前言
2020年3月6日,国家市场监督管理总局、国家标准化管理委员会正式发布国家标准GB/T35273-2020《信息安全技术个人信息安全规范》(以下简称“2020年《规范》”或“《个人信息安全规范》”),替代现行的GB/T35273-2017《信息安全技术个人信息安全规范》(以下简称“2017年《规范》”),并将于2020年10月1日正式实施。
随着信息技术的高速发展与互联网应用的普及,作为个人信息安全领域影响最为广泛的国家标准,2020年《规范》以2017年《规范》为基础,沿袭《民法典(草案)》人格权编的立法思路,结合《网络安全法》、《电子商务法》、《App违法违规收集使用个人信息行为认定方法》、《互联网个人信息安全保护指南》、《生物特征识别信息的保护要求(征求意见稿)》等文件中的具体规定,历经2019年6月、10月两次公开向社会征求意见而成,较为系统地回应了我国个人信息应用实践中的热点问题与监管要求。
一、《个人信息安全规范》的法律效力
值得注意的是,尽管《个人信息安全规范》的法律性质系推荐性国家标准(相对于“强制性标准”),不属于我国《立法法》所规定的正式法律渊源,但依然很可能对企业产生事实上的拘束力。
首先,监管部门可依自由裁量权参照《个人信息安全规范》处理个人信息安全事务。鉴于《民法总则》和《网络安全法》的原则性规定为监管部门提供了较大自由裁量权,监管部
门在开展网络安全包括个人信息安全的管理活动和执法活动时,如果法律法规针对具体问题的规定存在缺位,监管部门有权在不违反法律法规的前提下,依其自由裁量权参照《个人信息安全规范》进行处理,例如2017年《规范》曾被作为重要依据用于2019年市场监管总局、中央网信办开展的App安全认证工作。
其次,在政府开展个人信息保护相关立法时,以及制定其它标准、指南时,《个人信息安全规范》文件也是重要参考依据。在2017年《规范》颁布实施后相继出台的网信办《儿童个人信息网络保护规定》、公安部《互联网个人信息安全保护指南》、工信部《App违法违规收集使用个人信息自评估指南》、《App违法违规收集使用个人信息行为认定方法》等,均在相关概念界定和立法执法思路上借鉴了2017年《规范》有关内容。
再次,历年来在司法实践中,引用推荐性国家标准的案件也屡见不鲜。尽管法院不得直接依据《个人信息安全规范》作出判决,但根据《关于裁判文书引用法律、法规等规范性法律文件的规定》第六条[1],法院可以援引《个人信息安全规范》作为裁判说理依据。
有鉴于此,本文对2020年《规范》修订的重点内容进行整合与分析,以期为企业实施个人信息处理
行为提供概括性合规指引。
二、2020年《规范》的主要修订
与2017年《规范》相比,2020年《规范》在内容上有较大变化:一是新增“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同业务目所收集个人信息的汇聚融合”、“第三方接入管理”、“个人信息安全工程”、“个人信息处理活动记录”等内容;二是修改“征得授权同意的例外”、“个人信息主体注销账户”、“明确责任部门与人员”、“实现个人信息主体自主意愿的方法”部分内容;三是细
化针对个人生物识别信息处理的要求。结合国内外执法监管实践,2020年《规范》为个人信息主体的权利保障与企业个人信息保护的合规实践提供了更具操作性的参考。
(一)个人信息定义:区分隐私与个人信息,增强个人敏感信息保护要求
2020年《规范》将2017年《规范》中的“隐私保护政策”调整为“个人信息保护政策”,与《民法典(草案)》界分隐私与个人信息的立法思路保持一致。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息[2],个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。[3]二者的客体具有交错性,但就整体而言,个人信息远超出
隐私的范畴。实践中,无论我国还是世界范围内各大网站、App等制定的“隐私保护政策”,从实体内容角度均系针对个人信息的保护政策。
2020年《规范》在明确界定个人信息[4]的基础上,一是明确新增“通过个人信息或其他信息加工处理后形成的信息”也属于个人信息,同样纳入2020年《规范》保护的范围;二是在2017年《规范》界定个人敏感信息[5]基础上,进一步增加对个人敏感信息的保护要求,包括第8.5(e)条注销账户过程中对个人敏感信息的保护,以及第10.1条涉及个人敏感信息泄露的安全事件应急处置和报告要求等。
【合规解读】对于在提供产品或服务时涉及对个人信息的收集、存储、使用等个人信息处理行为的企业,我们建议企业在依法制定个人信息保护政策时注意以下合规风险控制手段:
(1)对照2020年《规范》更新后的个人信息和个人敏感信息定义,依据2020年《规范》要求,合法合规实施个人信息处理行为;
(2)遵循最新监管要求,无论企业所制定的相关政策名称为“个人信息保护政策”,还是沿用过去习惯命名为“隐私政策”,其政策内容均需符合最新的个人信息保护政策监管要求;
(3)个人信息保护政策必备内容,根据2020年《规范》规定,个人信息保护政策应包括企业的基
本情况、业务功能及各业务功能分别收集的个人信息类型、个人信息处理目的与规则、个人信息主体的权利和实现机制、提供个人信息后可能存在的安全风险及不提供的影响、投诉机制等;[6]
(4)首次使用提示要求,在用户首次打开产品或服务、注册账户等情形时,企业宜通过弹窗等形式主动向其展示个人信息保护政策的主要或核心内容,促使用户理解该产品或服务的个人信息处理范围和规则,并决定是否继续使用该产品或服务;
(5)App相关合规要求,2020年《规范》对于个人信息保护政策的告知设计显然是以App为主要适用场景,对于提供App产品服务的企业,还应参照《App违法违规收集使用个人信息行为认定方法》、《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南(征求意见稿)》,实施有效措施保证个人信息保护政策便于用户访问、阅读及理解,如:在显眼位置以及便捷位置(例如用户注册、登陆等必经路径等)提供个人信息保护政策的链接、减少用户访问个人信息保护政策的操作次数(4次以下),采用清晰、合适的字体或颜、通俗易懂的语言等。[7]
(二)个人信息授权:区分具体场景,明确信息主体授权形式
1.区分授权场景
授权同意是企业开展个人信息处理活动的前提。企业向个人信息主体实施个人信息处理活动应告知活动目的、方式和范围等,并获得个人信息主体的授权同意。我国《网络安全法》
第41条明确规定,对于收集、使用个人信息的目的、方式和范围,必须明示并经被收集者同意。该条款统一宽泛的规定,实践中为企业创设了较为沉重的合规负担。
2020年《规范》借鉴了欧盟《通用数据保护条例(GDPR)》中对个人信息处理的合法事由的规定,新增在两种例外情形下,无需经过个人授权即可直接收集或使用信息,具体见2020年《规范》第5.6(a)和第9.5(a)条新增规定“与个人信息控制者履行法律法规规定的义务相关的”、第5.6(g)条新增规定“根据个人信息主体要求签订和履行合同所必需的”情形,以期能更好地回应个人信息收集使用的合理诉求。
2.明确授权形式
个人敏感信息关于个人信息主体的授权形式,2020年《规范》将授权同意分为明示同意与默示同意。明示同意是以积极的行为作出授权,在2017年《规范》基础上增加“口头等方式主动作出纸质或电子形式的声明”,以满足实践中允许被收集信息的个人通过语音、视频等多媒体方式授权的需要。默示同意指通过消极的不作为而作出授权或信息采集区域内的个人在被告知信息收集行为后没有离开该区域。
【合规解读】2020年《规范》对明示同意、默示同意做出区分的实务意义,在于以下情形必须获得用户的明示同意(我们将在下文个人信息收集、储存、使用、个人生物识别信息特殊规制等部分进一步做出详细说明):
(1)收集、共享、转让个人敏感信息(主要包括儿童个人信息、成人隐私信息);
(2)收集、共享、转让个人生物识别信息;
(3)收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意;
(4)使用个人信息超出与收集个人信息时所声称的目的具有直接或合理关联的范围;
发布评论