?

?

點擊圖片查看大圖

?

點擊圖片查看大圖

?

?

?

【條文對比】

點擊圖片查看大圖

?

【解讀】

?

根據(jù)條文對比，可以看出，對于收集個人信息的合法性要求，《規(guī)范》（2020正式稿）刪除了原有的"不應收集法律法規(guī)明令禁止收集的個人信息"和"不應大規(guī)模收集我國公民的種族、民族、政治觀點、宗教信仰等個人敏感信息"的要求。

?

1、刪除"不應收集法律法規(guī)明令禁止收集的個人信息"的要求

?

對于刪除"不應收集法律法規(guī)明令禁止收集的個人信息"的要求，如法律法規(guī)已經(jīng)明令禁止收集某類個人信息，個人信息控制者本就應該遵循相應法律法規(guī)的規(guī)定。以征信業(yè)務為例，《征信業(yè)管理條例》第十四條明確規(guī)定，禁止征信機構采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個人信息。也就是說，行政法規(guī)明確禁止征信機構在征信業(yè)務中收集前述個人信息。

?

2、刪除"不應大規(guī)模收集我國公民的種族、民族、政治觀點、宗教信仰等個人信息"的要求

?

對于刪除"不應大規(guī)模收集我國公民的種族、民族、政治觀點、宗教信仰等個人信息"的要求，意味著，從字面意思理解，個人信息控制者可以大規(guī)模收集我國公民的種族、民族、政治觀點、宗教信仰等個人信息。但需要指出的是，F(xiàn)acebook數(shù)據(jù)泄露事件為全世界敲響了警鐘，大規(guī)模收集我國公民的前述信息，一旦泄露或被不法分子加以非法利用，很容易給我國國家安全、社會穩(wěn)定和民族團結造成嚴重威脅。建議企業(yè)從實際業(yè)務需求出發(fā)，在確為業(yè)務開展所必需的情況下，方可大規(guī)模收集我國公民的種族、民族、政治觀點、宗教信仰等個人信息。如收集該等信息，應加強對該等個人信息的安全保護，盡可能防止其被竊取、泄露或其他個人信息安全事件的發(fā)生，以減少對我國國家安全、社會穩(wěn)定和民族團結的潛在威脅。

?

此外，需要指出的是，《規(guī)范》（2020正式稿）保留了不應公開披露前述信息分析結果的要求，即第9.4g)條要求"不應公開披露我國公民的種族、民族、政治觀點、宗教信仰等個人敏感數(shù)據(jù)的分析結果"。這就意味著，企業(yè)可以收集我國公民的種族、民族、政治觀點、宗教信仰等個人信息，但不應將該等信息的分析結果進行公開披露，其目的主要也是在于減少對我國國家安全、社會穩(wěn)定和民族團結的潛在威脅。

?

?

【條文對比一】

點擊圖片查看大圖

?

【解讀】

?

《規(guī)范》（2020正式稿）新增了對收集個人生物識別信息的要求。

?

在探討對收集個人生物識別信息的要求前，我們需要先來探討一個問題，為什么要新增對個人生物識別信息的強化保護？《信息技術 安全技術 生物特征識別信息的保護要求（征求意見稿）》在其引言部分指出了個人生物識別信息需要加以保護的原因。簡單來說，一方面，個人生物識別信息用于身份鑒別有其獨特優(yōu)勢，比如手機指紋解鎖、人臉解鎖、人臉支付、聲音鎖等。因為一般來說個人生物識別信息難以或不可能發(fā)生變化、與個人密切綁定且不同人的信息不一致；但另一方面，也正因為個人生物識別信息難以或不可能發(fā)生變化、與個人密切綁定，其一旦出現(xiàn)被泄漏、被竊取等安全事件，通常的更改密碼、發(fā)新令牌等身份鑒別更新措施都難以奏效，也很容易給個人信息主體造成財產損失、名譽損失等嚴重后果。之前出現(xiàn)的小學生用照片刷開了某智能快遞柜、換臉軟件"ZAO"引發(fā)的對刷臉支付安全性的擔憂，都與個人生物識別信息的應用直接相關?；诖?，需要對個人生物識別信息進行強化保護。

?

對于收集個人生物識別信息的要求看，包括告知方式、告知內容和同意方式三個要點：（1）告知方式，單獨告知；（2）告知內容，收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則；（3）同意方式，明示同意。

?

從理解適用角度，只將個人生物識別信息的相關規(guī)則放置在個人信息保護政策中，可能已經(jīng)無法滿足《規(guī)范》（2020正式稿）的要求。可供參考的模式為，企業(yè)對個人生物識別信息制定單獨的個人生物識別信息保護政策或個人生物識別信息保護說明，在實際開始采集個人生物信息前彈窗告知個人生物識別信息保護的簡要規(guī)則并放置完整版?zhèn)€人生物識別信息保護政策或個人生物識別信息保護說明的鏈接，通過用戶手動點擊確認彈窗內容來獲得用戶的明示同意。但是否確切能夠滿足《規(guī)范》（2020正式版）的要求，還有待實踐的進一步探索和監(jiān)管部門的進一步意見。

?

【條文對比二】

點擊圖片查看大圖

?

【解讀】

?

《規(guī)范》（2020正式稿）對存儲個人生物識別信息，提出了較《規(guī)范（征求意見稿）》（2019.10.22版）更為嚴格的要求。

?

《規(guī)范》（2020正式稿）明確了原則上不應存儲原始個人生物識別信息（如樣本、圖像等）的要求。這意味著，不存儲原始個人生物識別信息是原則要求，一般來說不得突破該要求。如果想要存儲原始個人生物識別信息，需要有特別充分的依據(jù)。什么能夠算是特別充分的依據(jù)？注3給出了一種依據(jù)，個人信息控制者履行法律法規(guī)規(guī)定的義務相關的情形除外，也就是說為了履行法律法規(guī)規(guī)定的義務可以存儲原始個人生物識別信息，這個適用條件可以說已經(jīng)很嚴苛了。

?

《規(guī)范》（2020正式稿）對存儲個人生物識別信息提供了更多的路徑參考。第一條可選路徑，在采集終端中直接使用個人生物識別信息實現(xiàn)身份識別、認證等功能，意味著個人生物識別信息存儲在用戶的手機等采集終端，身份識別、認證等動作在用戶的手機等終端上完成，而不需要將個人生物識別信息傳送至企業(yè)，企業(yè)接收的只是該等信息驗證的結果。比如，支付寶在其《隱私政策》（2019.12.11生效版本）中列明"您需在您的設備上錄入您的指紋信息或面容ID信息，在您進行指紋支付或面容ID支付時，您需在您的設備上完成信息驗證。我們僅接收驗證結果，并不收集您的指紋信息或面容ID信息。"第二條可選路徑，在使用面部識別特征、指紋、掌紋、虹膜等實現(xiàn)識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。意味著采集了個人生物識別信息的原始圖像用于識別身份、認證等，但用完就刪除原始圖像，簡單來說就是采集以后用了，用完就刪除了。從刪除時間來說，宜在用完個人信息后立即刪除。

?

《規(guī)范》（2020正式稿）強調了個人生物識別信息摘要信息的不可逆性，即要求無法自摘要信息回溯到原始信息。如果摘要信息能夠回溯到個人生物識別信息的原始信息，摘要的意義將不復存在，也是對不應存儲原始個人生物識別信息（如樣本、圖像等）的原則要求的規(guī)避。

?

【條文對比三】

點擊圖片查看大圖

?

【解讀】

?

《規(guī)范》（2020正式版）新增了對個人生物識別信息共享、轉讓的要求。

?

從要求看，不共享、轉讓個人生物識別信息為原則，確需共享、轉讓需符合以下四個條件要求：（1）必要性，確因業(yè)務需要。也就意味著，共享轉讓個人生物識別信息需要經(jīng)得起必要性的檢驗，在面臨監(jiān)管檢查和公眾質疑時需要有足夠的業(yè)務需要作為支撐；（2）告知方式，單獨告知；（3）告知內容，告知目的、涉及的個人生物識別信息類型、數(shù)據(jù)接收方的具體身份和數(shù)據(jù)安全能力等；（4）同意方式，明示同意。

?

從理解適用角度，可供參考的模式為，如確需對外共享、轉讓個人生物識別信息的，在個人生物識別信息保護規(guī)則或說明中告知用戶前述需要告知的內容，并通過征得用戶對個人生物識別信息規(guī)則的明示同意的方式，來滿足這里對于共享、轉讓個人生物識別信息的明示同意要求。但是否確切能夠滿足《規(guī)范》（2020正式版）的要求，還有待實踐的進一步探索和監(jiān)管部門的進一步意見。

?

?

【條文對比】

點擊圖片查看大圖

?

【解讀】

?

《規(guī)范》（2020正式版）新增采用密碼技術宜遵循密碼管理相關國家標準的要求，按照該等國家標準執(zhí)行有助于規(guī)范密碼技術的使用、提高密碼的防護能力，更好地保障個人敏感信息的安全。《密碼法》已于2020年1月1日生效，其第二十二條強調了建立和完善商用密碼標準體系的要求、第二十四條直接指出了"商用密碼從業(yè)單位開展商用密碼活動，應當符合有關法律、行政法規(guī)、商用密碼強制性國家標準以及該從業(yè)單位公開標準的技術要求。國家鼓勵商用密碼從業(yè)單位采用商用密碼推薦性國家標準、行業(yè)標準，提升商用密碼的防護能力，維護用戶的合法權益。"可以看出，密碼管理相關國家標準的重要性。企業(yè)應予以學習、研究和應用。

?

?

【條文對比】

點擊圖片查看大圖

?

【解讀】

?

《規(guī)范》（2020正式版）將過去版本使用的"隱私政策"和實踐中習慣使用的"隱私政策"調整為了"個人信息保護政策"。

?

從"隱私政策"調整為"個人信息保護政策"，原因有二：

?

一、個人信息與隱私的范圍不一致，對此基本達成了共識。《民法典》（草案）第四編人格權第六章的名稱為"隱私權和個人信息保護"，將隱私權和個人信息保護進行了明確區(qū)分，其中第一千零三十二條第二款規(guī)定"隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息"，第一千零三十四條第二款規(guī)定"個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱地址、行蹤信息等。"而對一千零三十四條第三款則更加直接地說明了隱私和個人信息的關系，"個人信息中的私密信息，同時適用隱私權保護的有關規(guī)定。"也就是說，個人信息中的私密信息屬于隱私信息，除私密信息外的個人信息不屬于隱私信息。

?

二、實踐中慣用的"隱私政策"，規(guī)定的內容實際是對個人信息的保護政策，而非專門針對隱私的保護政策。翻閱各個網(wǎng)站、App的隱私政策，其內容基本圍繞對全部個人信息的收集、使用、存儲、對外提供、個人信息主體權利保護等個人信息的相關保護內容，而對僅針對隱私信息。

?

因此，從"隱私政策"調整為"個人信息保護政策"，表面上是對政策文本名稱的簡單變化，但實際上確實將政策文本的適用范圍界定得更加嚴謹、準確。

?

?

【條文對比】

點擊圖片查看大圖

?

【解讀】

?

《規(guī)范》（2020正式稿）將個人信息主體的權利相關內容，從原來的放置在"個人信息的使用"版塊下調整為作為單獨條款，結構更加嚴謹、個人信息主體權利相關內容更加突出。這樣的行文安排，與《網(wǎng)絡安全法》分別將個人信息使用相關要求規(guī)定在第四十一條、將個人信息主體權利相關要求規(guī)定在第四十三條，《App違法違規(guī)收集使用個人信息行為認定方法》分別將個人信息使用相關要求規(guī)定在第三條、將個人信息主體權利相關要求規(guī)定在第六條的立法思路保持一致。

?

?

【條文對比】

點擊圖片查看大圖

?

【解讀】

?

《規(guī)范》（2020正式稿）放寬了人工處理注銷賬號的時間要求，提高了"不應注銷單個賬戶視同注銷多個產品或服務"的可執(zhí)行性。

?

從人工處理注銷賬號的時間要求看，《規(guī)范》（2020正式稿）將時限從十五天放寬至十五個工作日，與《App違法違規(guī)收集使用個人信息行為認定方法》第6.3條保持基本一致，有利于企業(yè)更好地處理用戶注銷過程中遇到的復雜問題。

?

對于提高"不應注銷單個賬戶視同注銷多個產品或服務"的可執(zhí)行性，有助于更好地緩解實踐中集團使用一個通用賬號下，在現(xiàn)有賬號體系下如果注銷一個賬號確實可能導致的注銷多個產品或服務的矛盾。實踐中，有部分企業(yè)，為了方便用戶登錄、提高用戶使用集團內部不同產品或服務的便利，費了周折后打通了賬號體系，使用通用賬號可以登錄集團內部所有的產品或服務。該等通用賬號其出發(fā)點是好的，但其確實與用戶注銷賬號時注銷一個通用賬號可能導致該集團所有產品或服務都無法使用產生了矛盾，而用戶注銷賬號的本意可能也只是不想使用某一個產品或服務。從用戶體驗角度，注銷一個賬號導致所有產品或服務都無法使用，用戶可能會產生"被逼迫"或者"店大欺客"的想法。對此，《規(guī)范》（2020正式稿）增加了兩個注的內容，提供了可行性的執(zhí)行建議。

?

?

【條文對比】

點擊圖片查看大圖

?

【解讀】

?

