近日,国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(以下简称“《规范》”)完成修订,将于2020年10月1日正式实施。此次《规范》修订工作历时近一年时间,突出问题导向,不仅着力解决《规范》实施以来出现的个人信息安全新问题,同时也对部分原有内容进行完善,提升个人信息安全顽疾的治理效果。本文也以问题为导向,对此次《规范》修订亮点进行简要解读。
一、破题捆绑授权,解决网民关切问题
伴随移动互联网的迅猛发展,我国几乎全民手机上网,广大网民在享受移动互联网应用程序(App)带来便利的同时,也饱受App个人信息收集、使用乱象的困扰,通过功能捆绑等手段变相强迫用户授权,便是典型问题之一。当下,App不再局限于提供单一业务功能,用户量大的App更倾向于在原有App基础上新增业务功能,但用户可能仅使用部分业务功能,实践中便出现了App通过“一揽子协议”等方式,要求用户同意App所有业务功能收集个人信息的请求,否则便不提供产品或服务的问题。此类“全有或全无”式“绑架”用户,极大地限制了用户自主选择,为广大网民所诟病。
新版《规范》结合当下产业实践发展,在个人信息收集部分增加了“5.3 多项业务功能的自主选择”的要求,在多项业务功能需收集用户个人信息的场景下,强调以业务功能作为基本单位,通过规范初始征得用户授权同意、用户关闭或退出特定业务功能等内容,强化保障用户的自主选择,以此破题捆绑授权。
在征得用户授权同意环节,5.3a)、b)分别明确征得用户同意、判断用户自主意愿的标准:5.3a)明确在征得用户同意时,不可采用“一揽子授权”方式,产品或服务提供者不得捆绑业务功能,要求用户一次性接受并授权同意未申请或使用的业务功能收集个人信息的请求;5.3b)则明确以用户自主作出的肯定性动作作为特定业务功能开启的条件,从而表明默认勾选等方式的不可取之处。
在落实用户关闭或退出特定业务功能时的自主选择方面,5.3c)、d)、e)分别围绕着用户关闭或退出特定业务功能的方式是否足够简便、用户关闭或退出特定业务功能后再次征求授权同意、用户关闭或退出特定业务功能后不得影响其他业务功能的提供等方面提出具体要求。此外,《规范》在附录C中也通过基本与扩展业务功能的区分、对基本业务功能和扩展业务功能不同的告知与明示同意要求、交互式功能界面设计等方面提出了实现用户自主意愿的具体方法,为企业合规提供参考。
二、完善知情同意模式,回应合理实践诉求
《网络安全法》第四十一条要求“收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”,确立我国个人信息保护收集、使用遵循“知情同意模式”。一方面,《网络安全法》未对实现知情同意模式的具体方式和要求作出规定;另一方面,严苛和绝对的知情同意模式也难以适应丰富的产业发展实践。因此,《规范》在制定之初,参考欧盟《通用数据保护条例》等国际立法,通过区分用户同意的不同类型、明确知情同意的例外情形等,合理化落地《网络安全法》中有关“知情同意模式”的要求。
新版《规范》继续聚焦产业发展实践的合理诉求,新增两种“根据个人信息主体要求签订和履行合同所必需的”、“与个人信息控制者履行法律法规规定的义务相关的”两种征得授权同意的例外情形。一方面,个人信息控制者与信息主体存在合同关系并明确约定相关事项时,存在为订立或履行合同关系可能需要进行必要的个人信息收集、使用的情形,此时征得信息主体同意效率偏低而且可能与合同约定事项产生冲突;另一方面,因我国网络实名制、反洗钱等法律监管要求,个人信息控制者也可能因履行法律规定的义务进行必要的个人信息收集、使用,此时征得信息主体同意可能会有碍于实现其他法律法规意欲保护的公共利益。此外,为避免个人信息控制者泛化对于合同的理解,借由隐私政策滥用“根据个人信息主体要求签订和履行合同所必需的”例外事由,《规范》通过“注”的形式明确个人信息保护政策并不构成与个人信息主体之间所签订或履行的合同。
三、新增个性化推荐和生物识别信息要求,紧跟产业发展前沿
1、个性化推荐
互联网企业以追逐用户注意力而著称。借助于算法和个人信息,互联网产品或服务能够更加了解用户,通过个性化推荐更加吸引用户。用户虽然能够从个性化推荐中得到便利,但也反感不能自主退出或者选择推送内容,不当利用个性化推荐还可能造成信息茧房效应。对此,此次《规范》新增了用户画像、个性化展示的使用要求,引导个人信息控制者更加尊重和保障用户权益。
对于用户画像的使用,《规范》7.4分别从用户画像包含的信息主体特征描述限制、用户画像的使用目的限制、用户画像的身份指向性限制等三个维度提出要求,既保障信息主体自身权益,也避免用户画像滥用可能对国家、社会公共利益的侵害。
在个性化展示的使用方面,《规范》也强调对用户知情和选择的保障。首先,7.5a)要求个人信息控制者使用个性化展示的,应当显著区分个性化展示内容和非个性化展示内容,从而保障用户的“知情”;其次,7.5b)和7.5c)区分电子商务、新闻信息服务这两类常见的个性化展示应用类型,提出关闭或退出个性化展示的要求,保障用户的“选择”;最后,7.5d)倡导个人信息控制者向用户提供个性化标签、画像维度的自主控制机制,提出保障用户“选择”的最佳实践方案。
2、生物识别信息
生物识别信息包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等,具有唯一性和不可变更性,此前便作为个人敏感信息而在《规范》中受到更高程度的保护。《规范》实施后,指纹、人脸等生物识别信息被广泛用于身份识别、验证,刚刚过去的2019年,更被视为人脸识别商业化应用的元年,“刷脸”日益普遍。
此次《规范》修订也关注到这一产业发展趋势,在收集、存储和传输、共享、对外披露等环节,均着重强调了生物识别信息的安全要求。在收集环节,5.4c)要求生物识别信息的收集应当满足“单独告知”和“明示同意”的要求,强化收集生物识别信息时用户的知情与同意;在存储和传输环节,6.3b)、c)提出生物识别信息应当与身份信息分开存储、原则上不应存储原始生物识别信息、终端使用、及时删除等要求,通过落实生物识别信息存储和传输的最小化,从源头上降低生物识别信息使用可能引发的风险。在共享和对外披露环节,《规范》9.2i)、9.4f)分别提出了生物识别信息原则上不应共享、转让,不应公开披露生物识别信息的要求,体现对生物识别信息使用的谨慎。
四、新增汇聚融合和第三方接入管理要求,深化数据治理规则体系
数据商业潜能和价值的释放,离不开数据的聚合使用和畅通的数据流通渠道。我国《刑法》、《网络安全法》均禁止“非法向他人提供个人信息”,但并未明确在企业确因业务需要进行个人信息流动时的数据治理规则。此次《规范》修订,除了补充、完善有关个人信息委托处理、共享、转让部分的要求外,也及时吸收、回应新的业务实践发展,对企业进行数据汇聚融合、接入第三方等提出相应的标准要求。
1、数据汇聚融合
当下,越来越多的企业通过数据中台等方式打通企业内部数据,以实现对自有数据的深度挖掘,但由此可能引发信息主体权益保障不足、引入新的安全风险等问题。对此,《规范》7.6对基于不同业务目的所收集个人信息的汇聚融合提出要求:其一,需要个人信息控制者应遵守个人信息使用目的限制的要求,如超出收集个人信息时所声称的目的具有直接或合理关联的范围,应当再次征得信息主体的明示同意;其二,如在汇聚融合中对个人信息进行加工处理产生的信息能够识别信息主体身份或者反映信息主体活动情况的,对其处理也应当遵循收集个人信息时获得的授权同意范围;其三,对个人信息汇聚融合后的使用目的,还应当开展个人信息安全影响评估,并采取有效的个人信息保护措施。
2、第三方接入管理
实践中,企业在向用户提供产品或服务的过程中,基于技术实现、分工合作等原因,可能需要引入第三方提供相应服务,由此存在第三方借由个人信息控制者触达用户,进而获取用户个人信息的情形。尤其在移动互联网生态中,App开发者出于用户渠道、技术、成本等考量,通常会嵌入第三方代码、插件,后者同样具备个人信息收集功能,但其个人信息收集行为往往不为用户所感知,甚至连App开发者也未必清楚,成为App生态中个人信息保护的相对盲区。
对此,《规范》9.7从控制者内控机制、第三方监督、用户权益保障等三个维度整体上强调个人信息控制者对第三方的接入管理。在内控机制方面,控制者应当建立第三方接入管理机制和工作流程,明确接入条件,并妥善保留接入第三方的有关合同和管理记录备查;在对第三方监督方面,控制者应当与第三方通过合同等形式明确各自的安全责任及应采取的安全保障措施,监督第三方加强个人信息安全管理,并倡导控制者开展第三方自动化工具的技术检测、审计等;在对用户权益保障方面,控制者自身应当向用户明示产品或服务由第三方提供,同时监督第三方获得用户授权,并督促第三方建立个人信息主体请求和投诉的响应机制,以即时响应用户请求。
五、结语
各种新技术的深入应用,带来个人信息保护的新场景、新问题,作为个人信息安全领域最为基础的国家标准,《规范》与时俱进,适时完成修订工作,定能为推进我国个人信息保护工作提供有益方案。
(作者:中国信息通信研究院安全研究所 葛鑫、陈湉)