五方面重磅解读《个人信息安全规范(征求意见稿)》规范要点
2月1日,全国信息安全标准化技术委员会开展国家标准《信息安全技术 个人信息安全规范(草案)》(以下简称“《草案》”)征求意见工作,对仅正式实施半年的《个人信息安全规范》(GB/T 35273-2017)(以下简称“2017版”)进行修订。本次修订是在2017版的基础上进行细微调整,亮点集中在根据2018年个人信息网络安全监管实践进行的条款细化和内容新增上。本文将从“不得强迫收集个人信息”、“用户有权拒绝个性化推送”、“第三方接入管理”、“管理组织要求”、“区分基本业务功能和扩展业务功能”五个主要新规变化要点进行详细的梳理与解读。
一、 新旧对比
《草案》与2017年发布的标准相比,主要变化亮点体现在个人信息的“收集”、“使用”、“委托处理、共享、转让、公开披露”和“组织管理”四个方面的新增内容,如下表所示:
表1 新版《个人信息安全规范》新增亮点
(详情请见附表内容)
变化条款 | 具体条款 |
5 个人信息的收集 | 5.3 不得强迫收集个人信息的要求 |
7 个人信息的使用 | 7.4 个性化展示及退出 7.5 基于不同业务目的所收集的个人信息的汇聚融合 |
8 个人信息的委托处理、共享、转让、公开披露 | 8.7 第三方接入管理 |
10 组织的管理要求 | 10.1 明确责任部门与人员 10.2 个人信息处理活动记录 |
资料性附录C 保障个人信息主体选择同意权的方法 | C.1 区分基本业务功能和扩展业务功能 C.2 基本业务功能的告知和明示同意 C.3 扩展业务功能的告知和明示同意 |
二、要点解读
(一) 不得强迫收集个人信息
《草案》 “5 个人信息的收集”在原版的基础上,新增条款“5.3 不得强迫收集个人信息的要求”,提出当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不得违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。另外,《草案》提出“不得通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求”,和“应根据个人信息主体主动填写、点击、勾选等自主行为,作为产品或服务的业务功能开启或开始收集个人信息的条件”的具体操作细则,目的是为了规范实践中用户注册时常常碰见的“一揽子授权”情形。
常见的“一揽子授权”的情形主要有:(1)注册时,APP强制用户勾选“阅读并同意《用户协议》及《隐私权保护声明》”进行同时授权,用户无仅就其中一项进行同意的自主选择权;(2)注册时,用户点击注册即表示同意的形式;(3)或者是通过弹窗和勾选的方式给予用户选择权,但勾选框默认同意授权。个人信息控制者意图通过“一揽子授权”的形式获取用户对其个人信息的使用权,以避免业务场景与该场景应取得的个人信息授权不能完全对应的情形,但这样的做法常常使得个人信息控制者获取许多与其所提供服务无直接关联的个人信息内容,违背了个人信息收集的“最小收集原则”。同时,还违反《网络安全法》第四十一条的规定,该条款要求网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,并明示收集、使用信息的目的、方式和范围,并经被收集者同意。
早在2017年9月24日,中央网信办等四部门发起签署个人信息保护倡议书,阿里巴巴、腾讯、百度等互联网企业均有代表到场,并共同签署了《个人信息保护倡议书》。倡议书包括尊重用户知情权和控制权,不使用“一揽子协议”的方式强迫用户打包授权对个人信息的收集,遵守用户授权,不收集与所提供服务无直接关联的个人信息等内容。本次《个人信息安全规范》的修改,就是将此倡议书的内容及近两年相关部门对“一揽子”授权整改取得的成果加以固定。个人信息控制者在收集用户个人信息时需要注意,所提供产品或服务包含不同业务功能的,应当分别收集个人信息,列举明示收集目的、方式、存储期限等相关信息,并逐一取得个人信息主体的授权同意。
同时,《草案》“5.3 不得强迫收集个人信息的要求”还提到,“关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样简便”,“如个人信息主体不同意使用、关闭或退出特定业务功能,个人信息控制者不得频繁征求个人信息主体的同意”、“个人信息控制者不得暂停个人信息主体自主选择使用的其他业务功能,或降低业务功能的服务质量”。根据个人信息安全的相关规范,用户一旦注销账户,个人信息控制者应当对其个人信息采取删除或者去标识化的措施,个人信息控制者不得再直接利用已收集的个人信息。因此,实践中部分APP在用户选择注销时提高注销门槛,例如要求用户通过发送邮件或拨打客服电话等方式才能对账户进行注销或取消个人信息授权。为回应用户注销账户难题,《草案》要求个人信息控制者在面对用户关闭或退出业务时,应提供与选择使用业务功能时同样简便的途径或方式,并且不得频繁征求其同意,也不得以此为由降低业务服务的质量。建议APP运营者及时根据《草案》要求调整产品设计,避免对用户的选择权施加额外时间成本,以阻碍用户实施注销的产品设计绑架。
(二) 用户有权拒绝个性化推送
