对《个人信息安全规范》五大重点关切的回应和解释
编者按:
随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法,或者转载对该标准的评论文章。
本文作者是公号君本人,着重对中外评论中出现的五个问题做出回应和解释。本文文字内容和PPT均来自2月2日参加中国互联网协会研究中心等举办的“网络产业与《个人信息安全规范》国家标准”研讨会。
以下是本人的发言实录:
感谢各位能够参加此次会议。
说到底其实《个人信息安全规范》是推荐性的国家标准,不具有强制力,大家对推荐性的国家标准,给予这么高的关注,我个人觉得,说明大家对个人信息保护有必要去做这样的事情,在时间点上,也体现了个人保护到了这样的阶段。
如果说2018年1月1号之前,我们对个人信息保护关注更多的是对完整性、保密性、可用性“三性”的关注,也就是说,个人的数据给到企业或者组织,不要被弄丢或者被别人用了;2018年1月1号之后出现连续的事件,体现出民众诉求在发生变化,不再只是关注信息不要被黑客攻击泄露,更多关注的是,我的信息可以给你用,但你必须告诉我收集的范围,有没有尊重我的意愿,有没有随便不经我同意给到他人。这一系列的事件,实际上不需要我们再枚举,很多机关也都约谈了这些事件的相关企业,媒体也在做报道。
就像吴秘书长所说的,2018年是信息保护的元年。这个元年的意义在于,原来只是关注安全(即完整性、保密性、可用性),但是现在更多对个人对自己信息的控制非常关注。这种诉求的变化作为背景,《个人信息安全标准》恰好在2017年末、2018年初这个时间点出来,但实际上标准公布不是预先设计好的,而是从2016年4月开始做,正好在这个时间点发布出来,我们算是蹭到了热点,因此,大家对个人信息标准关注度就特别大。
时间不足以让我把标准方方面面和大家做介绍一遍,我主要谈五个方面的大问题。因为这五个方面是我在近期读到的中外评论,或者说和领导、专家或者各位朋友讨论时经常碰到的五个问题。我希望利用这次机会,利用第一个发言的机会和大家做分享。
一. 规范是否比欧洲的GDPR更严格?
《个人信息安全规范》是根据《网络安全法》基本框架制定的。为什么这么说呢?或者说这句话背后有什么样的意思呢?
首先我们可以看一下《网络安全法》对个人信息保护的规定。《网络安全法》对个人信息保护的规定有一个非常显著的特征,就是给个人特别强的控制权。我相信大家应该特别熟悉条文的,比如说,收集使用需要个人的同意,即经被收集者同意;处理和保存必须遵循与用户的协定;那么什么情况下,个人有删除和更正的权利呢?当你违反用户的协定处理或者保存个人信息,用户有删除和更正的权利。当发生安全事件之后,还需要通知到用户。实际上,个人信息所谓全生命周期每个环节,个人都是能参与到过程中去的。这些权利是《网络安全法》赋予的。
从这个方向来看的话,“同意”便是非常核心的位置。首先,收集使用需要同意,我和你事先有一个约定,我同意了这个约定,超出这个约定的处理行为,我就能够要求删除或者更正,出了事就算有安全事件了。
很多外国学者或者外资律师事务所评论这个标准的时候,往往会忽略这个前提条件,他们认为“中国的标准全世界最严,比欧洲严多了,欧洲GDPR已经挺严了,我们比GDPR还严”,他们的理由是,GDPR有六个合法正当处理个人信息的事由,同意是第一项,后面五项不需要同意。第六项是正当利益。
所谓“正当利益”是说,个人信息对我这个组织来说非常重要,对我有非常重大的利益,但是处理个人信息对合法权益的影响又特别少。作为利益平衡的话,明显我的利益特别大,对你的损害和损失忽略不及或者特别小,这时候可以用正当利益合法性事由,不需要用同意(就能处理个人信息)。所谓就有人说,欧盟这么严的东西,都给了(“正当利益”这样的)口子,为什么标准没给呢?
