全景解读2020版《个人信息保护规范》重要变化
全景解读2020版《个人信息保护规范》重要变化
修订过程
就2018年5月生效的《个人信息安全规范》(GB/T 35273-2017, 下称“2017版规范”),信安标委分别在2019年2月、6月和10月先后多次发布了征求意见稿,对这项刚开始实施不久的国家标准进行修订。历经多次征求意见,2020版(GB/T 35273-2020)于2020年3月6日正式发布,并将于2020年10月1日正式实施。
与2017版相比,2020版规范从整体结构到具体要求均进行了调整,更加贴近行业实践,增强了企业合规工作的可操作性。修订内容结合了APP治理工作组的动向,对于个人信息保护的热点问题,例如人脸识别信息的收集处理等,进行了回应;在业务功能的自主选择、授权同意的例外、用户画像使用和定向推送等方面力图实现保护个人信息主体权益与数据合理商业利用的平衡;同时,也就信息委托处理、转让、共享与平台接入第三方等方面提出了更高的合规要求,新增了个人信息安全工程以及处理活动记录等良好实践要求。我们将会在下文对2017年版与2020年版规范正文进行对比分析,以帮助企业更好地了解制度沿革和未来的立法、执法趋势。
正文及解读
(一)整体结构
从目录和结构来看,2020版标准与2017版有以下重大区别:
点击图片可查看大图
除上述主要标题和结构调整之外,具体要求的调整详见下节分析(其中蓝色字体表示在原基础上扩展增加的内容,绿色字体表示在原基础上有变化调整的内容,红色字体表示新增内容)。
(二)具体要求
1、定义与原则
主要修订说明:将用户画像等加工后信息纳入个人信息和个人敏感信息的定义中,新增个性化展示和业务功能;微调原则的表述与网络安全法实现更优衔接。
1.1 定义
点击图片可查看大图
1.2 原则
点击图片可查看大图
2、 个人信息的收集
主要修订说明:增加自主选择业务功能以及配套实现方法(附录C以及最小必要、告知同意标准),整合个人信息授权同意要求,新增个人生物识别信息的单独同意要求,调整隐私政策类文件的名称和定位,明晰征得授权同意例外。
点击图片可查看大图
3、 个人信息的存储
主要修订说明:新增存储时间最小化例外,加强与密码管理标准衔接,新增个人生物识别信息的具体存储要求。
点击图片可查看大图
4、 个人信息的使用
主要修订说明:使用中新增用户画像、个性化展示以及汇聚融合的要求,加强了对于自动决策机制的约束,对实务热点进行回应。
点击图片可查看大图
5、 个人信息主体权利
主要修订说明:新版独立成节,细化注销账户的具体要求,修订响应主体行权请求的规定。
点击图片可查看大图
6、 个人信息委托处理、共享、转让、公开披露
主要修订说明:强化对于控制者对于处理者的监督与约束;删除不能共享转让的原则并细化共享转让的具体要求;新增个人生物识别信息共享转让的具体要求;新增不应公开披露我国公民个人敏感信息的分析结果;增加对于共享、转让的例外规定;强调共同控制者的责任承担;新增平台接入的第三方管理。
点击图片可查看大图
7、 个人信息安全事件
主要修订说明:新增损害合法权益作为告知个人信息主体的前置条件。
点击图片可查看大图
8、 组织的个人信息安全管理要求
主要修订说明:管理方面新增个人信息保护负责人的资质要求;调整需要设立负责人/机构的规模标准;新增各项管理措施从制定管理计划、督促问题整改、设置举报途径、配置充分资源、加强与监管沟通等方面的具体要求,切实实现合规管理。具体制度方面结合良好实践新增个人信息安全工程和个人信息处理活动记录的要求,调整和细化个人信息安全影响评估、人员管理和培训以及审计的要求。
点击图片可查看大图
9、 特殊说明
以上小节均为按照个人生命周期为逻辑进行比较,分析过程中我们注意到某些事项的要求纵贯多个章节,例如个人生物识别信息,我们特此进行分析,以更好的理解新版标准的修订逻辑。
9.1 个人生物识别信息
点击图片可查看大图
关于个人生物识别信息的规定是2020版本最新加入的内容,个人生物识别信息属于个人敏感信息,该等信息的应用场景往往对于个人信息主体有重大影响,所以从收集、存储、共享转让等多个环节企业均需谨慎对待。
9.2 例外情形
点击图片可查看大图
2020年新版对于征得授权同意、权利响应、共享转让等环节的例外情形均进行调整,最明显的调整在于贯穿始终的“与个人信息控制者履行法定义务相关的情形”,对于原来“法律法规另有规定除外”的概括描述进行了更为准确的限缩。此外,为了避免个人信息控制者在实务中将包括隐私政策在内的个人信息保护政策当做合同以适用履行合同必要的例外,2020版规范亦通过注释对于该等情形进行排除。
总结和建议
2020版规范对于2017版标准颁布以来个人信息保护合规实践中的热点问题以及相关立法与执法的趋势进行了明确响应,更加注重保障个人信息主体的权益,结合企业实践调整了授权同意及其例外、第三方管理中的责任承担以及组织管理的数据合规具体要求的规定,针对用户画像、个性化展示、自动化决策、个人生物识别信息等事项进行了新增设计,提高了实操性和可行性,力求在促成企业对于数据的合理利用的同时保障个人信息主体的权利。
规范作为推荐性国家标准,并没有法律上的强制执行力。尽管如此,我们仍认为规范在企业的网络安全合规中具有很高的参考意义。近两年来,自规范发布以来,其多项要求和设计已体现在包括《儿童个人信息网络保护规定》、《App违法违规收集使用个人信息行为认定方法》、《互联网个人信息安全保护指南》、《个人金融信息保护技术规范》、《数据安全管理办法(征求意见稿)》等在内的多项部门规章、规范性文件、国家推荐标准以及执法指南中。2020版规范反映了最新的监管趋势,建议相关企业可以根据新版规范,对于自身的个人信息保护实践进行审视,不断优化和提升数据合规能力。
扫描二维码可查看
《全景解读2020版<个人信息安全规范>重要变化》pdf版原文