2月28日，第九期数据保护官（DPO）沙龙在京举行。围绕《信息安全技术 个人信息安全规范（草案）》（以下简称“修订草案”）中企业关心的问题，标准主笔人、北京大学法治与发展研究院高级研究员洪延青和公司法务、律师等一线实务工作者进行了探讨。

基本、扩展业务功能应在退出机制上有所区分

2018年5月1日，推荐性国家标准《信息安全技术 个人信息安全规范》正式实施，填补了国内个人信息保护在具体实践标准上的空白。该国家标准正式实施不到一年，2月1日，全国信息安全标准化技术委员会面向全社会公开征求《信息安全技术 个人信息安全规范（草案）》意见。

《中华人民共和国网络安全法》明确规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。但是，App使用“一揽子协议”的方式过度收集个人信息的现象仍然普遍存在。洪延青表示，标准对于督促企业在隐私政策中公示收集、使用等规则方面有明显作用，但还需解决“信息收集的必要性”问题——是不是用户同意后，企业就可以用收集的个人信息做任何事？

据介绍，为了解决企业“强制收集信息”的问题，起草组目前有两个方案，都被放入了此次修订草案中。方案一是附录C：“区分基本业务功能和拓展业务功能”。方案二是5.3节：“不得强迫收集个人信息的要求”。

方案一是区分企业的产品或服务的基本业务功能和拓展业务功能，要求基本业务功能应依据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求划定，而不能仅仅以企业自身的想法为依据。

对于这一方案，在公开征求意见期间，有企业认为自身的业务和功能只能由用户决定，企业会丧失商业能动性。洪延青对此回应道，“企业的基本业务功能是根据用户的期待决定，但企业可以引导用户的期待”。

他进一步解释，用户对于企业的期待主要是来自于企业的自主市场推广，而企业对其商业定位、名称、应用商店描述、所属应用类型等因素都是可控的，可以引导用户的期待，增强用户对其产品或服务的认知。随着产品或服务的迭代、拓展、升级等，企业还可以重新划分基本业务功能。

洪延青表示，用户在首次使用企业产品或服务的基本业务功能和扩展业务功能时，都需要用户授权同意，并无区分度。但是，后续的退出机制和选择机制应该存在区分度。也就是说，用户已经使用产品或服务的基本业务功能后，若不想继续使用该功能，可以删除产品或者注销账号，企业无需提供功能使用开关。但若是扩展业务功能，企业则需在不影响其他功能使用的情况下，为用户设置关闭按钮。

与方案一相比，方案二并未将企业的产品或服务进行功能区分，只是明确要求“不得通过捆绑产品或服务各项业务的方式，要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求”。一位DPO社群成员表示，若是按照方案二，用户使用产品时，需授权的信息都要点击“同意”，实在没必要。

隐私护卫队在会上了解到，全国信息安全标准化技术委员会正在制定关于基本业务功能的指引方案，将明确十类基本业务功能的具体内容。该DPO社群成员表示，指引出台后，绝大部分的产品应用的基本业务功能都只需用户点击一次“同意”即可。“基本业务功能是否按照指引的要求落实来收集个人信息，扩展业务功能收集的个人信息是否是必要的，由执法机构检查企业的产品即可”，因此他认为，对于用户和企业而言，方案一是更好的选择。

一位公司法务对此进一步表示，企业产品或服务的基本业务功能和扩展业务功能进行区分后，在每一项扩展业务功能启动时都要征求用户同意，这可能会影响用户体验。“以前用户会觉得企业收集信息不透明，担心知情权得不到保障，但现在用户又有了新的烦恼：告知太多，构成骚扰。”

个性化展示中信息来源和推送对象应为同一人

修订草案还新增了“个性化展示”的定义，并明确了相关要求：个人信息控制者推送新闻或者信息服务时，应以显著方式标注“个性化展示”等字样。并且要为个人信息主体提供简单直观的退出个性化展示模式的选项。

会上，基于在合规实践中遇到的困惑和思考，一位法务人员表达了疑惑：通过算法算出的信息是不是个人信息？个人信息是否包含所在地、年龄段？通过别人的信息向特定的人或群体推送是否属于个性化展示？

洪延青回应，基于算法计算出的推测值，若符合个人信息特征的定义，依然是个人信息，即使算出来的是标签，只要是能对应到具体特定的个人，标签也是个人信息。基于特定主体的个人信息还包括所在地、年龄段。但是，若是利用别人的信息向特定的人或群体推送，则不属于个性化展示。“个性化展示是用A的信息向A推”，他说。

还有人举例诠释了对“个性化展示”的理解。假设一个男性使用足球类资讯软件，该软件就能发现其喜欢的球队，并经常给他推送球队的信息，这种情况就是个性化展示；若某商场找到广告公司帮忙推送，给了广告公司一个群体特征，比如女性、20到25岁、收入等，这就是基于群体而不是基于个人信息特征推送，就不属于个性化展示。

对此，一位来自公司法务部的IP总监持不同意见。“若用户在节日收到面膜推荐，难免会认为电商知道其性别和消费偏好，进而产生极强的隐私不安全感。所以不能只因未定位到个人，就称不是个性化展示”，她认为，还是应考虑用户对隐私的合理期待和安全感。

此次沙龙还就“修订草案”中其他的问题进行了深入的讨论。

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB《关于GDPR适用地域范围（第3条）的解释指南》全文翻译（DPO沙龙出品）

15. 案件摘要：德国反垄断监管机构对Facebook数据收集融合行为裁决（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制 
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

   
   

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

   
   

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. "数据千万条 合规第一条"——京东金融侵犯用户隐私风波之鉴（DPO社群成员观点）