《草案》在“3 术语和定义”中新增“3.15 个性化展示”释义,将个性化展示定义为“基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动”,即将动态的网络活动痕迹也纳入个人信息加以规范。 个性化展示是个人信息控制者收集使用个人信息的最主要用途之一,例如定向广告、商业短信推送等。但是此类个性化展示技术的应用过程中,用户往往无法知悉自己何种信息被收集并用于个性化展示,或者此类个性化展示是使用了用户哪一个人信息,因而可能会侵害用户的知情权和对自己个人信息的控制权。
《草案》新增的“7.4 个性化展示及退出”提出,要求个人信息控制者在向个人信息主体推送新闻或信息服务的过程中使用个性化展示时,应以显著方式标明“个性化展示”或“定推”等字样,以保障个人信息主体的知情权。值得注意的是,《草案》还要求建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力等要求,以提升用户对其个人信息的控制力。另外,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。
(三) 第三方接入管理
《草案》在“个人信息的委托处理、共享、转让、公开披露”板块增加“8.7 第三方接入管理”的内容,规定当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务时,应满足(a)应建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;(b)应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;(c)应向个人信息主体明确标识产品或服务由第三方提供;(d)应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅等8项要求。
《草案》中未明确“第三方接入”的含义与边界,但根据(h)项的表述,“第三方接入”至少包括涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的情形,例如各类浏览器中安装的由第三方开放并由用户调用的各类“插件”,互联网产品中普遍的第三方账号注册登录授权机制,或者各电商平台使用第三方支付系统等情形。外部接入的种类多样,接入方式复杂多变,存在因第三方接入导致边界异常、代码逻辑、系统故障等个人信息安全泄露风险。
当前个人信息控制者在第三方接入时系统质量和风控能力参差不齐,阻碍了网络互联互通的深入发展,将第三方接入纳入个人信息安全监管同时也是加快各行业各领域的数字融合,推动数字经济规模化发展。例如,近日证监会公布《证券公司交易信息系统外部接入管理暂行规定(征求意见稿)》明确提出证券公司可以根据法律法规为符合相关规定,且自身存在合理交易需求的专业投资者提供交易信息系统外部接入服务,以满足机构投资者进行交易分仓管理、统一风控以及交易策略执行等专业投资和交易管理需求。《草案》将第三方接入进行规定,则是从宏观政策层面对外部接入的信息安全风险进行防范的体现。
(四) 组织管理要求
组织管理方面,《草案》在原来的基础上对个人信息控制者进行了更为细化的规定,主要变化有以下两方面,一是将设立个人信息保护负责人和个人信息保护工作机构的门槛放宽至100万人(原要求如果某一组织处理超过50万人的个人信息,即应当设立个人信息保护负责人和个人信息保护工作机构);二是增加“个人信息处理活动记录”,明确根据业务功能和授权情况区分内部个人信息处理应用的情况。
(五) 区分基本业务功能和扩展业务功能
《草案》附录C“保障个人信息主体选择同意权的方法”明确提出,保障个人信息主体选择同意权,首先需划分产品或服务的基本业务功能和扩展业务功能,划分的方法为“根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求,划定产品或服务的基本业务功能”。细分个人信息控制者收集使用信息的业务场景,是与“5.3 不得强迫收集个人信息的要求”中不得要求个人信息主体“一揽子授权”相互配套,相互作用,是对个人信息主体对其个人信息收集使用的知悉真情权和控制权的有力保障。
个人信息控制者在进行基本业务功能和拓展业务功能界定时,需要注意两点,一是《草案》对产品或服务的基本业务功能的认定采取客观主义原则,个人信息控制者的基本业务功能认定以个人信息主体识别或挑选产品或服务的认识为准。即个人信息主体依据个人信息控制者对所提供产品或服务开展的市场推广和商业定位、产品或服务本身的名称、在应用商店中的描述、所属的应用类型等因素形成的认识和理解为认定划分标准,而不是个人信息控制者的自我认定。二是,个人信息主体在选择使用基本业务功能和扩展业务功能需要分开告知,且告知和取得明示同意的时间点有所不同。基本业务功能告知和取得明示同意须在基本业务功能开启前(如个人信息主体初始安装、首次使用、注册账号等),扩展业务功能则应在扩展业务功能首次使用前进行告知和取得明示同意。
三、结语
随着数字经济的进一步深化,个人信息同时包含人身属性和财产属性的特征也愈加突显,在利益的驱使下,个人信息安全正面临着严重的威胁。如何保护个人信息安全成为互联网经济发展的重要议题之一,《个人信息安全规范》正式实施后仅过半年便迎来首次修改表明国家层面对个人信息安全问题的热切关注。在此背景下,个人信息控制者应当及时掌握《草案》主要变化,进行合规整改,以满足个人信息控制者网络安全的合规监管和风险管理的要求。
