为深入贯彻落实《中华人民共和国网络安全法》,指导个人信息持有者建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握的情况,会同北京网络行业协会和公安部第三研究所等单位,研究制定了《互联网个人信息安全保护指南》。
现正式发布,供互联网企业、联网单位在个人信息安全保护工作中参考借鉴。
▼
引言
1.范围
本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。
适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参考使用。本文件适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。
2.规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2010信息安全技术术语
GB/T35273—2017信息安全技术个人信息安全规范
GB/T22239信息安全技术网络安全等级保护基本要求(信息系统安全等级保护基本要求)
3.术语和定义
3.1个人信息
[中华人民共和国网络安全法,第七十六条(五)]
注:个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
3.2个人信息主体
个人信息所标识的自然人。
[GB/T35273-2017,定义3.3]
3.3个人信息持有
3.4个人信息持有者
对个人信息进行控制和处理的组织或个人。
3.5个人信息收集
获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。
[GB/T35273-2017,定义3.5]
3.6个人信息使用
通过自动或非自动方式对个人信息进行操作,例如记录、组织、排列、存储、改编或变更、检索、咨询、披露、传播或以其他方式提供、调整或组合、限制、删除等。
3.7个人信息删除
在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
[GB/T35273-2017,定义3.9]
3.8个人信息生命周期
包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。
3.9个人信息处理系统
处理个人信息的计算机信息系统,涉及个人信息生命周期一个或多个阶段(收集、保存、应用、委托处理、共享、转让和公开披露、删除)。
4.管理机制
4.1基本要求
个人信息处理系统的安全管理要求应满足GB/T22239相应等级的要求。
4.2管理制度
4.2.1管理制度内容
b)应制定工作人员对个人信息日常管理的操作规程;
c)应建立个人信息管理制度体系,其中包括安全策略、管理制度、操作规程和记录表单;
d)应制定个人信息安全事件应急预案。
4.2.2管理制度制定发布
a)应指定专门的部门或人员负责安全管理制度的制定;
b)应明确安全管理制度的制定程序和发布方式,对制定的安全管理制度进行论证和审定,并形成论证和评审记录;
c)应明确管理制度的发布范围,并对发文及确认情况进行登记记录。
4.2.3管理制度执行落实
c)应定期汇报总结管理制度执行情况。
4.2.4管理制度评审改进
a)应定期对安全管理制度进行评审,存在不足或需要改进的予以修订;
4.3管理机构
4.3.1管理机构的岗位设置
a)应设置指导和管理个人信息保护的工作机构,明确定义机构的职责;
c)应明确设置安全主管、安全管理各个方面的负责人,设立审计管理员和安全管理员等岗位,清晰、明确定义其职责范围。
4.3.2管理机构的人员配置
a)应明确安全管理岗位人员的配备,包括数量、专职还是兼职情况等;配备负责数据保护的专门人员;
b)应建立安全管理岗位人员信息表,登记机房管理员、系统管理员、数据库管理员、网络管理员、审计管理员、安全管理员等重要岗位人员的信息,审计管理员和安全管理员不应兼任网络管理员、系统管理员、数据库管理员、数据操作员等岗位。
4.4管理人员
4.4.1管理人员的录用
a)应设立专门的部门或人员负责人员的录用工作;
b)应明确人员录用时对人员的条件要求,对被录用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核;
c)录用后应签署相应的针对个人信息的保密协议;
d)应建立管理文档,说明录用人员应具备的条件(如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等);
e)应记录录用人身份、背景和专业资格等,记录审查内容和审查结果等;
f)应记录录用人录用时的技能考核文档或记录,记录考核内容和考核结果等;
g)应签订保密协议,其中包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等内容。
4.4.2管理人员的离岗
a)人员离岗时应办理调离手续,签署调离后个人信息保密义务的承诺书,防范内部员工、管理员因工作原因非法持有、披露和使用个人信息;
c)应形成对离岗人员的安全处理记录(如交还身份证件、设备等的登记记录);
d)应具有按照离职程序办理调离手续的记录。
4.4.3管理人员的考核
a)应设立专人负责定期对接触个人信息数据工作的工作人员进行全面、严格的安全审查、意识考核和技能考核;
b)应按照考核周期形成考核文档,被考核人员应包括各个岗位的人员;
c)应对违反违背制定的安全策略和规定的人员进行惩戒;
4.4.4管理人员的教育培训
a)应制定培训计划并按计划对各岗位员工进行基本的安全意识教育培训和岗位技能培训;
c)应形成安全教育和培训记录,记录包含培训人员、培训内容、培训结果等。
4.4.5外部人员访问
a)应建立关于物理环境的外部人员访问的安全措施:
1)制定外部人员允许访问的设备、区域和信息的规定;
2)外部人员访问前需要提出书面申请并获得批准;
3)外部人员访问被批准后应有专人全程陪同或监督,并进行全程监控录像;
4)外部人员访问情况应登记备案。
b)应建立关于网络通道的外部人员访问的安全措施:
1)制定外部人员允许接入受控网络访问系统的规定;
3)外部人员访问时应进行身份认证;
4)应根据外部访问人员的身份划分不同的访问权限和访问内容;
6)对外部访问人员对个人信息的操作进行记录。
5.技术措施
5.1基本要求
5.2通用要求
5.2.1通信网络安全
5.2.1.1网络架构
a)应为个人信息处理系统所处网络划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;
b)个人信息处理系统应作为重点区域部署,并设有边界防护措施。
5.2.1.2通信传输
a)应采用校验技术或密码技术保证通信过程中个人信息的完整性;
b)应采用密码技术保证通信过程中个人信息字段或整个报文的保密性。
5.2.2区域边界安全
5.2.2.1边界防护
a)应对跨越边界访问通信信息进行有效防护;
5.2.2.2访问控制
应在个人信息处理系统边界根据访问控制策略设置访问控制规则。
5.2.2.3入侵防范
应在个人信息处理系统边界部署入侵防护措施,检测、防止或限制从外部、内部发起的网络攻击行为。
5.2.2.4恶意代码防范
应在个人信息处理系统的网络边界处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。
5.2.2.5安全审计
a)应在个人信息处理系统的网络边界、重要网络节点进行安全审计,审计应覆盖到每个用户、用户行为和安全事件;
c)应对审计记录进行保护,定期备份并避免受到未预期的删除、修改或覆盖等;
e)应能够对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。
5.2.3计算环境安全
5.2.3.1身份鉴别
c)个人信息处理系统进行远程管理时,应采取措施防止身份鉴别信息在网络传输过程中被窃听;
d)个人信息处理系统应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现,密码技术应符合国家密码主管部门规范。
5.2.3.2访问控制
b)个人信息处理系统应重命名或删除默认账户,修改默认账户的默认口令;
c)个人信息处理系统应及时删除或停用多余的、过期的账户,避免共享账户的存在;
d)个人信息处理系统应进行角色划分,并授予管理用户所需的最小权限,实现管理用户的权限分离;
f)个人信息处理系统的访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;
g)个人信息处理系统应对个人信息设置安全标记,并控制主体对有安全标记资源的访问。
5.2.3.3安全审计
a)个人信息处理系统应启用安全审计功能,并且审计覆盖到每个用户,应对重要的用户行为和重要的安全事件进行审计;
c)应对审计记录进行保护,进行定期备份并避免受到未预期的删除、修改或覆盖等;
5.2.3.4入侵防范
a)个人信息处理系统应遵循最小安装的原则,只安装需要的组件和应用程序;
b)个人信息处理系统应关闭不需要的系统服务、默认共享和高危端口;
c)个人信息处理系统应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;
d)个人信息处理系统应能够发现存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;
e)个人信息处理系统应能够检测到对重要节点的入侵行为并进行防御,并在发生严重入侵事件时提供报警;
5.2.3.5恶意代码防范和程序可信执行
应采取免受恶意代码攻击的技术措施或可信验证机制对系统程序、应用程序和重要配置文件/参数进行可信执行验证,并在检测到其完整性受到破坏时采取恢复措施。
5.2.3.6资源控制
a)应限制单个用户或进程对个人信息处理和存储设备系统资源的最大使用限度;
b)应提供重要节点设备的硬件冗余,保证系统的可用性;
c)应对重要节点进行监视,包括监视CPU、硬盘、内存等资源的使用情况;
d)应能够对重要节点的服务水平降低到预先规定的最小值进行检测和报警。
5.2.4应用和数据安全
5.2.4.1身份鉴别
d)用户身份鉴别信息丢失或失效时,应采取技术措施保证鉴别信息重置过程的安全;
e)应采取静态口令、动态口令、密码技术、生物技术等两种或两种以上的组合鉴别技术对用户进行身份鉴别,且其中一种鉴别技术使用密码技术来实现。
5.2.4.2访问控制
b)应重命名或删除默认账户,修改默认账户的默认口令;
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在;
d)应授予不同账户为完成各自承担任务所需的最小权限,在它们之间形成相互制约的关系;
f)访问控制的粒度应达到主体为用户级,客体为文件、数据库表级、记录或字段级;
g)个人信息应设置安全标记,控制主体对有安全标记资源的访问。
5.2.4.3安全审计
a)个人信息处理系统应提供安全审计功能,审计应覆盖到每个用户,应对重要的用户行为和重要的安全事件进行审计;
c)应对审计记录进行保护,定期备份,并避免受到未预期的删除、修改或覆盖等;
5.2.4.4软件容错
a)应提供个人信息的有效性校验功能,保证通过人机接口输入或通过通信接口输入的内容符合个人信息处理系统设定要求;
b)应能够发现个人信息处理系统软件组件可能存在的已知漏洞,并能够在充分测试评估后及时修补漏洞;
c)应能够在故障发生时,继续提供一部分功能,并能够实施必要的措施。
5.2.4.5资源控制
b)应对个人信息处理系统的最大并发会话连接数进行限制;
c)应能够对单个用户的多重并发会话进行限制。
5.2.4.6数据完整性
a)应采取校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据和个人信息;
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据和个人信息。
5.2.4.7数据保密性
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据和个人信息;
