今年1月，中央网络安全和信息化领导小组办公室、国家质量监督检验检疫总局、全国信息安全标准化技术委员会联合发布了《信息安全技术：个人信息安全规范》(GB/T 35273-2017，简称《安全规范》)，并将于2018年5月1日开始实施。《安全规范》是贯彻《网络安全法》中个人信息安全要求的一部重要配套规范，其性质相当于标准文件，在《个人信息保护法》尚未出台的情形下，该《安全规范》虽非法律，但一定程度上发挥了替代规制功能。

《安全规范》建立了一套相对完整的企业从事个人信息活动的行为规范。从内容上看，《安全规范》统一规定了个人信息保护领域的法律术语，规定了收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求，建立了企业的信息安全管理制度。这些构成了指导和规范企业正常进行个人信息活动、保障个人信息安全活动的基本要求，当然也成为有关机关据以判断企业在个人信息安全事项上是否发生违反《网络安全法》甚至构成侵犯公民个人信息罪等的重要参考依据。例如，近期网信办约谈“支付宝”的重要理由之一，就是企业行为“不符合《安全规范》的精神”。

《安全规范》确立了一些达到世界先进水平的信息安全规范标准。第6.1条及其以下强调对于个人信息的安全存储。根据第6.2条，个人信息控制者在收集个人信息后，必须立即去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，并确保在后续的个人信息处理中不重新识别个人。这实际上要求企业对个人信息的匿名化存储，将极大降低个人信息引发的隐私风险。第8.1条及其以下确立了个人信息的委托处理、共享、转让、公开披露标准。其中第8.6条规定，对于共同收集和控制个人信息的企业应当约定双方保护信息安全的义务和责任划分，并向个人信息主体明确告知。该条对于确保电子商务平台保护个人信息极为重要，确定了平台与签约商家共同为个人信息控制者时的个人信息保护义务。

总起来说，《安全规范》采纳了我国个人信息保护研究的诸多共识，借鉴了海外先进经验，进一步细化了我国个人信息安全保护规定，对于一些争议问题也做出了明确决断，有利于强化我国的个人信息安全保护。可以预见，其在推进更加合理指导、监管企业从事个人信息活动、保障个人信息安全方面具有相当积极的意义。但是，源于信息活动的复杂性，特别是鉴于个人信息安全的重要性以及相关活动的敏感性，《安全规范》仍然存在进一步明确和完善的必要。至少在以下五个方面需要进一步的探讨：

一、关于个人信息术语的定义问题

现有界定不够清晰和完整。《安全规范》第3.1条规定，个人信息（personal information）是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。这种定义模式将重点落在信息与特定自然人的“可识别性”上，只有可识别特定自然人的信息才是《安全规范》意义上的个人信息。然而，“可识别性”存在难以操作、界定不清等问题。因此，我们建议将之修改为：个人信息，是指以电子或者其他方式记录的由个人产生和个人有关的信息，但原则上通过技术处理不使用额外信息不能指向特定信息主体并与其他额外信息分别存储的匿名化信息不在此限。

首先，“可识别性”难以操作。“可识别性”这种规范模式延续了我国《信息安全技术公共及商用服务信息系统个人信息保护指南》（下称《指南》）的保护思路，从是否可识别个人这一效果上界定个人信息的范围。然而，“可识别性”是一个难以界定的法律概念，而以“可识别性”定义个人信息也有同义反复的嫌疑：个人信息是能识别个人的信息。

其次，以可识别性界定个人信息保护范围是否合理，不无疑问。在大数据和人工智能的时代，算法海量地收集、抓取和处理个人信息，借助大量的看似不可识别的个人信息却仍然可以精准地定位个人。《安全规范》附录A“个人信息示例”要求考虑“识别”和“关联”两种路径，实际上即是注意到了既有定义之不足，强调“特定自然人在其活动中产生的信息即为个人信息”。

最后，应当鼓励对个人信息的匿名化处理。第3.13条注释“个人信息经匿名化处理所得的信息不属于个人信息”，值得肯定，这种规定有利于实现数据经济和个人信息保护之间的平衡。然而，《安全规范》强调匿名化的绝对不可识别和复原性则有失偏颇。《安全规范》第3.13条规定，匿名化（anonymization）是指通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程。随着解匿名化技术（De-anonymization）的发展，不存在真正意义上不可识别和复原的信息。只要借助于大量其他个人信息，任何一种匿名化信息都可以被还原，因此在技术上完全不能复原的匿名化信息是不存在的（Paul Ohm, Broken Promises of Privacy, 57 UCLA LAW REVIEW 1701 (2010)）。

