2017年12月29日，国家质量监督检验检疫总局、国家标准化管理委员会发布了《个人信息安全规范》（“《规范》”）。《规范》将于2018年5月1日实施。作为落实《网络安全法》的配套国家标准之一，《规范》为企业开展个人信息保护工作提供了非常详尽的实务指导。今日，方达合规评论将转载北京大学互联网发展研究中心高级顾问、《个人信息安全规范》编制组组长，《数据出境安全评估指南》编制组副组长洪延青老师的相关解读文章。本文探讨的是《个人信息安全规范》的法律地位和实务价值这一基础性问题。

--------------------------------------------

在标准发布后，经常被问道类似的问题：《个人信息安全规范》与《网络安全法》是个什么关系？如果做到了《个人信息安全规范》中的要求，是否就符合《网络安全法》？如果没做到，是否就意味着违法等等。因此，我想利用这篇小短文，谈谈自己的个人看法。

国家机关对《个人信息安全规范》的提法

可能大家比较熟悉的有两次：

第一次

2017年5月31日，《网络安全法》生效前一天。国家互联网信息办公室发布了“《网络安全法》施行前夕国家互联网信息办公室网络安全协调局负责人答记者问”。其中：

问：《网络安全法》于6月1日起施行，有关准备工作进展如何？

答：《网络安全法》将于6月1日起正式施行，这在网络安全历史上具有里程碑意义。

《网络安全法》的公布和施行，不仅从法律上保障了广大人民群众在网络空间的利益，有效维护了国家网络空间主权和安全，而且还有利于信息技术的应用，有利于发挥互联网的巨大潜力。

《网络安全法》公布后，各部门、各地方以及广大企业、科研单位和院校开展了多种形式的学习宣传贯彻活动，法律所确定的重要理念、基本要求正在深入人心。目前，有关部门正在按照法律要求抓紧研究起草相关制度文件，包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设备和网络安全专用产品目录等。其中，《网络产品和服务安全审查办法（试行）》等配套制度文件已经公开发布。 国家标准化部门正抓紧组织制定《个人信息安全规范》等国家标准。 总体上看，各项工作都在按计划推进。

第二次

2018年01月10日，国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业负责人。其中：

网络安全协调局负责人指出，支付宝、芝麻信用收集使用个人信息的方式， 不符合刚刚发布的《个人信息安全规范》国家标准的精神 ，违背了其前不久签署的《个人信息保护倡议》的承诺。

两次全是网络安全协调局负责人谈到了这个国标。实际上，还有第三次。

第三次

2017年08月25日，国家互联网信息办公室有关负责人就《互联网跟帖评论服务管理规定》答记者问。其中：

问：《规定》对网站落实主体责任作出了哪些要求？

答：网上信息管理，网站应负主体责任，政府行政管理部门要加强监管。《规定》认真落实这一要求，对网站主体责任进行了明确规定，主要包括八个方面。一是落实实名制要求。《规定》明确网站要按照“后台实名、前台自愿”原则，对注册用户进行真实身份信息认证，不得向未认证真实身份信息的用户提供跟帖评论服务。 二是建立用户信息保护制度。《网络安全法》第四十条、四十一条、四十二条、四十三条、四十四条、四十五条对用户信息保护制度作了规定，国家标准化部门正抓紧组织制定《个人信息安全规范》，因此本《规定》仅对此作了原则性表述。

这次是国家互联网信息办公室有关负责人。

实际上，主管监管部门对推荐性国家标准的如此表态，在国际上也并不鲜见。美国NIST所做的“网络安全框架”（cybersecurity framework），本质上也是推荐性的。但是美国联邦贸易委员会（FTC）在其网站就公开表态“网络安全框架与FTC坚持的以流程为基础的监管方式是相一致的”。（From the perspective of the staff of the Federal Trade Commission, NIST’s Cybersecurity Framework is consistent with the process-based approach that the FTC has followed）【https://www.ftc.gov/news-events/blogs/business-blog/2016/08/nist-cybersecurity-framework-ftc】

美国证券交易委员会（SEC）明确要求其监管对象在考虑从何入手评估该采用什么网络安全措施时，应当使用的工具之一即是网络安全框架（In considering where to begin to assess a company’s possible cybersecurity measures, one conceptual roadmap boards should consider is the Framework for Improving Critical Infrastructure Cybersecurity, released by the National Institute of Standards and Technology）【https://www.sec.gov/news/speech/2014-spch061014laa#.VNpDDPnF8Ro】

美国国土安全部【https://www.dhs.gov/using-cybersecurity-framework】和美国能源部【https://energy.gov/oe/cybersecurity-critical-energy-infrastructure/reducing-cyber-risk-critical-infrastructure-nist】则制定专门政策鼓励其监管对象采用网络安全框架。

《个人信息安全规范》的属性

第一，《个人信息安全规范》是个推荐性的国家标准。

2017年11月4日， 《中华人民共和国标准化法》经第十二届全国人民代表大会常务委员会第三十次会议修订后发布，其中对推荐性标准是这样表述的：

国家鼓励采用推荐性标准 （第二条）；

对保障人身健康和生命财产安全、国家安全、生态环境安全以及满足经济社会管理基本需要的技术要求，应当制定强制性国家标准。（第十条） 对 满足基础通用 、 与强制性国家标准配套 、 对各有关行业起引领作用 等需要的技术要求，可以制定推荐性国家标准。 （第十一条）

推荐性国家标准、行业标准、地方标准、团体标准、企业标准的 技术要求不得低于强制性国家标准的相关技术要求 。（第二十一条）

第二，《个人信息安全规范》是依赖于全国信息安全标准化技术委员会（TC260）平台上制定出来的。

2016年8月12日，中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、国家标准化管理委员会联合发文《关于加强国家网络安全标准化工作的若干意见》（中网办发文〔2016〕5号）。其中要求：

建立统一权威的国家标准工作机制。网络安全标准化工作要坚持统一谋划、统一部署，紧贴实际需求，守住安全底线。 全国信息安全标准化技术委员会在国家标准委的领导下，在中央网信办的统筹协调和有关网络安全主管部门的支持下，对网络安全国家标准进行统一技术归口，统一组织申报、送审和报批 。

综合理解

在我个人看来，《个人信息安全规范》首先是遵循了《网络安全法》确立的个人信息保护框架。其次，《个人信息安全规范》提供了遵从《网络安全法》关于个人信息保护要求的一个良好方案（good practice）。这个良好方案具备较好的科学性【可参考如下文章： 对用户知情同意规则的中国式探索——兼论国标《个人信息安全规范》 、 国家标准《信息安全技术 个人信息安全规范》评析 、 个人信息安全影响评估有助于防范“年度账单”事件 】，且凝聚了企、事业及科研机构等单位较为广泛的共识。