当今社会,大到智慧城市的建设治理,小到手机应用的登录解锁,人脸识别应用已经随处可见。在为生产生活带来便利的同时,其引发的个人信息保护问题也日益凸显。比如,一些商场通过无感抓拍在未经消费者同意的情况下擅自采集人脸信息,通过分析消费者画像进而采取不同的营销策略。又如,一些物业机构强制将人脸识别作为业主出入小区的唯一验证方式,要求业主录入人脸并绑定相关个人信息。
人脸信息属于敏感个人信息中的生物识别信息,是社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害。上述行为严重损害自然人的人格权益,侵害其人身、财产等合法权益,破坏社会秩序,亟待进行规制。
事实上,在近两年被广泛报道的涉人脸识别的人格权益保护案件中,除了大众比较关注的涉嫌违规采集、滥用、泄露人脸信息的责任主体(如商场、物业)外,往往还牵扯到一个“第三方”角色,即为该主体提供人脸识别技术或产品,以及进行处理、加工被采集数据操作的供应商,双方形成“委托处理”关系。
不同参与方因角色定位不同,对应的法律责任也不尽相同,在大众不便清晰分辨其责任边界的同时,往往也给了参与方们逃避、推诿自身保护义务的空间。本文通过GB/T 35273-2020《信息安全技术 个人信息安全规范》(2020-10-01实施)标准中的相关条款,厘清并分析不同数据处理者的个人信息保护义务,以降低企业在数据收集、共享、处理过程中的风险。
条款解读
GB/T 35273-2020标准9.1章节-委托处理,明确规定个人信息控制者委托第三方处理个人信息时,委托者与受委托者分别应该承担的责任义务以及分别需要具备的数据安全能力。
委托者作为个人信息控制者(也即上文中提及的商场、物业等角色),虽然不直接实施具体的数据处理工作,但需要为个人信息安全担负主体责任。首先,委托过程涉及到个人信息的传输,其范围必须控制在个人信息主体的授权同意之内。其次,需要通过订立合同、审计等方式对数据处理过程实施监督,评估并确保个人信息在委托处理期间的安全状态,准确记录和存储委托处理个人信息的情况。最后,如果委托处理期间发生了个人信息安全问题或存在违规行为,需要立即采取措施制止并补救。总体而言,“委托处理”的行为关系是委托者数据处理行为的延伸,其将自己全部或者部分数据处理工作外包,因此需要对个人信息安全负全责。
受委托者(即上文中提及的第三方供应商角色)本质上是一个代工厂角色,其对数据的处理既没有控制权,也没有决定权,需要严格按照委托者的要求来处理个人信息。在安全保障方面,应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。如果无法达标或发生了安全事件,需要及时反馈。在委托关系解除时就不能再存储相关个人信息。需要注意的是,虽然没有独立的“个人信息控制者”地位,但若是由于自身数据安全能力缺失导致了安全事故或隐患风险,也必然会因为没有有效履行合同而面临委托方的追责。
以上标准界定的权责在《个人信息保护法》中也有可对照的条款要求,第二十一条规定:
因此,数据处理活动中的不同参与方落实各自的数据安全保障建设不仅仅是标准技术要求,也是法律强制的责任义务。
实践应用
在实际操作中,“委托处理”行为关系中双方的边界往往不如理论中划分得那么清晰,例如,有些企业名为委托处理,实则进行数据转让、数据共享,或者随着数据处理的进程,逐渐由委托处理转化为共同处理或者向第三方转让或共享。在这些情形下,数据风险敞口被进一步扩大,个人信息过量采集或违规采集可能会时有发生;委托或提供过程伴随数据的传输,什么样的数据可以外流、对操作人员及环境是否有安全监控等等都是需要企业制定策略并通过技术手段严格执行的;即使是内部合法人员,也可能因为误操作带来安全风险。
在管理制度层面,委托双方通过签订合同的形式约定数据处理相关事宜,委托者需要定义自己的数据处理协议(DPA),将其作为委托合同的数据处理附录。DPA至少应当包含以下内容:
委托处理的目的;
要处理的数据类别;
处理的持续时间;
数据控制者的权利和义务;
处理数据的保密规定;
处理数据的安全措施;
根据委托者的选择或合同约定的时间,受委托者将返回或删除所有数据;
未经委托者同意,受委托者不得二次委托他人处理数据,也不能擅自转让、共享数据;
受委托者需要向委托者提供合规所需的所有信息,包括审计和检查。
这将确保受委托者只能根据DPA来处理数据,从流程和制度上规范数据处理行为的安全性。
在技术控制层面,为流动中的个人信息等敏感数据资产提供有效防护是一项系统性工程,按照上文标准要求,委托处理的双方在各自内部需要建设如下安全能力:
1、敏感数据发现及梳理
面对多源异构的海量数据,企业首先需要了解自己掌握了哪些个人信息,梳理、清查组织内的敏感数据资产类型、数量以及分布位置,做好分类分级工作。一方面满足个人信息保护的合规要求,另一方面建立起敏感数据资产目录清单,为后续防护体系的建立打好基础。具有行业属性的数据分类模型、数据格式识别库都是发现及分类分级的好工具,同时,先进的内容深度解析以及人工智能分类技术对于实时探测分析全类型、多源头的数据资产大有裨益。
2、敏感数据全程流转感知
个人信息在委托处理甚至转让、共享的环节中,以及在受委托方的整个数据处理过程中,都需要进行全盘标注跟踪,以覆盖数据全生命周期以及同一数据在不同状态、格式、区域下的全链路流程,同时支持数据使用链路的智能聚合及快速溯源,才能不留死角地实时感知敏感数据的扩散及违规滥用风险。这是受委托方有效保障数据安全、委托方有效进行监管的必要手段。
3、自适应精准防护
针对以上可能造成违规的风险点,需要根据使用环境、流转环节、用户角色、风险级别等要素来执行最适合、最精准的防护手段,以达到保障个人信息安全而不影响数据正常流转运营的效果。基于零信任架构,对非法设备或非授权访问自动隐藏关键业务,对合法用户及授权设备进行持续的数据安全风险评估,利用无感数据安全沙箱以及微隔离存储等技术,、建立多种安全级别的应用系统访问及数据使用环境,建立应用系统与用户之间的零信任数据安全通道。精准识别用户身份,动态定义应用系统访问边界,自适应调整应用系统访问权限,防控各种越权访问、身份仿冒、违规下载等危险行为,保证敏感数据在线使用及流出安全。
(本文作者:北京数安行科技有限公司 郭灵)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