说老实话这不是我们想给不想给的问题,这是《网络安全法》的要求。在第41条的第一款中写“经被收集者同意”,这里没有给任何例外,如果网安法想给例外,这一条就完全另外一种写法,比如说,“有法律法规授权或者其他正当事由或者经被收集者同意”, 但是,(最终的网安法)没有“或”字,原文是“经被收集者同意”,字面上理解的话,遵循法律原意就是各个环节被收集者同意。包括后面条款说到,“未经被收集者同意,不能向他人提供”。这也是法律的基本原话,同意是提供的主要事由之一。当然后面提了一句如果匿名化不需要个人同意。
《网络安全法》给了这样的一个框架,因此《个人信息安全规范》应当在这个框架下做进一步的细化。所以为什么个人信息规范没有提到“正当利益”呢?不是我们没有注意到,我们在做标准的时候,和国外同行或者企业,包括我们和微软有好几轮的讨论,和思科也有好几轮讨论,我们当时就说,“正当利益”这四个字在标准里我们不敢写,因为我们毕竟不是立法者。
但是,在现实中有什么样的场景经常用到正当利益,或者在法院或者行政机关认可的站得住脚的对正当利益的使用实例,那么我们能不能写到“征得授权同意的例外”中?比如说产品出了一个故障,肯定需要回传一些信息做调试,再比如说需要计费,为了计费的目的肯定要收集个人信息。这时候,虽然在国外,这叫正当利益的具体表现,但是我们没有写“正当利益”四个字,但我们尽量把它放到“征得授权同意的例外”当中去。
当然,由于例外只是举例,永远不可能代替正当利益所给的灵活性,肯定会有很多人读起来觉得规范太严了,中国标准写得这么严,用国家安全的事做了信息保护的事呢?实际上不是的,法律框架事先给我们就是这样的一个框架,在这个框架下,我们好比说就是带着镣铐在跳舞,我们不能说把镣铐挣脱掉在那儿跳舞,肯定是不对的。
如果说今年个人信息保护立法能进到立法规划中,可能两年三年后有条文的话,它可能设立另外一个框架。在那个框架下,这个标准两年后、三年后完全可以进行修定。现在能说的是,这个标准现在是按照《网络安全法》框架下所做的细化。
实际上,企业不要觉得“同意”不用做了,企业的义务就变低了,实际上反而更不容易。比如说GDPR的正当利益,想用正当利益事由必须举证,某个监管机构找到你的时候,会问你凭什么不用同意事由而用正当利益事由,法务人员得做大量的成本利益分析。比如我的成本收益特别大,对你的损害特别小,或者说我采用安全措施,使得对个人信息主体合法权益影响会特别小。等于说内部得做这样的证明,才能说用正当利益这件事,我们的法务多了一项证明的要求, 在GDPR当中,大量的东西是需要内部法务做证明需求的,忠实记录内部各个流程变得非常重要,将来事后变成追究责任的理由。因此,对GDPR的认识不能只停留在同意这一个项目上,GDPR实际上要求的风险动态合规,要求非常之高。
如果说将来中国的个人信息保护法也用同样的框架,同意的要求变低了,那很自然,企业的accountability(问责)的要求就变高了,accountability变高的话,在现实中风险或者说判断就更模糊了,一定会用模糊的语句告诉你说,必须负起这个责任来。实际上,这样内部合规考量更复杂更多了。反而在现在《网络安全法》框架下,同意是相对容易做的事情。一会儿我可以分享一下在四部委组织下对十个产品和服务,他们怎么样做改善“同意”的事情。等于说,同意反而是合规成本较低的选项。
当然了,我们相信将来会有区别对待,会有减弱同意的需求。因为实际上很多场景下不可能拿到同意,不可能拿到同意的情况下,我们需要内部有更多合规的要求。因为个人参与得少了,组织承担的责任肯定就要大了。这是我想跟大家分享的第一点,就是我们到底有没有比GDPR严。
二、从风险防控的角度出发
《个人信息安全规范》在制定的时候没有涉及个人信息到底是个人还是企业的,收集来是不是企业的?此前我们经常在媒体或者学术研讨会上听到的争论:个人信息到底归属于谁,所有权在谁呢?
