內(nèi)地數(shù)據(jù)安全和個人信息保護 新發(fā)展

內(nèi)地數(shù)據(jù)安全和個人信息保護新發(fā)展北京理工大學(xué) 洪延青2023年5月中國數(shù)據(jù)政策的三組核心價值開發(fā)利用域外競爭安全保護2014年至今2022年起始網(wǎng)絡(luò)安全，是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力?！毒W(wǎng)絡(luò)安全法》信息安全等級保護制度網(wǎng)絡(luò)安全等級保護制度關(guān)鍵信息基礎(chǔ)設(shè)施安全保護第一條 為了保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用，根據(jù)憲法，制定本法。第二條 自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權(quán)益?！秱€人信息保護法》維護數(shù)據(jù)安全，應(yīng)當(dāng)堅持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。數(shù)據(jù)安全，是指通過采取必要措施，確保數(shù)據(jù)處于有效保

護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。《數(shù)據(jù)安全法》網(wǎng)絡(luò)安全，是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。《網(wǎng)絡(luò)安全法》網(wǎng)絡(luò)安全標(biāo)準體系信安標(biāo)委秘書處杜廣達工業(yè)和信息化部網(wǎng)絡(luò)安全管理局郭啟全公安部十一局江常青中國信息安全測評中心何良生國家密碼管理局秘書長：楊建軍中國電子技術(shù)標(biāo)準化研究院秘書處：中國電子技術(shù)標(biāo)準化研究院網(wǎng)絡(luò)安全研究中心委員：100名成員單位：截止目前已有650多家單位。AI（智慧城市安全、人工智能安全）Blockchain（區(qū)塊鏈安全）Cloud（云計算安全）Data（數(shù)據(jù)安全）2016年，TC260成立大數(shù)據(jù)安全標(biāo)準特別工作組（SWG-BDS），負責(zé)數(shù)據(jù)安全、云計算安全等新技術(shù)新應(yīng)用的安全標(biāo)準研制。2002年4月，國家標(biāo)準化管理委員會批復(fù)成立“全國信息安全標(biāo)準化技術(shù)委員會”（簡稱信安標(biāo)委，編號SAC/TC260），業(yè)務(wù)上接受中央網(wǎng)信辦指導(dǎo)；國際對口組織：ISO/IEC

JTC1

SC27、WG13工作范圍：包括信息安全技術(shù)、機制、服務(wù)、管理、評估等領(lǐng)域標(biāo)準化工作工作職責(zé)：TC260對網(wǎng)絡(luò)安全國家標(biāo)準進行統(tǒng)一技術(shù)歸口，統(tǒng)一組織申報、送審和報批（中網(wǎng)辦發(fā)文[2016]5號）主任委員：趙澤良中央網(wǎng)絡(luò)安全和信息化委員會辦公室副主任委員：高林國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全協(xié)調(diào)局標(biāo)準研制：現(xiàn)有個人信息保護國家標(biāo)準GB/T

35273—2020《信息安全技術(shù)個人信息安全規(guī)范》GB/T

37964—2019《信息安全技術(shù)個人信息去標(biāo)識化指南》GB/T

39335—2020《信息安全技術(shù)個人信息安全影響評估指南》《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序（APP）SDK安全指南》《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集個人信息基本要求》《信息安全技術(shù)個人信息告知同意指南》《信息安全技術(shù)個人信息安全工程指南》《信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序（APP）個人信息安全測評規(guī)范》細化必要性要求（App方向）實施層面細化（通用）實施層面細化（App方向）支撐檢測認證工作（App方向）安全要求類檢測評估類實施指南類

序號標(biāo)準名稱標(biāo)準狀態(tài)標(biāo)準內(nèi)容1移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集個人信息基本要求報批稿App收集個人信息必要性等2個人信息安全工程指南報批稿產(chǎn)品和服務(wù)隱私設(shè)計3個人信息告知同意指南送審稿告知同意4個人可識別信息（PII）處理者在公有云中保護PII的實踐指南送審稿公有云個人信息保護5個人信息去標(biāo)識化效果分級評估規(guī)范征求意見稿去標(biāo)識化效果評估6移動互聯(lián)網(wǎng)應(yīng)用程序（APP）個人信息安全測評規(guī)范征求意見稿App個人信息安全測評方法7移動互聯(lián)網(wǎng)應(yīng)用程序（APP）SDK安全指南征求意見稿SDK安全8應(yīng)用商店的App個人信息處理規(guī)范性審核與管理指南草案應(yīng)用商店審核App個人信息安全9移動智能終端的App個人信息處理活動管理指南草案移動智能終端管理App個人信息安全10互聯(lián)網(wǎng)平臺及產(chǎn)品服務(wù)隱私協(xié)議要求草案隱私協(xié)議在制定標(biāo)準（10項）標(biāo)準研制：國家標(biāo)準支撐個保法落地通用要求GB/T

35273個人信息安全規(guī)范等個人信息保護影響評估GB/T

39335個人信息安全影響評估指南等最小必要告知同意隱私政策App個人信息安全移動互聯(lián)網(wǎng)應(yīng)用程序收集個人信息基本要求等個人信息告知同意指南等互聯(lián)網(wǎng)平臺及產(chǎn)品服務(wù)隱私協(xié)議要求等移動互聯(lián)網(wǎng)應(yīng)用程序收集個人信息基本要求、App個人信息安全測評規(guī)范、應(yīng)用商店、移動智能終端等生物識別信息安全人臉識別、聲紋識別、步態(tài)識別、基因識別等4個生物特征識別數(shù)據(jù)安全要求個人信息保護技術(shù)GB/T

37964個人信息去標(biāo)識化指南、個人信息安全工程指南等互聯(lián)網(wǎng)平臺網(wǎng)絡(luò)預(yù)約汽車、網(wǎng)上購物、即時通信、快遞物流、網(wǎng)絡(luò)支付、網(wǎng)絡(luò)音視頻等6個數(shù)據(jù)安全要求標(biāo)準......標(biāo)準研制：國家標(biāo)準支撐個保法落地小型個人信息處理者個人信息保護要求支撐《個人信息保護法》第六十二條敏感個人信息處理安全要求支撐《個人信息保護法》第二十八條、第二十九條、第三十條、第六十二條自動化決策及應(yīng)用安全指南支撐《個人信息保護法》第二十四條未成年人個人信息處理安全要求支撐《個人信息保護法》第三十一條個人信息出境認證支撐《個人信息保護法》第三十八條、第六十二條人工智能應(yīng)用個人信息保護指南支撐《個人信息保護法》第六十二條個人信息出境標(biāo)準合同要求支撐《個人信息保護法》第三十八條......監(jiān)管實踐App中的個人信息保護數(shù)據(jù)跨境

汽車等垂安全 直行業(yè)內(nèi)容安全視角下的

AIApp個人信息保護移動終端移動App第三方SDK系統(tǒng)后臺個人信息信息推送第三方合作伙伴移動應(yīng)用商店小程序分發(fā)平臺車載數(shù)據(jù)跨境安全數(shù)據(jù)跨境流動的風(fēng)險境外數(shù)據(jù)接收方境內(nèi)監(jiān)管機構(gòu)境內(nèi)數(shù)據(jù)輸出方境內(nèi)法律法規(guī)境外法律法規(guī)風(fēng)險二：數(shù)據(jù)流出后適用法律法規(guī)不同風(fēng)險一：不同數(shù)據(jù)持有方的數(shù)據(jù)保護能力不一致風(fēng)險三：境內(nèi)監(jiān)管機構(gòu)無法對境外主體實施管轄權(quán)風(fēng)險四：個人數(shù)據(jù)主體維護自身合法權(quán)益困難國家安全風(fēng)險保護認證安全評估標(biāo)準合同自評估與國家網(wǎng)信評估內(nèi)容高度一致評估流程風(fēng)險自評估事項

安全評估事項

說明數(shù)據(jù)出境和境外接收方處理數(shù)據(jù)的目的、范圍、方

數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、前者較后者增加“境外接收方”處理目的等合式等的合法性、正當(dāng)性、必要性

必要性

法、正當(dāng)、必要性出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度

出境數(shù)據(jù)的規(guī)模、范圍、種類、敏感程度

一致數(shù)據(jù)出境可能對國家安全、公共利益、個人或者組

數(shù)據(jù)出境活動可能對國家安全、公共利益、個人或

雖然前者與后者一致，但后者在表述上與其他織合法權(quán)益帶來的風(fēng)險；

者組織合法權(quán)益帶來的風(fēng)險

所有安全評估事項構(gòu)成“總分”關(guān)系境外接收方承諾承擔(dān)的責(zé)任義務(wù)，以及履行責(zé)任義務(wù)的管理和技術(shù)措施、能力等能否保障出境數(shù)據(jù)的安全；N/A

前者需要重點評估接收方履約能力數(shù)據(jù)出境中和出境后遭到篡改、破壞、泄露、丟失、出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險；

移或者被非法獲取、非法利用等的風(fēng)險；一致個人信息權(quán)益維護的渠道是否通暢等；數(shù)據(jù)安全和個人信息權(quán)益是否能夠得到充分有效保障后者涵蓋的范圍比前者更廣與境外接收方擬訂立的數(shù)據(jù)出境相關(guān)合同或者其他具有法律效力的文件等（以下統(tǒng)稱法律文件）是否充分約定了數(shù)據(jù)安全保護責(zé)任義務(wù)。數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護責(zé)任義務(wù)。一致N/A境外接收方所在國家或者地區(qū)的數(shù)據(jù)安全保護政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境對出境數(shù)據(jù)安全的影響；境外接收方的數(shù)據(jù)保護水平是否達到中華人民共和國法律、行政法規(guī)的規(guī)定和強制性國家標(biāo)準的要求。僅在后者列出，評估部門的特有審核事項N/A

遵守中國法律、行政法規(guī)、部門規(guī)章情況

僅在后者列出，評估部門的特有審核事項內(nèi)容視角下的AI傳統(tǒng)的業(yè)務(wù)模式下的個人信息保護問題手機終端云存儲和簡單的計算個人信息收集信息返回個人意愿、個人信息信息返回終端操作系統(tǒng)設(shè)計（設(shè)計理念、權(quán)限分組、權(quán)限分級、權(quán)限申請機制等）APP的設(shè)計（申請的系統(tǒng)權(quán)限、告知和授權(quán)機制、第三方插件行為等）個人信息存儲于后端時對外提供的情況和個人控制的程度經(jīng)典的個人信息保護原則：目的明確、選擇同意、最少夠用、公開透明、確保安全、主體參與傳統(tǒng)業(yè)務(wù)模式+泛在的傳感器泛在的傳感器手機終端云存儲和簡單的計算個人信息收集個人信息收集個人信息收集信息返回個人意愿、個人信息信息返回新的問題：泛在的傳感器數(shù)據(jù)融合的問題泛在的傳感器邊緣計算+決策手機終端終端計算+決策AI

大腦個人信息收集系統(tǒng)反作用于個人個人信息收集固件、算法、驅(qū)動等更新個人信息收集系統(tǒng)反作用于個人個人意愿、個人信息系統(tǒng)反作用于個人傳統(tǒng)業(yè)務(wù)模式+IOT+AI更新的問題：邊緣計算+決策系統(tǒng)反作用：公平性（fairness）+操控（manipulations）終端操作系統(tǒng)設(shè)計（設(shè)計理念、權(quán)限分組、權(quán)限分級、權(quán)限申請機制等）APP的設(shè)計（申請的系統(tǒng)權(quán)限、告知和授權(quán)機制、第三方插件行為等）個人信息存儲于后臺，對外提供的情況和個人控制的程度泛在的傳感器數(shù)據(jù)融合的問題邊緣計算+決策：系統(tǒng)反作用：公平（fairness）+操控（manipulations）傳統(tǒng)的業(yè)務(wù)模式傳統(tǒng)業(yè)務(wù)模式+泛在的傳感器傳統(tǒng)業(yè)務(wù)模式+泛在的傳感器+AI保護用戶的隱私期待保護用戶受公平對待避免用戶被操控2021《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》2023《互聯(lián)網(wǎng)

信息服務(wù)深度

合成管理規(guī)定》2018《具有輿論屬性或社會動員能力的互聯(lián)網(wǎng)信息服務(wù)安全評估規(guī)定》2019《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》2011《互聯(lián)網(wǎng)信息服務(wù)管理辦法》互聯(lián)網(wǎng)新聞方面的規(guī)定有害內(nèi)容：事前/事后技術(shù)黑盒：測評方法？訓(xùn)練數(shù)據(jù)：數(shù)據(jù)質(zhì)量生成式AI數(shù)據(jù)要素化、資產(chǎn)化數(shù)據(jù)產(chǎn)權(quán)流通交易收益分配安全治理主線：促進數(shù)據(jù)合規(guī)高效流通使用、賦能實體經(jīng)濟數(shù)據(jù)基礎(chǔ)制度的特點：適應(yīng)數(shù)據(jù)特征符合數(shù)字經(jīng)濟發(fā)展規(guī)律保障國家數(shù)據(jù)安全彰顯創(chuàng)新引領(lǐng)“數(shù)據(jù)