企业如何适用《个人信息安全规范》
The following article comes from 中伦视界
编者按:
随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法,或者转载对该标准的评论文章。本文作者是中伦律师事务所的陈际红和包达。
企业如何适用《个人信息安全规范》
一、《个人信息安全规范》出台背景
2017年,随着《网络安全法》、《民法总则》以及两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《两高解释》)的公布实施,社会对个人信息保护的关注度高涨,企业个人信息方面的合规任务变得迫切。2017年年底以来,人大、网信办、公安及消协系统,在全国各地采取了一系列个人信息的专项检查、打击侵权等行动,行动对象不仅包括众多知名互联网公司,还包括高校和基层政务网站等非经营性主体。
在此背景下,全国信息安全标准化技术委员会组织制订的国家标准GB/T 35273-2017 《信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”或“规范”)于2017年12月29日正式发布,规范将于2018年5月1日正式实施。本规范一经发布,即引起社会的广泛关注和热议。
二、《个人信息安全规范》的效力和作用
依照《网络安全法》第10条之规定,国家标准的强制性要求是建设、运营网络或者通过网络提供服务的法定要求。国家标准分为强制性国家标准和推荐性国家标准,强制性国家标准中的强制性要求是企业必须遵照执行的。本规范作为推荐性国家标准,并没有法律上的强制执行力。虽如此,我们仍认为本规范在企业的网络安全合规中具有很高的参考意义。
根据《个人信息安全规范》的适用范围说明,规范不仅“适用于规范各类组织个人信息处理活动”,也适用于“主管监管部门、第三方评估机构等组织对个人信息处理活动进行监管、管理和评估”。结合下文分析,我们有理由相信,《个人信息安全规范》可以作为各企业的进行网络安全和数据合规的重要指引,并指导各监管部门的网络安全管理和执法工作。
(一)作为网络信息安全和数据合规的重要指引
《网络安全法》在第22条第3款、第40-45条等规定中,以网络运营者为规范主体,针对个人信息收集、使用等处理活动,提出了多项具体的法律要求,同时以“定性描述+非穷尽列举”的形式给出了个人信息的范围。但是对于企业而言,很多法律要求并不明确,尤其是对收集和使用个人信息的“合法、正当、必要的原则”的把握、获得信息主体同意的形式要求、第42条但书条款的适用条件(经过处理无法识别特定个人且不能复原的除外)等。
《个人信息安全规范》以个人信息控制者为主要规范主体,针对个人信息收集、保存、使用、共享、转让、公开披露等处理活动,提出了超过130项具体的个人信息保护措施,规定详细,指导性强。尤其是“个人信息和个人敏感信息的范围”、“合法性和最小化要求”的具体执行准则,明示同意的模式,隐私政策的制订等,对企业具有重要的指导作用。各企业可以以该规范为依据,审查现有个人信息处理活动的合法性、制订隐私政策和建立用户信息保护制度等。
2017年7月,中央网信办、工信部、公安部、国家标准委四部门联合开展了隐私条款专项工作,在隐私条款评审时重点参照了当时尚未正式生效的《个人信息安全规范(报批稿)》。最后,参加评审的十款网络产品和服务都参照《个人信息安全规范》中的《附录D:隐私政策模板》,对各自的隐私政策进行了相应的调整,并得到了监管部门的认可。
(二)作为监管部门网络安全管理和执法的参考依据
《民法总则》和《网络安全法》的原则性规定给了监管部门很大的自由裁量权,各监管部门并没有一个统一的管理指引,容易引起执法尺度不一。
在标准立项时,国家网信办有关领导就明确指出,“《个人信息安全规范》将针对处理个人信息的各类组织(包括机构、企业等),提出具体的保护要求,定位为我国个人信息保护工作的基础性标准文件,为今后开展与个人信息保护相关的各类活动提供参考,为制订和实施个人信息保护相关法律法规奠定基础,为国家主管部门、第三方测评机构等开展个人信息安全管理、评估工作提供指导和依据”[1]。
2018年1月初,国家互联网信息办公室网络安全协调局约谈某支付平台公司的企业负责人时,再次明确了《个人信息安全规范》在行政执法中的指导性作用:“…收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的《个人信息保护倡议》的承诺,应严格按照《网络安全法》的要求,加强对平台的全面排查,……防止类似事件再次发生[2]”。
综上,我们认为无论是从规范的制订目的,还是当前的行业实践或监管案例来看,《个人信息安全规范》对于企业合规和执法管理的指引性和参照性作用已经十分明显。总体而言,《个人信息安全规范》为企业提供了落实个人信息保护工作的一个良好法律实践(Good Practice),本规范对个人信息的保护水准达到或高于法律的要求,但不及行业最佳实践(Best Practice)。遵守并落实规范的各项要求,可以确保企业符合法律法规的各项要求,也有利于企业在法律允许的范畴内开展各项数据业务。
但《个人信息安全规范》作为推荐性国家标准,并不是各企业实施个人信息保护合规的唯一途径,监管部门也不能以《个人信息安全规范》作为直接的法律依据进行行政执法。如果企业现行的商业实践与《个人信息安全规范》的规定并不完全一致,但企业可以证明该商业实践能够符合《网络安全法》或其他法律法规的相关要求,那么我们认为企业并不会有明显的法律合规风险。
三、《个人信息安全规范》与《网络安全法》的关系
个人信息安全是《网络安全法》下网络运营者的一项重要网络信息安全保护义务,也是当前监管部门的执法重点。《个人信息安全规范》作为《网络安全法》的重要配套措施之一,有利于指导各企业进行《网络安全法》下的个人信息保护工作。