《个人信息安全规范》完全没有触及这个问题,标准没有想去解决这个问题。为什么呢?我们是从公法的角度,从防范风险的角度去考虑。等于说组织或者企业开展个人信息处理活动,活动的各个点有可能对个人信息主体的合法权益造成哪些可能的不利影响,那我们去把各个关键点上,争取做一些安全控制的措施,去尽量降低风险,等于说我们是从风险防控的角度。
既然是从风险防控的角度,风险管理的框架首先就要求识别和评估风险,看一下谁最能有效应对或者监控风险。识别和评估风险,按照风险管理框架,一是看影响是什么,二是可能性有多大。
那么影响有多大就是,个人信息到你这儿,给了组织了,个人害怕两件事,一个就是黑产的盗用,一个就是个人信息控制者的滥用和误用。
黑产盗用就是说,我的信息给了你,你得保护好,不能让黑客偷了,偷了之后怎么样用,完全控制不住的。如果没被偷,但是我还是不希望你能随随便便使用。《网络安全法》说了,收集者需要遵循和我的约定,这是立法的原话。要尊重用户正当的期待,这也是美国法、欧洲法讲的内容,要尊重我的正当期待,reasonable expectation。
针对这两个风险,谁能最有效的应对或监管这样的风险呢?一是个人自己,二是企业。个人的话,信息给到你,将来怎么样用,对我是一个黑箱,基本上没法了解到。所以说更多的责任应该是在个人信息控制者,也就是组织或者企业承担这样的责任。
那么对于个人来说,既然《网络安全法》给了要求同意的选项,我们根据上述的风险分析,提出了个人对个人敏感信息拥有增强控制权利。对普通的信息,我们觉得控制权利没必要那么大,如果事事都要个人点击同意的话,将来这个产品或者说界面会让人难以忍受。当时我们做了这样的分析,最后做了选择,到底谁是最有效的应对和监控风险的对象,我们就相应给他一些权利或者义务,这是我们当时在做标准前所做的分析。
这个图我想跟大家分享一下,图并不是我首创的。CIA三性是做信息安全非常明确的——完整性、保密性、可用性。但是上面还有三个性,也不是我个人的总结,是德国个人数据保护官总结出来的。为什么总结这三性呢?他说,系统开发人员往往不了解法律,他们不是学法律,不懂法律上的要求,怎么样和他们沟通呢?不要讲法律的语言,完整性、保密性、可用性是他们能懂的,但上面的透明性、可干预性、不可联结针是对个人信息保护要求提出的。
我解释一下上面的三个性。透明性是指,数据到你那儿你做了哪些处理,会流转给谁?要做到透明。什么叫可干预性呢?比如说《网络安全法》说了,违法收集个人信息,个人是可以要求删除的。当你对某个信息做一定的处理后,事后发现是违法的,那么个人想要删除,网安法也是要求需要删除。这时候系统就要有可干预性。就是要找到,某个个人信息进来之后,在它的基础上又产生了哪些衍生个人信息,必须有能力把这条线画出来,一一把它删掉。
不可联结性,是指不同的场景不同目的的数据,不能随便联在一起,比如说,我们有一个大数据平台。如果说最后各个业务线的数据存在统一一个大数据平台里的时候,你必须有一个不可联结性。比如说某个计步软件,我们都买智能手表,他想把计步的步数给保险公司,保险公司说这个数据对我很管用,知道这个人很懒还是很勤快,一天走一万多步还是一天走一千步,这样的话我就知道他的身体状况好不好?我就可以调整保费高或低。我们个人不清楚的话,永远不会想到,买一个计步手表戴着有这个功能,还要对我开始定价了。当用户没有明确同意的时候,当不同业务线汇到一起的时候,你的数据不能随便联结的。
如果说,个人信息系统要讨论合规性的话,要实现六个性,内部必须有数据分级分类、数据打标、数据地图、数据血缘关系、数据流向、留痕审计。这些都是基础的合规能力,用于满足的是对个人信息特殊对象的保护而不是对普通数据的保护。
除了《个人信息安全规范》已经发布了,我们下一步正在做的标准就是《个人信息安全影响评估》。影响评估实际上做了两件事,一个是合规的差距分析,有一个业务,数据流画出来,个人信息从哪儿流到哪儿,有几个关键节点,把标准的要求体现在各个点上,看看有没有合规上的差距?第二种是,将来有某种新的技术、新业态、新技术,标准和法律有没有试想过这个场景,我们为了尽早做到个人信息保护的话,企业不能说因为法律法规没有定就可以做。我们就可以说,首先,总有一些一般性的条款能用到你这个场景中,比如说IoT设备,小传感器没有界面,怎么样做告知?可以说不做告知,反正没规定。肯定会有一些一般性的规定通过理解能用到你身上。
