本⽂共计4129字,需要阅读时间11分钟。
在⼤数据时代的背景下,融合是⼤数据的价值所在。对于持有海量数据的集团⽽⾔,集团内不
同企业间业务线数据的融合,将有效提升⼤数据的内涵价值和商业价值,提⾼集团的核⼼竞争
⼒。因此,集团内数据的收集、融合和分析将成为集团持续发展的关键⽣命线。
跟随市场发展的脚步,国家市场监督管理总局、国家标准化管理委员会于2020年3⽉6⽇正式发
布了推荐性国家标准《信息安全技术个⼈信息安全规范》[i](GB/T 35273-2020)(2020年10
⽉1⽇实施)(以下简称“《个⼈信息安全规范》”)。该规范增加了关于“基于不同业务⽬的所收
集个⼈信息的汇聚融合”(第7.6条)的合规监管规定。根据该规定及《⽹络安全法》有关规定,
我国现⾏法律法规允许个⼈信息控制者在符合⼀定条件时进⾏个⼈信息的汇聚融合,即企业应
事先获得个⼈信息主体的有效授权,遵循最⼩必要原则,并应针对集团内部个⼈信息共享⾏为
和汇聚融合⾏为事先开展个⼈信息安全影响评估。本⽂现从汇聚融合的定义、合规要点及建议
以及⾏业实践等⾓度展开如下分析。
⼀、汇聚融合的定义
⽬前在中国个⼈信息保护领域的主要法律法规中“汇聚融合”⼀词并未正式出现,《个⼈信息安全
规范》虽然对个⼈信息汇聚融合提出要求,但并未明确汇聚融合的定义及应⽤场景。根据国家
标准《智慧城市数据融合第⼀部分:概念模型》(GB/T 36625.1-2018)(2019年5⽉1⽇实
施)中数据融合的定义(3.1数据融合:集成多个数据源以产⽣⽐任何单独数据源更有价值信息
的过程)以及中国信息通信研究院安全研究所数据安全研究部有关官员在“数据互联互通与安全
发展”⾼峰论坛暨“数据治理和⽹络安全研究联盟”2020年度论坛发表的公开讲话,我们理解,从
狭义⽽⾔,汇聚融合主要指企业内部不同业务线的数据“打通”实现共享、融合;从⼴义⽽⾔,汇
聚融合还包括集团内不同关联企业间的数据融合以及集团内企业与集团外第三⽅的数据融合。
⼆、个⼈信息汇聚融合的合规要点及建议
(⼀)获得个⼈信息主体的有效授权
根据《⽹络安全法》第41条规定,⽹络运营者收集、使⽤个⼈信息,应当明⽰收集、使⽤信息
的⽬的、⽅式和范围,并经被收集者同意。该规定较为原则,《个⼈信息安全规范》第5.4条和
第9.2条进⼀步明确选择同意问题,即个⼈信息控制者收集或共享个⼈信息,应向个⼈信息主体
告知收集、使⽤、共享个⼈信息的⽬的、⽅式和范围等规则,并事先获得个⼈信息主体的授权
同意(涉及个⼈敏感信息或个⼈⽣物识别信息的,应征得个⼈信息主体的明⽰同意)。《个⼈
信息安全规范》第7.6条[ii]从汇聚融合⾓度对个⼈信息主体的有效授权问题进⾏了规定:个⼈信
息控制者对基于不同业务⽬的所收集个⼈信息进⾏汇聚融合,应遵守第7.3条关于个⼈信息使⽤
的⽬的限制(即使⽤个⼈信息时,不应超出与收集个⼈信息时所声称的⽬的具有直接或合理关
联的范围);因业务需要,确需超出与收集个⼈信息时所声称的⽬的具有直接或合理关联的范
围使⽤个⼈信息的,应再次征得个⼈信息主体明⽰同意。
根据上述规定,我们建议,企业作为个⼈信息控制者在收集、共享个⼈信息时应就汇聚融合征
得个⼈信息主体的授权同意,超出收集时声称⽬的范围汇聚融合的,则应征得个⼈信息主体的
明⽰同意。如集团内⼦公司所从事业务种类较多,则应事先对业务线进⾏梳理,厘清不同业务
线所需个⼈信息的类型及数据处理⽬的等,向⽤户告知个⼈信息汇聚融合的⽬的、⽅式和范围
并征得其授权同意,涉及个⼈敏感信息或个⼈⽣物识别信息的,应征得个⼈信息主体的明⽰同
意。对各⼦公司收集的个⼈信息进⾏汇聚融合时超出收集个⼈信息时声称的使⽤⽬的范围的,
应再次征得个⼈信息主体明⽰同意。
但根据《个⼈信息安全规范》第7.3条注释和第9.2条规定,以下两种情形,企业⽆需再次征得个
⼈信息主体的同意:(1)将所收集的个⼈信息⽤于学术研究或得出对⾃然、科学、社会、经济
等现象总体状态的描述,属于与收集⽬的具有合理关联的范围之内;(2)个⼈信息控制者共
享、转让经去标识化处理的个⼈信息,且确保数据接收⽅⽆法重新识别或者关联个⼈信息主体
的信息。
关于征得同意的⽅式,我们建议,如为业务办理所需的汇聚融合,企业可以弹窗、跳转页⾯或
链接的⽅式通过隐私政策(或个⼈信息保护政策)告知个⼈信息主体并获得个⼈信息主体的授
权同意或明⽰同意[iii];如为提供个⼈信息控制者产品或服务附加功能⽽展开的汇聚融合,则应
通过单独⽂本将可能涉及的产品或服务、汇聚融合的⽬的、范围以及拒绝的后果等内容告知个
⼈信息主体。
(⼆)遵循个⼈信息汇聚融合的最⼩必要原则
个⼈信息控制者收集个⼈信息的,除应征得个⼈信息主体同意外,还应遵循《⽹络安全法》第
41条规定的必要性原则,即⽹络运营者收集、使⽤个⼈信息,应当遵循合法、正当、必要的原
则。《个⼈信息安全规范》第4条[iv]和第5.2条[v]对上述必要性原则进⾏进⼀步解释,即在收集
个⼈信息时应满⾜直接关联、最低频率和最少数量的要求,个⼈信息保存应为实现⽬的所必需的最短时间,⽬的达成后,应及时对个⼈信息作出删除或匿名化处理。
随着集团内拟开展的汇聚融合所涉个⼈信息收集范围的扩⼤,必要性原则也将⾯临挑战,如超出汇聚融合⽬的的合理范围后,可能会被认定为超出提供产品和服务的⽬的过量收集个⼈信息,如企业对集团内⼦公司各业务线的个⼈信息进⾏汇聚融合后⽣成⽤户画像或⽤于⼴告营销,因该汇聚融合不属于⼦公司各业务线提供核⼼业务产品和服务所必需,可能存在违反必要性原则的情况。因此,建议企业从个⼈信息主体的视⾓出发,重新建⽴个⼈信息的汇聚融合与为⽤户提供增值服务的必要关联。
(三)开展个⼈信息的安全影响评估
除上⽂提出的要求外,集团在拟开展汇聚融合之前还应当对可能涉及的个⼈信息范围进⾏审查,确保不包含法律禁⽌对外共享的数据和⽤途。同时,个⼈信息控制者和个⼈信息接收⽅应对拟开展汇聚融合所涉个⼈信息履⾏如下义务:
1. 根据《个⼈信息安全规范》第9.2条(个⼈信息共享、转让)的规定,个⼈信息控制者向集
团内关联公司共享个⼈信息前,应开展个⼈信息安全影响评估,并依评估结果采取有效的保护个⼈信息主体的措施。
2. 根据《个⼈信息安全规范》第7.6条规定,集团内个⼈信息接收⽅应根据汇聚融合后个⼈信
息所⽤于的⽬的,开展个⼈信息安全影响评估,采取有效的个⼈信息保护措施。
三、⾏业实践
