我眼中的《信息安全技术 个人信息安全规范》(GB/T 35273-2017)
编者按:
随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法,或者转载对该标准的评论文章。本文作者是北京师范大学刑科院暨法学院副教授、硕导、中国互联网协会研究中心秘书长吴沈括。
我眼中的《信息安全技术 个人信息安全规范》(GB/T 35273-2017)
在大数据、云计算、物联网以及人工智能等新一代信息技术迅速普及推广的当下,网络安全语境下的个人信息与数据治理日益凸显其战略意义,包括《个人信息安全规范》在内的一系列政策战略、法律法规以及其他规范相继颁布施行,充分反映了主管机关对于民众权益、产业发展和国家利益的高度重视,也折射了当下中国个人信息保护所追求的多元价值集合的鲜明路径特色。
总体而言,在网络安全法治框架下,立足信息安全的维度,《个人信息安全规范》厘定、阐明了个人信息安全保护领域的诸多重要问题,例如“个人信息”这一术语的基本定义、个人信息安全的基本要求等等,并且突出了个人信息全生命周期动态调节的机制特色。在目前我国个人信息处理规范相对不足的情况下,可以认为《个人信息安全规范》的出台在技术性实操层面填补了诸多规则空白,为提升公民意识、企业合规和国家监管水平提供了新的业务参照、新的行为指引。
标准是从管理、控制风险的角度出发,其核心是在收集、处理个人信息过程中,尽量降低对个人合法权益造成的不利影响。因此,《个人信息安全规范》将具备识别特定自然人或者在一般情况下可以关联到自然人的信息纳入“个人信息范畴”,是给了参考列表。
此外,在《个人信息安全规范》的附录中,将Cookies、IMEI、MAC地址等具体信息列入个人信息范畴。《个人信息安全规范》的附录属于“资料性附录”,而非“规范性附录”。需要注意的是,“规范性附录”是构成标准整体的不可分割的部分,其效力等同于标准的正文。“资料性附录”仅限于提供一些参考的资料,不具备与标准正文同等的效力。
总体而言,作为国家推荐性标准,国标的适用主体不仅仅限于网络企业,而是可以覆盖所有的个人、企事业单位和国家机关等等。事实上,《个人信息安全规范》更恰当的功能定位应当是一种有关个人信息处理业务合规指引的一揽子推荐性解决方案,属于公共产品的范畴。除非行为主体主动承诺、有权机关明确援引或者法律规范直接认可,其本身不直接产生行为约束力,也并非行政性规范,更不应在刑事责任层面产生实质性意义。尤其应当强调的是,个案思维和总体风险可控是两个维度的问题,在《个人信息安全规范》的个案运用中,特别需要注意行为边界的精准厘定。
申言之,《个人信息安全规范》的实际价值需要在2018年5月1日正式施行后结合政府机关以及龙头企业的示范效应尤其是有权机关的执法实践做出进一步的跟踪研判,在此过程中还应当特别注意数据跨境语境下的国际博弈可能产生的反向影响。