实施半年后再修订：《信息安全技术个人信息安全规范》应时而变

陈际红韩璐中伦视界 2020-09-01

修订背景

2019年2月1日，全国信息安全标准化技术委员会（以下简称“信安标委”）发布了《信息安全技术个人信息安全规范（草案）》（以下简称“规范”），面向全社会公开征求意见。本次规范于2018年12月开始修订工作，距离2018年5月正式实施刚过半年，这其实是一件“好事”，说明它是一部“活”的规范。事实上，该规范已经被各个行业和企业在数据合规工作中广泛采用，为企业落地《网络安全法》提供了良好的实践指引，也成为监管部门管理和执法的重要参考依据。

本次修订也是对新近相关立法的接轨。于2019年元旦正式实施的《电子商务法》规定，电子商务经营者“根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的，应当同时向该消费者提供不针对其个人特征的选项”。在此原则性规定的基础上，本次规范新增个性化展示及退出的相关机制，进一步细化电子商务及其他应用场景下对于个性化展示的操作规则，明确了产品及服务提供者利用其信息优势向用户定向推送时应当履行的合规义务。

与此同时，本次修订亦是对现今技术快速发展的积极回应。针对同一场景中多个企业都能同时获得用户个人信息的场景，规范在之前“委托处理”、“共同个人信息控制”两类场景的基础上，增加了日常生活中已十分常见的平台接入/嵌入第三方产品或服务的技术应用场景，为新型技术应用如何规范个人信息的收集和使用提出了切实可行的实操建议。

更为重要的是，本次修订也是对于过去两年执法成果的回应。规范结合了2017年、2018年的隐私评审[1]工作成果，并总结了近一年来规范适用中的经验，对市场上比较集中的几类违反个人信息保护原则的现象，如过度收集用户个人信息，强制授权、“一揽子授权”等突出问题提出了相应的合规标准。

焦点一

区分基本业务功能和扩展业务功能，保障个人信息主体选择同意权

《网络安全法》实施后，为了符合个人信息收集、使用的“明示”+“同意”的原则性要求（第四十一条、第四十二条），一些APP在首次安装时，往往将所有服务和业务功能捆绑在一起，通过用户对隐私政策的接受来获得“一揽子授权”，强迫用户一次性授权同意各项业务功能所收集的多种个人信息。用户若想使用其基本功能，必须全盘接受所有个人信息的收集和使用，否则只能退出软件，用户自身的选择同意权并未得到充分的体现。

本次规范提出产品和服务提供者应当区分产品的基本业务功能和扩展业务功能，明确过度收集、强迫收集、捆绑授权个人信息等乱象不符合法律和监管要求。规范增加了“附录C保障个人信息主体选择同意权的方法”，明确了不同业务功能应用场景下不同的告知和明示统一的方法，并例举了交互式界面的设计模板。

规范要求产品和服务提供者应当根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求，来划定产品或服务的基本业务功能，而不应将改善服务质量、提升用户体验、研发新产品单独作为基本业务功能。当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不得违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。

产品和服务提供者收集基本业务功能所必要的个人信息时，除告知用户所必要收集的个人信息类型外，还应当告知用户拒绝提供授权所产生的影响，即企业可拒绝向用户提供该业务功能。而对于扩展业务功能所需的个人信息，产品和服务提供者应当允许个人信息主体对扩展业务功能逐项选择同意，如个人信息主体不同意收集扩展业务功能收集所必要的个人信息，不得拒绝提供基本业务功能或降低基本业务功能的服务质量。

2019年1月25日中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称“公告”)，决定自2019年1月起至12月，在全国范围组织开展持续时间长达一年的App违法违规收集使用个人信息专项治理行动，旨在解决目前App强制授权、过度授权、超范围收集个人信息等突出问题。其中公告指出，本次专项治理行动将由全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会，组织相关专业机构，编制大众化应用基本业务功能及必要信息规范、App违法违规收集使用个人信息治理评估要点，作为本次评估工作的主要依据。

而本次规范修订正与上述四部门联合开展个人信息专项治理的工作要求相一致，为公众提供了区分基本业务功能和扩展业务功能的判断标准及方式，为企业自查及合规整改提供了良好指引。

焦点二

明确平台商对于接入的第三方产品或服务收集个人信息的管理义务

2018年5月正式实施的《个人信息安全规范》对“委托处理”、“共同个人信息控制”两类场景的合规操作进行了规定。目前，应用程序中接入/嵌入第三方产品或服务的应用场景十分常见，一旦发生合规漏洞，平台商和第三方往往无法明确双方的责任和义务，而数据主体往往很难去追究第三方产品或服务提供商的责任。为顺应新技术、新产品形态的发展，本次规范结合了行业良好实践及主管部门的监管态度，提出平台商作为个人信息控制者应当履行一定的合规义务，具体如下：

