汇业评论 | 《个人信息安全规范》2019年修订版十大主要变化
文 | 黄春林 合伙人 吴旻奇 汇业律师事务所
近日,2018年5月1日生效的《个人信息安全规范》(GB/T 35273—2017)(下称“2018版本”)迎来首次修订,并发布了修订版公开征求意见稿(下称“2019年修订版”)。意见稿紧跟行业发展热点问题,吸收了监管执法中的一些实践经验,强化了横向立法(标)的兼容性。
本文中,汇业黄春林律师团队结合行业实务经验,简要介绍2019年修订版的十大主要变化,以及个人信息有关的最新立法趋势及行业实践。
变化一:区分基本功能和扩展功能,摒弃概括同意
实践中,企业通过隐私政策等形式,不区分各业务功能收集个人信息的必要性,要求用户概括同意的方式,越来越多的受到监管执法及新闻媒体的挑战。正是在这样的背景下,2019年修订版最大的变化之一,即是区分基本功能和扩展功能,相应合规要点包括但不限于:
(1) 企业应当根据用户选择、使用所提供产品或服务的根本期待和最主要的需求,区分产品或服务的基本功能和扩展功能,并通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式)等形式告知用户。
(2) 企业产品或服务的基本功能具有收集用户个人信息场景的,应当通过用户对信息收集主动做出肯定性动作的形式征得其明示同意;用户不同意收集基本功能所必要的个人信息时,企业在告知拒绝同意带来的影响后,可拒绝向用户提供该业务功能。
(3) 企业产品或服务的扩展功能(例如改善服务质量、提升用户体验、研发新产品等)具有收集用户个人信息场景的,应当允许用户对扩展功能逐项选择同意其收集的个人信息范围;用户不同意收集扩展功能所必要的个人信息时,企业不得拒绝或减损为其提供基本业务功能。
(4) 企业的隐私政策中应当详细明示各业务功能分别收集的个人信息类型;等等。
变化二:从授权同意与明示同意并存,逐渐过渡到明示同意为主
《个人信息安全规范》2018版本中,根据个人信息敏感度等因素,规定了“授权同意”和“明示同意”两种方式。但是,哪些情形适用授权同意,哪些情形适用明示同意,实务界一直比较困惑。本次2019年修订版中,摒弃了敏感度考量因素,将收集个人信息场景统一为明示同意,且强化了明示同意的形式合规性。主要包括:
(1) 引导企业通过“交互界面或设计”的方式获取用户的明示同意,且交互界面或设计应当可以再呈现或随时调用。
(2) 引导企业的隐私政策披露更加显著,例如通过弹窗等形式主动向用户展示隐私政策的主要或核心内容。
(3) 删除了“签订和履行合同所必须”的豁免同意情形。
变化三:首次明确了定向推送的合规要求
关于定向推送,广告法、电商法及网安法似乎都有规定,但实践标准一直很模糊。汇业黄春林律师团队注意到,本次2019年修订版中,首次明确了定向推送的定义,并规定了定向推送及退出的合规要求:(1)以显著方式标明定向推送的性质;(2)提供简单直观的退出渠道和方式;(3)用户选择退出后,应当妥善处置定推依赖的模型及信息;(4)定推还应当遵守其他法律法规的合规要求。
变化四:强化了委托第三方处理的监管责任
随着新零售、电商业务的进一步发展,线上线下产业融合进一步加剧,越来越多的企业委托第三方建设、维护、运营、处理网络系统及数据。因此,包括工信部24号令及公安机关公布的《互联网个人信息安全保护指引》(征求意见稿)也规定了委托处理的合规要求。
本次2019年修订版中,在原来“审查—评估”合规要求的基础上,强化为“审查—评估—确保”合规要求,即要“确保受委托者达到10.4节数据安全能力要求”。这无疑要求委托方的审查供应商资质时,不能单纯的停留在形式审查的层面,更要深入到实质审查层面。因此,汇业黄春林律师建议,企业应当自行或委托第三方建立该类型供应商的资质审查指引,强化实质审查力度。
变化五:首次明确了第三方接入的合规要求
微信、Facebook等开放平台业务模式越来越常见,但相应的个人信息安全风险也越来越大。本次2019年修订版中,首次明确了第三方接入的合规要求,包括但不限于:企业应建立第三方产品或服务接入管理机制和工作流程;企业应要求第三方产品或服务建立响应个人信息主体请求、申诉等的机制;企业可以自行或委托第三方对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计、监督;等等。
变化六:细化了用户删除信息及注销账户的形式合规要求
确保用户删除信息及注销账户便捷性和有效性,是保护用户个人信息控制权的重要内容。再此之前,电商法也重点规范了这方面的合规要求,各地监管执法也重点核查、处罚该领域违法行为。
本次2019年修订版中,结合各地监管执法实践,引导企业应当建立即时在线删除和注销入口,即直接在产品或服务提供的功能界面中设置相应的机制,便于用户在线行使其访问、更正、删除、撤回同意、注销账户等权利,而不是通过客服电话或邮箱等非即时在线模式。
变化七:细化了企业个人信息管理组织日常合规要求
本次2019年修订版中,进一步细化了企业个人信息管理组织的日常合规要求,具体包括但不限于:(1)提高了设立专职个人信息管理组织的门槛;(2)明确个人信息管理组织的任职要求、职责及汇报路径;(3)明确个人信息管理组织应当建立相应的记录、留档机制;等等。此外,还明确企业应当建立完整的、规范的内部制度、政策及指引,规范员工个人信息保护要求。
在此之前,公安机关公布的《互联网个人信息安全保护指引》(征求意见稿)还详细规范了相关管理人员的录用、考核、培训、离岗等合规要求。
变化八:细化了个人信息安全事件处置合规要求
在此之前,《国家网络安全事件应急预案》、《互联网个人信息安全保护指引》(征求意见稿)等详细规定了企业的网络安全事件合规要求。
本次2019年修订版中,首次定义了个人信息安全事件,基本明确了事件报告的标准及路径,等等。
变化九:细化了个人信息安全影响评估合规要求
为了更好的衔接、完善《个人信息安全影响评估指南》等规范、标准,本次2019年修订版删除了定期(每年一次)开展个人信息安全影响评估要求,增加了评估使用场景,细化了评估指标体系,等等。
变化十:首次明确个人信息汇聚融合合规要求
《个人信息安全规范》2019年修订版规定,在精准营销、用户画像、征信及风控管理等场景,发生个人信息汇聚融合或多来源匹配的,应当开展个人信息安全影响评估,并采取必要的保护措施。
此外,若开展常态化汇聚融合的,还应当及时调整基本业务功能和扩展业务功能的划分,并征求用户的明示同意。