【律师视点】史蕾：信息保护标准解读系列之三 |《信息安全技术个人信息安全规范》解读

2019年6月25日下午，全国信息安全标准化技术委员会公布了8项国家标准的征求意见稿，其中最引人瞩目的自然为《信息安全技术 个人信息安全规范》。吸引企业法务和数据律师关注的原因，不仅仅因为这是一部指导企业个人信息保护合规实务的红宝书，更因为它于2017年底颁布，2018年5月1日正式实施后，2019年1月31日就发布了汇集专家修订意见的草案（以下简称“2019年草案”），经过了信标委工作组4月宁波会议汇报与研讨，本次正式征求意见又将有哪些变化？

2019年1月31日的修订版草案已经在年初引起了热议，解读的文章也很多。鉴于本次征求意见基本上保留了草案的重大框架调整，我们先大致回顾一下2019年草案的修订内容与意图。

根据官宣，即草案的前言：

对以上2019年草案版的重大变化进一步解读：

1、对收集的“必要性和正当性”原则理解不仅仅是“信息主体的同意”，而是增加了“不得强迫收集个人信息”的专门条款，禁止企业进行功能捆绑或以一揽子授权形式收集个人信息，不仅明确要求应提供关闭或退出业务功能的途径，而且其应与选择使用业务功能的途径同样便捷。

2、2019年草案建议区分基本业务功能和扩展业务功能，提出不同功能的实现收集个人信息同意的形式，作为强迫收集的对抗，其核心目的是保障用户的选择同意权，即基本业务功能所需收集的个人信息为提供基本服务的必要信息，用户不同意收集时企业可以拒绝提供该业务功能；而用户即使不提供扩展业务功能所需的个人信息仍可以使用基本服务。

3、在个人信息的使用方面，2019年草案新增两个内容，即“个性化展示”以及“个人信息的汇聚融合”，并完善了自动化决策机制下的个人信息的使用。但综合来看，实质在于整合梳理了个人信息使用的多种情形，包括访问控制、展示的限制、使用的限制、个性化展示及退出、基于不同业务目的所收集的个人信息的汇聚融合以及自动决策机制的使用。对个性化展示、个人信息汇聚融合，其本质是在顺应目前企业对个人信息利用场景，在明确合规要求的具体要求下助力大数据产业发展。

4、征得授权同意的例外情形中删除了“根据个人信息主体要求签订和履行合同所必需的”，此删除让人冥思苦想，感觉莫名增加了企业的获取授权同意负担。

5、新增“第三方接入管理”，是在不适用委托处理和共同控制的关系之外，对个人信息控制者提出了明确要求，包括安全评估机制，合同义务，向个人信息主体披露第三方服务，留存记录，要求第三方主体满足的多项义务，对第三方自动化工具的检测和行为审计要求等。

6、对个人信息保护负责人和工作机构在人员任职、工作范围与职责的补充和细化，其中新增“应由具有相关管理工作经历和个人信息保护专业知识的人员担任”，“提供必要资源保障独立履行职责”看起来与GDPR项下DPO的规定颇为雷同。

7、新增对“个人信息处理活动的记录”，以“宜”的形式表达记录的良好实践包括：所涉及个人信息类别、数量、来源；根据业务功能和授权情况区分个人信息的处理目的、使用场景，以及委托处理、共享、转让、公开披露、是否涉及出境等情况；与个人信息处理各环节相关的信息系统、组织或人员。

在2019年草案的基础上，刚刚发布的征求意见稿坚持了原有思路，强化了与GDPR的趋同，然而在具有创造性的区分业务功能体例中也给企业合规留下了一些困惑。

1、个人信息安全工程与Privacy by design

征求意见稿中首次提出了“个人信息安全工程”独立条款，这个条款与同期发布的《信息安全技术 个人信息安全工程指南》遥相呼应，要求个人信息控制者在需求、设计、开发、测试等系统工程阶段考虑个人信息保护要求，保护系统建设时的“三同步”，即同步规划、同步建设和同步使用。

熟悉GDPR下业内人士恐怕立刻联想到的“隐私内置（Privacy by design）原则”，根据前言第78段，“隐私内置”机制（Privacy by Design,PbD），要求产品或服务的整个生命周期都贯穿隐私和数据保护。一方面，这种数据保护是“by design”，数据控制者要在技术和成本的考量下，采取技术、制度手段来保证自身业务经营符合GDPR的规定以及数据主体保护的需要；信息服务开发阶段就应当具备隐私保护功能，在信息服务运行阶段应当将个人信息默认设置为不公开( privacy by default) 。这种数据保护的隐私设计需要有默认的两个原则：一是数据采集与数据使用目的的一一对应原则；二是数据采集的最小化原则，包括范围、数量、时间、接触主体。

2、业务功能

新颁布的修订意见新增了3.16关于“业务功能”的定义，并列举了常见的业务功能，如：地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、快递配送、交通票务等。

修订意见摒弃了《2017版个人信息安全规范》中关于“核心功能”和“附加功能”的说法，而采纳“基本业务功能”与“扩展业务功能”，通过一些具体条款的细化，间接认可一个产品或服务可能会有多个“基本功能”。

我们认为，基本业务功能与扩展业务功能的区分目的，是为了满足隐私设计的默认保护原则，从产品设计时就做出功能预判，既体现在不得强迫接受多项业务功能的规定上，也体现在有多个业务功能时是不是通过隐私政策告知同意的方式上，还体现在对隐私政策要求区分各业务功能分别收集的个人信息类型。

同时，在附件C中详细介绍如何区分基本业务功能与扩展业务功能，并对基本业务功能与扩展业务功能的告知和明示同意的实现方法做了示例。

尽管修订意见做了如此多的努力，对“基本业务功能”和“扩展业务功能”的判断还是缺少标准。信标委于5月出版了TC260-PG-20191A　《网络安全实践指南 —移动互联网应用基本业务功能必要信息规范》作为对基本业务功能认定的一个普及参考，但因为所涉及仅仅为16个热门行业和功能，很难覆盖互联网多种业态和多种服务形式，也给企业合规带来了不小的挑战。

3、隐私政策模板

作为《个人信息安全规范》附录D的《隐私政策模板》一直以来都是合规工作对标的重要文件，本次修订意见中做了比较重大的一些调整，相信在正式颁布后会引起隐私政策修订的一段高潮。

1)隐私政策区分不同“业务功能”来阐述个人信息收集使用规则，但是在某一具体业务功能之下，又重新回到了2017年《个人信息安全规范》颁布前将收集哪些个人信息与如何使用个人信息割裂的状态。尽管是在同一业务功能之下，但是按照业务功能的粗狂分类，某一业务功能下仍还会区分具体场景需要精确传递收集具体的个人信息的使用方式和目的。

2)扩展业务功能或者暂时无需使用的基本业务功能，个人信息收集和使用规则是一揽子在隐私政策中描述，还是无需再隐私政策中体现，只需在使用场景下通过功能界面模板获得主体同意？目前无法在隐私政策示范版中看到明确意见。

3)对共享个人信息的公司、组织和个人的信息披露提出新要求，虽然并没有要求在隐私政策中明确披露，但建议通过超链接的形式，了解具体共享情形中涉及的共享方。

4)隐私政策模板新增了近期关于APP调用用户手机权限的治理经验，要求公开说明调用哪些权限和合理必要性。

5)隐私政策原来要求的条款应该包括个人信息控制者的基本情况，包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等，修改为简单的“主体信息和联系方式”。

4、其他

1)将用户同意的例外情形中重新加回“根据个人信息主体要求签订和履行合同所必需的”情形。以说明的形式，将此处的合同排除“隐私政策”

2)对个人敏感信息的示例中，将异议比较大的“邮箱”“个人电话号码”删除，并新增“通讯录、好友列表，群组列表”。

3)补充说明画像不得使用的内容和不得使用画像的方式

个人信息安全规范继续坚持其实操指导的落地风范，在本次修订中进一步体现了与GDPR的核心原则的趋同，而且我们也相信这一原则的实施将最终从源头保护好用户的个人信息。在本规范的征求意见中，如何建立一个可判断的业务功能区分标准，如何引导企业以及用户接受和利用界面同意模板而不流于形式，这两个难点还需来自行业实践的创造性落地，我们拭目以待！

【律师视点】史蕾：网络安全法下漏洞披露规制及美国立法借鉴

【律师视点】史蕾：电商平台“公示”义务有几多？

史蕾，德衡律师集团高级联席合伙人，北京德和衡（深圳）律师事务所互联网合规团队。曾就职于环球资源（NASQ：GSOL）和奇虎360公司法务部，拥有十多年的公司内部法务工作经验。擅长股权激励、公司治理及互联网产品合规风控；专注互联网游戏、直播、互联网教育与出版、大数据和网络安全等行业领域；新三板挂牌及公司治理。主要业绩：为某大数据公司提供用户隐私保护项目提供专项合规筛查服务，并提供整改建议和员工培训；为多家科技类创业公司提供股权激励方案制定；为互联网公司搭建海外融资架构；互联网教育科技企业新三板挂牌项目；代表多家挂牌公司完成新三板定向增发；担任多家公司日常法律顾问。

联系方式

电话：15810040811

邮箱：shilei@deheng.com

更多内容，敬请关注：德衡商法网

www.deheng.com（英文）

www.deheng.com.cn（中文）

德衡律师集团全国免费服务热线：

手机拨打：4001191080

座机拨打：8008600880