应建立第三方产品或服务接入管理机制和工作流程，必要时应建立安全评估等机制设置接入条件；
应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施；
应妥善留存平台第三方接入有关合同和管理记录，确保可供相关方查阅；
应要求第三方根据本标准相关规定要求向个人信息主体征得收集个人信息的授权同意，核验其实现本项要求的方式；
应要求第三方产品或服务建立响应个人信息主体请求、申诉等的机制，并妥善留存、及时更新，确保个人信息主体查询、使用；
应督促和监督第三方产品或服务提供者加强个人信息安全管理，发现第三方产品或服务没有落实安全管理要求和责任的，应及时督促整改，必要时停止接入；
涉及第三方嵌入或接入的自动化工具（如代码、脚本、接口、算法模型、软件开发工具包、小程序等）的，宜开展技术检测确保其个人信息收集、使用行为符合约定要求，并对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计，发现超出约定行为的及时切断接入。

去年12月，某旅游住宿类应用软件因用户使用平台内嵌小程序时，未向用户告知个人信息收集使用规则，便默认开通会员等问题，被工信部约谈并要求立即整改。可见，对于此类第三方产品或服务嵌入的问题，平台商应尽更为严格的合规义务。建议产品和服务提供商完善相应的管理机制和工作流程，明确双方在个人信息保护合规问题上的责任和义务。

焦点三

新增个性化展示及退出机制

针对目前较为常见的基于用户画像作定向推送、个性化展示等个人信息应用场景，规范首次阐释了“个性化展示”的定义，并细化了相应的操作规则。“个性化展示”是基于特定个人信息主体（用户）的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息，向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。

对于“个性化展示”的操作规则，规范划分为“向个人信息主体推送新闻或信息服务的个性化展示“，”电子商务经营者提供商品或者服务搜索结果的个性化展示“以及普遍意义上”向个人信息主体提供业务功能的过程中使用个性化展示“三大应用场景。其中，针对电子商务场景下的个性化展示，规范与2019年1月1日正式实施的《电子商务法》的立法原则保持一致，即“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益”（《电子商务法》第十八条）。

同时，对于产品推送新闻或提供信息服务的应用，规范要求个人信息控制者应当以显著方式标明“个性化展示”或“定推”等字样向用户明示，并为个人信息主体提供简单直观的退出个性化展示模式的选项。此举一定程度上保证了个人信息主体对于定向推送的自主选择，避免形成信息孤岛。同时，对于普遍意义上的个性化推送，规范还建议个人信息控制者宜建立机制保证个人信息主体可以删除或匿名化处理个性化展示活动所依赖的个人信息。这就从定向推送的深层基础规范了产品或服务提供者对用户画像的控制界限，提出了用户可以拒绝产品或服务提供者收集其个人信息进行特定的画像处理的良好实践模式。

焦点四

细化个人信息安全事件报告制度

《网络安全法》要求网络运营者“在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告“（第四十二条）。《国家网络安全事件应急预案》也对特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件四个等级的网络安全事件应对措施进行了详细规定。

但实践操作中，一旦发生个人信息泄露等安全事件，企业往往无法判断告知个人信息主体及上报监管部门的界限。本次修订试图弥补相应细则的缺失，提出了判断”告知“及”上报“的依据，即通过确认个人信息泄露的程度、对个人信息主体所造成的影响，涉及的个人信息数量（超过100万人的个人信息）和影响范围（关系国计民生、公共利益的）等几个因素来判断。对于像基因、生物特征信息、疾病等个人敏感信息的泄露、毁损、丢失的安全事件，应当向个人信息主体逐一告知，并依照规范的要求向网信部门报告。

焦点五

进一步细化个人信息控制者的组织管理要求

组织措施是数据合规的重要方面。本次修订明确了个人信息控制者应当任命个人信息保护负责人，个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任，参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作，同时要求企业应为个人信息保护负责人和个人信息保护工作机构提供必要的资源，保障其独立履行职责。规范对个人信息保护负责人和个人信息保护工作机构应履行的职责也作了详细规定。

于此同时，规范提倡个人信息控制者建立、维护和更新所收集、使用的个人信息处理活动记录，将所涉及个人信息类别、数量、来源、处理目的、使用场景，以及委托处理、共享、转让、公开披露、是否涉及出境、各环节相关的信息系统、组织或人员等情况形成系统的活动记录，不仅对于企业内部合规整改工作提供参考，更是为企业一旦发生个人信息泄露等安全事件时的责任分担提供有效依据。此要求与GDPR中的数据处理活动的记录要求也是一致的。

去年11月，某知名房地产经纪公司员工冒用客户信息办理北京居住证一案在北京朝阳法院开庭审理。针对房屋中介侵犯客户个人信息的违法行为，法院认为房地产经纪公司主要利用信息优势地位，为房地产市场租售双方提供信息匹配的居间服务，在利用客户信息获取利益的同时，需承担高于一般主体的保管义务。而作为管理者，公司未建立信息安全管理制度和操作规程，未对客户信息安全进行风险提示、未对客户敏感信息进行加密处理，亦未采取任何实际有效的措施防控风险，导致员工可轻易将业主个人信息泄露用于非法目的。本案侵权事实的发生与公司内部监管漏洞直接相关，公司管理存在过错，应承担侵权责任，确定经济损失赔偿金10万元[2]。

