《个人信息安全规范(征求意见稿)》十大主要变化解读
2019年6月25日,信安标委发布《关于国家标准〈信息安全技术 个人信息安全规范〉征求意见稿征求意见的通知》,对《个人信息安全规范(征求意见稿)》公开征求意见。征求意见截止时间为2019年8月8日。
继2019年2月1日信安标委对《个人信息安全规范(草案)》征求意见之后,信安标委将草案进行完善形成征求意见稿,再次公开征求意见。为了帮助大家快速了解《个人信息安全规范》从草案到征求意见稿的变化,接下来,将通过对比解读的方式,为大家梳理《个人信息安全规范(征求意见稿)》的十大主要变化。
十大主要变化速览
十大主要变化具体解读
主要变化一:新增“业务功能”的定义
【条文对比】
【解读】
业务功能的明确界定,是评估业务功能是否与收集个人信息相对应和是否符合必要性要求的基础。《APP自评估指南》评估项2的第5个评估点和《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(以下简称《移动互联网应用必要信息规范》)第二部分第2条,先后对“业务功能”进行了定义。
《个人信息安全规范(征求意见稿)》新增对业务功能的定义,沿用了《移动互联网应用必要信息规范》的定义,界定了业务功能的划分标准,完善了之前未对业务功能进行划分的缺憾,也一定程度上限制了企业为了收集个人信息而强行将所收集信息与某项自主定义的“业务功能”进行对应的行为。
主要变化二:调整收集个人信息的告知内容,并基于一项还是多项业务功能的不同决定是否可以只通过隐私政策进行告知同意
【条文对比】
【解读】
从《个人信息安全规范(草案)》详细地规定收集个人信息的告知范围,到《个人信息安全规范(征求意见稿)》规定告知收集、使用个人信息的目的、方式和范围,收集个人信息的告知内容进一步得到调整,赋予了企业更多的主观能动性,一定程度上解决了因详细列示告知内容且部分内容可执行性较困难等给企业造成的困扰。
《个人信息安全规范(征求意见稿)》新增了基于区分一项还是多项业务功能,决定是否可以只通过隐私政策进行告知同意还是需要在实际开始收集特定个人信息时通过交互界面或设计再次进行告知同意。该规定考虑了不同发展阶段和业务特点的企业的不同情况,但实际上重点明确了对大部分拥有多项业务功能的企业而言,仅仅通过隐私政策来获取用户的授权同意不足以满足授权同意的要求,除制定隐私政策外,需要在隐私政策之后实际开始收集个人信息时通过交互界面或设计来再次征得用户的授权同意。
需要探讨的是,《个人信息安全规范(征求意见稿)》的注2不仅明确了本条即第5.4a)条的实现方法,还明确了第5.3条的实现方法。在第5.4 a)条注的部分明确第5.3条的内容是否合适,有待进一步商榷。
主要变化三:对隐私政策的要求进行删减和优化
【条文对比】
【解读】
第一,限缩了隐私政策中关于个人信息控制者的基本情况的告知内容。从《个人信息安全规范(草案)》详细地规定需告知的个人信息控制者的基本情况,到《个人信息安全规范(征求意见稿)》规定仅告知个人信息控制者的主体身份和联系方式的变化,是对众多企业就该条款提出的完善意见的响应。《个人信息安全规范(草案)》发布后,针对需告知的个人信息控制者的基本情况的内容产生了广泛的关注和讨论,从可执行性角度涉及集团公司隐私政策统筹安排、相关负责人联系方式公开可能造成的困扰、负责人可能频繁变更、多个办公地址等问题。《个人信息安全规范(征求意见稿)》的调整,提高了本条要求的可执行性,从联系方式角度理解,不再限制是相关负责人的联系方式,意味着可以使用客服电话、个人信息保护专用客服电话、个人信息保护部门联系电话等。
