?

就2018年5月生效的《個(gè)人信息安全規(guī)范》（GB/T 35273-2017， 下稱"2017版規(guī)范"），信安標(biāo)委分別在2019年2月、6月和10月先后多次發(fā)布了征求意見稿，對(duì)這項(xiàng)剛開始實(shí)施不久的國家標(biāo)準(zhǔn)進(jìn)行修訂。歷經(jīng)多次征求意見，2020版（GB/T 35273-2020）于2020年3月6日正式發(fā)布，并將于2020年10月1日正式實(shí)施。

?

與2017版相比，2020版規(guī)范從整體結(jié)構(gòu)到具體要求均進(jìn)行了調(diào)整，更加貼近行業(yè)實(shí)踐，增強(qiáng)了企業(yè)合規(guī)工作的可操作性。修訂內(nèi)容結(jié)合了APP治理工作組的動(dòng)向，對(duì)于個(gè)人信息保護(hù)的熱點(diǎn)問題，例如人臉識(shí)別信息的收集處理等，進(jìn)行了回應(yīng)；在業(yè)務(wù)功能的自主選擇、授權(quán)同意的例外、用戶畫像使用和定向推送等方面力圖實(shí)現(xiàn)保護(hù)個(gè)人信息主體權(quán)益與數(shù)據(jù)合理商業(yè)利用的平衡；同時(shí)，也就信息委托處理、轉(zhuǎn)讓、共享與平臺(tái)接入第三方等方面提出了更高的合規(guī)要求，新增了個(gè)人信息安全工程以及處理活動(dòng)記錄等良好實(shí)踐要求。我們將會(huì)在下文對(duì)2017年版與2020年版規(guī)范正文進(jìn)行對(duì)比分析，以幫助企業(yè)更好地了解制度沿革和未來的立法、執(zhí)法趨勢(shì)。

?

?

?

從目錄和結(jié)構(gòu)來看，2020版標(biāo)準(zhǔn)與2017版有以下重大區(qū)別：

?

點(diǎn)擊圖片可查看大圖

?

除上述主要標(biāo)題和結(jié)構(gòu)調(diào)整之外，具體要求的調(diào)整詳見下節(jié)分析（其中藍(lán)色字體表示在原基礎(chǔ)上擴(kuò)展增加的內(nèi)容，綠色字體表示在原基礎(chǔ)上有變化調(diào)整的內(nèi)容，紅色字體表示新增內(nèi)容）。

?

?

?

主要修訂說明：將用戶畫像等加工后信息納入個(gè)人信息和個(gè)人敏感信息的定義中，新增個(gè)性化展示和業(yè)務(wù)功能；微調(diào)原則的表述與網(wǎng)絡(luò)安全法實(shí)現(xiàn)更優(yōu)銜接。

?

1.1??? 定義

?

點(diǎn)擊圖片可查看大圖

?

1.2??? 原則

?

點(diǎn)擊圖片可查看大圖

?

?

主要修訂說明：增加自主選擇業(yè)務(wù)功能以及配套實(shí)現(xiàn)方法（附錄C以及最小必要、告知同意標(biāo)準(zhǔn)），整合個(gè)人信息授權(quán)同意要求，新增個(gè)人生物識(shí)別信息的單獨(dú)同意要求，調(diào)整隱私政策類文件的名稱和定位，明晰征得授權(quán)同意例外。

?

點(diǎn)擊圖片可查看大圖

?

?

主要修訂說明：新增存儲(chǔ)時(shí)間最小化例外，加強(qiáng)與密碼管理標(biāo)準(zhǔn)銜接，新增個(gè)人生物識(shí)別信息的具體存儲(chǔ)要求。

?

點(diǎn)擊圖片可查看大圖

?

?

主要修訂說明：使用中新增用戶畫像、個(gè)性化展示以及匯聚融合的要求，加強(qiáng)了對(duì)于自動(dòng)決策機(jī)制的約束，對(duì)實(shí)務(wù)熱點(diǎn)進(jìn)行回應(yīng)。

?

點(diǎn)擊圖片可查看大圖

?

?

主要修訂說明：新版獨(dú)立成節(jié)，細(xì)化注銷賬戶的具體要求，修訂響應(yīng)主體行權(quán)請(qǐng)求的規(guī)定。

?

點(diǎn)擊圖片可查看大圖

?

?

主要修訂說明：強(qiáng)化對(duì)于控制者對(duì)于處理者的監(jiān)督與約束；刪除不能共享轉(zhuǎn)讓的原則并細(xì)化共享轉(zhuǎn)讓的具體要求；新增個(gè)人生物識(shí)別信息共享轉(zhuǎn)讓的具體要求；新增不應(yīng)公開披露我國公民個(gè)人敏感信息的分析結(jié)果；增加對(duì)于共享、轉(zhuǎn)讓的例外規(guī)定；強(qiáng)調(diào)共同控制者的責(zé)任承擔(dān)；新增平臺(tái)接入的第三方管理。

?

點(diǎn)擊圖片可查看大圖

?

?

主要修訂說明：新增損害合法權(quán)益作為告知個(gè)人信息主體的前置條件。

?

點(diǎn)擊圖片可查看大圖

?

?

主要修訂說明：管理方面新增個(gè)人信息保護(hù)負(fù)責(zé)人的資質(zhì)要求；調(diào)整需要設(shè)立負(fù)責(zé)人/機(jī)構(gòu)的規(guī)模標(biāo)準(zhǔn)；新增各項(xiàng)管理措施從制定管理計(jì)劃、督促問題整改、設(shè)置舉報(bào)途徑、配置充分資源、加強(qiáng)與監(jiān)管溝通等方面的具體要求，切實(shí)實(shí)現(xiàn)合規(guī)管理。具體制度方面結(jié)合良好實(shí)踐新增個(gè)人信息安全工程和個(gè)人信息處理活動(dòng)記錄的要求，調(diào)整和細(xì)化個(gè)人信息安全影響評(píng)估、人員管理和培訓(xùn)以及審計(jì)的要求。

?

點(diǎn)擊圖片可查看大圖

?

?

以上小節(jié)均為按照個(gè)人生命周期為邏輯進(jìn)行比較，分析過程中我們注意到某些事項(xiàng)的要求縱貫多個(gè)章節(jié)，例如個(gè)人生物識(shí)別信息，我們特此進(jìn)行分析，以更好的理解新版標(biāo)準(zhǔn)的修訂邏輯。

9.1 個(gè)人生物識(shí)別信息

?

點(diǎn)擊圖片可查看大圖

?

關(guān)于個(gè)人生物識(shí)別信息的規(guī)定是2020版本最新加入的內(nèi)容，個(gè)人生物識(shí)別信息屬于個(gè)人敏感信息，該等信息的應(yīng)用場(chǎng)景往往對(duì)于個(gè)人信息主體有重大影響，所以從收集、存儲(chǔ)、共享轉(zhuǎn)讓等多個(gè)環(huán)節(jié)企業(yè)均需謹(jǐn)慎對(duì)待。

?

9.2 例外情形

?

?

點(diǎn)擊圖片可查看大圖

?

2020年新版對(duì)于征得授權(quán)同意、權(quán)利響應(yīng)、共享轉(zhuǎn)讓等環(huán)節(jié)的例外情形均進(jìn)行調(diào)整，最明顯的調(diào)整在于貫穿始終的"與個(gè)人信息控制者履行法定義務(wù)相關(guān)的情形"，對(duì)于原來"法律法規(guī)另有規(guī)定除外"的概括描述進(jìn)行了更為準(zhǔn)確的限縮。此外，為了避免個(gè)人信息控制者在實(shí)務(wù)中將包括隱私政策在內(nèi)的個(gè)人信息保護(hù)政策當(dāng)做合同以適用履行合同必要的例外，2020版規(guī)范亦通過注釋對(duì)于該等情形進(jìn)行排除。

?

2020版規(guī)范對(duì)于2017版標(biāo)準(zhǔn)頒布以來個(gè)人信息保護(hù)合規(guī)實(shí)踐中的熱點(diǎn)問題以及相關(guān)立法與執(zhí)法的趨勢(shì)進(jìn)行了明確響應(yīng)，更加注重保障個(gè)人信息主體的權(quán)益，結(jié)合企業(yè)實(shí)踐調(diào)整了授權(quán)同意及其例外、第三方管理中的責(zé)任承擔(dān)以及組織管理的數(shù)據(jù)合規(guī)具體要求的規(guī)定，針對(duì)用戶畫像、個(gè)性化展示、自動(dòng)化決策、個(gè)人生物識(shí)別信息等事項(xiàng)進(jìn)行了新增設(shè)計(jì)，提高了實(shí)操性和可行性，力求在促成企業(yè)對(duì)于數(shù)據(jù)的合理利用的同時(shí)保障個(gè)人信息主體的權(quán)利。

?

規(guī)范作為推薦性國家標(biāo)準(zhǔn)，并沒有法律上的強(qiáng)制執(zhí)行力。盡管如此，我們?nèi)哉J(rèn)為規(guī)范在企業(yè)的網(wǎng)絡(luò)安全合規(guī)中具有很高的參考意義。近兩年來，自規(guī)范發(fā)布以來，其多項(xiàng)要求和設(shè)計(jì)已體現(xiàn)在包括《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》、《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》、《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》、《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》、《數(shù)據(jù)安全管理辦法（征求意見稿）》等在內(nèi)的多項(xiàng)部門規(guī)章、規(guī)范性文件、國家推薦標(biāo)準(zhǔn)以及執(zhí)法指南中。2020版規(guī)范反映了最新的監(jiān)管趨勢(shì)，建議相關(guān)企業(yè)可以根據(jù)新版規(guī)范，對(duì)于自身的個(gè)人信息保護(hù)實(shí)踐進(jìn)行審視，不斷優(yōu)化和提升數(shù)據(jù)合規(guī)能力。

?