基于此案所暴露出的房地产中介行业存在的普遍问题，朝阳法院对北京市住房和建设委员会出具了司法建议书，建议完善房地产中介行业管理制度，并提出房地产中介机构应当建立健全公民个人信息安全管理制度和从业人员信息操作规范，设立信息传输时的加密处理机制。规范履行合同过程中对公民个人信息的保护，明确信息保管的责任人等。

由此可见，产品或服务提供者建立健全内部数据合规体系，尤其是健全个人信息内部操作规范，提高自身的合规审慎义务，已经成为企业必不可少的合规重点。规范在此现实意义下，提倡企业建立、维护和更新所收集、使用的个人信息处理活动记录，并明确了活动记录的具体内容，为企业合规提供了更为详细的指引。

焦点六

个人信息的汇聚融合

所谓个人信息的汇聚融合，对于数据控制者而言，就是把不同产品线、不同来源或基于不同目的所收集的数据聚集在一起，形成“大”数据，以增强企业的数据能力，或者是更好地了解和服务客户。目前在业界“企业平台化”和“市场精准化”的趋势下，数据汇聚融合行为已经非常普遍，也是不可逆转的技术方向。但是，数据的汇聚融合，很有可能侵犯数据主体的合法权益，比如超范围使用、非授权目的的使用等。基于此，规范并没有“封杀”数据汇聚融合，而是提出了具体的要求：

非获得授权业务的必要，一般应采用间接画像；
数据加工处理后，如仍具备个人识别（单独或结合）能力，则还应作为个人信息对待，受授权范围的约束；
如数据的汇聚融合的使用行为超出了已获得授权的范围，则应当重新获得授权；
应根据汇聚融合后个人信息所用于的目的，开展个人信息安全影响评估（PIA）。

焦点七

意外地删除无需征得授权同意之“履行合同必要”的情形

本次规范针对原有个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意的例外情形作了两处修改：在部分，一是将“法律法规规定的其他情形”修改为“与个人信息控制者履行法律法规规定的义务相关的”；二是删除了履行合同必要之例外，即“ 根据个人信息主体要求签订和履行合同所必需的情形”。

对于第一处的修订，我们认为个人信息控制者收集、使用个人信息，将其“征得授权同意的例外”的条件界定为与个人信息控制者履行其法律义务相关而不论其它场景，是合适的，也可以避免该例外的滥用。

对于第二处删除“征得授权同意的例外”之“履行合同必要”，我们认为该修订可能会带来不必要的社会成本。一般情况下，可以认为合同的各方基于履行合同义务而向合同相对方提供签约和履约所必要的个人信息，这是善意履约的表现。于此同时，提供个人信息的一方一般也具有相应的心理预期。在GDPR中也有基于“履行合同必要”而无需另行征得个人信息主体的授权同意的类似规定。尽管有专家质疑此类例外规定与《网络安全法》所确定的“授权同意”规则相冲突，但我们理解所谓的“授权同意”规则，应当既包括书面合同的授权同意，也包括通过实际行为作出的授权同意，签约、履约即是如此，因此它们之间并没有实质性冲突。

同时，我们也担心“履行合同必要”作为“征得授权同意的例外”可能会导致一系列滥用问题，尤其是对于C端消费者面对大平台的情形。对此，我们建议对该例外的适用增加一个条件限定，即：“根据个人信息主体要求签订和履行合同所必需的，且该个人信息的收集和使用符合一般个人信息主体的理解和预期。” 如此，既可以消除滥用之担忧，又便利于商业交易。

结语

《网络安全法》规定了我国个人信息保护的基本框架，即“公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”。国家标准《个人信息安全规范》在此基础上结合国际通用的个人信息和隐私保护理念，提出了“权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与”七大原则，为企业完善内部个人信息保护制度及实践操作规则提供了更为细致的指引，自其正式发布以来被广泛应用于各行各业的合规实践中。尽管《个人信息安全规范》属于国家推荐标准，但其作为监管部门网络安全管理和执法的参考依据的重要性不言而喻。建议企业结合《个人信息安全规范》的良好实践指引，逐步提高个人信息保护水平，为其产品与服务保驾护航。

注：

[1]2017年7月至9月，中央网信办、工信部、公安部和国家标准委针对国内互联网领先企业的10款App组织了首次App隐私政策专项评审工作。2018年12月，全国信息安全标准化技术委员会对40款网络产品和服务的隐私条款进行了2018年隐私条款专项评审工作。

[2] 来源： http://finance.sina.com.cn/chanjing/gsnews/2018-11-20/doc-ihnyuqhi4219644.shtml

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等试听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

作者简介：

陈际红律师

合伙人北京办公室

业务领域：知识产权, 反垄断与竞争法, 科技、电信与互联网

长按识别图中二维码，可查阅该合伙人简历详情。

输12