四、国家标准
(一)《个人信息安全规范(2017)》
《个人信息安全规范(2017)》由信安标委于2017年12月29日正式发布,并于2018年5月1日正式实施。《个人信息安全规范(2017)》是贯彻《网络安全法》中针对个人信息安全相关规定的重要配套规范之一。尽管其仅为推荐性国家标准而并非法律,但其精神却经常在监管部门的监管中所体现。
例如,早在2018年1月10日,在《个人信息安全规范(2017)》正式实施前,网信办网络安全协调局在因“支付宝年度账单事件”约谈支付宝时,便曾指出支付宝、芝麻信用收集使用个人信息的方式,不符合《个人信息安全规范(2017)》国家标准的精神。[15]可见,在《个人信息保护法》出台前,作为推荐性国家标准的《个人信息安全规范(2017)》事实上成了监管部门执法活动中的重要参考依据,并为企业就个人信息的收集、使用、对外提供等一系列活动提供了行为规范方面的有益指导。
从具体内容上看,《个人信息安全规范(2017)》在借鉴国际立法实践和我国个人信息保护研究成果的基础上,对个人信息全生命周期的相关活动进行了规制,涵盖了个人信息的收集、存储、使用、委托处理、共享、转让、公开披露等环节,重申了收集、使用个人信息的前提是信息主体的同意,并基于此搭建起了一系列个人信息保护制度。其不仅可以作为企业个人信息合规治理的指导,弥补了实际操作层面的不足。同时,《个人信息安全规范(2017)》的出台还具有一定的信号功能[16],释放出“中国竭力保护个人信息安全”的声音。
根据实践中个人信息收集、使用的变化及《个人信息安全规范(2017)》在实施过程中出现的问题,信安标委分别于2019年2月1日、6月25日及10月22日发布了《个人信息安全规范(草案)》和两次征求意见稿,并于2020年3月6日发布了《个人信息安全规范》正式版。
几次修订一方面不断融合增加了实践中新出现的问题,例如明确用户画像属于个人信息、补充对注销机制的具体要求、新增“通讯录、好友列表、群组列表”作为个人敏感信息举例、新增对生物识别信息收集、使用的规范等新的规定;另一方面也不断就现有的规定进行调整,如不再强调个人信息跨境传输需进行安全评估、除新闻信息服务外不再强制要求向信息主体提供关闭个性化展示的选项等。从某种程度上说,正是由于推荐性国家标准的属性,《个人信息安全规范》反而具有了充分的灵活性,可以及时根据实践的发展变化灵活调整对企业的规范要求,从而更好地实现对个人信息的保护。
(二)《个人信息去标识化指南》
1.出台背景
可识别性是个人信息的核心特性。从比较法的角度出发,各国数据立法均将可识别性作为个人信息的重要特征。
例如,欧盟GDPR第4条明确规定,个人数据,是指与已识别或可识别的自然人(数据主体)相关的任何数据;可识别的自然人是指尤其通过姓名、身份证号、定位数据、网络标识符等标识符,或通过特定的身体、心理、基因、精神状态、经济、文化、社会等方面个人属性能够被直接或间接识别的自然人。[17]法国《数据处理、数据文件及个人自由法》明确,“个人数据是指可通过身份证件号码、一项或多项个人特有因素被直接或间接识别的自然人相关的任何信息”。我国台湾地区“个人资料保护法”认为个人资料系“自然人之姓名、出生年月日……及其他得以直接或间接方式识别该个人之资料”。换而言之,一旦丧失可识别性,无法用于识别到个人,该等信息就不再构成法律意义上的个人信息,也不再受到个人信息保护相关法律、法规的保护。
早在2017年8月25日,出于为个人信息处理相关方提供去标识化指导及为第三方机构测评提供参考依据的目的,信安标委针对去标识化问题发布了《个人信息去标识化指南(征求意见稿)》。2019年8月30日,市场监管总局、国家标准化委员会发布了《个人信息去标识化指南》正式版,为企业开展去标识化操作提供了有益指引。
2.具体内容
所谓去标识化,按《个人信息去标识化指南》的定义,即通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。[18]因而,采用技术手段对个人信息去识别化,保留不具有可识别性的信息进行处理和挖掘便成为许多企业收集、使用个人信息的重要方式。
《个人信息去标识化指南》关注的待去标识化的数据集是微数据,涵盖了去标识化的目标、原则、技术、模型、过程和组织措施,目的是提出能科学有效地抵御安全风险、符合信息化发展需要的个人信息去标识化的实践指引。其明确了去标识化工作的重点不仅在于对数据集中的标识符进行删除或变换,也在于避免去标识化后的结合后期应用场景评估有关数据集被重标识的风险。
具体内容上,《个人信息去标识化指南》将共享行为按照可能的重标识风险和对去标识化的要求区分为完全公开共享、受控公开共享和领地公开共享,[19]并要求企业在开展去标识化工作前须根据应用需求确定数据的公开共享类型。同时,《个人信息去标识化指南》还针对去标识化的具体过程提供了详细的操作指引,并针对确定目标、识别标识、处理标识、验证审批、监控审查等不同的去标识化步骤提出了不同的操作要点。此外,《个人信息去标识化指南》还针对性地规定了数据控制者在开展去标识化工作时应筹划的人员安排,明确了规划管理者、执行者和监督者在去标识化过程中的具体职责,并对去标识化过程中数据控制者的人员管理提出了相应的要求。
(三)《大数据安全管理指南》
1.出台背景
大数据技术早已渗透社会生活的方方面面,无论是国家治理、企业决策还是个人生活中,大数据都得到了广泛的应用。但在大数据技术普遍推广和运用的过程中,也暴露出了不少安全问题。大数据技术运用的前提是具备海量的可供使用的数据,而大数据服务的提供者往往倾向于获取更多的数据以提高其提供的服务的质量,这某种程度上也导致更多的数据处于被暴露的风险之中。同时,行业的快速发展也使得参与到大数据产业的实体越来越多。但部分实体或由于技术水平相对有限,或由于安全保障措施和技术不够完备,其管理或控制的数据被窃取或泄露的风险也相对升高,使得大数据安全问题越发受到重视。
《大数据安全管理指南》便是在该等背景下出台的。其于2017年5月开始征求意见,正式版于2019年8月30日发布并于2020年3月1日正式实施。
2.具体内容
在大数据的生命周期中,不同类型的组织都可能参与其中并针对数据作出不同的操作。因而《大数据安全管理指南》旨在通过提升掌握数据的组织的技术和管理能力的建设,加强数据采集、存储、处理、分发等环节的技术和管理措施,实现数据的有效保护,降低大数据应用过程中面临的安全风险。
《大数据安全管理指南》明确了开展大数据活动的组织应当开展大数据安全管理工作,并对大数据安全管理的目标、内容和基本原则作出了具体的规定。为满足大数据安全管理的要求,开展大数据活动的组织需要满足保密性、完整性、可用性等要求,且需根据科学性、稳定性、实用性和扩展性的原则针对数据进行分类分级,并需遵循大数据生命周期中的采集、存储、处理、分发、删除等活动的安全要求。此外,《大数据安全管理指南》还要求相关组织识别并评估大数据安全风险,并对大数据安全风险的类型进行了分别列举,以备相关组织进行针对性防范。
(四)《个人信息安全影响评估指南》
1.出台背景
《个人信息安全规范》明确在汇聚融合个人信息、使用信息系统自动决策机制、委托处理、共享、转让、公开披露等处理个人信息的场景下,个人信息控制者需要事先开展个人信息安全影响评估,并针对个人信息安全影响评估作出了原则性规定。作为《个人信息安全规范》的配套标准,《个人信息安全影响评估指南》在继承《个人信息安全规范》基本精神的情况下,对企业如何开展个人信息安全影响评估进行了细致的规定。
《个人信息安全规范》第3.8条明确,个人信息安全影响评估是指针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。作为在国际实践中被普遍采用的合规评估方式,个人信息安全影响评估是个人信息控制者实施风险管理的重要组成部分。可帮助企业确定遵守数据保护义务并满足信息主体对隐私保护的期望。对于企业而言,个人信息安全影响评估有利于其有效识别个人信息相关活动中面临的安全风险,并及时根据评估结果采取合理手段调整与修正。
2.具体内容
针对评估的开展,《个人信息安全影响评估指南》在第四部分“评估基本原理和框架”分别规定了评估价值、评估报告的用途、评估责任主体、评估基本原理、评估实施考虑的要素等内容。在第五部分,《个人信息安全影响评估指南》为组织开展个人信息安全影响评估提供了详尽的流程指引,包括必要性分析、评估准备工作、数据映射分析、风险源识别、个人权益影响评析、安全风险综合分析、评估报告、风险处置和持续跟进、制定报告发布策略等。
对于具体评估过程中可供参考的具体方法,《个人信息安全影响评估指南》在附录D中进行了详细的描述。例如,对于评估个人信息主体权益影响程度,以定性为例,可从“限制个人自主决定权”“引发差别性待遇”“个人名誉受损和遭受精神压力”“人身财产受损”四个维度,依据表D.3的判定准则,对个人信息主体的权益进行影响程度评价。
3.不足之处
在现行立法框架较为粗糙的情况下,《个人信息安全影响评估指南》针对个人信息安全影响评估提出了许多细化要求,但其中部分要求由于缺乏足够的理论和立法支撑而可能引发争议。例如,附录A中提出可以从“限制个人自主决定权”的维度对个人权益受影响程度进行分析和评价,但个人自主决定权并非法定权利,在立法层面缺乏相应的权利基础。这导致企业在判定相关行为对自由意志的影响时可能缺乏相应的标准,且也很难评估影响了个人信息主体的自由意志会对其个人信息安全产生何等程度的影响。
(五)《个人信息告知同意指南(征求意见稿)》
《个人信息告知同意指南(征求意见稿)》作为推荐性国家标准,于2020年1月22日由信安标委发布。《个人信息告知同意指南(征求意见稿)》回应了当前监管执法实践中发现的问题,并力图通过更为细致的规定,指导企业在告知信息主体并取得其同意方面的实践。
1.出台背景
规模日益庞大的个人信息处理行为给信息与隐私安全带来了隐患。在这样的大背景下,个人信息主体的隐私保护意识越发高涨,对网络运营者及其收集、处理个人信息行为的质疑情绪也相应“水涨船高”。在国际层面,欧盟《一般数据保护条例》的个人信息保护规则体系是围绕告知同意这一根本原则构建的,而欧盟29工作组于2018年4月26日发布了《对第2016/679号条例(GDPR)下同意的解释指南》(以下简称《29工作组同意指南》),较为细致地阐述了其对于GDPR项下“同意”的理解,并针对“自愿作出”“具体的”“知情的”“明确的意思表示”等关于有效同意的要素逐一加以分析,专门讨论了GDPR特别关注的领域中与“同意”相关的问题。更具普适性的则是ISO 29100隐私保护标准体系,其将“同意和选择”列为其核心原则之一,并针对此提出了一整套非常翔实的实践指引,正在制定中的《ISO 29184—线上隐私告知与同意指南》(ISO 29184 -Guidelines for online privacy notices and consent,以下简称《ISO 29184指南》)即是该体系下针对个人信息告知同意的专门标准。
《网络安全法》《消费者权益保护法》均明确要求处理个人信息需告知个人信息主体并获得其同意,而《个人信息安全规范》则围绕《网络安全法》确立的基本原则,对告知内容、时间、方式以及同意的形式进行了明确,并在附录中为告知的重要工具——隐私政策提供了具体的模板。诚然,在《网络安全法》辅以《个人信息安全规范》所确立的个人信息保护整体规则的框架下,对于互联网采集使用个人信息行为的规范程度较过去已有了较大的进步,但现有的规范总体框架上仍显粗糙,不足以应对多变的互联网场景中不同类型的信息收集、使用行为。在告知同意方面,尽管《网络安全法》及相关法律法规都明确了告知同意作为收集、使用个人信息的必要规则,但并未对告知同意如何实施提出具体的细化要求,难以形成在实践中对企业相关操作的具体指引。此外,在细节层面,现有规范亦存在着些许不足。例如,《个人信息安全规范》虽已经就同意的例外作出了原则性规定,但缺乏针对具体应用场景的细化规定,须进一步细化其适用情形与适用条件。再如,若发生有关个人信息收集、使用的相关纠纷,则往往涉及告知同意行为的证据留存问题。但针对这一实践中颇受关注的环节,现行规定并未对此明确。
基于此,无论是从监管的要求出发,还是根据企业自身合规的需求考虑,在《网络安全法》及《个人信息安全规范》的基础上出台更为细化的告知同意配套规则,都有利于为网络商事环境中企业获取信息主体的有效同意提供有益的指引,使对个人信息的保护落到实处。
2.具体内容
在融入监管实践经验并借鉴GDPR、《信息技术 安全技术 在线隐私通知和准许指南》等国际立法的前提下,《个人信息告知同意指南(征求意见稿)》就告知同意的适用情形、基本原则、内容、方式、展示、时机和频率等方面内容进行了细致化的规定。
(1)告知同意的适用情形
《个人信息告知同意指南(征求意见稿)》明确在收集、使用、对外提供个人信息的情况下,均需要取得个人信息主体的明示同意,较《个人信息安全规范》,其对企业合规提出了更高的要求。同时,由于《个人信息安全规范》仅对同意的例外进行了概括性的规定,《个人信息告知同意指南(征求意见稿)》在设计告知同意的例外情形时,通过举例的方式对有关情形的表现形式进行了细化,并另行规定了使用目的变更时免予告知同意的情形。
(2)告知的内容
就告知的具体内容上,《个人信息告知同意指南(征求意见稿)》依照《个人信息安全规范》中对基本业务和扩展业务的区分,设计了不同的告知同意要求,并区分收集、使用、存储、对外提供等不同行为分别提出了告知同意层面的要求。值得注意的是,由于委托处理和对外提供情景下企业对个人信息的控制权存在较大区别,《个人信息告知同意指南(征求意见稿)》将个人信息的对外共享、转让及公开披露统一为“对外提供”一并进行规定,并将其同委托处理进行了区分。值得关注的是,《个人信息告知同意指南(征求意见稿)》明确在涉及SDK等外部代码的引用时,应告知是否存在SDK等外部代码的引用,以及SDK等外部代码收集处理个人信息的情况,并在附录B中对SDK收集使用个人信息场景下的告知同意进行了细致的规定,第一时间回应了专项治理工作中发现普遍存在的SDK违法违规收集个人信息的乱象,具体如下:
(3)告知和同意的形式
告知的组织形式及其展示方式将对个人信息主体理解告知内容,实现有效告知产生显著的影响,但告知的展示方式和同意的用户界面可能因场景和环境的不同而有很多差异,例如,针对智能手表交互界面和针对网页的告知同意呈现形式将会有很大差异。基于此,《个人信息告知同意指南(征求意见稿)》针对不同应用环境和交互界面规定了不同的展示方式,如允许移动端设备可以采用多层次的告知同意模式,允许IoT设备可以在连接互联网时通过绑定该设备的移动端程序展示告知内容。
就同意模式的选择上,《个人信息告知同意指南(征求意见稿)》主张个人信息控制者应当优先采用明示同意的方式,尽量避免采取授权同意的机制,并列举了几种主要的明示同意模式。当然,《个人信息告知同意指南(征求意见稿)》也并未彻底否定授权同意机制,但仅限于特定情形且经个人信息影响评估后无高风险方可适用。此外,《个人信息告知同意指南(征求意见稿)》亦对同意机制的设计进行了特别规定。
(4)其他
《个人信息告知同意指南(征求意见稿)》还对告知同意过程中的一些其他问题提出了相应的解决方案。收集、使用个人信息的一方在作出告知并获得用户的同意后,应如何保存相关证据以应对可能出现的纠纷和诉讼,是业界在落实告知同意要求过程中所普遍关心的问题。具体来看,证据留存主要涉及三个方面的问题,首先是留存的内容,即个人信息控制者应留存哪些方面的证据;其次是留存的方式,即应以何种形式留存且留存的证据应保存在何种载体之中;最后是留存的时间,即有关证据应留存多长期限。《个人信息告知同意指南(征求意见稿)》分别针对上述问题给出了相关的回应。在留存的内容上,明确个人信息控制者应当留存个人信息主体初次选择同意特定个人信息处理活动以及后续变更或撤回同意的证据,包括:时间,事项,目的等。在留存的方式上,《个人信息告知同意指南(征求意见稿)》采用了“原则+举例”的方式进行规定,个人信息控制者可以根据自身情况灵活选择证据留存的方式。而在留存的时间上,《个人信息告知同意指南(征求意见稿)》明确,个人信息控制者应在有关的个人信息处理活动持续的过程中始终留存告知同意的相关证据,且在处理活动结束后,个人信息控制者的证据留存不应超过履行法律义务,提起或应对诉讼、纠纷的必要限度,平衡了个人信息控制者和个人信息主体双方的需求。需要指出的是,尽管《个人信息告知同意指南(征求意见稿)》对证据的留存提出了具体的要求,但按照该等方式留存的证据并不具有天然的合法性,其仍需符合电子证据合法性的相关要求方可为法院所认可。
《个人信息告知同意指南(征求意见稿)》的另外一个特色在于其根据不同场景分别设计了获得个人信息主体同意的不同方式。当前,个人信息收集行为可能发生在不同场景下,如IoT场景、公共场合场景(如机场、火车站)、车载场景等。不同端口基于其自身特点有所差别,不宜采用相似的告知方式。例如,许多IoT设备本身并未配备屏幕,难以通过该设备实现告知。《个人信息告知同意指南(征求意见稿)》在附录中分别列举了IoT、公共场合、车载、个性化推荐、互联网金融、网上购物等多个不同场景下告知同意的实现方式,有益于为相关行业提供有益指引。
3.不足之处
当然,《个人信息告知同意指南(征求意见稿)》在某些规定上仍存在着一定的不足。例如,其并未明确在个人信息主体拒绝提供“同意”的情形下,相关运营者应当采取何种行动;其将委托处理同共享、转让、公开披露相区分,但并未明确个人信息委托处理情形下的告知同意应如何实现;其作为推荐性国家标准在缺乏上位法基础的情况下规定“免予告知同意的情形”,若企业参照其规定的相关情形进行操作,该等行为可能缺乏充足的合法性基础等。
[1] 《全国人大常委会组成人员:制定网络安全法十分必要和紧迫》,http://www.npc.gov.cn/zgrdw/npc/xinwen/lfgz/2015-06/28/content_1939640.htm,最后访问时间:2020年2月17日。
[2] 《网络安全法》第76条第5项:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
[3] 杨合庆:《中华人民共和国网络安全法释义》,中国民主法制出版社2017年版,第107页。
[4] 《全国人民代表大会常务委员会执法检查组关于检查〈中华人民共和国消费者权益保护法〉实施情况的报告》,http://www.npc.gov.cn/npc/c12491/201511/b3833048ca4b4ca88c5b8d02dbe20 b70.shtml,最后访问时间:2019年2月17日。
[5] 《电子商务法》第24条:“电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。电子商务经营者收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,电子商务经营者应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。”
[6] 周光权:《拒不履行信息网络安全管理义务罪的司法适用》,载《人民检察》2018年第9期。
[7] 《个人信用信息基础数据库管理暂行办法》第4条:“本办法所称个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息。前款所称个人基本信息是指自然人身份识别信息、职业和居住地址等信息;个人信贷交易信息是指商业银行提供的自然人在个人贷款、贷记卡、准贷记卡、担保等信用活动中形成的交易记录;反映个人信用状况的其他信息是指除信贷交易信息之外的反映个人信用状况的相关信息。”
[8] 《四部门专项治理App违法违规收集使用个人信息》,http://www.gov.cn/guowuyuan/2019-01/27/content_5361489.htm,最后访问时间:2021年9月27日。
[9] 针对这一问题,《个人信息告知同意指南(征求意见稿)》中设计的告知路径或许更为合理。具体可参见本书“第二部分 四、国家标准(五)《个人信息告知同意指南(征求意见稿)》”。
[10] 《清规|突如其来的〈App违法违规收集使用个人信息行为认定办法〉到底是个什么》,https:// mp.weixin.qq.com/s/sqRp4DV9I7k5FMKj6e60LA,最后访问时间:2020年2月16日。
[11] 指全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。
[12] 一是犯罪持续时间较长、多次实施侵犯公民个人信息犯罪的;二是被侵犯的公民个人信息数量或违法所得巨大的;三是利用公民个人信息进行违法犯罪活动的;四是犯罪手段行为本身具有违法性或者破坏性,即犯罪手段恶劣的,如骗取、窃取公民个人信息,采取胁迫、植入木马程序侵入他人计算机系统等方式非法获取信息。
[13] 《刑法》第286条之一和第287条之一、第287条之二。
[14] 《〈最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释〉新闻发布会》,http://courtApp.chinacourt.org/zixun-xiangqing-193671.html,最后访问时间:2020年3月25日。
[15] 《国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业负责人》,http://www.cac.gov.cn/2018-01/10/c_1122234687.htm,最后访问时间:2021年8月19日。
[16] 许可:《〈个人信息安全规范〉的效力与功能》,载《中国信息安全》2019年第3期。
[17] “‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’);an identifiable natural person is one who can be identified,directly or indirectly,in particular by reference to an identifier such as a name,an identification number,location data,an online identifier or to one or more factors specific to the physical,physiological,genetic,mental,economic,cultural or social identity of that natural person”,See GENERAL DATA PROTECTION REGULATION,Article 4.
[18] 《个人信息去标识化指南》第3.3条。
[19] 根据《个人信息去标识化指南》的相关规定,完全公开共享,指数据一旦发布,很难召回的共享行为,一般通过互联网直接公开发布。受控公开共享,指通过数据使用协议对数据的使用进行约束的共享行为。领地公开共享,指在物理或者虚拟的领地范围内共享,数据不能流出到领地范围外的共享行为。