在大数据、云计算、物联网以及人工智能等新一代信息技术迅速普及推广的当下,网络安全语境下的数据治理日益凸显其战略意义,一系列政策战略、法律法规以及其他规范相继颁布施行,充分反映了主管机关对于民众权益、产业发展和国家利益的高度重视。
2017年12月29日,全国信息安全标准化技术委员会归口的《信息安全技术个人信息安全规范》等23项国家标准正式发布。其中,《信息安全技术个人信息安全规范》(GB/T 35273-2017)(下文简称:“《安全规范》”),作为国家推荐标准将于2018年5月1日正式实施。其主要内容要素包括个人信息及其相关术语基本定义,个人信息安全基本原则,个人信息收集、保存、使用以及处理等流转环节以及个人信息安全事件处置和组织管理要求等。
总体而言,在《网络安全法》规范框架下,立足信息安全的维度,《安全规范》厘定、阐明了个人信息安全保护领域的诸多重要问题,例如“个人信息”这一术语的基本定义、个人信息安全的基本要求等等。此外,《安全规范》以个人信息的流转处理、安全事件的处置应对以及组织管理要求等作为逻辑脉络,针对个人信息的收集、保存、使用以及委托处理、共享、转让、公开披露等各个业务环节对个人信息控制者等主体提出了具体的操作要求以及应守准则。在目前我国个人信息处理规范相对不足的情况下,可以认为《安全规范》的出台在软法层面填补了诸多规则空白,为提升公民意识、企业合规和政府调节水平提供了新的业务参照、新的行为指引。
一、个人信息安全的基本原则
在维护个人信息安全的过程中,需要坚持多方共同参与,积极发挥公民以及其他主体的保护能动性。《安全规范》对个人信息以及个人敏感信息的范围加以界定,进而明确提出了开展个人信息处理活动中个人信息控制者应当遵循的基本原则和安全要求,包括:(1)权责一致;(2)目的明确;(3)选择同意;(4)最少够用;(5)公开透明;(6)确保安全;以及(7)主体参与等等。
总体上强调了个人敏感信息尊重个人信息主体真实意愿,保障个人信息主体的访问、更正以及删除其个人信息的权利,同时要求个人信息控制者具备与安全风险相匹配的安全能力,并且采取适当的管理措施和技术手段保护个人信息的保密性、完整性和可用性,切实承担相应的义务与责任。
可以认为,《安全规范》突出的个人信息处理活动应遵循的原则呼应了国家有关个人信息安全的政策战略、法律法规以及其他规范,尝试勾勒具体且明确的操作规则进而提供可行的合规指南。
二、个人信息的流转环节(1):收集
《安全规范》在个人信息收集这一重要环节,严格界定了个人信息控制者的权利并明确了其义务,规定在收集个人信息前,应当向信息主体明示相关内容并取得同意;涉及间接获取方式以及个人敏感信息时,应当做出必要说明或取得明示同意且遵守有关法律、行政法规关于个人信息保护的规定。
在信息收集方面,《安全规范》就个人信息控制者的义务提出了以下几点要旨:(1)合法性,要求个人信息控制者在法律法规规定的范围内采用合法的手段和获取信息的渠道,在征得个人信息主体同意的前提下收集个人信息或要求信息主体提供个人信息。(2)最小化,要求个人信息的收集类型、频率和数量应在必要性的最小要求之内,即符合最少够用原则。在能达到所需目的条件下,只处理最少的个人信息类型和数量。(3)授权同意,要求个人信息控制者处理个人信息时的目的、方式、范围以及相关规则,均要经过个人信息主体的授权同意。事实上,这一要求贯穿《安全规范》勾勒的个人信息处理全链条,也涵盖对个人信息的保存、使用以及委托处理、共享、转让、公开披露等等。
对于个人敏感信息,《安全规范》根据敏感程度的不同,考虑到敏感度较高的个人信息的收集与提供对个人信息主体带来的不同范围的利害影响,要求个人信息控制者要在个人信息主体完全知情的基础上给出自愿的、具体的、清晰明确的同意的意思表示。同时,若涉及产品或服务的核心功能以及附加功能,应明确告知个人信息主体对此享有的同意与拒绝提供或被收集信息的权利以及由此带来的不利影响。
值得注意的是,《安全规范》加强了个人信息主体对其个人信息的控制权,在个人信息主体明确表示同意的前提下,才可以进行相关的个人信息处理活动。其要求个人信息控制者制定相关的隐私政策,说明其自身的基本情况,并对收集行为做出目的性解释。在后续的共享、转让、公开披露等环节,需要提供行为目的、被处理的信息类型乃至与此相关的第三方主体、涉及的法律责任等情况说明。在隐私政策的相关内容中,特别强调个人信息主体的权利实现机制,隐私政策的发布方式要以最基本的法律法规以及相关规范作为基准,以真实易懂的信息内容,采取公开发布或易于访问的方式逐一送达或公告送达相关个人信息主体。
不难发现,《安全规范》在此的基本逻辑是要求个人信息控制者应当对其收集的用户信息建立健全用户信息保护制度且应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
三、个人信息的流转环节(2):保存
针对个人信息的保存,《安全规范》提出了关于信息保存的时间最小化要求与去标识化处理要求,作为个人信息控制者,有义务采取技术措施和其他必要措施,确保其收集的个人信息安全,防止其泄露、毁损、丢失:
(1)时间最小化,要求信息的保存时间应与使用目的保持程度上的一致,应满足一定的必要性,在超过保存期限后,即应对信息作出删除或匿名化处理。
(2)去标识化处理,是对信息主体的技术性保护,要求将收集到的信息去除识别性特征,并避免该数据二次复原重新识别,妥善地保管信息控制者收集到的各类数据。
对于个人敏感信息,《安全规范》进一步要求个人信息控制者对存储的个人敏感信息采取加密的安全措施,对于生物识别类信息,应采用技术措施处理后再行存储。该处理方式与去标识化处理方式存在一定的差异,去标识化处理主要是针对信息的特征化处理,使该信息失去独立识别信息主体的能力,而此处涉及的处理方式是对生物信息通过加密技术手段存储或只存储该信息的摘要部分。
服务提供过程中的个人信息保护在整个数据存储过程中的重要性是毋庸置疑的,易被忽略的是个人信息控制者停止运营其产品或服务时,个人信息的安全应如何得到保障。对此,《安全规范》规定个人信息控制者应及时停止收集行为,并将停止运营通知以公告或逐一送达方式通知个人信息主体,与此同时对其所持有的个人信息作出删除或匿名化处理。《安全规范》特别针对停止提供服务时的信息控制者做出了义务性规定,以限制其滥用已收集的各类数据,保护个人信息主体的基本权利。
四、个人信息的流转环节(3):使用
在《安全规范》中,信息的使用是个人信息主体权利最为丰富的一个环节,同时针对个人信息控制者的义务也做出了进一步细化——首先是对个人信息控制者义务的明确以及对其使用个人信息的权利限制,诸如数据访问控制、个人信息的展示限制以及使用限制等等。数据的访问遵循的是最小授权原则,该原则在《安全规范》中一直贯穿始终,与最少够用、个人信息保存的时间最小化要求等共同强调个人信息处理环节每项操作的必要性。在此基础上,《安全规范》采用设置角色分离、内部审批流程以及对超权限处理信息人员记录在册等方式严格限制访问个人信息的人员范围,采取措施制定标准来规范访问模式,建立有效实用的控制机制。
个人信息控制者对个人信息的展示以及使用的限制集中表现为消除信息的特征指向性,这一规定要求个人信息控制者在使用或展示信息的过程中,对个人信息利用技术手段实行去标识化处理或者其他加工处理,避免产生的信息可单独识别个人身份。
其次,在信息使用这一环节,《安全规范》规定了个人信息主体访问、更正、删除、撤回同意、注销账户以及获取个人信息副本的权利。在个人信息主体发现其所提供的个人信息应被访问、更正或者删除时,个人信息控制者应及时予以回应,也即要求个人信息控制者面对个人信息主体请求的相关响应机制。
五、个人信息的流转环节(4):对外提供
个人信息数据的对外提供,狭义而言主要包括委托处理、共享、转让以及公开披露等几种方式——在委托处理情况下,《安全规范》规定个人信息控制者做出的委托行为应当在法律以及信息主体授权的范围内,并且个人信息控制者不仅要对个人信息安全影响进行评估,还要对受委托人实行一定方式的监督,诸如合同约定、审计等。可以认为,委托处理作为将数据委托第三方处理的方式,委托方应当严格审核受托人的资格且对其进行必要的监督,以防止发生无法估量的危害后果。
对于共享转让以及公开披露环节,《安全规范》分别做了下述规定:
共享与转让的情况,原则上应予以控制,但又确实存在需要共享及转让的情况,考虑到实际上存在非常重大的风险,因而相较于委托处理的审查以及监督方式,另外还需要个人信息控制者对转让与共享的数据信息以及转让共享的情况加以记录,但其前提是要经由个人信息主体的同意。对于个人敏感信息,则有进一步的要求,也即还需要另外告知个人信息主体此类处理行为涉及到的信息类型、第三方身份以及安全能力。《安全规范》关于此类业务要求进行定量定性的评估审计,第三方主体接受信息的能力以及数据安全能力,在数据委托以及共享和转让的处理环节中,具有突出的地位。第三方安全能力的大小实质上决定了数据自身的安全性大小,故而对第三方的相关信息都要做特定性的考察。
个人信息的公开披露有别于个人信息的展示,个人信息的展示仅要求个人信息控制者对将要被展示的信息去除特征化即可,主要目的在于降低个人信息在展示环节的泄露风险。《安全规范》在披露环节规定,原则上拒绝公开披露个人信息,除非经由法律授权或者其他合理事由许可,并且在对其造成的影响进行安全评估以后,取得个人信息主体的明示同意,才可以披露相关信息。而对于个人生物识别信息,考虑到具有特定的可单独识别生物个体的功能,因而不可公开披露。
六、个人信息安全事件处理与组织管理
个人信息安全事件的处理主要涉及发生事故后的紧急应对措施,《安全规范》就此规定了应急处置和报告等相关问题。个人信息控制者应当就个人信息制定相关的安全事件紧急预案,防患于未然,而相关的工作人员则要进行定期培训以及应急演练。预先演练,熟悉处理流程,在事故发生后,对事件内容进行记录,并评估可能造成的影响,同时将相关情况告知受影响的个人信息主体,进而据此形成较为完备的安全事件应急处理机制,最大程度降低事件带来的不良后果。
事前的预防效果一般而言优于事后的补救,对于安全事件的处理问题,配备完善的技术队伍,明确各方负责人的领导责任,以此形成良好的管理系统和个人信息保护工作机构,为个人信息安全事件建立坚实的防火墙是比较有效的预防措施。《安全规范》就组织的管理要求制定了一系列相关规范,较为主要的措施包括要求个人信息控制者定期对个人信息安全影响进行评估,建立自身的评估机制,除此以外,还应建设适当的数据安全能力,定期对相关人员进行管理培训,并对自身建立的相关隐私政策以及安全措施的有效性进行审计,完善具体的审计系统,落实必要的管理和技术措施,最大程度地防范个人信息的泄露、损毁和丢失等情况发生。
吴沈括,北京师范大学刑科院暨法学院副教授、硕导、中国互联网协会研究中心秘书长
霍文新,北京师范大学刑事法律科学研究院硕士研究生
声明:本文来自搜狐法律观察,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。