《信息安全技术个人信息安全规范》(简称“《个人信息安全规范》”)是国家推荐性标准,是对《网络安全法》等法律法规中对个人信息保护相关条款的细化与补充,被业界普遍认为具有很强的指导价值。
全国信息安全标准化技术委员会曾于2017年发布过一版。随后,历经2019年多次征求意见,最新版本于2020年3月6日正式发布,并将于2020年10月1日起正式实施。
新版《个人信息安全规范》在原有版本基础上做了较多调整,更加符合互联网行业实践。一方面,在“接入第三方的平台责任”、“用户授权同意的例外情形”、“大规模收集敏感信息”等部分规定上给企业“解绑”,减轻了特定场景下互联网企业的义务。
另一方面,针对“个人生物识别信息(例如“AI人脸识别”信息)的处理”、“用户画像的使用”、“用户请求的响应”等方面,新版《个人信息安全规范》又增加了许多限定条件。
企业业务人员与合规风控人员需加深对上述变化的了解,方能适时做到产品技术方案与组织管理上的合规。
为此,我们研究整理出六大变化,集中在“专业术语更新”、“个人生物识别信息保护”、“安全影响合规评估”、“个人信息的使用”、“第三方合规义务与管理”、“对个人信息控制者要求的放宽”共计六个方面,并细分出二十个要点,将分为“上”、“下”两篇推送。
本文为上篇。
六大变化
一、专业术语定义扩大个人信息保护范围
二、新增个人生物识别信息保护具体要求
三、强化事前安全影响合规评估义务
四、突出加强个人信息的使用限制
五、明确与第三方的责任义务及管理措施
六、适度放宽对个人信息控制者的要求
一
专业术语定义扩大个人信息保护范围
2020版《规范》在定义部分做出了一些修订,扩大了个人信息的范围,加强了企业的个人信息保护义务。对个人信息及个人敏感信息定义,增加的注释明确了用户画像及加工过后的个人信息,如符合个人信息及个人敏感信息的定义,仍是个人信息和个人敏感信息。
对个人信息主体、匿名化、去标识化等概念的定义中采用了“标识+关联”的标准,比起2017版,这意味着个人信息的范围扩大,企业在进行个人信息保护以及进行匿名化等操作时需要承担更多的义务。
1. 用户画像及加工后的个人信息仍有可能属于个人信息和个人敏感信息
2019年版增加了注3,对通过加工后的用户画像等信息是否属于个人信息做出明确规定,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息,对个人敏感信息的定义做了同样的处理。
也就是个人信息的判定不以是否经过加工、是否是原始信息决定,而是按照能否识别特定自然人身份或者反映特定自然人活动情况的标准 。
(点击图片查看三稿演进对比)
合规建议
对加工处理后属于个人信息或个人敏感信息的,按照个人信息和个人敏感信息的要求管理和保护。
譬如,互联网企业通过直接、间接用户画像进行直接营销、对用户信用进行判断、对市场情况进行调研和分析、进行舆情分析和网络、信息安全管控的过程中,分析结论、调研报告中,若含有可识别或关联到个人的画像结果或特征标签,则仍然需要按照个人信息保护原则和规则履行相应义务。
2. 增加“关联”标准
个人信息主体的认定标准增加了“关联”,采用“
标识+关联”的标准,“标识+关联”将导致个人信息以及个人信息主体的范围扩大,企业的合规义务将增加。
(点击图片查看三稿演进对比)
合规建议
及时跟进相关立法如即将出台的《民法典》、《个人信息保护法》对于该概念的界定以及官方的操作指引,及时确定企业确定个人信息主体和个人信息的标准及具体的操作指南;
现阶段采用严格的“识别+关联”的标准,实际上对受法律保护的“个人信息”的范围进行了较宽泛界定,这意味着大量串码即使无法直接识别到个人,即便可能与个人产生关联,那么都会受到严格的保护。这就要求企业需对个人信息进行更加全面和细致的摸查,通过Data Mapping流程建立详细的数据字典,进而推动更细致的差距分析,避免违反个人信息保护原则。
同时,企业在向第三方进行共享转让、提供数据接口的过程中,同样需注意是否有部分数据因其与个人的“关联性”而落入广义“个人信息”的范畴,从而需履行更多的安全保障措施与义务。
3. “个人信息控制者”的范围扩大
将个人信息控制者的定义由“有权决定”更改为“有能力决定”个人信息处理目的、方式等的组织和个人,实际上扩大了数据控制者的界定范围 。是否“有权决定信息处理目的和方式”可通过协议来约定。
但“有能力”把很多实际在控制数据的情形都纳入进去了——比如很多第三方插件,可以被界定为共同控制者。另外,个人信息的处理者、甚至子处理者,理论上讲都是“有能力”进一步处理数据的,但并非属于“个人信息控制者”的范畴。
(点击图片查看三稿演进对比)
合规建议
跟进相关法规和标准的动态,明确个人信息控制者的定义和范围,厘清个人信息控制者、共同控制者、受托人、处理者、第三方等主体的定义和范围,进而针对控制者、共同控制者分别设置和适当履行合规义务和责任分摊(例如数据安全事件处置、用户个人信息权利响应、宿主App和第三方插件、SDK安全保障措施分工等)。
4. 提高匿名化及去标识化要求
和“个人信息主体” 的认定标准一样,统一采用“标识+关联”的标准。该变化导致匿名化的要求更严格,匿名化和去标识化后的信息不仅不能识别出信息主体,还不能关联到信息主体。
(点击图片查看三稿演进对比)
合规建议
企业要及时梳理目前采用的匿名化及去标识化技术,评估其是否能达到不能识别也不能关联的要求,及时更新、完善匿名化和去标识化技术;
对于经过匿名化和去标识化处理的信息再次梳理和评估,如有识别和关联的风险,及时采取措施。
二
新增个人生物识别信息保护具体要求
2020版《规范》在现行区分个人信息和个人敏感信息的保护框架之内,新增并强调对个人生物识别信息在收集、存储、共享三大环节的保护要求。
5. 强化个人生物识别信息收集的要求
2020版规范就个人生物识别信息提出了
“单独告知”及“取得明示同意”的双重要求,相较于2017及2019版中已有的对收集个人敏感信息时应当获得明示同意的要求更为严格。
(点击图片查看三稿演进对比)
合规建议
确保企业在收集个人生物识别信息时满足告知方式、告知内容和同意方式三个要点:
(1)单独告知;
(2)告知内容涵盖收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则;
(3)获得明示同意。
需要注意的是目前惯用的做法是将个人生物识别信息的相关规则放置在个人信息保护政策中,这种做法已经无法满足《规范》(2020正式稿)的要求。
可供参考的模式为:
(1)企业对个人生物识别信息制定单独的个人生物识别信息保护政策;
(2)在实际开始采集个人生物信息前进行弹窗告知并放置完整版个人生物识别信息保护政策的链接;
(3)在产品或服务是设计中采取用户手动点击确认或者“打勾”等方式来获得用户的明示同意,避免出现默认勾选的情况。
6. 细化了个人生物识别信息存储要求
2019版在个人生物识别信息存储之前的技术处理要求方面,新增了“将原始信息和摘要信息分开存储”的建议,2020版则将前述规范版本中的“分开存储”建议细化为具体要求,明确提出了“不应存储原始生物识别信息”的原则,并列举了包括仅存储摘要信息、在采集终端直接使用、识别认证身份后删除原始图像在内的具体实现方式。
(点击图片查看三稿演进对比)
合规建议
对企业存储的信息进行梳理和排查,除了履行法律法规义务的情形以外,确保没有储存原始个人生物识别信息。《规范》(2020正式稿)明确不存储原始个人生物识别信息是原则要求,一般来说不得突破该要求。
在需要使用个人生物识别信息时,可采取的措施有:
(1)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能,个人生物识别信息存储在用户的手机等采集终端,身份识别、认证等动作在用户的手机等终端上完成,企业接收的只是该等信息验证的结果而不需要存储个人生物识别信息。
(2)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后立即删除可提取个人生物识别信息的原始图像。
(3)仅存储个人生物识别信息的摘要信息,确保企业存储的个人生物识别信息摘要信息的不可逆性,确保相关技术的效果,保证摘要信息不能回溯到原始信息。
(4)个人生物识别信息应与个人身份信息分开存储。降低数据泄露可能导致的风险。
7. 新增个人生物识别信息共享、转让的要求
个人生物识别信息以不共享、不转让为原则,确需共享、转让的,首先需要符合“业务需要”的必要性要求,其次,2020版《规范》在原来个人敏感信息共享的“明示同意”及“额外告知内容”要求的基础之上提出了“单独告知” 的要求。
(点击图片查看三稿演进对比)
合规建议
针对AI人脸识别类产品、指纹收集功能等涉及“个人生物识别信息”的共享和转让,企业需注意严格履行单独告知义务、并获取用户明示同意。
具体可通过产品隐私协议勾选同意、弹窗点击确认等方式,履行单独告知+获取明示同意的义务。
三
强化事前安全影响合规评估义务
《规范》很重视个人信息安全影响评估在个人信息风险预防的作用,除了现行版规定委托处理是需要进行个人信息安全影响评估,新规范也从实操性的角度出发,在增加信息汇聚融合以及自动决策条款的时候,增加了个人信息安全影响评估的要求。
三版《规范》都规定了个人信息保护负责人及机构要个人信息安全工作,并且专门规定了如何进行评估。其中较大的改动是相比2017年版本,删除了定期至少一年一次的安全评估要求。
8. 进行信息汇聚融合时需要开展个人信息安全影响评估
2019及2020版本新增了对不同业务收集的个人信息进行汇聚融合的限制要求,其中就包括就汇聚融合后的使用目的进行个人信息安全评估,并要求根据评估结果采取有效的个人信息保护措施。
(点击图片查看三稿演进对比)
合规建议
在进行个人信息汇聚融合之前根据使用目的进行个人信息安全影响评估,针对评估结果采取相应的保护措施,减轻和防范信息汇聚融合可能导致的个人信息风险。
9. 自动决策系统需要进行个人信息安全影响评估
在对信息系统自动决策机制的修订中,2019及2020年版本细化了自动决策机制的使用,其中规定了要在规划设计阶段或首次使用前开展个人信息安全影响评估,并依旧评估结果采取有效的保护措施,并且要求定期开展个人信息安全影响评估。
(点击图片查看三稿演进对比)
合规建议
针对企业人事系统、金融机构征信、贷款系统而言,在设计阶段或首次使用自动决策时开展个人信息安全影响评估;对自动决策系统的使用进行定期安全影响评估;按照规定制作并留存评估记录。
10. 开展个人信息安全影响评估的适用场景发生变化
相比2017版,2019及2020版增加了“在产品或服务发布前,或功能发生重大变化时,应进行个人信息安全影响评估”的要求,并且删除了定期评估的要求。
(点击图片查看三稿演进对比)
合规建议
把在产品或服务发布前,或功能发生重大变化的情况增加至企业需要开展个人信息安全影响评估的情形中;
虽然最新版删除了定期评估的要求,但是在具体条款中,比如自动决策机制的个人信息安全影响评估中有定期评估的要求,要按照具体的规定进行定期评估。
以上为“专业术语更新”、“个人生物识别信息保护”、“安全影响合规评估”三个方面的变化及合规建议。
下篇将为大家带来“个人信息的使用”、“第三方合规义务与管理”、“对个人信息控制者要求的放宽”三个方面的研究成果。
山西网警巡查执法
网警网上巡查执法,网络犯罪防范警示提示,网上违法行为告知警示。网上违法犯罪信息举报网址:www.cyberpolice.cn
閱讀更多 山西網警巡查執法 的文章
