数据安全治理的国家标准路径——以2020版《个人信息安全规范》的修订为视角

数字时代,技术快速革新,应用场景不断增加。为实现数据利用与个人信息保护的平衡,数据安全治理不仅需要稳定且具有国家强制力的法律规范 治理框架,也需要治理规则能够适应复杂的数据利用场景并区分风险等级进行精细化规范,并对新问题快速响应,输出解决方案。《个人信息安全规范》作为一部推荐性国家标准,并不具有法律强制力,但其在《网络安全法》个人信息保护的原则框架下,为网络运营者的个人信息保护提供了系统化的解决方案,并及时回应了数据治理中重点问题,弥补了法律规范的不足,因此得到广泛适用。2020年3月,国家 标准GB/T 35273-2020《信息安全技术 个人信息安全规范》(“《个人信息安全规范》”)正式发布,并将于2020年10月1日实施,作为2017年发布的《个人 信息安全规范 》的修订。《个人信息安全规范》的编制与修订,充分体现了国家标准对数据安全治理的重要作用,也为新技术领域国家治理提供了有益的案例。

 

一、增强数据安全治理规则弹性

数据安全治理须适应快节奏的技术发展需求 不仅 对数据利用中的暴露的风险及时提出 规制措施 还需要对不合时宜 ”的规制措施 及时调整, 实现安全与发展的动态平衡。

法律规范 具有国家强制力, 但正 有强制力,则更应注重 法律规范 稳定性否则 会严重产业发展。如何于迅速变化之中在稳定性和适应性之间寻得平衡,是数据治理必须应对的棘手难题。[1] 笔者认为破题 思路就是发挥 推荐国家 标准的适应性及其对法律规范的 支撑与验证作用 以增加数据治理规则的弹性。

《个人信息安全规范》编制之初的 主要目的是支撑《网安法》 相关个人信息保护条款 的落地,而其编制和修订的过程同 体现了 数据治理规则的验证过程。

2019年初,标准出台一年后,App强制授权、过度索权、超范围收集个人信息的现象仍大量存在,违法违规使用个人信息的问题仍十分突出,广大网民对此反映强烈。[2] 因此《个人信息安全规范》修订的主要任务就是对上述问题给予回应。比如新标准增加了“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同业务目所收集个人信息的汇聚融合”、“第三方接入管理”的规则,还细化了“个人信息主体注销账户”要求,实现了国家 标准对数据治理问题 高效响应2020版的《个人信息安全规范》(“新标准”)针对《网安法》及 标准实施中的问题 进一步完善“征得授权同意的例外”规定及个人 信息与敏感个人信息清单 使标准更具 实操性。

新标准还对个人信息保护领域出现 生物识别信息保护 、第三方 SDK)接入及信息系统自动决策等前沿问题提供了解决方案 这些规则并没有 照搬国外经验,而是立足中国产业 实践,数据安全 治理法律规范的提供试点  

 

二、强化了数据安全治理的技术方案 

随着数字技术发展,法律规范越来越无法避免专业技术问题。技术规范和法律规范相互交融已成为数据治理的必然趋势,上世纪90年代提出的“Privacy  by Design”,(通过设计实现 隐私理念 已在全球范围得到广泛认[3] ,甚至学者 提出代码即法律 观点。[4]

《网络安全 》要求网络运营者收集和使用个人 信息应遵循正当、合法 必要原则, 征得个人信息主体同意 时还采取技术措施等 必要措施,确保其收集的个人信息安全。但 上述规则较为原则,需要 有更明确的标准和 技术解决方案,这 离不开技术 标准的支撑。

用户个人信息 本身通过计算机系统中的数据字段体现,APP收集、使用个人信息 正当合法必要则需通过 规制系统权限控制、弹窗设计等 技术措施实现 对个人信息 安全保护更离不开 安全技术 标准。

上述内容均在《 个人信息安全规范》 得到细化 ,标准不仅在正文中提出了具体的技术要求, 通过后附的参考性附录, 提供隐私政策 用户交互界面 设计的模板 以供参考。

新标准进一步强化了个人信息保护的技术 方案 比如要求 产品服务须实现 “多项业务功能的自主选择”,“当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求”,“不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息”;新 标准还增加了《实现个人信息主体自主意愿的方法》的 资料性附录,不仅对实现“多项业务功能的自主选择”提出更 详细的解决思路,还提供 交互式功能界面设计模板 做为参考 避免APP 通过捆绑功能强制 要求用户授权个人 信息,这是《网络 安全法》个人 信息使用须遵循“必要性”原则的 技术实现 方式之一

 

三、细化了数据安全风险治理的场景

厘清数据安全的重点问题, 根据 数据利用场景 风险等级 不同 给予精细化 精准化 规制方案 利于 减轻数据治理规则对产业发展的 影响。

《个人 信息安全规范》的 编制与修订一直 秉承风险治理的路径 结合国家个人信息保护工作的重点和难点问题,围绕个人信息保护主要威胁和风险点开展 编制和修订 工作。[5] 标准不仅对当 前个人 信息保护的重点问题 进行 了回应,同时 区分 数据 利用的场景,给予更有 针对 性的规范要求。

