[文献]《个人信息隐私安全规范》全文解读
2017年12月29日,中国国家标准化管理委员会正式发布《信息安全技术 个人信息安全规范》(GB/T 35273-2017,下称“规范”);2018年1月24日,国家标准全文公开系统正式对外公布规范全文,将于2018年5月1日起实施。
《网络安全法》实施以来,立法层面,国家层面发布了一系列与个人信息保护有关的法律法规、规范性文件及司法解释。而监管、执法层面,人大、网信、网安、工信甚至消协系统,在全国各地掀起了一系列个人信息专项检查、打击行动。来自上海公安局的消息,仅上海一地,2017年就侦破个人信息犯罪案件超过1000起。
但是,由于法律规范及监管政策的原则性、模糊化及碎片化,很多政策缺乏落地的细则,这就给很多企业个人信息合规工作带来极大的困惑。而由全国信息安全标准化技术委员会牵头制定的《规范》,从国家标准层面,明确了企业收集、使用、分享个人信息的合规要求,为企业制定隐私政策及个人信息管理规范指明了方向。
一、《个人信息安全规范》的效力问题
《规范》的标准编号为GB/T 35273-2017,即为推荐性国家标准。根据《国家标准化法》规定,强制性标准必须执行,国家鼓励采用推荐性标准。
但是,根据《规范》适用范围说明,《规范》适用于“主管监管部门、第三方评估机构等组织对个人信息处理活动进行监管、管理和评估”。在此之前,国家网信办有关领导也明确指出,规范“定位为我国个人信息保护工作的基础性标准文件……为制定和实施个人信息保护相关法律法规奠定基础,为国家主管部门、第三方测评机构等开展个人信息安全管理、评估工作提供指导和依据。”
在实践中,之前网信办、工信部、公安部等联合开展的隐私条款专项工作也主要是以《规范(征求意见稿)》为依据;2018年1月6日,国家网信办网络安全协调局约谈“支付宝年度账单事件”当事企业负责人时,也再次强调了《规范》的准据效力。
二、个人信息有关的几个法律概念界定
前面提到,《网络安全法》及其配套制度关于个人信息保护的规范相对原则,而本次《规范》重点明确了实践中比较关注的几个概念。
首先,《规范》明确了“敏感个人信息”的范畴。《规范》及其附录确定了敏感个人信息的认定标准、实例以及敏感个人信息的特殊合规要求,这与《网络安全法》规定的数据分类措施相衔接。
其次,《规范》明确了“收集”的法律概念,明确将个人信息收集行为分为主动提交、自动采集、从第三方获取三种方式,并将获取但不回传至服务器的行为排除在“收集”行为之外。
此外,《规范》还明确规定了实践中争议较大的“删除”、“用户画像”、“匿名化”等概念,对于企业合规建设具有重要的参考价值。
三、个人信息收集的合规要求
本次《规范》明确了企业收集个人信息的合规要求,主要包括如下几个方面:
第一,《规范》明确了用户知悉的合规要求。《规范》明确规定企业应当告知用户,网络产品或服务的不同业务功能分别收集了哪些个人信息,并应当通过隐私政策的方式明确告知用户收集的个人信息的详细、完整规则。收集行为涉及共同个人信息控制者时,还应当明确告知用户共同控制的第三方及各自责任。
第二,《规范》明确了用户同意的合规要求。《规范》对用户的明示同意作出了示例性规范,包括作出书面声明、主动勾选、主动点击“同意”/“注册”/“发送”等主动性动作。《规范》还规定了收集用户个人敏感信息时的特殊规则。
第三,《规范》明确了收集同意规则的例外情形。《规范》明确,当所收集的个人信息是个人信息主体自行向社会公开的,或者收集着从合法公开披露的信息中收集个人信息的,或者用于学术研究等目的时,可以无需征得信息主体的授权或者同意程序相应克减。
第四,《规范》明确了从第三方获取个人信息的审查要求。《规范》明确,企业从第三方获取个人信息时,应当要求提供者说明来源,并审查来源的合法性以及是否履行了必要的同意程序等。
四、个人信息分享的合规要求
《规范》明确规定,委托第三方处理个人信息时,应当开展个人信息安全影响评估,并应当采取措施监督、记录第三方委托处理的行为,并应当对第三方进行审计。
关于个人信息的转让,《规范》规定应当开展个人信息安全影响评估,并应当采取措施监督、记录受让方的行为,同时还规定应承担转让造成损害的法律责任。因并购、重组等发生控制主体变更的,应当单独向用户告知相关情况。
关于个人信息的跨境传输,除了应当满足分享的合规要求外,还应当按照《网络安全法》及其落地政策规定履行安全评估程序。
五、用户控制个人信息的合规要求
根据之前网信办、工信部、公安部等联合开展的隐私条款专项工作反馈的情况,以及全国人大常委会一法一决定的执法检查报告,绝大多数企业关于用户控制个人信息的义务未落实,问题相对突出。
本次《规范》详细规定了用户个人信息控制权的实现方式,明确规定了用户访问、更正、删除个人信息,以及撤回同意授权、注销账户的细则及合规要求。例如,企业应当在30天内相应用户的访问、更正、删除等需求,并告知用户相应的纠纷解决路径。
六、企业个人信息管理制度的合规要求
《网络安全法》实施以后,为企业赋予了很多网络安全义务和责任,其中非常重要的一条即是,应当制定合规的个人信息管理制度。落实到《规范》层面,具体要求包括:
第一,应当明确个人信息保护的责任部门及人员。《规范》明确,规模达到一定条件的企业,应当任命个人信息保护负责人和个人信息保护工作机构并公开其联系方式,并对其职责作出明确规定。
第二,应当建立个人信息岗位人员管理及培训制度。《规范》明确,应当与相关人员签订保密协议,并对相关人员开展背景调查,建立专业化培训和考核机制、处罚机制。
第三,应当建立内部个人信息访问控制措施及制度,并有效的限制个人信息的展示,约束自动化程序使用与救济,等等。与此同时,还应当建立制度限制个人信息的使用、存储、发布等。
第四,应当开展个人信息安全影响评估制度及审计制度。
第五,应当建立个人信息安全事件处置与报告制度。
七、《隐私政策》的主要内容及合规要求
本次《规范》相对详细的规定了《隐私政策》的主要内容及合规要求。
主要内容方面,《隐私政策》应当至少包括个人信息控制者的基本情况;收集、使用个人信息的目的,以及目的所涵盖的各个业务功能;各业务功能分别收集的个人信息,以及收集方式和频率、存放地域、存储 期限等个人信息处理规则和实际收集的个人信息范围;对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收 个人信息的第三方类型,以及所承担的相应法律责任;处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式;等等。
合规要求方面,《规范》对《隐私政策》的文字要求、放置规范、送达方式、更新要求等都作出了明确的规定。
总之,《规范》是监管与执法的重要参考依据,对于企业个人信息合规具有重要的指引意义。企业应当根据《网络安全法》及其配套制度的整体规则,并参照《规范》的细则要求,重新梳理个人信息的收集、使用、存储、分享行为,完善内部管理制度,建立内部岗位及人员责任,降低个人信息违规、违法甚至是刑事法律风险。
当然,我们也应该看到,《规范》的很多细节内容,已经突破了《网络安全法》及其配套制度的法定要求,同时也高于国际同行甚至是欧盟的个人信息保护标准,这不但极大的增加了企业的合规及运营成本,而且对于我国互联网产业尤其是大数据产业的发展也具有一定的消极影响。