点进行监视，包括监视CPU、硬盘、内存等资源的使用情况；

  a) 个人信息处理系统应对登录的用户进行身份标识和鉴别，该身份标识应具有唯一性，鉴别信息应具有复杂度并要求定期更换；

  b) 个人信息处理系统应提供并启用登录失败处理功能，并在多次登录后采取必要的保护措施；

  c) 个人信息处理系统应强制用户首次登录时修改初始口令，当确定信息被泄露后，应提供提示全部用户强制修改密码的功能，在验证确认用户后修改密码；

  d) 用户身份鉴别信息丢失或失效时，应采取技术措施保证鉴别信息重置过程的安全；

  e) 应采取静态口令、动态口令、密码技术、生物技术等两种或两种以上的组合鉴别技术对用户进行身份鉴别，且其中一种鉴别技术使用密码技术来实现。

  a)  个人信息处理系统应提供访问控制功能，并对登录的用户分配账户和权限；

  d) 应授予不同账户为完成各自承担任务所需的最小权限，在它们之间形成相互制约的关系；

  e) 应由授权主体配置访问控制策略，访问控制策略规定主体对客体的访问规则；

  f) 访问控制的粒度应达到主体为用户级，客体为文件、数据库表级、记录或字段级；

  a) 个人信息处理系统应提供安全审计功能，审计应覆盖到每个用户，应对重要的用户行为和重要的安全事件进行审计；

  b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；

  c) 应对审计记录进行保护，定期备份，并避免受到未预期的删除、修改或覆盖等；

  a) 应提供个人信息的有效性校验功能，保证通过人机接口输入或通过通信接口输入的内容符合个人信息处理系统设定要求；

  b) 应能发现个人信息处理系统软件组件有几率存在的已知漏洞，并能够在充分测试评估后及时修补漏洞；

  a) 在通信双方中的一方在一段时间内未做任何响应时，另一方应能自动结束会话；

  a) 应采取校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据和个人隐私信息；

  b) 应采用校验技术或密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据和个人信息。

  a) 应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据和个人信息；

  b) 应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据和个人信息。

  a) 应提供个人信息的本地数据备份与恢复功能，定期对备份数据来进行恢复测试，保证数据可用性；

  b) 应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

  a)  应确保个人隐私信息在云计算平台中存储于中国境内，如需出境应遵循国家相关规定；

  b) 应使用校验技术或密码技术保证虚拟机迁移过程中，个人隐私信息的完整性，并在检测到完整性受到破坏时采取必要的恢复措施；

  c) 应使用密码技术保证虚拟机迁移过程中，个人隐私信息的保密性，防止在迁移过程中的个人隐私信息泄露。

  物联网感知节点设备采集信息回传应采用密码技术保证通信过程中个人隐私信息的保密性。

  a)个人隐私信息收集前，应当遵循合法、正当、必要的原则向被收集的个人隐私信息主体公开收集、使用规则，明示收集、使用信息的目的、方式和范围等信息；

  b)个人隐私信息收集应获得个人隐私信息主体的同意和授权，不应收集与其提供的服务无关的个人信息，不应通过捆绑产品或服务各项业务功能等方式强迫收集个人信息；

  d)不应大规模收集或处理我国公民的种族、民族、政治观点、宗教信仰等敏感数据；

  1）收集个人信息之前，应有对被收集人进行身份认证的机制，该身份认证机制应拥有相对应安全性；

  4）收集个人隐私信息时应有对收集内容做安全检测和过滤的机制，防止非法内容提交。

  a)  在境内运营中收集和产生的个人隐私信息应在境内存储，如需出境应遵循国家相关规定；

  c)  应对保存的个人隐私信息根据收集、使用目的、被收集人授权设置相应的保存时限；

  e)  保存信息的主要设备，应对个人隐私信息数据提供备份和恢复功能，确保数据备份的频率和时间间隔，并使用不少于以下一种备份手段：

  a) 对个人隐私信息的应用，应符合与个人隐私信息主体签署的相关协议和规定，不应超范围应用个人信息；

  注：经过处理没办法识别特定个人且不能复原的个人隐私信息数据，可以超出与信息主体签署的相关使用协议和约定，但应提供适当的保护的方法进行保护。

  2) 允许通过适当方法对本人信息的修改或删除，包括纠正不准确和不完整的数据，并保证修改后的本人信息具备真实性和有效性；

  c) 完全依靠自动化处理的用户画像技术应用于精准营销、搜索出来的结果排序、个性化推送新闻、定向投放广告等增值应用，可事先不经用户明确授权，但应确保用户有反对或者拒绝的权利；如应用于征信服务、行政司法决策等可能对用户所带来法律后果的增值应用，或跨网络运营者使用，应经用户明确授权方可使用其数据；

  1) 对被授权访问个人隐私信息数据的工作人员按照最小授权的原则，只能访问最少够用的信息，只具有完成职责所需的最少的数据操作权限；

  3) 对特定人员超限制处理个人隐私信息时配置相应的责任人或负责机构进行审批，并对这种行为进行记录。

  e) 应对必须要通过界面（如显示屏幕、纸面）展示的个人隐私信息进行去标识化的处理。

  a) 个人信息在超过保存时限之后应进行删除，经过处理没办法识别特定个人且不能复原的除外；

  b) 个人隐私信息持有者如有违反法律、行政法规的规定或者双方的约定收集、使用其个人隐私信息时，个人隐私信息主体要求删除其个人信息的，应采取一定的措施予以删除；

  c) 个人隐私信息相关存储设备，将存储的个人信息数据来进行删除之后应采取一定的措施防止通过技术方法恢复；

  d) 对存储过个人隐私信息的设备在进行新信息的存储时，应将之前的内容全部进行删除；

  b) 在对个人隐私信息的相关处理进行委托时，应对委托行为进行个人隐私信息安全影响评估；

  e) 受托方对个人信息的有关数据进行处理完成之后，应对存储的个人隐私信息数据的内容做删除。

  个人信息原则上不可以共享、转让。如存在个人隐私信息共享和转让行为时，应满足以下要求：

  b) 在对个人隐私信息进行共享和转让时应进行个人信息安全影响评估，应对受让方的数据安全能力做评估确保受让方具备足够的数据安全能力，并按照评估结果采取比较有效的保护个人隐私信息主体的措施；

  c) 在共享、转让前应向个人隐私信息主体告知转让该信息的目的、规模、公开范围数据接收方的类型等信息；

  d) 在共享、转让前应得到个人隐私信息主体的授权同意，与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外；

  e) 应记录共享、转让内容信息，将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记；

  f) 在共享、转让后应了解接收方对个人隐私信息的保存、使用情况和个人隐私信息主体的权利，例如访问、更正、删除、注销等；

  g) 当个人隐私信息持有者发生收购、兼并、重组、破产等变更时，个人隐私信息持有者应向个人隐私信息主体告知有关情况，并继续履行原个人隐私信息持有者的责任和义务，如变更个人隐私信息使用目的时，应重新取得个人隐私信息主体的明示同意。

  个人信息原则上不可以公开披露。如经法律授权或具备合理事由确需公开披露时，应充分重视风险，遵守以下要求：

  a) 事先开展个人信息安全影响评估，并依评估结果采取比较有效的保护个人隐私信息主体的措施；

  b) 向个人隐私信息主体告知公开披露个人隐私信息的目的、类型，并事先征得个人隐私信息主体明示同意，与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外；

  c) 公开披露个人敏感信息前，除6.7 b）中告知的内容外，还应向个人隐私信息主体告知涉及的个人敏感信息的内容；

  d) 准确记录和保存个人隐私信息的公开披露的情况，包括公开披露的日期、规模、目的、公开范围等；

  g)不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。

  a) 应建立健全网络安全风险评估和应急工作机制，在个人隐私信息处理过程中发生应急事件时具有上报有关主管部门的机制；

  b) 应制定个人信息安全事件应急预案，包括应急处理流程、事件上报流程等内容；

  c) 应定期（至少每半年一次）组织内部有关人员进行应急响应培训和应急演练，使其掌握岗位工作职责和应急处置策略和规程，留存应急培训和应急演练记录；

  a) 发现网络存在较大安全风险，应采取一定的措施，进行整改，消除隐患；发生安全事件时,应及时向公安机关报告，协助开展调查和取证工作，尽快消除隐患；

  b) 发生个人隐私信息安全事件后，应记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人隐私信息及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门；

  c) 应对安全事件造成的影响做出详细的调查和评估，采取技术措施和其他必要措施，消除安全隐患，防止危害扩大；

  d)  应按《国家网络安全事件应急预案》等相关规定及时上报安全事件，报告内容有但不限于：涉及个人隐私信息主体的类型、数量、内容、性质等总体情况，事件会造成的影响，已采取或将要采取的处置措施，事件处置有关人员的联系方式；

  e)  应将事件的情况告知受影响的个人隐私信息主体，并及时向社会发布与公众有关的警示信息。