查看原文
其他

聚焦《个人信息安全规范(征求意见稿)》十大主要变化

刘新宇 等 中伦视界 2022-03-20

作者:刘新宇 宋海新 张功俐

2019年6月25日,全国信息安全标准化技术委员会(以下简称“信安标委”)发布《关于国家标准<信息安全技术 个人信息安全规范>征求意见稿征求意见的通知》,对《信息安全技术 个人信息安全规范(征求意见稿)》(以下简称“《规范(征求意见稿)》”)公开征求意见。征求意见截止时间为2019年08月08日。


继2019年2月1日信安标委对《信息安全技术 个人信息安全规范(草案)》(以下简称“《规范(草案)》”)征求意见之后,信安标委将草案进行完善形成征求意见稿,再次公开征求意见。为了帮助大家快速了解《个人信息安全规范》从草案到征求意见稿的变化,接下来,将通过对比解读的方式,为大家梳理《规范(征求意见稿)》的十大主要变化。文章最后附上了《规范(征求意见稿)》和《规范(草案)》的逐条对比表格,供大家参考。


十大主要变化速览


序号

主要变化

1

新增“业务功能”的定义

2

调整收集个人信息的告知内容,并基于一项还是多项业务功能的不同决定是否可以只通过隐私政策进行告知同意

3

对隐私政策的要求进行删减和优化

4

新增履行与个人信息主体的合同所必需作为征得授权同意的例外情形

5

新增用户画像的使用限制

6

新增对信息系统自动决策的安全影响评估要求和涉及申诉的决策结果的人工复核要求

7

不再强调个人信息跨境传输需进行安全评估

8

不再单独强调对个人信息控制者在大量个人信息和重要数据发生泄漏、毁损、丢失情况时的报告要求

9

新增关于个人信息安全工程的规定

10

个人敏感信息判定中,新增“通讯录、好友列表、群组列表”作为个人敏感信息举例,删除“个人电话号码”、“邮箱地址及与前述有关的密码”等内容


十大主要变化具体解析


主要变化一

新增“业务功能”的定义


条文对比

《规范(草案)》

《规范(征求意见稿)》

无相关要求

3.16 业务功能 business function

满足个人信息主体的具体使用需求的业务或功能。如地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、快递配送、交通票务等。


解读

业务功能的明确界定,是评估业务功能是否与收集个人信息相对应和是否符合必要性要求的基础。《APP违法违规收集使用个人信息自评估指南》(以下简称“《APP个人信息自评估指南》”)评估项2的第5个评估点和《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(以下简称“《移动互联网应用必要信息规范》”)第二部分第2条,先后对“业务功能”进行了定义。


《规范(征求意见稿)》新增对业务功能的定义,沿用了《移动互联网应用必要信息规范》的定义,界定了业务功能的划分标准,完善了之前未对业务功能进行划分的缺憾,也一定程度上限制了企业为了收集个人信息而强行将所收集信息与某项自主定义的“业务功能”进行对应的行为。


主要变化二

调整收集个人信息的告知内容,并基于一项还是多项业务功能的不同决定是否可以只通过隐私政策进行告知同意


条文对比

《规范(草案)》

《规范(征求意见稿)》

5.4  收集个人信息时的授权同意

对个人信息控制者的要求包括:

a)    收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则(例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全 能力、对外共享、转让、公开披露的有关情况等),并获得个人信息主体的授权同意;

5.4 收集个人信息时的授权同意

对个人信息控制者的要求包括:

a)    收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围,并获得个人信息主体的授权同意;

注1:如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过隐私政策的形式,实现向个人信息主体的告知;产品或服务提供多项收集、使用个人信息的业务功能的,除隐私政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响。

注2:符合本标准5.3和5.4a)要求的实现方法,可参考附录C。


解读

从《规范(草案)》详细地规定收集个人信息的告知范围,到《规范(征求意见稿)》规定告知收集、使用个人信息的目的、方式和范围,收集个人信息的告知内容进一步得到调整,赋予了企业更多的主观能动性,一定程度上解决了因详细列示告知内容且部分内容可执行性较困难等给企业造成的困扰。


《规范(征求意见稿)》新增了基于区分一项还是多项业务功能,决定是否可以只通过隐私政策进行告知同意还是需要在实际开始收集特定个人信息时通过交互界面或设计再次进行告知同意。该规定考虑了不同发展阶段和业务特点的企业的不同情况,但实际上重点明确了对大部分拥有多项业务功能的企业而言,仅仅通过隐私政策来获取用户的授权同意不足以满足授权同意的要求,除制定隐私政策外,需要在隐私政策之后实际开始收集个人信息时通过交互界面或设计来再次征得用户的授权同意。


