寻求合规和商业价值的平衡 ——《个人信息安全规范》解读丨政策解读

5月1日，《信息安全技术个人信息安全规范》正式实施，又再次将个人信息运用合规的问题摆到了企业面前。究竟《规范》要不要遵守？又该如何遵守？本文将进行逐一解读。...





2018年5月1日，由全国信息安全标准化技术委员会组织制订的国家标准GB/T 35273-2017 《信息安全技术个人信息安全规范》（以下简称“《规范》”）正式实施。

在去年《网络安全法》颁布之后，国家对于企业个人信息运用的监管力度不断加大，而《规范》的实施，又再次将个人信息运用合规的问题摆到了企业面前。究竟《规范》要不要遵守？又该如何遵守？本文将进行逐一解读。



一、企业必须严格按照《规范》要求执行吗？

相较于《规范》的内容，企业更关心的可能是《规范》的效力问题。在《规范》公布之后，对于《规范》的适用范围，在行业内出现了两种截然不同的观点：

1.《规范》仅是推荐性国家标准，可以不用严格遵守，况且《规范》要求这么严格，很多大企业也未必能完全做到；

2.就算是推荐性国标，只要是国家出台的文件，就要严格遵守，何况最近关于个人信息安全，监管力度不断加大，更要谨慎应对。

应该说，以上两种观点都有片面之处。

首先，《规范》的确是推荐性标准，但即使是推荐性标准，也可以作为行政机关的执法依据以及法院的裁判依据。

一方面，对于行政机关，《规范》虽然没有直接规定法律责任，但完全可以作为评判企业是否履行了《网络安全法》下个人信息保护义务的依据，如果需要进行处罚，适用《网络安全法》中的罚则即可。

另一方面，在司法裁判过程中，国标也有重要的参考意义。在轰动一时的朱烨诉百度隐私权一案中，二审法院正是参照《信息安全技术公共及商用服务信息系统个人信息保护指南》，认定“百度在对匿名信息进行收集、利用时采取明示告知和默示同意相结合的方式亦不违反国家对信息行业个人信息保护的公共政策导向，未侵犯网络用户的选择权和知情权”。

其次，虽然《规范》对个人数据的收集、存储、使用都提出了明确具体甚至是比较严格的要求，但是如果深入解读，《规范》对企业的合规整改还是留下了不少空间。

例如，《规范》要求，企业收集信息需要取得用户的明示同意（收集一般信息，《规范》允许“授权同意”，详见第二部分解读），但是《规范》也规定了不需要取得用户同意的例外情形，如“根据个人信息主体要求签订和履行合同所必需的；用于维护所提供的产品或服务的安全稳定运行所必需的，例如发现、处置产品或服务的故障”，其实仔细分析，这些例外情形中所包含的个人信息是比较宽泛的，也就给企业的合规整改留下了一定余地。

综上，对于《规范》要不要严格遵守的问题，我们结论是：首先肯定不能将《规范》扔在一边，置之不理，应当结合《规范》的要求，对现有的业务模式进行梳理，但是在具体整改过程中，要通过对《规范》的深入解读，结合企业实际需要，进行调整，在合规和商业价值中寻找到一个平衡点。



二、《规范》重点内容解读

此次《规范》主要有两方面的亮点，一是在《网络安全法》和“两高司法解释”的基础上，明确了个人信息处理活动中各项术语的定义，例如“个人信息控制者、收集、明示同意、用户画像、个人信息安全影响评估、删除、去标识化”等。

二是对个人信息收集、保存、使用、转让和披露、通用安全各个环节，提出了非常明确具体的要求，各环节中的重点要求如下：

1. 收集信息的最小化要求

星瀚解读：这是整个《规范》杀伤力最大的条款之一，过往企业收集个人信息过程中，最大的问题就是在于“打包授权”，即不管服务内容是什么，都要求用户授权企业获取全部信息。《规范》则明确，收集的个人信息应当与产品或服务的业务功能，有直接关联，并且对“直接关联”进行了定义。究竟要收集哪些信息，恐怕企业要费一番脑筋。

2. 收集信息的同意要求



星瀚解读：这也是杀伤力比较大条款之一，《规范》根据收集信息的不同类型和方式，对用户同意的程度做出了不同要求：

• 直接收集的一般信息，《规范》要求在收集前，明确告知用户收集信息的类型、收集的目的、使用方式等信息，并且取得信息主体的授权同意（值得注意的是，相较于此前的建议稿，正式发布的《规范》，将同意的标准从“明示同意”调整为了“授权同意”，这其实给企业放宽了一定尺度）；
• 间接收集的信息，并且超过原先信息主体授权范围的，需要取得个人信息主体的明示同意；
• 收集个人敏感信息，需要取得信息主体的明示同意；

星瀚解读：在信息的保存阶段，《规范》主要提出了保存时间“最小化”（超出最短保存时间后，应当进行删除或者匿名化处理）以及“去标识化”处理的要求（“去标识化”是指通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程）。

对于去标识化，《规范》同样根据信息的不同类型，提出了不同要求：

• 一般个人信息：宜进行去标识化处理（也就是说并不强制）
• 个人敏感信息：应采用加密等安全措施
• 个人生物识别信息：应采用技术措施处理后再进行存储

在信息的使用阶段，《规范》主要提出了以下几个方面的要求：

制定内部管理措施：通过审批流程、设置访问权限等措施，防止个人信息在内部流转过程中发生泄露，例如“对于内部数据操作人员，应按照最小授权的原则，使其只能访问职责所需的最少够用的个人信息”；

限制使用范围：首先，对于个人信息的用途，要明确告知信息主体，使用不能超过告知范围（比如，企业使用个人信息是为了对用户区分定价，制定不同销售策略，应该明确告知用户）；

其次，“使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。例如，为准确评价个人信用状况，可使用直接用户画像，而用于推送商业广告目的时，则宜使用间接用户画像”（“间接用户画像”是指使用来源于特定自然人以外的个人信息，如其所在群体数据形成该征模型于特定自然人以外的个人信息，形成该自然人的特征模型”）

另外，《规范》要求，对于加工过的信息，如果符合个人信息的定义范围，仍然需要遵守个人信息收集、保存、使用的各项规定；

保证信息主体的权利：企业应当保证信息主体对其个人信息的访问、更正、删除、撤回同意以及注销账户的权利，尤其是企业应当告知信息主体行使前述权利的方法和路径；

对于个人信息的委托处理及对外的共享、转让等，《规范》与《网络安全法》的基本要求保持一致，并进行了细化规定：

• 委托处理：明确企业不得超授权范围做出委托行为，并须对委托行为进行个人信息安全影响评估；
• 共享、转让：个人信息原则上不得共享、转让。确需共享、转让时应事先征得个人信息主体的同意，涉及敏感信息的，应该征得个人信息主体的明示同意。

• 公开披露：原则上不得公开披露，确需公开披露时，需事先开展个人信息安全影响评估，并告知个人信息主体公开披露个人信息的目的、类型，并取得明示同意，公开披露个人敏感信息前，应该告知涉及的个人敏感信息的内容，不得公开披露个人生物识别信息。
• 共同控制信息的情形：对两方主体共同控制个人信息时（如电商平台与平台上的卖家），应当通过合同等形式明确双方各自承担的责任和义务。

三、企业现在要做什么？

对于企业而言，在《规范》生效后，建议立即开展以下工作：

1. 梳理现有信息收集、保存、使用的流程及内部管理制度：首先，建议企业对目前业务过程中涉及到个人信息流转的各个环节，进行梳理，包括各项制度和各类业务文本，发现各环节中存在的问题；

2. 设计合规整改方案：根据《规范》要求，同时结合企业自身业务发展需要，设计一套既合规，也不过分影响业务正常开展的合规整改方案；

3. 整改方案落实：在确定整改方案后，在内部制度、外部文本等各方面落实整改要求，并通过事后的核查，跟踪整改的情况。

    关注 星瀚微法苑