2020年3月6日,全国信息安全标准化技术委员会发布了最新修订的推荐性国家标准GB/T 35273-2020《个人信息安全规范》(下称“新标准”)。该标准将于2020年10月1日施行,以代替现行的推荐性国家标准GB/T 35273-2017《个人信息安全规范》(下称“现行标准”)。相较于现行标准,新标准在授权同意、多项业务功能的选择、用户画像、个性化展示、个人生物识别信息的收集处理、账户注销、第三方接入管理等方面填补了现行标准空白或发生重要变动。新标准在总结参考近几年国内外执法监管实践经验的基础上,回应了公众对互联网新技术与商业创新模式场景下信息安全和个人信息保护的高度关切,对个人信息主体的权利保障与企业个人信息保护的合规实践具有重要的指导意义。本文管中窥豹,尝试对其中的五大亮点进行评析。
一、新增用户画像的限制规范
根据新标准的定义,用户画像是指通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。用户画像分为直接用户画像和间接用户画像。前者指直接使用特定自然人的个人信息,形成该自然人的特征模型。后者指使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型。
新标准规定用户画像中对个人信息主体的特征描述不应包含淫秽、色情、赌博、迷信、恐怖、暴力的内容或表达对民族、种族、宗教、残疾、疾病歧视的内容。在业务经营或对外业务合作中使用用户画像的,个人信息控制者不应侵害公民、法人和其他组织的合法权益或从事违法行为。此外除为实现个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。
通过个人信息的加工处理所作出的用户画像可以应用于大数据分析、广告准确投放等许多场景,具有显著的商业价值,同时对于个人信息相关权益的保护也至关重要。新标准更倾向于保护个人信息主体权益,从而对运营企业提出了较高的合规要求。
但鉴于用户画像具有不同于一般个人信息的特性,其通过运营者的进一步加工与处理,形成的分析结果或预测往往与运营者的技术投入存在密切关联,且这种分析结果或预测往往具有较大商业价值。因而在相关类型案件的法院判决中,体现出了维护运营者商业利益及保障其正当产品权益的趋势。在淘宝诉美景案中,法院就认为网络大数据产品不同于原始网络数据,其提供的数据内容虽然同样源于网络用户信息,但经过网络运营者大量的智力劳动成果投入,经过深度开发与系统整合,最终呈现给消费者的数据内容,已独立于网络用户信息、原始网络数据之外,是与网络用户信息、原始网络数据无直接对应关系的衍生数据。网络运营者对于其开发的大数据产品,应当享有自己独立的财产性权益。
二、加入个性化展示的使用要求
个性化展示与用户画像关系密切。根据新标准的定义,个性化展示是指基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品服务的搜索结果等活动。通过个人信息收集、汇聚和分析而形成的用户画像在信用评估、商品推荐和程序化广告等领域有着广泛的应用,其结果便是使个性化展示的准确性大幅度提升,并显著提高了产品和服务提供者与用户之间的交互性。但与此同时,个性化展示也带来了诸多问题,例如电商领域的个性化展示曾催生出“大数据杀熟”这种乱象,严重损害了消费者的利益。互联网新闻资讯的定向推送也引发对侵犯用户选择权,歧视信息数据主体的担忧。
鉴于此,新标准着眼于保障个人信息主体的知情权和选择权,特别作出了如下要求:
1、知情:在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容。其中,区分方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。
2、平等:在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。这一点继受了《电子商务法》第18条的规定。
3、自由退出:在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项。当个人信息主体选择退出或关闭个性化展示模式时,还应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
4、自主控制:在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。
三、提升个人信息主体的自主选择权
首先,新标准在完善现行标准“最少够用”原则的基础上,提出了“最小必要”原则,要求个人信息控制者只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量,目的达成后,应及时删除个人信息。同时删除了现行标准中“另有约定”的但书,杜绝了个人信息控制者利用个人信息主体在不经意间点击同意从而背离“最小必要”原则的现象。
其次,当产品或服务提供多项需收集个人信息的业务功能时,新标准要求个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。具体体现为如下:
1、不得一揽子捆绑:个人信息控制者不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。
2、明示同意:个人信息控制者应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息。
3、进退自如:关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后,个人信息控制者应停止该业务功能的个人信息收集活动。
4、不打扰:个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意。
5、不歧视:个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量。
6、理由清晰充分:不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息。
四、优化个人生物识别信息的保护规则
近年来,对人脸、基因等个人生物识别信息的收集、泄露和滥用引发了诸多伦理、隐私和安全问题,在国内外引起了广泛关注和讨论。现行标准已将个人生物识别信息纳入个人敏感信息的范畴。在此基础上,新标准对个人生物识别信息(包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等)的收集、传输、存储、共享、转让等环节均提出了更为严格的要求。
在收集环节,新标准要求应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。
在传输环节,新标准要求应采用加密等安全措施,遵循密码管理相关国家标准。
在存储环节,新标准要求应当采用加密等安全措施,将个人生物识别信息与个人身份信息分开存储,原则上不应存储原始个人生物识别信息(如样本、图样等)。为实现身份识别、认证等功能,运营者可采取如下三种方式:一是仅存储具有不可逆特点的摘要信息。二是在采集终端直接使用个人生物识别信息实现身份识别、认证等功能。在此种情况下,身份识别、认证等操作在用户手机等终端进行,并由终端将识别和认证结果回传,并不需要将个人生物识别信息回传至运营者的企业服务器。三是在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。此时,网络运营者虽可接触个人生物识别信息,但一旦完成收集目的必须立即删除相关信息。
在共享和转让环节,新标准明确个人生物识别信息以不共享、不转让为原则,确需共享、转让的,首先需要符合“业务需要”的必要性要求,同时应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
五、简化用户注销的机制
2019年12月30日,国家网信办、工信部、公安部、市场监管总局联合印发《App违法违规收集使用个人信息行为认定方法》,其中特别要求,为注销用户账号设置不必要或不合理条件、未在15个工作日内响应用户权利的行为属于违法违规收集使用个人信息的行为。工信部所开展的App侵害用户权益专项整治行动,也将“为用户账号注销设置障碍”列为一项重要的检查要点。
在此背景下,新标准在现行标准的基础上,特别简化明细了个人信息主体注销账户的机制:
1、提供简便方法:通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且方法简便易操作。
2、15工作日内完成销户:受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过 15个工作日 )完成核查和处理。
3、不得额外要求提供信息:注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型。
4、不得增加负担:注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等。如多个产品或服务之间存在必要业务关联关系,而注销某个产品或服务的账户,会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,应向个人信息主体进行详细说明。对于产品或服务没有独立的账户体系的情况(如多个产品或服务共用同一账号),可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现注销。
5、删除个人信息:注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理。个人信息主体注销账户后,也应及时删除其个人信息或匿名化处理。其个人信息或匿名化处理。确因法律规规定需要留存个人信息的,不能再次将其用于日常业务活动中 。
六、小结
在《网络安全法》的概括规定下,《个人信息安全规范》作为我国保护个人信息体系的重要配套指引,自施行以来就以其全面的内容和详细的操作指引受到实务界的广泛关注。不仅向企业建设完善个人信息保护体系提出了具体的实践要求与合规建议,也为监管机构提供了执法管理的重要参考。小荷已露尖尖角,目前我国个人信息保护制度已逐步开始建立,欧美对个人信息安全的监管方兴未艾,未来企业必将以更加审慎的态度对待个人信息安全问题。对于新标准在实践中的具体呈现效果,我们将继续保持观察。