其次,如果说企业有了社会风波、公共舆论事件,最后吃亏的还是你自己。所以说我们希望做好的这个标准提供一个方法论,我们的法务或者合规人员面对这两个场景的时候,通过这个方法论,能自己提出一些用于降低个人信息保护风险的措施,尽量自觉主动保护个人的信息。
《个人信息安全规范》和影响评估标准加起来希望达到的目的,个人对其个人信息有选择性、增强式的控制权。通过个人信息安全影响评估,不断抬高组织的个人信息保护的水平基线。
三、如何破解“同意”困境和“一揽子”的强制授权
舆论上有各种各样的诟病,说是(隐私政策)逼着我同意,(隐私政策)文本那么长没人读,就点了同意之后,什么就可以干了,而且我不同意的话还不能用你这个东西了。
面对这样的情况,我们的标准提出了什么样的方式试图解决呢?首先要认识到,隐私政策长文本到底有没有作用呢?要知道它是多重作用,它的读者对象不停仅仅是用户个人,监管机构也会读,学者也会读,南都这样发挥社会监督机构也会仔细读,甚至会对比。虽然隐私政策文本又臭又长,但它的对象是多重的,起得作用也是多重的。【对隐私条款的再思考及国家标准《个人信息安全规范》的破局之路】
比如说,美国的FTC(美国联邦交易委员会)的执法依据 —— deceptive and unfair practices。这里的deceptive是说,在隐私政策中承诺了,但回头发现实际情况和承诺不符,我就认为你在做deceptive,所以我们就能够追究你的责任。unfair的意思是说,就算忠实于承诺,事实上给普通消费者造成实质性的损害,这个情况下就是unfair。也就是说,用deceptive and unfair来做一个个人信息保护在消费者角度的基础性标准。同样,这里提到的deceptive and unfair说明,FTC会去读长文本,从这个角度来说,长文本还是尽可能要全,其发挥的功能不仅仅是满足个人消费者阅读。
很多人觉得,《个人信息安全规范》中关于“同意”规定的,比欧盟和美国严多了?我想这也是一个误读。在这里我也想讲一下我们的分类。《网络安全法》写的是经被收集者同意,但这里的“同意”没有说明示或者默示。
欧盟GDPR把默示同意消灭掉了。他们有两种同意,一种是explicit consent,也就是确确实实写着“我同意”。另一种就是unambiguous consent,这种同意是说,点击“发送”或者点击“拨打”,这个动作清清楚楚表明我是同意的,但这个键不需要写成“我同意”了。
在我们的个人信息安全规范中,是将explicit consent和unambiguous consent两种情况合并为“明示同意”,但是我们同时留下了授权同意的空间。为什么我们不敢写默示同意?首先,我们害怕企业会滥用我们的默示同意。其次,我写上“授权同意”,意思是说鼓励你做明示同意,如果现实大量的场景做不到明示同意的话,还是需要用到默示同意的。从这一点上我们的标准实际上比欧盟松得多,跟美国相对是看齐的,我们的标准同时存在授权和明示。还有就是我刚才提到,同时我们对个人敏感信息要有一个增强的控制权利,对个人的敏感信息统一要求要用明示同意的方式取得授权,而不能用授权同意的形式。
那么如何破解“一揽子”授权的情况?我们建议企业区分核心功能和附加功能。这一点在此前四部门针对十个产品的评测中得到了实现。什么叫核心,什么叫附加,希望达到什么样的效果呢?拿微信举例,微信核心功能就是聊天,这是它核心功能,在实现核心功能中需要收集无论是敏感信息还是普通个人信息,用户肯定都要给他,不给他确实用不了微信。微信上的理财通明显属于附加功能。用户使用微信,可以只想聊天,不想用理财。所以我们建议企业在告知时区分核心和附加功能。
在座的参加测评的,京东的同事专门写了文章,一开始看到这个区分觉得很不好实现,但是最后在做了这个区分反而觉得这是非常明晰、有效的管控手段。【对用户知情同意规则的中国式探索——兼论国标《个人信息安全规范》】将来面质疑的时候,可以说我做了核心或者附加功能的区分,而且隐私政策的长文本为了完整,为了监管机关和社会监督机构,肯定要把核心和附加功能写全。但即便点击了隐私政策长文本的同意,并不意味着附加功能同时一并打开。在现实使用中,还是需要再次点击同意。
比如微信的理财功能,需要再一次开启理财的功能。再比如说,支付宝上面还有一个芝麻信用,你开支付宝帐户的时候,隐私政策长文本都写全了,点了同意,不代表点同意一刹那间芝麻信用帐户也就同时开了。现实中用户还是要点一次开通,再一次确认授权。
也就是说,通过核心和附加的区分,把一揽子协议的东西打破了,用户对于核心功能实现所需要的信息还是应该给到企业。附加功能的话,完全可以随时开启或者关闭的。
很多企业会说,我怎么知道核心和附加怎么样区分和界定呢?我偏偏认为这个功能就是核心,那个功能就是附加的。我们的标准当时没有想规定什么叫核心和附加,就是想故意留一个口子,就是希望通过市场竞争或者社会监督能够起到这样的作用。比如说,同样是通信软件,有一家把核心功能定得特别大,附加功能定得特别小;那家把核心功能定得很小,附加功能定得很大,我相信一定会有有社会监督机构或者监管机构约谈时说,你为什么定得不一样。这样,通过市场竞争和比较,逐渐形成行业上的惯例,什么叫核心,什么叫附加。而且有核心附加区分的话,用户不同意附加功能的话,核心功能的质量必须给予保障,这是规范所做的要求。
附加功能在实际使用中还需要用户主动开启,并非点击同意隐私政策文本即自动开启。特别恳请各位专家今后接受媒体采访的时候,不要以为点击长文本好像强制性一次性都同意了,很多企业慢慢在做核心和附加的区分,点击长文本只是说告诉你我们的全集是什么,不代表点击了同意就是把所有的功能全集一次性都打开了。
讲完如何破解“一揽子”授权后,一起来看看如何增强“同意”?现在我来介绍一下参加四部门开展的隐私条款专项工作的十款产品和服务分别有什么创新(略)
四、规范中个人信息的定义全世界最宽泛?
有专家评论《个人信息安全规范》中个人信息的定义全世界最广最严的定义,这点我想和大家讨论一下。
附录A某项信息是否属于个人的信息,考虑两个路径,一是识别,从信息到个人,由信息本身特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联路径,我特别想强调,关联路径前提是个人已经识别出来了,他后续做的一系列动作,系统又被记录了,他所做的动作往往显示偏好和行为轨迹,这些肯定是属于个人信息的。这是识别路径和关联路径。
为什么要有关联路径呢?某社交平台说我把身份信息保护得特别好,帐户、用户名和手机号和身份证号、家庭住址和姓名都保护得特别好,但是它把我们朋友的关系网络,比如说特别关注的几个对象,屏蔽了谁,不屏蔽谁,给哪个消息点了赞不点赞,这些东西把它叫做系统日志信息。他说,系统日志信息是系统的,和个人没关系,个人身份要保护好,但个人做的行为动作是系统日志,不需要保护,不是个人信息。大家肯定会觉得这不合理。比如说我是心理取向有问题,我在某些平台上关注一系列很不好的事情。我肯定不想让大家知道我是这样的人。反而很多时候这种东西更想保护,不仅仅是身份,比如说我不介意大家我是北大的,这些我不在意。但是我的一些动作我不想让大家知道。因此,企业只管识别,不管关联,关联不是个人信息,说它是系统日志,这是不对的。
有专家看完《个人信息安全规范》评论说,识别是欧盟经常用的路径,关联是美国经常用的路径,把识别和关联都加起来,比美欧都严怎么回事?想把中国互联网产业窒息死吗?我觉得这是一个误读。
首先我们来看欧盟的定义,any information relating to an identified or identifiable natural person,首先这个person是指可识别的或者已识别的。任何信息关于这样的个人的,就叫做个人信息。
这句话实际上已经把识别和关联都包含了,比如说any information relating to an identified person就是关联的路径了;any information relating to an identifiable person,这就是识别的路径了。实际上最广泛的是欧盟,我们肯定不想做到欧盟那样,实际上已经包含识别和关联两个路径。所以我想和专家商榷的地方,首先绝对没有超过欧盟范围的。
《网络安全法》个人信息定义是能够识别单独识别或者结合起来识别个人身份的信息,中文语境的“身份”特指的是我的工作单位、我的职位,我的职级叫做身份。但是来看一看欧盟GDPR对“身份”的定义,包括physical, physiological, genetic, mental, economic, cultural or social identity,比如说我是一个同性恋,我们肯定不会觉得这句话在中国语境里是“身份”,但是这个在欧盟就会认为这是physiological identity或者genetic identity。这是中文和欧洲语境的区别,同样是“身份”这个词,可能我们企业理解的,动作不叫个人信息,身份是属于个人信息的。
