今年3月6日,全國信安標委歸口的《個人信息安全規範(GB/T 35273-2020)》正式發佈,並將於10月1日正式實施。除標準前言部分已給出的“主要技術變化”,筆者把2017版與2020版標準內容進行詳細對比,補充幾點變化的相關解讀,供大家參考。
1、新增“授權同意”、“個性化展示”、“業務功能”定義並拓展部分術語界定
標準明確個人信息控制者(有權決定個人信息處理目的、方式等的組織或個人)通過個人信息或其他信息加工處理後形成的信息亦屬“個人信息”與“個人敏感信息”範疇,“明示同意”部分除書面外,認可口頭聲明等為明確授權行為,新增術語彌補此前概念上的空白,具體定義此處不作贅述可參考文末表格。
2、個人信息安全基本原則以“合法、正當、必要”為總綱領,對“目的明確”原則提出新要求
用戶作為個人信息主體使用應用時,需交付一大堆個人信息,手機彈出的權限申請,在用戶未體驗功能的前提下,並不能讓用戶理解,為什麼需要同意這一系列授權才能使用,因此個人信息處理目的明確、清晰、具體便顯得尤為重要。2019年11月28日家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局聯合制定了《App違法違規收集使用個人信息行為認定方法》提出“在申請打開可收集個人信息的權限,或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時,未同步告知用戶其目的,或者目的不明確、難以理解”視為“未明示收集使用個人信息的目的、方式和範圍”,涉嫌違反法律法規的要求。
3、首次提出“個人生物識別信息應與個人身份信息分開存儲”
個人生物識別信息(如臉部特徵、指紋等)與個人身份信息分開存儲,降低識別特定個人風險。
4、“授權同意”,細化個人信息控制者的責任,提升用戶自主選擇權
單一業務僅在隱私政策描述即可,若存在多項收集、使用個人信息的業務功能,除隱私政策外,個人信息控制者宜在收集前提供收集及使用該個人信息的目的、方式和範圍,確保用戶在完全知情的基礎上給出明示同意,獲取用戶的個人生物識別信息前應單獨告知上述內容,收集年滿14週歲未成年人的個人信息前,應徵得未成年人或其監護人的明示同意;不滿14週歲的,應徵得其監護人的明示同意。
控制者間接獲取個人信息的,應在超出已獲得的授權範圍情況下,通過第三方徵得用戶同意。
不得通過捆綁產品、業務功能,要求用戶一次性接受並授權同意其未申請或使用的業務功能收集個人信息的請求,在用戶關閉或退出特定業務功能後應停止收集用戶的個人信息。
用戶不授權使用特定業務功能的不應頻繁徵求同意、暫停自主選擇使用的其他業務功能或降低其他業務功能的服務質量。
5、2017版“5.5及5.6” 合併細化,新增“附錄D”作為隱私政策模板示例
對慣性命名個人信息保護政策為“隱私政策”或其他名稱(例用戶協議、隱私條款等),其內容宜與個人信息保護政策內容保持一致,並在用戶首次使用時以彈窗等形式主動展示,幫助用戶更好理解處理範圍、規則並決定是否繼續使用該產品或服務。
6、“個人信息保護政策”不宜視為合同
個人信息保護政策的主要功能是公開個人信息控制者收集、使用個人信息範圍和規則,不宜將其視為合同,以防其中存在霸王條款(如免除自身責任、加重用戶責任等),對用戶造成法律約束並侵害個人權利。
7、用戶註銷賬戶處理條件、時限作出規範要求
用戶可自主註銷賬戶的情形外,需提供服務方人工處理的應在承諾時限內(不超過15個工作日)完成核查和處理,過程中不應設置不合理的條件或提出額外要求,增加用戶義務,需收集敏感信息才能完成註銷的應明確對收集個人敏感信息後的處理措施,如達成目的後立即刪除或匿名化處理等,防止用戶在未繼續使用該應用的情況下,服務提供方仍收集並保有用戶信息,對用戶的個人權益造成損害。
8、規劃設計階段應使用“三同步”原則,使用過程中應開展影響評估
在系統建設時,對個人信息保護措施同步規劃、同步建設和同步使用,使用中或發生重大變化時定期開展評估,並對發現的風險進行處置。
9、提出“用戶畫像”的使用限制條款
一方面,對“用戶畫像”中對個人信息主體的特徵描述作出限制,如不能包括淫穢、色情、賭博、迷信等內容;另一方面,對“用戶畫像”的使用目的作出限制,如不能侵害公民、法人的合法權益,不能危害國家安全、煽動推翻國家政權、煽動分裂國家、破壞國家統一,宣揚極端主義、恐怖主義等。
此外,標準還提出除了主體授權同意的使用目的外,“用戶畫像”不能精準定位到特定個人。比如,商用廣告推廣就只能使用“間接用戶畫像”。
10、對第三方接入管理提出非常詳細的要求
第三方產品或服務已經成為個人信息使用中存在的較為普遍的方式,但從當前情況來看,管理比較混亂。針對此種情況,標準提出了詳盡的管理要求,比如:建立管理機制、工作流程和條件等;通過合同約定方式明確責任和應當採取的保護措施;建立響應個人信息主體請求和投訴的機制等。從標準條款設計看,主要解決APP應用程序在使用第三方接入產品或服務時,確保個人信息保護有關要求能有效延伸到相關第三方,確保不會因複雜的接入關係導致個人信息的管理和保護不到位。
附2017與2020兩版標準內容對比圖:
閱讀更多 e安教育 的文章
