前言:
2020年上半年���,在我國網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)監(jiān)管實踐發(fā)展的進程中���,是具有里程碑意義的一個時間段。
受新冠疫情影響�,許多行業(yè)的業(yè)務形態(tài)和工作方式的“線上化”加速����。隨著“新基建”等系列政策的頒布����,5G、人工智能�、工業(yè)互聯(lián)網(wǎng)���、物聯(lián)網(wǎng)等領(lǐng)域的發(fā)展享受政策利好。
受上述因素影響���,諸多業(yè)態(tài)對個人信息和其他數(shù)據(jù)的收集和利用頻率空前頻繁、程度不斷加深�,數(shù)據(jù)流轉(zhuǎn)需求顯著放大?!皵?shù)據(jù)經(jīng)濟”的價值進一步釋放���。
在此背景下,擅自收集�����、濫用個人信息的情況也更加普遍�����,監(jiān)管需求增大����,實際的監(jiān)管活動不斷加碼���,適應“數(shù)據(jù)經(jīng)濟”快速發(fā)展的全新監(jiān)管規(guī)則頻出����。
我們利用兩篇推送文章的篇幅��,對2020年上半年網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)領(lǐng)域的監(jiān)管新規(guī)進行總結(jié)��;利用一篇推送文章的篇幅��,對2020年上半年網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)領(lǐng)域引人關(guān)注的部分事件進行分析�。
本動態(tài)是2020年1月至6月網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)的最新監(jiān)管規(guī)則簡述的上篇�,主要對App場景下的個人信息保護規(guī)則以及綜合性個人信息監(jiān)管規(guī)則進行介紹和簡述�。
我們的下一期動態(tài)��,將展現(xiàn)2020年1月至6月網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)的最新監(jiān)管規(guī)則簡述的下篇�����,主要介紹行業(yè)細分領(lǐng)域下的個人信息與網(wǎng)絡(luò)安全保護規(guī)則,包括教育���、電商、金融、工業(yè)等領(lǐng)域����。
本動態(tài)僅作為本所對網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)相關(guān)的近期話題的一般性探討�����,不構(gòu)成本所正式法律咨詢意見���。
監(jiān)管規(guī)則目錄:
一�、App場景下的個人信息保護規(guī)則
(一)《信息安全技術(shù) 移動互聯(lián)網(wǎng)應用(App)收集個人信息基本規(guī)范(征求意見稿)》
全國信息安全標準化技術(shù)委員會(“信安標委”)于2020年1月20日發(fā)布了《信息安全技術(shù) 移動互聯(lián)網(wǎng)應用(App)收集個人信息基本規(guī)范(征求意見稿)》(“《App個人信息收集規(guī)范》”)�����,對此前國家市場監(jiān)督管理總局及國家標準化管理委員會于2019年10月24日聯(lián)合發(fā)布的《信息安全技術(shù) 移動互聯(lián)網(wǎng)應用程序(App)收集個人信息基本規(guī)范(草案)》(“2019年《App個人信息收集規(guī)范》草案”)進行了修訂。其中,特別值得關(guān)注的是:
(1)個人信息共享和轉(zhuǎn)讓規(guī)定的變化
