律师视点 | 黄斌:元宇宙法律篇(二十八)——元宇宙个人信息使用操作指引
北京德和衡(深圳)律师事务所
高级联席合伙人
元宇宙时代的来临,在线社交、游戏、媒体、学习、医疗、教育、工作、生活等诸多元宇宙场景需要大量收集、存储、分析个人数据(信息),并将上述个人数据(信息)加工、生成数据产品或服务。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,个人信息的使用包括使用目的、用户画像、自动决策机制、个性化展示、个人信息的展示限制、访问控制、汇聚融合和第三方应用管理。
网络运营者使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人同意。经过处理无法识别特定个人且不能复原的个人信息数据,可以超出与信息主体签署的相关使用协议和约定,但应提供适当的保护措施进行保护。在公共场所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。加工处理而产生的信息,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,应将其认定为个人信息,对其使用应遵循收集个人信息时获得的授权同意范围;如果属于个人敏感信息的,对其使用需符合对个人敏感信息的要求。
《个人信息保护法》
第十四条 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
《儿童个人信息网络保护规定》
第十四条 网络运营者使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。
《信息安全技术 个人信息安全规范》
7.3 个人信息使用的目的限制
对个人信息控制者的要求包括:
a) 使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意;
注:将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述,属于与收集目的具有合理关联的范围之内。但对外提供学术研究或描述的结果时,需对结果中所包含的个人信息进行去标识化处理。
b) 如所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围。
注:加工处理而产生的个人信息属于个人敏感信息的,对其处理需符合对个人敏感信息的要求。
《互联网个人信息安全保护指南》
6.3应用
个人信息的应用应满足以下要求:
a)对个人信息的应用,应符合与个人信息主体签署的相关协议和规定,不应超范围应用个人信息;
注:经过处理无法识别特定个人且不能复原的个人信息数据,可以超出与信息主体签署的相关使用协议和约定,但应提供适当的保护措施进行保护。
用户画像,是指通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。个人信息控制者应当在隐私政策中向用户告知个人信息的收集会被用于用户画像和个性化展示,并说明其应用场景和可能对用户权益产生的影响,并征得用户的同意。个人信息控制者在用户画像中对个人信息主体的特征描述不应含有歧视和违法的内容。在业务运营或对外业务合作中使用用户画像的,不应危害国家安全、荣誉和利益,侵害公民、法人和其他组织的合法权益。除为实现个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。在使用用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利;如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用,应经用户明确授权方可使用其数据。电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。
《电子商务法》
第十八条 电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。
《信息安全技术 个人信息安全规范》
3.8 用户画像 user profiling
通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。
注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。
7.4 用户画像的使用限制
对个人信息控制者的要求包括:
a) 用户画像中对个人信息主体的特征描述,不应:
1) 包含淫秽、色情、赌博、迷信、恐怖、暴力的内容;
2) 表达对民族、种族、宗教、残疾、疾病歧视的内容。
b) 在业务运营或对外业务合作中使用用户画像的,不应:
1) 侵害公民、法人和其他组织的合法权益;
2) 危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。
c) 除为实现个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。
