以案说法:《个人信息安全规范》研习(静态篇)
The following article comes from 合规评论 Author 方达合规团队
编者按:
随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法,或者转载对该标准的评论文章。本文作者是方达律师事务所的合规团队(作者简介后附)。
以案说法:《个人信息安全规范》研习(静态篇)
国家标准《个人信息安全规范》(“《规范》”)为企业遵守《网络安全法》下个人信息保护提供实践指导。《规范》将于2018年5月1日起生效,现在正是企业审查完善自身个人信息保护措施的最佳窗口期。应如何看待《规范》的效力和指导意义?《规范》下对个人信息的宽泛定义是否合理必要?《规范》对“同意”提出了哪些创新之举?个人信息流转过程中各方应遵从何等规则?间接获取个人信息时有哪些特殊要求?个人信息主体参与个人信息保护的边界在哪?方达合规评论将通过案例讨论解析《规范》。数据的特性之一就是其流动性。文章将以企业完成个人信息收集为分界点,分别关注企业即将完成个人信息收集但数据尚未开始流动的静态阶段,以及个人信息数据开始在不同信息处理者之间流动的动态阶段。本篇为静态篇。
《规范》不具有强制力但其指导意义不容忽视
《规范》是推荐性国家标准,国家鼓励企业采用但并不强制要求。在制定《个人信息保护法》的呼声日益高涨的当下,企业对是否以及应如何遵从《规范》的意见并不统一。让我们先来看一个2015年的判例。
2013年5月6日,原告朱烨向南京市鼓楼区人民法院起诉百度公司,认为百度公司未经其知情和选择,利用网络技术记录和跟踪其搜索的关键词并据此在其浏览的网页进行广告投放,侵害了隐私权。一审法院支持了原告的主张。二审法院则认为关键词不属于个人信息,并参考国家指导性标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28828-2012),认为一般个人信息的收集、使用仅需要适用默示原则,而百度收集的网络碎片化信息并不属于个人信息,因此无需取得原告同意。[1]
本案中,二审法院对于关键词等cookie信息的性质界定准确与否在所不论,单就个人信息的收集规则,法院明确参考了同为不具有强制力和法律约束力的国家指导性标准,说明此类国家标准在司法实践中具有参考价值。实际上,《规范》于个人信息控制者有着多重意义:
第一,对于绝大多数企业来说,遵从《规范》指引是遵守《网络安全法》相关规定最简便安全的方法。《网络安全法》涵盖了个人信息从收集、保存、使用、处理、共享、转让、公开、到针对安全事件的处置和组织管理的全流程风险防控要求,却仅有寥寥数百字。《规范》作为权威的官方解读,在《个人信息保护法》的立法空白期无疑具有重要指导价值,相信监管机构也有意通过检验《规范》所立标准的可行性为立法铺路。于绝大多数在业务运营中会涉及到个人信息但并非以此为主业的企业而言,与其花费巨大成本证明自己所采取的个人信息保护措施符合《网络安全法》的要求,倒不如直接采用并落实《规范》的指引更加简便和安全。
第二,与法律的惜墨如金不同,在如何以现有技术保护个人信息方面,《规范》为个人信息控制者提供了操作性较强的指引。《网络安全法》明确指出国家要建立和完善网络安全标准体系,由国务院标准化部门和其他有关部门牵头组织,企业、研究机构、高校、网络相关行业组织参与国家标准和行业标准的制定。[2]前述规定不仅为《规范》的权威性背书,同时通过鼓励业界参与制定标准而保障其具备现实可操作性。《规范》在附录中不仅对个人信息和个人敏感信息提供了简明易懂的判定方法,还详细列举可归入该等范畴的信息。针对收集个人信息需要获得个人信息主体同意并发布隐私政策的要求,《规范》通过举例的方式描述保障个人信息主体选择同意权的方法,甚至提供了一份详细的隐私政策模板。
