公安部等發布《互聯網個人信息安全保護指南》2019-04-22全國互聯網安全管理服務平臺4月10日，公安部網絡安全保衛局、北京網絡行業協會、公安部第三研究所在“全國互聯網安全管理服務平臺”官網聯合發布《互聯網個人信息安全保護指南》。為深入貫徹落實《網絡安全法》，指導個人信息持有者建立健全公民個人信息安全保護管理制度和技術措施，有效防范侵犯公民個人信息違法行為，保障網絡數據安全和公民合法權益，公安機關結合偵辦侵犯公民個人信息網絡犯罪案件和安全監督管理工作中掌握的情況，會同北京網絡行業協會和公安部第三研究所等單位，研究制定了《互聯網個人信息安全保護指南》。現正式發布，供互聯網企業、聯網單位在個人信息安全保護工作中參考借鑒。▼互聯網個人信息安全保護指南引言為有效防范侵犯公民個人信息違法行為，保障網絡數據安全和公民合法權益，公安機關結合偵辦侵犯公民個人信息網絡犯罪案件和安全監督管理工作中掌握的情況，組織北京市網絡行業協會和公安部第三研究所等單位相關專家，研究起草了《互聯網個人信息安全保護指南》，供互聯網服務單位在個人信息保護工作中參考借鑒。1.范圍本文件制定了個人信息安全保護的管理機制、安全技術措施和業務流程。適用于個人信息持有者在個人信息生命周期處理過程中開展安全保護工作參考使用。本文件適用于通過互聯網提供服務的企業，也適用于使用專網或非聯網環境控制和處理個人信息的組織或個人。2.規范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本 (包括所有的修改單)適用于本文件。GB/T25069—2010信息安全技術術語GB/T35273—2017信息安全技術個人信息安全規范GB/T22239信息安全技術網絡安全等級保護基本要求(信息系統安全等級保護基本要求)3.術語和定義3.1個人信息以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。[中華人民共和國網絡安全法，第七十六條(五)]注：個人信息還包括通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。3.2個人信息主體個人信息所標識的自然人。[GB/T35273-2017，定義3.3]3.3個人信息持有對個人信息及相關資源、環境、管理體系等進行計劃、組織、協調、控制的相關活動或行為。3.4個人信息持有者對個人信息進行控制和處理的組織或個人。3.5個人信息收集獲得對個人信息的控制權的行為，包括由個人信息主體主動提供、通過與個人信息主體交互或記錄個人信息主體行為等自動采集，以及通過共享、轉讓、搜集公開信息間接獲取等方式。[GB/T35273-2017，定義3.5]3.6個人信息使用通過自動或非自動方式對個人信息進行操作，例如記錄、組織、排列、存儲、改編或變更、檢索、咨詢、披露、傳播或以其他方式提供、3.7個人信息刪除在實現日常業務功能所涉及的系統中去除個人信息的行為，使其保持不可被檢索、訪問的狀態。[GB/T35273-2017，定義3.9]3.8個人信息生命周期包括個人信息持有者收集、保存、應用、委托處理、共享、轉讓和公開披露、刪除個人信息在內的全部生命歷程。3.9個人信息處理系統處理個人信息的計算機信息系統，涉及個人信息生命周期一個或多集、保存、應用、委托處理、共享、轉讓和公開披露、刪除)。4.管理機制4.1基本要求個人信息處理系統的安全管理要求應滿足GB/T22239相應等級的要求。4.2管理制度4.2.1管理制度內容a)應制定個人信息保護的總體方針和安全策略等相關規章制度和文件，其中包括本機構的個人信息保護工作的目標、范圍、原則和安全框架等相關說明；b)應制定工作人員對個人信息日常管理的操作規程；c)應建立個人信息管理制度體系，其中包括安全策略、管理制度、操作規程和記錄表單；d)應制定個人信息安全事件應急預案。4.2.2管理制度制定發布a)應指定專門的部門或人員負責安全管理制度的制定；b)應明確安全管理制度的制定程序和發布方式，對制定的安全管理制度進行論證和審定，并形成論證和評審記錄；c)應明確管理制度的發布范圍，并對發文及確認情況進行登記記錄。4.2.3管理制度執行落實a)應對相關制度執行情況進行審批登記；b)應保存記錄文件，確保實際工作流程與相關的管理制度內容相同；c)應定期匯報總結管理制度執行情況。