需要探讨的是,《规范(征求意见稿)》的注2不仅明确了本条即第5.4a)条的实现方法,还明确了第5.3条的实现方法。在第5.4 a)条注的部分明确第5.3条的内容是否合适,有待进一步商榷。


主要变化三

对隐私政策的要求进行删减和优化


条文对比

《规范(草案)》

《规范(征求意见稿)》

5.6   隐私政策的要求

对个人信息控制者的要求包括:

a) 应制定隐私政策,内容应包括但不限于:

1) 个人信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等

……

4) 个人信息收集方式、频率、存放地域、存储期限、涉及数据出境情况等个人信息处理规则和实际收集的个人信息范围

……

c) 隐私政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言,并在起始部分提供摘要,简述告知内容的重点。 当对隐私政策内容的理解发生分歧时,采用对个人信息主体合法权益最有利的 理解

5.5 隐私政策

对个人信息控制者的要求包括:

a)    应制定隐私政策,内容应包括但不限于:

1)    个人信息控制者的基本情况,包括主体身份、联系方式

……

3)    个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则

……

c)    隐私政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言;


解读

第一点,限缩隐私政策中关于个人信息控制者的基本情况的告知内容。从《规范(草案)》详细地规定需告知的个人信息控制者的基本情况,到《规范(征求意见稿)》规定仅告知个人信息控制者的主体身份和联系方式的变化,是对众多企业就该条款提出的完善意见的响应。《规范(草案)》发布后,针对需告知的个人信息控制者的基本情况的内容产生了广泛的关注和讨论,从可执行性角度涉及到集团公司隐私政策统筹安排、相关负责人联系方式公开可能造成的困扰、负责人可能频繁变更、多个办公地址等问题。《规范(征求意见稿)》的调整,提高了本条要求的可执行性,从联系方式角度理解,不再限制是相关负责人的联系方式,意味着可以使用客服电话、个人信息保护专用客服电话、个人信息保护部门联系电话等。


第二点,调整了个人信息收集方式等个人信息处理规则要求。《规范(征求意见稿)》删除了隐私政策中告知个人信息收集频率、存放地域和实际收集的个人信息范围的要求,可执行性也得以进一步提高。值得商榷的是,这里不再强调明确存放地域,与《APP个人信息自评估指南》评估项3第10 个评估点要求的明确个人信息存放地域(国内、国外)存在不一致之处,而且从实践的角度看,明确存放地域是国内还是国外似乎不会明显增加企业的合规成本。


第三点,删除了起始部分提供摘要简述告知隐私政策内容的重点的要求。《规范(征求意见稿)》不再强制要求起始部分提供摘要,为企业提供了更多的弹性空间,降低了强制要求起始部分提供摘要可能给企业造成的困扰。


第四点,删除了隐私政策理解内容采用对个人信息主体合法权益最有利的理解的要求。隐私政策理解内容采用对个人信息主体合法权益最有利的理解,蕴含着将隐私政策作为格式文本理解的意味。在尚无法对隐私政策进行准确定性的情况下,通过国家标准来进行定性存在不尽合理之处,众多企业的反对声音也比较强烈。因此,《规范(征求意见稿)》删去了该项要求,不失为审慎之举。


主要变化四

新增履行与个人信息主体的合同所必需作为征得授权同意的例外情形

条文对比

《规范(草案)》

《规范(征求意见稿)》

无相关内容

5.6 征得授权同意的例外

以下情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意:

……

g)    根据个人信息主体要求签订和履行合同所必需的;

注:隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为本条中的合同。


解读

新增履行与个人信息主体的合同所必需作为征得授权同意的例外情形,实际借鉴了欧盟GDPR第六条对个人信息处理六项合法事由的要求。欧盟GDPR六项处理个人信息合法事由中,第二项即为处理是为向身为合同当事人的数据主体履行合同所必须的,或在缔约前,应数据主体的要求所必须采取的步骤。


从《网络安全法》及相关配套规定看,我国关于个人信息处理的合法事由还是个人同意。履行与个人信息主体的合同所必需作为征得授权同意的例外情形,是否存在突破上位法依据的情况有待进一步讨论。从执行角度看,本条通过注的形式将隐私政策排除在本条规定的“合同”之外,限制开展了多项业务功能的企业将隐私政策解释为合同进而将本条作为需要再次通过交互界面或设计获得用户授权同意的例外情形的解释空间。


