华商原创 ▎面对新版个人信息安全规范，企业应该怎么做？

答：与旧版规范一致，新版规范同样适用于涉及个人信息处理活动的各类企业，如企业的相关业务涉及个人信息的收集、存储、使用、共享、转让、公开披露、删除等。虽然新版规范仅为推荐性国家标准，不具有法律约束力，但是相关主管监管部门、第三方评估机构等组织对企业的个人信息处理活动进行监督、管理和评估时会参考新版规范，而且《儿童个人信息网络保护规定》《App违法违规收集使用个人信息行为认定方法》《数据安全管理办法（征求意见稿）》等已出台的或即将出台的相关规定已吸收了新版规范的相关要求。因此，如企业违反新版规范要求，可能在第三方评估机构评估时不合格，在并购重组或上市过程中被证券交易机构问询甚至无法顺利完成交易或上市，在相关主管监管部门检查时被要求整改或行政处罚，甚至会因拒不履行信息网络安全管理义务等被追究刑事责任。 

答：新版规范新提出了个人信息安全工程要求，企业开发具有处理个人信息功能的产品或服务时，需在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求，保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。2019年5月版本的《信息安全技术 个人信息安全工程指南（征求意见稿）》提出了在需求分析、产品设计、产品开发、测试审核、发布部署、运行维护等系统工程阶段的个人信息保护实施指南，企业可以参考。同时，《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T 25070-2019）等替代了原来的网络安全等级保护相关国家标准，并均已正式实施。2018年6月27日的《网络安全等级保护条例（征求意见稿）》正式生效后，现行的《信息安全等级保护管理办法》将失效。等保1.0上升到等保2.0后，企业需结合自身业务系统情况根据等保2.0要求做好网络安全等级保护工作。 

答：与旧版规范一致，新版规范同样要求企业法定代表人或主要负责人对企业的个人信息安全负全面领导责任，并设立个人信息保护负责人和个人信息保护工作机构，其中从业人员规模大于200人、（预计在12个月内）处理超过100万人的个人信息或者处理超过10万人的个人敏感信息均需设立专职的个人信息保护负责人和个人信息保护工作机构。同时，新版规范对个人信息保护负责人和个人信息保护工作机构相关工作职责、方式也进行了补充，提升了个人信息保护负责人和个人信息保护工作机构的重要性。因此，企业需结合自身业务情况判断是否需要完善相应的组织架构、部门及岗位职责。新版规范将“隐私政策”调整为“个人信息保护政策”，相关内容也进行修订、完善。同时，新版规范增加了“第三方接入管理”、“个人信息安全工程”、“个人信息处理活动记录”等新要求，调整了个人信息处理活动、个人信息主体权利保护的部分要求。因此，企业的相关管理制度需结合业务情况根据新版规范的要求进行补充、完善。新版规范提出了建立最小授权的访问控制策略、建立相应的内部制度和政策，对员工提出个人信息保护的指引和要求等，对“明确责任部门与人员”、“人员管理与培训”部分内容也进行了调整。因此，企业在人员管理方面需做出相应的调整，如在人员录用、离职、考核、教育培训等方面加强管理，严格落实访问权限管理、岗位分离设置等相关要求，提升企业整体的个人信息保护和数据安全管理意识，避免发生“微盟事件等相关运维人员删库”等类似事件。 

1、问：个人信息的范围是否有变化？本企业已收集的相关信息，按照旧版规范不属于个人信息，但按照新版规范属于个人信息，应该如何处理？

答：新版规范扩大了个人信息的范围，通过个人信息或其他信息加工处理后形成的信息（如用户画像、特征标签等）只要符合个人信息的判定标准（识别或关联）仍属于个人信息。如企业已收集了相关个人信息，建议重新征得个人信息主体的授权同意（区分个人信息类型，详见后文），或者通过个人信息提供方征得个人信息主体的明示同意。如企业难以征得个人信息主体的授权同意，且不属于征得授权同意例外的情形，建议对相关个人信息进行删除或匿名化处理。 

2、问：本企业的产品或服务存在多项业务功能且均需要收集用户的个人信息，应该如何收集？

答：个人信息的处理活动以业务功能为单位，企业需先对产品或服务的相关业务功能进行区分，具体可参考《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》和2020年1月版本的《信息安全技术 移动互联网应用程序（App）收集个人信息基本规范（征求意见稿）》，但不应将改善服务质量、提升使用体验、研发新产品、增强安全性等作为基本业务功能，不应将多项业务功能进行捆绑要求用户一次性接受并授权同意其未使用的业务功能收集其个人信息的请求。在基本业务功能开启前，企业可通过个人信息保护政策告知基本业务功能所必要收集的个人信息类型，以及用户拒绝提供或拒绝同意收集将造成的影响，在征得用户明示同意（包括主动勾选、点击“同意”或“下一步”等）后，方可收集相关的用户个人信息。如用户不同意，企业可拒绝向用户提供该业务功能。在扩展业务功能首次使用前，企业需逐一告知（通过弹窗、文字说明等形式）扩展业务功能及所必要收集的个人信息，并征得用户的明示同意。如用户不同意，不应频繁征求用户的授权同意（48小时内不超过1次），且不应拒绝提供基本业务功能或降低基本业务功能的服务质量。企业相关产品或服务的交互式功能界面设计可参考新版规范附录C。 

