《个人信息安全规范》最新修订要点评述


来源:金杜研究院    作者:宁宣凤 吴涵等    2020-3-10 10:37

一、引言

自2019年2月,全国信息安全标准化技术委员会(“信安标委”)首次发布《信息安全技术个人信息安全规范(草案)》,历时逾1年,历经6月及10月两版《信息安全技术个人信息安全规范》(征求意见稿)(分别称为“6月征求意见稿”、“10月征求意见稿”),推荐性国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》(“现行《规范》”)修订工作于2020年3月6日完成。新版标准GB/T 35273-2020《信息安全技术个人信息安全规范》(“新版《规范》”)于当日正式发布,并将自2020年10月1日起正式生效,以代替现行《规范》。

相比于现行《规范》,新版《规范》在内容上有较大变化,除了授权同意例外[1]、账户注销[2]、责任部门与人员[3]、个人信息处理活动记录[4]、实现个人信息主体自主意愿的方法[5]等内容的修改外,还新增了多项业务功能的自主选择[6]、用户画像[7]、个性化展示[8]、基于不同业务目的的信息汇聚融合[9]、第三方接入管理[10]、个人信息安全工程[11]等相关要求。新版《规范》在总结国内外执法监管实践经验的基础之上,体现了对技术发展、商业模式创新下个人信息保护新型问题的关注,为个人信息主体的权利保障与企业个人信息保护的合规实践提供参考。

有鉴于此,我们对现行《规范》、10月征求意见稿及新版《规范》进行文本比对,并从中选取几项重要变化,就其内容及所反映的个人信息保护与利用的新趋势与大家共同探讨。

二、部分重点修改内容评析与新趋势探讨

本章节以文本对比的方式呈现本次新发布的《个人信息安全规范》的三大重点修改内容,并由此总结个人信息保护领域的变化与趋势,进而为企业的个人信息保护合规工作提供方向性建议。

(一)对个人生物识别信息保护提出优化要求

新版《规范》在现行区分个人信息和个人敏感信息的保护框架之内,新增并强调对个人生物识别信息在收集、存储、共享三大环节的保护要求,对近年来各行业日益频繁及普遍的对个人生物识别信息利用进行更全面的监督与管理,从而响应大数据发展潮流下日益突出的新型个人信息保护问题,进一步提升对个人信息主体的信息保护水平。

基于以上表格总结,在内容修改方面,我们可以看出:

个人生物识别信息收集方面:新版《规范》对个人信息控制者提出了“单独告知”及“取得明示同意”的双重要求,相较于现行《规范》及10月征求意见稿中已有的对收集个人敏感信息时应当确保获得个人信息主体的明示同意的要求更为严格。

个人生物识别信息存储方面:不难看出,在《个人信息安全规范》沿革过程中,对个人生物识别信息的保护要求始于信息存储环节。现行《规范》已在“个人敏感信息的传输和存储”章节提出了对个人生物识别信息存储的特殊技术处理要求,并建议个人信息控制者仅存储“个人生物识别信息的摘要”;10月征求意见稿在个人生物识别信息存储之前的技术处理要求方面,新增了“将原始信息和摘要信息分开存储”的建议,为企业提供了多项技术参考,而新版《规范》则将前述规范版本中的“分开存储”建议上升为具体要求,明确提出了“不应存储原始生物识别信息”的原则,并列举了包括仅存储摘要信息、在采集终端直接使用、识别认证身份后删除原始图像在内的具体实现方式以供企业参考。

具体而言,“在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能”及“识别认证身份后删除原始图像”的两条可选路径可能意味着企业可以将原始个人生物信息存储于采集终端,但限制其将原始个人生物识别信息上传至企业服务器进行身份认证以外的后续使用,这可能会对部分企业运营及产品模式产生重大影响。其次,就实践中企业进行身份识别与验证的一般情况来看,很多企业可能会将认证成功的证件照片长期存储,并用于后续相同客户的身份验证。但在新版《规范》的要求之下,该验证后的证件照片是否属于可提取个人生物识别信息的原始图像,企业能否于服务器中留存并调取使用等问题值得进一步探讨。同时,该等原则仅以“履行法律法规规定的义务”为例外,足可见标准制定者对个人生物识别信息存储的强监管态度。

我们理解,标准制定者对个人生物识别信息存储的严苛要求可能出于对个人生物识别信息本身的唯一性考虑。[12]原始个人生物识别信息作为自然人从出生以来即无条件拥有的信息素,具有天然的强人身附属性及私密性;相较于其他结合社会性特征的个人信息,其泄露可能会带来的对个人信息主体人身权,特别是人格权的侵犯与影响更为严重[13]。此外考虑到目前面部识别特征、虹膜、指纹等个人生物识别信息广泛用于个体身份验证以及财产支付等场景,个人生物识别信息与个人信息主体财产权的关联也愈发紧密。因此,从对个人生物识别信息的保护和使用程度的把控来看,新版《规范》意图将原始个人生物识别信息的使用范围与使用时段限于采集端,综合考虑了现实商业场景中身份验证等对原始个人生物识别信息的利用需求以及对个人信息主体人身权的保护,同时也为企业提供了储存摘要信息的路径,促使企业思考如何提高技术水平,转变商业模式,以便形成对个人生物识别信息合规利用的最佳路径。

个人生物识别信息共享方面:个人生物识别信息以不共享、不转让为原则,确需共享、转让的,首先需要符合“业务需要”的必要性要求,其次,与上述个人生物识别信息收集的要求类似,新版《规范》针对个人生物识别信息的共享在原来个人敏感信息共享的“明示同意”及“额外告知内容”要求的基础之上额外提出了向个人信息主体“单独告知”的要求,同样体现了标准制定者对个人生物识别信息保护的重视。

同时,我们也注意到,针对个人生物识别信息在存储和共享方面体现“原则+例外”的标准制定理念,与欧盟《一般数据保护条例》第九条有关包括生物性识别数据在内特殊类型个人数据处理[14]及中国人民银行于2月13日发布的《个人金融信息保护技术规范》要求的“受理终端、个人终端及客户端应用软件均不应存储个人生物识别信息的样本数据、模板,仅可保存完成当前交易所必须的基本信息要素,并在完成交易后予以清除”[15]的思路保持一致。

随着人工智能技术的发展及社会信息变革,对个人生物识别信息的利用将会越发广泛,而随着应用场景的多样化,对个人信息主体保护的挑战也将逐渐升级。我们可以预见,标准制定者将在不断深化对个人生物识别信息的保护的同时,进一步探索如何在商业应用强需求和个人权益保护之间实现基本平衡并推进企业在个人生物识别信息利用方面的合规良性发展。

基于上述对新版《规范》中个人生物识别信息优化要求的解析,我们建议企业:

  • 梳理现有业务中涉及个人生物识别信息收集与共享的场景,在正式开启个人生物识别信息采集功能或进行个人生物识别信息共享之前,设置单独的个人生物识别信息采集或共享声明呈现界面或跳转链接;
  • 相关声明应依据不同功能场景下的采集或共享目的,列明对应的信息采集、使用规则;
  • 对于涉及多次采集或共享个人生物识别信息,宜通过弹窗或跳转声明页面或链接的方式再次向个人信息主体进行告知,并取得个人信息主体的明示同意;
  • 原则上不存储原始个人生物识别信息,可根据业务模式,选择仅存储摘要信息、在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能或在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像等。

(二)增强个人信息主体对个人信息的管理能力

首先,从个人信息主体自主选择的角度,新版《规范》承继了10月征求意见稿中新增的“不强迫接受多种业务功能”以及“区分业务功能,提出实现个人信息主体自主意愿的方法”的内容。其中“不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求”等要求,对于某些集团企业的个人信息保护政策体系的合规性,特别是采用集团统一个人信息保护政策文本的情形,可能会产生影响,企业可能需要考虑重新评估现存个人信息保护政策体系并进行优化。

其次,就具体个人信息主体权利响应而言,相较于现行《规范》与10月征求意见稿中将个人信息主体权利响应要求划归为“个人信息使用”章节之下的做法,新版《规范》将个人信息主体权利响应单独成章,从整体结构上对标准体系进行了规整,也凸显了标准制定者对个人信息主体权利保护的关注。值得注意的是,新版《规范》在10月征求意见稿已对个人信息注销权增添具体要求的基础之上,又针对企业“无独立账户体系,注销单个账号等同注销多个产品或服务”的情况,提供了合规解决方案,以期达到不影响企业其他业务功能正常运作及维护消费者体验的双重效果。

在网络产品和服务不断升级与更迭的今天,相关个人信息的利用方式也越发的复杂。个人信息主体一方面享受着多样化服务带来的多重多效体验,另一方面也面临着个人权利被侵害的风险,如何切实保障个人信息主体的自决权与决策的透明性,进而逐步实现数据权利本身向个人信息主体的让渡,成为了标准制定者关注的重点之一,而从最本源的授权同意有效性出发,对新业态下自主决定权的保障及常规个人信息权利响应的维护,增强个人信息主体对个人信息的管理能力,是实现数据权利让渡的基础要求(注:有关个人信息主体对用户画像的自主管理的分析内容请见要点三)。在实践中,我们也不乏看到,如谷歌、百度、OPPO等公司已就注册用户全览及自主管理个人信息提供了Dashboard工具,详尽列明了用户在使用服务过程中的授权情况及存储的详细个人信息,并相应地赋予了用户利用工具行使对留存的个人信息增删改查的权利,[16]以更好地应对向个人信息主体进行数据权利让渡的潮流与趋势。同时,在《个人信息安全规范》修订的过程中,我们也注意到了标准制定者对企业的正常业务运营的考虑,从规范角度出发,为企业提供合规路径,化解可能的业务困局。随着网络服务与产品的升级与商业模式的转变,我们可以预见,标准制定者也将针对新产品新服务提供过程中产生的个人信息主体权利的全新问题及可能的企业发展困境提出更进一步的解决思路。

基于上述总结的新版《规范》对增强个人信息主体管理个人信息能力的要求,我们建议企业:

  • 除了通过《个人信息保护政策》或声明等授权文本的方式确保获取个人信息主体的授权同意,保障个人信息自主意愿之外,在具体业务功能设计过程中,避免为取得授权而对个人信息主体进行骚扰;同时,在产品设计环节通过交互界面优化,保障关闭相应服务功能的便捷性;
  • 结合集团型业务开展的具体情形,包括不同业务之间的运营主体、业务关联性等情况,在综合评估基础上对相应个人信息保护政策体系进行优化;
  • 设置便捷的注销账户方法,不设置以注销为由收集多于服务环节所需的个人信息等障碍,在承诺时间内及时响应个人信息主体的主要要求,并在设计环节通过对内部数据管理系统的优化与调整,确保用户注销后的有效数据及时删除、匿名化或至少从生产系统内的移出;
  • 若多个产品或服务之间存在必要业务关联关系,而注销某个产品或服务的账户,会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,向个人信息主体进行详细说明;
  • 在企业已建立大账号体系且针对单个产品或服务设置独立账号的情况之下,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现注销;
  • 在收集环节对法律法规规定需要留存的数据予以识别,以便在个人信息主体注销账户之后,对其他没有法定留存要求的数据,及时删除或做匿名化处理;而对有法定留存要求的数据,则妥善保管,但不得将其再次用于日常业务活动中,以便最大限度地保证企业经营运行的合法合规;
  • 可考虑建立专门的隐私保护平台,设置用户自主管理个人信息的简易方式。

(三)数据融合的合规实践

相较于现行《规范》,新版《规范》中增加了对基于不同业务目的所收集的个人信息的汇聚融合的合规监管要求。具体而言,企业在汇聚融合基于不同业务目的所收集的个人信息时,需要遵守个人信息使用目的限制的相关要求,不能超范围使用个人信息;同时还需要根据汇聚融合后的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。

大数据时代,数据的聚合使用在数据价值挖掘和创新方面的作用已经不言而喻。“通过对海量沉淀的个人信息的二次或多次使用,大数据可以发现隐藏在这些孤立的数据背后的商业价值与公共性价值。”[17]企业能够通过对基于内部不同业务目的所收集的个人信息、以及从第三方间接获取的个人信息等进行汇聚融合,实现数据的验真与价值提纯,提升单位数据价值密度;个人信息汇聚融合后形成的用户画像、特征标签等还可能用于评价个人信用状况、推送商业广告或其他个性化展示内容。但是个人信息的汇聚融合同样可能存在超出个人信息主体授权范围使用个人信息、消费者歧视等风险;在个人信息汇聚融合过程中,还可能因个人信息控制的移转或共享而引发信息安全担忧。

从个人信息主体权利保护来看,新版《规范》第7.6条的规定,有效地保障了主体在个人信息汇聚融合中的知情权与自决权,防范企业对个人信息的超范围使用;同时个人信息安全影响评估与个人信息保护措施的要求也能够在一定程度上降低信息泄露、转卖或滥用的风险。而对企业而言,如何合规地实现内部不同业务条线所收集的个人信息的汇聚融合,充分挖掘数据的价值则尤为重要。根据新版《规范》的相关要求,企业可能需要:

  • 通过个人信息保护政策、其他独立文本、弹窗等形式对汇聚融合不同业务条线中的个人信息的目的、方式、范围等向个人信息主体进行充分的告知并在超出原有授权同意范围时另行征得个人信息主体的同意;
  • 根据要求相应开展个人信息安全影响评估并采取个人信息保护措施;

