2016年11月7日，全国人大常委会颁布《网络安全法》，对网络运营者收集使用个人信息提出了基本要求。为落实《网络安全法》，全国信息安全标准化技术委员会（TC260）结合国内立法和实践，参考国际规则，经过近两年筹备，颁布《信息安全技术 个人信息安全规范》（GB/T35273—2017），并于2018年5月1日正式实施。标准针对个人信息收集、保存、使用、委托处理等环节提出要求，落地《网络安全法》的原则性规定，填补国内个人信息保护在实践标准上的空白，为企业进行个人信息保护合规提供具体指引，在实践中得到了广泛应用。

为更好地支撑四部门联合开展的App违法违规收集使用个人信息专项治理行动，2018年10月由中国电子技术化标准研究院牵头成立工作组，开展标准修订工作，并于2019年2月和6月两次向社会公开征求意见。本文将对此次标准修订背景、主要修订内容等相关内容加以说明和解读。

一、修订背景及相关工作

在生效不到一年的时间内启动标准的首次修订，存在多方面的原因。2018年10月至11月，工作组在广泛调研的基础上，经过多次内部讨论，明确此次标准修订的基本原则和重点问题。其一，在标准实施过程中，结合隐私条款评审、监管约谈、企业实践经验等，发现标准在落实《网络安全法》有关个人信息收集、使用的“合法、正当、必要”原则，尤其是“必要”原则方面存在欠缺。其二，虽然标准已经对推送商业广告等问题有所涉及，但《电子商务法》颁布以及Facebook事件的爆发，显现出标准对个性化推送、第三方接入管理等常见业务实践具体指引的不足。其三，中央网信办、工信部、公安部、市场监管总局联合开展App违法违规收集使用个人信息专项治理行动，标准作为个人信息保护的综合性标准，未能就App收集使用个人信息提供针对性行为指引，没有充分地回应专项行动中网民呼声强烈的App强制索权、过度索权、超范围收集、强制个性化推送等问题的规范。

2018年11月，工作组针对前述问题，进行多次内部讨论，最终形成标准修订草案，并于2018年12月至2019年1月期间，分别向企业和标准化、法律、信息安全等个人信息保护相关领域专家征求意见，积极吸收其建议和意见，形成标准草案内容。2019年2月，工作组形成《信息安全技术 个人信息安全规范（征求意见稿）》，向社会公开征求意见。2019年3月至6月，工作组结合国内外机构的意见反馈、全国信息安全标准化委员会会议周汇报讨论、App违法违规收集使用个人信息专项治理工作的实践情况等，不断完善标准内容，形成最终版本，并于2019年6月再次向社会公开征求意见。

二、主要修订内容

围绕着隐瞒收集、强制收集、收集非必要信息、强制定向推送等问题，工作组在此次修订中明确修订核心为：突出基本业务功能和扩展业务功能的划分要求；增加基本业务功能和扩展业务功能的明示、同意规则，并在附录C中提供具体的实现方式；增加新闻、时政、广告的定向推送的规定。以下将结合标准具体条文对此次标准修订的重点内容进行简要介绍。

1、增加“不得强迫接受多项业务功能”的要求

实践中，一些App将不同的服务或功能进行捆绑，通过“一揽子协议”等方式征求用户同意，用户要么同意，要么不能使用所有的服务或功能，从而强迫用户授权。针对该问题，标准编制组提供了两种解决方案：其一是区分基本业务功能和扩展业务功能，并分别对不同类型业务功能征得个人信息主体同意的要求作出不同规定；其二是不在标准正文中刻意强调基本业务功能和扩展业务功能，而在资料性附录C中对此作出区分并明确不同的业务功能的同意规则，同时在标准正文中增加“不得强迫收集个人信息的要求”。最终，结合主管监管部门和公开意见征集情况，标准编制组采用了方案二，体现在标准正文5.3部分增加“不得强迫收集个人信息的要求”，以及对附录C的修改。