第二,调整了个人信息收集方式等个人信息处理规则要求。《个人信息安全规范(征求意见稿)》删除了隐私政策中告知个人信息收集频率、存放地域和实际收集的个人信息范围的要求,可执行性也得以进一步提高。值得商榷的是,这里不再强调明确存放地域,与《APP自评估指南》评估项3第10 个评估点要求的明确个人信息存放地域(国内、国外)存在不一致之处,而且从实践的角度看,明确存放地域是国内还是国外似乎不会明显增加企业的合规成本。
第三,删除了起始部分提供摘要简述告知隐私政策内容的重点的要求。《个人信息安全规范(征求意见稿)》不再强制要求起始部分提供摘要,为企业提供了更多的弹性空间,降低了强制要求起始部分提供摘要可能给企业造成的困扰。
第四,删除了隐私政策理解内容采用对个人信息主体合法权益最有利的理解的要求。隐私政策理解内容采用对个人信息主体合法权益最有利的理解,蕴含着将隐私政策作为格式文本理解的意味。在尚无法对隐私政策进行准确定性的情况下,通过国家标准来进行定性存在不尽合理之处,众多企业的反对声音也比较强烈。因此,《个人信息安全规范(征求意见稿)》删除了该项要求,不失为审慎之举。
主要变化四:新增履行与个人信息主体的合同所必须作为征得授权同意的例外情形
【条文对比】
【解读】
新增履行与个人信息主体的合同所必须作为征得授权同意的例外情形,实际借鉴了欧盟GDPR第6条对个人信息处理六项合法事由的要求。欧盟GDPR六项处理个人信息合法事由中,第二项即为处理是为向身为合同当事人的数据主体履行合同所必须的,或在缔约前,应数据主体的要求所必须采取的步骤。
从《网络安全法》及相关配套规定看,我国关于个人信息处理的合法事由还是个人同意。履行与个人信息主体的合同所必须作为征得授权同意的例外情形,是否存在突破上位法依据的情况有待进一步讨论。从执行角度看,本条通过注的形式将隐私政策排除在本条规定的“合同”之外,限制开展了多项业务功能的企业将隐私政策解释为合同进而将本条作为需要再次通过交互界面或设计获得用户授权同意的例外情形的解释空间。
值得进一步探讨的是,首先,此处的“合同”应该如何界定,是否需限定在业务有关的合同,如金融理财场景下的用户投资服务协议、快捷支付协议等?其次,就是当合同所必须与用户真实自主意愿发生冲突时,此条的适用前景如何?如用户基于可以记录运动数据的考虑购买了电子手环,但电子手环生产商在合同中明确了需要将该等运动数据传输至境外,而用户不想将数据传输至境外,该等冲突场景是否适合使用本条将用户同意排除在外?最后,“必需”如何界定,谁来界定?如果企业或者用户自行界定,该条很明显存在滥用的可能性;如果由相关主管部门来界定,界定到什么程度、界定的工作量等,都是需要考虑的问题。
主要变化五:新增用户画像的使用限制
【条文对比】
【解读】
新增用户画像的使用限制,旨在更好地规制使用用户画像过程中可能产生的违反法律法规、公序良俗和意识形态要求等的情形。
值得指出的是,“7.4a)2)表达对民族、种族、宗教、残疾、疾病歧视的内容”,该项要求在内部讨论过程中对规制目的和措辞表述进行了优化,因为民族、种族、宗教、残疾、疾病等个人信息主体的特征本身可能并不会包括歧视的内容,不宜直接禁止使用该等特征对个人信息主体进行标注,但如果使用该等特征对用户进行信用评分差异对待等用户画像时进行歧视,则为该项要求所禁止。
主要变化六:新增对信息系统自动决策的安全影响评估要求和涉及申诉的决策结果的人工复核要求
【条文对比】
【解读】
新增对信息系统自动决策的安全影响评估要求,具体包括规划设计阶段或首次使用前开展评估和在使用过程中定期(至少每年一次)开展个人信息安全影响评估。新增此项要求的主要原因在于信息系统自动决策的基础之一是收集与评估大量且多维度的个人信息,通过事前和事中加强安全评估并采取相应安全措施,能够一定程度上降低个人信息的安全风险。