比如新标准 增加 “个人信息的个性化展示 这一热点 问题的规范 要求。除通用性 规范 外,还对电子商务及新闻信息服务 两类应用做出了 差异化的 具体规定

由于推送 新闻信息相较于 推送商品存在更大 内容 安全的风险,因此新 标准对推送新闻信息的 个性化展示提出 严格的要求 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

电商场景下 要求“向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项”。

 

四、提升了社会各界对数据安全治理的参与度

数据安全 治理 技术 治理 场景的复杂性,要求 规则制定者对安全 技术和数据 应用 实务有 深刻的理解 ,这 《个人 信息安全规范》 的编制 和修订 ,得到 充分体现

与国家法律 规范 由立法 机关和监管机关 独立 制定不同的 ,国家标准参与 编制的主体则 更加 多元,研究机构 、高校 企业的技术、实务及 法律专 参与编著组 ,不同 领域的专家在标准编制过程中充分交流,使 国家 标准 接地气 推荐 性的国家标准 具有 “自下而上”的 自律规范 属性 《个人信息安全规范》在2016年 制定之初, 即有 来自安全 研究与 检测 机构 知名 高校 及手机终端 、互联网应用的头部企业 的数十 安全管理 安全 技术、法律与标准专家参与 ,保证了 标准 的系统 性和实操性,因此 标准一 推出 获得了社会各界的广泛关注 ,其中不乏 律师及企业的法律人员 。《个人信息安全规范》作为 一部 安全 技术 领域 的国家推荐标准, 法律 实务 界的 关注和 应用, 在此前的安全技术标准领域是 绝无仅有 的。

国家标准又不能等同与自律规范,国家标准由国家标准化组织牵头,反映了监管侧重点关注的技术问题,监管机构在执法检查中对标准的参照,可实现标准的实施与完善。因此国家标准在法律规范和自律规则间发挥着承上启下的作用,有利于推进数据安全治理的社会共治。2 017 年中央网信办、工信部、公安部、国家标准委四部委指导信安标委秘书处组织开展的对京东商城、航旅纵横等10款网络产品和服务的隐私条款专项工作、2018年信安标委秘书处对出行旅游、生活服务、影视娱乐、工具资讯和网络支付5类30款产品的隐私条款专项工作及2019年四部委开展的App违法违规收集使用个人信息专项治理工作,均 参照了 《个人 信息安全规范 》。 [6] 2019年 的个人信息 治理 工作中, 工作 在牵头 修订 《个人信息安全规范》的 通过微信公众号与公众 互动, 宣传普及个人 信息 保护 的知识 收集 举报 和投诉 意见,使 标准的修订 更加 有的放矢 也进一步扩大了标准的影响力。 律所 、咨询机构和企业纷纷参与了 标准 修订的 讨论 甚至 法学家 也开始 对个人信息安全进行研究 提出修改意见

《个人信息安全规范》显著提升了社会各界对数据安全治理的参与度与 对数据治理规则的 关注度, 有利于 数据 治理规则的完善。

 

展望

《个人 信息安全 规范》的 编制 、应用 与修订,充分体现了国家标准 数据安全治理的重要作用 提高国家治理水平和效率、推进国家治理体系和治理能力现代化具有重要意义, 未来 新技术 领域的 治理 提供了借鉴思路。

  随着科技发展,技术规范 法律的 融合 必将是未来发展的趋势。 国家 标准, 法律规范也 是由法律专家、实务 专家 与技术专家共同参与的产物。这 需要立法和监管机构引入更多的技术及实务 领域 的专业人才, 需要监管机构 、第三方行业组织、企业、学术机构等主体的多方协作,综合运用法律、标准、监管、技术、市场、宣传等多种手段,建立以法律法规为基础、监督执法为保障、标准规范为牵引、技术和市场为驱动、宣传教育为支撑的一套兼顾监管治理和发展促进平衡的科学路径。 [7]

 

(作者:京东法律研究院 严少敏)

 

 

 

 

 

[ 1] 参见沈岿:数据治理与软法,载《财经法学》2020年第1期。

[ 2] 参见中央网信办、工业和信息化部、公安部、市场监管总局:关于开展App违法违规收集使用个人信息专项治理的公告,载中央 网信办官网http://www.cac.gov.cn/2019-01/25/c_1124042599.htm 最后访问 日期 2020 4月28日。

[3] 1995年加拿大隐私专员Ann Cavoukian率先提出 Privacy by Design   PbD)理念,旨在产品或服务设计之初,就考虑到隐私保护的需求。

[ 4] 参见[美] 劳伦斯·莱斯格(Lawrence Lessig):代码2.0:网络空间中的法律,p6 清华大学出版社。

[ 5] 参见胡影、上官晓丽、王佳敏: 个人信息保护国家标准工作情况与思考 《中国信息安全》杂志2019年第4期。

[ 6] 同上

[ 7] 参见刘贤刚 何延哲: 以发展和保护平衡之道加强个人信息保护的路径研究 ,载《中国信息安全》杂志2019年第8期