《互联网个人信息安全保护指南》
6.3应用
个人信息的应用应满足以下要求:
c)完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利;如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用,应经用户明确授权方可使用其数据;
《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
1.5 公开的收集使用规则是否完整
e) 如果将个人信息用于用户画像、个性化展示等,说明其应用场景和可能对用户权益产生的影响。
个人信息处理者使用自动化决策的过程中,应当公开透明,事先披露治理机制、管理规则以及相关技术原理。同时,用户也有权对自动化决策提出质疑和申诉,要求个人信息处理者对自动化决策中的算法逻辑构造作出合理解释。个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。个人信息控制者使用自动决策机制且能对个人信息主体权益造成显著影响的,应在规划设计阶段或首次使用前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;在使用过程中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果改进保护个人信息主体的措施;向个人信息主体提供针对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核。
《个人信息保护法》
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
第五十六条 个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
《信息安全技术 个人信息安全规范》
7.7 信息系统自动决策机制的使用
个人信息控制者业务运营所使用的信息系统,具备自动决策机制且能对个人信息主体权益造成显著影响的(例如,自动决定个人征信及贷款额度,或用于面试人员的自动化筛选等),应:
a) 在规划设计阶段或首次使用前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b) 在使用过程中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果改进保护个人信息主体的措施;
c) 向个人信息主体提供针对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核。
3.9
个人信息安全影响评估 personal information security impact assessment
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
11.4 开展个人信息安全影响评估
对个人信息控制者的要求包括:
a) 应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险;
b) 个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:
1) 个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则;
2) 个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致差别性待遇等;
3) 个人信息安全措施的有效性;
4) 匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险;
5) 共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
6) 发生安全事件时,对个人信息主体合法权益可能产生的不利影响。
c) 在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估;
d) 在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估;
e) 形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;
f) 妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
