个人信息保护新规相继颁布,个人信息保护合规新要点汇总
近来多起个人数据信息泄露事件带来严重的个人信息危机,将个人信息保护问题推上风口浪尖。11月以来,个人信息保护制度体系的配套措施相继公布,如11月30日公安部网络安全保卫局发布《互联网个人信息安全保护指引(征求意见稿)》(以下简称“《指引》”)面向社会征求修改意见,体现了国家通过进一步顶层设计规范数字经济时代下的个人信息保护问题的紧迫感。
目前公布的个人信息使用相关的制度规范除了《网络安全法》《电子商务法》《消费者权益保护法》《网络交易管理办法》等(如附表所示),对个人信息使用者在具体操作上的引导性规范主要有《个人信息安全规范》(以下简称“《规范》”)和《指引》。个人信息保护新规更迭速度让大数据领域相关的企业措手不及,为方便信息持有者对其提供的产品或服务涉及个人信息保护部分进行整改,本文对《规范》和《指引》关于保存、适用和安全管理三个方面的合规要点进行梳理。
一、 个人信息的保存
1. 保存时间
之前,网安法、电子商务法等法律法规基于协助执法机关进行严重犯罪与恐怖主义犯罪调查的角度,仅就网络运营者自身相关网络日志和用户网络痕迹保存时间或者商品和服务信息、交易信息等保存时间规定了“最少留存期限”。但是未从对个人信息保护的角度出发,对个人信息保存时间进行明确的规定,网络中普遍存在对个人信息“无限期储存”的问题。
《规范》首次针对此问题作出回应,要求“个人信息保存时间最小化”,即个人信息保存期限应为实现目的所需的最短时间,对超出保存期限后的个人信息应进行删除或匿名化处理。对此,信息持有者进行个人信息数据收集之前,需要对所提供的网络产品或服务实现目的的时间进行预估,明确个人信息保存的最小时间,对超出保存期限后的个人信息应选择删除或匿名化的方式进行处理,并在用户协议和隐私政策中向用户明示以保证用户的知情权,或者对用户进行二次通知以确保用户的知悉。
同时,信息持有者还需要注意,个人信息主体主动注销账户视为“实现目的”,构成个人信息保存最小期限届满。依照《规范》要求,个人信息主体注销账户后,应删除其个人信息或做匿名化处理,即根据《规范》中将“删除”定义为“在现实日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态”,并不是要求信息持有者必须完全彻底删除用户信息及其备份,通过技术对用户信息进行去标识化处理,使其成为无法逆转且无法再次识别信息主体的匿名化处理,也可以成为信息持有者的“删除”手段。当然,对法律法规中要求必须保存的信息,依照其规定。
2. 保存措施
《规范》是对网安法第二十一条第(四)项“采取数据分类、重要数据备份和加密等措施”的具体指导和细化,其提出收集个人信息后进行去标识化处理,并将去标识化后的数据与可用于恢复识别个人的信息分开储存。针对高度敏感的个人生物识别信息,存储时应当采用摘要或其他技术措施处理后储存。信息持有者在进行数据存储时应对信息数据进行分类保存,并按要求采用相应的安全加密存储等安全措施进行处理。
3. 保存备份
《指引》在《规范》对个人信息保存要求的基础上提出了保存备份的要点以满足个人信息安全保护中完整性的要求。《指引》“6.2 保存”中提到,保存信息的主要设备,应对个人信息数据提供备份和恢复功能,确保数据备份的频率和时间间隔,并且要使用的备份手段至少要包括本地数据备份、备份介质进行场外存放、异地数据备份这三种手段中的一种。信息持有者对个人信息保存的主要设备进行选用时,需要注意该设备是否具有对个人信息数据提供备份和恢复功能,按要求至少使用本地数据备份措施、将备份介质进行场外存放的措施、异地数据备份措施中的一种措施手段对个人信息数据进行备份,建议采用数据存储备份与硬件备份相结合的双重备份方式,防止因为电源故障、自然灾害或病毒侵袭等原因导致个人信息数据丢失。
二、 个人信息的使用
1. 内部访问控制与展示限制
个人信息的使用是个人信息处理生命周期中最关键的环节。为了减少因内部违规操作导致的个人信息数据泄露,网安法提出制定内部安全管理制度和操作规程的要求,《规范》和《指引》在此框架下对内部操作规程进行细化完善。这两者都就内部访问控制和展示方面给出的要求基本相同,即要求内部授权需要遵循最小授权原则,通过内部流程的控制措施实现对角色的权限控制;对个人敏感信息进行访问或处理的,还应根据业务流程的需求触发操作流程授权。在展示方面,通过界面展示的个人信息必须进行去标识化处理。应对这方面的合规问题,信息持有者应注意制定具体的个人信息访问流程规范,对内部数据操作人员根据其完成职责所需的最少的数据操作进行授权,履行不同职能的内部人员需要进行分离设置。对超越权限处理个人信息的,应当向个人信息保护负责人或个人信息保护工作机构进行审批并记录。因工作原因通过界面进行个人信息展示时,应当对用于展示的个人信息进行去标识化处理,达到无法通过展示的信息识别到特定个人的效果。
2. 使用环节的限制
在使用限制环节,《规范》和《指引》都提出信息控制者对个人信息的使用,不得超出收集信息时所声称的目的具有直接或合理关联的范围。《规范》特地明确,因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明确同意。而且,在使用个人数据信息时需要注意遵循“最少使用原则”,即除目的所必需外,使用个人信息时应消除明确身份指向。两个指引性规范文件都明确提出个人信息主体拥有控制本人信息的权限,信息控制者应允许本人对其信息的访问和对不准确、不完整的数据进行修改。信息持有者在用户协议和隐私政策中应明确对个人信息的使用目的、方式和范围,并在使用个人信息时严格遵守协议范围,不得在用户没有进行明确授权的情况下擅自超出约定的使用范围。而且,应在显著位置设置允许用户对其个人信息进行访问和修改的渠道,并对存储部分进行及时更新。
