刘佳　张琳

摘 要：论文针对个人客户信息保护相关的重要法律法规及标准进行分析，指出了各个标准的应用范围、关注重点和亮点，并针对移动运营商企业的客户数量庞大、客户信息种类多和客户信息敏感的特点，为移动运营商企业提出了客户信息保护的实施建议。

关键词：个人信息；法律法规；国际标准

中图分类号：TP 393.08 文献标识码：A

1 引言

近年来，Facebook、阿里巴巴、京东等大型互联网公司均曾陷入过客户信息泄露风波。随着数据泄露事件的增多，各国政府及标准化组织，出台了一系列相关的法律法规及标准规范，对客户信息提出了明确的保护要求和建议。2017年6月《网络安全法》[1]正式实施，2018年5月欧盟《通用数据保护规范》[2]正式实施，这都标志着国际和国内政府对客户信息安全的保护要求提到了新的高度。在越来越多、越来越严格的客户信息保护制度下，作为客户信息“集散地”之一的电信运营商，该如何保护自己的“数据资产”，是运营商企业非常重视的问题。本文从国际和国内的个人信息保护相关的主要标准规范入手，对其内容特点分别做了深入分析，并提出了电信运营商企业的客户信息保护建议。

2 国际标准

国际标准化组织对个人隐私数据的保护起步较早，国际标准化组织（International Organization for Standardization，ISO）、美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）等组织在2011年前后出台了个人隐私数据保护的系列标准，尤其是欧盟近期出台的通用数据保护规范（General Data Protection Regulation，GDPR），被认为史上最严的个人数据保护条例。

2.1 ISO 29100系列

国际标准化组织在2011年和2013年分别出台了安全技术隐私保护框架ISO 29100[3]和隐私保护体系架构ISO 29101[4]，标准中提出了隐私信息保护的要素、架构、原则及全生命周期等内容，旨在提供隐私保护的标准保护框架。

ISO 29100对隐私框架的基本要素进行了定义，列举了隐私保护遵守的原则。标准中认为，隐私保护框架的基本要素包括参与者、角色、交互、对隐私信息的识别、隐私防护要求、隐私策略和隐私控制等，并对隐私数据的采集、使用、存储三个阶段提出了规范性要求，对数据保障措施和监督审查两个环节进行了重点描述，并建议涉及隐私保护的服务和应用均在此标准架构的基础上进行标准开发。

ISO 29101在隐私数据的全生命周期环节上，比ISO29100要求更加全面，描述了信息采集、传输、使用、存储和销毁五个阶段的要求，并提出了组件、角色和交互三种结构视图，与ISO 29100中的隐私保护原则进行对应。同时，ISO 29101中提出了对隐私数据进行分级保护的概念，可分为敏感和非敏感级，但是并未对各类数据做明确的保护要求。

2.2 NIST出台的相关标准

美国国家标准与技术研究院针对个人隐私数据也进行了研究，并出台了一系列标准和报告，NIST SP 800系列为风险控制类标准，其中与客户信息相关的标准包括NIST SP 800-53[5]、NIST SP 800-122[6]等。

NIST SP 800-53为联邦信息系统的安全和隐私控制规范，提出了隐私风险评估的具体流程、步骤和风险计算方法，制定了隐私控制目录，包含8类26个控制措施，每一个控制措施均分为一般要求和增强要求，并对应了不同的隐私保护级别，更便于组织机构在实施安全控制措施的同时，实施隐私控制措施的要求。

NIST SP 800-122为个人身份信息机密性指南，标准中提出对个人身份信息要从技术、管理、物理防护等多维度采取有效防护和控制措施，建议组织机构应使用基于风险管理的方法保护个人身份信息，也是对NIST SP 800-53附录中提出的“隐私控制”内容的细化。

2.3 通用数据保护规范

2018年5月25日，欧盟的《通用数据保护规范》（General Data Protection Regulation，GDPR）正式生效。较之前的个人数据保护标准，GDPR在管辖范围、个人数据范围、保护实施要求、监管惩罚力度等方面都提出了非常高的要求和标准，因此被称为“史上最严数据保护法案”。

