随着云计算、大数据、移动应用等技术的快速发展及“互联网+”行动计划的有序推进，信息的价值被充分挖掘，其安全性问题受到广泛关注。在经济利益驱使下，侵犯公民个人隐私的现象日益增多，相关违法犯罪甚至已经形成完整的利益链，给人们日常生活带来很大的困扰，甚至造成财产损失，危及人身安全。如何保障用户个人信息安全，已成为网络信息安全工作的重要一环。

近日，公安部网络安全保卫局联合篮球比分网络行业协会、公安部第三研究所共同研究制定了《篮球比分安全保护指南》（以下简称《指南》），就个人信息安全保护的管理机制、安全技术措施和业务流程等作出规定。综合来看，该《指南》的出台，主要有以下几点实践意义。

一、对建立个人信息持有者的网络安全合规性具有很强的指导意义

《指南》明确了适用对象为“个人信息持有者”，即对个人信息进行控制和处理的组织或个人。《指南》规定，“适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作参考使用。适用于通过互联网提供服务的企业，也适用于使用专网或非联网环境控制和处理个人信息的组织或个人”。可见，只要涉及对于个人信息的控制与处理，均属于《指南》的适用范围。

在确定了主要规范主体的基础上，《指南》分别从管理机制、技术措施、业务流程和应急处理等方面提出具体的个人信息保护措施。特别是对管理制度、管理机构、管理人员提出了明确指导建议；对个人信息的收集、保存、应用、删除、第三方委托处理、共享和转让、公开披露等业务提出全流程管理。较为完善的整体架构，使得各有关部门单位可以《指南》为依据，建立本企业的用户信息保护制度。

二、对个人信息持有者在管理机制建设方面提出了明确的指导建议

个人信息持有者要提升信息保护水平，就必须加强内控机制建设，建立相应的管理制度、设置管理机构，配备管理人员，这样才能提升对个人信息的保护能力，落实保护责任。

在管理制度方面，《指南》对管理制度的内容、制定发布、执行落实与评审改进4个方面提出了要求。如在管理制度内容方面，建议制定个人信息保护的总体方针和安全策略等相关规章制度与文件，制定工作人员对个人信息日常管理的操作规程，建立个人信息管理制度体系以及制定个人信息安全事件应急预案。

在管理机构方面，《指南》对管理机构以及管理人员均提出了要求。如就管理机构而言，《指南》提出应设置指导和管理个人信息保护的工作机构，明确定义机构的职责；应由最高管理者或授权专人负责个人信息保护的工作；等等。

在管理人员方面，《指南》要求加强对个人信息管理人员在录用、离岗、考核、教育培训等方面的管理，并对具体的管理措施作出规定。值得一提的是，文件首次提出，要定期考核管理人员对相关工作的基础知识、安全责任以及惩戒措施、法律法规等的理解，并记录存档考核记录。

三、细化了个人信息全生命周期动态调节的机制

针对我国目前个人信息全生命周期保护不足的状况，《指南》提出在个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息等环节的操作规程，在实际操作层面填补了空白，为提升公民个人信息全生命周期保护意识、企业合规操作提供了新的业务参照和行为指引。

针对个人信息在全生命流程的各个环节，《指南》的规定内容各有侧重。

1.收集环节：个人信息收集前，应当遵循合法、正当、必要的原则向被收集的个人信息主体公开收集、使用规则，明示收集、使用信息的目的、方式和范围等；个人信息收集应获得个人信息主体的同意和授权，不应收集与其提供的服务无关的个人信息，不应通过捆绑产品或服务各项业务功能等方式强迫收集个人信息；个人信息收集应执行收集前签署的约定和协议，不应超范围收集。

2.保存环节：收集到的个人信息应采取相应的安全加密存储等安全措施进行处理；应对保存的个人信息根据收集、使用目的、被收集人授权设置相应的保存时限；应对保存的个人信息在超出设置的时限后予以删除。　

3.应用环节：个人信息的应用，应符合与个人信息主体签署的相关协议和规定，不应超范围应用个人信息；个人信息主体应拥有控制本人信息的权限；完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用，可事先不经用户明确授权，但应确保用户有反对或者拒绝的权利。

4.删除环节：个人信息在超过保存时限之后应进行删除，经过处理无法识别特定个人且不能复原的除外；个人信息持有者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息时，个人信息主体要求删除其个人信息的，应采取措施予以删除。

5.第三方委托处理环节：在对个人信息委托处理时，不应超出该信息主体授权同意的范围；在对个人信息的相关处理进行委托时，应对委托行为进行个人信息安全影响评估；对个人信息进行委托处理时，应签订相关协议要求受托方符合本文件；应向受托方进行对个人信息数据的使用和访问的授权。

6.共享和转让环节：个人信息原则上不得共享、转让。

7.公开披露环节：个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露时，应充分重视风险。

四、采取了安全管理和技术双轮驱动的技术措施

《指南》意图以构建层层防御的纵深安全防护体系的方式，通过多重安全保障手段的实施，夯实网络基础设施安全防护，为用户个人信息的采集、存储、传输和使用提供安全可靠的载体。

在技术措施方面，《指南》首先规定了基本要求，提出个人信息处理系统其安全技术措施应满足GB/T 22239相应等级的要求，按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。需要注意的是，《指南》并没有一刀切地要求个人信息持有者按照最高等级实行安全保护措施，而是基于企业自身的具体情况，按照所对应的等级开展安全保护。

此外，《指南》对通用要求、扩展要求分别作出规定。就通用要求而言，规定了通信网络安全、区域边界安全、计算环境安全、应用和数据安全。就扩展要求而言，提出云计算安全扩展要求和物联网安全扩展要求。

五、强调建立个人信息安全事件应急处置机制

在传统网络安全事件监控与应急响应的基础上，《指南》进一步加强对用户个人信息安全事件的监控与应急响应机制，确保在发生用户个人信息突发事件时能够及时、高效、顺畅、规范地开展应急处置。

《指南》要求，有关部门单位应建立健全网络安全风险评估和应急工作机制，在个人信息处理过程中发生应急事件时具有上报有关主管部门的机制；应制定个人信息安全事件应急预案；应定期（至少每半年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程，留存应急培训和应急演练记录；发现网络存在较大安全风险，应采取措施，进行整改，消除隐患；等等。

总而言之，虽然该《指南》不具有强制力，仅为个人和企业在个人信息生命周期处理过程中开展安全保护工作参考使用，但鉴于我国个人信息保护立法欠缺的实际情况，《指南》第4章管理机制、第5章技术措施、第6章业务流程、第7章应急处置等均与《网络安全等级保护基本要求》（《信息系统安全等级保护基本要求》）和《信息安全技术 个人信息安全规范》两个国家标准在要求上做了对接，因此，《指南》的发布可以说及时地填补了个人信息保护中诸多实操领域的规范空白，必将大大促进网络环境安全可靠。

 

（原载于《保密工作》杂志2019年第7期）