3. 委托第三方处理、共享和转让
这一部分,主要是针对第三方处理者、非法共享、黑色产业链贩卖个人信息等问题,之前法律法规对数据的间接取得并没有进行明确的规定或者规定得比较含糊,使得实践中“数据灰黑产”现象难以根除,而《规范》和《指引》采取首先肯定了有条件的个人信息数据委托处理、共享和转让的合法性的方式,通过要求间接取得个人信息授权时需要提供方事先向信息主体说明目的和接收方的类型并确定授权同意的方式,明确违法违规边界,消除个人信息数据间接取得的灰色地带。而且《规范》和《指引》赋予了委托方或出让方对第三方的审慎选择义务,需要事先对受让方的数据安全能力进行评估,并按照评估结果采取有效的保护个人信息主体的措施,以此确保信息主体的个人信息安全。《规范》中还指出,信息控制者承担因共享、转让个人信息对个人信息主体合法权益造成的相应责任,明确了信息主体的个人信息因第三方原因造成数据损害时可寻求的损害赔偿对象。
三、 个人信息的安全管理
这部分的内容,《指引》参照《规范》“7.1 个人信息访问控制措施” 、“9.1 安全事件应急处置和报告”、“10.1 明确责任部门与人员”和“10.4 人员管理与培训”的相应内容进行制定,主要是从内部管理制度和责任落实两个方面对个人信息进行安全管理规范的具体指引。
1. 内部安全管理
网安法第二十一条第(一)项提出“制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任”的要求,《指引》参照《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)部分的制度框架制定内部安全管理制度的具体操作指导,但只选取管理制度、管理机构和管理人员部分,在此基础上结合《规范》中相应部分进行细化补充,因此《指引》在管理制度的内容、制定发布、执行落实和评审改进等方面有更具体的指引规范。
而《规范》较之《指引》更细致地提出个人信息安全事件应急预案的构建。《规范》提出个人信息安全事件处置应当包括应急处置、报告和安全事件告知两个方面。在此方面,建议企业参照第三条《国家通信保障应急预案》《信息安全技术 信息安全事件分类分级指南》(GB/Z 20986-2007)等相关文件制定分类、分级预警方案,如按照故障发生原因不同分别制定系统突发性故障预案和计算机病毒、网络攻击、网络侵入等安全风险应急预案,以形成有效的个人信息安全事件应急处置预案。此外,还需要注意及时将安全事件的内容、影响、已采取或将要采取的措施等事件相关情况以邮件、信函、电话、推送等方式告知受影响的个人信息主体。
2. 责任落实
从管理组织部分包含的内容来看,《指引》比《规范》更为全面。《指引》对管理人员从录用前、录用中、录用后的整个工作服务周期进行更细化的指引规定,还增加对外部人员访问部分,从内部人员的安全管控入手,制定完善的内部人员管理制度,落实责任主体,防范个人信息数据泄露从内部流失。企业在制定相关组织管理规范时,需要注意设置指导和管理个人信息保护工作机构。若主要业务涉及个人信息处理且从业人员规模大于200人或处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息的组织应当设立专职的个人信息保护负责人和个人信息保护工作机构,并明确定义各个机构的职责,并且明确设置安全主管、安全管理各个方面的负责人、机房管理员、系统管理员、网络管理员和安全管理员等各个岗位,清晰、明确定义其职责范围。此外,还应注意录用人员的背景审查和存档,对被录用人的身份、背景和专业资格进行审查,对技术人员的技术技能进行考核,并对审查/考核内容和结果进行记录并存档等。
四、 小结
《规范》和《指引》与现在已经或将要出台的个人信息保护制度体系的法律法规一脉相承,表现出个人信息保护领域的专业特色——配套性高。两份配套文件在内容规范上不是相互排斥,而是相互补充的关系。《规范》和《指引》从管理制度、技术措施和业务流程三个方面,为现实中网络运营者的产品或服务提供中个人信息保护提供了具体的规范指导。
附表 个人信息保护现有制度规范总结
法律法规 | 具体条目 | |
法律依据 | 《网络安全法》 | 第二十二条 |
第四十条 | ||
第四十一条 | ||
第四十四条 | ||
《互联网安全保护技术措施规定》 | 第四条 | |
《关于加强网络信息保护的决定》 | 第二条 | |
第三条 | ||
第四条 | ||
《电信和互联网用户个人信息保护规定》 | 第九条 | |
第十条 | ||
第十三条 | ||
第十四条 | ||
《互联网安全保护技术措施规定》 | 第四条 | |
《民法总则》 | 第一百一十一条 | |
《侵权责任法》 | 第二条 | |
《电子商务法》(2019年1月1日生效) | 第二十三条 | |
第二十五条 | ||
《反恐怖主义法》 | 第二十一条 | |
第八十六条 | ||
《消费者权益保护法》 | 第十四条 | |
第二十九条 | ||
第五十条 | ||
第五十六条 | ||
《网络交易管理办法》 | 第十八条 | |
第三十条 | ||
法律责任 | 《关于加强网络信息保护的决定》 | 第十一条 |
《刑法》 | 第二百五十三条之一 | |
第二百八十六条之一 | ||
《网络安全法》 | 第六十四条 | |
《电子商务法》 | 第七十九条 | |
《公安机关互联网安全监督检查规定(征求意见稿)》 | 第二十五条 | |
《网络交易管理办法》 | 第五十条 |
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