同时,数据融合并不仅限于企业内部自有数据的融合,企业还可能通过与第三方的合作,通过数据转让共享实现内外部数据融合或采用隐私保护、密文计算等方法在“保障数据所有权基础上实现数据的融合应用”[18]……需要提示的是,数据融合是一项复杂的系统性工程,除上述要求外,还可能涉及:

  • 更多个人信息保护与行业监管限制。如对于以转让共享为前提的内外部数据融合,在转让共享时可能还需要满足《个人信息安全规范》中个人信息转让、共享的相关要求。个人金融信息还需要满足《个人金融信息技术保护规范》中对共享、转让的信息类型及数据接收方资质的要求等;
  • 数据融合必要性基础的建立。具体而言,《网络安全法》第四十一条规定了数据处理的必要性原则;现行《规范》中将其进一步解释为(1)个人信息收集的直接关联、最低频率和最少数量要求;(2)个人信息存储的必需最短时间和超期删除及匿名化等;因此,企业可能需要通过商业模式的搭建建立数据融合的必要性基础;
  • 不同主体之间的权利义务分配。包括数据源提供方、数据融合技术供应方、数据融合商业化变现的应用主体等多方主体之间的权利义务关系的确认和利益分配机制的设计等;
  • 数据资产及其他类型资产的移转。

总体而言,数据融合已经成为企业挖掘数据价值的重要方式,但同时也面临着相应的监管与合规风险,无论是内部不同业务条线的数据汇聚融合、还是内外部数据的融合,需要在厘清风险的前提下实现合规的数据融合实践,才能助力企业的长远发展。

(四)数据商业化的合规监管

除对企业数据融合的实践提出监管要求外,新版《规范》还进一步对用户画像的使用与个性化展示的数据商业化实践加以规范。包括但不限于用户画像的使用不得侵犯公民、法人和其他组织的权益或危害国家安全、荣誉和利益;在业务运营或对外合作过程中尽量避免使用直接用户画像;在业务过程中区分个性化展示和非个性化展示;提供退出个性化展示选项;保障或建议保障个人信息主体对用户画像或标签的自主控制等内容。

正如前文所言,通过个人信息收集、汇聚和分析[19]而形成的用户画像在信用评估、商品推荐和程序化广告等领域有着广泛的应用;大数据和人工智能技术的发展,也使得个性化展示的准确性大幅度提升,并显著提高了产品和服务提供者与用户之间的交互性。[20]但是另一方面,对用户画像和个性化展示的不当利用可能会引发对个人信息主体、国家与社会的危害;例如对个人信息主体知情权利的侵害;部分具有可直接识别性的用户画像的泄露导致对相应主体权益的损害;新闻的个性化展示可能导致信息茧房效应[21]的加剧;基于用户画像和个性化展示进行商品推荐时,可能损害消费者的平等权利等。

从个人信息主体权利保护来看,避免使用直接用户画像有助于降低画像泄露或滥用给个人信息主体造成的风险;个性化展示的区分体现了对个人信息主体知情权的尊重;关闭或退出个性化展示界面、删除个性化展示所依赖的用户画像、标签等选项体现了对主体权利自决的尊重与保障。而从企业角度来看:

  • 用户画像作为数据商业化产品的一种,在交易与流通环节中可能受到一定程度的限制,企业在对外提供或使用用户画像时可能需要承担更高的合规义务;
  • 企业可能需要选择合适的方式对个性化展示页面与服务进行标识,而对于某些以个性化展示为核心业务功能的企业,可能需要进一步调整自身的商业模式,如在个性化推荐算法系统之外,另行搭建非个人标签化的推荐体系,如单纯按照内容发布时间、社群用户点击总量决定内容顺序等;
  • 新闻信息服务、电子商务服务提供商还需保障用户退出个性化展示服务的权利;新闻信息服务提供商还可能需要建立删除或匿名化用户标签、画像的选项;
  • 以上内容可能要求相应企业在业务模式、数据管理系统、个人信息主体权利响应机制上进行相应的调整与更新。

