2018年5月25日《一般数据保护条例》(GDPR)在欧盟的生效,而中国与之相应的数据保护规则在更早的2018年5月1日就已生效。《个人信息安全规范》(“标准”)是中国发布的第一部个人信息保护国家标准。标准规定了个人信息保护的详细要求,并有望成为实体在中国处理个人信息的良好实践指南。

在此次的电子简报中,我们会列明标准的重要特点,并对受标准影响的公司提出我们的观察和建议。

背景

在《网络安全法》于2016年颁布之前,有关个人信息保护的法律条文分散在不同的法律规范中。2012年,监管机关发布了一份5页的《公共及商用服务信息系统个人信息保护指南》,但该文件并未成为国家标准且于2015年失效。

《网络安全法》是第一部专门规定了“网络信息安全”章节的法律。尤其是该法第41至45条规定了个人信息保护的一般法律原则和要求,而其实施则要求具体实施条款的颁布。而标准是第一部有关个人信息保护的国家标准,也是实施网络安全法中有关个人信息保护规定的关键步骤。标准适用于所有处理个人信息的实体。

I. 个人信息的创新性定义

可识别和已识别的个人

标准大大地扩展了网络安全法下个人信息的范围。根据标准,个人信息指的是包含以电子或其他方式记录的能够单独或与其他信息结合1)识别特定自然人身份;或2)反映特定自然人活动情况的各种信息。

尽管网络安全法下个人信息的定义仅包括可用于识别个人的信息,但标准将其扩展至与被识别个人的活动有关的信息。

在标准下,个人信息无需具体识别到个人,只需要反映某人活动且可定位至此人的个人信息即可。 举例而言,被识别个人的个人信息包括此人的位置、呼叫历史、浏览记录。

敏感个人信息和非敏感个人信息

与网络安全法相比,标准为个人敏感信息提供了额外保护。个人敏感信息指的是一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受损或遭到歧视性待遇等的个人信息。

例如身份证号码、生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、精准定位信息、住宿信息、健康信息、交易信息、14岁以下(含)儿童的个人信息。值得注意的是,网络cookie明确被包含在敏感的个人信息中。

标准为敏感个人信息提供了额外特殊保护措施,包括如下:(i) 收集个人敏感信息前需征得信息主体的明示同意(不满14周岁的儿童,应征得监护人的明示同意);

(ii) 个人信息控制者应当将其的服务或产品功能划分为核心功能和附加功能,并逐一说明每项功能所需的个人敏感信息(详见下文);

(iii) 传输和存储时个人敏感信息时必须加密,且个人生物识别信息必须在存储之前进行特殊处理;

(iv) 对个人敏感信息的访问、修改等行为,应当采取特殊的措施,即控制因业务需要给予员工的授权;

(v) 个人敏感信息转让和共享时,个人信息控制者应当将个人敏感信息的种类、数据接收方的身份、数据安全能力通知信息主体,并获得明示同意;

(vi) 个人敏感信息公开披露时,数据控制者必须将披露的相关信息通知信息主体,并获得明示同意;

(vii) 个人信息控制者必须对有权限访问大量个人敏感信息的员工进行背景审查。

匿名化和去标识化

标准引入并区分了“匿名化”和“去标识化”的概念。

“匿名化”指的是通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。标准将匿名化的个人信息排除在个人信息之外,这些信息原则上不受网络安全法和标准规定的的有关个人信息保护措施的约束。

“去标识化”指的是通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。对个人信息进行去标识化的技术手段的例子包括假名、加密。

根据标准,个人信息控制者应当在以下情形中匿名或删除个人信息:

(i) 个人信息保存期限届满的;

(ii) 信息主体在控制者处注销账户的。

个人信息控制者应当对以下个人信息去标识化:

(i) 个人信息一旦被收集的;

(ii) 个人信息控制者对个人信息进行公开披露的;以及

(iii) 个人信息控制者将个人信息提供给学术研究或将结果提供给第三方的。

II. 同意和通知

何时需要同意和通知?

标准明确规定,收集、委托处理、共享、转让以及公开披露个人信息需要信息主体的同意。

此外,标准规定必须通知个人信息主体以下信息:

(i) 收集之前,每项产品或服务的功能需要收集的个人信息的种类,以及收集和使用个人信息的规则;

(ii) 在主动提供和自动采集个人敏感信息前,

(a) 核心功能所需的敏感个人信息以及拒绝提供或拒绝同意收集此类信息的后果;以及(b) 附加功能所需的敏感个人信息;

(iii) 对隐私政策的修改;

(iv) 在共享和转让个人信息之前,告知此类共享和转让的目的、数据接收方的类型。在涉及个人敏感信息的情况下,告知涉及的个人敏感信息的类型、数据接收方的身份和其数据安全能力;

(v) 有关由于数据控制者的任何合并和重组而导致的个人信息转让的信息;

(vi) 在公开披露个人信息之前,披露的目的和类型;在涉及个人敏感信息的情况下,该披露信息的内容;

(vii) 若个人信息由两个或多个数据控制者控制,则每个数据控制者必须满足安全要求并承担各自的责任和义务;

(viii) 发生安全事件时,告知安全事件的内容和影响、已采取或将要采取的处置措施、个人信息主体自主防范和降低风险的建议、针对个人信息主体提供的救济措施,和个人信息保护负责人以及个人信息保护工作机构的联系方式。

同意和明示同意

标准规定了两种同意方式:同意和明示同意。明示同意指的是个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理并做出明确授权的行为。标准采用同意而非“默示同意”,原因在于避免默示同意被滥用的风险,但标准未禁止使用“默示同意”,除非对明示同意做出特别要求。下列情况需要明示同意:

(i) 个人信息控制者处理第三方提供的个人信息时,超出该授权同意的范围的;

(ii) 收集个人敏感信息或未成年人个人信息的;

(iii) 个人信息的使用超出收集个人信息时所声称的与目的具有直接或合理关联的范围的;

(iv) 为了共享和转让个人敏感信息的;

(v) 收购、兼并、重组后,改变使用个人信息目的的;以及

(vi) 个人信息公开披露的。

要求同意的例外

根据标准,在以下情形中,个人信息控制者在收集和使用个人信息时无需征得个人信息主体的同意:

(i) 与国家安全、国防安全直接相关的;

(ii) 与公共安全、公共卫生或者重大公共利益直接相关的;

(iii) 与任何犯罪侦查、起诉、审判或者判决执行直接相关的;

(iv) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;

(v) 在收集的个人信息时个人信息主体自行向社会公众公开的;

(vi) 从合法公开披露的信息中获得个人信息的,如合法的新闻报道、政府披露;

(vii) 根据个人信息主体要求签订和履行合同所必需的;

(viii) 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;

(ix) 个人信息控制者为新闻单位且为其开展合法的新闻报道所必须的;以及

(x) 个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。

我们注意到,在共享、转让或公开披露个人信息时,个人信息控制者无需就上述1至6项中获得同意。

此外,在上述情形下,个人信息控制者可以不响应个人信息主体提出的个人信息权利请求(如下文所述)。

III. 核心功能和附加功能

标准要求个人信息控制者在收集敏感的个人信息时将其服务分为两类,即核心功能和附加功能,标准对两类功能规定了不同的要求:

(i) 核心业务功能:个人信息控制者应当向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响;以及

(ii) 附加功能:个人信息控制者应当向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否同意为每项附加功能收集个人敏感信息,任何拒绝同意不应成为不提供核心功能的理由。

标准没有定义何者为“核心业务功能”。根据标准带头起草人的目的,其旨在允许个人信息控制者根据其特定业务定义其核心功能。

IV. 个人信息安全影响评估

标准针对个人信息建立了安全影响评估制度。根据该制度,个人信息控制者应当检验其数据处理活动的合法性、判断对个人信息主体的风险,以及评估其保护个人信息主体的各项措施的有效性。

安全影响评估应当在以下情形开展:

(i) 委托数据处理者处理数据之前;

(ii) 共享和转让个人信息之前;

(iii) 公开披露个人信息之前;

(iv) 当适用的法律法规、其业务模式、信息系统或者运行环境发生重大变更时;

(v) 发生重大个人信息安全事件时;以及

(vi) 定期开展(至少每年一次)。

个人信息安全影响评估制度指南草案已向社会征求意见。

V. 个人信息主体权利

标准赋予了个人信息主体一系列有关个人信息的权利,包括:

(i) 访问、修改和删除个人信息的权利;

(ii) 撤回其同意的权利;

(iii) 注销其账户的权利;

(iv) 获取个人信息副本或将个人信息传输给第三方的权利(包括个人“基本”资料、有关个人身份、健康、教育和工作的信息);以及

(v) 对通过数据剖析做出的自动决策提出申诉的权利(例如在个人贷款的申请中);

在隐私政策中,个人信息控制者应当罗列个人信息主体的权利以及行使这些权利的机制。

根据标准,个人信息控制者应当在30天内回应个人信息主体的请求,并告知个人信息主体外部争议解决通道。如果满足个人信息主体的请求需要付出高额成本或存在显著困难,数据控制者可以提供替代解决方案。

此外,个人信息控制者可以在下列情形拒绝回应信息主体的请求:

(i) 若收集和使用个人信息是为了:

a. 国家安全或国防安全的;

b. 与公共安全、公共卫生、重大公共利益直接相关的;

c. 与任何犯罪侦查、起诉、审判和执行判决等直接相关的;或

(ii) 个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的;

(iii) 响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;或

(iv) 请求涉及商业秘密的。

我们的观察

I. 有效性和强制力

标准是非强制性的,因此个人信息控制者不被要求必须遵守,偏离标准本身的行为并不会导致处罚。标准是一个良好实践指南。

但是,根据标准,标准适用于“规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等对个人信息处理活动进行监督、管理和评估”。该表述表明标准涵盖了广泛的个人信息控制者,包括公主体和私主体。在其他详细的数据保护条例缺位的情况下,标准是当局在执法行动中的唯一参考。

无论是网络安全法还是标准都没有设立专门的数据保护机构执行施数据保护规范。执行仍然是通过国家互联网信息办公室、公安机关、法院或行业主管机关以民事诉讼、刑事诉讼和行政处罚的方式实现。尽管如此,标准可能将作为确定个人信息控制者是否已履行其数据保护义务的依据。虽然偏离标准本身可能不会导致个人信息控制者承担责任,但个人信息控制者很可能需要在执法过程中证明其偏离的合理性,并证明其采取的措施是等同于或是比标准更好的解决方案。 

II. 域外效力?

标准未规定数据处理活动的地域范围,也未规定数据保护义务是否适用于控制或处理中国居民个人信息的境外个人信息控制者或处理者。

标准的域外效力,可能会以对于“在中国境内收集和产生”的个人信息处境的进行安全评估的方式出现。标准简要提到有关数据出境安全评估制度的规定和相关标准应当由当局单独公布。事实上,这些草案已于去年公布,但没有任何迹象表明这些草案将会很快颁布实施。

现阶段的重点似乎仍然是境内个人信息控制者和数据出境安全。 

III. 基于同意的保护方法

标准认为,除上述列举的例外情况外个人信息主体的知情同意为个人信息控制者收集和处理个人信息提供充分的依据。标准不包括一般性的基于“合法利益”免除同意要求的规定。显然起草者担心该理由可能会对个人信息控制者和个人信息主体就何者造成“合法利益”造成困惑,并且该理由可能会被数据控制者滥用。

标准进一步增强了同意权,要求数据控制者逐项获得对附加功能收集敏感个人信息的明确同意。毫无疑问,这要求企业对目前的隐私政策和获取同意的流程进行重大调整。 

IV. 匿名化和去标识化?

根据标准,匿名化和去标识化都将使个人信息主体无法识别。匿名化和去标识化之间的主要区别在于:匿名化的个人信息无法恢复,并且该过程是不可逆的,而去标识化的信息可以被恢复并且仍然可以利用额外的信息识别个人信息主体。

这两个概念似乎均旨在切断个人信息和个人信息主体的关联,只是程度上不同。该定义似乎假设存在一系列的不同程度的去标识化,而匿名化则处在这一范围的极端。

标准从个人信息的概念中排除了匿名后的个人信息,同时将去标识化的个人信息作为特殊类别的个人信息予以保留。这意味着个人信息的保护不适用于已被匿名化的数据。这与网络安全法的规定一致,它规定经过处理无法识别特定个人且不能复原的个人信息(这显然指的是标准中定义的匿名化)可以提供给第三方,无须个人信息主体的同意。

然而,标准和网络安全法甚至标准自身的观点存在不一致之处。标准规定,个人信息控制者可以在没有信息主体同意的情况下将已去标识化且无法被数据接收方还原并识别的个人信息进行共享或转让,无须获得个人信息主体的同意。而网络安全法关于同意的例外范围只包含了匿名化的个人信息,这和标准的定义一致,即不将匿名的个人信息(而不包括去标识化的个人信息)视为个人信息。

监管者发布了去标识化标准的草案,但没有制定有关匿名化的标准。因此,很难评估信息主体的个人信息是否已经被充分匿名化以将其从数据保护法管辖的,或者仅被去除标识化而仍然属于个人信息。 

V. 企业的合规措施

我们建议相关企业采取下述措施以遵守标准的要求:

(i) 对当前数据收集、使用、保存、转让和共享的流程、政策和协议进行彻底检查,并识别和纠正任何不合规的问题; 

(ii) 审查和修订其隐私政策,特别是个人敏感信息获得同意的流程; 

(iii) 指定个人或部门负责数据保护,或指定专门的数据保护官或部门,如果1)公司的主要业务是个人信息处理,且有超过200名专职人员;或2)公司在12个月内处理或可能处理超过50万名信息主体的个人信息; 

(iv) 建立响应机制,使信息主体能够行使其有关个人信息的权利; 

(v) 一旦相关标准实施,即进行个人信息安全影响评估; 

(vi) 对有访问个人信息权限的员工提供培训; 

(vii) 为个人信息安全事件准备应急预案。

结论

标准的出台标志着向实现网络安全法项下的数据保护义务上迈出了重要一步。尽管没有强制效力,标准可以作为有关部门和法院评估个人信息控制者是否履行法律规定的数据保护义务的重要参考。而且,标准由于涵盖范围之广、措施之详细使得其成为企业有益的实践指南。随着未来更多实施标准的出台,中国将完善体系化的数据保护制度。