中国提高了个人信息保护的国家标准

自《网络安全法》和《个人信息安全规范》(以下简称“《规范》”)实施以来，中国的监管机构加大了对收集和使用个人信息方面不规范做法的打击力度。2018年11月，中国消费者协会发布了一份报告(以下简称“中国消费者协会报告”)，报告指出了中国各类手机应用程序中存在的一些常见的不当做法，包括通过笼统或捆绑式同意过度收集包括地理位置、移动电话号码和联系人列表等个人信息，以及隐私政策不合规等。

为打击此类不当做法，中国全国信息安全标准化技术委员会（以下简称“TC260”）于2019年2月发布了《规范》的修订草案征求意见稿（以下简称“《规范》修订草案”），赋予了个人信息控制者更严格的义务。 根据TC260在2019年4月22日的第一次工作会议上的讨论，《规范》修订草案已在公开征求意见后被修订，但最终版本尚未正式发布。 本文重点介绍了《规范》修订草案中一些可能对您在中国的业务产生影响的重要变更。 虽然采用《规范》/《规范》修订草案并非强制性要求，但我们强烈建议遵守相关规定，因为监管者在采取执法行动时会参考《规范》/《规范》修订草案，故应将其视为最佳实践。

以目的为导向的个人信息收集

为了解决“笼统同意或捆绑式同意”的问题，《规范》修订草案禁止个人信息控制者强迫个人信息主体同意捆绑式服务和功能。个人信息控制者需要清楚指明所提供的业务功能，并将其划分为“核心业务功能”或“扩展业务功能”，并告知个人信息主体为实现每个功能所收集的信息类型。

核心业务功能和扩展业务功能的概念并非首次出现。 根据《规范》的规定，在收集个人敏感信息时，个人信息控制者需要指出这些个人信息将被收集或用于执行核心业务功能还是扩展业务功能。其意义在于确保个人信息控制者收集的个人信息不超过必要范围。若某项敏感个人信息的收集仅为执行扩展业务功能而非核心业务功能，而个人信息主体实际上并不需要该扩展业务功能，则个人信息主体可以选择退出此类功能而不必提供相关的敏感个人信息。

《规范》修订草案旨在将区分核心业务功能和扩展业务功能的要求扩大到不仅包括个人敏感信息收集，而是所有类型的个人信息收集。对于与核心业务功能相关的个人信息处理，个人信息控制者可以获取一键式同意，但是，对于扩展业务功能，个人信息主体必须就每个扩展的功能分别给予同意。 如果个人信息主体拒绝就扩展功能给予同意，个人信息控制者不得向个人信息主体重复发送同意请求，并且不能拒绝提供核心业务功能，或者提供不合格的核心业务功能。

《规范》修订草案提出了一些有助于确定一项业务功能是核心业务功能还是扩展业务功能的考虑因素，如个人信息主体基于产品/服务的名称、描述和类别以及产品/服务的推广方式的合理期望等。核心业务功能是指个人信息控制者提供的主要功能或服务，而扩展业务功能通常被理解为核心业务功能以外的任何功能。例如，对于搜索引擎，搜索将被视为核心业务功能。如果企业还提供支付服务以支持其搜索功能，则该支付服务将被视为扩展业务功能。为了更清楚地说明，《规范》修订草案的最新修改中还列出了一系列非详尽的业务功能示例，如地图、导航、打车、即时通讯、社交媒体、新闻及资讯、在线购物、快递和交通票务等与移动应用程序更相关的功能和其他以电子方式进行的活动。

用户的同意应在初始配置或安装应用程序，或由个人信息主体设置用户帐户之前征得，并需要以填写表格、点击或勾选方框等主动行为来表明同意。个人信息主体控制者还必须提供用户友好的机制，以便个人信息主体主体部分或完全取消订阅。

需要注意的是，根据《规范》的规定，如果个人信息主体的处理是与个人信息主体主体签订或履行合同所必需的，则可免于征求同意。这与欧洲的相关法律规定是一致的。虽然《规范》修订草案增加了“遵守法律义务”作为征得同意的豁免情形，但《规范》修订草案最初曾删除了合同履行作为征得同意的豁免情形，突出了中国个人信息保护制度基于同意的性质。然而，修订版重新加上合同履行作为征得同意的豁免，但特别排除了隐私政策，因此个人信息控制者不得仅以其隐私政策作为合约协议从而在没有取得同意的情况下收集个人信息。

