如何理解《網路安全法》與國家標準《個人信息安全規範》的關係

編者按

隨著國家標準《個人信息安全規範》（GB/T 35273-2017）的正式發布【國家標準《個人信息安全規範》全文】，社會各界對該標準的關注在逐漸升溫。本公號將陸續邀請一些參與到該標準制定，或者在其工作中實際運用過該標準的朋友撰寫文章，請他們和大家分享對該標準的看法，或者轉載對該標準的評論文章。本文作者是公號君本人。

在標準發布後，經常被問道類似的問題：《個人信息安全規範》與《網路安全法》是個什麼關係？如果做到了《個人信息安全規範》中的要求，是否就符合《網路安全法》？如果沒做到，是否就意味著違法等等。因此，我想利用這篇小短文，談談自己的個人看法。

國家機關對《個人信息安全規範》的提法

可能大家比較熟悉的有兩次：

第一次

2017年5月31日，《網路安全法》生效前一天。國家互聯網信息辦公室發布了「《網路安全法》施行前夕國家互聯網信息辦公室網路安全協調局負責人答記者問」。其中：

問：《網路安全法》於6月1日起施行，有關準備工作進展如何？

答：《網路安全法》將於6月1日起正式施行，這在網路安全歷史上具有里程碑意義。

《網路安全法》的公布和施行，不僅從法律上保障了廣大人民群眾在網路空間的利益，有效維護了國家網路空間主權和安全，而且還有利於信息技術的應用，有利於發揮互聯網的巨大潛力。

《網路安全法》公布後，各部門、各地方以及廣大企業、科研單位和院校開展了多種形式的學習宣傳貫徹活動，法律所確定的重要理念、基本要求正在深入人心。目前，有關部門正在按照法律要求抓緊研究起草相關制度文件，包括關鍵信息基礎設施保護辦法、個人信息和重要數據出境安全評估辦法、網路關鍵設備和網路安全專用產品目錄等。其中，《網路產品和服務安全審查辦法（試行）》等配套制度文件已經公開發布。國家標準化部門正抓緊組織制定《個人信息安全規範》等國家標準。總體上看，各項工作都在按計劃推進。

第二次

2018年01月10日，國家互聯網信息辦公室網路安全協調局約談「支付寶年度賬單事件」當事企業負責人。其中：

網路安全協調局負責人指出，支付寶、芝麻信用收集使用個人信息的方式，不符合剛剛發布的《個人信息安全規範》國家標準的精神，違背了其前不久簽署的《個人信息保護倡議》的承諾。

兩次全是網路安全協調局負責人談到了這個國標。實際上，還有第三次。

第三次

第三次

2017年08月25日，國家互聯網信息辦公室有關負責人就《互聯網跟帖評論服務管理規定》答記者問。其中：

問：《規定》對網站落實主體責任作出了哪些要求？

答：網上信息管理，網站應負主體責任，政府行政管理部門要加強監管。《規定》認真落實這一要求，對網站主體責任進行了明確規定，主要包括八個方面。

一是落實實名制要求。《規定》明確網站要按照「後台實名、前台自願」原則，對註冊用戶進行真實身份信息認證，不得向未認證真實身份信息的用戶提供跟帖評論服務。

二是建立用戶信息保護制度。《網路安全法》第四十條、四十一條、四十二條、四十三條、四十四條、四十五條對用戶信息保護制度作了規定，國家標準化部門正抓緊組織制定《個人信息安全規範》，因此本《規定》僅對此作了原則性表述。

這次是國家互聯網信息辦公室有關負責人。

實際上，主管監管部門對推薦性國家標準的如此表態，在國際上也並不鮮見。美國NIST所做的「網路安全框架」

（cybersecurity framework），本質上也是推薦性的。但是美國聯邦貿易委員會（FTC）在其網站就公開表態「網路安全框架與FTC堅持的以流程為基礎的監管方式是相一致的」。（From the perspective of the staff of the Federal Trade Commission, NIST』s Cybersecurity Framework is consistent with the process-based approach that the FTC has followed）【https://www.ftc.gov/news-events/blogs/business-blog/2016/08/nist-cybersecurity-framework-ftc】

美國證券交易委員會（SEC）明確要求其監管對象在考慮從何入手評估該採用什麼網路安全措施時，應當使用的工具之一即是網路安全框架（In considering where to begin to assess a company』s possible cybersecurity measures, one conceptual roadmap boards should consider is the Framework for Improving Critical Infrastructure Cybersecurity, released by the National Institute of Standards and Technology）【https://www.sec.gov/news/speech/2014-spch061014laa#.VNpDDPnF8Ro】

美國國土安全部【https://www.dhs.gov/using-cybersecurity-framework】和美國能源部【https://energy.gov/oe/cybersecurity-critical-energy-infrastructure/reducing-cyber-risk-critical-infrastructure-nist】則制定專門政策鼓勵其監管對象採用網路安全框架。

《個人信息安全規範》的屬性

第一，《個人信息安全規範》是個推薦性的國家標準。

2017年11月4日，《中華人民共和國標準化法》經第十二屆全國人民代表大會常務委員會第三十次會議修訂後發布，其中對推薦性標準是這樣表述的：

國家鼓勵採用推薦性標準（第二條）；

對保障人身健康和生命財產安全、國家安全、生態環境安全以及滿足經濟社會管理基本需要的技術要求，應當制定強制性國家標準。（第十條）對滿足基礎通用、與強制性國家標準配套、對各有關行業起引領作用等需要的技術要求，可以制定推薦性國家標準。（第十一條）

推薦性國家標準、行業標準、地方標準、團體標準、企業標準的技術要求不得低於強制性國家標準的相關技術要求。（第二十一條）

第二，《個人信息安全規範》是依賴於全國信息安全標準化技術委員會（TC260）平台上制定出來的。

2016年8月12日，中央網路安全和信息化領導小組辦公室、國家質量監督檢驗檢疫總局、國家標準化管理委員會聯合發文《關於加強國家網路安全標準化工作的若干意見》（中網辦發文〔2016〕5號）。其中要求：

建立統一權威的國家標準工作機制。網路安全標準化工作要堅持統一謀劃、統一部署，緊貼實際需求，守住安全底線。全國信息安全標準化技術委員會在國家標準委的領導下，在中央網信辦的統籌協調和有關網路安全主管部門的支持下，對網路安全國家標準進行統一技術歸口，統一組織申報、送審和報批。

綜合理解

在我個人看來，《個人信息安全規範》首先是遵循了《網路安全法》確立的個人信息保護框架。其次，《個人信息安全規範》提供了遵從《網路安全法》關於個人信息保護要求的一個良好方案（good practice）。這個良好方案具備較好的科學性【可參考如下文章：對用戶知情同意規則的中國式探索——兼論國標《個人信息安全規範》、 國家標準《信息安全技術 個人信息安全規範》評析、個人信息安全影響評估有助於防範「年度賬單」事件】，且凝聚了企、事業及科研機構等單位較為廣泛的共識。

再次，該標準是嚴格按照TC260的流程制定，意味著我國網路安全相關的主管部門在該標準制定過程中，均對該標準提出了意見和建議。對此，該標準也均作了吸納。（見下圖TC260領導設置情況）

因此，在我個人看來，《個人信息安全規範》提出的方案，是符合《網路安全法》相關條文的一個比較好的方案。但《個人信息安全規範》並不是唯一方案，有能力的企業完全可以自己理解《網路安全法》的相關條文，並制定出一套合規體系，並向主管監管部門證明自己符合了《網路安全法》。

同時注意到，按照《網路安全法》第十條、第二十二條、第二十三條均提出，網路運營者，或者網路產品和服務、網路關鍵設備和網路安全專用產品應符合「國標標準的強制性要求」（也就是強制標準，或者經由國家法律援引的標準）。目前，《個人信息安全規範》不屬於網安法所說的「國標標準的強制性要求」。作為推薦性標準，按照國標法第二十一條的規定，「推薦性國家標準......的技術要求不得低於強制性國家標準的相關技術要求」。

所以綜上可以得出以下結論：

採用並忠實地落實了《個人信息安全規範》，可以確定就符合了《網路安全法》關於個人信息保護的相關要求。

如果與《個人信息安全規範》的規定不相符，並不一定就是違反了《網路安全法》關於個人信息保護的相關要求。但組織需要向主管監管部門證明自己實際上也是符合《網路安全法》。

從這個角度來說，《個人信息安全規範》是用於做到《網路安全法》合規的一個公共品，實際上給組織合規、內部制度建設等提供了大量現成的素材。這也是為什麼我有了「法務之友」的稱號。

最後來一個重要提示：以上分析均僅僅是對追究《網路安全法》規定的法律責任而言。

作者：洪延青

（免責聲明：本文系轉載自網路，發布本文為傳遞更多信息之用，本文僅代表作者個人觀點，與本公眾號無關。其原創性以及文中陳述文字和內容未經我們證實。如若有任何內容侵犯您的權益，請及時撥打e安在線電話400 010 5300，我們將及時處理。）

END

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！