通力法评 | 《互联网个人信息安全保护指南》简评
作者:通力律师事务所 潘永建 | 邓梓珊 | 黄文捷
2018年11月30日, 公安部网络安全保卫局发布了《互联网个人信息安全保护指引(征求意见稿)》(“《征求意见稿》”)。时隔四个多月, 公安部网络安全保卫局、北京网络行业协会、公安部第三研究所于2019年4月10日联合发布了《互联网个人信息安全保护指南》(“《指南》”)。《指南》是在《征求意见稿》的基础上听取采纳社会各方意见后修改而成, 主要从管理机制、安全技术措施、业务流程和应急处置四个方面对于个人信息持有者的个人信息安全保护工作提供了参考。通力网安数据业务团队结合实务经验, 对《指南》内容, 以及《指南》与《征求意见稿》的主要差异作出如下简析。
一. 《指南》的性质
根据《指南》和《征求意见稿》的引言, 《指南》是公安机关结合其办理大量真实案例的执法经验, 并基于监管过程中掌握的情况而制定, 供企业在个人信息保护工作中参考借鉴。值得注意的是, 《征求意见稿》明确其不仅可供企业在个人信息保护工作中参考使用, 亦可供网络安全监管职能部门依法进行个人信息保护监督检查时参考使用。因此, 虽然《指南》并非强制性法律规范, 但其代表着公安执法机关对个人信息保护法律的解读, 更有可能被公安机关在执法实践中使用, 互联网服务单位(个人信息持有者)应对此予以重视。
二. 适用范围
《指南》进一步明确了《征求意见稿》所述的“互联网企业”, 即并非专指狭义上的互联网行业企业, 而是指“通过互联网提供服务的企业”以及“使用专网或非联网环境控制和处理个人信息的组织”。《指南》适用于个人信息持有者对于个人信息的安全保护工作。此处个人信息持有者的身份包括上述广义的“互联网企业”和使用专网或非联网环境控制和处理个人信息的组织或个人。此外, 与《网络安全法》的适用对象“网络运营者”及对其规定的义务不同, 《指南》适用于通过网络控制和处理个人信息的组织或个人, 且重点在于“个人信息”保护义务。
三. 规范性引用文件
《指南》引用了《GB/T 25069—2010 信息安全技术 术语》《GB/T 35273—2017 信息安全技术 个人信息安全规范》(“《个人信息安全规范》”)《GB/T 22239 信息安全技术 网络安全等级保护基本要求》(“《等级保护基本要求》”)三份国家标准。从内容上看, 《指南》结合了《个人信息安全规范》和《等级保护基本要求》, 并对这两份标准作出了一定的补充和修改。
四. 技术措施
《指南》提出, 个人信息处理系统其安全技术措施应满足《等级保护基本要求》相应等级的要求, 而并非如《征求意见稿》所规定的一律适用第三级的要求。对于技术措施, 除基本要求和通用要求外, 《指南》中还提及了云计算安全和物联网安全的拓展要求。遗憾的是, 《指南》未包含移动互联安全和工业控制系统安全的拓展要求。在移动互联网安全已经成为全网、全社会的关注重点, 且多项APP治理行动火热开展的背景下, 《指南》对移动互联网板块的个人信息安全保护的规制稍显不足。
五. 业务流程
1. 收集
对于实践中大量存在的过度收集个人信息的情形, 《指南》表明, 不得通过捆绑产品或服务各项业务功能等方式强迫收集个人信息。同时, 《指南》限制了对于我国公民的种族、民族、政治观点、宗教信仰等敏感数据的大规模收集或处理, 并规定个人生物识别信息应仅收集和使用摘要信息而避免收集其原始信息。
2. 保存
《指南》指出, 对于收集的个人信息应采取加密存储等安全措施, 并明确在境内运营中收集和产生的个人信息应在境内存储。
3. 应用
《指南》明确, 经过处理无法识别特定个人且不能复原的个人信息数据, 可以超出与信息主体签署的相关使用协议和约定, 但应提供适当的保护措施进行保护。此处直接引用了《网络安全法》的描述而并未使用《个人信息安全规范》中“匿名化”的概念。
对于应用数据生成用户画像是否需要用户授权, 与《个人信息安全规范》仅提出“直接用户画像”和“间接用户画像”的概念区分不同, 《指南》进一步按照对用户造成的影响和后果区分了不同的应用情形: 完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用, 可事先不经用户明确授权, 但应确保用户有反对或者拒绝的权利; 与上述自动化应用不同, 征信服务、行政司法决策等可能对用户带来法律后果的增值应用, 或跨网络运营者使用, 应经用户明确授权方可使用其数据。这一区分规定划清了企业使用用户画像的界限, 也在一定程度上拓宽了企业对用户画像进行商业营销的合法利用空间。
4. 删除
《指南》指出, 个人信息在超过保存时限之后应进行删除, 将存储的个人信息数据进行删除之后应采取措施防止通过技术手段恢复。该处规定与《征求意见稿》一致。但需要说明的是, 此处规定与《个人信息安全规范》的规定不符且更为严格。《个人信息安全规范》规定, 个人信息在超出设置的存储时限后, 应进行删除或匿名化处理。此次《指南》仍然仅保留了“删除”措施, 一定程度上反映出公安机关对超时限个人信息处理措施的审慎态度。
5. 共享和转让
《指南》还对个人信息的共享和转让提出了要求, 包括共享和转让行为应经过合法性、必要性评估; 在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利, 例如访问、更正、删除、注销等。
6. 公开披露
《指南》进一步限制了公开披露个人信息的范围, 即不得公开披露个人生物识别信息和基因、疾病等个人生理信息以及我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。《指南》还提出, 公开披露个人敏感信息的要求, 应向个人信息主体告知涉及的个人敏感信息的内容。
六. 应急处理
《指南》对于应急响应培训和应急演练从频率、效果上提出了较高要求, 指出至少每半年应组织一次内部相关人员进行应急响应培训和应急演练, 使其掌握岗位职责和应急处置策略和规程, 留存应急培训和应急演练记录。《指南》还提出应当定期对原有的应急预案重新评估、对个人信息安全事件进行记录。
联系人:
往期分享
通力法评 | 监管思路也需因势而变——简评App安全认证制度及应对建议通力法评 | 简评《互联网个人信息安全保护指引(征求意见稿)》
通力法评 | 人类遗传信息和健康信息出境的公共安全和知识产权限制
通力法评 | 《公安机关互联网安全监督检查规定》要点解读
通力法评 | 企业如何落实网络安全等级保护制度?
通力快讯 | 通力律师参加《网络安全等级保护条例(征求意见稿)》研讨会
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!