个人信息安全规范 (草案)2022版解读.docx

《个人信息安全规范 (草案)2022版解读.docx》由会员分享，可在线阅读，更多相关《个人信息安全规范 (草案)2022版解读.docx（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、个人信息安全规范(草案)2022版解读施行不满一年，（个人信息安全规范）要改了！2022版（个人信息安全规范草案）解读安杰律师事务所杨洪泉2022年5月1日生效的（信息安全技术个人信息安全规范）GB/T352732021下称“（标准）无疑是我国个人信息保护领域最重要的国家标准。尽管（标准）仅是国家推荐标准，但在我国尚未出台（个人信息保护法）、且其他法律包括（网络安全法）缺乏详细可操作的个人信息保护规则的情况下，（标准）自其公布之日，已成为企业个人信息保护合规工作可实际依靠的唯一标准。由于相关监管部门似乎也将（标准）作为衡量企业个人信息保护水平的重要标尺，（标准）已隐隐成为具有一定权威性和约束力

2、的“准法律。2022年2月1日，全国信息安全标准化技术委员会公布了（信息安全技术个人信息安全规范草案）下称“（草案）全文，面向社会公开征求意见意见反应截止日期为2022年3月3日。如此重要的文件在施行尚缺乏一年的情况下即迎来初次修订，实属罕见也颇有深意。本文就（草案）中的九大重要修改具体解读如下：一、增加“不得强迫采集个人信息的要求在实践中，个人信息控制者将“用户同意隐私政策与“用户使用其产品或服务强迫绑定的情况较为常见。用户即使不同意提供某些个人信息、或不同意隐私政策中的某些条款，但为使用产品或服务也只能无奈勾选同意。针对此类情况，（草案）规定了个人信息控制者不得强迫采集个人信息的详细要求：

3、当产品或服务提供多项需采集个人信息的业务功能时，个人信息控制者不得违犯个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息采集请求。对个人信息控制者的要求包括：a)不得通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并受权同意各项业务功能采集个人信息的请求；b)应根据个人信息主体主动填写、点击、勾选等自主行为，作为产品或服务的业务功能开启或开场采集个人信息的条件，并提供关闭或退出业务功能的途径或方式。关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样简便；c)如个人信息主体不同意使用、关闭或退出特定业务功能，个人信息

4、控制者不得频繁征求个人信息主体的同意；d)如个人信息主体不同意使用、关闭或退出特定业务功能，个人信息控制者不得暂停个人信息主体自主选择使用的其他业务功能，或降低业务功能的服务质量。二、修改“征得个人受权同意的例外根据（标准），在某些例外情况下，个人信息控制者即使未征得个人信息主体的受权同意，可以以采集和使用个人信息。对于此类例外情况，（草案）予以修改：?删除“法律法规规定的其他情形，增加“与个人信息控制者履行法律法规规定的义务相关的情形；?删除“根据个人信息主体要求签订和履行合同所必需的情形。上述修改能否合理有待商榷。“与个人信息控制者履行法律法规规定的义务相关的情形明显比“法律法规规定的其他

5、情形范围更窄。获取个人信息主体同意的例外情形范围缩窄，应更有利于保护个人信息主体的选择同意权，但“与个人信息控制者履行法律法规规定的义务相关的情形能否能穷尽我国法律法规包括将来的法律法规对于强迫获取个人信息的全部情形？换言之，“法律法规规定的其他情形能否表明这些情形都是“与个人信息控制者履行法律法规规定的义务相关的情形？能否可能存在“个人并无法律或法规下的义务提供个人信息、但“法律法规规定政府部门、任何机构或个人可获取个人信息而无需个人信息主体同意的情况？“根据个人信息主体要求签订和履行合同所必需的情形被删除，似乎与实践中互联网服务商滥用隐私政策等行为有关。如个人信息控制者以双方之间存在隐私政

6、策或合同为借口来大肆采集和使用个人信息，当然有必要予以约束。但这一删除可能会导致某些正常业务场景的复杂化并进而加重企业合规负担。例如，在劳动关系中，根据（标准）的现行版本，用人单位可根据“个人信息主体要求签订和履行合同所必需的情形这一豁免情形采集和使用员工方的个人信息，而无需特意考虑员工方的同意例如要求员工在入职时填写“入职登记表即可，而无需签署确认同意。但如根据（草案）将此例外情形删除，则用人单位为慎重合规，不得不专门设计包含一系列复杂条款的个人信息采集/使用知情同意书，并要求员工确认签字。对于大型企业而言，这一程序将尤为繁琐复杂、不易实现。用人单位可以通过制定企业规章制度的形式来对员工的知

7、情同意进行固化，但用人单位的规章制度本身能否可替代员工的同意十分是涉及个人敏感信息时的明示同意，仍有待研究。三、增加“个性化展示及退出机制针对大数据杀熟、滥用定向广告等行为，2022年1月1日正式施行的（电子商务法）第十八条规定：“电子商务经营者根据消费者的兴趣喜好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。与此照应，（草案）对个人信息控制者的“个性化展示行为提出更高的要求和更为细化的操作规则：?“个性化展示是指基于特定个人信息主体的网络阅读历史、兴趣喜好、消费记录和习惯等个人信息，向该个人信息主体展示信息内容、

8、提供商品或服务的搜索结果等活动。?在向个人信息主体推送新闻或信息服务的经过中使用个性化展示的，应：a)以显著方式标明“个性化展示或“定推等字样；b)为个人信息主体提供简单直观的退出个性化展示形式的选项。?电子商务经营者根据消费者的兴趣喜好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的，应当同时向该消费者提供不针对其个人特征的选项；?在向个人信息主体提供业务功能的经过中使用个性化展示的，宜：a)建立个人信息主体对个性化展示所依靠的个人信息如标签、画像维度等的自主控制机制，保障个人信息主体调控个性化展示相关程度的能力；b)当个人信息主体选择退出个性化展示形式时，向个人信息主体提供删除或

9、匿名化定向推送活动所基于的个人信息的选项。四、增加对“基于不同业务目的所采集的个人信息的会聚融合的要求：在实践中，个人信息控制者十分是大型互联网平台可基于不同产品和服务获得多种多样的个人信息，并在此基础上进行会聚、融合构成新的个人信息包。此类会聚融合行为虽有助于数据应用创新，但一旦滥用将直接威胁个人信息安全。对此，（草案）提出如下要求：?对于会聚融合所构成的新的个人信息包也应遵守个人信息的使用限制，即：a)除为到达个人信息主体受权同意的使用目的所必需外，使用个人信息时应消除明确身份指向性，避免准确定位到特定个人；b)对于能够单独或与其他信息结合识别自然人个人身份，或者反映自然人个人活动情况的，

10、应将其认定为个人信息。对其处理应遵循收集个人信息时获得的受权同意范围；c)使用此类个人信息时，不得超出与采集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用的，应再次征得个人信息主体明示同意。?应根据会聚融合后个人信息所用于的目的，开展个人信息安全影响评估，采取适当的个人信息保护措施。五、新增“第三方接入管理要求在实践中，个人信息控制者在其产品或服务中集成第三方产品或服务的情况较为常见。对于该第三方产品或服务采集个人信息的行为例如，移动App中内置可采集用户个人信息的第三方SDK，用户往往不易发觉，且通常未获得充分告知。此类第三方产品和服务“默默采集和使用用户个

11、人信息的行为给个人信息安全带来极大隐患。对此，（草案）规定，当个人信息控制者在其产品或服务中接入具备采集个人信息功能的第三方产品或服务且不适用该标准所规定的“委托处理、“共同个人信息控制的情形时，对个人信息控制者的要求包括:?应建立第三方产品或服务接入管理机制和工作流程，必要时应建立安全评估等机制设置接入条件；?应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应施行的个人信息安全措施；?应向个人信息主体明确标识产品或服务由第三方提供；?应妥善留存平台第三方接入有关合同和管理记录，确保可供相关方查阅；?应要求第三方根据本标准相关规定要求向个人信息主体征得采集个人信息的受权同意，核验其

12、实现本项要求的方式；?应要求第三方产品或服务建立响应个人信息主体请求、申述等的机制，并妥善留存、及时更新，确保个人信息主体查询、使用；?应催促和监督第三方产品或服务提供者加强个人信息安全管理，发现第三方产品或服务没有落实安全管理要求和责任的，应及时催促整改，必要时停止接入；?涉及第三方嵌入或接入的自动化工具如代码、脚本、接口、算法模型、软件开发工具包、小程序等的，宜：a)开展技术检测确保其个人信息采集、使用行为符合约定要求；b)宜对第三方嵌入或接入的自动化工具采集个人信息的行为进行审计，发现超出约定行为的及时切断接入。六、提升个人数据保护官(DPO)和个人信息保护部门的地位（标准）规定个人信息

13、控制者应建立个人信息保护的工作机构、任命个人信息保护负责人，并对其职责予以规定。对于（标准）规定的“个人信息负责人，（草案）增加了如下资历要求和汇报线：?个人信息控制者的个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任，介入有关个人信息处理活动的重要决策直接向组织主要负责人报告工作。对于个人信息保护负责人和个人信息保护工作机构的职责，（草案）增加了如下内容：?组织制定个人信息保护工作计划并催促落实；?提出个人信息保护的对策建议?公布投诉、举报方式等信息并及时受理投诉举报；?与监督、管理部门保持沟通，通报或报告个人信息保护和事件处置等情况。此外，（草案）还规定：?个人信

14、息控制者应为个人信息保护负责人和个人信息保护工作机构提供必要的资源，保障其独立履行职责。七、细化“个人信息安全事件报告要求（网络安全法）规定，在发生或者可能发生个人信息泄露、毁损、丢失的情况时，网络运营者应当立即采取弥补措施，根据规定及时告知用户并向有关主管部门报告。但该规定较为广泛，其中没有规定个人信息泄露所需到达的详细人数、条数才需报告，对“根据规定所指的何种“规定、对“有关主管部门究竟是指哪个部门也语焉不详。对此，（草案）试图给出更为细化的指引：?当发生超过100万人个人信息或者关系国计民生、公共利益的个人敏感信息例如基因、生物特征信息、疾病等个人敏感信息泄露、毁损、丢失的安全事件，应将有关情况报网信部门。从文义上看，以上规定不能解释为“个人信息控制者在发生个人信息安全事件时仅需向网信部门报告，也不能解释为“网信部门仅受理此类报告。个人信息安全事件报告制度仍有待进一步细化。但对于（草案）提及的上述详细情况，个人信息控制者向网信部门报告的义务已有较为明晰的操作标准。八、增加“个人信息处理活动记录要求为实现对个人信息全流程精细化管理，（草案）要求个人信息控制者对其个人信息处理活动予以具体记录和维护：?个人信息控制者宜建立、维护和更新所采集、使用的个人信息处理活动记录，记录的内容可包括如下方面：