国家市场监督管理总局、国家标准化管理委员会于2020年3月6日发布《中华人民共和国国家标准公告 2020年第1号》,批准并正式发布《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(以下称“最新规范”)。最新规范的实施日期为2020年10月1日,实施后将正式替代2017年12月29日发布、2018年5月1日开始实施的《信息安全技术 个人信息安全规范》(GB/T 35273-2017)(以下称“原规范”)。
原规范是在《网络安全法》正式实施、我国强化个人信息保护的背景下出台的。随着我国个人信息应用实践的迅速推广、执法活动的深入开展等,原规范的修订很快纳上日程。2019年一年之内,2月、6月、10月先后三次分别发布了原规范的修订草案和修订征集意见稿(以下分别称“2月草案”、“6月意见稿”、“10月意见稿”)。
本文将对最新规范与原规范相比主要技术变化点及其他重点修订内容进行解读,希望为企业参照最新规范要求进行合规调整提供帮助。
一、 完善和补充了部分重要定义
(1) 明确和扩大了个人信息的范围(最新规范3.1、3.2)
原规范 | 最新规范 |
3.1 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。 注1:个人信息包指姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 注2:关于个人信息的范围和类型可参见附录A 。 | 3.1 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。 注1:个人信息包指姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 注2:关于个人信息的范围判定方法和类型可参见附录A 。 注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。 |
3.2 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。 注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。 注2:关于个人敏感信息的范围和类型可参见附录B。 | 3.2 个人敏感信息 personal sensitive information 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。 注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。 注2:关于个人敏感信息的范围判定方法和类型可参见附录B。 注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,属于个人敏感信息。 |
解读:
最新规范明确了“通过个人信息或其他信息加工处理后形成的信息”在符合个人信息或者个人敏感信息判定标准的前提下属于个人信息或者个人敏感信息,扩大了个人信息和个人敏感信息的范围。
虽然原规范在“7.3 个人信息的使用限制”中对于加工处理形成的信息认定为个人信息或者个人敏感信息的内容进行过规定,但并未作为定义加以明确。最新规范保留了截至10月意见稿对此内容在定义中的明确追加,在定义中扩大了个人信息或个人敏感信息的范围,与欧盟、日本等主要国家和地区的相关定义范围保持一致。同时,在前述个人信息定义注释的示例中将符合认定标准的用户画像等明确包括在应当适用个人信息处理原则和安全要求的个人信息范围之内(详见下文解读)。
(2) 明确和规范了明示同意和授权同意的定义(最新规范3.6、3.7)
原规范 | 最新规范 |
3.6 明示同意 explicit consent 个人信息主体通过书面声明或主动作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。 注:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。 | 3.6 明示同意explicit consent 个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明或主动作出,或者自主作出肯定性动作,对其个人信息进行特定处理做出作出明确授权的行为。 注:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等。 |
无 | 3.7 授权同意 consent 个人信息主体对其个人信息进行特定处理作出明确授权的行为。 注:包括通过积极的行为作出授权(即明示同意),或者通过消极的不作为而作出授权(如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)。 |
解读:
选择同意是个人信息处理的基本原则,贯穿于个人信息整个生命周期的处理过程,是个人信息保护合规的基础和前提。
原规范已经对收集、共享、转让个人敏感信息、间接收集个人信息超出授权同意范围使用等应用场景规定了采取明示同意的要求。最新规范兼顾了取得明示同意在实操中的问题,保留了截至10月意见稿中对明示同意方式的补充,在原规范定义的基础上追加了“口头等方式主动作出纸质或电子形式的声明”以及明示同意的肯定性动作的示例。
同时,最新规范基本保留了10月意见稿追加的授权同意的定义,明确了授权同意既包括积极行为作出的明示同意,也包括消极不作为行为作出的授权,同时对消极的不作为授权给出了示例,完善了授权同意的概念。
