个人信息安全规范 (草案)2019版解读
- 格式:pdf
- 大小:250.63 KB
- 文档页数:8
1
实施不满一年,《个人信息安全规范》要改了!
——2019版《个人信息安全规范 (草案)》解读
安杰律师事务所 杨洪泉
2018年5月1日生效的《信息安全技术—个人信息安全规范》(GB/T
35273—2017)(下称“《标准》”)无疑是我国个人信息保护领域最重要的国家
标准。尽管《标准》仅是国家推荐标准,但在我国尚未出台《个人信息保护法》、
且其他法律(包括《网络安全法》)缺乏具体可操作的个人信息保护规则的情况
下,《标准》自其颁布之日,已成为企业个人信息保护合规工作可实际依赖的唯
一标准。由于相关监管部门似乎也将《标准》作为衡量企业个人信息保护水平的
重要标尺,《标准》已隐隐成为具有一定权威性和约束力的“准法律”。
2019年2月1日,全国信息安全标准化技术委员会公布了《信息安全技术 个
人信息安全规范(草案)》(下称“《草案》”)全文,面向社会公开征求意见(意
见反馈截止日期为2019年3月3日)。如此重要的文件在实施尚不足一年的情
况下即迎来首次修订,实属罕见也颇有深意。本文就《草案》中的九大重要修改
详细解读如下:
一、 增加“不得强迫收集个人信息”的要求
在实践中,个人信息控制者将“用户同意隐私政策”与“用户使用其产品或服务”
强制绑定的情况较为常见。用户即便不同意提供某些个人信息、或不同意隐私政
策中的某些条款,但为使用产品或服务也只能无奈勾选同意。针对此类情况,《草
案》规定了个人信息控制者不得强迫收集个人信息的具体要求:
当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者
不得违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务
所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要
求包括:
a) 不得通过捆绑产品或服务各项业务功能的方式,要求个人信息主体
一次性接受并授权同意各项业务功能收集个人信息的请求;
b) 应根据个人信息主体主动填写、点击、勾选等自主行为,作为产品
或服务的业务功能开启或开始收集个人信息的条件,并提供关闭或
退出业务功能的途径或方式。关闭或退出业务功能的途径或方式应
与个人信息主体选择使用业务功能的途径或方式同样简便;
c) 如个人信息主体不同意使用、关闭或退出特定业务功能,个人信息
2
控制者不得频繁征求个人信息主体的同意;
d) 如个人信息主体不同意使用、关闭或退出特定业务功能,个人信息
控制者不得暂停个人信息主体自主选择使用的其他业务功能,或降
低业务功能的服务质量。
二、 修改“征得个人授权同意的例外”
根据《标准》,在某些例外情况下,个人信息控制者即便未征得个人信息主
体的授权同意,也可以收集和使用个人信息。对于此类例外情况,《草案》予以
修改:
删除
“法律法规规定的其他情形
”,增加
“与个人信息控制者履行法律法
规规定的义务相关的情形
”;
删除
“根据个人信息主体要求签订和履行合同所必需的情形
”。
上述修改是否合理有待商榷。“与个人信息控制者履行法律法规规定的义务
相关的情形”明显比“法律法规规定的其他情形”范围更窄。获取个人信息主体同
意的例外情形范围缩窄,应更有利于保护个人信息主体的选择同意权,但“与个
人信息控制者履行法律法规规定的义务相关的情形”是否能穷尽我国法律法规
(包括未来的法律法规)对于强制获取个人信息的全部情形?换言之,“法律法
规规定的其他情形”是否表明这些情形都是“与个人信息控制者履行法律法规规
定的义务相关的情形”?是否可能存在“个人并无法律或法规下的义务提供个人
信息”、但“法律法规规定政府部门、任何机构或个人可获取个人信息而无需个人
信息主体同意”的情况?
