網上投稿
2017年12月29日,中國國家標準化管理委員會正式發布《信息安全技術 個人信息安全規范》(GB/T 35273-2017,下稱“規范”);2018年1月24日,國家標準全文公開系統正式對外公布規范全文,將于2018年5月1日起實施。
《網絡安全法》實施以來,立法層面,國家層面發布了一系列與個人信息保護有關的法律法規、規范性文件及司法解釋。而監管、執法層面,人大、網信、網安、工信甚至消協系統,在全國各地掀起了一系列個人信息專項檢查、打擊行動。來自上海公安局的消息,僅上海一地,2017年就偵破個人信息犯罪案件超過1000起。
但是,由于法律規范及監管政策的原則性、模糊化及碎片化,很多政策缺乏落地的細則,這就給很多企業個人信息合規工作帶來極大的困惑。而由全國信息安全標準化技術委員會牽頭制定的《規范》,從國家標準層面,明確了企業收集、使用、分享個人信息的合規要求,為企業制定隱私政策及個人信息管理規范指明了方向。
一、《個人信息安全規范》的效力問題
《規范》的標準編號為GB/T 35273-2017,即為推薦性國家標準。根據《國家標準化法》規定,強制性標準必須執行,國家鼓勵采用推薦性標準。
但是,根據《規范》適用范圍說明,《規范》適用于“主管監管部門、第三方評估機構等組織對個人信息處理活動進行監管、管理和評估”。在此之前,國家網信辦有關領導也明確指出,規范“定位為我國個人信息保護工作的基礎性標準文件……為制定和實施個人信息保護相關法律法規奠定基礎,為國家主管部門、第三方測評機構等開展個人信息安全管理、評估工作提供指導和依據。”
在實踐中,之前網信辦、工信部、公安部等聯合開展的隱私條款專項工作也主要是以《規范(征求意見稿)》為依據;2018年1月6日,國家網信辦網絡安全協調局約談“支付寶年度賬單事件”當事企業負責人時,也再次強調了《規范》的準據效力。
二、個人信息有關的幾個法律概念界定
前面提到,《網絡安全法》及其配套制度關于個人信息保護的規范相對原則,而本次《規范》重點明確了實踐中比較關注的幾個概念。
首先,《規范》明確了“敏感個人信息”的范疇。《規范》及其附錄確定了敏感個人信息的認定標準、實例以及敏感個人信息的特殊合規要求,這與《網絡安全法》規定的數據分類措施相銜接。
其次,《規范》明確了“收集”的法律概念,明確將個人信息收集行為分為主動提交、自動采集、從第三方獲取三種方式,并將獲取但不回傳至服務器的行為排除在“收集”行為之外。
此外,《規范》還明確規定了實踐中爭議較大的“刪除”、“用戶畫像”、“匿名化”等概念,對于企業合規建設具有重要的參考價值。
三、個人信息收集的合規要求
本次《規范》明確了企業收集個人信息的合規要求,主要包括如下幾個方面:
第一,《規范》明確了用戶知悉的合規要求。《規范》明確規定企業應當告知用戶,網絡產品或服務的不同業務功能分別收集了哪些個人信息,并應當通過隱私政策的方式明確告知用戶收集的個人信息的詳細、完整規則。收集行為涉及共同個人信息控制者時,還應當明確告知用戶共同控制的第三方及各自責任。
第二,《規范》明確了用戶同意的合規要求。《規范》對用戶的明示同意作出了示例性規范,包括作出書面聲明、主動勾選、主動點擊“同意”/“注冊”/“發送”等主動性動作。《規范》還規定了收集用戶個人敏感信息時的特殊規則。
第三,《規范》明確了收集同意規則的例外情形。《規范》明確,當所收集的個人信息是個人信息主體自行向社會公開的,或者收集著從合法公開披露的信息中收集個人信息的,或者用于學術研究等目的時,可以無需征得信息主體的授權或者同意程序相應克減。
第四,《規范》明確了從第三方獲取個人信息的審查要求。《規范》明確,企業從第三方獲取個人信息時,應當要求提供者說明來源,并審查來源的合法性以及是否履行了必要的同意程序等。
四、個人信息分享的合規要求
《規范》明確規定,委托第三方處理個人信息時,應當開展個人信息安全影響評估,并應當采取措施監督、記錄第三方委托處理的行為,并應當對第三方進行審計。
關于個人信息的轉讓,《規范》規定應當開展個人信息安全影響評估,并應當采取措施監督、記錄受讓方的行為,同時還規定應承擔轉讓造成損害的法律責任。因并購、重組等發生控制主體變更的,應當單獨向用戶告知相關情況。
關于個人信息的跨境傳輸,除了應當滿足分享的合規要求外,還應當按照《網絡安全法》及其落地政策規定履行安全評估程序。
五、用戶控制個人信息的合規要求
根據之前網信辦、工信部、公安部等聯合開展的隱私條款專項工作反饋的情況,以及全國人大常委會一法一決定的執法檢查報告,絕大多數企業關于用戶控制個人信息的義務未落實,問題相對突出。
本次《規范》詳細規定了用戶個人信息控制權的實現方式,明確規定了用戶訪問、更正、刪除個人信息,以及撤回同意授權、注銷賬戶的細則及合規要求。例如,企業應當在30天內相應用戶的訪問、更正、刪除等需求,并告知用戶相應的糾紛解決路徑。
六、企業個人信息管理制度的合規要求
《網絡安全法》實施以后,為企業賦予了很多網絡安全義務和責任,其中非常重要的一條即是,應當制定合規的個人信息管理制度。落實到《規范》層面,具體要求包括:
第一,應當明確個人信息保護的責任部門及人員。《規范》明確,規模達到一定條件的企業,應當任命個人信息保護負責人和個人信息保護工作機構并公開其聯系方式,并對其職責作出明確規定。
第二,應當建立個人信息崗位人員管理及培訓制度。《規范》明確,應當與相關人員簽訂保密協議,并對相關人員開展背景調查,建立專業化培訓和考核機制、處罰機制。
第三,應當建立內部個人信息訪問控制措施及制度,并有效的限制個人信息的展示,約束自動化程序使用與救濟,等等。與此同時,還應當建立制度限制個人信息的使用、存儲、發布等。
第四,應當開展個人信息安全影響評估制度及審計制度。
第五,應當建立個人信息安全事件處置與報告制度。
七、《隱私政策》的主要內容及合規要求
本次《規范》相對詳細的規定了《隱私政策》的主要內容及合規要求。
主要內容方面,《隱私政策》應當至少包括個人信息控制者的基本情況;收集、使用個人信息的目的,以及目的所涵蓋的各個業務功能;各業務功能分別收集的個人信息,以及收集方式和頻率、存放地域、存儲 期限等個人信息處理規則和實際收集的個人信息范圍;對外共享、轉讓、公開披露個人信息的目的、涉及的個人信息類型、接收 個人信息的第三方類型,以及所承擔的相應法律責任;處理個人信息主體詢問、投訴的渠道和機制,以及外部糾紛解決機構及聯絡方式;等等。
合規要求方面,《規范》對《隱私政策》的文字要求、放置規范、送達方式、更新要求等都作出了明確的規定。
總之,《規范》是監管與執法的重要參考依據,對于企業個人信息合規具有重要的指引意義。企業應當根據《網絡安全法》及其配套制度的整體規則,并參照《規范》的細則要求,重新梳理個人信息的收集、使用、存儲、分享行為,完善內部管理制度,建立內部崗位及人員責任,降低個人信息違規、違法甚至是刑事法律風險。
當然,我們也應該看到,《規范》的很多細節內容,已經突破了《網絡安全法》及其配套制度的法定要求,同時也高于國際同行甚至是歐盟的個人信息保護標準,這不但極大的增加了企業的合規及運營成本,而且對于我國互聯網產業尤其是大數據產業的發展也具有一定的消極影響。
滬公網安備 31010402007129號
