2018年1月,国家标准《信息安全技术 个人信息安全规范》(以下简称“规范”)获批发布全文。尽管这是一部推荐性的国家标准,不具有强制力,但仍引起了学界与实务界的广泛关注。
在关于规范的各类解读中,有声音认为规范的发布及时地填补了现今个人信息保护中诸多技术细节与实操领域的规范空白;也有声音认为,这部国家标准规范比欧洲与美国对于个人信息保护的要求更为严格,可能会影响行业的发展。
对于种种理解,规范的起草人之一、北京大学互联网发展研究中心高级顾问洪延青近日在由中国互联网协会研究中心主办的“网络产业与《个人信息安全规范》国家标准研讨会”上做出了几点回应。
1、《个人信息安全规范》比欧洲更严格吗?
用户“同意”在规范中处于核心位置,但并非没有考虑“正当利益”
在近日发布的《个人信息安全规范》中,对于个人信息的收集、转让、共享等各个环节中,都对用户的“明示同意”做出了要求。
洪延青表示,个人信息所谓全生命周期每个环节,个人都是能参与到过程中去的,这些权利是《网络安全法》赋予的。
洪延青介绍,《网络安全法》(以下简称“网安法”)对个人信息保护的规定有一个非常显著的特征,就是给个人特别强的控制权。比如说,收集使用需要个人的同意,即经被收集者同意;处理和保存必须遵循与用户的协定;如果违反用户的协定处理或者保存个人信息,用户有删除和更正的权利。当发生安全事件之后,还需要通知到用户。
从这个方向来看的话,个人的“同意”,在处理个人信息过程中处于核心的地位。
因此,有观点认为,这份标准中对于“同意”的要求甚至比欧洲GDPR(《一般数据保护条例》)更为严格,理由是 GDPR有六个合法正当处理个人信息的事由,同意是第一项,后面五项不需要同意。第六项是正当利益。
洪延青对此持不同意见,他解释,GDPR中有两种同意的方式,一种是明示同意(explicit consent),指明确写着“我同意”的字样让用户点击或勾选。而另一种是授权同意(unambiguous consent),指通过点击“发送”或者点击“拨打”等动作表明同意,但并不出现明文“同意”。
洪延青介绍,在此次发布的《个人信息安全规范》中,是将以上两种情况合并为“明示同意”,同时也为“授权同意”留下了空间。
“为什么规范中没有提及默示同意?”,洪延青解释,首先,这样写怕企业会滥用默示同意。其次,目前承认“授权同意”,是希望互联网企业做到明示同意,但如果现实大量的场景做不到明示同意的话,还是需要用到授权同意的。“从这一点上我们的标准实际上比欧盟松得多,跟相对宽松的美国相对是看齐的”,洪延青说。
而对于一些看法认为,欧盟GDPR中还考虑到“正当利益”的状况,即个人信息对某个组织来说非常重要,有重大的利益,但是处理个人信息对个人合法权益的影响非常小的情况下,通过利益权衡,允许组织不经过同意处理个人信息的做法。
洪延青表示,首先,“同意”的要求没有任何例外情况,这是遵循了网安法的要求,在其第41条的第一款中写“经被收集者同意”,这里没有给任何例外,如果网安法想给例外,这一条就完全另外一种写法,比如说,“有法律法规授权或者其他正当事由或者经被收集者同意”, 但是,(最终的网安法)没有“或”字,原文是“经被收集者同意”,字面上理解的话,遵循法律原意就是各个环节被收集者同意。包括后面条款说到,“未经被收集者同意,不能向他人提供”。这也是法律的原话,同意是提供的主要事由之一。当然后面提了一句如果匿名化不需要个人同意。
其次,洪延青指出,在现实中有什么样的场景经常用到正当利益,法院或者行政机关认可的站得住脚的对正当利益的使用实例,那么我们考虑写到“征得授权同意的例外”中。比如说产品出了一个故障,肯定需要回传一些信息做调试,再比如说需要计费,为了计费的目的肯定要收集个人信息。这时候,虽然在国外,这叫正当利益的具体表现,但是我们没有写“正当利益”四个字,而是尽量把它放到“征得授权同意的例外”当中去。
当然,由于例外只能列举,不可能代替‘正当利益’所给的灵活性,所以会有人读起来觉得规范太严了。”洪延青表示,规范只能在网安法的框架中制定,不可能超越法律的框架。
2、《个人信息安全规范》比欧洲更严格吗?