个人信息控制者应当在隐私政策中向用户告知个人信息的收集会被用于用户画像和个性化展示,并说明其应用场景和可能对用户权益产生的影响,并征得用户的同意。个人信息控制者在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容,比如:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应提供简单直观的退出或关闭个性化展示模式的选项;当个人信息主体选择退出或关闭个性化展示模式时,提供删除或匿名化定向推送活动所基于的个人信息的选项。在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。网络运营者利用个人信息和算法为用户提供定向推送信息服务的,同时应提供非定向推送信息的服务选项;在向个人信息主体提供新闻,博客类信息服务的过程中,网络运营者利用算法自动合成文字、图片.音视频等信息.应明确告知用户。
《信息安全技术 个人信息安全规范》
7.5 个性化展示的使用
对个人信息控制者的要求包括:
a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容;
注:显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。
b) 在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;
注:基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。
c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:
1) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;
2) 当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
d) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。
《信息安全技术—网络数据处理安全要求》
5.4使用
5.4.1定向推送及信息合成
网络运营者在为用户提供定向推送或信息合成服务时的要求如下:
a)网络运营者利用个人信息和算法为用户提供定向推送信息服务的,同时应提供非定向推送信息的服务选项;
注:宜参照GB/T 35273——2020的7.5。
b)在向个人信息主体提供新闻,博客类信息服务的过程中,网络运营者利用算法自动合成文字、图片.音视频等信息.应明确告知用户。
《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
1.5 公开的收集使用规则是否完整
e) 如果将个人信息用于用户画像、个性化展示等,说明其应用场景和可能对用户权益产生的影响。
五、个人信息的展示限制
(透明化展示个人信息处理活动)
个人信息控制者在涉及通过界面展示个人信息的(如显示屏幕、纸面),宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。App持续或频繁调用敏感系统权限期间(如调用麦克风、相机、位置权限),移动智能终端宜提供展示指示标识的功能,需要考虑在屏幕显著位置展示指示标识展示方式,在前台和后台运行时均向用户提示App正在使用敏感系统权限。移动智能终端对App行为进行记录,并设置统计、查询界面,为用户直观呈现个人信息调用情况,需要考虑的要素包括记录的对象、统计和记录的行为和记录展示的信息。移动智能终端宜在操作系统设置界面的二级目录中显著位置展现系统中的各类个人信息保护功能,具体包括查看App收集个人信息行为记录情况和权限等与个人信息相关操作的管理界面。
提供业务办理与查询等功能的应用软件,对通过计算机屏幕、客户端应用软件、银行卡受理设备、自助终端设备、纸面(如受理终端打印出的交易凭条等交易凭证)等界面展示的个人金融信息应采取信息屏蔽(或截词)等处理措施;处于未登录状态时,不应展示与个人金融信息主体相关的 C3 类别信息;处于已登录状态时,个人金融信息展示的技术要求如下:(1)除银行卡有效期外,C3 类别信息不应明文展示;对于银行卡号、手机号码、证件类识别标识或其他识别标识信息等可以直接或组合后确定个人金融信息主体的信息应进行屏蔽展示,或由用户选择是否屏蔽展示,如需完整展示,应进行用户身份验证,并做好此类信息管理,防范此类信息泄露风险;涉及其他个人金融信息主体的信息时,一般情况下宜进行屏蔽展示。
《信息安全技术 个人信息安全规范》
7.2 个人信息的展示限制
涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。例如,在个人信息展示时,防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。
《个人金融信息保护技术规范》
6.1.4 使用
6.1.4.1 信息展示
提供业务办理与查询等功能的应用软件,对个人金融信息展示具体技术要求如下:
a) 依据国家法律法规与行业主管部门有关规定要求,对通过计算机屏幕、客户端应用软件、银行卡受理设备、自助终端设备、纸面(如受理终端打印出的交易凭条等交易凭证)等界面展示的个人金融信息应采取信息屏蔽(或截词)等处理措施,降低个人金融信息在展示环节的泄露风险。
注 1:关于信息屏蔽(或截词)的使用方式,参见附录 A。
注 2:金融业机构柜面打印的凭证依据有关规范执行。
b) 处于未登录状态时,不应展示与个人金融信息主体相关的 C3 类别信息。
c) 处于已登录状态时,个人金融信息展示的技术要求如下:
除银行卡有效期外,C3 类别信息不应明文展示。
对于银行卡号、手机号码、证件类识别标识或其他识别标识信息等可以直接或组合后确定个人金融信息主体的信息应进行屏蔽展示,或由用户选择是否屏蔽展示,如需完整展示,应进行用户身份验证,并做好此类信息管理,防范此类信息泄露风险。
涉及其他个人金融信息主体的信息时,除以下情况外,宜进行屏蔽展示:
——其他方主动发起的活动包含的信息,此种情况需展示必要的信息以供活动接收方对活动内容进行确认,例如:其他方发起的交易、其他方发起的收付款、保险保费代收。
——与其他方已建立信任关系(间接授权),此时需活动发起方确认发起活动的必要信息的正确性(或活动发起方需接收活动结果信息,并确认活动已正确完成),例如:向其他方收款,其他方已付款;向其他方申请代付,其他方同意付款或者其他方在自己业务应用范围内的联系人。
——其他法律法规要求的情况。
应用软件的后台管理与业务支撑系统,对个人金融信息展示具体技术要求如下:
a) 除银行卡有效期外,C3 类别信息不应明文展示。
b) 应采取技术措施防范个人金融信息在展示过程中泄露或被未经授权的拷贝。
c) 后台系统对支付账号、客户法定名称、支付预留手机号码、证件类或其他类识别标识信息等展示宜进行屏蔽处理,如需完整展示,应做好此类信息管理,采取有效措施防范未经授权的拷贝。
d) 后台系统不应具备开放式查询能力,应严格限制批量查询。
e) 对于确有明文查看需要的业务场景可以保留明文查看权限,后台系统应对所有查询操作进行细粒度的授权与行为审计。
应防止通过散列碰撞等方法推导出完整的数据,若使用“截词”的方式进行部分字段的屏蔽处理,不应用散列代替字段被截词的部分。
《信息安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》
7.1 透明化展示个人信息处理活动
7.1.1 App 使用个人信息提示
App持续或频繁调用敏感系统权限期间(如调用麦克风、相机、位置权限),移动智能终端宜提供展示指示标识的功能,需要考虑的要素如下:
a) 指示标识展示方式。在屏幕显著位置展示,包括但不限于在屏幕上方状态栏、角落采用彩色图示或下拉栏等;
b) 指示标识展示时机。App 前台和后台运行时,均向用户提示 App 正在使用敏感系统权限。
c) 权限查询及调整。可向用户提供查询正在使用敏感系统权限的 App 名称,并可对权限授权状态进行调整;
d) 指示标识含义简介。可向用户提供指示标识含义简介信息。
注:频繁调用指调用间隔小,向用户呈现持续调用的效果。
7.1.2 App 调用个人信息行为记录
移动智能终端对App行为进行记录,并设置统计、查询界面,为用户直观呈现个人信息调用情况,需要考虑的要素包括以下内容。
a) 记录的对象,包括:
1) 移动智能终端上运行的第三方应用软件;
2) 可选包括涉及个人信息处理活动的预置应用软件。
b) 统计和记录的行为,包括:
1) 读取位置数据,读写通讯录数据、读取媒体影音数据(如照片、音频和视频)、读取短信,读取生物特征数据,读取唯一设备识别码(如 IMEI、WLAN MAC 地址),调用录音、拍摄、后台截屏/录屏行为;
2) 可选记录读取应用程序列表、读取剪切板等;
3) App 自启动、被关联启动的行为,为用户呈现自启动、被关联启动情况。
c) 记录展示的信息,包括:
1) 调用行为按总量统计时,展示信息包括 App 名称、App 版本、调用行为名称、总量数据;
2) 调用行为按次数统计时,展示信息为最后一次详情或每次详情,展示信息包括 App 名称、App 版本、调用行为名称、调用行为起始时间(展示时间精度至少为分钟);
3) App 存在频繁读取位置、媒体影音数据的情况,为避免向用户展示大量无效信息,可展示最后一次详情或一定周期内的总量,其它行为宜展示每次详情。
4) 移动智能终端保存 App 调用个人信息行为的周期不少于 7 天,同时根据终端配置水平的差异,设定调用行为保存次数阈值。
注:保存次数阈值和保存周期取其中的最小值作为移动终端保存 App 调用行为记录的存储期限。
7.1.3 用户个人信息集中展示
移动智能终端宜在操作系统设置界面的二级目录中显著位置展现系统中的各类个人信息保护功能,具体包括:
a) 查看 App 收集个人信息行为记录情况;
b) 权限等与个人信息相关操作的管理界面。
《互联网个人信息安全保护指南》
6.3应用
e)应对必须要通过界面(如显示屏幕、纸面)展示的个人信息进行去标识化的处理。
《信息安全技术 个人信息安全规范》
3.15
去标识化 de-identification
通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。
注:去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。
6.2 去标识化处理