4.2.4管理制度評審改進a)應定期對安全管理制度進行評審，存在不足或需要改進的予以修訂；b)安全管理制度評審應形成記錄，如果對制度做過修訂，應更新所有下發的相關安全管理制度。4.3管理機構4.3.1管理機構的崗位設置a)應設置指導和管理個人信息保護的工作機構，明確定義機構的職責；b)應由最高管理者或授權專人負責個人信息保護的工作；c)應明確設置安全主管、安全管理各個方面的負責人，設立審計管理員和安全管理員等崗位，清晰、明確定義其職責范圍。4.3.2管理機構的人員配置a)應明確安全管理崗位人員的配備，包括數量、專職還是兼職情況等；配備負責數據保護的專門人員；b)應建立安全管理崗位人員信息表，登記機房管理員、系統管理員、數據庫管理員、網絡管理員、審計管理員、安全管理員等重要崗位人員的信息，審計管理員和安全管理員不應兼任網絡管理員、系統管理員、數據庫管理員、數據操作員等崗位。4.4管理人員4.4.1管理人員的錄用a)應設立專門的部門或人員負責人員的錄用工作；b)應明確人員錄用時對人員的條件要求，對被錄用人的身份、背景和專業資格進行審查，對技術人員的技術技能進行考核；c)錄用后應簽署相應的針對個人信息的保密協議；d)應建立管理文檔，說明錄用人員應具備的條件(如學歷、學位要求，技術人員應具備的專業技術水平，管理人員應具備的安全管理知識等)；e)應記錄錄用人身份、背景和專業資格等，記錄審查內容和審查結果等；f)應記錄錄用人錄用時的技能考核文檔或記錄，記錄考核內容和考核結果等；g)應簽訂保密協議，其中包括保密范圍、保密責任、違約責任、協議的有效期限和責任人簽字等內容。4.4.2管理人員的離崗a)人員離崗時應辦理調離手續，簽署調離后個人信息保密義務的承諾書，防范內部員工、管理員因工作原因非法持有、披露和使用個人信息；b)應對即將離崗人員具有控制方法，及時終止離崗人員的所有訪問權限，取回其身份認證的配件，諸如身份證件、鑰匙、徽章以及機構提供的軟硬件設備；采用生理特征進行訪問控制的，需要及時刪除生理特征錄入的相關信息；c)應形成對離崗人員的安全處理記錄(如交還身份證件、設備等的登記記錄)；d)應具有按照離職程序辦理調離手續的記錄。4.4.3管理人員的考核a)應設立專人負責定期對接觸個人信息數據工作的工作人員進行全面、嚴格的安全審查、意識考核和技能考核；b)應按照考核周期形成考核文檔，被考核人員應包括各個崗位的人員；c)應對違反違背制定的安全策略和規定的人員進行懲戒；d)應定期考查安全管理員、系統管理員和網絡管理員其對工作相關的信息安全基礎知識、安全責任和懲戒措施、相關法律法規等的理解程度，并對考核記錄進行記錄存檔。4.4.4管理人員的教育培訓a)應制定培訓計劃并按計劃對各崗位員工進行基本的安全意識教育培訓和崗位技能培訓；b)應制定安全教育和培訓計劃文檔，明確培訓方式、培訓對象、培訓內容、培訓時間和地點等，培訓內容包含信息安全基礎知識、崗位操作規程等；c)應形成安全教育和培訓記錄，記錄包含培訓人員、培訓內容、培訓結果等。4.4.5外部人員訪問a)應建立關于物理環境的外部人員訪問的安全措施：1)制定外部人員允許訪問的設備、區域和信息的規定；2)外部人員訪問前需要提出書面申請并獲得批準；3)外部人員訪問被批準后應有專人全程陪同或監督，并進行全程監控錄像；4)外部人員訪問情況應登記備案。b)應建立關于網絡通道的外部人員訪問的安全措施：1)制定外部人員允許接入受控網絡訪問系統的規定；2)外部人員訪問前需要提出書面申請并獲得批準；3)外部人員訪問時應進行身份認證；4)應根據外部訪問人員的身份劃分不同的訪問權限和訪問內容；5)應對外部訪問人員的訪問時間進行限制；6)對外部訪問人員對個人信息的操作進行記錄。5.技術措施5.1基本要求個人信息處理系統其安全技術措施應滿足GB/T22239相應等級的要求，按照網絡安全等級保護制度的要求，履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。5.2通用要求5.2.1通信網絡安全5.2.1.1網絡架構a)應為個人信息處理系統所處網絡劃分不同的網絡區域，并按照方便管理和控制的原則為各網絡區域分配地址；b)個人信息處理系統應作為重點區域部署，并設有邊界防護措施。