涉及申诉的决策结果增加人工复核的要求,更加强调了对个人信息主体负责的态度。本条主要规制的场景就在于自动决策机制能对个人信息主体权益造成显著影响的应用场景,如影响贷款额度的确定、能否进行面试等,在《个人信息安全规范(草案)》强调提供申诉方法的基础上,《个人信息安全规范(征求意见稿)》进一步对涉及申诉的决策结果增加人工复核的要求,更有利于保护个人信息主体的切身权益,具有一定的必要性。但需要探讨的问题在于,本条未对需要复核的情况进行更多维度的限定,如果每一个个人信息主体对每一条自动决策结果都提出申诉,势必会激增企业的人工复核负担。
主要变化七:不再强调个人信息跨境传输需进行安全评估
【条文对比】
【解读】
《个人信息安全规范(征求意见稿)》删除了《个人信息安全规范(草案)》中关于个人信息跨境传输需经安全评估的强制要求,而是强调个人信息跨境传输需符合国家网信部门会同国务院有关部门制定的办法和相关标准的要求,有利于与近期发布的《个人信息出境办法(征求意见稿)》等文件就个人信息跨境传输的规定保持一致。
主要变化八:不再单独强调对个人信息控制者在大量个人信息和重要数据发生泄露、毁损、丢失情况时的报告要求
【条文对比】
【解读】
参照《个人信息和重要数据出境办法(征求意见稿)》及《重要数据识别指南(征求意见稿)》的相关规定,“超过100万人个人信息”属于“大量个人信息”,“关系国计民生、公共利益的个人敏感信息”属于“重要数据”。《个人信息安全规范(征求意见稿)》删除了《个人信息安全规范(草案)》中关于大量个人信息和重要数据发生泄露、毁损、丢失情况时个人信息控制者的报告要求。
需注意的是,此处的删除并不意味着个人信息控制者无需对该等情形承担相关报告责任。《网络安全法》第25条规定“在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告”。《数据安全管理办法(征求意见稿)》第35条规定“发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告”。根据前述规定可以看出,发生网络安全事件,依然需要承担相应报告责任,只是不再单独强调大量个人信息和重要数据发生泄露、毁损、丢失的特殊情形。
主要变化九:新增关于个人信息安全工程的规定
【条文对比】
【解读】
《个人信息安全规范(征求意见稿)》新增了关于个人信息安全工程的规定,鼓励个人信息控制者在开发具有处理个人信息功能的产品和服务时,宜考虑个人信息保护要求,从而保证系统建设与个人信息保护措施的同步。此规定也呼应了国家互联网信息办公室于2019年5月28日发布的《数据安全管理办法(征求意见稿)》中关于“网络运营者应当严格遵守收集使用规则,网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致,同步调整”的规定。
与《个人信息安全规范(征求意见稿)》同期发布征求意见的《信息安全技术 个人信息安全工程指南(征求意见稿)》,对个人信息安全工程进行了较为细致的规定,可以进行重点参考。
主要变化十:附录B个人敏感信息判定中,新增“通讯录、好友列表、群组列表”作为个人敏感信息举例,删除“个人电话号码”“邮箱地址及与前述有关的密码”等内容
【条文对比】
【解读】
《个人信息安全规范(征求意见稿)》新增“通讯录、好友列表、群组列表”作为个人敏感信息举例,删除《个人信息安全规范(草案)》中“个人电话号码”“邮箱地址及与前述有关的密码”等内容的举例。值得探讨的是,通讯录是否是个人隐私,在近期开庭的“今日头条被指侵犯个人隐私案”中成为争论的焦点之一。《个人信息安全规范(征求意见稿)》将通讯录作为个人敏感信息举例,会产生怎么样的影响,值得关注和研究。
短短4个月的时间内,从草案到征求意见稿,《个人信息安全规范》的修订工作正在紧张有序地进行。结合近期发布的多部个人信息保护相关规定的征求意见稿可以看出,个人信息保护工作刻不容缓,企业需要提前做好相应合规准备。