《規(guī)范》（2020正式稿）放寬了第三方接入管理中對于核驗第三方征得個人信息主體同意的方式的要求，刪去了"妥善留存、及時更新第三方產品或服務建立響應個人信息主體請求和投訴等的機制"的要求。

?

從放寬了第三方接入管理中對于核驗第三方征得個人信息主體同意的方式的要求看，只有在必要時企業(yè)才需要進行核驗，而不再要求必須核驗，一定程度上減輕了企業(yè)的負擔。對于"必要"的理解，宜理解為收到用戶對于第三方未經(jīng)同意收集使用個人信息的投訴、第三方被爆出違法違規(guī)收集使用的相關新聞或者監(jiān)管通報第三方存在違法違規(guī)收集使用個人信息等情形。

?

從刪去"妥善留存、及時更新第三方產品或服務建立響應個人信息主體請求和投訴等的機制"的要求看，減少了可能產生的歧義理解和操作中的困難，將確保個人信息主體能夠表達權利請求和投訴等的要求，強化在了第三方這一主體身上。

?

?

【條文對比】

點擊圖片查看大圖

?

【解讀】

?

《規(guī)范》（2020正式稿）將處理個人敏感信息即需要設立專職的個人信息保護負責人和個人信息保護工作機構，放寬至處理超過10萬人的個人敏感信息。實踐中，并非多數(shù)企業(yè)都能觸發(fā)列舉的前兩個從業(yè)人員規(guī)模、處理個人信息數(shù)量要求，但一般來說，涉及收集使用個人信息的企業(yè)，大多數(shù)都會涉及到處理個人敏感信息。如果按照處理個人敏感信息即需要設立專職的要求，可以說，多數(shù)企業(yè)均需要設置個人信息保護專職負責人和工作機構。而放寬至處理超過10萬人的個人敏感信息，能夠將一部分企業(yè)篩除在外，提高了該等要求的可執(zhí)行性和科學性。

?

?

【條文對比】

點擊圖片查看大圖

?

【解讀】

?

《規(guī)范》（2020正式稿）在第11.3條沿用了此前對于個人信息處理活動記錄的要求，在第11.7條新增建立自動化審計系統(tǒng)的要求，旨在為監(jiān)測記錄個人信息處理活動提供技術保障。對于自動化審計系統(tǒng)的理解，以個人信息存儲在云上為例，部分云服務商提供了數(shù)據(jù)庫審計的服務，可以考慮作為這里的自動化審計系統(tǒng)使用。但是否確切符合《規(guī)范》（2020正式稿）規(guī)定的自動化審計系統(tǒng)要求，有待監(jiān)管部門的進一步意見。

?

?

點擊圖片查看大圖

?

?

與《個人信息安全規(guī)范》GB/T 35273-2017一樣，《規(guī)范》（2020正式稿）仍然為推薦性國家標準，不具有強制執(zhí)行力。但相信隨著《個人信息安全規(guī)范》GB/T 35273-2017的發(fā)布和實施，大家已經(jīng)充分認識到《個人信息安全規(guī)范》的實際影響力。

?

正如《個人信息安全規(guī)范》第1條范圍中指出的"本標準適用于規(guī)范各類組織的個人信息處理活動，也適用于主管監(jiān)管部門、第三方評估機構等組織對個人信息處理活動進行監(jiān)督、管理和評估"，《個人信息安全規(guī)范》的作用和影響包括但不限于：

?

第一，《個人信息安全規(guī)范》是監(jiān)管部門開展App相關執(zhí)法工作的重要依據(jù)。2019年3月15日，市場監(jiān)管總局、中央網(wǎng)信辦公告決定開展App安全認證工作。在監(jiān)管部門公開的《移動互聯(lián)網(wǎng)應用程序（App）安全認證實施規(guī)則》中，《個人信息安全規(guī)范》及相關標準、規(guī)范被確定為App安全認證的認證依據(jù)，明確將被用于App安全認證工作之中，充分體現(xiàn)了監(jiān)管部門對《個人信息安全規(guī)范》等相關標準的認可態(tài)度。

?

第二，《個人信息安全規(guī)范》也是個人信息保護相關立法文件的重要參考。2019年出臺的《App違法違規(guī)收集使用個人信息自評估指南》、《兒童個人信息網(wǎng)絡保護規(guī)定》、《App違法違規(guī)收集使用個人信息行為認定方法》等正式文件和《數(shù)據(jù)安全管理辦法（征求意見稿）》等相關規(guī)定的征求意見稿，均在一定程度上沿用了《個人信息安全規(guī)范》對個人信息控制者的相關要求及背后的立法精神。

?

?