附表:新版《个人信息安全规范》新增亮点详情
变化条款 | 具体条款 |
5 个人信息的收集 | 5.3 不得强迫收集个人信息的要求 当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不得违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括: a) 不得通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求; b) 应根据个人信息主体主动填写、点击、勾选等自主行为,作为产品或服务的业务功能开启或开始收集个人信息的条件,并提供关闭或退出业务功能的途径或方式。关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样简便; 注:个人信息控制者可按照本标准7.9实现业务功能的关闭或退出。 c) 如个人信息主体不同意使用、关闭或退出特定业务功能,个人信息控制者不得频繁征求个人信息主体的同意; d) 如个人信息主体不同意使用、关闭或退出特定业务功能,个人信息控制者不得暂停个人信息主体自主选择使用的其他业务功能,或降低业务功能的服务质量。 |
7 个人信息的使用 | 7.4 个性化展示及退出 对个人信息控制者的要求包括: a) 在向个人信息主体推送新闻或信息服务的过程中使用个性化展示的,应: 1) 以显著方式标明“个性化展示”或“定推”等字样; 2) 为个人信息主体提供简单直观的退出个性化展示模式的选项。 注:退出定向推送模式是指向特定个人提供业务功能时,其推送方式不再基于该特定个人的个人信息。 b) 电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项; 注:基于用户所选择的特定位置进行展示、搜索结果排序,且不因用户身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。 c) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜: 1) 建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力; 2) 当个人信息主体选择退出个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
|
7.5 基于不同业务目所收集的个人信息的汇聚融合 对个人信息控制者的要求包括: a) 应遵守本标准7.3的要求; b) 应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取适当的个人信息保护措施; | |
8 个人信息的委托处理、共享、转让、公开披露 | 8.7 第三方接入管理 当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不适用本标准8.1和8.6的,对个人信息控制者的要求包括: a) 应建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件; b) 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
c) 应向个人信息主体明确标识产品或服务由第三方提供; d) 应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅; e) 应要求第三方根据本标准相关规定要求向个人信息主体征得收集个人信息的授权同意,核验其实现本项要求的方式; f) 应要求第三方产品或服务建立响应个人信息主体请求、申诉等的机制,并妥善留存、及时更新,确保个人信息主体查询、使用; g) 应督促和监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入; h) 涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜: 1) 开展技术检测确保其个人信息收集、使用行为符合约定要求; 2) 宜对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定行为的及时切断接入。
|
10 组织的管理要求 | 10.1 明确责任部门与人员 对个人信息控制者的责任部门与人员进行了更为细化规定。同时,将要求设立个人信息保护负责人和个人信息保护工作机构的门槛放宽至100万人(2017年标准要求,如果某一组织处理超过50万人的个人信息,即应当设立个人信息保护负责人和个人信息保护工作机构)。 |
10.2 个人信息处理活动记录 宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括如下方面: a) 所涉及个人信息类别、数量、来源(例如从个人信息主体直接收集或通过间接获取方式获得); b) 根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况; c) 与个人信息处理各环节相关的信息系统、组织或人员。 |
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