（1）管辖范围更宽泛

GDPR采用了“长臂管辖”原则，指出所有设立在欧盟境内的数据控制或者处理机构，其个人用户数据处理行为无论是否发生在欧盟境内均受GDPR约束管控；而对于设立在欧盟境外的数据控制或者处理机构，如果其向欧盟境内用户服务过程中存在个人数据处理行為，那么该机构也要遵守GDPR的规范要求。

（2）个人数据范围广

GDPR中明确规定，与一个确定的或可识别的自然人相关的任何信息，如姓名、身份证号码、位置数据、在线身份识别等标识符，或自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个因素均纳入“个人数据”，同时，对以上信息进行的任何操作例如挖掘分析的结果数据也应纳入GDPR管辖的个人数据范围。

（3）保护实施要求高

GDPR在“用户权利”“数据处理”等方面提出了更加严格的要求。“数据处理”环节，需要对数据处理行为进行全面记录，确保数据处理过程的安全，并要实施个人数据保护影响评估；在“用户权利”环节，在“用户知情权”方面强调用户必须对个人数据的收集使用作出具体明晰的同意行为，而沉默、默认勾选等方式均不能作为同意依据，除此之外，在用户权利方面针对用户的更正权、被遗忘权、拒绝权等都做了明确规定，加强了用户主体权利的保护。

（4）监管惩罚力度大

GDPR对违规数据处理的行为采取了分级处罚方式。针对未做好数据处理记录、未进行数据保护影响评估等要求的数据处理机构，设定了最低1000万欧元或全球年营业额2%（取高）的罚款标准；如果数据处理机构违反了“用户知情同意权”、个人数据跨境传输等要求，则要面临 2000 万欧元或其全球年营业额 4%（取高）的巨额罚款。

2.4 小结

ISO 29100系列标准强调隐私保护原则和隐私的全生命周期保护；而NIST SP 800-53和SP 800-122则是从风险管理、访问控制、职责分离等安全管理和控制手段方面来要求客户信息保护，二者均非强制性要求，但是为行业标准和企业标准的制定提供了很好的参考和对标标准。GDPR则是上升到了法律层面，尤其是“长臂原则”使得欧盟范围外的很多企业都受其影响，必须严格遵守其条款，否则将会受到严厉的制裁。

除了以上标准外，还有一些限定领域的标准规范，例如ISO 29190、ISO 27018和ISO29134 及NIST SP 800-144等也属于隐私保护相关的标准范畴，分别用于规范企业级隐私保护等级的评价标准、公共云计算环境下的隐私保护标准和隐私信息管理影响评估标准等，本文将不再赘述。

3 国家法律法规

3.1 电信和互联网用户个人信息保护规定

《电信和互联网用户个人信息保护规定》[7]是为了保护电信和互联网用户的合法权益，维护网络信息安全而制定的法规，由中华人民共和国工业和信息化部令第24号公布，于2013年9月1日起施行。规定中强调电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则，明确了其管辖范围包括在中华人民共和国境内提供的电信服务和互联网信息服务过程中收集、使用个人信息的活动。同时，规定也提出了用户个人信息的涵盖范畴包括用户姓名、出生日期、身份证号码、住址、电话号码、账号密码等信息，并重点阐述了这些个人信息的收集、使用环节的执行要求和标准。

3.2 中华人民共和国网络安全法

《中华人民共和国网络安全法》（简称《网络安全法》）由全国人民代表大会常务委员会发布，于2017年6月1日起施行。适用于所有在中华人民共和国境内建设、运营、维护和使用的网络及网络运营者。针对用户个人信息的保护，《网络安全法》在第四十一至四十五条进行了明确阐述，规范了网络运营者在用户个人信息收集、使用、存储等环节需要遵循的法律条款。也在法律层面明确了用户个人信息收集、使用的用户告知权利，并首次明确提出所有的个人信息重要数据要境内存储。

4 国家标准

4.1 公共及商用服务信息系统个人信息保护指南

《公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）[8]于2013年2月起实施。《指南》对个人信息保护遵循的原则进行了重点阐述，提出了人信息保护的八项原则，包括目的明确原则、最少够用原则、公开告知原则、个人同意原则、质量保证原则、安全保障原则、诚信履行原则和责任明确原则，这也为相关行业、企业标准制定的原则提供了标杆性参考。其中公开告知原则、个人同意原则均在强调用户个人主体明确授权的权利，也是该《指南》最显著的特点，这两项原则在信息采集和传输环节又多次被强调和提出。