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。
《信息安全技术个人信息去标识化指南》
4 去标识化概述
4.1 去标识化目标
去标识化目标包括:
a)对直接标识符和准标识符进行删除或变换,避免攻击者根据这些属性直接识别或者结合其它信息识别出原始个人信息主体;
b)控制重标识的风险,根据可获得的数据情况和应用场景选择合适的模型和技术,将重标识的风险控制在可接受范围内,确保重标识风险不会随着新数据发布而增加,确保数据接收方之间的潜在串通不会增加重标识风险;
c)在控制重标识风险的前提下,结合业务目标和数据特性,选择合适的去标识化模型和技术,确保去标识化后的数据集尽量满足其预期目的(有用)。
4.2 去标识化原则
对数据集进行去标识化,应遵循以下原则:
a)合规
应满足我国法律法规和标准规范对个人信息安全保护的有关规定,并持续跟进有关法律法规和标准规范。
b)个人信息安全保护优先
应根据业务目标和安全保护要求,对个人信息进行恰当的去标识化处理,在保护个人信息安全的前提下确保去标识化后的数据具有应用价值。
c)技术和管理相结合
根据工作目标制定适当的策略,选择适当的模型和技术,综合利用技术和管理两方面措施实现最佳效果。包括设定具体的岗位,明确相应职责;对去标识化过程中形成的辅助信息(比如密钥,映射表等)采取有效的安全防护措施等。
d)充分应用软件工具
针对大规模数据集的去标识化工作,应考虑使用软件工具提高去标识化效率、保证有效性。
e)持续改进
在完成去标识化工作后须进行评估和定期重评估,对照工作目标,评估工作效果(包括重标识风险和有用性)与效率,持续改进方法、技术和工具。并就相关工作进行文档记录。
4.3 重标识风险
4.3.1 重标识方法
常见的用于重标识的方法如下:
a)隔离:基于是否能唯一确定一个个人信息主体,将属于一个个人信息主体的记录隔离出来;
b)关联:将不同数据集中关于相同个人信息主体的信息关联;
c)推断:通过其它属性的值以一定概率推断出一个属性的值。
4.3.2 重标识攻击
重标识攻击包括:
a)重标识一条记录属于一个特定个人信息主体;
b)重标识一条特定记录的个人信息主体;
c)尽可能多的将记录和其对应的个人信息主体关联;
d)判定一个特定的个人信息主体在数据集中是否存在;
e)推断和一组其它属性关联的敏感属性。
4.4 去标识化影响
对数据集进行去标识化,会改变原始数据集,可能影响数据有用性。业务应用使用去标识化后的数据集时应充分认识到这一点,并考虑数据集变化可能带来的影响。
个人信息处理者应当采取以下措施防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案。个人信息控制者对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作;对安全管理人员、数据操作人员、审计人员的角色进行分离设置;确因工作需要,需授权特定人员超权限处理个人信息的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;对个人敏感信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。个人信息主体应拥有控制本人信息的权限,包括:1)允许对本人信息的访问;2)允许通过适当方法对本人信息的修改或删除,包括纠正不准确和不完整的数据,并保证修改后的本人信息具备真实性和有效性。
《个人信息保护法》
第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
《互联网个人信息安全保护指南》
6.3应用
个人信息的应用应满足以下要求:
b)个人信息主体应拥有控制本人信息的权限,包括:
1)允许对本人信息的访问;
2)允许通过适当方法对本人信息的修改或删除,包括纠正不准确和不完整的数据,并保证修改后的本人信息具备真实性和有效性;
d)应对个人信息的接触者设置相应的访问控制措施,包括:
1)对被授权访问个人信息数据的工作人员按照最小授权的原则,只能访问最少够用的信息,只具有完成职责所需的最少的数据操作权限;
2)对个人信息的重要操作设置内部审批流程,如批量修改、拷贝、下载等;
3)对特定人员超限制处理个人信息时配置相应的责任人或负责机构进行审批,并对这种行为进行记录。
《信息安全技术 个人信息安全规范》
7 个人信息的使用
7.1 个人信息访问控制措施
对个人信息控制者的要求包括:
a) 对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;
b) 对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作;
c) 对安全管理人员、数据操作人员、审计人员的角色进行分离设置;
d) 确因工作需要,需授权特定人员超权限处理个人信息的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;
e) 对个人敏感信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息。
七、基于不同业务目的所收集
个人信息的汇聚融合
个人信息控制者基于不同业务目的所收集个人信息的汇聚融合,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。个人金融信息汇聚融合的数据不应超出收集时所声明的使用范围。因业务需要确需超范围使用的,应再次征得个人金融信息主体明示同意。应根据汇聚融合后的个人金融信息类别及使用目的,开展个人金融信息安全影响评估,并采取有效的技术保护措施。
《信息安全技术 个人信息安全规范》
7 个人信息的使用
7.6 基于不同业务目的所收集个人信息的汇聚融合对个人信息控制者的要求包括:
a) 应遵守7.3(个人信息使用的目的限制)的要求;
b) 应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。
3.9
个人信息安全影响评估 personal information security impact assessment
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
11.4 开展个人信息安全影响评估
对个人信息控制者的要求包括:
a) 应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险;
b) 个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:
1) 个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则;
2) 个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致差别性待遇等;
3) 个人信息安全措施的有效性;
4) 匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险;
5) 共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
6) 发生安全事件时,对个人信息主体合法权益可能产生的不利影响。
c) 在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估;
d) 在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估;
e) 形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;
f) 妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
《个人金融信息保护技术规范》
6.1.4 使用
6.1.4.6 汇聚融合
个人金融信息汇聚融合的技术要求如下:
a) 汇聚融合的数据不应超出收集时所声明的使用范围。因业务需要确需超范围使用的,应再次征得个人金融信息主体明示同意。
b) 应根据汇聚融合后的个人金融信息类别及使用目的,开展个人金融信息安全影响评估,并采取有效的技术保护措施。
App 使用 SDK 处理个人信息时,App 提供者、SDK 提供者应遵循《个人信息安全规范》的七项基本原则,具体包括:权责一致原则、目的明确原则、选择同意原则、最小必要原则、公开透明原则、确保安全原则和主体参与原则。网络运营者应当建立个人信息保护“双清单”,包括已收集个人信息清单、与第三方共享个人信息清单,并在APP二级菜单中展示,方便用户查询。网络运营者应对接入或嵌入其产品或服务的第三方应用加强数据安全管理。
《移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》
4.3 SDK 收集使用个人信息问题
如果SDK收集使用个人信息方面存在安全问题,App使用SDK时将对App用户个人信息构成安全风险,主要体现在:
b)未说明App嵌入的SDK收集使用个人信息的目的、类型、方式。SDK通常无法独立展示前台页面,其告知行为往往需要借助宿主App透出给用户,但由于一些SDK未向App告知或完整告知自身所收集的个人信息,或者SDK公开了收集使用规则但App担心影响用户体验未向用户明示等原因,造成用户对SDK收集使用个人信息无感知。
c)SDK未经用户同意收集、使用或对外提供个人信息。例如App嵌入的SDK未经用户同意,私自调用权限隐蔽收集个人信息,私自通过自启动、关联启动等方式收集个人信息,SDK实际收集的用户个人信息超出公开文档所声明的系统权限和个人信息,SDK提供者超出用户授权范围使用个人信息,私自向其他应用或服务器发送、共享用户个人信息等。
d)App对嵌入SDK的安全管理监督不足。由于许多App与SDK通过开放平台在线签署开发者服务协议来约定权利义务,而开发者服务协议很少有专门约束数据安全的规定,以及App对SDK收集使用个人信息进行技术检测存在难度等原因,App对嵌入的SDK收集使用个人信息情况不够了解,容易引入SDK违法违规收集使用个人信息的合规风险,需要App对共享给SDK的个人信息,双方权利义务及第三方SDK收集使用个人信息情况等加强管理监督。