要求区分核心与非核心功能,实则可以降低企业问责风险。
在此次发布的规范中,还对此前受到用户诟病的产品隐私政策“一揽子”授权的状况做出了改善的建议。
目前的互联网产品或服务在注册时大多会提供用户协议或隐私政策,作为与用户签订的个人信息使用处理的同意。但通常文本较长,专业术语众多。因此有用户认为隐私政策长文本晦涩难懂,还有“一揽子”要求用户授权的嫌疑。
洪延青对此解释,隐私政策长文本的读者并非只有用户,还包括专家、法律人士及第三方监督机构。因此长文本的全面专业依然有必要。
但他同时强调,即便点击了隐私政策长文本的同意,并不意味着附加功能同时一并打开。在现实使用中,还是需要再次点击同意。
洪延青介绍,为了破解“一揽子”授权的情况,标准建议企业区分核心功能和附加功能。用微信举例,微信核心功能是聊天,在实现这个核心功能中需要收集敏感信息或是普通个人信息,用户为了使用微信,都需要提供。但例如微信上的理财等功能,则明显属于附加功能,如果用户只想聊天,不想用理财,就不能认为同意了隐私政策就也同意开通了理财功能?所以规范建议企业在告知时区分核心和附加功能。
洪延青表示,在此前四部委进行的十家互联网产品评测中,一些企业虽然开始认为区分核心与非核心功能不容易,但在实际操作后,反而成为一个非常明晰的风险防控手段。将来面对消费者或者消协投诉时,可以由于做了核心或者附加功能的区分,而降低问责成本。
同样,此次规范对于个人敏感信息做出了增强式同意的要求,亦或是强调用户同意在各个环节的核心作用,实际上都是为了降低问责成本。洪延青介绍,实际上无论是欧盟还是美国,对于要尊重用户“正当期待”也都有要求,即需要遵守与用户的约定,要尊重用户的“正当期待”( reasonable expectation),这并非是中国才有。
洪延青表示,同意的要求变低,问责的要求往往就变高了。因为在现实中,这会让判断会更模糊,这会让内部合规考量更多更复杂。反而,在现在《网络安全法》框架下,同意比起问责,是相对容易做的事情。
需要注意的是,规范的发布对于企业内容合规提出了更明确的要求,洪延青介绍,完整性、保密性、可用性一直以来都是网络安全行业熟知的三个特性。此外,如今的合规,还要求企业剧本透明性(数据的处理、流转要透明)、可干预性(如果需要删除或更正,需要剧本溯源追究的能力)、不可联结性(在大数据平台中,不同场景不同目的的数据不能联结)。
洪延青认为,如果说个人信息系统要讨论合规性的话,要实现六个性,内部必须有数据分级分类、数据打标、数据地图、数据血缘关系、数据流向、留痕审计。这些都是基础的合规能力,用于满足的是对个人信息特殊对象的保护而不是对普通数据的保护。
洪延青还透露,目前《个人信息安全规范》已经发布,个人信息安全影响评估正在起草中,这一文本将会对企业合规的差距进行分析,并针对未来的新技术、新业态、新技术留出空间。个人信息安全影响评估将对企业合规有更明晰的指导性。
3、《个人信息安全规范》比欧洲更严格吗?
“个人信息”的定义并非全世界最严,与欧盟程度仍拉开了距离
《个人信息安全规范》附录A中有某项信息是不是个人信息的判断。洪延青介绍,规范的定义考虑两个路径,一是识别路径,即由信息本身特殊性识别出特定自然人。二是关联路径。 关联路径的前提是,个人已经识别出来了,他后续做的一系列动作,又被系统记录了,显示出他的偏好和行为轨迹,这些也属于个人信息。
洪延青指出,一些社交平台,把身份信息保护得很好,例如帐户、用户名、手机号、身份证号、家庭住址等等。但是,却把用户的朋友关系网络,例如特别关注的好友,屏蔽了谁,不屏蔽谁等等,叫做系统日志信息,而没有定义为个人信息,这是不合理的。他表示,在一些场景下,身份信息往往并没有行为信息更隐私,更需要保护。
此外,还有专家评论,识别是欧盟经常用的路径,关联是美国经常用的路径,把识别和关联都加起来,标准比美欧都严。洪延青认为这是一个误读。
据洪延青介绍,欧盟GDPR中的个人信息定义中,本身就包括“可识别”(identifiable )与“已识别”(identified),这实际上已经把识别和关联都包含在内了。所以规范首先并没有超过欧盟的严格程度。
需要注意的是,欧盟语境中的“身份“(identity)一词的内涵远比中文语境中“身份”更宽泛。中文语境的“身份”一本指的是工作单位、职位,职级等等。但是欧盟GDPR对“身份”的定义,则包括physical(身体的), physiological(生理的), genetic(基因的), mental(精神的), economic(经济的), cultural or social (文化与社会的)identity(身份)。 举例来说,一个人的性取向,在中国语境里并不认为是“身份”,但在欧盟就会认为是身份的一种。因此欧盟个人信息定义中包含的内容远大于中国。
而美国的情况也是如此,美国商务部下国家标准与技术研究院标准PⅡ将个人信息定义为两类,第一类是能够用来区别(distinguish)或勾勒个体身份的信息,第二类是能够和个人相关联的信息。洪延青解释,美国的定义也是包括了关联与识别两类。
洪延青表示,规范在制定时,可能会比美国稍严一点,但是绝对不会比欧洲更严,而且与欧洲拉开了一定的距离。
洪延青在发言的最后强调,法律往往都是框架性的要求,制定标准一定会在《网络安全法》的框架内,如果未来能够出台个人信息保护相关的专门法,那么规范会在那时候再适时做出修改,反映有弹性的操作空间。
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