上述追加内容方便了企业实操运用,一定程度降低了企业的合规成本,但是我们提醒企业注意保存取得授权同意的证据,防范法律风险。
(3) 其他追加(最新规范3.16、3.17)和定义表述的优化调整
原规范 | 最新规范 |
无 | 3.16 个性化展示 personalized display 基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。 |
无 | 3.17 业务功能 business function 满足个人信息主体的具体使用需求的服务类型。 注:如地图导航、网络约车、即时通讯、网络社区、网络支付、新闻资讯、网上购物、快递配送、交通票务等。 |
解读:
最新规范沿用10月意见稿的处理追加了个性化展示和业务功能两项定义。
个性化展示是个人信息应用实践活动中的热点问题,规范从2月草案开始追加关于个性化展示使用的内容,最新规范最终确定了关于个性化展示使用的规范要求(详见下文解读),并追加了定义。
业务功能也是配合对于多项业务功能的自主选择规范内容的追加(详见下文解读)而补充的定义。
除此之外,最新规范在2月草案、6月意见稿和10月意见稿的基础上,最终确定了对于部分定义表述的优化调整,以使定义更加严谨和完整。例如,将个人信息定义注2中附录A的“个人信息范围和类型”变更为“个人信息判定方法和类型”(最新规范3.1)、将个人信息控制者定义的“有权”调整为“有能力”(最新规范3.4)等。
二、 增加了“多项业务功能的自主选择”(最新规范5.3)
原规范 | 最新规范 |
5.3 收集个人信息时的授权同意 对个人信息控制者的要求包括: a) 收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则(例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等),并获得个人信息主体的授权同意; (略) | 5.3 多项业务功能的自主选择 当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括: a) 不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求; b) 应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息; c) 关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后,个人信息控制者应停止该业务功能的个人信息收集活动; d) 个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意; e) 个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量; f) 不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息。 |
解读:
原规范只对涉及产品或服务的不同业务功能收集个人信息的告知义务和授权同意的取得进行了原则性的规定。针对实务中多项业务功能收集个人信息的混乱局面,从2月草案开始,追加了多项业务功能收集个人信息的规定,并在6月意见稿、10月意见稿中继续予以追加和完善。最新规范基本沿用了10月意见稿的内容,仅对部分表述进行了优化。
最新规范强调了对于产品或服务提供多项需收集个人信息的业务功能时应以个人信息主体的自主选择为前提,具体规范内容包括:禁止捆绑产品或服务要求一次性授权(a项);应以明示同意的方式作为多项业务功能开启的条件(b项);退出或关闭特定业务功能的权利保障(c项);频繁征求同意的禁止(d项);退出或关闭特定业务功能不得影响其他业务功能的使用和服务质量(e项);不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求同意(f项)。最新规范中的上述内容,特别是a、d、f项也正是2019年中央网信办、工信部、公安部、市场监督总局四部门联合成立专项治理工作组,开展App收集个人信息的专项治理行动的监管重点内容,也与前述四部门于2019年11月发布的《App违法违规收集使用个人信息行为认定方法》的规定内容一脉相承。关于App违法违规收集使用个人信息行为的执法监管活动今年依然活跃,随着最新规范的发布和实施,可以预期相关执法活动将有可能进一步强化。建议企业参照最新规范以及相关规定的要求对业务内容等适时进行调整和改善。
三、 修改了“征得授权同意的例外”(最终规范5.6)
原规范 | 最新规范 |
5.4 征得授权同意的例外 以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意: a) 与国家安全、国防安全直接相关的; b) 与公共安全、公共卫生、重大公共利益直接相关的; c) 与犯罪侦查、起诉、审判和判决执行等直接相关的; d) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的; e) 所收集的个人信息是个人信息主体自行向社会公众公开的; f) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道; g) 根据个人信息主体要求签订和履行合同所必需的; h) 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障; i) 个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的; j) 个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的; k) 法律法规规定的其他情形。 | 5.46 征得授权同意的例外 以下情形中,个人信息控制者收集、使用个人信息无需不必征得个人信息主体的授权同意: a) 与个人信息控制者履行法律法规规定的义务相关的; b) a)与国家安全、国防安全直接相关的; c) b)与公共安全、公共卫生、重大公共利益直接相关的; d) c)与犯罪刑事侦查、起诉、审判和判决执行等直接相关的; e) d)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的; f) e)所收集涉及的个人信息是个人信息主体自行向社会公众公开的; f) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道; g) 根据个人信息主体要求签订和履行合同所必需的; 注:个人信息保护政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不宜将其视为合同。 h) f)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道; i) h)用于维护所提供产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障; j) i)个人信息控制者为新闻单位,且其开展合法的新闻报道所必需的; k) j)个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理 的。 k) 法律法规规定的其他情形。 |
解读:
最新规范的前言中将“征得授权同意的例外”的修订列为主要技术变化之一,虽然实际上与原规范内容相对照,其变化并不太大,与10月意见稿相比,除了个别表述的调整之外,内容基本一致,但是笔者认为,明确规定“征得授权同意的例外”对于个人信息的合法有效利用,特别在例如本次新冠疫情等特殊时期,具有非常重要的法律和现实意义,在今后的个人信息保护立法中也有可能被采用,因此值得予以充分重视。
与原规范相对照,主要的变化一是将原规范中作为例外兜底条款的“法律法规规定的其他情形”明确为“与个人信息控制者履行法律法规规定的义务相关的”,并列为例外情形的第一项。二是将以向个人信息主体进行告知为目的的“个人信息保护政策”排除在“根据个人信息主体要求签订和履行合同”之外。
此外,除了“征得授权同意的例外”,与授权同意相关,在最新规范的“5.4 收集个人信息时的授权同意”中新增了“收集个人生物识别信息”的有关规范内容。
关于“个人生物识别信息”,最新规范分别就其存储、转让和共享进行了专门的规定。这是近来对于“个人生物识别信息”的应用场景增多,有必要对此进行规范的社会呼声和对实务需要的响应。最新规范对“个人生物识别信息”进行了区别性的单独规定,包括收集时的单独告知和征得明示同意的义务(5.4条c项);存储时的分开存储义务(6.3条b项)和存储过程的安全措施要求(6.3条c项);共享、转让时的原则禁止义务以及单独告知和征得明示同意的义务(9.2条i项)。最新规范提高了对于个人生物识别信息处理的合规要求,企业在涉及该种个人信息的应用时需要特别注意。
最新规范中涉及“个人生物识别信息”的主要内容如下:
原规范 | 最新规范 |
无 | 5.4 收集个人信息时的授权同意 对个人信息控制者的要求包括: (略) c) 收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意; 注:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。 (略)
6.3 个人敏感信息的传输和存储 对个人信息控制者的要求包括: (略) b) 个人生物识别信息应与个人身份信息分开存储; c) 原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于: 1) 仅存储个人生物识别信息的摘要信息; 2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能; 3) 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。 注1:摘要信息通常具有不可逆特点,无法回溯到原始信息。 注2:个人信息控制者履行法律法规规定的义务相关的情形除外。
9.2 个人信息共享、转让 个人信息控制者共享、转让个人信息时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组、破产原因的,应符合以下要求: (略) i) 个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。 |
四、 增加了“用户画像的使用限制”(最新规范7.4)
原规范 | 最新规范 |
