第一时间 | 《个人信息安全规范》最新正式稿,你想知道的都在这里
第一时间 | 《个人信息安全规范》最新正式稿,你想知道的都在这里
2020年3月7日消息,根据2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会(以下简称“信安标委”)归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》以下简称“《规范》(2020正式稿)”)等8项国家标准正式发布,将于2020年10月1日正式实施。
作为个人信息安全领域最基础、最重要和影响最为广泛的国家标准,《个人信息安全规范》(2020正式稿)的发布和实施,对后续个人信息保护工作的开展将会产生深远影响。接下来,将首先通过与《规范(征求意见稿)》(2019.10.22版)对比的方式,为大家梳理解读《规范》(2020正式稿)的九大主要变化,方便大家快速了解掌握重点内容。其次,对于大家最关心的《规范》(2020正式稿)的修改历程和效力问题,我们也进行了整理。最后,文末附上了《规范(征求意见稿)》(2019.10.22版)和《规范》(2020正式稿)逐条对比表格的获取方式,供大家参考。
九大主要变化速览
点击图片查看大图
企业最关心的两大问题目录
点击图片查看大图
第一部分、九大主要变化具体解析
主要变化一:删减收集个人信息合法性的部分要求
【条文对比】
点击图片查看大图
【解读】
根据条文对比,可以看出,对于收集个人信息的合法性要求,《规范》(2020正式稿)删除了原有的“不应收集法律法规明令禁止收集的个人信息”和“不应大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人敏感信息”的要求。
1、删除“不应收集法律法规明令禁止收集的个人信息”的要求
对于删除“不应收集法律法规明令禁止收集的个人信息”的要求,如法律法规已经明令禁止收集某类个人信息,个人信息控制者本就应该遵循相应法律法规的规定。以征信业务为例,《征信业管理条例》第十四条明确规定,禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。也就是说,行政法规明确禁止征信机构在征信业务中收集前述个人信息。
2、删除“不应大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人信息”的要求
对于删除“不应大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人信息”的要求,意味着,从字面意思理解,个人信息控制者可以大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人信息。但需要指出的是,Facebook数据泄露事件为全世界敲响了警钟,大规模收集我国公民的前述信息,一旦泄露或被不法分子加以非法利用,很容易给我国国家安全、社会稳定和民族团结造成严重威胁。建议企业从实际业务需求出发,在确为业务开展所必需的情况下,方可大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人信息。如收集该等信息,应加强对该等个人信息的安全保护,尽可能防止其被窃取、泄露或其他个人信息安全事件的发生,以减少对我国国家安全、社会稳定和民族团结的潜在威胁。
此外,需要指出的是,《规范》(2020正式稿)保留了不应公开披露前述信息分析结果的要求,即第9.4g)条要求“不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果”。这就意味着,企业可以收集我国公民的种族、民族、政治观点、宗教信仰等个人信息,但不应将该等信息的分析结果进行公开披露,其目的主要也是在于减少对我国国家安全、社会稳定和民族团结的潜在威胁。
主要变化二:新增及强化个人生物识别信息的收集、存储和共享转让的要求
【条文对比一】
点击图片查看大图
【解读】
《规范》(2020正式稿)新增了对收集个人生物识别信息的要求。