值得进一步探讨的是,首先,此处的“合同”应该如何界定,是否需限定在业务有关的合同,如金融理财场景下的用户投资服务协议、快捷支付协议等?其次,就是当合同所必须与用户真实自主意愿发生冲突时,此条的适用前景如何,如用户基于可以记录运动数据的考虑购买了电子手环,但电子手环生产商在合同中明确了需要将该等运动数据传输至境外,而用户不想将数据传输至境外,该等冲突场景是否适合使用本条将用户同意排除在外?最后,“必需”如何界定,谁来界定?如果企业或者用户自行界定,该条很明显存在滥用的可能性;如果由相关主管部门来界定,界定到什么程度、界定的工作量等,都是需要考虑的问题。


主要变化五

新增用户画像的使用限制


条文对比

《规范(草案)》

《规范(征求意见稿)》

无相关内容

7.4 用户画像的使用限制

对个人信息控制者的要求包括:

a)    用户画像中对个人信息主体的特征描述,不应:

1)    包含淫秽、色情、赌博、迷信、恐怖、暴力的内容;

2)    表达对民族、种族、宗教、残疾、疾病歧视的内容。

b)    在业务运营或对外业务合作中使用用户画像的,不应:

1)    侵害保护公民、法人和其他组织的合法权益;

2)    危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。

c)    除为达到个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。


解读

新增用户画像的使用限制,旨在更好地规制使用用户画像过程中可能产生的违反法律法规、公序良俗和意识形态要求等的情形。


值得指出的是,“7.4a)2) 表达对民族、种族、宗教、残疾、疾病歧视的内容”,该项要求在内部讨论过程中对规制目的和措辞表述进行了优化,因为民族、种族、宗教、残疾、疾病等个人信息主体的特征本身可能并不会包括歧视的内容,不宜直接禁止使用该等特征对个人信息主体进行标注,但如果使用该等特征对用户进行信用评分差异对待等用户画像时进行歧视,则为该项要求所禁止。

 

主要变化六

新增对信息系统自动决策的安全影响评估要求和涉及申诉的决策结果的人工复核要求


条文对比

《规范(草案)》

《规范(征求意见稿)》

7.12 约束信息系统自动决策

当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时(例如基于用户画像决定个人征信及贷款额度,或将用户画像用于面试筛选),个人信息控制者应向个人信息主体提供申诉方法。


7.7 信息系统自动决策机制的使用

个人信息控制者业务运营所使用的信息系统,具备自动决策机制且能对个人信息主体权益造成显著影响的(例如自动决定个人征信及贷款额度,或用于面试人员的自动化筛选等),应:

a)    在规划设计阶段或首次使用前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施

b)    在使用过程中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果改进保护个人信息主体的措施

c)    向个人信息主体提供针对自动决策结果的申诉渠道,并对自动决策结果进行人工复核


解读

新增对信息系统自动决策的安全影响评估要求,具体包括规划设计阶段或首次使用前开展评估和在使用过程中定期(至少每年一次)开展个人信息安全影响评估。新增此项要求的主要原因在于信息系统自动决策的基础之一是收集与评估大量且多维度的个人信息,通过事前和事中加强安全评估并采取相应安全措施,能够一定程度上降低个人信息的安全风险。


涉及申诉的决策结果增加人工复核的要求,更加强调了对个人信息主体负责的态度。本条主要规制的场景就在于自动决策机制能对个人信息主体权益造成显著影响的应用场景,如影响贷款额度的确定、能否进行面试等,在《规范(草案)》强调提供申诉方法的基础上,《规范(征求意见稿)》进一步对涉及申诉的决策结果增加人工复核的要求更有利于保护个人信息主体的切身权益,具有一定的必要性。但需要探讨的问题在于,本条未对需要复核的情况进行更多维度的限定,如果每一个个人信息主体对每一条自动决策结果都提出申诉,势必会激增企业的人工复核负担。


主要变化七

不再强调个人信息跨境传输需进行安全评估


条文对比

《规范(草案)》

《规范(征求意见稿)》

8.8   个人信息跨境传输要求

在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应当按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估,并 符合其要求

8.8 个人信息跨境传输

在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应符合国家网信部门会同国务院有关部门制定的办法和相关标准的要求。


解读

《规范(征求意见稿)》删除了《规范(草案)》中关于个人信息跨境传输需经安全评估的强制要求,而是强调个人信息跨境传输需符合国家网信部门会同国务院有关部门制定的办法和相关标准的要求,有利于与近期发布的《个人信息出境安全评估办法(征求意见稿)》等文件就个人信息跨境传输的规定保持一致。


主要变化八

不再单独强调对个人信息控制者在大量个人信息和重要数据发生泄漏、毁损、丢失情况时的报告要求


条文对比

《规范(草案)》

《规范(征求意见稿)》

9.1   个人信息安全事件应急处置和报告

对个人信息控制者的要求包括:

……

d)发生超过100万人个人信息或者关系国计民生、公共利益的个人敏感信息(例如基因、生物特征信息、疾病等个人敏感信息)泄露、毁损、丢失的安全事件,应按照本条c)的要求将有关情况报网信部门。

(其他条款内容无实质变化,此处略)

9.1   个人信息安全事件应急处置和报告

对个人信息控制者的要求包括:

……

(其他条款内容无实质变化,此处略)


解读

参照《个人信息和重要数据出境安全评估办法(征求意见稿)》及《重要数据识别指南(征求意见稿)》的相关规定,“超过100万人个人信息”属于“大量个人信息”,“关系国计民生、公共利益的个人敏感信息”属于“重要数据”。《规范(征求意见稿)》删除了《规范(草案)》中关于大量个人信息和重要数据发生泄漏、毁损、丢失情况时个人信息控制者的报告要求。


需注意的是,此处的删除并不意味着个人信息控制者无需对该等情形承担相关报告责任。《网络安全法》第二十五条规定“在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”《数据安全管理办法(征求意见稿)》第三十五条规定“发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。”根据前述规定可以看出,发生网络安全事件,依然需要承担相应报告责任,只是不再单独强调大量个人信息和重要数据发生泄漏、毁损、丢失的特殊情形。


主要变化九

新增关于个人信息安全工程的规定


条文对比

《规范(草案)》

《规范(征求意见稿)》

无相关要求

10.2 个人信息安全工程

开发具有处理个人信息功能的产品和服务时,个人信息控制者宜根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。


解读

《规范(征求意见稿)》新增了关于个人信息安全工程的规定,鼓励个人信息控制者在开发具有处理个人信息功能的产品和服务时,宜考虑个人信息保护要求,从而保证系统建设与个人信息保护措施的同步。此规定也呼应了国家互联网信息办公室于2019年5月28日发布的《数据安全管理办法(征求意见稿)》中关于“网络运营者应当严格遵守收集使用规则,网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致,同步调整”的规定。


与《规范(征求意见稿)》同期发布征求意见的《信息安全技术 个人信息安全工程指南(征求意见稿)》,对个人信息安全工程进行了较为细致的规定,可以进行重点参考。


主要变化十

附录B个人敏感信息判定中,新增“通讯录、好友列表、群组列表”作为个人敏感信息举例,删除“个人电话号码”、“邮箱地址及与前述有关的密码”等内容


条文对比

《规范(草案)》

《规范(征求意见稿)》

表B.1   个人敏感信息举例

……

网络身份标识信息

个人信息主体账号、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等的组合

……

其他信息

个人电话号码、性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等

表B.1   个人敏感信息举例

……

网络身份标识信息

个人信息主体账号、口令、口令保护答案、用户个人数字证书等的组合

……

其他信息

性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等


解读

《规范(征求意见稿)》新增“通讯录、好友列表、群组列表”作为个人敏感信息举例,删除了《规范(草案)》中“个人电话号码”、“邮箱地址及与前述有关的密码”等内容的举例。值得探讨的是,通讯录是否是个人隐私,在近期开庭的“今日头条被指侵犯个人隐私案”中成为争论的焦点之一。《规范(征求意见稿)》将通讯录作为个人敏感信息举例,会产生怎么样的影响,值得关注和研究。


结语

短短4个月的时间内,从草案到征求意见稿,《个人信息安全规范》的修订工作正在紧张有序的进行。结合近期发布的多部个人信息保护相关规定的征求意见稿,可以看出,个人信息保护工作刻不容缓,企业需要提前做好相应合规准备。

《规范(草案)》VS《规范(征求意见稿)》

长按识别二维码即可阅读

End

 作者简介

刘新宇  律师


上海办公室  合伙人

业务领域:银行与金融, 收购兼并, 诉讼仲裁

宋海新  律师 


上海办公室  金融部

张功俐  律师 


上海办公室  金融部

感谢吴豪雳、夏雯慧对本文的贡献。

作者往期文章推荐:

敲黑板 !《网络安全漏洞管理规定(征求意见稿)》逐条解读

《第一时间 | 一文读懂 <个人信息出境安全评估办法(征求意见稿)>》

逐条解读 | 儿童个人信息保护新规出台》

《互联网贷款导流:业务模式与监管合规》

《地方银保监局下发监管提示函,银行互联网贷款业务路在何方》

《网络借贷 | 您的个人信息安全吗?》

特别声明:

以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。


如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。

点击“阅读原文”,可查阅该专业文章官网版。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存