我们再来看看美国的。这是美国2015年前总统奥巴马专门想推的Consumer Privacy Bill of Rights的法案,大家会觉得这是关联路径,any data are linked, or as a practical matter linkable to a specific individual, or linked to a device that is associated with or routinely used by an individual, 他还不止是要关联到个人,如果是个人经常用的设备,如果能关联到的,也算是个人信息。
大家来看这张图,e指的是生物信息,f是指帐号,比如设备的UID,手机上有一个IMEI号,都是叫个人信息;H是指任何信息能和上述这些东西相连的信息叫个人信息。
我们再来看一个图,这是美国商务部下的NIST(美国国家标准与技术研究院)的标准PⅡ,这里有两类,第一类是能够用来区别(distinguish)或勾勒个体身份的信息,第二类是能够和个人相关联(的信息。只要有这个特征把我从这堆人中找出来(single out),比如说在座的100人中有我穿着立领衬衣,能持续找到我个人的话,就叫个人信息。不用知道说我叫洪延青,我在北大工作,不需要,现实中大量的互联网公司不需要知道这个信息,常用这个电脑常用这个设备经常在干哪些事,看哪些信息就够了,不需要知道你的个人身份。所以即便是美国标准的定义,或者回到奥巴马2015年那个没成功的法案,定义也是两类的,一类是关联,一类是识别。
我们再来认识一下这两个分类的话,第一类,关联信息,现阶段我国有很多学者都不认为是个人信息,这些数据不能了解到你的职位名字和住址,但是通过这些数据我能在茫茫中持续跟踪你,把你找到,而且以此为基础跟你有一个互动,这个就叫做识别信息,哪怕不能说这个身份是谁,比如说我手机的IMEI号,这个号虽然就是一串字符,通过这个东西时时刻刻和你发生互动,在各个环节干哪些事,这就是为什么我们大量APP要收集你的收集IMEI号。
第二类个人信息,识别类的,比如说识别、密码,就是如何在网上建立个人的身份,到底你是不是洪延青,前面我讲的两类是识别用的。
最后一个是关联的,就是说个人被识别出来之后,有了一些动作,体现出我的偏好和爱好,思维状态的动作的话,实际上用识别的路径,把个人画像描绘得更加全面了。事实上这个个人信息如果说要分的话有三类,有不同识别的三类。
最后我想说,我们这个标准在《网络安全法》框架下设定的,这个框不能超越的,同意是必然的要件。如果说没有这个框的话,让我自己能够自由发挥的话,我可能会根据上述三个不同类型的个人信息分配三类的风险和控制措施,有些是需要同意的,有些不需要同意的,我肯定会按照这个框架来,但现在没有法律框架,我们也不能做这样的事情。我只能在编制组企业、政府、事业单位,在编制过程当中坚持《网络安全法》所给的框架,所以说做了这样的事情。但是说老实话,我也很期待将来《个人信息保护法》出来之后,给一些灵活实践中有弹性的规定,届时我们的标准会在那时候再适时做出修改,反映可弹性的操作空间。但是现在的框架只能做到这个样子。
五、对个人信息出境做了什么规定?
《个人信息安全规范》对个人信息出境并不做规定,现在就是通过8.7引导目前正在制定的《个人信息和重要数据出境安全评估办法》和《数据出境安全评估指南》。如果《个人信息安全规范》要对出境做出规定的话,肯定不会只是写8.7这个一条。
所以可以说,《个人信息安全规范》并不涉及数据出境的要求。
六、总结和展望
上述五个问题,经常是我碰到评论或者说阅读国内外评论经常遇到的四个问题,我想借此机会和大家分享一下。
在做标准的时候,我们明确要求给自己的任务或者参与企业有这样一个诉求,我们可能会比美国做得稍微严一点,但是我们绝对不会比欧洲严,而且会与欧洲拉开一定的距离。
最后,我们是一个推荐性的标准【如何理解《网络安全法》与国家标准《个人信息安全规范》的关系】,主要是引导大家往这个方向走,不具有强制效力,给大家一个参考,给法务部门的同志在做内部合规体系建立的时候有一个清晰公共产品可以引用。【浅议以《个人信息安全规范》为主干梳理企业的个人信息保护合规规则体系】谢谢大家!
本公号此前发布的对《个人信息安全规范》的评论文章如下: