“明者因时而变,知者随事而制”——《个人信息安全规范》实务探讨
The following article comes from 律商视点 Author 宁宣凤 吴涵
编者按:
随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。本公号将陆续邀请一些参与到该标准制定,或者在其工作中实际运用过该标准的朋友撰写文章,请他们和大家分享对该标准的看法,或者转载对该标准的评论文章。本文作者是金杜的宁宣凤律师和吴涵律师。
“明者因时而变,知者随事而制”
——《个人信息安全规范》实务探讨
回首2017年,全球个人信息保护立法快速发展。比如在亚太地区,《中华人民共和国网络安全法》(以下简称“《网安法》”)于2017年6月1日实施,2017年2月澳大利亚通过强制性数据泄露通知法案。此外日本的《个人信息保护法》(Personal Information Protection Act)修订版也于2017年5月30日起全面生效。
展望2018年,个人信息保护的发展更值得大家期待。欧盟委员会颁布的《一般数据保护条例》(General Data Protection Rules,下称“GDPR”)将在2018年5月25日正式生效实施,其管辖范围的规定不论是否在欧盟成员国有无实体,有无在成员国内处理个人信息,使得任何向欧盟境内提供商品或者服务,或者监控在欧盟内欧盟居民的行为的组织,都受GDPR的管辖。考虑到全球经济一体化趋势,GDPR管辖范围的扩大很大程度上将影响全球个人信息保护的实践。随着该立法趋势,各国个人信息保护立法将不可避免的冲击本土及跨国企业的实践,各企业需要在各国个人信息保护规则中寻求共性、建立普遍适用的合规体系。
在这个大背景下,国家标准化委员会参考国内法律法规、国际规则和实践制定的《信息安全技术 个人信息安全规范》(GB/T 35273-2017)(以下简称“《个人信息安全规范》”)在2018年1月24日正式公布,并将于2018年5月1日正式实施。
本文将结合其他国家的立法实践,讨论《个人信息安全规范》适用中的实务问题。
一、《个人信息安全规范》的基本框架
全国人大常委会2012年12月审议通过《全国人民代表大会常务委员会关于加强网络信息保护的决定》,2016年11月审议通过《网安法》(以下简称“一法一决定”)。“一法一决定”的颁布和实施,对企业处理个人信息提出了基本法律要求,比如、《网安法》就在第四章“网络信息安全”中对个人信息保护的基本原则、网络运营者的行为义务等进行了总括性规定。在现有原则性、概括性的法律条文下,企业有关个人信息保护的具体合规工作仍旧缺乏具体指引。《个人信息安全规范》的颁布,从国家标准层面对企业收集、保存、使用、共享、转让、公开披露信息等信息处理环节的各项行为提供了具体的合规指引。
术语和定义 | 在《网安法》的基础之上,新增界定了若干核心的标准术语和定义,如个人信息、个人敏感信息、个人信息控制者、明示同意、用户画像、个人信息安全影响评估、匿名化与去标识化 | |
个人信息安全基本原则 | 权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与 | |
个人信息处理流程 | 个人信息的收集 | 按照个人信息的处理流程,针对各个环节中对个人信息控制者的要求、个人信息主体所享有的权利进行具体、详尽的阐述 |
个人信息的保存 | ||
个人信息的使用 | ||
个人信息的委托处理、共享、转让、公开披露 | ||
个人信息安全事件处置 | ||
组织的管理要求 | ||
附件 | 个人信息示例 | 以定性描述+非穷尽列举的方式,介绍个人信息与个人敏感信息的判定标准与示例 |
个人敏感信息判定 | ||
保障个人信息主体选择同意权的方法 | 结合《个人信息安全规范》的要求,以提供实践模板的方式,阐释企业的产品与服务在需要收集个人敏感信息与拟定隐私政策时需要关注的内容与要求 | |
隐私政策模板 | ||
参考文献 | 从参考文献目录可见,在《个人信息安全规范》指定的过程中,起草者不仅仅参考了我国个人信息保护领域方面的主要法律法规和既存的国家标准,更进一步地参考了多部与个人信息保护相关的外国法律法规与标准等,如欧盟的《一般数据保护条例》、欧美隐私盾、欧洲标准委员会的《个人数据保护实践(good practices)》OECD隐私框架、APEC隐私框架,以及美国国家标准与技术研究院(NIST)的相关文献。 |
二、《个人信息安全规范》的效力
根据2017年11月4日修订通过,2018年1月1日施行的《中华人民共和国标准化法》,“标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准分为强制性标准、推荐性标准,行业标准、地方标准是推荐性标准”[1]。《个人信息安全规范》是一项推荐性国家标准,并不要求企业强制执行。 换句话说,企业个人信息安全保护工作一旦与《个人信息安全规范》中的要求不一致,并不一定意味着企业必然违反相关的法律法规。
但根据《国务院办公厅关于印发国家标准化体系建设发展规划(2016-2020年)的通知》,国家标准体系建设一贯遵循“强制性标准守底线、推荐性标准保基本、企业标准强质量”的原则。作为推荐性标准,一般需满足“基本通用”的要求,《个人信息安全规范》应该被视为企业“基本通用”的实践指南,具有普遍适用性。
此外,值得企业注意的是,推荐性国家标准尽管没有强制力,但除了为各类组织提供实践指引以外,其作用还包括为监管机构执法提供参考。《个人信息安全规范》中就明确指出,其“适用于规范各类组织个人信息处理活动”,也适用于“主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估”。
考虑到“一法一决定”的配套措施体系仍处于基础建设阶段,尽管我们理解《个人信息安全规范》是一项不具有强制力的国家标准,但由于其普遍适用性,以及可能作为监管部门执法的参考材料,一旦企业的实践背离《个人信息安全规范》中的要求,实践中企业可能需要承担更大的证明成本以说明企业行为的合规性,因此我们仍然建议在实践中,企业应把《个人信息安全规范》的要求落实到位,以求在个人信息安全保护体系建设中,做到合规、安全和高效。
三、国内企业适用《个人信息安全规范》的注意要点
随着《网安法》的颁布和实施,大多数国内企业都根据《网安法》的基本原则以及行业惯例形成了基本的个人信息安全保护制度。但《个人信息安全规范》以《网安法》为基础,结合其他司法辖区的立法和实践,为企业提出了更为具体,更为细致的要求。企业需要根据《个人信息安全规范》的要求,打破与之冲突的行业惯例,重新审视内部个人信息安全保护制度。
(一)怎么同意才作数?
实践中,企业收集信息征得个人信息主体同意的方式往往比较简单,通常采用的是不拒绝视为同意的原则,个人信息主体的知情同意往往流于形式。《个人信息安全规范》中不仅明确定义了 “明示同意”的概念,直接提出了“个人敏感信息的收集和使用需获得用户明示同意”的新要求,还以实践模板的方式演示了“明示同意”的方式。为了适应《个人信息安全规范》的要求,企业需要结合具体的数据类型、收集和使用场景,制定最合适的获取个人信息主体授权同意的方式,做到用户体感和个人信息保护的平衡。
(二)用户同意万事大吉?
目前行业实践中,大部分企业都将用户的知情同意作为个人信息收集的充分合规条件,忽略了必要性原则的门槛。对于《网安法》第四十一条规定的收集、使用个人信息的必要性原则,《个人信息安全规范》第5.2条进一步给出了三项衡量标准,即收集个人信息与实现产品或服务的业务功能之间的直接关联、最低频率和最少数量关系标准。相比于欧盟GDPR中对于目的受限(Purpose Limitation)和数据最小化(Data Minimisation) 原则,《网安法》并未对必要性原则展开说明,《个人信息安全规范》的细化要求有利于保护个人信息主体的合法权益。
对于企业而言,有必要厘清自身产品和服务的具体业务功能以及实现该功能所必要的个人信息类型、收集频率和数量。否则在无法建立企业收集、使用个人信息必要性的情况下,企业很可能遭到用户和监管机构的质疑和挑战。侵犯个人信息相关主体的合法权益,可能会引发公益性集体诉讼,公司不仅要承担财产和名誉受损的风险,企业短时间所需更正的数据收集方式和类型,可能对公司的业务形态造成重大影响。
(三)不同信息要不同对待!
对于个人信息的收集,企业通常“一网打尽”,在收集、存储、和使用各个环节“一视同仁”。但《个人信息安全规范》区分了个人一般信息和个人敏感信息。《个人信息安全规范》附录B还列举了个人敏感信息的判定因素和具体类型,包括个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、网络身份识别信息等。
根据《个人信息安全规范》,企业首先需要了解自身收集的数据类型和数量,并将其进行相应的分类。对于个人敏感信息,建议按照《个人信息安全规范》的要求进行收集、存储和使用:
收集个人敏感信息时,应取得个人信息主体的明示同意;
收集个人敏感信息时,应区分产品核心功能和附加功能
存储个人敏感信息时,应采用加密等安全措施
对个人敏感信息的访问、修改等行为,宜在对角色的权限控制的基础上,根据业务流程的需求触发操作授权;
(四)用户权利不能不理!
对于个人信息的主体而言,除《网安法》中规定的删除权与请求更正权利以外,《个人信息安全规范》还对个人信息主体的权利进行了细化要求,以增强个人信息主体对其个人信息的控制。例如个人信息主体撤回同意权利、注销账户权利、获取个人信息副本权利、对于自动决策的申诉权利等。[2]此外,个人信息主体的上述权利实现机制也须在个人信息控制者制定的隐私政策中予以明示。
此外,对于尚未建立对个人信息主体各项请求进行响应的企业而言,应当针对企业的商业实践和数据处理的目的尽早建立相应的响应机制。例如,企业可以在隐私政策中告知用户联系热线或者在服务平台上建立查询、修改个人信息或注销账户的方式,以满足个人信息访问、更正个人信息或注销账户的请求权
(五)安全事件如何应对?
《网安法》第二十五条和第四十二条,分别提出了网络运营者应当制定并在发生危害网络安全的事件时及时启动网络安全事件应急预案,以及个人信息安全受到严重侵害时及时通报用户和有关主管部门的要求。《个人信息安全规范》第9部分对网络安全事件应急预案和个人信息安全事件处置予以了进一步的详细规定,包括安全事件应急处置和报告、安全事件告知两方面的内容。
在安全事件应急响应方面,建议企业制定个人信息安全事件应急预案,其中包括个人信息安全事件的分类、事件分级、组织体系与职责、预防预警、应急响应、保障措施等;定期组织内部相关人员进行应急响应培训和应急演练;在发生个人信息安全事件时,应及时将事件相关情况告知受影响的个人信息主体及有关主管部门。
(六)制度建设很重要
事前的预防效果一般而言优于事后的补救,对于安全事件的处理问题,配备完善的技术队伍,明确各方负责人的领导责任,以此形成良好的管理系统和个人信息保护工作机构,为个人信息安全事件建立坚实的防火墙是比较有效的预防措施。《个人信息安全规范》就组织的管理要求制定了一系列相关规范,尤其是对于个人信息处理从业人员较多或者处理大量个人信息的企业,还需设立专职的个人信息保护负责人和个人信息保护机构。
对于企业而言,较为主要的个人信息组织管理措施包括定期对个人信息安全影响进行评估,建立自身的评估机制,除此以外,还应建设适当的数据安全能力,定期对相关人员进行管理培训,并对自身建立的相关隐私政策以及安全措施的有效性进行审计,完善具体的审计系统,落实必要的管理和技术措施,最大程度地防范个人信息的泄露、损毁和丢失等情况发生。
四、跨国企业适用《个人信息安全规范》的注意要点
对于国内企业,跨国企业所面临的个人信息保护问题更为复杂。由于跨国公司数据流转的多个环节可能涉及多个司法辖区,企业内部个人信息安全合规体系往往需要协调多国个人信息保护的法律和要求。
此次公布的《个人信息安全规范》已经参考了OECD隐私框架、APEC隐私框架等国际规则,GDPR、欧美《隐私盾框架》(EU-U.S. Privacy Shield Framework)、美国《消费者隐私权法案》(Consumer Privacy Bill of Rights)等欧美个人信息保护方面的立法,并与这些国家上通行的个人信息保护规则具有很多相似之处。比如围绕个人权益为中心的目标,《个人信息安全规范》和GDPR都借鉴了OECD(Organization for Economic Co-operationand Development)《保护个人信息跨国传送及隐私权指导纲领(1980)》和APEC(Asia-Pacific Economic Cooperation)《隐私保护框架(2004)》等国际准则和地区立法的规定,针对个人信息控制者开展个人信息处理活动提出了个人信息安全的基本原则。
但跨国公司需要注意其中的差异,以免造成实践中的混乱:
(一)GDPR与《个人信息安全规范》差异举例
对于网络运营者需满足的个人信息主体相关权利而言,《个人信息安全规范》与GDPR的规定具有很多相似之处,值得注意的是其中的差异。以数据可携权为例:
“用户要求微信把个人数据给钉钉?!”
数据可携权是一项比较有争议的权利。在数据成为企业竞争资源的情况下,即使用户提出要求,很少企业愿意将用户个人信息的副本传输给别的企业。
但GDPR的第20条规定了,数据主体有权以有序的、常用的、机器可读的方式获取其个人数据,并且有权将这些数据转移到另一个控制者,原始收集、存储这些数据的控制者不得干扰数据主体的转移。在技术可行的情况下,数据主体有权要求原始收集、存储其个人数据的控制者直接将这些数据转移到另一个控制者。数据可携权不得不利地损害他人的权利和自由。根据该项规定,如果数据主体有要求,就会出现微信不得不将用户个人信息副本提供给钉钉的情况。
让中国大多数企业松了口气的是,尽管《个人信息安全规范》第7.9条也规定了个人信息可携权。但与GDPR不同的是,《个人信息安全规范》将数据可携权的行使对象限定在了四种特定的个人信息类型:(a)个人基本资料、个人身份信息;(b)个人健康生理信息、个人教育工作信息。因此只有涉及到用户基本信息,以及用户和社会公共利益的情况下,微信才有可能需要将信息提交给钉钉。
(二)《个人信息安全规范》相比GDPR更为具体的要求
值得注意的是,《个人信息安全规范》并未是对国外规则的照搬和套用,其根据中国个人信息保护实践提出了一些更为具体的要求,大部分已经根据GDPR作为内部调整的企业需要尤其注意:
欧盟GDPR | 《网安法》及《个人信息安全规范》 | |
处理要及时 | 并未就数据控制者在数据处理各个环节中需采取的措施予以明确说明 | 收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人 |
存储有要求 | 并未就数据控制者在数据处理各个环节中需采取的措施予以明确说明 | 个人信息控制者在存储个人敏感信息时,应采用加密等安全措施;存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要 |
通知要到位 | 仅对于被公开的数据,数据控制者在获悉数据主体请求后要求采取“合理措施”告知(第三方)删除数据。(因此,并不是绝对的义务) | 个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除 |
答复时间短 | 考虑到响应请求的复杂性和请求的数量众多,响应实现可推迟两个月 | 个人信息控制者对于数据主体的请求,应在三十天内或法律法规规定的期限内做出答复及合理解释(无推迟响应的规定) |
特殊信息存本地 | 无此要求 | 关键信息基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据需在境内存储 |
父母管得宽 | 仅处理16岁以下未成年人社会服务信息需获得监护人同意 | 收集未满14周岁未成年人的所有个人信息都需获得监护人的明示同意 |
来源不明查得严 | 数据控制者需向数据主体提供有关间接获取其数据的信息 | 间接获取个人信息时应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认 |
画像要谨慎 | 无用户画像的区分 | 区分直接和间接用户画像。为准确评价个人信用状况,可使用直接用户画像,而仅用于推送商业广告目的时,则宜使用间接用户画像 |
隐私政策写得细 | 隐私政策需包含处理个人数据的目的以及法律依据 | 隐私政策需包含收集、使用个人信息的目的,以及目的所涵盖的各个业务功能,例如将个人信息用于推送商业广告,将个人信息用于形成直接用户画像及其用途等 |
五、 总结
“明者因时而变”
在数据经济全球化发展的趋势下,各国对于个人信息保护的立法不仅影响个人信息相关主体的合法权益,也间接关系到本国数据经济发展的速度。 如何在数据经济发展和个人信息保护中间找到平衡点的关键之一是要解决高速发展的数据经济形式和个人信息保护法律法规稳定性的矛盾。 《个人信息安全规范》作为一项国家推荐性标准,兼具技术性和灵活性的特点,参考国际规则,及时的填补了中间的空缺。在当前数据经济的发力阶段,顺应发展潮流,应时而变,是企业合规工作和监管机关执法的重要参考。
企业也应该“应时而变”,摈弃不合时宜的个人信息收集使用的行业惯例,冲破惯性思维,按照《个人信息安全规范》中要求重新审视商业行为,梳理内部个人信息安全保护制度,降低合规风险的同时也提高企业数据资产的竞争力。
“知者随事而制”
尽管《个人信息安全规范》为企业的合规工作提供了重要的参考,但不同主体、不同的行业甚至不同的商业模式都对个人信息有不同的需求,采用不同的收集、使用、存储和传输方式。因此生搬硬套《个人信息安全规范》即无法满足个性化的商业发展需求,也无法实现充分开发数据价值的目的。《个人信息安全规范》确实为符合《网安法》相关条文提供了一套合规体系建议,但是企业仍然需要在确保自己符合《网安法》相关规定的同时,根据自身发展的需要和行业特点个性化建设自身的合规制度。
总而言之,“明者因时而变,知者随事而制”。企业应打破不合时宜的行业惯例,积极关注个人信息保护的立法和执法动向,创新性发展个人信息保护方式,参考《个人信息安全规范》搭建符合自身需求的新架构,努力走出一条数据安全合规和商业化应用的双赢之路。
***********************
[1]见《中华人民共和国标准化法》,第二条。
[2] 《网安法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
作者简介
宁宣凤 金杜律师事务所
susan.ning@cn.kwm.com
宁宣风律师是金杜律师事务所高级合伙人,商务合规部的负责人。宁宣凤律师是中国最早涉足网络安全与数据合规法律实务的律师之一,也是国内率先从事反垄断与竞争法实务的律师之一。
吴涵 金杜律师事务所
吴涵律师是金杜律师事务所的资深律师。吴涵律师目前主要的执业领域为网络安全、数据合规、反垄断和反不正当竞争法。吴涵律师在武汉大学获得地理信息系统工学学士学位,并在北京大学获得中国法硕士学位以及美国法法律博士学位。
本公号此前发布的对《个人信息安全规范》的评论文章如下: