《信息安全技術個人信息安全規範》(簡稱「《個人信息安全規範》」)是國家推薦性標準,是對《網絡安全法》等法律法規中對個人信息保護相關條款的細化與補充,被業界普遍認為具有很強的指導價值。
全國信息安全標準化技術委員會曾於2017年發布過一版。隨後,歷經2019年多次徵求意見,最新版本於2020年3月6日正式發布,並將於2020年10月1日起正式實施。
新版《個人信息安全規範》在原有版本基礎上做了較多調整,更加符合網際網路行業實踐。一方面,在「接入第三方的平臺責任」、「用戶授權同意的例外情形」、「大規模收集敏感信息」等部分規定上給企業「解綁」,減輕了特定場景下網際網路企業的義務。
另一方面,針對「個人生物識別信息(例如「AI人臉識別」信息)的處理」、「用戶畫像的使用」、「用戶請求的響應」等方面,新版《個人信息安全規範》又增加了許多限定條件。
企業業務人員與合規風控人員需加深對上述變化的了解,方能適時做到產品技術方案與組織管理上的合規。
為此,我們研究整理出六大變化,集中在「專業術語更新」、「個人生物識別信息保護」、「安全影響合規評估」、「個人信息的使用」、「第三方合規義務與管理」、「對個人信息控制者要求的放寬」共計六個方面,並細分出二十個要點,分為「上」、「下」兩篇推送。
本文為下篇。
六大變化
一、專業術語定義擴大個人信息保護範圍
二、新增個人生物識別信息保護具體要求
三、強化事前安全影響合規評估義務
四、突出加強個人信息的使用限制
五、明確與第三方的責任義務及管理措施
六、適度放寬對個人信息控制者的要求
四
突出加強個人信息的使用限制
自2019年版開始,規範以單列條款的形式,增加了用戶畫像、個性化展示和匯聚融合的使用要求,並對信息系統自動決策機制提出更嚴約束,突出從生成策略設計到運行安全可靠等方面,維護用戶權益、社會秩序和國家安全。2020年正式版對個別語句進行了調整,用語更趨規範嚴謹。
11. 用戶畫像——規制違法違規及錯誤價值導向
用戶畫像是對個人信息進行收集、匯聚和分析後,形成個人特徵模型的過程。用戶畫像被廣泛應用於大數據分析和商業化使用,為企業帶來商業利益,但如若使用不當,亦可能會帶來嚴重後果。
因此,新版《規範》增設「用戶畫像的使用限制」條款,除繼續排除精確定位外,明確反對在用戶畫像特徵生成及商業化應用中產生的內容違法違規、價值導向錯誤、侵害合法權益等情形,並詳細列舉用戶畫像中不得描述的特徵。
(點擊圖片查看三稿演進對比)
合規建議
企業應首先對經營業務進行梳理,對於存在的通過個人信息處理形成用戶畫像的具體業務,按照7.4的具體要求進行梳理和處置。
用戶畫像特徵描述及商業化使用過程中,企業應加強內容管理,對用戶畫像的具體設計及生成機制進行相應的技術調整,避免出現規範中明確禁止的內容。
除用戶已授權同意的業務必需,確保已經消除用戶畫像的身份指向性。
12. 個性化展示——保障用戶知情權和自主選擇權
個性化展示在實際生活中多用於定向的新聞推送、廣告推廣,雖然為用戶提供的便利,但也同時存在用戶無法自主選擇或拒絕的情形。新版《規範》增加了個性化展示的定義及使用要求,將「非個性化展示」設為必選項,強調個人信息主體的知情權、自主選擇權和自主控制機制,並要求個人信息控制者提供便捷的行權路徑。
(點擊圖片查看三稿演進對比)
合規建議
企業應綜合考慮顯著性和用戶體驗,以合適的方式對個性化展示內容進行明確的標識。
針對「非個性化展示」為必備選擇項,調整搭建相應的商業模式和運營體系,如單純按照內容發布時間、社群用戶點擊總量決定內容順序等。
企業如提供電子商務服務及新聞信息服務,應在產品中設置退出或是關閉個性化展示的現象,保障用戶權利;新聞信息服務提供者還需設計刪除或匿名化用戶標籤、畫像的程序。
建立個人信息主體對個性化展示所依賴的個人信息(如標籤、畫像維度等)的自主控制機制,以保障個人信息主體調控個性化展示相關性程度的能力,如對標籤的修改等。
五
明確與第三方的責任義務及管理措施
13. 委託處理、共享、轉讓——明確對受委託方、數據接收方的管理措施
2019年版《規範》中,在原則上為共享、轉讓個人信息「鬆綁」的同時,明確了個人信息控制者與數據接收方的責任義務,並對監督約束措施予以明確細化。2020年正式版中對個人生物識別信息的特別保護,也在該項內容中予以體現,前文中已做詳述。
(點擊圖片查看三稿演進對比)
合規建議
企業在個人信息委託處理、共享、轉讓合同中,將新增的安全影響評估標準及對安全保護責任履行的監督措施寫入合同,明確雙方的責任和義務,以及在數據接收方出現違法違規或是合同約定的情況下,個人信息控制者可以採取的措施。
嚴格評估個人生物識別信息共享、轉讓的必要性,並履行「告知+獲取明示同意」的義務。
14. 增加共同控制者連帶責任的規定
新版規範援用了「內部約定不可進行外部對抗」的原則,明確個人信息控制者在未將共同控制情況明確告知個人信息主體的前提下,即使與第三方約定責任分擔,依然承擔因第三方引起的安全責任。
(點擊圖片查看三稿演進對比)
合規建議
企業如業務需要與第三方共同控制個人信息,應嚴格履行告知義務,以顯著的方式,向個人信息主體披露第三方身份及責任義務承擔情況。
15. 增加第三方接入管理的要求
考慮App開發者引入具備個人信息收集功能的第三方產品或服務時,如嵌入插件、代碼或是第三方小程序,可能並不構成共同個人信息控制者或是為委託處理關係。
為使標準體系更加完整,針對這種情況,新版《規範》增加了第三方接入管理的詳細要求,包括接入管理機制、安全責任、披露義務、記錄留存、授權同意核驗、響應機制、安全管理監督、合規監督等,完善與第三方的合作生態,同時從三版變化來看,在增加對第三方管理義務的同時,也逐步適當放寬對個人信息控制者的管理要求,提高責任劃分的科學性和實際操作性。
(點擊圖片查看三稿演進對比)
合規建議
企業應按照8.1、9.6的規定梳理與第三方合作的業務,對於既不屬於共同個人信息控制和委託處理的情形,按照9.7的具體要求制定相應的管理流程;
在與第三方的合同中對屬於「必要時」的情形進行明確約定,在接到監管指令、用戶投訴或主動發現違規收集的情形下,必須發起核驗;
對要求第三方建立響應個人信息主體請求和投訴機制,在與第三方的合同進行明確約定,並明確由第三方為個人信息主體提供上述機制的查詢、使用服務,如未能履行,則由第三方承擔責任。
六
適度放寬對個人信息控制者的要求
新版《規範》在大幅增加企業管理要求的同時,也從實操性和公平性的角度出發,逐步適度放寬對個人信息控制者的相關要求,其中 2020年正式版變動最多,例如前文所述第三方介入管理中的相關內容,以及明示同意和授權同意的方式、註銷帳戶的程序、共同個人信息控制者的範圍等。
16. 選擇同意的場景更加豐富
新版《規範》將原條款調整後,增加了「口頭等方式主動作出紙質或電子形式的聲明」的形式,並添加了肯定性動作的示例,整體適用場景更加豐富,形式更加清晰明確。
新增「授權同意」的概念,既包括明示同意,也包括消極不作為行為作出的授權,使企業在收集、處理個人信息過程中所受限制有所放鬆,同時也不會對用戶過度打擾,影響用戶體驗。
(點擊圖片查看三稿演進對比)
合規建議
結合業務場景,在書面、口頭、紙質、電子、主動勾選點擊等形式中選擇用戶友好型的明示同意獲取方式。
確保獲取明示同意的方法能體現用戶的「肯定性」動作,避免出現默認、預勾選等情況。
依照示例,對用戶行為進行研判,並注意保存明示同意及授權同意的相關證據。
要合理運用「明示同意和」和「消極的不作為授權」:
(1)在法律法規有強制要求的情況,如在收集個人敏感信息或者14歲以下的個人信息時一定要採用「明示同意」;
(2)在法律法規沒有要求採用明示同意的場景中,如果個人信息的採集和使用超出了用戶的合理預期,建議也採用明示同意。
17. 解綁企業大規模收集部分個人敏感信息
在收集個人信息的合法性方面,2019年版本中增加了「不應大規模收集我國公民的種族、民族、政治觀點、宗教信仰等個人敏感信息」的要求,但2020年正式版本予以刪除,企業對該部分信息的收集限制解除。
但需要指出的是,正式版本仍然保留了禁止公開披露前述信息分析結果的要求,以維護國家安全和社會穩定。因此,即使《規範》中刪除了對上述信息的收集限制,但在收集和使用過程中依然存在較大風險,也會產生相應的合規義務。
(點擊圖片查看三稿演進對比)
合規建議
結合企業實際業務需求,評估大規模收集我國公民的種族、民族、政治觀點、宗教信仰等個人敏感信息的必要性,如未必需方可進行收集。
如收集該等個人敏感信息,要加強對該等個人信息的安全保護,儘可能防止其被竊取、洩露或其他個人信息安全事件的發生,以減少對潛在洩露風險。
對該等個人敏感信息的分析結果採取嚴格保護措施,且不公開披露。
18. 新增註銷帳戶詳細要求並不斷優化
相較於2017版《規範》的原則性要求,2019年版增加了企業處理註銷請求的詳細要求,2020年正式版結合實踐操作需要進行了調整:將人工處理的時間要求由15天放寬至15個工作日,執行條件更加寬鬆;通過增加示例明確存在業務關聯關係的產品和服務在註銷帳戶時的處理辦法,在提升用戶體驗的同時,也考慮企業進行帳戶打通的業務需求,提供可行性的方案。同時為了保障用戶權益,也明確了註銷帳戶時身份核驗並非必需,防止企業以此為由設置障礙。
(點擊圖片查看三稿演進對比)
合規建議
企業應建立合理的註銷機制,確保有相應的機制保證15個工作日內對註銷帳號請求做出回應。
明確需要就註銷帳戶進行身份核驗的情形和場景,不設置以註銷為由收集多於服務環節所需的個人信息等障礙。
產品或服務沒有獨立的帳戶體系的,可採取對該產品或服務帳號以外其他個人信息進行刪除,並切斷帳戶體系與產品或服務的關聯等措施實現註銷。
在設計環節通過對內部數據管理系統的優化與調整,確保用戶註銷後的有效數據及時刪除、匿名化或至少從生產系統內的移出。
確保已按照法律法規要求留存需要留存的信息,並保證在註銷帳戶後在業務中不再使用。
19. 限縮共同個人信息控制者認定範圍
相較於2017年、2019年版本,2020年正式版《規範》在 「9.6 共同個人信息控制者」的示例部分將個人信息控制者與第三方插件構成共同控制者的認定限制在個人信息收集階段,刪除了使用階段,故因未披露第三方而承擔連帶責任的風險也相對減少。
(點擊圖片查看三稿演進對比)
20. 企業管理要求「外松內緊」
對比2017、2019和2020三個版本,《規範》對企業設立個人信息保護負責人和工作機構的條件逐步放寬,處理個人信息的數量要求從50萬人到100萬人,逐步設置處理個人敏感信息條件,到最終提高至超過10萬人的標準。這種變化主要考慮個人信息控制者處理個人信息數量的不斷增長,以及處理個人敏感信息的普遍性,提出更加科學的要求,同時減輕中小企業的負擔。
在對外放寬條件的同時,對內提出更加嚴格要求,不斷強化個人信息保護負責人和工作機構的職責,提高個人信息保護負責人的任職條件。
(點擊圖片查看三稿演進對比)
合規建議
企業應對業務中涉及處理個人信息及個人敏感信息的數量定期進行梳理,以便確定是否需要設立專職的個人信息保護負責人和工作機構;
企業應按照要求選派符合任職條件的人員,擔任個人信息保護負責人;
按照個人信息保護負責人和工作機構職責的最新要求完善管理制度,制定個人信息保護工作計劃並督促落實,建立投訴舉報機制和監管處置機制,企業應為個人信息保護負責人和工作機構履行職責提供保障。
山西網警巡查執法
網警網上巡查執法,網絡犯罪防範警示提示,網上違法行為告知警示。網上違法犯罪信息舉報網址:www.cyberpolice.cn