三、结语

《个人信息安全规范》作为《网络安全法》下个人信息保护体系下的重要指引,一方面,为企业完善内部个人信息保护工作提出了具体的实践要求与合规建议,另一方面也为监督部门提供了执法管理的参考依据。历经多次修改,新版《规范》将于今年10月1日起生效实施,在内容上除通过业务功能选择、用户账号注销等规定的优化进一步加强对个人信息主体的权益保护要求外,还结合业界实践对个人生物识别信息、用户画像与个性化展示的应用、基于不同业务目的所收集个人信息的汇聚融合等提出了新的要求。新修订的内容一部分是结合当前企业对于个人信息收集使用的实践而做出的有针对性的要求或建议,“与时俱进”的规范个人信息收集及处理等行为,另一方面对数据融合、个人信息管理能力的新要求反映个人信息保护和利用的新趋势,对企业个人信息保护及利用升级到“2.0”阶段的重要指引。

在数字经济蓬勃发展的今天,如何合法合规地利用和保护重要的数据资源——个人信息将会是很长时间内全球企业关注的一个重要命题。企业的个人信息保护水平不仅是数字驱动经济发展的重要基础,还是企业的综合管理能力的体现。“欲穷千里目,更上一层楼”,企业只有立足于对于个人信息保护的更高要求,合规的发展个人信息利用能力,才能在全球数字经济浪潮中站稳脚跟,走得更远。

[1]见新版《规范》5.6

[2]见新版《规范》8.5

[3]见新版《规范》10.1

[4]见新版《规范》11.3

[5]见新版《规范》附录C

[6]见新版《规范》5.3

[7]见新版《规范》7.4

[8]见新版《规范》7.5

[9]见新版《规范》7.6

[10]见新版《规范》9.7

[11]见新版《规范》11.2

[12]程啸:加强个人生物识别信息法律保护。https://baijiahao.baidu.com/s?id=1654775537833936974&wfr=spider&for=pc

[13]生物识别信息保护:“你”真的是你吗?https://zhuanlan.zhihu.com/p/32647279

[14]Art.9 GDPR Processing of special categories of personal data.https://gdpr-info.eu/art-9-gdpr/

[15]《个人金融信息保护技术规范》(JR/T 0171—2020)第6.1.3 d)条

[16]Google Dashboard:see at https://myaccount.google.com/dashboard?hl=en

[17]《破解个人信息收集使用“必要原则”困局》,许可,https://mp.weixin.qq.com/s?src=11×tamp=1574262049&ver=1986&signature=iQCyhPnnMK5Fku-8OotbDMdzjrIGfGSnKl3-preyvAxo6U74rG23CrpnaMoM9Z7BXoBpqHJVgsXt418a2ZYhPHaA22Y-nR0Y3dt6FXljcfFoMD8mSwypELxrrYHJRLtt&new=1,2019-12-27.

[18]李伟.做好数据治理,更快更好地推进数字化转型[EB/OL].http://www.xinhuanet.com/fortune/2019-12/02/c_1125298138.htm.2019-12-02.

[19]参见新版《规范》3.8.

[20]谢幸,练建勋等,个性化推荐系统,必须关注的五大研究热点[EB/OL].https://www.msra.cn/zh-cn/news/executivebylines/tech-bylines-personalized-recommendation-system.2018-11-06.

[21]信息茧房即Information cocoons,由美国法学教授凯斯·R·桑德斯在《信息乌托邦——众人如何产生知识》一文中首次提出,即“在当今网络环境中,多种类型的海量信息在虚拟空间的聚集,不仅仅提供的是对于“开放多远”化信息协作模式的“承诺”,同时也提供了非常巨大的‘‘风险”。人们可以自由地分享与获取大量的信息,但是同时也可能使自己陷入"回音室”(EchoChambers)之中,成为偏激错误和“没道理的极端主义”的摇篮、这种在信息的传播过程中所表现出来的个人只“听我们选择的东西和愉悦我们的东西的通讯领域”,从而“作苗自缚”,将自己束缚于像蚕苗一般的“苗房”之中的现象,”引自:彭晓晓.信息时代下的认知茧房——广告业界与学界的“信息茧房”探析[D].2014.

本文作者:

宁宣凤律师的主要执业领域为反垄断与反不正当竞争,以及网络安全与数据合规。在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。

吴涵律师的主要执业领域为网络安全与数据合规。吴律师协助客户制定修改隐私政策,制定跨境数据传输计划,制定数据商业化合规方案,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系,进行内部网络安全和数据合规培训等。吴律师擅长从中国数据合规的角度为跨国企业在中国的分支机构提供网络安全和数据合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国等跨司法辖区要求的网络安全与数据合规体系。项目覆盖金融、保险、数据风控、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。

李沅珊 主办律师 合规业务部

张乐健 律师助理 合规业务部

刘阳璐 律师助理 合规业务部

相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2020 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号