4.2 个人信息安全规范

《信息安全技术个人信息安全规范》[9]于2017年12月发布，2018年5月1日开始实施。规范重新归纳总结了责任原则、目的明确原则、最少够用原则、同意和选择原则、质量保证原则、确保安全原则、主体参与原则和公开透明原则的新八项原则，将《公共及商用服务信息系统个人信息保护指南》中的内容进行了重新归纳和排序，但原则内容基本保持一致。

规范中对个人信息的全生命周期的收集、传输、使用等环节进行了明确要求，并创新性的强调了用户信息收集频率、用户明示同意、信息存储期限等问题，作出了重点要求。此外，规范的另外一个亮点，就是对个人信息提出了分类保护的概念，建议把个人信息分为个人身份和鉴别信息、个人服务和数据内容信息、个人服务相关信息三类，采取相应的技术手段进行保护。

5 影响及建议

对于移动运营商企业来说，客户群体庞大，掌握的客户信息种类、渠道繁多，信息内容较为敏感，因此需要更加严格的遵守客户信息相关的规定，做好认真梳理，谨慎核查，以防疏漏。对移动运营商企业的客户信息保护工作提出几点建议。

5.1 深入学习和研究国际国内法律法规

针对国际和国内的法律法规，企业法务部门要进行相关条款的分析和解读，尤其像GDPR这类具有“长臂原则”的国际法规，需要认真研究其管辖范围，协调公司内部各部门梳理涉及相关条款的子公司、部门、业务、设备、数据、人员等，预先做好法律风险评估和规避风险方案。

5.2 对标国际国内标准，制定行业或企业标准

与国际、国内标准严格对标，并结合自身行业或业务特点，制定符合移动运营商业务特点的客户信息保护行业或企业标准。从保护原则、保护框架上，要满足国际国内标准要求。同时要从管理和技术上，做好客户信息分级防护，确保客户信息安全无死角。

5.3 对内做好定期业务审计、安全审核和风险评估

企业业务部门和运维部门要做好各类客户信息操作的日志、纸质信息材料的留存，并做好日常審计工作。由信息安全责任部门定期开展专项安全检查，包括自查、互查、抽查，找出问题风险，并及时整改，对客户信息泄露事件做到事后有据可查。

5.4 对外做好设备维护方、数据合作方的资质审查、责任划分和数据保护

作为运营商企业，拥有大量的设备维护方、数据合作方等外部厂商、人员和设备。需要在业务合作合同上明确各方工作范围和接触数据范围，并且对安全责任划分明确，合作方人员需签署保密协议。除此之外，对驻地合作方人员、设备要做好物理隔离，并通过权限限制、后门检查、数据模糊化等技术手段，降低对外合作渠道的数据泄露风险。

6 结束语

本文对国内外个人信息保护相关的法律法规和标准规范进行了研究梳理，对其内容特点分别做了深入分析，并站在电信运营商角度，提出了加强客户信息保护的相关建议。

参考文献

[1] 全国人民代表大会常务委员会，中华人民共和国网络安全法[Z].2016-11-7.

[2] Council of the European Union，General Data Protection Regulation [Z]. 2018-5-25.

[3] ISO 29100，Information Technology-Security Techniques-Privacy Framework， 2011-12-15.

[4] ISO 29101，Information Technology- Security Techniques-Privacy Architecture Framework，2013-10-15.

[5] NIST Special Publication 800-53，Security and Privacy Controls for Federal Information Systems and Organizations，2013-4.

[6] NIST Special Publication 800-122，Guide to Protecting the Confidentiality of Personally Identifiable Information （PII），2010-4.

[7] 中华人民共和国工业和信息化部.电信和互联网用户个人信息保护规定[S].2013-7-16.

[8] GB/Z 28828-2012，信息安全技术公共及商用服务信息系统个人信息保护指南[S].

[9] GB/T 35273-2017，信息安全技术个人信息安全规范[S].