个性化展示和定向广告

即使不在《规范》的监管范围以内，提供个性化的内容展示，如新闻提要、搜索结果或定向广告，一直受到监管机构的严格审查。《规范》修订草案要求个人信息控制者将材料显著标记为“个性化展示”或“定向传送”，为个人信息主体提供一种简单的机制，以便其选择退出通过个性化推荐传送的新闻或其他信息。同时，《规范》修订草案建议个人信息控制者建立便于个人信息主体管理其接收定向广告偏好的机制。一旦个人信息主体选择退出，个人信息控制者应删除或隐去其个人信息。

隐私政策

根据中国消费者协会报告，近一半被审查的移动应用程序在其隐私政策方面存在问题，包括：

• 未能积极展示其隐私政策；
• 未能详细说明或清楚说明收集和使用个人信息的目的、方式和范围，以及个人信息存储的持续时间和位置；
• 纳入不合理的免责声明或其他限制个人信息控制者责任的标准条款。

为了解决这些常见问题，《规范》修订草案特别要求：

• 在首次使用产品/服务时，在帐户注册时，或在收集或使用个人信息主体的个人信息之前，通过弹出窗口或其他主动方式显示隐私政策的实质内容；
• 详细说明收集和使用个人信息的目的、方式和范围，以及个人信息存储的持续时间和位置，包括突出显示所收集的任何个人敏感信息，提供个人信息的风险以及不提供个人信息的后果；
• 必须披露个人信息的任何跨境传输；
• 将隐私政策解释为有利于个人信息主体，从个人信息控制者的角度来看，本质上使不合理的标准免责声明无效。

其他重大变化

• 第三方API（应用程序编程接口）访问的管理 – 个人信息控制者在监视和监督其服务提供者时需要更加谨慎。《规范》修订草案规定个人信息控制者有义务管理和监督可能通过API（应用程序编程接口）而不是作为第三方个人信息处理器或共同个人信息控制者访问个人信息的第三方。个人信息控制者应签订合同，以规范第三方的职责和义务，包括建立获得同意的程序、处理个人信息主体的投诉和请求，并应确保保存所有访问和管理记录，并对API进行持续监测和定期审计和检查。应告知个人信息主体某些服务由第三方提供。
• 合并个人信息时的安全评估和保护措施 – 如果合并了从不同来源收集的个人信息，则《规范》修订草案要求个人信息控制者确保合并个人信息的使用与个人信息主体同意的原始用途相兼容，并应进行安全评估，并采取适当措施防止个人信息泄露。
• 要求有经验的个人信息保护负责人 – 当前的《规范》要求个人信息控制者任命个人信息保护负责人或单位，却未指定担任该职位所需的资格。《规范》修订草案现特别要求负责人员具备相关的个人信息保护工作经验和专业知识。
• 内部个人信息处理记录 – 《规范》修订草案要求个人信息控制者详细记录所收集的个人信息的类型、数量和来源、收集和使用这些个人信息的相应业务职能、这些个人信息是否会被共享、传输、公开披露和传输到海外，以及参与处理这些个人信息的负责人员。因此，个人信息控制者将承担维护更新数据库存的繁重义务。在实践中，个人信息控制者无论如何都应保存此类记录，以便进行内部调查，并遵守当局的要求，以防发生个人信息泄露。
• 个人信息泄露通知 – 根据当前的《规范》，向当局报告个人信息泄露事件的必要门槛尚不明确。《规范》修订草案规定，如果个人信息泄露涉及超过100万个人的个人信息泄露、破坏或丢失，或涉及影响公共利益、人民生活或国民经济的敏感个人信息，则个人信息控制者必须向当局报告。但是，报告的时间和应通知的有关当局仍不清楚。
• 隐私设计 – 《规范》修订草案的修订版建议个人信息控制者在设计涉及处理个人信息的产品和服务时，考虑设计的隐私性。

结论

对《规范》的拟修订显然符合中国持续不断地加强其个人信息保护制度的趋势，特别针对近期执法行动中发现的不规范行为。在缺乏全面的个人信息保护法的情况下，最新版本的《规范》修订草案将成为中国监管机构的要求的重要指南，并可能成为自2018年以来便在立法议程的个人信息保护法的蓝图。