3、问：本企业收集个人信息时是否一定需要获得用户的授权同意？如需要，获得用户授权同意过程中需要注意什么？

答：在不存在征得授权同意例外的情形（包括与企业履行法定义务相关的、用户自行向社会公众公开的、根据用户要求签署和履行合同所必需的、从合法公开披露的信息中收集的等）下，企业收集用户的个人信息时需征求用户的授权同意，在间接获取用户个人信息时需要个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认。企业在征得用户授权同意过程中，需要区分收集的个人信息类型（如一般个人信息、个人敏感信息、个人生物识别信息、未成年人的个人信息等），对于不同类型的个人信息收集时的告知形式、告知内容以及获得用户授权同意的方式均有所差别。同时，个人信息的处理活动以业务功能为单位，如企业的产品或服务可为用户提供多项业务功能，需按照问题3的要求征得用户的授权同意。 

4、问：本企业的隐私政策是否需要进行更新？更新时应该注意哪些要点？

答：新版规范将“隐私政策”调整为“个人信息保护政策”，同时对“个人信息保护政策”的内容要求进行了部分调整，如增加了个人敏感信息需进行明确标识或突出显示等要求、删除了披露企业相关负责人联系方式及个人信息存放地域等要求，建议企业根据新版规范要求更新“隐私政策”，名称虽未强制要求调整，但内容建议与个人信息保护政策内容保持一致。在更新“隐私政策”时，需注意以下四点：一是需说明收集、使用个人信息的业务功能，以及各务功能分别收集的个人信息类型；二是需对收集、使用的个人敏感信息明确标识或突出显示，如对个人敏感信息加粗、加下划线并在前面加*号等；三是如涉及个人信息出境的，需说明数据出境的情况；四是存在接入第三方产品或服务情形且该第三方并未单独向用户征得授权同意的，需明确告知第三方身份，以及在个人信息安全方面自身和第三方应分别承担的责任和义务。 

5、问：是否只要用户授权同意，本企业就可以永久存储并无限制使用其个人信息？

答：企业需遵守个人信息存储时间最小化要求，即存储期限应为实现用户授权使用的目的所必需的最短时间，超出存储期限后应进行删除或匿名化处理。但是，如相关法律法规对个人信息的存储期限另有规定，则按照相关法律法规的规定执行，如《电子商务法》第三十一条、第五十三条以及《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》第二十九条、《非金融机构支付服务管理办法》第三十九条等均作出了相应规定。另外，用户另行授权同意的，也可以按照用户授权同意的期限存储其个人信息，建议企业通过合同形式与用户进行明确约定，需注意根据新版规范的要求，“隐私政策”或者“个人信息保护政策”不宜视为合同。企业使用个人信息不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围，因业务需要确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意。因此，企业并非可以无限制的使用其存储的个人信息，仍存在目的限制，同时在用户撤回授权同意或者要求删除的情形下，企业不应再处理用户的个人信息并应及时删除。 

6、问：对于不同类别的个人信息，在收集、存储、共享转让及公开披露等要求方面有什么区别？

答：新版规范对于一般个人信息、个人敏感信息、个人生物识别信息、未成年人的个人信息的收集、存储、使用、共享等提出了不同的要求，具体如下：

7、问：本企业在用户画像、个性化展示使用方面，应该注意什么？

答：新版规范新增了用户画像、个性化展示的使用要求。在用户画像使用方面，需注意用户画像中对用户的特征描述不应包含违法违规、违反公序良俗的内容，且应合法合规的使用用户画像。为准确评价用户信用状况，可使用直接用户画像，而用于推送商业广告目的时，则宜使用间接用户画像（即使用来源于用户以外的个人信息，如其所在群体的数据，形成该用户的特征模型）。在个性化展示方面，需注意应区分个性化展示的内容和非个性化展示的内容（如标明“定推”等字样或通过不同的栏目、版块、页面分别展示）。在电子商务场景中，需向用户提供不针对其个人特征的选项（基于用户所选择的特定地理位置进行展示、搜索结果排序的除外）；在推送新闻信息服务场景中，需为用户提供退出或关闭选项及删除或匿名化相关个人信息的选项。推送新闻信息服务场景比电子商务服务场景的要求更为严格，主要因为在推送新闻信息服务场景中展示即接收，而在电子商务服务场景中用户有选择是否购买的权利。同时，企业需建立用户自主控制机制，允许用户调控个性化展示的相关性程度。 