7.3 个人信息的使用限制 对个人信息控制者的要求包括: a) 除目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像; (略) | 7.3 用户画像的使用限制 对个人信息控制者的要求包括: a) 用户画像中对个人信息主体的特征描述,不应: 1) 包含淫秽、色情、赌博、迷信、恐怖、暴力的内容; 2) 表达对民族、种族、宗教、残疾、疾病歧视的内容。 b) 在业务运营或对外业务合作中使用用户画像的,不应: 1) 侵害公民、法人和其他组织的合法权益; 2) 危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。 c) 除为实现个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。 |
解读:
用户画像是经过个人信息的收集、汇聚、分析,可以对特定自然人的职业、消费习惯、健康、教育、个人喜好、信用、行为等特征作出分析或预测,形成其个人特征模型的过程。通过个人信息的加工处理所作出的用户画像可以应用于大数据分析、广告等的准确投放等许多场景,具有显著的商业价值,同时对于个人信息相关权益的保护也至关重要。
原规范在“7.3 个人信息的使用限制”中仅以示例的形式涉及了对用户画像的使用规范内容,在6月意见稿中增加了用户画像的专门条款,并基本沿用到了此次的最新规范当中。
最新规范,如前所述,在个人信息的定义中将符合能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动的用户画像明确为个人信息,因此对于符合该认定标准的用户画像的处理应当适用规范对于个人信息处理所有的原则和安全要求。同时,最新规范在7.4条中特别对于用户画像中涉及主体特征描述的禁止内容以及业务运营或对外业务合作中使用用户画像的限制进行了明确规定,有利于规范用户画像的应用行为。
五、 增加了“个性化展示的使用”(最新规范7.5)
原规范 | 最新规范 |
无 | 7.5 个性化展示的使用 对个人信息控制者的要求包括: a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容;
注:显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。 b) 在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;
注:基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。 c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应: 1) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项; 2) 当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。 d) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。 |
解读:
7.5条是最新规范相较于原规范的新增内容。实际上,有关“个性化展示的使用”的规定,最早在2月草案中就已出现,并在6月意见稿和10月意见稿中相继进行调整。除更正个别措辞以使之更加严谨外,最新规范基本上采纳了10月意见稿的内容。
从适用对象的角度而言,第7.5条总体上分为两个部分:适用于所有业务类型的规定和针对新闻推送服务和电子商务服务的规定。
就所有控制者而言,如果在提供业务功能的过程中使用个性化展示,则需要满足告知和提示义务(a项),以确保个人信息主体能够有效区分个性化展示的内容和非个性化展示的内容;并且宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制(d项),这一项对于避免个人信息主体因信息推送方式造成偏见等错误认知以及新闻传播的“信息茧房效应”[1]具有重要意义。
针对在电子商务服务和新闻推送服务中使用个性化展示,7.5条则提出了额外要求。具体而言,就电子商务服务,控制者应向个人信息主体提供不针对其个人特征的选项要求(b项),从而与《电子商务法》第十八条相呼应;向个人信息主体推送新闻信息服务时,控制者则应当履行提供退出选项以及退出后删除或匿名化相关个人信息的义务(c项)。
值得注意的一点是,2019年5月发布的《数据安全管理办法(征求意见稿)》第二十三条对个性化展示也作出了类似规定,但在个性化展示的退出机制上,《数据安全管理办法(征求意见稿)》的要求并不限于新闻信息推送服务,网络运营者利用用户数据和算法推送新闻信息、商业广告等的,均应为用户提供停止接收定向推送信息的功能。对于个人性化展示退出机制的适用范围,有待在进一步立法中予以明确。
六、 增加了“基于不同业务目所收集个人信息的汇聚融合”(最新规范7.6)
原规范 | 最新规范 |
无 | 7.5 个性化展示的使用 对个人信息控制者的要求包括: a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容;
注:显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。 b) 在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;
注:基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。 c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应: 1) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项; 2) 当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。 d) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。 |
解读:
7.6条也是最新规范与原规范相比新增的条款。该条款要求控制者将基于不同业务目的所收集的个人信息进行汇聚融合时,对于涉及的个人信息以及因汇聚融合产生新的个人信息,同样需遵循目的限制原则(a项);此外,控制者还应当基于汇聚融合后的目的进行安全影响评估并对个人信息进行有效保护(b项)。上述要求在2月草案中首次出现后,在随后的各版本中未作调整。
2020年2月13日发布并实施《个人金融信息保护技术规范》(JR/T 0171-2020)第6.1.4.6条对个人金融信息的汇聚融合也作出了类似的规定,说明信息的汇聚融合已成为大数据经济下的必然趋势,其中涉及的个人信息保护问题不可回避且将成为合规监管的重点事项之一,值得企业关注。
七、 修改了“个人信息主体注销账户”(最新规范8.5)
原规范 | 最新规范 |
7.8 个人信息主体注销账户 对个人信息控制者的要求包括: a) 通过注册账户提供服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且该方法应简便易操作; b) 个人信息主体注销账户后,应删除其个人信息或做匿名化处理 | 7.88.5 个人信息主体注销账户 对个人信息控制者的要求包括: a) 通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且该方法应简便易操作; b) 受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理; c) 注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型; d) 注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等; 注1:多个产品或服务之间存在必要业务关联关系的,例如,一旦注销某个产品或服务的账户,将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,需向个人信息主体进行详细说明。 注2:产品或服务没有独立的账户体系的,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现注销。 e) 注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等; f) b)个人信息主体注销账户后,应及时删除其个人信息或做匿名化处理。因法律规规定需要留存个人信息的,不能再次将其用于日常业务活动中。 |
解读:
就个人信息主体注销账户的规定,原规范仅对个人信息控者应提供简便易操作的注销账户方法以及对注销账户后的相关个人信息进行删除或匿名化处理作出要求,最新规范在原规范的基础上增加了如下要求:限制人工处理注销请求下的核查和处理时限(b项);根据最小必要原则,限制控制者在注销环节收集的个人信息范围(c项);限制控制者在注销过程中设置不合理或额外要求(d项);明确因注销账户需收集个人敏感信息时对相关信息的处理措施(e项);对注销后删除和匿名化个人信息的例外情形作出限制规定(f项)。
上述修订内容在10月意见稿中第一次出现。最新规范在10月意见稿的基础上,就有关注销过程不应设置不合理的条件或提出额外要求的条款,考虑到控制者在实际操作过程中可能遇到的问题,以注释的方式进一步明确了对于注销账户时多个产品/服务之间存在必要业务关联关系以及产品/服务没有独立账户体系情况下的具体处理方式,从而提高了8.5条d项在合规实践中的可操作性,也有利于保障个人信息主体权利。
八、 增加了“第三方接入管理”(最新规范9.7)
原规范 | 最新规范 |
无 | 9.7 第三方接入管理 当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不适用9.1和9.6时,对个人信息控制者的要求包括: a) 建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件; b) 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施; c) 应向个人信息主体明确标识产品或服务由第三方提供; d) 应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅; e) 应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式; f) 应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用; g) 应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入; h) 产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施: 1) 开展技术检测确保其个人信息收集、使用行为符合约定要求; 2) 对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。 |
解读:
与原规范相比,最新规范增加了第三方接入管理的要求。第三方接入体现了互联网经济共生共享的生态环境和发展趋势。除最新规范外,《信息安全技术 移动互联网应用(App)收集个人信息基本规范(征求意见稿)》第4条也对第三方接入作出相关规定。与之相比,最新规范所做规定更加全面,要求个人信息控制者在其服务中接入具备收集个人信息功能的第三方(该第三方不属于委托处理和共同控制的情形)产品和服务时满足以下要求:建立第三方接入的管理机制和工作流程(a项);明确双方的安全责任及安全措施(b项);向个人信息主体披露该第三方(c项);妥善留存第三方接入有关合同和管理记录(d项);要求第三方取得个人信息主体的授权同意(e项);要求第三方建立个人信息主体权利的响应机制(f项);监督第三方个人信息安全管理(g项);对第三方的自动化工具采取技术检测及审计等措施对其合规情况进行监督和管理(h项)。
该新增内容在2月草案、6月意见稿和10月意见稿中均有体现,且内容没有太大变化,最新规范较上述版本进行了适当调整,一定程度上提高了相关规定的实操性。例如,对于第三方取得个人信息主体授权同意的规定(e项),2月草案、6月意见稿和10月意见稿均要求控制者对第三方取得授权同意的方式进行核验,而最新规范规定仅在必要时进行核验即可,但对于何为“必要”,最新规范未给出明确说明。从合规角度而言,如果发现第三方已经或可能发生违规收集个人信息的情况,则控制者有必要对第三方取得授权同意的方式进行核验。建议企业在与第三方的协议中对于哪些情形下进行核验作出明确约定。又如,对于第三方建立个人信息主体权利的响应机制(f项),2月草案、6月意见稿和10月意见稿均要求对该等机制妥善留存、及时更新,但最新规范删除了该要求,有利于明确控制者与第三方的责任边界。
九、 修改了“明确责任部门与人员”(最新规范11.1)
原规范 | 最新规范 |
10.1 明确责任部门与人员 对个人信息控制者的要求包括:
a) 应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等; b) 应任命个人信息保护负责人和个人信息保护工作机构; c) 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护 工作机构,负责个人信息安全工作: 1) 主要业务涉及个人信息处理,且从业人员规模大于200人; 2) 处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息。
d) 个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于: 1) 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任; 2) 制定、签发、实施、定期更新隐私政策和相关规程; 3) 应建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略; 4) 开展个人信息安全影响评估; 5) 组织开展个人信息安全培训; 6) 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为; 7) 进行安全审计。
| 101.1 明确责任部门与人员 对个人信息控制者的要求包括: a) 应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等; b) 应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作; c) 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工 1) 主要业务涉及个人信息处理,且从业人员规模大于200人; 2) 处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息; 3) 处理超过10万人的个人敏感信息的。
d) 个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于: 1) 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任; 2) 组织制定个人信息保护工作计划并督促落实; 3) 2)制定、签发、实施、定期更新隐私个人信息保护政策和相关规程; 4) 3)应建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略; 5) 4)开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患; 6) 5)组织开展个人信息安全培训; 7) 6)在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为; 8) 公布投诉、举报方式等信息并及时受理投诉举报; 9) 7)进行安全审计; 10) 与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
e) 应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。 |
解读:
