根据2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》(下称“《规范》”)完成修订并发布,于10月1日起正式实施。
2018年5月1日生效的GB/T 35273-2017《信息安全技术 个人信息安全规范》无疑是我国个人信息保护领域最重要的国家标准。尽管该标准仅是国家推荐标准,但在我国尚未出台《个人信息保护法》、且其他法律(包括《网络安全法》)缺乏具体可操作的个人信息保护规则的情况下,该标准自颁布后已成为企业个人信息保护合规工作可实际依赖的唯一标准。
本次修订的2020版《规范》与2017版《规范》相比,主要技术变化如下:
——增加了“多项业务功能的自主选择”
——修改了“征得授权同意的例外”
——增加了“用户画像的使用限制”
——增加了“个性化展示的使用”
——增加了“基于不同业务目所收集个人信息的汇聚融合”
——修改了“个人信息主体注销账户”
——增加了“第三方接入管理”
——修改了“明确责任部门与人员”
——增加了“个人信息安全工程”
——增加了“个人信息处理活动记录”
——修改了“实现个人信息主体自主意愿的方法”
本文就《规范》中的六大重要修改详细解读如下:
❂ 一、增加“不得强迫收集个人信息”的要求
在日常生活中,用户即便不同意提供某些个人信息或不同意隐私政策中的某些条款,但为使用产品或服务也只能无奈勾选同意。针对此类情况,《规范》规定了个人信息控制者不得强迫收集个人信息的具体要求:
❖当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括:
a) 不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求;
b) 应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息;
c) 关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后,个人信息控制者应停止该业务功能的个人信息收集活动;
d) 个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意;
e) 个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量;
f) 不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息。
一句话解读:APP或网站等应对各业务功能所需收集的个人信息进行区分,仅在使用特定业务时才可收集特定信息,不使用时不得强迫用户接受权限也不得收集相关个人信息。
举个栗子,仅在我们需要照相功能时,APP才应请求使用相机权限,如果不使用照相功能的可以禁止使用相机权限,该APP也不得因为不授权此项权限而对APP内的其他功能进行限制。
❂ 二、修改“征得个人授权同意的例外”
在征得授权同意的例外中,《规范》明确,隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为根据个人信息主体要求签订和履行的合同。
一句话解读:明确隐私政策的主要作用是公开收集个人信息的范围等目的,不应将隐私政策视为合同。
❂ 三、增加“个性化展示及退出”机制
“个性化展示是个人信息使用的常见方式,也是民众反映的热点问题。” 有专家指出,有时候精准推送变成了精准营销,让用户觉得自己的生活被别人窥探,反而起到反效果。电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。
《规范》要求,APP在提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容,比如标明“定推”字样。同时,APP应提供不针对用户特征的选项。《规范》还建议,APP向用户提供个性化展示的,宜建立用户对个人信息(如标签、画像维度)的自主控制机制,保障用户调控个性化展示相关程度的能力。
一句话解读:APP或网站等在展示广告时,应允许我们自主选择是否展示定向推送的针对性广告。
❂ 四、增加对“基于不同业务目的所收集的个人信息的汇聚融合”的要求
在实践中,个人信息控制者特别是大型互联网平台可基于不同产品和服务获得多种多样的个人信息,并在此基础上进行汇聚、融合形成新的个人信息包。此类汇聚融合行为虽有助于数据应用创新,但一旦滥用将直接威胁个人信息安全。
对个人信息控制者的要求包括:
a) 应遵守“个人信息使用的目的限制”的要求;
b) 应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。
一句话解读:大型互联网平台不得对收集到的个人信息随意利用,且应对存储的个人信息进行妥善的保护。
❂ 五、新增“第三方接入管理”要求
生活中,对于该第三方产品或服务收集个人信息的行为(例如,移动APP中内置可收集用户个人信息的第三方SDK),用户往往不易察觉,且通常未获得充分告知。此类第三方产品和服务“默默”收集和使用用户个人信息的行为给个人信息安全带来极大隐患。
对此,《规范》规定,当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不适用该标准所规定的“委托处理”、“共同个人信息控制者”的情形时,对个人信息控制者的要求包括:
a) 建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;
b) 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
c) 应向个人信息主体明确标识产品或服务由第三方提供;
d) 应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
e) 应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;
f) 应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;
g) 应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
h) 产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:
1) 开展技术检测确保其个人信息收集、使用行为符合约定要求;
2) 对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。
一句话解读:对于APP或网站等内置的第三方服务,收集个人信息时应进行明确提示,第三方服务非法收集个人信息时应及时停止接入。
❂ 六、增加“个人信息处理活动记录”要求
为实现对个人信息全流程精细化管理,《规范》要求个人信息控制者对其个人信息处理活动予以详细记录和维护:
❖个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括:
a) 所涉及个人信息的类型、数量、来源(如从个人信息主体直接收集或通过间接 获取方式获得);
b) 根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、 共享、转让、公开披露、是否涉及出境等情况;
c) 与个人信息处理活动各环节相关的信息系统、组织或人员。
一句话解读:信息收集方应对收集到的个人信息及使用方式进行记录。