1月24日,《信息安全技术 个人信息安全规范》(以下简称“规范”)全文在国家标准全文公开系统上线。南都记者了解到,《规范》属于推荐性国家标准,去年12月29日由国家质量监督检验检疫总局和国家标准化管理委员会发布,即将于5月1日正式实施。

去年6月1日实施的《中华人民共和国网络安全法》(以下简称“网安法”),为个人信息保护奠定了坚实的上位法基础。网安法实施一年半以来,全国各地已经适用了多起案例。但是,也有多名学者和多家企业呼吁,落实个人信息保护还需更加细化的配套法规。

《规范》被定位为我国个人信息保护工作的基础性标准文件,它从收集、保存、使用、共享、转让、公开披露等个人信息处理活动方面进行了详细规定。《规范》主要起草人之一、中国信息安全研究院副院长左晓栋对南都记者表示,《规范》对网安法中关于个人信息保护的原则性规定进行了细化,突出了可操作性,使法律在这个问题上的落地成为可能。

电话号码、网页浏览记录属“个人敏感信息”

《规范》明确,该标准“适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估”。

也就是说,企业、监管部门和第三方评估机构都在《规范》的适用范围之内。南都记者梳理发现,尽管刚刚发布不久,《规范》的效力在实践中已经有所体现。

前不久的“支付宝年度账单事件”中,支付宝以极小的字体默认勾选“同意《芝麻服务协议》”的行为被质疑侵犯消费者个人信息安全,被国家网信办网络安全协调局约谈。网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的个人信息保护倡议的承诺。

值得注意的是,《规范》不但首次明确了个敏感信息的定义,还首次给出了具体示例。北京师范大学副教授、中国互联网协会研究中心秘书长吴沈括告诉南都记者,《规范》厘定、阐明了个人信息安全保护领域的诸多重要问题,例如“个人信息”这一术语的基本定义、个人信息安全的基本要求等。并且在国家标准层面,第一次界定和例举了个人敏感信息的内涵与外延。

《规范》指出,个人敏感信息是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。除了财产信息、健康生理信息、生物识别信息、身份信息和网络身份标识信息以外,个人敏感信息还包括电话号码、网页浏览记录、行踪轨迹等。

个人敏感信息举例。

而在收集个人敏感信息时,个人信息控制者需在收集前向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。

隐私政策需说明用户对个人信息拥有的权利

去年12月28日,南都个人信息保护研究中心发布《1550家网站和APP的隐私政策透明度测评报告》。报告显示,隐私政策透明度分布的两极分化极为严重,透明度低的平台个数占到总数的八成以上,隐私政策还普遍存在用户权利条款缺失、文本晦涩、更新缓慢、暗藏格式条款等弊病。

隐私政策披露位置不明显的问题也引起了研究中心的注意。一些平台的隐私政策被置于“设置”或“关于我们”等页面,用户需要经过多次跳转甚至登录之后才能看到。更有个别平台提供的隐私政策链接是无效页面或无关页面,企图蒙混过关。对此,《规范》要求,隐私政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言,并在起始部分提供摘要,简述告知内容的重点。隐私政策应公开发布且易于访问,例如,在网站主页、移动应用程序安装页、社交媒体首页等显著位置设置链接。

作为补充,《规范》还提供了详细的隐私政策模板供企业参照。“隐私政策模板有助于各类企业理解和设计与业务活动相适应的个性化企业政策”,吴沈括指出,在目前公众对个人信息安全的认识尚处于起步阶段的现状下,有效提升工作效率、降低操作成本,具有较高的借鉴意义。

南都记者注意到,《规范》要求企业在隐私政策中加入“说明用户对其个人信息拥有何种权利”的章节,内容包括但不限于:信息收集、使用和公开披露时允许用户选择的个人信息范围,用户所具备的访问、更正、删除、获取等控制权限,用户隐私偏好设置,用户可以选择的通信和广告偏好,用户不再使用服务后撤回同意和注销账号的渠道、用户进行维权的有效渠道等。

处理超过50万人的信息 应设专门机构管理

针对个人信息的共享、转让、公开披露问题,《规范》也提出了具体要求。个人信息控制者如果确需共享、转让个人信息,应充分重视存在的风险,事先开展个人信息安全影响评估,还需征得个人信息主体的授权同意,告知共享、转让目的,涉及的个人敏感信息类型、数据接收方的身份和数据安全能力。

在公开披露方面,《规范》要求个人信息控制者需经法律授权或具备合理事由,并明确提出不得公开披露个人生物识别信息。

值得一提的是,除了对个人信息的收集、保存、使用、共享和转让等各个业务环节,提出了具体的操作要求以及应守准则外,《规范》也明确了组织内部的相应管理要求。

如果满足以下条件之一的组织,(1)主要业务涉及个人信息处理,且从业人员规模大于200人;(2)处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息,应设立个人信息保护负责人和个人信息工作机构,由他们负责制定、签发、实施、定期更新隐私政策和相关规程,开展个人信息安全影响评估等工作。

去年9月,南都个人信息保护研究中心曾深度对比分析十大常用网络产品的新旧隐私政策,发现过半企业新增了设立个人信息保护部门的说明。比如,滴滴提及内设信息安全委员会,京东商城表示成立了数据安全委员会,负责企业的个人信息安全。

“总体而言,企业在今后的运营中需要对个人信息安全合规维权问题,进一步做出更为充分的预判和相应的资源投入。”吴沈括告诉南都记者,鉴于个人信息安全保护领域的前沿性和专业性,《规范》对于企业合规与运营成本以及对产业发展的实际影响,还有待其正式施行后做分场景的深入探讨与具体观察。

独家专访《规范》主要起草人之一左晓栋:《规范》为守法企业提供重要机遇

南都:《规范》的核心内容是什么?

左晓栋:在个人信息的收集、保存、使用、转让等环节,目前都存在保护个人信息不力的问题,《规范》均对此提出了要求,这是最核心的内容。此外,《规范》还对个人信息和个人敏感信息等给出了具体定义。

南都:《规范》中关于用户实现个人信息控制权的规定,企业在实际操作中是否会有困难?

左晓栋:技术上不难操作,只是企业出于自身利益考虑,不愿意做而已。现实情况是很多企业以侵害用户利益为代价,满足一己私利。

南都:有观点认为,《规范》涉及的很多细节内容,可能会增加企业的合规及运营成本。你怎么看?

左晓栋:首先要强调,《规范》是推荐性国家标准,而网安法是法律,两者效力不一样,应该将《规范》看作对网安法相关条款的具体化或技术解释。

如果企业继续漠视用户利益,甚至违法违规,《规范》当然会成为其负担,这样野蛮生长的产业应该反思。但对于守法开展业务的企业,《规范》是其重要机遇,因为只有守法的、真正保护用户利益的企业,才能走得更远。这也要求全社会养成保护个人信息的良好氛围,同时相关部门加强监管,才不会发生“劣币驱逐良币”的事情。

南都:企业应该如何利用隐私政策模板?

左晓栋:隐私政策对一个机构如何收集、处理个人信息作出了说明,这首先是公开透明原则的基本体现。隐私政策也是一个机构的承诺,以及监管部门的首要监管关注点,企业要重视起来。

但实际工作中,多数企业的隐私政策不合格,突出表现在内容缺失、表达晦涩等。因此,企业要参照隐私政策模板,抓紧完善自身隐私政策。监督、评审隐私政策是个人信息保护工作的开篇,但监管步伐不能停留于此,今后还会在此基础上建立全面的个人信息保护监管制度

采写:南都记者 蒋琳 李玲

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。