5.1 App 使用 SDK 安全
App 使用 SDK 处理个人信息时,App 提供者、SDK 提供者应满足 GB/T 35273-2020《信息安全技术 个人信息安全规范》相关角色要求,并均应遵循《个人信息安全规范》的七项基本原则,具体包括:
a) 权责一致原则:App 提供者、SDK 提供者均应对其个人信息处理活动对用户合法权益造成的损害承担相应责任。
b) 目的明确原则:App 选用处理个人信息的 SDK 时,应保证SDK 具有明确、清晰、具体、合理的个人信息处理目的,且与 App业务功能直接相关。
c) 选择同意原则:向用户明示嵌入的 SDK 收集使用个人信息的目的、类型、方式,及 App 共享给 SDK 提供者的个人信息类型,并征求用户授权同意。
d) 最小必要原则:App 仅嵌入满足业务功能需要的最少够用的SDK。SDK 不申请与 App 业务功能无关的权限,只收集满足所提供服务所需的最少个人信息类型、数量和频度。
d) 公开透明原则:SDK 以明确、易懂和合理的方式向 App 公开SDK 处理个人信息的范围、目的、规则等,SDK 收集使用个人信息实际行为应与公开文档声明保持一致。App 提供者对嵌入的 SDK 收集使用个人信息和安全风险进行管理监督。
e) 确保安全原则:App 提供者、SDK 提供者采取足够的管理措施和技术手段,保护数据的保密性、完整性、可用性,SDK 提供者采取措施保障 SDK 开发安全和隐私设计。
f) 主体参与原则:SDK 提供者建立能够查询、更正、删除其个人信息,及撤回授权同意、投诉等渠道,并协助 App 提供者展示相应渠道,以响应用户个人信息权利请求。
《信息安全技术—网络数据处理安全要求》
5.4使用
5.4.2第三方应用管理
网络运营者应对接入或嵌入其产品或服务的第三方应用加强数据安全管理,包括:a)应通过合同等形式,明确双方的数据安全保护责任和义务:
b)应监督第三方应用运营者加强数据安全管理,发现第三方应用没有落实安全管理责任的,应及时督促整改,必要时停止接入﹔
c)网络运营者知道或者应知道第三方应用利用其平台侵害用户民事权益,未采取必要措施的,应与第三方应用运营者承担连带责任:
d〉宜对接人或嵌入的第三方应用开展技术检测,确保其数据处理行为符合双方约定要求,对审计发现超出双方约定的行为及时停止接入。
或许您还想看
上下滑动查阅
中小股东权益保护篇三——从事实和合法合章要件判定公司决议不成立
反不正当竞争法保护篇一——商业标识在反不正当竞争法语境下的混淆误认
侵犯商业秘密罪重大修改评述——降门槛加罪名列手段明标准提刑罚
侵犯商业秘密罪中司法鉴定的采信——非公知性、同一性和重大损失鉴定
元宇宙法律篇(二)——建立元宇宙经济系统的NFT法律问题探析
元宇宙法律篇(五)——提供元宇宙流动性之加密货币法律问题探析
元宇宙法律篇(七)——中国式元宇宙钱包之数字人民币法律问题探析
元宇宙法律篇(八)——构建元宇宙虚拟世界之虚拟现实法律问题探析
元宇宙法律篇(十二)——颠覆教育元宇宙入口之脑机法律问题探析
元宇宙法律篇(十四)——构建元宇宙细胞之个人信息法律问题探析
作者简介
黄 斌
北京德和衡(深圳)律师事务所高级联席合伙人
黄斌律师,北京德和衡律师事务所数字经济与人工智能业务中心副总监,元宇宙科技与法律研究中心主任,深圳律协数字经济专委会副主任,北京德和衡(深圳)律师事务所高级联席合伙人,公司业务部副主任,北大法律信息网签约作者,《互联网法律评论》特约专家,无讼公开课讲师,无讼专栏作者,百度百家号VIP作者,华中科技大学法律硕士,专利代理人。
擅长专业领域为:数字经济、元宇宙、NFT、虚拟人、区块链、虚拟货币、公司法、建设工程、知识产权。
黄斌律师专注于中小股东保护,深度研究数万个判例进行解码,从董事推荐、公司决议、股东退出等多维度完成了公司中小股东保护法律服务产品;在大学从事近十年建设法规教学,从建工合同的签订、入场、施工、变更、退场等多维度保护建工企业及实际施工人的权益;曾从事三年专利代理工作,参与了武烟集团公司知识产权战略规划。2017年完成江西省工商联课题“民企知识产权保护”,现为中国最大法律人社区无讼阅读“商标有道”专栏作者,在北大法律信息网和无讼阅读平台上发表过《中国好声音:到底是谁的好声音》等100多篇知识产权法文章,《麦当劳中国更名为“金拱门”相关法律问题评析》荣获“无讼”阅读2017年度专业文章第一名,《短视频版权保护的江湖风云》收录在《大数据—北大法律信息网文粹(2018-2019)》一书。代理案件中江西网络电视台诉暴风科技信息网络传播权侵权案入选江西省高院2017年十大知识产权经典案例、田某某侵犯商业秘密罪案(判三缓五)入选2021年江西省检查机关保护知识产权典型案例。
手机:18128820372
邮箱:huangbin@deheheng.com
质控人简介
辛小天
合伙人
数字经济与人工智能业务中心总监
xinxiaotian@deheheng.com