8、问：本企业是否可以将不同产品或服务中收集的个人信息或者关联公司、第三方合作机构共享的个人信息进行汇聚融合用于相关大数据业务？如可以，应该注意什么？

答：按照新版规范要求，企业可以将不同产品或服务中收集的个人信息进行汇聚融合，也未禁止将关联公司、第三方合作机构共享的个人信息或者企业间接获取的个人信息进行汇聚融合，但是企业收集相关个人信息时需征得用户的授权同意或者确认个人信息来源的合法性，并且汇聚融合目的在收集时已告知用户或者与已告知用户的目的具有直接或合理关联，如汇聚融合目的超出用户的授权同意范围需再次征得用户的明示同意或者通过个人信息提供方征得用户的明示同意。同时，企业需根据汇聚融合后个人信息所用于的目的（即相关大数据业务），开展个人信息安全影响评估，并采取有效的个人信息保护措施。 

9、问：本企业将个人信息共享给第三方使用或者使用第三方共享的个人信息需要注意什么？

答：企业将个人信息共享给第三方需注意以下要点：一是区分共享的个人信息类型，履行告知相应的义务，并事先征得用户的授权同意/明示同意，属于征得授权同意例外情形的或者共享的个人信息经去标识化处理后数据接收方无法重新识别或者关联用户的除外；二是事先开展个人信息安全影响评估，并根据评估结果采取相应措施保护个人信息安全，保障用户的合法权益；三是共享前，对数据接收方进行必要的审查，确保其具有符合要求的数据安全能力，与数据接收方签署个人信息共享合同，明确数据接收方的责任和义务；四是共享中，需采取相关措施保障个人信息传输接口、通道的安全性、可靠性，对个人信息共享过程进行监测、记录，防止共享过程中发生个人信息泄漏事件。同时，准确记录和存储个人信息的共享情况，包括共享的日期、个人信息类型、规模、目的以及数据接收方基本情况等；五是共享后，如发现数据接收方违法违规或违反合同约定处理获得的个人信息，需立即要求其停止相关行为并采取相应的补救措施，同时可停止共享，必要时可终止共享，要求数据接收方删除获得的个人信息；六是当用户提出相关请求时，需帮助用户了解数据接收方对其个人信息处理的相关情况，并协助其实现更正、删除、撤回授权同意等权利。

企业使用第三方共享的个人信息需注意以下要点：一是事先对数据提供方进行必要的审查，确保其具有符合要求的数据安全能力，同时要求数据提供方说明个人信息的来源并对其来源的合法性进行确认（包括核查收集个人信息的过程、用户签署的授权同意文件等），了解数据提供方已获得的授权同意范围并重点关注用户是否授权同意数据提供方共享其个人信息，且留存相关记录；二是与数据提供方签署个人信息共享合同，明确数据提供方的责任和义务，要求数据提供方对个人信息来源的合法性作出承诺；三是接收中，需采取相关措施保障个人信息传输接口、通道的安全性、可靠性，对个人信息接收过程进行监测、记录，防止接收过程中发生个人信息泄漏事件。同时，准确记录和存储个人信息的接收情况，包括接收的日期、个人信息类型、规模以及数据提供方基本情况等；四是使用中，需符合用户的授权同意范围（包括使用目的等），遵守目的限制的相关要求，如因业务需要需超范围使用用户的个人信息，需在合理期限内或处理个人信息前，征得用户的明示同意，或通过数据提供方征得用户的明示同意；五是接收后，如发现数据提供方共享的个人信息来源不合法，需停止接收或终止接收，对于已接收的个人信息需在合理期限内完善其合法性（如补充授权等），在未完善其合法性前宜停止使用已接收的信息，如无法完善其合法性则应对已接收的个人信息进行删除或匿名化处理，并追究数据提供方的相关违约责任；六是当用户提出相关请求时，需配合数据提供方响应用户的请求，如更正、删除用户的个人信息等。 

10、问：本企业的相关产品或服务中接入了第三方的产品或服务需要注意什么？

答：如第三方的产品或服务没有收集个人信息的功能，或者第三方仅为用户提供工具且不对用户个人信息进行访问的，则企业在确认其安全性后，需自身做好个人信息保护和数据安全管理相关工作。如第三方的产品或服务需要收集用户的个人信息，但第三方未单独向用户征得授权同意，则企业与第三方在个人信息收集阶段为共同个人信息控制者，企业需注意以下要点：一是事先对第三方进行必要的审查，确保其具有符合要求的数据安全能力，并在测试环境中对第三方的产品或服务进行安全检测，且留存相关记录。二是签署合同明确收集的个人信息类型以及收集个人信息应满足的安全要求，约定各方在个人信息安全保护方面的责任和义务。三是向用户明确告知第三方身份，以及在个人信息安全保护方面各方的责任和义务。四是加强第三方产品或服务的管理，发现其违法违规或者违反合同约定收集个人信息或者未履行个人信息安全保护义务，需及时切断接入，要求第三方删除相关个人信息并追究其相关违约责任。如第三方的产品或服务需要收集用户的个人信息，且第三方向用户征得授权同意，则企业需注意以下要点：一是建立第三方产品或服务接入管理机制和工作流程，必要时建立安全评估机制并设置接入条件。二是事先对第三方进行必要的审查，确保其具有符合要求的数据安全能力，并对其产品或服务进行安全评估，判断是否满足接入条件，且留存相关记录。三是签署合同明确各方的安全责任及应实施的个人信息安全措施，并妥善留存相应合同。四是向用户明确标识产品或服务由第三方提供，对第三方征得用户授权同意的实现方式及实际情况进行检验，并留存检验记录。五是加强对第三方的监督、管理，如发现其产品或服务未落实个人信息保护要求，需及时督促整改，必要时可停止接入并追求其相关违约责任，且留存相关管理记录；如嵌入或接入的是第三方自动化工具，宜开展技术检测、审计，确保其收集个人信息行为符合约定，如发现超出约定的行为应及时切断接入并追求其相关违约责任，且留存相关管理记录。六是应要求第三方建立用户请求响应机制、投诉处理机制，并监督其按照要求响应用户请求、处理用户投诉。 

11、问：在哪些场景下，本企业需要开展个人信息安全影响评估、审计工作？答：旧版规范、新版规范均要求企业建立个人信息安全影响评估制度，并在委托处理、共享或转让、公开披露场景下以及在业务模式、信息系统、运行环境发生重大变更时或者发生重大个人信息安全事件时开展个人信息安全影响评估工作。另外，新版规范提出了新的要求，企业在汇聚融合、使用自动决策机制场景下以及在产品或服务发布前或业务功能发生重大变化时也需开展个人信息安全影响评估工作。对企业而言，个人信息安全影响评估工作将呈常态化、动态化趋势，可参照《信息安全技术个人信息安全影响评估指南（征求意见稿）》以及后续正式实施的、新出台的相关规定、要求执行。旧版规范、新版规范均要求企业对隐私政策/个人信息保护政策、相关规程和安全措施的有效性进行审计，并建立自动化审计系统监测记录个人信息处理活动，以及在委托处理场景中对受托者进行审计。另外，新版规范提出了新的要求，在第三方接入管理场景中企业需对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计，同时审计记录和留存时间应符合法律法规的要求，目前暂未发现相关法律法规作出具体规定，企业需关注后续出台的《个人信息保护法》《数据安全法》等的相关规定。

答：新版规范将个人信息主体的权利单独列出，突出对用户个人信息相关权利的保障，同时新增的“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”等内容也强调用户对其个人信息的自主管理。特别是在注销账户方面的变化：一是需要人工处理的应在15个工作日内处理完成；二是需要核验用户身份的不应收集多于已收集的个人信息类型，需收集个人敏感信息的在达成核验目的应立即进行删除或匿名化处理；三是不应设置不合理条件或提出额外要求；四是多项产品或服务共用同一账号体系的，需向用户详细说明，并可采取删除具体产品或服务中除账号外的个人信息、切断账户体系关联等注销措施。同时，新版规范提出了在交互式功能页面设置相应选项便于用户在线行使相关权利的推荐性建议。由此可见，企业在保障用户有关权利方面的义务更加精细化，需予以重视。

王艺

华商律师事务所

高级合伙人

主要执业领域为数据合规，金融科技，争议解决

华商业绩 ▎华商所成功入选深圳市市场监督管理局法律供应商库

华商直播 ▎小长假充电正当时！10堂干货满满的直播课程来了

华商荐稿 ▎信用卡债务属于夫妻共同债务吗？

华商业绩 ▎华商成功中标光明区司法局群众诉求服务平台公共法律服务项目

媒体报道 ▎华商法治营商环境研究院成立，获多家媒体关注和报道！

全国首家！华商律所成立法治营商环境研究院，以律师视角发布地方营商环境测评

首次授牌+首个入会律所！华商授牌担任“深圳市军民融合发展协会执行会长单位”

华商原创 ▎商场有权“罚款”吗？

华商原创 ▎证券虚假陈述案中的“同罚不同判” ——保千里证券虚假陈述责任纠纷案焦点问题解析