考虑到匿名化技术上的不可能，欧盟《一般数据保护条例》也只能将匿名化定义为：“匿名化是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据处理方式。该处理方式将个人数据与其他额外信息分别存储，并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。”可见，匿名化只是去识别化的一种暂时方式，在技术上借助额外信息即可被还原。我国目前的定义模式强调匿名化信息绝对的不可复原是不合适的。因为只有匿名化个人信息不受《安全规范》束缚，这种定义模式实质使得所有和个人有关信息都受到法律的规制。国际通行的做法则是，对匿名化个人信息进行法律优待，以此实现个人信息保护和数据经济之间的平衡；另借助民法、刑法、行政法规则，来禁止违法解匿名化的行为，也可起到很好的个人信息保护的作用。

二、关于个人信息的收集问题

个人信息收集规则或不够现实，保护不足，或过于严苛。

首先，《安全规范》规定的知情同意原则不够现实。《安全规范》第5.3条确立了个人信息收集时的知情同意原则，但却仍然停留在《指南》对个人一般信息收集的宽松对待之上（默示同意即可），不得不让人遗憾。与之相对，第5.3条b款是否施以间接收集人过高的注意义务，该义务又应当如何具体运作，尚需实践检验。

根据《安全规范》第5.3条a款，个人信息控制者收集个人信息前“应征得个人信息主体的授权同意”，联立第3.6条（明示同意）和第5.5条（收集个人敏感信息时的明示同意）理解，原则上对个人信息的收集默示同意即为已足。据此，个人信息控制者仍然可以通过默示条款的方式，使得信息主体可能完全不知道自身的信息正在被收集。与之相较，欧盟《一般数据保护条例》则通过强调“同意”是指数据主体通过声明或明确肯定的行为（a clear affirmative action）作出的指示，排斥了默示同意的合法性效力。一些国家如新加坡，考虑到通过对大量的非敏感信息的收集和处理也是可以识别个人的敏感信息的，在个人信息保护法原则上甚至取消了个人敏感信息和非敏感信息的差别保护要求，一体要求个人信息收集时的明确同意。

此外，根据《安全规范》第5.3条b款，如果企业从第三方渠道间接收集个人信息，应当核实第三方收集、转让个人信息的合法性，这就要求企业必须对信息来源进行尽职调查。但我们应当知道，法律原则上不应让交易一方对相对方的财货来源进行调查，因为这对交易方的要求过高。源于信息不对称，交易方也不一定有能力确认相对方陈述的真实性。在数据交易当中，尤其在跨境数据交易当中，第5.3条b款是否能实现规范目的，不无疑问。

其次，《安全规范》虽然承认了特殊情况下个人信息收集的合法性，却忽视了个人信息使用、共享和转让过程中的经济和社会需求。

第5.4条规定了征得个人信息主体同意的例外，承认了特殊情况下不征得同意时的个人信息收集的合法性，肯定了在个人信息安全之外还存在与整体的经济和社会功能平衡的问题。尤其值得注意的是，根据第g)项和第h) 项，当根据个人信息主体要求签订和履行合同所必需和用于维护所提供的产品或服务的安全稳定运行所必需时，个人信息的收集可不经过信息主体的同意。这种设计体现了人工智能时代企业对智能产品的推广、跟踪和改进的商业需求，有利于我国智能制造和人工智能的发展。疑问之处在于，第5.4条只规定在特殊情况下可以收集个人信息，个人信息的使用、分享和处理则似乎仍然受到目的拘束下的知情同意原则的束缚。为了实现公共利益或保护他人重大权益对个人信息的使用、分享和处理同样是法秩序的要求，为了履行合同或维护产品或服务的安全稳定运行，也可能需要对个人信息的使用，区分个人信息的收集和使用、分享、处理分别规范需要有更为充分的理由。

最后，《安全规范》提供的选择可能不足。第5.5条b款第2项规定：“产品或服务如提供其他附加功能，需要收集个人敏感信息时，收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需，并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时，可不提供相应的附加功能，但不应以此为理由停止提供核心业务功能，并应保障相应的服务质量。”该条要求企业不得以不提供信息为由停止提供核心业务功能，有利于解决用户的选择困境难题，禁止企业通过“take it or leave it”的全有全无的代码设计，大量收集个人信息的行为，值得肯定。但如前文所论，通过对非敏感信息的分析处理也可以揭示个人的敏感信息的，为何这里只要求企业对个人敏感信息的收集提供选择可能？