经查阅⼩⽶、抖⾳、淘宝、优酷、蚂蚁⾦服等⾏业龙头企业的隐私政策,我们发现,现阶段少有隐私政策明确规定汇聚融合相关事宜,隐私政策中的相关表述多⽌步于与集团内部关联公司或第三⽅的共享以及公司内部个⼈信息的使⽤。其中⼩⽶规定可能进⾏信息结合及其⽬的,承诺将提供具体控制机制并授予个⼈信息主体拒绝权;抖⾳的规定主要还是共享,但在形成间接⼈画像⽅⾯实际上涉及到了汇聚融合。上述规定均较为原则,未来可能需要进⼀步细化。淘宝和优酷关于选择同意的规定更为具体,明确将另⾏向⽤户说明对应信息的收集⽬的、范围及使⽤⽅式,且在征得⽤户明⽰同意后收集、使⽤。此外,淘宝、优酷、蚂蚁⾦服的隐私政策中部分条款,从其表述看,主要还是⽌步于个⼈信息的共享,未提及汇聚融合的问题。
基于上述分析,如企业计划在集团内开展个⼈信息汇聚融合,我们建议企业应梳理集团各⼦公司的业务条线,确保数据来源的合法性和⼀致性,明确汇聚融合可能形成业务及相应所需的个⼈信息,在此基础上完善隐私政策或个⼈信息保护政策,解决个⼈信息主体有效授权问题;从个⼈信息主体的⾓度,企业应建⽴起汇聚融合⾏为与个⼈信息主体利益之间的必要关联,以满⾜最⼩必要的要求;并应针对集团内
部个⼈信息共享⾏为和汇聚融合⾏为事先开展个⼈信息安全影响评估。此外,如企业拟开展的汇聚融合涉及个⼈⾦融信息的,还应遵循推荐性⾏业标准《个⼈⾦融信息保护技术规范》(JR/T 0171—2020)中的有关规定。
上述建议是针对集团内部汇聚融合提出的⼀般性建议,对于从事特定⾏业的企业⽽⾔,还应符合该⾏业的特殊要求(如有)。
注释:
[i]虽然《⽹络安全法》是现阶段有关个⼈信息保护的核⼼法规,但是该法规有关个⼈信息的规定较为原则,关于个⼈信息保护的具体规定更多地体现在国家推荐性标准《个⼈信息安全规范》中。《个⼈信息安全规范》作为推荐性国家标准,虽⽆法律上的强制执⾏⼒,但结合其出台背景和⾏业实践,我们理解在现阶段《个⼈信息安全规范》应作为企业⽹络安全和数据合规的重要指引和监管部门开展相关执法⼯作的重要依据。
[ii]《信息安全技术个⼈信息安全规范》(GB/T 35273—2020)7.6基于不同业务⽬的所收集个⼈信息的汇聚融合
个人敏感信息对个⼈信息控制者的要求包括:a) 应遵守7.3的要求;b) 应根据汇聚融合后个⼈信息所⽤于的⽬的,开展个⼈信息安全影响评估,采取有效的个⼈信息保护措施。
[iii]个⼈信息控制者应通过隐私政策向个⼈信息主体告知汇聚融合的⽬的及其他法律规定的内容并征得其授权同意或明⽰同意(就个⼈敏感信息⽽⾔)。就共享个⼈⽣物识别信息⽽⾔,贵司还应设置单独的个⼈⽣物识别信息保护规则或共享声明告知个⼈信息主体相应内容,并征得个⼈信息主体的明⽰同意。
[iv]《信息安全技术个⼈信息安全规范》(GB/T 35273—2020)4个⼈信息安全基本原则
个⼈信息控制者开展个⼈信息处理活动应遵循合法、正当、必要的原则,具体包括:…d) 最⼩必要——只处理满⾜个⼈信息主体授权同意的⽬的所需的最少个⼈信息类型和数量。⽬的达成后,应及时删除个⼈信息。
[v]《信息安全技术个⼈信息安全规范》(GB/T 35273—2020)5.2收集个⼈信息的最⼩必要
对个⼈信息控制者的要求包括:a) 收集的个⼈信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个⼈信息的参与,产品或服务的功能⽆法实现;b) ⾃动采集个⼈信息的频率应是实现产品或服务的业务功能所必需的最低频率;c) 间接获取个⼈信息的数量应是实现产品或服务的业务功能所必需的最少数量。
关于作者
徐云飞
合伙⼈
*****************
李楠
律师
**************
发布评论