与原规范相比,“明确责任部门与人员”部分更改、新增了设立专职的个人信息保护负责人和个人信息保护工作机构的条件,包括将处理个人信息数量、预计在12个月内处理个人信息的数量从50万增加至100万人(c.2项);同时增加了处理超过10万人个人敏感信息的情形(c.3项)。我们注意到,2月草案、6月意见稿中并未设置处理个人敏感数据条件,而在10月意见稿中,只要处理个人敏感信息即符合设置专职信息保护负责人及信息保护机构的条件,最新规范就处理个人敏感信息规定了超过10万人数的标准,放宽了设置专职个人信息保护负责人和机构的条件。因此,企业需要梳理业务中涉及处理个人敏感信息的业务以及涉及的数量,以便不时衡量是否需要设置专职的个人信息保护负责人及机构。
并且,最新规范与原规范相比,新增个人信息保护负责人应具备的知识和管理经验要求(b项),进一步细化其工作职责(包括提出个人信息保护的对策建议和督促整改,作为个人信息保护方面的对外联系人,与监管机构沟通)(d项),并规定网络运营者为个人信息保护负责人和个人信息保护机构提供必要资源,保障其独立性(e项)。这些新增规定与10月意见稿内容相差无几,不过,为了与最新规范的其他修订相适应,将专职个人信息保护负责人和机构负责制定、签发、实施和定期更新的“隐私政策”更改为“个人信息保护政策”。
十、增加了“个人信息安全工程”(最新规范11.2)
原规范 | 最新规范 |
无 | 11.2 个人信息安全工程
开发具有处理个人信息功能的产品或服务时,个人信息控制者宜根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。 |
解读:
本条与原规范相比为新增条款,并且沿用了6月意见稿、10月意见稿的条款内容。新增的内容借鉴了欧盟GDPR的“Protection by Design”原则,要求在开发设计产品或服务时,宜根据国家有关标准将个人信息保护要求融入到开发设计过程。
十一、增加了“个人信息处理活动记录”(最新规范11.3)
原规范 | 最新规范 |
无 | 11.3 个人信息处理活动记录 个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括: a) 所涉及个人信息的类型、数量、来源(如从个人信息主体直接收集或通过间接 获取方式获得); b) 根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、 共享、转让、公开披露、是否涉及出境等情况; c) 与个人信息处理活动各环节相关的信息系统、组织或人员。 |
解读:
与原规范相比,本条为新增内容,建议个人信息控制者建立、维护和更新个人信息处理活动的记录。本条新增内容除了对语句作出调整使之更加通顺外,与2月草案、6月意见稿、10月意见稿内容一致。值得注意的是,新增的本条规定提出个人信息控制者记录个人信息的来源,即系从个人信息主体直接收集还是通过间接方式获得,并且需要根据业务功能和授权情况区分个人信息处理目的和使用场景等。
个人信息控制者如果委托他人处理个人信息,建议通过合同条款要求接受委托的主体确保完成并妥善保存此等个人信息处理活动的相应记录。
十二、修改了“实现个人信息主体自主意愿的方法”(最新规范附录C)[2]
原规范 | 最新规范 |
附录C (资料性附录) 保障个人信息主体选择同意权的方法
本附录给出了向个人信息主体就个人敏感信息的收集、使用,以及个人信息的共享、 转让、公开披露等事项征求授权同意的实现方法。个人信息控制者可参考以下模板设计功能界面,保障个人信息主体能充分行使其选择同意的权利。
该功能界面应在个人信息控制者开始收集个人敏感信息前,如产品安装过中,或个人信息主体首次使用产品或服务时,或个人信息主体注册账号时,由个人信息控制者主动向个人信息主体提供。如以填写纸质材料收集个人敏感信息的,个人信息控制者可以参考以下模板内容设计表格,以保障个人信息主体能行使选择同意的权利。 | 附录C (资料性附录) 保障实现个人信息主体选择同意权自主意愿的方法
本附录给出了向个人信息主体就个人敏感信息的收集、使用,以及个人信息的共享、 转让、公开披露等事项征求授权同意的实现方法。
C.1 概述 保障个人信息主体自主意愿包括两个方面:一是不强迫个人信息主体接受多项业务功能;二是保障个人信息主体对个人信息收集、使用的知情权和授权同意的权利。个人信息控制者,尤其是移动互联网应用程序运营者,可通过以下方式实现。
C.2 区分基本业务功能和扩展业务功能 保障个人信息主体选择同意的权利,首先需划分产品或服务的基本业务功能和扩展 业务功能,划分的方法如下: a) 应根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需 求,划定产品或服务的基本业务功能; 注1:个人信息主体之所以识别或挑选某项产品或服务,主要依据个人信息控制者对所提供产品或服 务开展的市场推广和商业定位、产品或服务本身的名称、在应用商店中的描述、所属的应用类型等因素。因此,个人信息控制者应根据一般个人信息主体对上述因素的最可能的认识和理解,而非自身想法来确定个人信息主体的主要需求和期待来划定基本业务功能。一般来说,如果产品或服务不提供基本业务功能,个人信息主体将不会选择使用该产品或服务。 注2:随着产品或服务的迭代、拓展、升级等,基本业务功能可能需要随之重新划分。个人信息控制者仍可根据一般个人信息主体最可能的认识和理解,来重新划定基本业务功能。但个人信息控制者不宜短时间内大范围改变基本业务功能和扩展业务功能的划分。在重新划分后,个人信息控制者宜再次告知并征得个人信息主体对基本业务功能收集、使用其个人信息的明示同意。 b) 不应将改善服务质量、提升个人信息主体体验、研发新产品单独作为基本业务功能; c) 将产品或服务所提供的基本业务功能之外的其他功能,划定为扩展业务功能。