第三,《规范》可能会成为监管机构在案件调查、起诉、审判阶段的重要参考,遵守《规范》可作为抗辩理由。例如,根据刑法第253条,单位也可能因为其员工的行为构成侵犯公民个人信息罪。在此情况下,如果企业通过制度建设和技术措施确保其运营符合《规范》的要求,则即使在个人信息保护出现风险之时,仍有机会向监管和司法机关证明其系独立的偶发事件,而非系统性风险。前述百度案也是司法机关认可推荐性国家标准的示例之一。实际上,因为数据的流动性特征,个人信息控制者持有数据的风险将远超传统意义的法律风险边界,除其自身、员工外,更有无法预知的第三方可能对其收集的数据进行处理加工,在此情况下个人信息控制者该如何“独善其身”,《规范》也提供了一些启示。
第四,个人信息控制者保护数据安全和用户正当期待的合规能力未来也可能成为其核心竞争力的组成部分,《规范》为个人信息控制者如何展示这种合规能力给予指引。目前,越来越多的商业合作都对企业的合规能力提出要求,例如反腐败与反商业贿赂,随着个人信息保护意识逐步增强,保护数据安全的能力也将成为刚需。例如,《规范》在委托处理个人信息部分即规定,个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者具备足够的数据安全能力,提供了足够的安全保护水平。
2
《规范》下个人信息宽泛定义的现实意义
初读《规范》对个人信息和个人敏感信息的定义和示例,难免有宽泛之感。根据《规范》,个人信息包括两种内容:一种是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份的信息,即从信息的特殊性识别出特定自然人;另一种是反映特定自然人活动情况的信息,即由已知自然人系列动作可关联的特定信息,如个人位置信息、通话记录、浏览记录等。如此定义是否合理必要,让我们看一个模拟案例。
A是一名肿瘤患者,其手机上的应用程序包括:一款健康软件,计步的同时也可定位其运动轨迹,轨迹显示A经常去一家三甲医院;一款患者互助软件,A选择关注肿瘤频道,有时也会提问或解答他人问题。两款软件同时收集A所使用手机的设备识别码。A虽然无需实名注册,但需使用手机号码验证登陆。前述信息不慎泄露,为犯罪集团所掌握。通过手机设备识别码犯罪集团将A的片段信息结合起来,认为A可能是接受某三甲医院治疗的肿瘤患者。恰逢该三甲医院正在开展生物免疫疗法的临床试验但入组竞争激烈。犯罪集团致电A,声称其是该三甲医院的合作实验室,如果A向其账户缴纳1000元的参与金,可以提升入组机会且入组失败会全额返还。A入组心切,且感觉电话中的人对其疾病比较了解应该与医院有联系,便将1000元打给指定账户。
本案中,犯罪集团并不需要识别出A具体是谁,仅需通过综合各项与其相关的数据得出A可能是某医院的肿瘤患者这一特征,并基于此与A进行互动,实现“精准诈骗”。其中,因为同一部手机的设备识别码相同,可以以此为连接点将分散的信息整合起来进行分析。现实中,手机号码、电子邮箱、证件号码等均可以起到类似作用。
正因为存在此种现实危害性,早在2017年5月9日,最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(“《两高解释》”)即将“反映特定自然人活动情况”的信息纳入公民个人信息的范畴,包括行踪轨迹信息、住宿信息等。可以说,《规范》在个人信息的定义上实现了与《刑法》的接轨,也是对日益猖獗的不当利用个人信息的衍生犯罪作出回应。方达合规评论曾在《不可不防的合规风险 - 深度解读两高侵犯个人信息罪解释》一文中深度解析《两高解释》的核心内容以及企业面临的新风险并提供应对措施与建议。
法律为个人信息设定了匿名化排除机制,为处理个人信息提供另一种路径。匿名化是否已实现是法律判断问题,而个人信息控制者的技术能力则是能否实现匿名化的关键因素。根据《规范》,“个人信息经匿名化处理后所得的信息不属于个人信息”,也即意味着经过匿名化处理后所得的信息无需再遵循有关个人信息的流转规则。不少个人信息控制者已对所收集的个人信息进行所谓匿名化处理,但在大数据以及计算能力不断提升的当下,简单的匿名化可能已不能满足法律的要求。2015年,美国的MIT曾分析了经合组织110万信用卡三个月的匿名消费记录,该等记录均去掉名字等身份标识。结果发现,匿名数据并不匿名,因为用户有着习惯性的或独特性的消费模式,只需要4对消费时间和地点的观测数据就足以在数据库中识别90%的唯一个体。
3
《规范》对“同意”的创新之举有待于实践中检验完善