5.2.1.2通信傳輸a)應采用校驗技術或密碼技術保證通信過程中個人信息的完整性；b)應采用密碼技術保證通信過程中個人信息字段或整個報文的保密性。5.2.2區域邊界安全5.2.2.1邊界防護a)應對跨越邊界訪問通信信息進行有效防護；b)應對非授權設備跨越邊界行為進行檢查或限制。5.2.2.2訪問控制應在個人信息處理系統邊界根據訪問控制策略設置訪問控制規則。5.2.2.3入侵防范應在個人信息處理系統邊界部署入侵防護措施，檢測、防止或限制發起的網絡攻擊行為。5.2.2.4惡意代碼防范應在個人信息處理系統的網絡邊界處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新。5.2.2.5安全審計a)應在個人信息處理系統的網絡邊界、重要網絡節點進行安全審計，審計應覆蓋到每個用戶、用戶行為和安全事件；b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功，以及個人信息的范圍、類型、操作方式、操作人、流轉雙方及其他與審計相關的信息；c)應對審計記錄進行保護，定期備份并避免受到未預期的刪除、修改或覆蓋等；d)審計記錄的留存時間應符合法律法規的要求；e)應能夠對遠程訪問的用戶行為、訪問互聯網的用戶行為等單獨進行行為審計和數據分析。5.2.3計算環境安全5.2.3.1身份鑒別a)應對登錄個人信息處理系統的用戶進行身份標識和鑒別，身份鑒別標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；b)個人信息處理系統應啟用登錄失敗處理功能，采取諸如結束會話、限制非法登錄次數和自動退出等措施；c)個人信息處理系統進行遠程管理時，應采取措施防止身份鑒別信息在網絡傳輸過程中被竊聽；d)個人信息處理系統應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術至少應使用密碼技術來實現，密碼技術應符合國家密碼主管部門規范。5.2.3.2訪問控制a)應對登錄個人信息處理系統的用戶分配賬戶和權限；b)個人信息處理系統應重命名或刪除默認賬戶，修改默認賬戶的默認口令；c)個人信息處理系統應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；d)個人信息處理系統應進行角色劃分，并授予管理用戶所需的最小權限，實現管理用戶的權限分離；e)個人信息處理系統應由授權主體配置訪問控制策略，訪問控制策略應規定主體對客體的訪問規則；f)個人信息處理系統的訪問控制的粒度應達到主體為用戶級或進程級，客體為文件、數據庫表級；g)個人信息處理系統應對個人信息設置安全標記，并控制主體對有安全標記資源的訪問。5.2.3.3安全審計a)個人信息處理系統應啟用安全審計功能，并且審計覆蓋到每個用戶，應對重要的用戶行為和重要的安全事件進行審計；b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)應對審計記錄進行保護，進行定期備份并避免受到未預期的刪除、修改或覆蓋等；d)審計記錄的留存時間應符合法律法規的要求；5.2.3.4入侵防范a)個人信息處理系統應遵循最小安裝的原則，只安裝需要的組件和應用程序；b)個人信息處理系統應關閉不需要的系統服務、默認共享和高危端c)個人信息處理系統應通過設定終端接入方式或網絡地址范圍對通過網絡進行管理的管理終端進行限制；d)個人信息處理系統應能夠發現存在的已知漏洞，并在經過充分測試評估后，及時修補漏洞；e)個人信息處理系統應能夠檢測到對重要節點的入侵行為并進行防御，并在發生嚴重入侵事件時提供報警；5.2.3.5惡意代碼防范和程序可信執行應采取免受惡意代碼攻擊的技術措施或可信驗證機制對系統程序、應用程序和重要配置文件/參數進行可信執行驗證，并在檢測到其完整性受到破壞時采取恢復措施。5.2.3.6資源控制a)應限制單個用戶或進程對個人信息處理和存儲設備系統資源的最大使用限度；b)應提供重要節點設備的硬件冗余，保證系統的可用性；c)應對重要節點進行監視，包括監視CPU、硬盤、內存等資源的使用情況；d)應能夠對重要節點的服務水平降低到預先規定的最小值進行檢測和報警。5.2.4應用和數據安全5.2.4.1身份鑒別a)個人信息處理系統應對登錄的用戶進行身份標識和鑒別，該身份標識應具有唯一性，鑒別信息應具有復雜度并要求定期更換；b)個人信息處理系統應提供并啟用登錄失敗處理功能，并在多次登錄后采取必要的保護措施；c)個人信息處理系統應強制用戶首次登錄時修改初始口令，當確定信息被泄露后，應提供提示全部用戶強制修改密碼的功能，在驗證確認用戶后修改密碼；d)用戶身份鑒別信息丟失或失效時，應采取技術措施保證鑒別信息重置過程的安全；e)應采取靜態口令、動態口令、密碼技術、生物技術等兩種或兩種以上的組合鑒別技術對用戶進行身份鑒別，且其中一種鑒別技術使用密碼技術來實現。5.2.4.2訪問控制a)個人信息處理系統應提供訪問控制功能，并對登錄的用戶分配賬戶和權限；b)應重命名或刪除默認賬戶，修改默認賬戶的默認口令；c)應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；d)應授予不同賬戶為完成各自承擔任務所需的最小權限，在它們之間形成相互制約的關系；e)應由授權主體配置訪問控制策略，訪問控制策略規定主體對客體的訪問規則；f)訪問控制的粒度應達到主體為用戶級，客體為文件、數據庫表級、記錄或字段級；g)個人信息應設置安全標記，控制主體對有安全標記資源的訪問。5.2.4.3安全審計a)個人信息處理系統應提供安全審計功能，審計應覆蓋到每個用戶，應對重要的用戶行為和重要的安全事件進行審計；b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)應對審計記錄進行保護，定期備份，并避免受到未預期的刪除、修改或覆蓋等；d)審計記錄的留存時間應符合法律法規的要求；5.2.4.4軟件容錯a)應提供個人信息的有效性校驗功能，保證通過人機接口輸入或通過通信接口輸入的內容符合個人信息處理系統設定要求；b)應能夠發現個人信息處理系統軟件組件可能存在的已知漏洞，并能夠在充分測試評估后及時修補漏洞；c)應能夠在故障發生時，繼續提供一部分功能，并能夠實施必要的措施。5.2.4.5資源控制a)在通信雙方中的一方在一段時間內未做任何響應時，另一方應能夠自動結束會話；b)應對個人信息處理系統的最大并發會話連接數進行限制；c)應能夠對單個用戶的多重并發會話進行限制。5.2.4.6數據完整性a)應采取校驗技術或密碼技術保證重要數據在傳輸過程中的完整性，包括但不限于鑒別數據和個人信息；b)應采用校驗技術或密碼技術保證重要數據在存儲過程中的完整性，包括但不限于鑒別數據和個人信息。5.2.4.7數據保密性a)應采用密碼技術保證重要數據在傳輸過程中的保密性，包括但不限于鑒別數據和個人信息；b)應采用密碼技術保證重要數據在存儲過程中的保密性，包括但不限于鑒別數據和個人信息。5.2.4.8數據備份恢復a)應提供個人信息的本地數據備份與恢復功能，定期對備份數據進行恢復測試，保證數據可用性；b)應提供異地實時備份功能，利用通信網絡將重要數據實時備份至備份場地；c)應提供重要數據處理系統的熱冗余，保證系統的高可用性。5.2.4.9剩余信息保護a)應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除；b)應保證存有個人信息的存儲空間被釋放或重新分配前得到完全清除。5.3擴展要求5.3.1云計算安全擴展要求a)應確保個人信息在云計算平臺中存儲于中國境內，如需出境應遵循國家相關規定；b)應使用校驗技術或密碼技術保證虛擬機遷移過程中，個人信息的完整性，并在檢測到完整性受到破壞時采取必要的恢復措施；c)應使用密碼技術保證虛擬機遷移過程中，個人信息的保密性，防止在遷移過程中的個人信息泄露。5.3.2物聯網安全擴展要求物聯網感知節點設備采集信息回傳應采用密碼技術保證通信過程中個人信息的保密性。6.業務流程6.1收集個人信息的收集行為應滿足以下要求：a)個人信息收集前，應當遵循合法、正當、必要的原則向被收集的個人信息主體公開收集、使用規則，明示收集、使用信息的目的、方式和范圍等信息；b)個人信息收集應獲得個人信息主體的同意和授權，不應收集與其提供的服務無關的個人信息，不應通過捆綁產品或服務各項業務功能等方式強迫收集個人信息；c)個人信息收集應執行收集前簽署的約定和協議，不應超范圍收集；d)不應大規模收集或處理我國公民的種族、民族、政治觀點、宗教信仰等敏感數據；e)個人生物識別信息應僅收集和使用摘要信息，避免收集其原始信息；f)應確保收集個人信息過程的安全性：1)收集個人信息之前，應有對被收集人進行身份認證的機制，該身份認證機制應具有相應安全性；2)收集個人信息時，信息在傳輸過程中應進行加密等保護處理；3)收集個人信息的系統應落實網絡安全等級保護要求；4)收集個人信息時應有對收集內容進行安全檢測和過濾的機制，防止非法內容提交。6.2保存個人信息的保存行為應滿足以下要求：a)在境內運營中收集和產生的個人信息應在境內存儲，如需出境應遵循國家相關規定；b)收集到的個人信息應采取相應的安全加密存儲等安全措施進行處理；c)應對保存的個人信息根據收集、使用目的、被收集人授權設置相應的保存時限；d)應對保存的個人信息在超出設置的時限后予以刪除；e)保存信息的主要設備，應對個人信息數據提供備份和恢復功能，確保數據備份的頻率和時間間隔，并使用不少于以下一種備份手段：1)具有本地數據備份功能；2)將備份介質進行場外存放；3)具有異地數據備份功能。6.3應用個人信息的應用應滿足以下要求：a)對個人信息的應用，應符合與個人信息主體簽署的相關協議和規定，不應超范圍應用個人信息；注：經過處理無法識別特定個人且不能復原的個人信息數據，可以超出與信息主體簽署的相關使用協議和約定，但應提供適當的保護措施進行保護。b)個人信息主體應擁有控制本人信息的權限，包括：1)允許對本人信息的訪問；2)允許通過適當方法對本人信息的修改或刪除，包括糾正不準確和不完整的數據，并保證修改后的本人信息具備真實性和有效性；c)完全依靠自動化處理的用戶畫像技術應用于精準營銷、搜索結果排序、個性化推送新聞、定向投放廣告等增值應用，可事先不經用戶明確授權，但應確保用戶有反對或者拒絕的權利；如應用于征信服務、行政司法決策等可能對用戶帶來法律后果的增值應用，或跨網絡運營者使用，應經用戶明確授權方可使用其數據；d)應對個人信息的接觸者設置相應的訪問控制措施，包括：1)對被授權訪問個人信息數據的工作人員按照最小授權的原則，只能訪問最少夠用的信息，只具有完成職責所需的最少的數據操作權限；2)對個人信息的重要操作設置內部審批流程，如批量修改、拷貝、下載等；3)對特定人員超限制處理個人信息時配置相應的責任人或負責機構進行審批，并對這種行為進行記錄。e)應對必須要通過界面(如顯示屏幕、紙面)展示的個人信息進行去標識化的處理。6.4刪除a)個人信息在超過保存時限之后應進行刪除，經過處理無法識別特定個人且不能復原的除外；b)個人信息持有者如有違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息時，個人信息主體要求刪除其個人信息的，應采取措施予以刪除；c)個人信息相關存儲設備，將存儲的個人信息數據進行刪除之后應采取措施防止通過技術手段恢復；d)對存儲過個人信息的設備在進行新信息的存儲時，應將之前的內容全部進行刪除；e)廢棄存儲設備，應在進行刪除后再進行處理。6.5第三方委托處理a)在對個人信息委托處理時，不應超出該信息主體授權同意的范圍；b)在對個人信息的相關處理進行委托時，應對委托行為進行個人信息安全影響評估；c)對個人信息進行委托處理時，應簽訂相關協議要求受托方符合本文件；d)應向受托方進行對個人信息數據的使用和訪問的授權；e)受托方對個人信息的相關數據進行處理完成之后，應對存儲的個人信息數據的內容進行刪除。6.6共享和轉讓個人信息原則上不得共享、轉讓。如存在個人信息共享和轉讓行為應滿足以下要求：6.7公開披露a)共享和轉讓行為應經過合法性、必要性評估；b)在對個人信息進行共享和轉讓時應進行個人信息安全影響評估，應對受讓方的數據安全能力進行評估確保受讓方具備足夠的數據安全能力，并按照評估結果采取有效的保護個人信息主體的措施；c)在共享、轉讓前應向個人信息主體告知轉讓該信息的目的、規模、公開范圍數據接收方的類型等信息；d)在共享、轉讓前應得到個人信息主體的授權同意，與國家安全、國防安全、公共安全、公共衛生、重大公共利益或與犯罪偵查、起訴、審判和判決執行等直接相關的情形除外；e)應記錄共享、轉讓信息內容，將共享、轉讓情況中包括共享、轉讓的日期、數據量、目的和數據接收方的基本情況在內的信息進行登記；f)在共享、轉讓后應了解接收方對個人信息的保存、使用情況和個人信息主體的權利，例如訪問、更正、刪除、注銷等；g)當個人