(一)个人信息控制者与网络运营者
从制订目的以及规范文本看,我们认为《个人信息安全规范》的规范主体的范围应当大于《网络安全法》的范围,《个人信息安全规范》的保护要求相比于《网络安全法》而言,也更加具体和全面。
《个人信息安全规范》参照了欧盟《一般数据保护条例(GDPR)》(即将于2018年5月25日正式实施)的“Controller控制者”[3]的概念,其主要规范主体为个人信息控制者,即有权决定信息处理目的、方式等的组织或个人。而《网络安全法》对个人信息保护的规范主体为网络运营者,即网络的所有者、管理者和网络服务提供者。企业,即使不会被认定为网络运营者的企业,依旧有可能被认定为个人信息控制者,从而适用本规范。
《民法总则》适用的规范主体为任何组织或个人,其范围应当大于个人信息控制者,非个人信息控制者(如没有控制权的第三人)也可能因为非法收集、披露个人信息而承担民事侵权责任。《刑法》及《两高解释》虽然没有明确适用的规范主体,我们倾向于认为其范围应当与《民法总则》相同,为任何组织或个人。
上述各法律及规范的适用主体范围的关系如下。
(点击图片,可放大查阅)
综上所述,我们认为《个人信息安全规范》的适用主体不仅仅包括网络运营者,很多传统服务提供者(如线下商场、保险销售公司等),如果在经营过程中,也会控制并处理大量个人信息,同样可以遵守并落实《个人信息安全规范》的各项要求,以确保符合《民法总则》的相关要求。当然,企业作为网络运营者,如果可以遵守并落实规范的各项要求,应当可以确保符合《网络安全法》关于个人信息保护的各项要求。
(二)《网络安全法》个人信息保护要求在规范中的具体体现
《网络安全法》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》是当前针对个人信息保护的最基本的法律,《个人信息安全规范》的内容基本涵盖了《网络安全法》关于个人信息保护方面的要求。
以下是我们整理的《网络安全法》各项个人信息保护要求在规范中的具体体现。各企业可以参照《个人信息安全规范》中的具体要求,自行审查和落实《网络安全法》的各项个人信息保护要求。
以下是我们整理的《网络安全法》各项个人信息保护要求在规范中的具体体现。各企业可以参照《个人信息安全规范》中的具体要求,自行审查和落实《网络安全法》的各项个人信息保护要求。
四、如何适用《个人信息安全规范》
结合上文对比表,我们可以看出《个人信息安全规范》在《网络安全法》的原则性要求的基础上,提出了非常全面具体的实施示例、技术要求,完全落实规范的要求,必然会给企业带来人力和资源的需求。
对于需要收集和使用大量个人信息的企业而言,比如参加第一批隐私条款评审的十家互联网产品和服务的提供者,或者从事个人信息处理的大数据企业而言,作为监管部门当前的重点监管对象,我们认为这些企业确实有必要按照《个人信息安全规范》的要求(或按照不低于规范标准的要求),落实各项个人信息保护措施,以减少合规风险。
对于众多的普通企业而言,虽然也会因为业务需要收集和处理客户或员工信息,但是由于涉及的信息数量有限,企业使用所收集的个人信息的方式或目的单一,我们认为各企业只要能够满足《网络安全法》的基本法律要求即可,如果某些《个人信息安全规范》的要求会导致企业过高的成本,可以允许企业实践和《个人信息安全规范》的要求存在差异。但是,对于这些存在差异的实践,企业要分析《网络安全法》的合规性及可能的潜在风险,即进行PIA分析(Privacy Impacts Analysis)。
以下是我们整理的《个人信息安全规范》中对企业具有普遍指导意义的规范内容。
(一)明确个人信息和个人敏感信息的范围
(1)个人信息的范围
相比于《网络安全法》,《个人信息安全规范》结合《两高解释》的定义[4],进一步扩展了个人信息的范畴,指出个人信息不仅包括“可识别或结合识别”自然人个人身份的信息,还包括“以电子或者其他方式记录的能够反映特定自然人活动情况的各种信息”,包括通信记录和内容、行踪轨迹、住宿信息、个人浏览记录等。
对于《网络安全法》下的网络运营者而言,我们认为企业在进行内部审查时,还是应当以《两高解释》、《个人信息安全规范》的定义为准,确定企业收集、使用的个人信息的范围。具体而言,各企业可以重点参照规范的《附录 A: 个人信息示例》,自行或者聘请第三方专业机构审查企业目前可能收集、处理的个人信息的范围、使用场景,从而更有针对性地开展个人信息保护合规工作。
值得注意的是,《个人信息安全规范》以定义形式,对“去标识化”和“匿名化”进行了区分。尤其在匿名化的定义中[5],以备注的形式明确“个人信息经匿名化处理后所得的信息不属于个人信息”。匿名化定义可以看作是《网络安全法》第42条但书条款的适用,该备注明确了个人信息匿名化处理后的数据性质。相比而言,“去标识化”[6]的要求更低,经过去标识化处理的个人信息依旧可能会被认定为个人信息。
(2)个人敏感信息的范围
《网络安全法》并没有直接区分个人信息和个人敏感信息。《个人信息安全规范》,参照GDPR和此前制订的《信息安全技术 公共及商用服务信息系统个人信息保护指南》,以“定性描述+非穷尽列举”的方式,给出了个人敏感信息的定义和范围[7],对个人敏感信息的处理,提出了更高的保护要求,如授权的明示同意,加密或采用其他安全措施进行存储保护等。
虽然《两高解释》没有直接给出个人敏感信息的定义,但是在量刑时,明确了对一些个人敏感信息的重点保护责任,相比于普通个人信息的“五千条”入刑标准,“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的”、“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”,即会认定为“情节严重”,从而构成侵犯公民个人信息罪。由此,我们可以看出监管部门对个人敏感信息的重点保护要求。