虽有上述不足之外，《安全规范》在个人收集安全部分提供的一些规则，让人忍不住击节赞赏。例如，第5.2条将个人信息收集的最小化原则细分为：收集的个人信息的类型应与实现产品或服务的业务功能的直接关联性原则，自动采集个人信息应满足频率最小化原则，间接获取个人信息应满足数量最少化原则。第5.6条规定了企业隐私政策的内容和发布。该条一方面详细列举了隐私政策必须具备的内容、撰写规范和发布形式，另一方面也要求企业必须以摘要提示等方式保障政策的清晰性和易读性。鉴于个人信息主体要通过越来越小的屏幕阅读企业复杂的隐私政策，该条有助于减轻个人信息主体的负担，吸引个人信息主体对核心内容的注意力，值得赞赏。

三、关于个人信息的使用问题

《安全规范》首次提出了个人信息主体获取个人信息副本的权利，并且创制了个人信息主体对于信息系统自动决策的申诉模式。这种突破体现了法律对技术挑战的积极回应，但上述制度是否具有充分的可行性，则不无疑问。

首先，获取个人信息副本的权利行使不容乐观。第7.9条规定了个人信息主体获取个人信息副本的权利。从条文表达上看，该条强调“或在技术可行的前提下直接将以下个人信息的副本传输给第三方”，似乎是为了实现个人信息在不同个人信息控制者之间的自由切换，因此类似于欧盟《一般数据保护条例》第20条规定的“数据可携权”（Right to data portability）。但与欧盟数据可携权不同的是，《安全规范》第7.9条仅仅适用于个人基本资料、个人身份信息、个人健康生理信息、个人教育工作信息；第7.9条也没有要求个人信息控制者采用兼容的方式提供副本。这种限制和不足使得第7.9条的实际意义大为限缩，甚至有沦为具文的可能。

需要强调的是，是否及如何设计获取个人信息副本的权利，尚需要进一步地研究和论证。欧盟《一般数据保护条例》创设的数据可携权旨在解决企业对个人数据的禁闭封锁，创造一个良好的竞争市场环境；允许个人信息主体轻松地选择和更换个人信息控制者，也从客观上促进了个人信息控制者为个人信息主体提供更安全的服务和保障。尽管如此，对该权利的批评也不绝于耳，例如个人数据范围和提供副本的标准不清，不利于初创企业设立以及和竞争法理念相违背等（Peter Swire &Yianni Lagos, Why the Right to Data PortabilityLikely Reduces Consumer Welfare, 72 Maryland Law Review 335 (2013)）。如何建构中国模式的数据可携权是对中国学者的一次挑战。

其次，对自动决策算法的规范不足。随着算法的广泛应用，人们日益生活在一个“被打分的社会”，这就要求法律对算法可能引发的不公平和歧视问题进行规制，且这种规制应当能够切实维护信息主体的利益。

《安全规范》第7.10条约束信息系统自动决策。根据该条，当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时（例如基于用户画像决定个人信用及贷款额度，或将用户画像用于面试筛选），个人信息控制者应向个人信息主体提供申诉方法。第7.11 条规定个人信息控制者应当响应个人信息主体的请求，第7.12条要求个人信息控制者建立申诉管理机制。上述三条旨在通过建立企业内部的申诉机制，避免算法对用户的不公平对待和歧视。与欧盟路径相比，《安全规范》并没有规定自动化处理结果不能影响个人信息主体的法律利益，而只是简单赋予了信息主体申诉的权利。疑问之处在于，个人有多大的动力提起申诉，又如何对抗企业的技术抗辩？企业可以各种理由主张自身算法结果的合理性，而个人囿于技术知识匮乏，恐怕无力反驳。欧盟正是注意到了这种事实上的不对等，因此直接强调了自动决策结果不得对个人产生法律影响。这套申诉体制是否可行，是否真正能够保护个人免于不公和算法歧视，值得谨慎思考。

除此之外，《安全规范》仍然有可圈可点之处。第7.3条规定了个人信息的使用限制，第7.4条和第7.5条分别规定了信息主体的访问权和更正权，第7.6条和第7.7条则规定了信息主体的删除权以及撤回同意的权利，第7.8条规定了信息主体注销账号的权利。上述条款赋予信息主体保护个人信息的必要的主观权利，既有利于开拓权利救济渠道，也有助于实现对数据活动的自下而上的规范化。但为了实现对信息主体的充分保护与不给企业导致不必要负担的平衡，删除权的实行条件可以再增加一款：就收集或以其他方式处理个人信息的目的而言，该个人信息已经是不必要的。

四、关于企业的个人信息安全管理制度问题

《安全规范》最大的特色是建立了个人信息安全管理制度。尽管如此，仍然有一些不足需要修正。

《安全规范》较完整的建立了企业的个人信息安全管理制度，是我国个人信息保护法制的一项重大进步。根据第10.1条，企业的法定代表人或主要负责人对个人信息安全负全面领导责任；企业应任命个人信息保护负责人和个人信息保护工作机构；满足以下条件之一的组织，应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作：1) 主要业务涉及个人信息处理，且从业人员规模大于200人；2) 处理超过50万人的个人信息，或在12个月内预计处理超过50万人的个人信息。第10. 2条要求企业定期开展个人信息安全影响评估，第10.3条要求企业增强自身的数据安全能力，第10. 4条则要求企业加强人员管理和培训。除此之外，第9.1条规定了发生个人信息安全事件时个人信息控制者的应急处置和向主管机关报告制度；第9.2条则规定了个人信息控制者向信息主体的告知义务。通过这些条款，《安全规范》将保护个人信息的需求内化于企业的日常经营管理活动当中。个人信息保护依赖于企业的内部配合。通过明确责任人，设定专门的管理机构，有利于实现对企业数据活动的陪同控制，使得从制定计划、设计算法、使用算法收集和处理数据的每一个环节都能够满足个人信息安全保护的要求。

但是，《安全规范》建立的个人信息安全管理体系上并未真正健全。

首先，未确保个人信息保护负责人和个人信息保护工作机构的独立性。个人信息保护负责人作为企业的员工难以避免地会受到企业负责人的影响。如果企业负责人不接受个人信息保护意见，那么有何救济措施？如何确保个人信息保护负责人和个人信息保护工作机构能够顶住压力，履行《安全规范》赋予的职责？参考德国经验，一方面应当明确个人信息保护负责人直接的民事、行政乃至刑事责任，使得个人信息保护负责人面临法律的直接威慑，必须为企业的数据活动负责；另一方面应当通过法律制度保障个人信息保护负责人不受企业负责人的影响，例如德国《联邦数据保护法》规定了个人数据保护顾问免受指示的权利和特殊的解雇保护规则。《安全规范》指引了正确的治理方向，但要真正发挥该套管理模式的绩效，尚需要进一步的完善。

其次，缺乏配套的外部监管机构。德国个人数据保护顾问制度之所以能够顺利运行，是与个人数据保护监管局的配合、支持和监督密不可分的：个人数据保护监管局对个人数据保护顾问提供支持，裁决个人数据保护顾问和企业之间的争议，保障和监督个人数据保护顾问的日常工作。在企业内部的个人信息安全管理制度，唯有借助于外部的支持和监督才能顺利进行。在个人信息泄露、个人信息欺诈频繁的今天，我国应当尽快建立国家个人信息保护监管局（或国家数据活动监管局）。

五、关于过分依赖规范手段问题

《安全规范》忽视了其他系统，特别是技术系统的作用。网络世界存在四种规制手段，分别是法律、社会规范、市场、代码，单独依赖一种手段是无法规范网络领域的，应当留出适当的通道，允许其他三种规制手段——特别是技术手段——在互联网治理当中发挥应有的作用。虚拟世界和现实世界的不同之处在于，代码在其中扮演着不亚于法律的角色。代码的设计者甚至可以通过设置网络框架，使得法律目的落空，“知情同意原则”的低效率即为一成例。有鉴于此，欧盟《一般数据保护条例》第25条第1款(Dataprotection by design)特别要求通过设计的保护个人信息：个人信息控制者应该在确定处理手段和在处理的同时，实施适当的技术和组织措施，如假名化和数据最小化，保护数据主体的权利。

《安全规范》应当充分重视代码的价值，确认有效的技术实践，通过技术手段确保个人对自身数据的控制权。具体而言，《安全规范》应当通过施以个人信息控制者在算法设计和应用时的个人信息保护义务，要求控制者将保护个人信息的要求转化为代码，通过程序设计保护个人信息；除此之外，还应鼓励采纳新出现的一些保护个人信息的网络技术，如个人信息算法守护平台等。

《安全规范》的出台在实际操作层面填补了诸多空白，为提升公民意识、企业合规和国家监管水平提供了新的业务参照和行为指引。但如上文所述，《安全规范》仍然存在些许不足，需要我们给予足够的重视。我们希望《安全规范》的出台成为我国《个人信息保护法》制定的前哨战：借助《安全规范》的运行我们可以积累经验和教训，通过围绕《安全规范》的学术讨论逐步明晰《个人信息保护法》的框架建构和规范设计。