在探讨对收集个人生物识别信息的要求前,我们需要先来探讨一个问题,为什么要新增对个人生物识别信息的强化保护?《信息技术 安全技术 生物特征识别信息的保护要求(征求意见稿)》在其引言部分指出了个人生物识别信息需要加以保护的原因。简单来说,一方面,个人生物识别信息用于身份鉴别有其独特优势,比如手机指纹解锁、人脸解锁、人脸支付、声音锁等。因为一般来说个人生物识别信息难以或不可能发生变化、与个人密切绑定且不同人的信息不一致;但另一方面,也正因为个人生物识别信息难以或不可能发生变化、与个人密切绑定,其一旦出现被泄漏、被窃取等安全事件,通常的更改密码、发新令牌等身份鉴别更新措施都难以奏效,也很容易给个人信息主体造成财产损失、名誉损失等严重后果。之前出现的小学生用照片刷开了某智能快递柜、换脸软件“ZAO”引发的对刷脸支付安全性的担忧,都与个人生物识别信息的应用直接相关。基于此,需要对个人生物识别信息进行强化保护。
对于收集个人生物识别信息的要求看,包括告知方式、告知内容和同意方式三个要点:(1)告知方式,单独告知;(2)告知内容,收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则;(3)同意方式,明示同意。
从理解适用角度,只将个人生物识别信息的相关规则放置在个人信息保护政策中,可能已经无法满足《规范》(2020正式稿)的要求。可供参考的模式为,企业对个人生物识别信息制定单独的个人生物识别信息保护政策或个人生物识别信息保护说明,在实际开始采集个人生物信息前弹窗告知个人生物识别信息保护的简要规则并放置完整版个人生物识别信息保护政策或个人生物识别信息保护说明的链接,通过用户手动点击确认弹窗内容来获得用户的明示同意。但是否确切能够满足《规范》(2020正式版)的要求,还有待实践的进一步探索和监管部门的进一步意见。
【条文对比二】
点击图片查看大图
【解读】
《规范》(2020正式稿)对存储个人生物识别信息,提出了较《规范(征求意见稿)》(2019.10.22版)更为严格的要求。
《规范》(2020正式稿)明确了原则上不应存储原始个人生物识别信息(如样本、图像等)的要求。这意味着,不存储原始个人生物识别信息是原则要求,一般来说不得突破该要求。如果想要存储原始个人生物识别信息,需要有特别充分的依据。什么能够算是特别充分的依据?注3给出了一种依据,个人信息控制者履行法律法规规定的义务相关的情形除外,也就是说为了履行法律法规规定的义务可以存储原始个人生物识别信息,这个适用条件可以说已经很严苛了。
《规范》(2020正式稿)对存储个人生物识别信息提供了更多的路径参考。第一条可选路径,在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能,意味着个人生物识别信息存储在用户的手机等采集终端,身份识别、认证等动作在用户的手机等终端上完成,而不需要将个人生物识别信息传送至企业,企业接收的只是该等信息验证的结果。比如,支付宝在其《隐私政策》(2019.12.11生效版本)中列明“您需在您的设备上录入您的指纹信息或面容ID信息,在您进行指纹支付或面容ID支付时,您需在您的设备上完成信息验证。我们仅接收验证结果,并不收集您的指纹信息或面容ID信息。”第二条可选路径,在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。意味着采集了个人生物识别信息的原始图像用于识别身份、认证等,但用完就删除原始图像,简单来说就是采集以后用了,用完就删除了。从删除时间来说,宜在用完个人信息后立即删除。
《规范》(2020正式稿)强调了个人生物识别信息摘要信息的不可逆性,即要求无法自摘要信息回溯到原始信息。如果摘要信息能够回溯到个人生物识别信息的原始信息,摘要的意义将不复存在,也是对不应存储原始个人生物识别信息(如样本、图像等)的原则要求的规避。
【条文对比三】
点击图片查看大图
【解读】
《规范》(2020正式版)新增了对个人生物识别信息共享、转让的要求。
从要求看,不共享、转让个人生物识别信息为原则,确需共享、转让需符合以下四个条件要求:(1)必要性,确因业务需要。也就意味着,共享转让个人生物识别信息需要经得起必要性的检验,在面临监管检查和公众质疑时需要有足够的业务需要作为支撑;(2)告知方式,单独告知;(3)告知内容,告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等;(4)同意方式,明示同意。
从理解适用角度,可供参考的模式为,如确需对外共享、转让个人生物识别信息的,在个人生物识别信息保护规则或说明中告知用户前述需要告知的内容,并通过征得用户对个人生物识别信息规则的明示同意的方式,来满足这里对于共享、转让个人生物识别信息的明示同意要求。但是否确切能够满足《规范》(2020正式版)的要求,还有待实践的进一步探索和监管部门的进一步意见。
主要变化三:新增采用密码技术宜遵循密码管理相关国家标准的要求
【条文对比】
点击图片查看大图
【解读】
《规范》(2020正式版)新增采用密码技术宜遵循密码管理相关国家标准的要求,按照该等国家标准执行有助于规范密码技术的使用、提高密码的防护能力,更好地保障个人敏感信息的安全。《密码法》已于2020年1月1日生效,其第二十二条强调了建立和完善商用密码标准体系的要求、第二十四条直接指出了“商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码强制性国家标准以及该从业单位公开标准的技术要求。国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。”可以看出,密码管理相关国家标准的重要性。企业应予以学习、研究和应用。
主要变化四:将“隐私政策”调整为“个人信息保护政策”
【条文对比】
点击图片查看大图
【解读】
《规范》(2020正式版)将过去版本使用的“隐私政策”和实践中习惯使用的“隐私政策”调整为了“个人信息保护政策”。
从“隐私政策”调整为“个人信息保护政策”,原因有二:
一、个人信息与隐私的范围不一致,对此基本达成了共识。《民法典》(草案)第四编人格权第六章的名称为“隐私权和个人信息保护”,将隐私权和个人信息保护进行了明确区分,其中第一千零三十二条第二款规定“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”,第一千零三十四条第二款规定“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。”而对一千零三十四条第三款则更加直接地说明了隐私和个人信息的关系,“个人信息中的私密信息,同时适用隐私权保护的有关规定。”也就是说,个人信息中的私密信息属于隐私信息,除私密信息外的个人信息不属于隐私信息。
二、实践中惯用的“隐私政策”,规定的内容实际是对个人信息的保护政策,而非专门针对隐私的保护政策。翻阅各个网站、App的隐私政策,其内容基本围绕对全部个人信息的收集、使用、存储、对外提供、个人信息主体权利保护等个人信息的相关保护内容,而对仅针对隐私信息。
因此,从“隐私政策”调整为“个人信息保护政策”,表面上是对政策文本名称的简单变化,但实际上确实将政策文本的适用范围界定得更加严谨、准确。
主要变化五:将个人信息主体的权利作为专门的条款要求
【条文对比】
点击图片查看大图
【解读】
《规范》(2020正式稿)将个人信息主体的权利相关内容,从原来的放置在“个人信息的使用”版块下调整为作为单独条款,结构更加严谨、个人信息主体权利相关内容更加突出。这样的行文安排,与《网络安全法》分别将个人信息使用相关要求规定在第四十一条、将个人信息主体权利相关要求规定在第四十三条,《App违法违规收集使用个人信息行为认定方法》分别将个人信息使用相关要求规定在第三条、将个人信息主体权利相关要求规定在第六条的立法思路保持一致。
主要变化六:优化个人信息主体注销账户的相关规定
【条文对比】
点击图片查看大图
【解读】
《规范》(2020正式稿)放宽了人工处理注销账号的时间要求,提高了“不应注销单个账户视同注销多个产品或服务”的可执行性。
从人工处理注销账号的时间要求看,《规范》(2020正式稿)将时限从十五天放宽至十五个工作日,与《App违法违规收集使用个人信息行为认定方法》第6.3条保持基本一致,有利于企业更好地处理用户注销过程中遇到的复杂问题。
对于提高“不应注销单个账户视同注销多个产品或服务”的可执行性,有助于更好地缓解实践中集团使用一个通用账号下,在现有账号体系下如果注销一个账号确实可能导致的注销多个产品或服务的矛盾。实践中,有部分企业,为了方便用户登录、提高用户使用集团内部不同产品或服务的便利,费了周折后打通了账号体系,使用通用账号可以登录集团内部所有的产品或服务。该等通用账号其出发点是好的,但其确实与用户注销账号时注销一个通用账号可能导致该集团所有产品或服务都无法使用产生了矛盾,而用户注销账号的本意可能也只是不想使用某一个产品或服务。从用户体验角度,注销一个账号导致所有产品或服务都无法使用,用户可能会产生“被逼迫”或者“店大欺客”的想法。对此,《规范》(2020正式稿)增加了两个注的内容,提供了可行性的执行建议。
主要变化七:放宽第三方接入管理的部分要求
【条文对比】
点击图片查看大图
【解读】
《规范》(2020正式稿)放宽了第三方接入管理中对于核验第三方征得个人信息主体同意的方式的要求,删去了“妥善留存、及时更新第三方产品或服务建立响应个人信息主体请求和投诉等的机制”的要求。
从放宽了第三方接入管理中对于核验第三方征得个人信息主体同意的方式的要求看,只有在必要时企业才需要进行核验,而不再要求必须核验,一定程度上减轻了企业的负担。对于“必要”的理解,宜理解为收到用户对于第三方未经同意收集使用个人信息的投诉、第三方被爆出违法违规收集使用的相关新闻或者监管通报第三方存在违法违规收集使用个人信息等情形。
从删去“妥善留存、及时更新第三方产品或服务建立响应个人信息主体请求和投诉等的机制”的要求看,减少了可能产生的歧义理解和操作中的困难,将确保个人信息主体能够表达权利请求和投诉等的要求,强化在了第三方这一主体身上。
主要变化八:放宽任命专职个人信息保护负责人和个人信息保护工作机构的部分条件
【条文对比】
点击图片查看大图
【解读】
《规范》(2020正式稿)将处理个人敏感信息即需要设立专职的个人信息保护负责人和个人信息保护工作机构,放宽至处理超过10万人的个人敏感信息。实践中,并非多数企业都能触发列举的前两个从业人员规模、处理个人信息数量要求,但一般来说,涉及收集使用个人信息的企业,大多数都会涉及到处理个人敏感信息。如果按照处理个人敏感信息即需要设立专职的要求,可以说,多数企业均需要设置个人信息保护专职负责人和工作机构。而放宽至处理超过10万人的个人敏感信息,能够将一部分企业筛除在外,提高了该等要求的可执行性和科学性。
主要变化九:新增建立自动化审计系统的要求
【条文对比】
点击图片查看大图
【解读】
《规范》(2020正式稿)在第11.3条沿用了此前对于个人信息处理活动记录的要求,在第11.7条新增建立自动化审计系统的要求,旨在为监测记录个人信息处理活动提供技术保障。对于自动化审计系统的理解,以个人信息存储在云上为例,部分云服务商提供了数据库审计的服务,可以考虑作为这里的自动化审计系统使用。但是否确切符合《规范》(2020正式稿)规定的自动化审计系统要求,有待监管部门的进一步意见。
第二部分、企业最关心的两大问题
问题一、《个人信息安全规范》GB/T 35273-2020的修订历程
点击图片查看大图
问题二、《个人信息安全规范》GB/T 35273-2020的效力
与《个人信息安全规范》GB/T 35273-2017一样,《规范》(2020正式稿)仍然为推荐性国家标准,不具有强制执行力。但相信随着《个人信息安全规范》GB/T 35273-2017的发布和实施,大家已经充分认识到《个人信息安全规范》的实际影响力。
正如《个人信息安全规范》第1条范围中指出的“本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估”,《个人信息安全规范》的作用和影响包括但不限于:
第一,《个人信息安全规范》是监管部门开展App相关执法工作的重要依据。2019年3月15日,市场监管总局、中央网信办公告决定开展App安全认证工作。在监管部门公开的《移动互联网应用程序(App)安全认证实施规则》中,《个人信息安全规范》及相关标准、规范被确定为App安全认证的认证依据,明确将被用于App安全认证工作之中,充分体现了监管部门对《个人信息安全规范》等相关标准的认可态度。
第二,《个人信息安全规范》也是个人信息保护相关立法文件的重要参考。2019年出台的《App违法违规收集使用个人信息自评估指南》、《儿童个人信息网络保护规定》、《App违法违规收集使用个人信息行为认定方法》等正式文件和《数据安全管理办法(征求意见稿)》等相关规定的征求意见稿,均在一定程度上沿用了《个人信息安全规范》对个人信息控制者的相关要求及背后的立法精神。
结 语
《个人信息安全规范》(GB/T 35273-2020)的正式发布,一定程度上反映了个人信息保护相关问题的最新监管态度,同时对最新形势下个人信息保护面临的问题,直接进行了响应并提出了有益的合规参考。可以说,继《个人信息安全规范》(GB/T 35273-2017)之后,《个人信息安全规范》(GB/T 35273-2020)将开启我国个人信息保护工作的新篇章。建议各企业高度重视《个人信息安全规范》(GB/T 35273-2020)的相关规定,系统对照和梳理个人信息保护工作的开展现状,尽快开展查漏补缺,切实提高个人信息保护的能力,更好地满足个人信息保护的合规要求。
扫描二维码可查看《规范》(2020 正式稿)与《规范(征求意见稿)》(2019.10.22 版)全文比对