对于《网络安全法》下的网络运营者而言,我们同样建议各企业可以参照规范的《附录B:个人敏感信息判定》,审查并确认企业是否存在收集和使用个人敏感信息的情况,从而可以根据规范的要求,采取有效的授权和处理方式。
(二)个人信息收集和使用的最小化要求
《网络安全法》对个人信息收集和使用,提出了合法、正当、必要的原则。相比于“合法性原则”,“必要性原则”(即最少够用原则)由于存在很大的主观认定性,是众多企业评估业务及信息使用场景合法性的难点。
《个人信息安全规范》在收集、保存和使用三个处理阶段,对“最小化要求”提出了更具有操作性的规定,各企业可以用于评估自身业务和信息处理的合规性:
(1)收集个人信息时:
▪ 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与,产品或服务的功能无法实现;
▪ 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
▪ 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
(2)保存个人信息时:
▪ 个人信息保存期限应为实现目的所必需的最短时间;
▪ 超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
(3)使用个人信息时:
▪ 除目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像;
▪ 对所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围;
▪ 使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。
(三)个人信息授权同意的要求
《网络安全法》在第41条,提出了个人信息收集的使用规则:公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。但是,如何公开收集使用规则,如何明示收集、使用信息目的、方式和范围,以及如何取得收集者同意,并没有统一的适用标准。
为指导各企业根据法律要求获得信息主体的授权同意,《个人信息安全规范》一方面提出了个人信息和个人敏感信息收集时授权同意的具体要求,另一方面,以“隐私政策”作为推荐性的授权文本,提供了《隐私政策模板》,供各企业参照适用。
对于采用《隐私政策》进行授权的互联网企业,为确保个人信息授权的合法性,可以结合企业的实际情况,参照《隐私政策模板》,制订自身的隐私政策,以满足《网络安全法》的各项要求。
对于非互联网企业,或采用其他授权文本(如用户注册协议等)进行授权的企业而言,根据《个人信息安全规范》的要求,各企业在收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则(例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等),并获得个人信息主体的授权同意;收集个人敏感信息时,应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。
值得注意的是,考虑到大数据业务的发展,《个人信息安全规范》针对间接获取个人信息的情况,也提出了具体的要求,有利于各企业以此为依据,审查上游数据源的合法性,保障自身的合法利益:
(1)应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;
(2)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。如本组织开展业务需进行的个人信息处理活动超出该授权同意范围,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。
注:
[1] 《个人信息安全须用规范“保驾”》,中央网信办官网,2018年2月3日,
http://www.cac.gov.cn/2016-12/22/c_1120160205.htm。
[2] 《国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业负责人》,中央网信办官网,2018年2月3日,
http://www.cac.gov.cn/2018-01/10/c_1122234687.htm。
[3] ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law (“控制者”是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。其中个人数据处理的目的和方式,以及控制者或控制者资格的具体标准由欧盟或其成员国的法律予以规定);
[4] 根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
[5] 匿名化:通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。
[6] 去标识化:通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。
[7] 个人敏感信息指:“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”, 包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。
本公号此前发布的对《个人信息安全规范》的评论文章如下: