2016年11月7日,全国人大常委会颁布《网络安全法》,对网络运营者收集使用个人信息提出了基本要求。为落实《网络安全法》,全国信息安全标准化技术委员会(TC260)结合国内立法和实践,参考国际规则,经过近两年筹备,颁布《信息安全技术 个人信息安全规范》(GB/T35273—2017),并于2018年5月1日正式实施。标准针对个人信息收集、保存、使用、委托处理等环节提出要求,落地《网络安全法》的原则性规定,填补国内个人信息保护在实践标准上的空白,为企业进行个人信息保护合规提供具体指引,在实践中得到了广泛应用。

为更好地支撑四部门联合开展的App违法违规收集使用个人信息专项治理行动,2018年10月由中国电子技术化标准研究院牵头成立工作组,开展标准修订工作,并于2019年2月和6月两次向社会公开征求意见。本文将对此次标准修订背景、主要修订内容等相关内容加以说明和解读。

一、修订背景及相关工作

在生效不到一年的时间内启动标准的首次修订,存在多方面的原因。2018年10月至11月,工作组在广泛调研的基础上,经过多次内部讨论,明确此次标准修订的基本原则和重点问题。其一,在标准实施过程中,结合隐私条款评审、监管约谈、企业实践经验等,发现标准在落实《网络安全法》有关个人信息收集、使用的“合法、正当、必要”原则,尤其是“必要”原则方面存在欠缺。其二,虽然标准已经对推送商业广告等问题有所涉及,但《电子商务法》颁布以及Facebook事件的爆发,显现出标准对个性化推送、第三方接入管理等常见业务实践具体指引的不足。其三,中央网信办、工信部、公安部、市场监管总局联合开展App违法违规收集使用个人信息专项治理行动,标准作为个人信息保护的综合性标准,未能就App收集使用个人信息提供针对性行为指引,没有充分地回应专项行动中网民呼声强烈的App强制索权、过度索权、超范围收集、强制个性化推送等问题的规范。

2018年11月,工作组针对前述问题,进行多次内部讨论,最终形成标准修订草案,并于2018年12月至2019年1月期间,分别向企业和标准化、法律、信息安全等个人信息保护相关领域专家征求意见,积极吸收其建议和意见,形成标准草案内容。2019年2月,工作组形成《信息安全技术 个人信息安全规范(征求意见稿)》,向社会公开征求意见。2019年3月至6月,工作组结合国内外机构的意见反馈、全国信息安全标准化委员会会议周汇报讨论、App违法违规收集使用个人信息专项治理工作的实践情况等,不断完善标准内容,形成最终版本,并于2019年6月再次向社会公开征求意见。

二、主要修订内容

围绕着隐瞒收集、强制收集、收集非必要信息、强制定向推送等问题,工作组在此次修订中明确修订核心为:突出基本业务功能和扩展业务功能的划分要求;增加基本业务功能和扩展业务功能的明示、同意规则,并在附录C中提供具体的实现方式;增加新闻、时政、广告的定向推送的规定。以下将结合标准具体条文对此次标准修订的重点内容进行简要介绍。

1、增加“不得强迫接受多项业务功能”的要求

实践中,一些App将不同的服务或功能进行捆绑,通过“一揽子协议”等方式征求用户同意,用户要么同意,要么不能使用所有的服务或功能,从而强迫用户授权。针对该问题,标准编制组提供了两种解决方案:其一是区分基本业务功能和扩展业务功能,并分别对不同类型业务功能征得个人信息主体同意的要求作出不同规定;其二是不在标准正文中刻意强调基本业务功能和扩展业务功能,而在资料性附录C中对此作出区分并明确不同的业务功能的同意规则,同时在标准正文中增加“不得强迫收集个人信息的要求”。最终,结合主管监管部门和公开意见征集情况,标准编制组采用了方案二,体现在标准正文5.3部分增加“不得强迫收集个人信息的要求”,以及对附录C的修改。

首先,5.3a)明确个人信息控制者不得通过捆绑多项业务功能而一次性征得个人信息主体对业务功能收集个人信息的同意;其次,标准5.3b)明确应以个人信息主体的主动性动作(如主动填写、点击、勾选等)作为业务功能收集个人信息的开启条件,并提供同样简便的关闭或退出业务功能的途径或方式;最后,标准5.3c)、d)、e)则分别明确在个人信息主体不同意使用、关闭或退出特定业务功能时,个人信息控制者应停止特定业务功能的个人信息收集活动,不得频繁征求个人信息主体同意,并且也不得暂停个人信息主体自主选择使用的其他业务功能或降低业务功能的服务质量。同时,修改资料性附录C有关保障个人信息主体选择同意权的方法的相关内容,新增“附录C.1区分基本业务功能和扩展业务功能”、“C.2基本业务功能的告知和明示同意”、“C.3扩展业务功能的告知和明示同意”。企业在进行此项合规时,具体实现方式可以参考附录C的相关内容。

2、修改“收集个人信息时的授权同意”的要求

此前标准区分直接收集和间接获取两种情形,分别规定了收集个人信息时授权同意的要求,并对个人信息控制者应告知的内容进行了细化要求。实践中,不少企业反馈进行如此精细的告知导致隐私政策频繁更改等问题,可执行性较差。针对该问题,此次标准修订在告知内容方面赋予个人信息控制者一定的自主性,在直接收集个人信息的告知内容部分,5.4a)仅要求告知收集、使用个人信息的目的、方式和范围。同时,针对提供多项业务功能的产品或服务,标准通过“注”的方式,明确其应当在实际开始收集特定个人信息时,向个人信息主体提供有关收集、使用该个人信息的相关告知内容,以便确保个人信息主体能够作出具体的授权同意。

同时,5.4b)、c)分别吸纳此前标准有关“收集个人敏感信息时的明示同意”中有关收集个人敏感信息和未成年人个人信息收集的相关告知内容。另外,由于与多项业务功能相关的要求已被吸纳在5.3“不得强迫接受多项业务功能”及附录C中,故此前标准中“收集个人敏感信息时的明示同意”不再作为单独条文。5.4d)则保留了此前标准中间接获取个人信息授权同意的相关要求。

3、新增两种“征得授权同意的例外”情形

虽然此前标准在5.4、8.5部分分别明确了收集环节和共享、转让、公开披露个人信息时事先征得同意的例外,一定程度上缓解了《网络安全法》第41条将“被收集者同意”绝对化的问题,但仍然未能回应实践中大量个人信息控制者因与个人信息主体之间存在合同关系为履行合同而进行必要的个人信息收集、使用的情形,以及个人信息控制者因遵守网络身份实名制、反洗钱等法律监管要求而收集、使用个人信息的情形。针对该问题,此次标准修订充分吸收借鉴欧盟《通用数据保护条例》对于个人信息处理合法事由的规定,在标准5.6和8.5部分新增“与个人信息控制者履行法律法规规定的义务相关的”、“根据个人信息主体要求签订和履行合同所必需的”两项征得授权同意的例外情形,以期能够更好地回应个人信息收集使用的合理诉求。

同时,由于目前国内对于隐私政策的定性究竟为合同还是规则公示存在分歧,为避免企业在实践中以隐私政策构成与个人信息主体之间的合同为由,仅以隐私政策进行个人信息的收集、使用,标准通过“注”的形式明确隐私政策并不构成此处与个人信息之间所签订或履行的合同,而仅包括与信息主体实际发生合同权利义务关系的情形。

4、新增“用户画像的使用限制”要求

用户画像是指过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程,并可根据是否使用特定自然人以外的个人信息,区分为直接用户画像和间接用户画像。此前标准在“个人信息的使用限制”部分规定了非必需情形使用个人信息应当尽可能消除身份指向性,如对于推送商业广告目的时,宜使用间接用户画像。考虑到Facebook剑桥分析事件对用户画像的不当使用可能造成危害后果等情形,此次标准在7.4c)保留原有非目的必要应消除身份指向性的要求外,以7.4a)和7.4b)分别从用户画像中个人信息主体特征描述、使用目的等对用户画像的使用加以限制。7.4a)要求对个人信息主体的特征描述不应包含淫秽、色情、赌博、迷信、恐怖、暴力的内容;也不应表达基于民族、种族、宗教、残疾、疾病等歧视性内容。7.4b)要求在业务运营或对外业务合作中不应将用户画像用于侵害公民、法人和其他组织合法权益;或者用于危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。

5、新增“个性化展示及退出”相关要求

“个性化展示”是此次标准修订中新增定义,指基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。实践中多用于定向广告、新闻推送等,用户对此的反感多在于不能自主退出或选择推送内容。针对该问题,标准7.5a)和7.5b)区分定向推送新闻信息服务或者电子商务,而作出不同要求。7.5a)要求向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应当通过标明“个性化展示”或“定推”等字样,显著区分个性化推送服务,并且为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项。7.5b)则是沿用《电子商务法》第18条的规定,并通过“注”明确基于用户所选择的特定位置进行展示、搜索结果排序,且不因用户身份不同展示不一样的内容和搜索结果排序,不构成针对用户个人特征的选项。7.5c)则是针对所有使用个性化展示的业务功能提出的倡导性规定,引导企业建立个人信息主体对个性化展示所依赖的个人信息的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力,并且在个人信息主体选择退出个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

6、新增“信息系统自动决策机制使用”相关要求

个人信息控制者在业务运营中使用具备自动决策机制的信息系统,并且能对个人信息主体权益造成显著影响的,如自动决定个人征信及贷款额度,或用于面试人员的自动化筛选等,应当对个人信息主体提供充分保障和救济。此前标准仅要求个人信息控制者向个人信息主体提供申诉方法,此次标准7.7a)和7.7b)分别要求个人信息控制者应在规划设计阶段或首次使用前、使用过程中定期开展个人信息安全影响评估,并依评估结果采取或改进有效的保护个人信息主体的措施;7.7c)在要求个人信息控制者向个人信息主体提供申诉方法的同时,还要求其对自动决策结果进行人工复核。

7、新增“第三方接入管理”相关要求

实践中,个人信息往往并非由个人信息控制者单一控制,尤其是在App生态之下,App开发者在选择所嵌入的代码、插件,或者平台式的App接入第三方小程序等时,可能引入同样具备个人信息收集功能的第三方产品或服务,同时App开发者与第三方产品或服务之间并不必然构成共同个人信息控制者或者控制者与委托者之间的关系。针对不适用共同控制者或委托处理关系的情形,标准8.7从接入条件、个人信息安全措施、向信息主体明示第三方产品或服务、相关记录留存、第三方对个人信息主体请求与申诉的回应机制等多方面提出要求,并倡导个人信息控制者对所嵌入或接入的第三方自动化工具开展技术检测,审计其个人信息收集行为。

8、新增“个人信息安全工程”和“个人信息处理活动记录”倡导性要求

在组织的管理要求部分,此次标准修订在10.2和10.3部分新增“个人信息安全工程”和“个人信息处理活动记录”的相关要求。个人信息安全工程的要求遵循“Privacy by design”的理念,要求个人信息控制者在开发具有处理个人信息功能的产品和服务时,宜根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。有关个人信息安全工程的细节指引可以参考《信息安全技术个人信息安全工程指南》。个人信息处理活动记录则倡导个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录,包括所收集个人信息的类型、数量来源,根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况,以及与个人信息处理各环节相关的信息系统、组织或人员。

三、下一步工作安排

此次标准征求意见已经于8月8日结束,工作组将在近期召开会议,对反馈意见和建议进行逐条处理,进一步完善标准内容,争取于2019年内颁布新标准文本,取代原有的《信息安全技术 个人信息安全规范》(GB/T35273—2017)。

随着各种新技术的深入应用,个人信息保护面临更多新场景、新问题,对个人信息保护国家标准提出了新的要求和挑战。在未来,工作组仍将针对《网络安全法》等法律法规的个人信息保护要求,结合国家个人信息保护工作的重点和难点问题,围绕个人信息保护主要威胁和风险点,不断修订完善标准,与时俱进,提出与国际标准接轨、适合我国国情的个人信息安全规范要求。

洪延青 葛鑫,本文发表于《保密科学技术》2019年第8期)

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。