C.3 基本业务功能的告知和明示同意 基本业务功能的告知和明示同意的实现方法如下: a) 在基本业务功能开启前(如个人信息主体初始安装、首次使用、注册账号等),应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式)向个人信息主体告知基本业务功能所必要收集的个人信息类型,以及个人信息 主体拒绝提供或拒绝同意收集将造成的影响,并通过个人信息主体对信息收集 主动作出肯定性动作(如勾选、点击“同意”或“下一步”等)征得其明示同意; 注:当产品或服务所提供的基本业务功能无需一次性全部开启时,宜根据个人信息主体的具体使用行 为逐步开启基本业务功能,并即时完成a)的告知要求。 b) 个人信息主体不同意收集基本业务功能所必要收集的个人信息的,个人信息控 制者可拒绝向个人信息主体提供该业务功能; c) a)所要求的交互界面或设计应方便个人信息主体再次访问及更改其同意的范 围。 注:上述要求的实现方式可参考C.5。
C.4 扩展业务功能的告知和明示同意 扩展业务功能的告知和明示同意的实现方法如下: a) 在扩展业务功能首次使用前,应通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式),向个人信息主体逐一告知所提供扩展业务功能及所必要收集的个人信息,并允许个人信息主体对扩展业务功能逐项选择同意; b) 个人信息主体不同意收集扩展业务功能所必要收集的个人信息的,个人信息控制者不应反复征求个人信息主体的同意。除非个人信息主体主动选择开启扩展功能,在48h内向个人信息主体征求同意的次数不应超过一次; c) 个人信息主体不同意收集扩展业务功能所必要收集的个人信息的,不应拒绝提供基本业务功能或降低基本业务功能的服务质量; d) a)所要求的交互界面或设计应方便个人信息主体再次访问及更改其同意的范围。 注:上述要求的实现方式可参考C.5。
C.5 交互式功能界面设计 个人信息控制者可参考表以下C.1所示模板设计交互式功能界面,保障个人信息主体能充分行使其选择同意的权利。 该功能界面应在个人信息控制者开始收集个人敏感信息前,如产品安装过程中,或个人信息主体首次使用产品或服务时,或个人信息主体注册账号时,由个人信息控制者主动向个人信息主体提供。如以填写纸质材料收集个人敏感信息的,个人信息控制者可以参考以下模板内容设计表格,以保障个人信息主体能行使选择同意的权利。 |
解读:
最新规范与原规范相比,将附录C名称更改为“实现个人信息主体自主意愿的方法”,强调个人信息主体自主作出同意,对获取个人信息主体明示同意收集、使用个人信息提供指引,与新增5.3条“多项业务功能的自主选择”相匹配。建议企业对现有取得个人信息主体同意的设置进行更新,确保对于最新规范要求获得明示同意的情形,通过个人信息主体对信息收集主动作出肯定性动作(如勾选、点击“同意”或“下一步”等)征得明示同意。
另,最新规范将业务功能区分为基本业务功能和扩展业务功能(原规范称“核心业务功能”和“附加业务功能”)。对于扩展业务功能,个人信息主体不同意收集其个人信息的,不应拒绝提供基本业务功能或降低基本业务功能质量,并且不得反复征求个人信息主体同意。除非个人信息主体主动选择开启扩展功能,在48小时内向个人信息主体征求同意的次数不应超过一次。最新规范基本沿用10月意见稿的内容,我们也注意到有些许调整,比如与前述48小时不同,10月意见稿中提及24小时内征求同意的次数不超过一次。建议企业根据最新规范区分其基本业务功能和扩展业务功能,用户同意提供实现基本业务功能信息的,不得拒绝提供服务,避免将扩展业务功能等同于基本业务功能,强制收集个人信息;并采取技术手段避免反复或超过时限要求征得个人信息主体同意。
十三、其他
除上述内容外,新版规范较之原规范还有其他一些变化,例如,首次提及密码技术,要求传输和存储个人敏感信息时,采用密码技术的,宜遵循密码管理相关国家标准;将个人信息主体的权利从原来的“个人信息的使用”部分中抽离出来单独成章,并要求采用交互式页面提供产品或服务的控制者对个人信息主体的各项权利请求采取采用交互式页面形式进行响应;在附录A中的个人信息举例中缩小了“网络身份标识信息”范围,并将“网络身份标识信息”从附录B中的个人敏感信息举例中删除。这些变化都值得企业关注,但受篇幅影响,本文不再展开分析。
结语
《个人信息安全规范》从法律层级上虽然只是推荐性国家标准,并不具备强制性法律效力,但是规范详细地规定了个人信息的相关定义、个人信息生命周期的个人信息处理活动的原则和安全要求等具体内容,一直被作为《网络安全法》的重要配套规范性文件之一,无论对于个人信息的应用处理实践,还是对于监管部门的执法、监管以及评估都有重要的指导意义,受到各界的广泛关注。最新规范虽然于今年10月1日起才开始实施,但是正式发布的修订内容已经指明了方向,建议企业提前采取措施,根据最新规范调整自身的业务操作,保证合规,防范风险。
[1] 信息茧房是指人们的信息领域会习惯性地被自己的兴趣所引导,从而将自己的生活桎梏于像蚕茧一般的“茧房”中的现象。由于信息技术提供了更自我的思想空间和任何领域的巨量知识,一些人还可能进一步逃避社会中的种种矛盾,成为与世隔绝的孤立者。在社群内的交流更加高效的同时,社群之间的沟通并不见得一定会比信息匮乏的时代来得顺畅和有效。(https://baike.baidu.com/item/%E4%BF%A1%E6%81%AF%E8%8C%A7%E6%88%BF/12661227)
[2] 此处省略功能界面模版。