“根据个人信息主体要求签订和履行合同所必需的情形”被删除,似乎与实践
中互联网服务商滥用隐私政策等行为有关。如个人信息控制者以双方之间存在隐
私政策或合同为借口来大肆收集和使用个人信息,当然有必要予以约束。但这一
删除可能会导致某些正常业务场景的复杂化并从而加重企业合规负担。例如,在
劳动关系中,根据《标准》的现行版本,用人单位可根据“个人信息主体要求签
订和履行合同所必需的情形”这一豁免情形收集和使用员工方的个人信息,而无
需特意考虑员工方的同意(例如要求员工在入职时填写“入职登记表”即可,而无
需签署确认同意)。但如根据《草案》将此例外情形删除,则用人单位为谨慎合
规,不得不专门设计包含一系列复杂条款的个人信息收集/使用知情同意书,并
要求员工确认签字。对于大型企业而言,这一程序将尤为繁琐复杂、不易实现。
用人单位也可通过制定企业规章制度的形式来对员工的知情同意进行固化,但用
人单位的规章制度本身是否可替代员工的同意(特别是涉及个人敏感信息时的明
示同意),仍有待研究。
3
三、 增加“个性化展示及退出”机制
针对大数据杀熟、滥用定向广告等行为,2019年1月1日正式施行的《电子商
务法》第十八条规定:“电子商务经营者根据消费者的兴趣爱好、消费习惯等特
征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人
特征的选项,尊重和平等保护消费者合法权益”。与此呼应,《草案》对个人信
息控制者的“个性化展示”行为提出更高的要求和更为细化的操作规则:
“个性化展示
”是指基于特定个人信息主体的网络浏览历史、兴趣爱好、
消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商
品或服务的搜索结果等活动。
在向个人信息主体推送新闻或信息服务的过程中使用个性化展示的,应:
a) 以显著方式标明
“个性化展示
”或
“定推
”等字样;
b) 为个人信息主体提供简单直观的退出个性化展示模式的选项。
电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品
或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其
个人特征的选项;
在向个人信息主体提供业务功能的过程中使用个性化展示的,宜:
a) 建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像
维度等)的自主控制机制,保障个人信息主体调控个性化展示相关
程度的能力;
b) 当个人信息主体选择退出个性化展示模式时,向个人信息主体提供
删除或匿名化定向推送活动所基于的个人信息的选项。
四、 增加对“基于不同业务目的所收集的个人信息的汇聚融合”的要求:
在实践中,个人信息控制者特别是大型互联网平台可基于不同产品和服务获
得多种多样的个人信息,并在此基础上进行汇聚、融合形成新的个人信息包。此
类汇聚融合行为虽有助于数据应用创新,但一旦滥用将直接威胁个人信息安全。
对此,《草案》提出如下要求:
对于汇聚融合所形成的新的个人信息包也应遵守个人信息的使用限制,
即:
a) 除为达到个人信息主体授权同意的使用目的所必需外,使用个人信
息时应消除明确身份指向性,避免精确定位到特定个人;
b) 对于能够单独或与其他信息结合识别自然人个人身份,或者反映自
然人个人活动情况的,应将其认定为个人信息。对其处理应遵循收
集个人信息时获得的授权同意范围;
c) 使用此类个人信息时,不得超出与收集个人信息时所声称的目的具
4
有直接或合理关联的范围。因业务需要,确需超出上述范围使用的,
应再次征得个人信息主体明示同意。
应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,
采取适当的个人信息保护措施。
五、 新增“第三方接入管理”要求
在实践中,个人信息控制者在其产品或服务中集成第三方产品或服务的情况
较为常见。对于该第三方产品或服务收集个人信息的行为(例如,移动App中内
置可收集用户个人信息的第三方SDK),用户往往不易察觉,且通常未获得充分
告知。此类第三方产品和服务“默默”收集和使用用户个人信息的行为给个人信息
安全带来极大隐患。对此,《草案》规定,当个人信息控制者在其产品或服务中
接入具备收集个人信息功能的第三方产品或服务且不适用该标准所规定的“委托
处理”、“共同个人信息控制”的情形时,对个人信息控制者的要求包括:
应建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全
评估等机制设置接入条件;
应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应
实施的个人信息安全措施;
应向个人信息主体明确标识产品或服务由第三方提供;
应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
应要求第三方根据本标准相关规定要求向个人信息主体征得收集个人信
息的授权同意,核验其实现本项要求的方式;
应要求第三方产品或服务建立响应个人信息主体请求、申诉等的机制,
并妥善留存、及时更新,确保个人信息主体查询、使用;
应督促和监督第三方产品或服务提供者加强个人信息安全管理,发现第
三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必
要时停止接入;
涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、
软件开发工具包、小程序等)的,宜:
a) 开展技术检测确保其个人信息收集、使用行为符合约定要求;
b) 宜对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,
发现超出约定行为的及时切断接入。
六、 提升个人数据保护官(DPO)和个人信息保护部门的地位
《标准》规定个人信息控制者应建立个人信息保护的工作机构、任命个人信
息保护负责人,并对其职责予以规定。对于《标准》规定的“个人信息负责人”,