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据和个人信息。
5.2.4.8数据备份恢复
a)应提供个人信息的本地数据备份与恢复功能,定期对备份数据进行恢复测试,保证数据可用性;
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
c)应提供重要数据处理系统的热冗余,保证系统的高可用性。
5.2.4.9剩余信息保护
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
b)应保证存有个人信息的存储空间被释放或重新分配前得到完全清除。
5.3扩展要求
5.3.1云计算安全扩展要求
b)应使用校验技术或密码技术保证虚拟机迁移过程中,个人信息的完整性,并在检测到完整性受到破坏时采取必要的恢复措施;
c)应使用密码技术保证虚拟机迁移过程中,个人信息的保密性,防止在迁移过程中的个人信息泄露。
5.3.2物联网安全扩展要求
物联网感知节点设备采集信息回传应采用密码技术保证通信过程中个人信息的保密性。
6.业务流程
6.1收集
个人信息的收集行为应满足以下要求:
a)个人信息收集前,应当遵循合法、正当、必要的原则向被收集的个人信息主体公开收集、使用规则,明示收集、使用信息的目的、方式和范围等信息;
c)个人信息收集应执行收集前签署的约定和协议,不应超范围收集;
d)不应大规模收集或处理我国公民的种族、民族、政治观点、宗教信仰等敏感数据;
e)个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息;
f)应确保收集个人信息过程的安全性:
1)收集个人信息之前,应有对被收集人进行身份认证的机制,该身份认证机制应具有相应安全性;
2)收集个人信息时,信息在传输过程中应进行加密等保护处理;
3)收集个人信息的系统应落实网络安全等级保护要求;
4)收集个人信息时应有对收集内容进行安全检测和过滤的机制,防止非法内容提交。
6.2保存
个人信息的保存行为应满足以下要求:
b)收集到的个人信息应采取相应的安全加密存储等安全措施进行处理;
d)应对保存的个人信息在超出设置的时限后予以删除;
1)具有本地数据备份功能;
2)将备份介质进行场外存放;
3)具有异地数据备份功能。
6.3应用
个人信息的应用应满足以下要求:
b)个人信息主体应拥有控制本人信息的权限,包括:
1)允许对本人信息的访问;
2)允许通过适当方法对本人信息的修改或删除,包括纠正不准确和不完整的数据,并保证修改后的本人信息具备真实性和有效性;
d)应对个人信息的接触者设置相应的访问控制措施,包括:
2)对个人信息的重要操作设置内部审批流程,如批量修改、拷贝、下载等;
3)对特定人员超限制处理个人信息时配置相应的责任人或负责机构进行审批,并对这种行为进行记录。
e)应对必须要通过界面(如显示屏幕、纸面)展示的个人信息进行去标识化的处理。
6.4删除
a)个人信息在超过保存时限之后应进行删除,经过处理无法识别特定个人且不能复原的除外;
b)个人信息持有者如有违反法律、行政法规的规定或者双方的约定收集、使用其个人信息时,个人信息主体要求删除其个人信息的,应采取措施予以删除;
d)对存储过个人信息的设备在进行新信息的存储时,应将之前的内容全部进行删除;
e)废弃存储设备,应在进行删除后再进行处理。
6.5第三方委托处理
6.6共享和转让
个人信息原则上不得共享、转让。如存在个人信息共享和转让行为时,应满足以下要求:
a)共享和转让行为应经过合法性、必要性评估;
b)在对个人信息进行共享和转让时应进行个人信息安全影响评估,应对受让方的数据安全能力进行评估确保受让方具备足够的数据安全能力,并按照评估结果采取有效的保护个人信息主体的措施;
c)在共享、转让前应向个人信息主体告知转让该信息的目的、规模、公开范围数据接收方的类型等信息;
e)应记录共享、转让信息内容,将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记;
f)在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利,例如访问、更正、删除、注销等;
g)当个人信息持有者发生收购、兼并、重组、破产等变更时,个人信息持有者应向个人信息主体告知有关情况,并继续履行原个人信息持有者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。
6.7公开披露
a)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
c)公开披露个人敏感信息前,除6.7b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;
d)准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;
e)承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;
f)不得公开披露个人生物识别信息和基因、疾病等个人生理信息;
g)不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。
7.应急处置
7.1应急机制和预案
a)应建立健全网络安全风险评估和应急工作机制,在个人信息处理过程中发生应急事件时具有上报有关主管部门的机制;
b)应制定个人信息安全事件应急预案,包括应急处理流程、事件上报流程等内容;
d)应定期对原有的应急预案重新评估,修订完善。
7.2处置和响应
a)发现网络存在较大安全风险,应采取措施,进行整改,消除隐患;发生安全事件时,应及时向公安机关报告,协助开展调查和取证工作,尽快消除隐患;
c)应对安全事件造成的影响进行调查和评估,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大;
e)应将事件的情况告知受影响的个人信息主体,并及时向社会发布与公众有关的警示信息。