《信息安全技術個人信息安全規範》(簡稱“《個人信息安全規範》”)是國家推薦性標準,是對《網絡安全法》等法律法規中對個人信息保護相關條款的細化與補充,被業界普遍認為具有很強的指導價值。
全國信息安全標準化技術委員會曾於2017年發佈過一版。隨後,歷經2019年多次徵求意見,最新版本於2020年3月6日正式發佈,並將於2020年10月1日起正式實施。
新版《個人信息安全規範》在原有版本基礎上做了較多調整,更加符合互聯網行業實踐。一方面,在“接入第三方的平臺責任”、“用戶授權同意的例外情形”、“大規模收集敏感信息”等部分規定上給企業“解綁”,減輕了特定場景下互聯網企業的義務。
另一方面,針對“個人生物識別信息(例如“AI人臉識別”信息)的處理”、“用戶畫像的使用”、“用戶請求的響應”等方面,新版《個人信息安全規範》又增加了許多限定條件。
企業業務人員與合規風控人員需加深對上述變化的瞭解,方能適時做到產品技術方案與組織管理上的合規。
為此,我們研究整理出六大變化,集中在“專業術語更新”、“個人生物識別信息保護”、“安全影響合規評估”、“個人信息的使用”、“第三方合規義務與管理”、“對個人信息控制者要求的放寬”共計六個方面,並細分出二十個要點,將分為“上”、“下”兩篇推送。
本文為上篇。
六大變化
一、專業術語定義擴大個人信息保護範圍
二、新增個人生物識別信息保護具體要求
三、強化事前安全影響合規評估義務
四、突出加強個人信息的使用限制
五、明確與第三方的責任義務及管理措施
六、適度放寬對個人信息控制者的要求
一
專業術語定義擴大個人信息保護範圍
2020版《規範》在定義部分做出了一些修訂,擴大了個人信息的範圍,加強了企業的個人信息保護義務。對個人信息及個人敏感信息定義,增加的註釋明確了用戶畫像及加工過後的個人信息,如符合個人信息及個人敏感信息的定義,仍是個人信息和個人敏感信息。
對個人信息主體、匿名化、去標識化等概念的定義中採用了“標識+關聯”的標準,比起2017版,這意味著個人信息的範圍擴大,企業在進行個人信息保護以及進行匿名化等操作時需要承擔更多的義務。
1. 用戶畫像及加工後的個人信息仍有可能屬於個人信息和個人敏感信息
2019年版增加了注3,對通過加工後的用戶畫像等信息是否屬於個人信息做出明確規定,能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的,屬於個人信息,對個人敏感信息的定義做了同樣的處理。
也就是個人信息的判定不以是否經過加工、是否是原始信息決定,而是按照能否識別特定自然人身份或者反映特定自然人活動情況的標準 。
(點擊圖片查看三稿演進對比)
合規建議
對加工處理後屬於個人信息或個人敏感信息的,按照個人信息和個人敏感信息的要求管理和保護。
譬如,互聯網企業通過直接、間接用戶畫像進行直接營銷、對用戶信用進行判斷、對市場情況進行調研和分析、進行輿情分析和網絡、信息安全管控的過程中,分析結論、調研報告中,若含有可識別或關聯到個人的畫像結果或特徵標籤,則仍然需要按照個人信息保護原則和規則履行相應義務。
2. 增加“關聯”標準
個人信息主體的認定標準增加了“關聯”,採用“
標識+關聯”的標準,“標識+關聯”將導致個人信息以及個人信息主體的範圍擴大,企業的合規義務將增加。
(點擊圖片查看三稿演進對比)
合規建議
及時跟進相關立法如即將出臺的《民法典》、《個人信息保護法》對於該概念的界定以及官方的操作指引,及時確定企業確定個人信息主體和個人信息的標準及具體的操作指南;
現階段採用嚴格的“識別+關聯”的標準,實際上對受法律保護的“個人信息”的範圍進行了較寬泛界定,這意味著大量串碼即使無法直接識別到個人,即便可能與個人產生關聯,那麼都會受到嚴格的保護。這就要求企業需對個人信息進行更加全面和細緻的摸查,通過Data Mapping流程建立詳細的數據字典,進而推動更細緻的差距分析,避免違反個人信息保護原則。
同時,企業在向第三方進行共享轉讓、提供數據接口的過程中,同樣需注意是否有部分數據因其與個人的“關聯性”而落入廣義“個人信息”的範疇,從而需履行更多的安全保障措施與義務。
3. “個人信息控制者”的範圍擴大
將個人信息控制者的定義由“有權決定”更改為“有能力決定”個人信息處理目的、方式等的組織和個人,實際上擴大了數據控制者的界定範圍 。是否“有權決定信息處理目的和方式”可通過協議來約定。
但“有能力”把很多實際在控制數據的情形都納入進去了——比如很多第三方插件,可以被界定為共同控制者。另外,個人信息的處理者、甚至子處理者,理論上講都是“有能力”進一步處理數據的,但並非屬於“個人信息控制者”的範疇。
(點擊圖片查看三稿演進對比)
合規建議
跟進相關法規和標準的動態,明確個人信息控制者的定義和範圍,釐清個人信息控制者、共同控制者、受託人、處理者、第三方等主體的定義和範圍,進而針對控制者、共同控制者分別設置和適當履行合規義務和責任分攤(例如數據安全事件處置、用戶個人信息權利響應、宿主App和第三方插件、SDK安全保障措施分工等)。
4. 提高匿名化及去標識化要求
和“個人信息主體” 的認定標準一樣,統一採用“標識+關聯”的標準。該變化導致匿名化的要求更嚴格,匿名化和去標識化後的信息不僅不能識別出信息主體,還不能關聯到信息主體。
(點擊圖片查看三稿演進對比)
合規建議
企業要及時梳理目前採用的匿名化及去標識化技術,評估其是否能達到不能識別也不能關聯的要求,及時更新、完善匿名化和去標識化技術;
對於經過匿名化和去標識化處理的信息再次梳理和評估,如有識別和關聯的風險,及時採取措施。
二
新增個人生物識別信息保護具體要求
2020版《規範》在現行區分個人信息和個人敏感信息的保護框架之內,新增並強調對個人生物識別信息在收集、存儲、共享三大環節的保護要求。
5. 強化個人生物識別信息收集的要求
2020版規範就個人生物識別信息提出了
“單獨告知”及“取得明示同意”的雙重要求,相較於2017及2019版中已有的對收集個人敏感信息時應當獲得明示同意的要求更為嚴格。
(點擊圖片查看三稿演進對比)
合規建議
確保企業在收集個人生物識別信息時滿足告知方式、告知內容和同意方式三個要點:
(1)單獨告知;
(2)告知內容涵蓋收集、使用個人生物識別信息的目的、方式和範圍,以及存儲時間等規則;
(3)獲得明示同意。
需要注意的是目前慣用的做法是將個人生物識別信息的相關規則放置在個人信息保護政策中,這種做法已經無法滿足《規範》(2020正式稿)的要求。
可供參考的模式為:
(1)企業對個人生物識別信息制定單獨的個人生物識別信息保護政策;
(2)在實際開始採集個人生物信息前進行彈窗告知並放置完整版個人生物識別信息保護政策的鏈接;
(3)在產品或服務是設計中採取用戶手動點擊確認或者“打勾”等方式來獲得用戶的明示同意,避免出現默認勾選的情況。
6. 細化了個人生物識別信息存儲要求
2019版在個人生物識別信息存儲之前的技術處理要求方面,新增了“將原始信息和摘要信息分開存儲”的建議,2020版則將前述規範版本中的“分開存儲”建議細化為具體要求,明確提出了“不應存儲原始生物識別信息”的原則,並列舉了包括僅存儲摘要信息、在採集終端直接使用、識別認證身份後刪除原始圖像在內的具體實現方式。
(點擊圖片查看三稿演進對比)
合規建議
對企業存儲的信息進行梳理和排查,除了履行法律法規義務的情形以外,確保沒有儲存原始個人生物識別信息。《規範》(2020正式稿)明確不存儲原始個人生物識別信息是原則要求,一般來說不得突破該要求。
在需要使用個人生物識別信息時,可採取的措施有:
(1)在採集終端中直接使用個人生物識別信息實現身份識別、認證等功能,個人生物識別信息存儲在用戶的手機等採集終端,身份識別、認證等動作在用戶的手機等終端上完成,企業接收的只是該等信息驗證的結果而不需要存儲個人生物識別信息。
(2)在使用面部識別特徵、指紋、掌紋、虹膜等實現識別身份、認證等功能後立即刪除可提取個人生物識別信息的原始圖像。
(3)僅存儲個人生物識別信息的摘要信息,確保企業存儲的個人生物識別信息摘要信息的不可逆性,確保相關技術的效果,保證摘要信息不能回溯到原始信息。
(4)個人生物識別信息應與個人身份信息分開存儲。降低數據洩露可能導致的風險。
7. 新增個人生物識別信息共享、轉讓的要求
個人生物識別信息以不共享、不轉讓為原則,確需共享、轉讓的,首先需要符合“業務需要”的必要性要求,其次,2020版《規範》在原來個人敏感信息共享的“明示同意”及“額外告知內容”要求的基礎之上提出了“單獨告知” 的要求。
(點擊圖片查看三稿演進對比)
合規建議
針對AI人臉識別類產品、指紋收集功能等涉及“個人生物識別信息”的共享和轉讓,企業需注意嚴格履行單獨告知義務、並獲取用戶明示同意。
具體可通過產品隱私協議勾選同意、彈窗點擊確認等方式,履行單獨告知+獲取明示同意的義務。
三
強化事前安全影響合規評估義務
《規範》很重視個人信息安全影響評估在個人信息風險預防的作用,除了現行版規定委託處理是需要進行個人信息安全影響評估,新規範也從實操性的角度出發,在增加信息匯聚融合以及自動決策條款的時候,增加了個人信息安全影響評估的要求。
三版《規範》都規定了個人信息保護負責人及機構要個人信息安全工作,並且專門規定了如何進行評估。其中較大的改動是相比2017年版本,刪除了定期至少一年一次的安全評估要求。
8. 進行信息匯聚融合時需要開展個人信息安全影響評估
2019及2020版本新增了對不同業務收集的個人信息進行匯聚融合的限制要求,其中就包括就匯聚融合後的使用目的進行個人信息安全評估,並要求根據評估結果採取有效的個人信息保護措施。
(點擊圖片查看三稿演進對比)
合規建議
在進行個人信息匯聚融合之前根據使用目的進行個人信息安全影響評估,針對評估結果採取相應的保護措施,減輕和防範信息匯聚融合可能導致的個人信息風險。
9. 自動決策系統需要進行個人信息安全影響評估
在對信息系統自動決策機制的修訂中,2019及2020年版本細化了自動決策機制的使用,其中規定了要在規劃設計階段或首次使用前開展個人信息安全影響評估,並依舊評估結果採取有效的保護措施,並且要求定期開展個人信息安全影響評估。
(點擊圖片查看三稿演進對比)
合規建議
針對企業人事系統、金融機構徵信、貸款系統而言,在設計階段或首次使用自動決策時開展個人信息安全影響評估;對自動決策系統的使用進行定期安全影響評估;按照規定製作並留存評估記錄。
10. 開展個人信息安全影響評估的適用場景發生變化
相比2017版,2019及2020版增加了“在產品或服務發佈前,或功能發生重大變化時,應進行個人信息安全影響評估”的要求,並且刪除了定期評估的要求。
(點擊圖片查看三稿演進對比)
合規建議
把在產品或服務發佈前,或功能發生重大變化的情況增加至企業需要開展個人信息安全影響評估的情形中;
雖然最新版刪除了定期評估的要求,但是在具體條款中,比如自動決策機制的個人信息安全影響評估中有定期評估的要求,要按照具體的規定進行定期評估。
以上為“專業術語更新”、“個人生物識別信息保護”、“安全影響合規評估”三個方面的變化及合規建議。
下篇將為大家帶來“個人信息的使用”、“第三方合規義務與管理”、“對個人信息控制者要求的放寬”三個方面的研究成果。
山西網警巡查執法
網警網上巡查執法,網絡犯罪防範警示提示,網上違法行為告知警示。網上違法犯罪信息舉報網址:www.cyberpolice.cn
閱讀更多 山西網警巡查執法 的文章
