《个人信息安全规范 (2019版) 》修订要点解读

作者：麻策律师

自2018年5月1日才开始实施的GB/T35273-2017《信息安全技术 个人信息安全规范》（“2017版”或“原版”），半年之后竟然就迎来了首次修订。2019年1月30日，信安标委发布了《信息安全技术 个人信息安全规范》2019修订版草案。

修订版在草案开头就列示了新版和2017版之间的10点主要变化，不过实际在新版本中有很多内容都进行了细微的调整，例如“核心业务功能”等表述发生了变化等，个别条款中的表述方式也进行了相关的增删改，不仔细看还真的看不来。总体来看，亮点颇多，很多新增条款也解决了原来2017版中未能实际落地和多种理解的状况。

新版明确了“本标准代替GB/T 35273-2017《信息安全技术 个人信息安全规范》，与GB/T 35273-2017相比主要变化如下: ”

1. “3 缩略语”中补充了“3.15 个性化展示”;

2. 增加了“5.3 不得强迫收集个人信息的要求”;

3. 修改了“5.7 征得授权同意的例外”;

4. 增加了“7.4 个性化展示及退出”;

5. 增加了“7.5 基于不同业务目所收集的个人信息的汇聚融合”;

6. 增加了“8.7 第三方接入管理”;

7. 修改了“10.1 明确责任部门与人员;

8. 增加“10.2 个人信息处理活动记录;

9. 修改了“资料性附录C 保障个人信息主体选择同意权的方法”。

10. 增加了“附录 C.1 区分基本业务功能和扩展业务功能”、“C.2 基本业务功能的告知和明示同意”、“C.3 扩展业务功能的告知和明示同意”。

以下择要点予以理解论述。

一、个性化展示的“标示”及“退出”设计

修订版在原版“用户画像”的基础上，新增了“3.15个性化展示”定义，即个性化展示是指“基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息，向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。”

可见，个性化的展示不仅涉及各类全网以及垂直型搜索引擎，也包括各类时兴的内容推荐引擎系统，不仅涉及用户的主动型关键词触发展示，也涉及到用户被动型相关内容的直接推送或呈现，不仅涉及到PC端，也涉及到移动端的各类应用、网页、程序。

不过，在个性化展示技术中，因各类用户画像所依赖的用户个人信息字段都是后端技术所收集和使用，各类业务场景并没有也不会向用户明示内容之所以能够向用户展示背后的原理（除了隐私政策可能涉及外）。这其实给用户制造了些难题，一是用户不知道何类信息的展示属于个性化展示，实践中往往是要使用“还原版”手机进行实验后才心里有数，二是用户无法知悉个性化展示到底是使用了自己何字段（集）的个人信息。所以，修订版规则另外也要求“宜”（不清楚此词的效力如何）“建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等) 的自主控制机制，保障个人信息主体调控个性化展示相关程度的能力”。

根据修订版规则，个人信息控制者使用个性化展示的，应当:

1）以显著方式标明“个性化展示”或“定推”等字样。这是从原互联网广告中必须标示“广告”的法律规则延伸而来，有效赋予了用户知情权利，不过，对于全站皆依赖于个性化展示的互联网产品而言，到底应当在何处标示“个性化展示”或“定推”等字样，还是每条展示信息都要打个贴膏？另外，和应当标示“广告”不同的是，除了“个性化展示”或“定推”字样外，业务场景中也未排除使用其它标示性字样;

2）为个人信息主体提供简单直观的退出个性化展示模式的选项，而退出定向推送模式是指向特定个人提供业务功能时，其推送方式不再基于该特定个人的个人信息。值得注意的是，非针对特定个人的个人信息的个性化展示不应在此列，例如内容推荐系统根据“用户群标签”推送内容，例如根据“白领”、“喜爱新能源车”用户群标签推送相关内容，该标签若非属关联性个人信息的，或属于匿名化定向推送活动的，则仍然是可以推送展示的且不受本规则约束。另外，本规则要求允许用户退出，其实我们根据电子商务法中相关条款（亦即下文中的b) ），其并未使用“退出”等措辞，我们可以想象一个业务场景，即互联网产品如信息流产品在其信息流中加入“非个性化展示模块”，在该模块中的内容均非个性化推送的，用户即无须有“退出”的动作。

二、不得强迫收集个人信息

修订版规则注明，当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不得违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括:

a) 不得通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求;

b)  应根据个人信息主体主动填写、点击、勾选等自主行为，作为产品或服务的业务功能开启或开始收集个人信息的条件，并提供关闭或退出业务功能的途径或方式。关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样简便;

c)如个人信息主体不同意使用、关闭或退出特定业务功能，个人信息控制者不得频繁征求个人信息主体的同意;

d) 如个人信息主体不同意使用、关闭或退出特定业务功能，个人信息控制者不得暂停个人信息主体自主选择使用的其他业务功能，或降低业务功能的服务质量。

其实，单从各类隐私政策来说，目前互联网公司在制定隐私政策时，往往将其产品可能涉及的全部业务场景都在隐私政策中进行罗列，以避免业务场景和该场景下个人信息收集不能一一对应匹配。在用户拒绝一揽子授权中，往往是通过“不提供任何一项权限即直接闪退”的一揽子授权形式，不过，经过这两年对于一揽子授权的整治，这样的情况已经变得好很多了。不过，“不得通过捆绑产品或服务各项业务功能”的前提仍然是需要区别核心和非核心业务功能，否则这样的捆绑式禁止规则会有被滥用之嫌。

关于“关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样简便”，试举一例，我们在用户注册时往往能够非常简便地提交手机号码进行注册，不过当用户想选择注销时却往往要发邮件或打客服务电话等方式进行，看起来似乎也是便捷的，便这实际上是一种歧视型或不对等型便捷。再例如，当我们要向互联网产品进行充值时，经常有弹框或显著的产品引导设计让用户一键充值，但当用户想要退回押金等资金时，却往往要忍受“入口不显著”、“深层链接”等等刁难，让用户不易发现退押键，或者说用户可以使用任何小程序、H5进行充值，便想要提现时却另外又要下载其产品APP，提交各类信息后才能退回等，这是一种典型的产品设计绑架。

三、业务功能的区分维度是核心

在业务功能划分上，修订版相较于原版，其将原“核心业务功能”变成了“基本业务功能”，“附加业务功能”变成了“扩展业务功能”，个人认为修订版的定义更准确。

修订版规则认为，保障个人信息主体选择同意权，首先需划分产品或服务的基本业务功能和扩展业务功能，划分的方法为“应根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求，划定产品或服务的基本业务功能”。

此种区别业务功能的方式非常落地和实际，经常撰写隐私政策的网络法人，其实每当写到“我们如何收集和使用您的个人信息”这一隐私政策章节时，往往最纠结的地方就在于主功能/附功能、用户主动/自动收集/第三方收集，以及和各类不同个人信息这几类维度间会有很多交集，有时不太好进行维度切分。而在个人信息安全规范下，基本业务功能和扩展业务功能的区别又往往非常地重要。

修订版规则其实是回到了“本初”，回答了什么才是真正的基本（原“核心”）业务功能这一问题。很多互联网产品为了能够尽可能多地利用基本业务功能所需要个人信息能够不被用户拒绝式收集的逻辑，喜欢细化分类业务场景，将尽可能多地将各类业务场景都纳入到基本（原“核心”）业务场景之中。这种玩法其实有很多，例如将广告投放纳入公司的核心业务，从而将个性化推送广告定义为核心业务功能之中，虽然在原版规则中以及实践中这样的实践很多，不过修订版规则并不这么看，也算是正本清源的一种做法了。

修订版规则认为，个人信息主体之所以识别或挑选某项产品或服务，主要依据个人信息控制者对所提供产品或服务开展的市场推广和商业定位、产品或服务本身的名称、在应用商店中的描述、所属的应用类型等因素。因此，个人信息控制者应根据一般用户对上述因素的最可能的认识和理解，而非自身想法来确定用户的主要需求和期待来划定基本业务功能。一般来说，如果产品或服务不提供基本业务功能，个人信息主体将不会选择使用该产品或服务。修订版规则明确不应将改善服务质量、提升用户体验、研发新产品单独作为基本业务功能。

所以，凡新闻资质类信息流产品（公司本质上仍属于“广告”公司），应当从用户使用产品的最初期待，即“看信息看新闻”这一角度来定义何为该产品的基本业务场景。当然，某类互联网产品的用户群其实是有区别的，即普通用户和高级用户，例如直播行业中的普通用户和可以发布直播的主播用户群体，或C端用户和B端用户（商户），其产品在定义基本业务场景时，仍然可以从不同的用户角度去定义。另外，因为收集和使用个人信息用于保障网络安全（例如综合地理位置、手机识别码等进行异地登陆提示等），这一块是所有互联网产品都必须具备的功能，所以这一业务场景是否可归入基本业务场景，期待有明确的答案。

四、第三方接入管理

修订版规则规定，当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品时（且不存在委托管理或共同控制时），对个人信息控制者的要求包括8项内容，包括：

a) 应建立第三方产品或服务接入管理机制和工作流程，必要时应建立安全评估等 机制设置接入条件;

b) 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施 的个人信息安全措施;

c) 应向个人信息主体明确标识产品或服务由第三方提供；

d) 应妥善留存平台第三方接入有关合同和管理记录，确保可供相关方查阅;

e) 应要求第三方根据本标准相关规定要求向个人信息主体征得收集个人信息的授权同意，核验其实现本项要求的方式；

f) 应要求第三方产品或服务建立响应个人信息主体请求、申诉等的机制，并妥善留存、及时更新，确保个人信息主体查询、使用;

g) 应督促和监督第三方产品或服务提供者加强个人信息安全管理，发现第三方产品或服务没有落实安全管理要求和责任的，应及时督促整改，必要时停止接入;

h) 涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)相关情况。

本规则并没有完全严格定义何为第三方接入管理，这略有遗憾，不过从一般的理解上来看，在实践中，第三方接入管理的业务场景很多。试举几个例子，比如chrome等各类浏览器中有各类“插件”，均由第三方开发并由用户调用，比如互联网产品中普遍的第三方账号注册登陆授权机制，比如各类链接聚合平台的服务，比如游戏联合运营中分发平台对其账号体系和支付体系的提供使用行为，都可能可以归属入第三方接入管理。不过个人认为不宜对第三方接入管理理解过宽，不然，像各类导航网站中的各类链接，似乎也可以归入第三方接入，要求导航网站尽到管理义务，可能就不符合互联互通链接的互联网模式了。这些，还有待进一步明确。

声明：本文来自网络法实务圈，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。