全国人大常委会执法检查组在2017年“一法一决定”实施情况大检查的过程中发现,有49.6%的受访者曾遇到过度收集用户信息现象,其中18.3%的受访者经常遇到过度采集用户信息现象。[3] 前些年关于侵犯个人信息的报道多集中在泄露事件、黑产盗用等,而近期的几起热点事件多为个人信息控制者不当/过度收集、滥用、误用个人信息,侧面说明个人信息保护也在不断升级。《规范》对于收集个人信息的“同意”进行创新,针对为实现核心业务功能或附加业务功能而所需之“同意”的方式进行区分,并赋予个人对个人敏感信息的增强控制权利。举例说明。
A软件是一款书籍点评分享应用,注册时弹出隐私政策对话框,显示“为了正常使用应用的点评分享核心业务功能,您需要填写手机号码”,选择对话框中“我同意”才可以进入注册页面。注册页面需要填写手机号码并设置密码,页面最下方有“已同意A软件隐私权保护声明”,点击进入之后会发现用户的通讯录、好友列表和征信信息也会被A软件收集。用户填写完毕注册信息后点击“注册”,即可开始使用应用。登陆后,用户可以搜索感兴趣的书籍并看到各种书评,应用可自动提示用户的某位好友曾评价过某本书。此应用还有书本租赁的功能,点击后再次弹出隐私政策对话框,显示“本应用还提供书籍租赁的附加业务功能,需要收集您的征信信息”,并称“如果您拒绝,将导致该功能无法实现,但不影响使用本应用的核心业务功能”。B软件与A软件很类似,但其在注册时即在对话框中说明会收集个人征信信息,注册后可直接使用书籍租赁功能。
前述案例中,个人手机号码、征信信息均为《规范》中列明的个人敏感信息,而通讯录、好友列表则为个人信息。收集个人敏感信息需要获得个人信息主体的“明示同意”,即个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为,既可以是主动点击“同意”,也可以通过点击“注册”、“发送”、“拨打”等完成授权。相对而言,收集个人信息只需获得个人信息主体的“授权同意”即可,鼓励采用“明示同意”,但同时也不排斥“默示同意”,以在保护个人信息和避免过度干扰用户体验之间求得平衡。
区分核心功能与附加功能则是《规范》的一项创新,其意义在于解决广受诟病的一次性授权问题。具体而言,对于实现核心功能所需要的信息用户如需使用服务则应当给到企业;而对于实现附加功能所需的信息,用户可以随时开启或关闭,关闭授权将造成无法使用附加功能,但不会影响核心功能的使用。前述案例中,A软件将书籍租赁视为附加功能,故在开启前专门就收集征信信息这一个人敏感信息征得用户“明示同意”。可见,虽然在注册时用户已同意的《A软件隐私保护声明》中包含收集信用信息,但同意该文本并不意味着对附加功能收集个人敏感信息一并同意。案例中,B软件似乎与A软件对于书籍租赁功能性质的认识有所不同,B软件不认为其为附加功能故在用户注册阶段一次性获得收集征信信息的“同意”。对此,《规范》并没有指明应如何区分核心业务功能与附加业务功能,而是留待实践操作和市场监督中逐渐确定。
(静态篇完)
注释
[1] 王融,《关于cookie隐私,一审选了用户,二审投了百度》,智合,2015年6月17日,https://www.zhihedongfang.com/2015/06/11246。
[2] 《网络安全法》(2017年6月1日起施行)第15条。
[3] 《全国人民代表大会常务委员会执法检查组关于检查《中华人民共和国网络安全法》《全国人民代表大会务委员会关于加强网络信息保护的决定》实施情况的报告》,2017年12月24日,http://www.npc.gov.cn/npc/xinwen/2017-12/24/content_2034836.htm。
尹云霞
方达合伙人,在公司合规、内部调查及政府执法方面有着丰富的经验,中国反腐败合规及调查的领军律师,曾参与西门子FCPA Monitorship、GSK等国际知名案件。
杨建媛
方达资深律师,具备多年争议解决经验,深耕于合规相关的内部调查、投资尽调、政府执法和政策建设领域,同时在网络安全、数据合规、个人信息保护方面具备丰富经验。
周梦媛
方达律师,服务零售、金融等行业的多家跨国企业以及在海外上市的中国大中型企业,为客户制定合规政策,提供内部调查、合规尽职调查、合规培训等服务。