《个人信息安全规范》:中国版GDPR的趋同与创新
2019年6月25日下午,全国信息安全标准化技术委员会公布了8项国家标准的征求意见稿,其中最引人瞩目的自然为《信息安全技术 个人信息安全规范》。吸引企业法务和数据律师关注的原因,不仅仅因为这是一部堪称“中国版GDPR”的指导企业个人信息保护合规实务的红宝书,更因为它于2017年底颁布,2018年5月1日正式实施后,2019年1月31日就发布了汇集专家修订意见的草案(以下简称“2019年草案”),经过了信标委工作组4月宁波会议汇报与研讨,本次正式征求意见又将有哪些变化?
2019年草案的
重大变化
2019年1月31日的修订版草案已经在年初引起了热议,解读的文章也很多。鉴于本次征求意见基本上保留了草案的重大框架调整,我们先大致回顾一下2019年草案的修订内容与意图。
根据官宣,即草案的前言:
本标准代替GB/T 35273-2017《信息安全技术 个人信息安全规范》,与GB/T 35273-2017相比主要变化如下:
“3 缩略语”中补充了“3.15 个性化展示”;
增加了“5.3 不得强迫收集个人信息的要求”;
修改了“5.7 征得授权同意的例外”;
增加了“7.4 个性化展示及退出”;
增加了“7.5 基于不同业务目所收集的个人信息的汇聚融合”;
增加了“8.7 第三方接入管理”;
修改了“10.1 明确责任部门与人员”;
增加“10.2 个人信息处理活动记录”;
修改了“资料性附录C 保障个人信息主体选择同意权的方法”。
增加了“附录 C.1 区分基本业务功能和扩展业务功能”、“C.2 基本业务功能的告知和明示同意”、“C.3 扩展业务功能的告知和明示同意”。
对以上2019年草案版的重大变化进一步解读:
1、对收集的“必要性和正当性”原则理解不仅仅是“信息主体的同意”,而是增加了“不得强迫收集个人信息”的专门条款,禁止企业进行功能捆绑或以一揽子授权形式收集个人信息,不仅明确要求应提供关闭或退出业务功能的途径,而且其应与选择使用业务功能的途径同样便捷。
2、 2019年草案建议区分基本业务功能和扩展业务功能,提出不同功能的实现收集个人信息同意的形式,作为强迫收集的对抗,其核心目的是保障用户的选择同意权,即基本业务功能所需收集的个人信息为提供基本服务的必要信息,用户不同意收集时企业可以拒绝提供该业务功能;而用户即使不提供扩展业务功能所需的个人信息仍可以使用基本服务。
3、 在个人信息的使用方面,2019年草案新增两个内容,即“个性化展示”以及“个人信息的汇聚融合”,并完善了自动化决策机制下的个人信息的使用。但综合来看,实质在于整合梳理了个人信息使用的多种情形,包括访问控制、展示的限制、使用的限制、个性化展示及退出、基于不同业务目的所收集的个人信息的汇聚融合以及自动决策机制的使用。对个性化展示、个人信息汇聚融合,其本质是在顺应目前企业对个人信息利用场景,在明确合规要求的具体要求下助力大数据产业发展。
4、 征得授权同意的例外情形中删除了“根据个人信息主体要求签订和履行合同所必需的”,此删除让人冥思苦想,感觉莫名增加了企业的获取授权同意负担。
5、 新增“第三方接入管理”,是在不适用委托处理和共同控制的关系之外,对个人信息控制者提出了明确要求,包括安全评估机制,合同义务,向个人信息主体披露第三方服务,留存记录,要求第三方主体满足的多项义务,对第三方自动化工具的检测和行为审计要求等。
6、 对个人信息保护负责人和工作机构在人员任职、工作范围与职责的补充和细化,其中新增“应由具有相关管理工作经历和个人信息保护专业知识的人员担任”,“提供必要资源保障独立履行职责”看起来与GDPR项下DPO的规定颇为雷同。
7、 新增对“个人信息处理活动的记录”,以“宜”的形式表达记录的良好实践包括:所涉及个人信息类别、数量、来源;根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;与个人信息处理各环节相关的信息系统、组织或人员。
2019年征求意见稿
的变化
在2019年草案的基础上,刚刚发布的征求意见稿坚持了原有思路,强化了与GDPR的趋同,然而在具有创造性的区分业务功能体例中也给企业合规留下了一些困惑。
除原有2019年草案中的趋同点外,征求意见稿中首次提出了“个人信息安全工程”独立条款,这个条款与同期发布的《信息安全技术 个人信息安全工程指南》遥相呼应,要求个人信息控制者在需求、设计、开发、测试等系统工程阶段考虑个人信息保护要求,保护系统建设时的“三同步”,即同步规划、同步建设和同步使用。
