資訊洞見
中国的推荐性国家标准《信息安全技术 个人信息安全规范》(简称“《规范》”)于2018年5月1日生效实施。该标准虽然不具有法律约束力,但其对于个人信息控制者可以落实哪些最佳实践,以符合《网络安全法》等对于个人信息保护的规定,给出了指引。《规范》因此成为了个人信息保护领域重要的合规文件。
2019年2月1日,中国政府发布了旨在优化、更新《规范》的修订稿 。在吸取公众意见的基础上,2019年6月25日,相关部门发布了第二版修订稿;2019年10月24日,发布第三版修订稿(简称“《修订稿III》”)。通过比对,我们特此就《修订稿III》与现行《规范》的一些主要不同之处,特此概述如下:
一、 | 区分了“授权同意”与“明示同意”
《规范》多次提及了对于个人信息处理,在一些情形下需要首先取得个人信息主体的“明示同意”,在其他一些情形下则需要取得该主体的“授权同意”。但是,《规范》并没有阐述两种“同意”的区别。《修订稿III》则明确了“授权同意”泛指同意,而“明示同意”则指符合特定要求的同意,亦即,“明示同意”乃是个人信息主体对于在面对个人信息控制者提出的处理其特定个人信息处理的请求时,通过积极的行为而作出授权(例如,通过书面声明);而“授权同意”则被定义为不仅包括了前述积极行为作出的授权,而且还包括了通过消极不作为作出的授权(例如,信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)。 根据《修订稿III》,我们理解除了规定的例外情形外,个人信息控制者开展个人信息处理(包括但不限于收集、委托处理(即由第三方处理)、共享、转让个人信息)活动,均需要征得个人信息主体的授权同意;当相关处理可能会对个人信息主体产生较大影响时(例如,当收集、共享、转让个人敏感信息,或当超出原收集个人信息目的范围使用个人信息等),则需要取得该主体的“明示同意”。 |
二、 | 增加了“不强迫接受多项业务功能”的要求
一件产品或服务可能会拥有多项业务功能(例如,支付应用程序可能会具备支付、生活服务、社交等若干功能),从技术角度,每项业务功能所需收集的个人信息往往是不同的。但是,一些个人信息控制者为了更多的收集信息,有时会通过不合理的授权交互界面设计等,强迫信息主体接受若干业务功能并相应提供更多信息。为了制止这种强迫行为,《修订稿III》提出了一些特别要求,例如,要求个人信息控制者不得通过捆绑产品、服务业务功能等方式,强迫个人信息主体提供其本不会申请的业务功能(但因捆绑等而不得不提供)所对应之个人信息。 |
三、 | 增加了“个性化展示的使用”之相关要求
个人信息控制者在提供业务功能、电子商务服务、新闻信息服务等的过程中,有可能会根据个人信息主体的兴趣、习惯等特征提供个性化的展示结果(例如,一些购物APP会根据用户的浏览历史,推荐或推送特定商品)。在现阶段,相关的展示往往不会通知个人信息主体哪些信息是个性化推送,哪些不是;同时,个人信息控制者较少会主动地向用户提供退出展示或控制展示程度的途径。从用户的角度看,个性化展示的确可以帮助许多人无须费力即可取得其感兴趣的内容,但是,过度的展示也可能会限制用户便利地接触其他类型信息。并且,由于所推送的信息常常会体现用户曾经的网络使用行为(例如,搜索过的内容),以至可能会泄露隐私。针对这些问题,《修订稿III》增加了相关要求,例如,针对电子商务服务,要求个人信息控制者应向个人信息主体提供选项,以使其能够选择不再针对其个人特征而展示商品或服务搜索结果。 |
四、 | 补充了“个人信息主体注销账户”项下之操作要求
用户数量是评价网络平台运营状态的一项重要指标。除了直接运营收益外,庞大的注册用户数量与注册信息还可以为平台在数据深入开发等方面带来利益。也正是因此,一些平台对于个人信息主体的账户注销故意设置了障碍,或者根本不予提供注销路径。为了指导对账户注销权利的保障,《修订稿III》在《规范》原“个人信息主体注销账户”项下补充了若干操作规范,例如,对于需要人工处理的注销请求,要求信息控制者应在承诺时限内(原则上不超过15天)完成核查与处理。 |
五、 | 补充了“个人信息的委托处理、共享、转让、公开披露”项下若干要求
现行《规范》对于个人信息的委托处理、共享、转让、公开披露等已经列举了较为详细的要求,《修订稿III》在此基础上,作了进一步补充。例如,针对个人信息的“委托处理”,补充了个人信息控制者在发现受托处理信息者不当处理个人信息时,应采取补救措施。针对“个人信息共享、转让”,补充了个人信息控制者应通过合同等方式规定数据接收方的责任与义务。针对“个人信息公开披露”,补充了不得公开披露中国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果之要求;等等。 |
除了上述内容外,《修订稿III》另在用户画像的使用限制、隐私政策模板、第三方接入管理等若干方面,对现行《规范》提出了修订。与前两轮修订稿相比,《修订稿III》延续了原有修订框架,并做出了进一步优化。
由于正处在修订阶段,从事个人信息处理活动的各类组织不一定需要根据《规范》修订稿,对内部管理制度、隐私政策等进行任何调整。但不妨考虑的是,在设计与商业合作伙伴之间的新的个人信息条款时(例如,个人信息共享条款),可以借鉴征求意见稿,从而顺应修订框架,以此在新的《规范》实施后,减少因难以取得合作伙伴配合而无法满足新合规指引的可能性。