首先，5.3a）明确个人信息控制者不得通过捆绑多项业务功能而一次性征得个人信息主体对业务功能收集个人信息的同意；其次，标准5.3b)明确应以个人信息主体的主动性动作（如主动填写、点击、勾选等）作为业务功能收集个人信息的开启条件，并提供同样简便的关闭或退出业务功能的途径或方式；最后，标准5.3c）、d）、e）则分别明确在个人信息主体不同意使用、关闭或退出特定业务功能时，个人信息控制者应停止特定业务功能的个人信息收集活动，不得频繁征求个人信息主体同意，并且也不得暂停个人信息主体自主选择使用的其他业务功能或降低业务功能的服务质量。同时，修改资料性附录C有关保障个人信息主体选择同意权的方法的相关内容，新增“附录C.1区分基本业务功能和扩展业务功能”、“C.2基本业务功能的告知和明示同意”、“C.3扩展业务功能的告知和明示同意”。企业在进行此项合规时，具体实现方式可以参考附录C的相关内容。

2、修改“收集个人信息时的授权同意”的要求

此前标准区分直接收集和间接获取两种情形，分别规定了收集个人信息时授权同意的要求，并对个人信息控制者应告知的内容进行了细化要求。实践中，不少企业反馈进行如此精细的告知导致隐私政策频繁更改等问题，可执行性较差。针对该问题，此次标准修订在告知内容方面赋予个人信息控制者一定的自主性，在直接收集个人信息的告知内容部分，5.4a）仅要求告知收集、使用个人信息的目的、方式和范围。同时，针对提供多项业务功能的产品或服务，标准通过“注”的方式，明确其应当在实际开始收集特定个人信息时，向个人信息主体提供有关收集、使用该个人信息的相关告知内容，以便确保个人信息主体能够作出具体的授权同意。

同时，5.4b）、c）分别吸纳此前标准有关“收集个人敏感信息时的明示同意”中有关收集个人敏感信息和未成年人个人信息收集的相关告知内容。另外，由于与多项业务功能相关的要求已被吸纳在5.3“不得强迫接受多项业务功能”及附录C中，故此前标准中“收集个人敏感信息时的明示同意”不再作为单独条文。5.4d）则保留了此前标准中间接获取个人信息授权同意的相关要求。

3、新增两种“征得授权同意的例外”情形

虽然此前标准在5.4、8.5部分分别明确了收集环节和共享、转让、公开披露个人信息时事先征得同意的例外，一定程度上缓解了《网络安全法》第41条将“被收集者同意”绝对化的问题，但仍然未能回应实践中大量个人信息控制者因与个人信息主体之间存在合同关系为履行合同而进行必要的个人信息收集、使用的情形，以及个人信息控制者因遵守网络身份实名制、反洗钱等法律监管要求而收集、使用个人信息的情形。针对该问题，此次标准修订充分吸收借鉴欧盟《通用数据保护条例》对于个人信息处理合法事由的规定，在标准5.6和8.5部分新增“与个人信息控制者履行法律法规规定的义务相关的”、“根据个人信息主体要求签订和履行合同所必需的”两项征得授权同意的例外情形，以期能够更好地回应个人信息收集使用的合理诉求。

同时，由于目前国内对于隐私政策的定性究竟为合同还是规则公示存在分歧，为避免企业在实践中以隐私政策构成与个人信息主体之间的合同为由，仅以隐私政策进行个人信息的收集、使用，标准通过“注”的形式明确隐私政策并不构成此处与个人信息之间所签订或履行的合同，而仅包括与信息主体实际发生合同权利义务关系的情形。

4、新增“用户画像的使用限制”要求

用户画像是指过收集、汇聚、分析个人信息，对某特定自然人个人特征，如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测，形成其个人特征模型的过程，并可根据是否使用特定自然人以外的个人信息，区分为直接用户画像和间接用户画像。此前标准在“个人信息的使用限制”部分规定了非必需情形使用个人信息应当尽可能消除身份指向性，如对于推送商业广告目的时，宜使用间接用户画像。考虑到Facebook剑桥分析事件对用户画像的不当使用可能造成危害后果等情形，此次标准在7.4c）保留原有非目的必要应消除身份指向性的要求外，以7.4a）和7.4b）分别从用户画像中个人信息主体特征描述、使用目的等对用户画像的使用加以限制。7.4a）要求对个人信息主体的特征描述不应包含淫秽、色情、赌博、迷信、恐怖、暴力的内容；也不应表达基于民族、种族、宗教、残疾、疾病等歧视性内容。7.4b）要求在业务运营或对外业务合作中不应将用户画像用于侵害公民、法人和其他组织合法权益；或者用于危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序。

5、新增“个性化展示及退出”相关要求

“个性化展示”是此次标准修订中新增定义，指基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息，向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。实践中多用于定向广告、新闻推送等，用户对此的反感多在于不能自主退出或选择推送内容。针对该问题，标准7.5a）和7.5b）区分定向推送新闻信息服务或者电子商务，而作出不同要求。7.5a）要求向个人信息主体推送新闻信息服务的过程中使用个性化展示的，应当通过标明“个性化展示”或“定推”等字样，显著区分个性化推送服务，并且为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项。7.5b）则是沿用《电子商务法》第18条的规定，并通过“注”明确基于用户所选择的特定位置进行展示、搜索结果排序，且不因用户身份不同展示不一样的内容和搜索结果排序，不构成针对用户个人特征的选项。7.5c）则是针对所有使用个性化展示的业务功能提出的倡导性规定，引导企业建立个人信息主体对个性化展示所依赖的个人信息的自主控制机制，保障个人信息主体调控个性化展示相关程度的能力，并且在个人信息主体选择退出个性化展示模式时，向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

6、新增“信息系统自动决策机制使用”相关要求

个人信息控制者在业务运营中使用具备自动决策机制的信息系统，并且能对个人信息主体权益造成显著影响的，如自动决定个人征信及贷款额度，或用于面试人员的自动化筛选等，应当对个人信息主体提供充分保障和救济。此前标准仅要求个人信息控制者向个人信息主体提供申诉方法，此次标准7.7a）和7.7b）分别要求个人信息控制者应在规划设计阶段或首次使用前、使用过程中定期开展个人信息安全影响评估，并依评估结果采取或改进有效的保护个人信息主体的措施；7.7c）在要求个人信息控制者向个人信息主体提供申诉方法的同时，还要求其对自动决策结果进行人工复核。

7、新增“第三方接入管理”相关要求

实践中，个人信息往往并非由个人信息控制者单一控制，尤其是在App生态之下，App开发者在选择所嵌入的代码、插件，或者平台式的App接入第三方小程序等时，可能引入同样具备个人信息收集功能的第三方产品或服务，同时App开发者与第三方产品或服务之间并不必然构成共同个人信息控制者或者控制者与委托者之间的关系。针对不适用共同控制者或委托处理关系的情形，标准8.7从接入条件、个人信息安全措施、向信息主体明示第三方产品或服务、相关记录留存、第三方对个人信息主体请求与申诉的回应机制等多方面提出要求，并倡导个人信息控制者对所嵌入或接入的第三方自动化工具开展技术检测，审计其个人信息收集行为。

8、新增“个人信息安全工程”和“个人信息处理活动记录”倡导性要求

在组织的管理要求部分，此次标准修订在10.2和10.3部分新增“个人信息安全工程”和“个人信息处理活动记录”的相关要求。个人信息安全工程的要求遵循“Privacy by design”的理念，要求个人信息控制者在开发具有处理个人信息功能的产品和服务时，宜根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求，保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。有关个人信息安全工程的细节指引可以参考《信息安全技术个人信息安全工程指南》。个人信息处理活动记录则倡导个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录，包括所收集个人信息的类型、数量来源，根据业务功能和授权情况区分个人信息的处理目的、使用场景，以及委托处理、共享、转让、公开披露、是否涉及出境等情况，以及与个人信息处理各环节相关的信息系统、组织或人员。

三、下一步工作安排

此次标准征求意见已经于8月8日结束，工作组将在近期召开会议，对反馈意见和建议进行逐条处理，进一步完善标准内容，争取于2019年内颁布新标准文本，取代原有的《信息安全技术 个人信息安全规范》（GB/T35273—2017）。

随着各种新技术的深入应用，个人信息保护面临更多新场景、新问题，对个人信息保护国家标准提出了新的要求和挑战。在未来，工作组仍将针对《网络安全法》等法律法规的个人信息保护要求，结合国家个人信息保护工作的重点和难点问题，围绕个人信息保护主要威胁和风险点，不断修订完善标准，与时俱进，提出与国际标准接轨、适合我国国情的个人信息安全规范要求。（本文发表于《保密科学技术》2019年第8期）

数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）

15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译（DPO沙龙出品）

16. “108号公约”全文翻译（DPO沙龙出品）

17. 美国司法部“云法案”白皮书全文翻译（DPO社群出品）

18. EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）

19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译（DPO沙龙出品）

20. 英国ICO《广告技术和实时竞价的更新报告》中译文（DPO社群出品）

21. “FTC与Facebook达成和解令的新闻通告”全文翻译（DPO社群出品）

22. CJEU认定网站和嵌入的第三方代码成为共同数据控制者（DPO沙龙出品）

23. FTC与Facebook“2019和解令”全文翻译（DPO社群出品）

24. 英国ICO《数据共享行为守则》中译文（DPO社群出品）

25. “hiQ Labs诉LinkedIn案上诉判决”中译文（DPO社群出品）
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

10. 第九期数据保护官沙龙纪实：《个人信息安全规范》修订研讨
    

11. 第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东

12. 第十一期数据保护官沙龙纪实：企业如何看住自家的数据资产？这里有份权威的安全指南

13. 第十二期数据保护官纪实：金融数据保护，须平衡个人隐私与公共利益

14. 第十三期DPO沙龙纪实：厘清《数据安全管理办法》中的重点条款

15. 第十四期DPO沙龙纪实：梳理《个人信息出境安全评估办法（征求意见稿）》的评估流程

16. 第十五期DPO沙龙纪实：SDK非洪水猛兽，但如果“作恶”乱收集信息，谁来管？

17. 第十六期DPO沙龙纪实：查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势

18. 与欧美一流数据保护专家面对面（DPO沙龙特别活动）
    

    
    

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

10. 日本拟效仿德国：对IT巨头非法收集个人信息适用“反垄断法”

11. 扎克伯格最新愿景：将Facebook打造成“关注隐私的社交网络“

12. 德国最高数据保护官员就美国“云法案”提出警告

13. 【时评】ICO对英国航空和万豪国际开出巨额罚单，GDPR执法强硬时代来临！
    

    
    

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）

11. 从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）

12. APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）

13. 从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）

14. 历史和国际比较视角DPO法律制度探源（DPO社群成员观点）

15. 谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看——上篇（DPO社群成员观点）

16. 数据保护官岗位角色技术能力分析（DPO社群成员观点）

17. 中国企业境外投资中儿童个人信息保护（DPO社群成员观点）

18. 企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）

19. 企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）
    

20. 数据保护岗位需求与能力发展（DPO社群成员观点）

21. DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）

22. 对网络安全负责人岗位的思考（DPO社群成员观点）

23. 结合良好实践，细说APP自评估指南之一（DPO社群成员观点）

24. 《个人信息安全规范》的效力与功能

25. 结合良好实践，细说APP自评估指南之二（DPO社群成员观点）

26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

27. 实施已满三月，区块链新规“回头看”（DPO社群成员观点）

28. 从“布拉格提案”看美国政府的策略

29. 《欧盟GDPR合规指引》前言：从一个损毁的雕像说起

30. 对《网络安全审查办法（征求意见稿）》的几点观察

31. 使命与界限：近期个人信息和数据安全新规的一些思考（DPO社群成员观点）

32. 解析《个人信息出境安全评估办法（征求意见稿）》实体保护规则背后的主要思路

33. “惟危惟微，允执厥中”：对《数据安全管理办法》中“定向推送”部分的思考

34. 《儿童个人信息网络保护规定（征求意见稿）》评析：与美国COPPA对比的视角

35. 网安法中的“范围”如何理解和落地：从头条案说起

36. 《数据安全管理办法》的监管诉求及文本改进建议：DPO社群的现场讨论

37. 数据安全的内部和外部视角初探
    

38. 《个人信息出境安全评估办法》的流程改进建议：DPO社群的现场讨论

39. 评价GDPR一周年：一些正负面观点

40. GDPR与相关数据保护法律处罚案例调研（DPO社群成员观点）

41. 个人信息侵权纠纷类型化试解（DPO社群成员观点）

42. 英法两国对 AdTech和广告类SDK的监管案例分析

43. 金控监管办法草案发布 有望扫清信息共享障碍（DPO社群成员观点）

44. GDPR对用户画像的合规要求分析（DPO社群成员观点）
    

45. IAPP新加坡会议上关于27701的Panel和PPT

46. FTC vs Facebook：50亿美元和解令的来龙去脉（DPO社群成员观点）

47. 人脸识别技术的法律规制研究初探（DPO社群成员观点）

48. 澳《消费者数据权利法案》对数据共享与数据可携权的探索（DPO社群成员观点）

49. FTC vs. YouTube：解读违规处理儿童个人信息之最大罚单（DPO社群成员观点）

50. 个人数据在美欧外国投资审查中的角色初探（一）

51. HiQ vs. LinkedIn案的启示与未决之题（DPO社群成员观点）