熟悉GDPR下业内人士恐怕立刻联想到的“隐私内置(Privacy by design)原则”,根据前言第78段,“隐私内置”机制(Privacy by Design,PbD),要求产品或服务的整个生命周期都贯穿隐私和数据保护。一方面,这种数据保护是“by design”,数据控制者要在技术和成本的考量下,采取技术、制度手段来保证自身业务经营符合GDPR的规定以及数据主体保护的需要;信息服务开发阶段就应当具备隐私保护功能,在信息服务运行阶段应当将个人信息默认设置为不公开( privacy by default) 。这种数据保护的隐私设计需要有默认的两个原则:一是数据采集与数据使用目的的一一对应原则;二是数据采集的最小化原则,包括范围、数量、时间、接触主体。
新颁布的修订意见新增了3.16关于“业务功能”的定义,并列举了常见的业务功能,如:地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、快递配送、交通票务等。
修订意见摒弃了《2017版个人信息安全规范》中关于“核心功能”和“附加功能”的说法,而采纳“基本业务功能”与“扩展业务功能”,通过一些具体条款的细化,间接认可一个产品或服务可能会有多个“基本功能”。
我们认为,基本业务功能与扩展业务功能的区分目的,是为了满足隐私设计的默认保护原则,从产品设计时就做出功能预判,既体现在不得强迫接受多项业务功能的规定上,也体现在有多个业务功能时是不是通过隐私政策告知同意的方式上,还体现在对隐私政策要求区分各业务功能分别收集的个人信息类型。
同时,在附件C中详细介绍如何区分基本业务功能与扩展业务功能,并对基本业务功能与扩展业务功能的告知和明示同意的实现方法做了示例。
尽管修订意见做了如此多的努力,对“基本业务功能”和“扩展业务功能”的判断还是缺少标准。信标委于5月出版了TC260-PG-20191A 《网络安全实践指南 —移动互联网应用基本业务功能必要信息规范》作为对基本业务功能认定的一个普及参考,但因为所涉及仅仅为16个热门行业和功能,很难覆盖互联网多种业态和多种服务形式,也给企业合规带来了不小的挑战。
作为《个人信息安全规范》附录D的《隐私政策模板》一直以来都是合规工作对标的重要文件,本次修订意见中做了比较重大的一些调整,相信在正式颁布后会引起隐私政策修订的一段高潮。
隐私政策区分不同“业务功能”来阐述个人信息收集使用规则,但是在某一具体业务功能之下,又重新回到了2017年《个人信息安全规范》颁布前将收集哪些个人信息与如何使用个人信息割裂的状态。尽管是在同一业务功能之下,但是按照业务功能的粗狂分类,某一业务功能下仍还会区分具体场景需要精确传递收集具体的个人信息的使用方式和目的。
扩展业务功能或者暂时无需使用的基本业务功能,个人信息收集和使用规则是一揽子在隐私政策中描述,还是无需再隐私政策中体现,只需在使用场景下通过功能界面模板获得主体同意?目前无法在隐私政策示范版中看到明确意见。
对共享个人信息的公司、组织和个人的信息披露提出新要求,虽然并没有要求在隐私政策中明确披露,但建议通过超链接的形式,了解具体共享情形中涉及的共享方。
隐私政策模板新增了近期关于APP调用用户手机权限的治理经验,要求公开说明调用哪些权限和合理必要性。
隐私政策原来要求的条款应该包括个人信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等,修改为简单的“主体信息和联系方式”。
将用户同意的例外情形中重新加回“根据个人信息主体要求签订和履行合同所必需的”情形。以说明的形式,将此处的合同排除“隐私政策”
对个人敏感信息的示例中,将异议比较大的“邮箱”“个人电话号码”删除,并新增“通讯录、好友列表,群组列表”。
补充说明画像不得使用的内容和不得使用画像的方式
个人信息安全规范继续坚持其实操指导的落地风范,在本次修订中进一步体现了与GDPR的核心原则的趋同,而且我们也相信这一原则的实施将最终从源头保护好用户的个人信息。在本规范的征求意见中,如何建立一个可判断的业务功能区分标准,如何引导企业以及用户接受和利用界面同意模板而不流于形式,这两个难点还需来自行业实践的创造性落地,我们拭目以待!
访问文末左下角点击“阅读原文”获取更多相关内容
或点击以下二维码1秒解锁更多独家法律知识问答。
关于享法
享法互联网法律团队主要创始人均来自国内著名互联网公司的法务部,依托于北京德和衡律师事务所,享法致力于为高科技创新型公司提供贴心实用的一站式法律管家服务。自成立至今,我们已为近百家公司提供了多样化服务。
享法围绕数据安全,电子商务,网络游戏,视频直播,互联网金融融资等互联网行业领域提供更具互联网思维的产品技术合规,融资并购以及新三板挂牌等法律服务,同时也针对企业的内部股权安排、劳动人事以及员工激励等开发了更实用优惠的专项打包法律服务。
请关注我们的微博:享法互联网法律
往期好文回顾
让我们为您保驾护航
微信:享法互联网JoyLegal
微博:享法互联网法律
电话:010-81050766
邮箱:info@joy-legal.com
24小时内答复咨询
关注和分享,总有一个在路上~