2019年《App個人信息收集規(guī)范》草案中規(guī)定�,存在共享、轉(zhuǎn)讓個人信息的情況下,App運營者應向個人信息主體提供實時查詢數(shù)據(jù)接收方身份的途徑;《App個人信息收集規(guī)范》刪去了對App運營者的前述規(guī)定。但與此同時�����,《App個人信息收集規(guī)范》要求����,通過間接方式收集個人信息的�,App運營者應向個人信息主體提供實時查詢數(shù)據(jù)提供方身份的途徑��。
由此可見���,在存在個人信息共享和轉(zhuǎn)讓的情況下���,向個人信息主體提供查詢途徑����,從數(shù)據(jù)提供方的義務轉(zhuǎn)換為了數(shù)據(jù)接收方的義務����,即數(shù)據(jù)提供方無需向用戶提供查詢其數(shù)據(jù)對外共享的情況,但是如果數(shù)據(jù)接收方從第三方處獲得用戶的個人信息��,其應對用戶提供查詢途徑���,查詢個人信息來源。
(2)明確常見服務類型中收集的、作為最小必要信息的“網(wǎng)絡(luò)日志”內(nèi)容
根據(jù)《網(wǎng)絡(luò)安全法》第21條的規(guī)定�����,網(wǎng)絡(luò)運營者應當采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)��、網(wǎng)絡(luò)安全事件的技術(shù)措施�,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月,在2019年《App個人信息收集規(guī)范》草案中亦基于這一依據(jù)���,規(guī)定在地圖導航、網(wǎng)絡(luò)約車�、即時通訊等服務類型需收集的最小必要信息中包含“網(wǎng)絡(luò)日志”����,但是未明確此處“網(wǎng)絡(luò)日志”的具體內(nèi)容和范圍���。
在《App個人信息收集規(guī)范》中�,“網(wǎng)絡(luò)日志”被限制在“網(wǎng)絡(luò)訪問日志”范圍內(nèi),并且明確規(guī)定該等信息的收集僅用于滿足《網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)要求和網(wǎng)絡(luò)安全保障需要����,該等“網(wǎng)絡(luò)訪問日志”信息通常包括IP地址����、用戶登錄時間���、用戶退出時間等�,并非指用戶操作行為日志����。
(3)新增了常見服務類型及相關(guān)的最小必要信息
《App個人信息收集規(guī)范》增加了9種常見服務類型,并就每一服務類型下最小必要信息作出規(guī)定,具體包括:旅游服務����、酒店服務���、網(wǎng)絡(luò)游戲����、在線影音��、兒童教育����、電子圖書��、拍攝美化����、應用商店和網(wǎng)絡(luò)直播��。
(二)《網(wǎng)絡(luò)安全標準2020自評估指南—移動互聯(lián)網(wǎng)應用程序(App)收集使用個人信息自評估指南(征求意見稿)》
信安標委于2020年3月19日發(fā)布了《網(wǎng)絡(luò)安全標準2020自評估指南—移動互聯(lián)網(wǎng)應用程序(App)收集使用個人信息自評估指南(征求意見稿)》(“2020版自評指南”)����。在形式上���,2020版自評指南基本延用App違法違規(guī)收集使用個人信息專項治理工作組于2019年3月1日發(fā)布的《App違法違規(guī)收集使用個人信息自評估指南》(“2019版自評指南”)的形式����。但是���,在內(nèi)容上結(jié)合近年執(zhí)法中的新情況���、新問題�,作出了修改。其中,特別值得關(guān)注的是:
(1)App委托的第三方或嵌入的第三方代碼/插件存在直接將用戶個人信息傳輸至境外的情況時��,應明確向用戶告知跨境傳輸個人信息的目的����、類型和接收方等。
(2)App接入第三方應用時��,應提醒用戶關(guān)注第三方應用收集使用個人信息的規(guī)則�,App運營者不得私自截留第三方應用收集的個人信息����。
(3)對App頻繁向用戶詢問是否同意收集其個人信息的頻率劃定了標準���,即在用戶明確表示不同意收集后��,如果App在48小時內(nèi)再次詢問用戶則可能被認定為頻繁索權(quán)�����。
(4)App存在利用用戶個人信息和算法提供定向推送功能的(包括信息和商品展示、廣告推送),應向用提供拒絕接受���、停止、退出或關(guān)閉該功能的機制,或者提供非定制的信息或商品���。
(5)在用戶未打開App或后臺運行App時,除業(yè)務功能必需的信息外(例如地圖App導航功能在后臺運行時必須收集用戶的位置信息),App不應收集用戶個人信息��。
(三)《App個人信息安全防范指引(征求意見稿)》
信安標委于2020年3月30日發(fā)布了《App個人信息安全防范指引(征求意見稿)》(“《防范指引》”)�,基于信安標委相關(guān)統(tǒng)計數(shù)據(jù)和近期疫情防控類App出現(xiàn)的問題��,對App個人信息安全保護的常見問題進行了梳理并提供了防范策略�。其中��,特別值得關(guān)注的是:
(1)《防范指引》將小程序明確納入App的監(jiān)管范疇�,規(guī)定App是指安裝�����、運行在移動智能終端上的應用軟件��,包括在應用市場上架的軟件、移動智能終端預裝的軟件�、小程序等�����。
在《防范指引》發(fā)布前,主管機關(guān)在執(zhí)法過程中已開始要求對小程序違法違規(guī)收集個人信息的行為進行整改���。例如,中共天津市委網(wǎng)絡(luò)安全和信息化委員會辦公室于2020年3月16日發(fā)布的對疫情防控App專項治理情況通報中�,即指出了4款疫情防控小程序違法違規(guī)收集個人信息的情況��,并提出整改要求��。
從目前監(jiān)管的態(tài)度和執(zhí)法活動的開展來看,對網(wǎng)絡(luò)運營者而言�����,無論其是通過一般性移動應用(App)���,還是通過第三方平臺的小程序提供產(chǎn)品或服務�,主管機關(guān)對該等行為中涉及的用戶個人信息收集和處理行為的合規(guī)要求越來越嚴格����,并且主管機關(guān)該等要求具體適用在哪些類型的終端表現(xiàn)形式上,這些終端表現(xiàn)形式的范圍也會隨著市場上產(chǎn)品和服務的形式而不斷更新�����。
例如���,曾有相當一段時間�,市場對于App形式以外的體現(xiàn)形式(例如各類主體提供的小程序)是否需要遵守App收集使用個人信息的規(guī)范,產(chǎn)生過廣泛的討論�。當前�,主管部門的執(zhí)法實踐以及《防范指引》明確將小程序這一形式納入監(jiān)管范圍��,有利于廣泛的服務提供者明晰自身的合規(guī)邊界���。市場上目前小程序運營者應當對本次《防范指引》的規(guī)定予以重視�����,并應參照《防范指引》對其產(chǎn)品和服務進行自查并及時對違規(guī)行為進行修正���。此外�����,小程序運營者在產(chǎn)品開發(fā)過程中也應強化個人信息保護的設(shè)計。
(2)針對具有特定用途的疫情防控類App�����,《防范指引》也指出了需要予以關(guān)注的問題并提出了具體解決策略�����,具體如下:
i. 疫情防控類App宜盡可能縮小身份登記的個人信息填寫范圍,達到可追溯的目的即可��。例如�����,收集個人信息可參考“前臺匿名����,后臺實名”等方式��,用戶可提供手機號���,無需填寫身份證號或上傳身份證圖片���。
ii. 通過個人信息的大數(shù)據(jù)分析等自動化決策機制來判斷用戶個人健康狀態(tài)的�����,應提供反饋渠道,及時處理因自動化決策機制而嚴重影響用戶個人權(quán)益的問題。
二、個人信息綜合性監(jiān)管規(guī)則
(一)《信息安全技術(shù) 個人信息告知同意指南(征求意見稿)》
信安標委于2020年1月20日發(fā)布了《信息安全技術(shù) 個人信息告知同意指南(征求意見稿)》(“《告知同意指南》”)。《告知同意指南》從告知和取得用戶同意的適用情形、基本原則�、內(nèi)容方式和具體場景下的特殊規(guī)定等方面對網(wǎng)絡(luò)運營者對個人信息主體進行告知以及收集同意的行為加以規(guī)范�。其中�����,特別值得關(guān)注的是:
(1)僅需履行告知義務但不需要獲得用戶明示同意的情形
《告知同意指南》從個人信息的收集使用�����、使用目的變更��、對外提供等數(shù)據(jù)處理環(huán)節(jié)對不需要獲得明示同意情形作出了具體規(guī)定�����。相較于最新的《信息安全技術(shù) 個人信息安全規(guī)范(征求意見稿)》(2019年10月22日版)(“《個人信息安全規(guī)范》”)中的規(guī)定�,主要變化如下:
i. 應當進行告知�、但無需獲得明示同意
《告知同意指南》規(guī)定在特定的情形下,免除個人信息控制者取得用戶“明示同意”的義務��,但不免除“告知義務”�����。而《個人信息安全規(guī)范》則規(guī)定在特定的情形下����,個人信息控制者無需征得用戶的“授權(quán)同意”�����,未對是否需要對用戶進行告知作出明確要求�����。
《告知同意指南》對該等情形的規(guī)定����,為網(wǎng)絡(luò)運營者進行個人信息的告知同意提供了更清晰的指導����,特別是明確了不免除告知義務��,使得網(wǎng)絡(luò)運營者在起草用戶協(xié)議和隱私政策的過程中繼續(xù)注意對這些情形下的個人信息收集和使用進行充分告知��。
ii. 新增免除收集使用個人信息時告知同意的情形
《告知同意指南》增加了收集使用個人信息時僅需要進行告知,不需要取得用戶明示同意的情形����,主要包括:(i)與商業(yè)或職務行為直接相關(guān)的個人信息�����,例如企業(yè)依法注冊登記、備案的法定代表人����、股東����、監(jiān)事、高管等的個人信息�;(ii) 用于維護所提供的產(chǎn)品或服務安全和穩(wěn)定所必需的個人信息,例如軟件收集用戶的設(shè)備類型�、網(wǎng)絡(luò)運行日志��、崩潰報告等�;(iii) 個人信息控制者為新聞單位且其在開展合法的新聞報道所必需的信息�;(iv) 用人單位收集的與個人信息主體求職�����、就業(yè)直接相關(guān)的簡歷等個人信息����。
iii. 使用個人信息目的變更時不強制要求取得用戶明示同意的情形
《告知同意指南》增加了在使用個人信息的目的變更時不強制要求取得用戶明示同意的情形�����,即在不會對個人權(quán)益帶來額外影響的前提下,個人信息控制者可以決定是否采取明示同意方式,主要情形包括:(i) 新目的與原目的具有直接或合理的關(guān)聯(lián)性;(ii) 服務升級���、改造導致對用戶個人信息的使用頻率�����、展現(xiàn)方式及互動方式調(diào)整;(iii) 將個人信息用于學術(shù)研究且已進行去標識化處理;(iv) 對使用目的變更進行了安全評估后不存在高風險�����,且對評估結(jié)果進行披露�。
(2)未成年人個人信息的告知同意
i. 顯著加強未成年人網(wǎng)絡(luò)與信息安全保護是監(jiān)管趨勢的一個重要方面
2019年我國在未成年人網(wǎng)絡(luò)與信息安全保護方面顯著加強了監(jiān)管力度。
在監(jiān)管規(guī)則方面����,主管部門出臺了一系列專門針對未成年人網(wǎng)絡(luò)與信息安全保護的監(jiān)管規(guī)則����。例如����,國家互聯(lián)網(wǎng)信息辦公室(“網(wǎng)信辦”)于2019年8月22日發(fā)布《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》;全國人民代表大會常務委員會于2019年11月1日發(fā)布了《未成年人保護法》�,草案中設(shè)置了“網(wǎng)絡(luò)保護”的專門章節(jié)����。
在實際監(jiān)管工作方面�����,主管部門采取了一系列針對未成年人網(wǎng)絡(luò)與信息安全保護的專項監(jiān)管行動���。例如����,網(wǎng)信辦于2019年5月28日統(tǒng)籌14家短視頻平臺和4家網(wǎng)絡(luò)視頻平臺統(tǒng)一上線“青少年防沉迷系統(tǒng)”���;國家新聞出版署于2019年11月5日下發(fā)了《關(guān)于防止未成年人沉迷網(wǎng)絡(luò)游戲的通知》嚴格限制為未成年人提供網(wǎng)絡(luò)游戲服務時間�。
ii. 進一步細化了對未成年人的監(jiān)護人進行告知、收集同意的要求
本次公開發(fā)布的《告知同意指南》相較于信安標委于2019年10月25日在信安標委成員單位內(nèi)部發(fā)布并征求意見的《信息安全技術(shù) 個人信息告知同意指南》草案(“2019年《告知同意指南》草案”),增加了對未成年人的監(jiān)護人身份的核驗要求和核驗方式����,同時明確了取得監(jiān)護人同意的具體方式����。
(3)SDK(Software Development Kit)收集使用個人信息場景下的告知同意
《告知同意指南》相比于2019年《告知同意指南》草案��,進一步明確和強調(diào)了接入SDK的宿主App的主體責任���,具體而言:(i) 當SDK提供者不是個人信息控制者時(即提供的SDK為功能性SDK�����,所采集的個人信息全部為宿主APP控制),宿主App應告知通過SDK收集個人信息的情形并應征得個人信息主體同意;(ii) 當SDK提供者僅從宿主App間接獲取個人信息時�,宿主App就信息的共享應向個人信息主體進行告知并取得同意����;(iii) 當SDK提供者是直接個人信息控制者時���,SDK提供者應向個人信息主體告知并應征得個人信息主體同意�;(iv) 當SDK提供者與宿主App同是個人信息控制者時�����,宿主App和SDK提供者各自或共同告知個人信息主體并應征得同意�����。
(4)IoT(Internet of Things)場景下的告知同意
隨著智能設(shè)備的廣泛應用,智能設(shè)備中個人隱私泄露事件也時有發(fā)生�����,其中�,與智能音箱相關(guān)的個人隱私泄露和網(wǎng)絡(luò)安全事件受到了廣泛的關(guān)注。
例如���,根據(jù)新聞報道,美國某知名互聯(lián)網(wǎng)公司在世界各地雇傭了數(shù)千名員工�,對旗下智能音箱產(chǎn)品收集的用戶語音資料進行標注��,但是該公司在其營銷和隱私政策材料中沒有明確表示其雇傭員工收聽該等語音資料。
另外����,在國家互聯(lián)網(wǎng)應急中心網(wǎng)絡(luò)安全應急技術(shù)國家工程實驗室聯(lián)合相關(guān)行業(yè)企業(yè)發(fā)布的《智能音箱隱私與網(wǎng)絡(luò)安全分析報告》中提及��,在對市場上部分智能音箱開展了7*24小時的流量監(jiān)控與分析中發(fā)現(xiàn),部分被測智能音箱的上行和下行的絕大部分流量��,均為明文數(shù)據(jù)�����,未采取嚴格的安全傳輸措施,攻擊者可以通過偽AP等手段����,輕易地獲取智能音箱采集和傳輸?shù)母黝悢?shù)據(jù)�,從而造成用戶的敏感數(shù)據(jù)泄露�。此外�����,中國信息通信研究院中國泰爾實驗室發(fā)布的《互聯(lián)網(wǎng)設(shè)備-智能音箱安全白皮書(2019年)》也提及,智能音箱在用戶不知情的情況下��,過度收集和使用個人信息���。智能音箱易出現(xiàn)在用戶不知情情況下����,對用戶語音、位置等敏感信息持續(xù)收集的現(xiàn)象��,尤其是用戶語音�,用戶較多不易感知;一些智能音箱并未通過隱私政策或其他途徑明確告知用戶收集使用信息的目的����、方式���、范圍和頻次��,也未向用戶提供明確的允許和拒絕的選擇,這種累積性的權(quán)益侵害在日常生活中普遍存在�����,將會引發(fā)用戶的嚴重擔憂�����。信息過度收集使用的亂象亟待解決。
因此,《告知同意指南》針對智能音箱收集和使用個人信息的應用場景����,從告知同意的呈現(xiàn)方式����、智能音箱對外傳輸或從其他設(shè)備獲取個人信息的告知同意情形等方面作出了明確規(guī)范�����。
(5)車載場景下的告知同意
近年來智能網(wǎng)聯(lián)汽車相關(guān)服務(“車聯(lián)網(wǎng)”)蓬勃發(fā)展���,在該等業(yè)務場景下網(wǎng)絡(luò)安全與隱私保護也備受關(guān)注�。
2019年10月24日��,中國信息通信研究院(“中國信通院“)��、中國汽車技術(shù)研究中心有限公司牽頭,聯(lián)合信安標委相關(guān)工作組等各單位,啟動車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全調(diào)研及檢測評估工作,對我國車聯(lián)網(wǎng)網(wǎng)絡(luò)安全現(xiàn)狀進行全面摸底��,評估掌握車聯(lián)網(wǎng)安全面臨的突出風險及問題���,推動健全車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全管理體系��。
2019年12月25日�����,中國信通院在京組織召開專題研討會,就車聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護指南(草案)、車聯(lián)網(wǎng)數(shù)據(jù)分類分級及合規(guī)應用指南(草案)征求專家意見。
針對車聯(lián)網(wǎng)這一新的數(shù)據(jù)合規(guī)熱點監(jiān)管場景�����,《告知同意指南》針對車聯(lián)設(shè)備收集和使用個人信息的情形�,從告知同意的呈現(xiàn)方式、同意模式等方面結(jié)合車載場景的特殊性作出了明確規(guī)范。
(二)《信息安全技術(shù) - 個人信息安全規(guī)范》
2020年3月6月�,國家市場監(jiān)督管理總局����、國家標準化管理委員會發(fā)布了《信息安全技術(shù) - 個人信息安全規(guī)范》(“2020年信息安全規(guī)范”),并于2020年10月1日起生效。
2020年信息安全規(guī)范生效后將替代2018年生效的《信息安全技術(shù) - 個人信息安全規(guī)范》(“2018年信息安全規(guī)范”)�,其主要變化如下:增加了“多項業(yè)務功能的自主選擇”���、“用戶畫像的使用限制”����、“個性化展示的使用”、“基于不同業(yè)務目所收集個人信息的匯聚融合”、“第三方接入管理”、 “個人信息安全工程”、“個人信息處理活動記錄”等內(nèi)容板塊,并對“征得授權(quán)同意的例外”、“個人信息主體注銷賬戶”����、“明確責任部門與人員”���、“實現(xiàn)個人信息主體自主意愿的方法”等內(nèi)容板塊進行了修改��。
在2020年信息安全規(guī)范發(fā)布前,信安標委對2018年信息安全規(guī)范進行了多次修改并更新了多版征求意見稿(最新版本為2019年10月24日左右發(fā)布,以下簡稱“2019年意見稿”)�,該等修改中的大部分內(nèi)容已在本次2020年信息安全規(guī)范中被采納��,同時也在近年主管部門網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)的排查和整頓工作中得到貫徹落實,已經(jīng)反映在2020年信息安全規(guī)范頒布前的一系列重要整頓文件中,以及反映在許多APP的隱私政策文本和APP的實際設(shè)計當中����。
舉例而言����,該等修改中要求�,不得強迫個人信息主體一次性接受并授權(quán)多項業(yè)務功能的個人信息收集����,在此前國家互聯(lián)網(wǎng)信息辦公室等主管機關(guān)發(fā)布的《App違法違規(guī)收集使用個人信息行為認定方法》及App專項治理工作組推進的專項整治行為中都得到了體現(xiàn)和落實。
本文就2020年信息安全規(guī)范中體現(xiàn)的對2018年信息安全規(guī)范及2019年意見稿的主要修改進行了梳理和分析�,其中特別值得關(guān)注的有:
(1)刪除了個人信息控制者“不應大規(guī)模收集中國公民“種族��、民族、政治觀點�����、宗教信仰等個人敏感信息”的表述
該等刪減可能考慮到在實踐中存在的一些網(wǎng)絡(luò)運營者受國家機關(guān)委托進行此類信息收集和處理工作的情況�,為避免對企業(yè)和其它單位的業(yè)務和工作開展設(shè)置不必要的障礙,進行了這項調(diào)整�����。
同時����,2020年信息安全規(guī)范也關(guān)注到“種族、民族����、政治觀點�����、宗教信仰”等個人敏感信息的重要性,一旦泄露���,可能會對國家和社會安全與穩(wěn)定造成威脅,因此要求個人信息控制者不應披露對前述信息的分析結(jié)果����。
(2)對收集��、存儲�����、共享和轉(zhuǎn)讓個人生物識別信息的特殊要求
i. 收集個人生物識別信息應當單獨告知個人信息主體相關(guān)規(guī)則并獲得其授權(quán)
個人生物識別信息包括個人基因����、指紋���、聲紋�����、掌紋��、耳廓、虹膜、面部識別特征等��。
考慮到個人生物識別信息對個人人身和財產(chǎn)安全的重要性及全球范圍內(nèi)的個人生物識別信息泄露的擔憂,2020年信息安全規(guī)范對收集個人生物識別信息的授權(quán)提出更為嚴格的要求��,要求個人信息控制者“單獨告知”并取得個人信息主體的“明示同意”��。
從操作上看�����,對收集個人生物識別信息的行為制定單獨的隱私政策可能是滿足這一要求的更好的實踐;同時�����,就該等聲明或規(guī)則還應以彈窗等方式向個人信息主體發(fā)布并實現(xiàn)個人信息主體以主動勾選等明示同意方式作出授權(quán)���。
ii .個人生物識別信息的存儲要求
a. 個人生物識別信息應與個人身份信息分開存儲���。就此�����,個人信息控制者應當考慮對分類收集和存儲個人信息,并在內(nèi)部系統(tǒng)中采用數(shù)據(jù)隔離墻等技術(shù)措施實現(xiàn)該等要求。
b.個人信息控制者原則上不得存儲原始個人生物識別信息���,可采取的措施包括:
iii. 共享和轉(zhuǎn)讓個人生物識別信息的特殊要求
個人生物識別信息原則上不應共享����、轉(zhuǎn)讓。因業(yè)務需要,確需共享�、轉(zhuǎn)讓的,應單獨向個人信息主體告知目的��、涉及的個人生物識別信息類型�、數(shù)據(jù)接收方的具體身份和數(shù)據(jù)安全能力等,并征得個人信息主體的明示同意
(3)對個人信息主體注銷賬戶要求的修改
i.不再要求個人信息控制者必須設(shè)置“注銷功能交互式頁面”�����;
ii. 明確個人信息控制者對注銷賬戶請求的響應時限不得超過15個工作日����,該等要求與《App違法違規(guī)收集使用個人信息行為認定方法》中關(guān)于注銷賬戶的承諾時限基本保持一致;
iii. 對于存在必要業(yè)務關(guān)聯(lián)關(guān)系的產(chǎn)品和服務的部分注銷�����,應當主動提示個人信息主體注銷的詳細后果�,包括一旦注銷某個產(chǎn)品或服務的賬戶,將會導致其他產(chǎn)品或服務的必要業(yè)務功能無法實現(xiàn)或者服務質(zhì)量明顯下降等后果的說明��;
iv. 在多個產(chǎn)品和服務共用同一賬戶的情況下��,注銷賬戶時可能對沒有獨立的賬戶體系的產(chǎn)品或服務產(chǎn)生影響時�����,可采取對賬號內(nèi)該等產(chǎn)品或服務以外的其他個人信息刪除的方式,并切斷賬戶體系與該等產(chǎn)品或服務的關(guān)聯(lián)�����,從而實現(xiàn)保留產(chǎn)品和服務與待注銷賬戶的分離;
v. 個人信息主體注銷賬戶后,應及時刪除其個人信息或做匿名化處理�����。因法律規(guī)規(guī)定需要留存?zhèn)€人信息的�����,不能再次將其用于日常業(yè)務活動中。
(4)采用交互式頁面提供產(chǎn)品或服務的個人信息控制者�,宜設(shè)置便捷的交互式頁面以響應個人信息主體的請求
2020年信息安全規(guī)范對采用如網(wǎng)站�����、移動互聯(lián)網(wǎng)應用程序、客戶端軟件等交互式頁面方式提供產(chǎn)品或服務的企業(yè)����,響應個人信息主體的訪問���、更正���、刪除���、撤回授權(quán)同意���、注銷賬戶等各類請求提出了更高的合規(guī)要求���;但是��,在目前的實踐中,該等企業(yè)仍存在以交互式頁面提供產(chǎn)品或服務的企業(yè)通過郵件�、電話等方式響應個人信息主體請求的情況有待改善��。
(5)任命專職個人信息保護負責人和個人信息保護工作機構(gòu)的門檻調(diào)整
2020年信息安全規(guī)范對需要設(shè)置專崗專人進行安全保護的要求進行的調(diào)整,其中:(i) 修改了處理個人信息數(shù)量的門檻從50萬增加至100萬��;(ii) 對處理個人敏感信息需要設(shè)立專職的個人信息保護負責人和個人信息保護工作機構(gòu)的情形���,增加了處理超過10萬人的個人敏感信息的門檻�����。
(三)《中華人民共和國民法典》
全國人民代表大會于2020年5月28日通過了《中華人民共和國民法典》(“《民法典》”),該法典將于2021年1月1日起正式施行?����!睹穹ǖ洹贰叭烁駲?quán)編”第六章延續(xù)了《中華人民共和國民法總則》和《網(wǎng)絡(luò)安全法》中對個人信息的相關(guān)保護規(guī)定����,并且進一步明確了處理個人信息的原則和條件、自然人的個人信息救濟權(quán)利、信息處理者個人信息保護義務����、法定機構(gòu)及其工作人員對個人信息的保密義務等內(nèi)容�。其中���,特別值得關(guān)注的是:
(1)《民法典》對個人信息與隱私權(quán)作出了銜接:根據(jù)《民法典》第1034條規(guī)定��,個人信息中的私密信息�,適用有關(guān)隱私權(quán)的規(guī)定��;沒有規(guī)定的�����,適用有關(guān)個人信息保護的規(guī)定。由此可見����,當自然人被侵害的信息既屬于個人信息又屬于私密信息時�,其可以選擇適用隱私權(quán)保護的規(guī)定保護其利益,當隱私權(quán)無法保護其權(quán)益時���,也可適用于關(guān)于個人信息保護的規(guī)定。
(2)個人信息權(quán)益的救濟方式:除可以要求侵權(quán)主體承擔侵權(quán)責任外�,《民法典》參考《信息安全技術(shù) 個人信息安全規(guī)范》的相關(guān)要求,規(guī)定當自然人的個人信息遭受或可能遭受特定情況的損害時,其還可以向信息處理者查閱或者復制其個人信息;發(fā)現(xiàn)信息有錯誤的,有權(quán)提出異議并要求更正;信息處理者違反法律����、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的�����,自然人有權(quán)要求刪除其個人信息。
(3)信息處理者處理個人信息的免責事由:《民法典》規(guī)定,信息處理者處理個人信息的行為在特定條件下可以不承擔民事責任�,具體條件包括:該行為是在自然人或者其監(jiān)護人同意的范圍內(nèi)合理實施的���;該行為是在合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息(但是�����,該自然人明確拒絕或者處理該信息侵害其重大利益的除外);該行為是為維護公共利益或者該自然人合法權(quán)益����,合理實施的其他行為����。
(四)《浙江省公共數(shù)據(jù)開放與安全管理暫行辦法》
浙江省人民政府于2020年6月12日發(fā)布了《浙江省公共數(shù)據(jù)開放與安全管理暫行辦法》(“《暫行辦法》”)����,該辦法將于2020年8月1日起正式施行,對浙江省行政區(qū)域內(nèi)的公共數(shù)據(jù)開放、利用和管理作出了規(guī)定�����。其中����,特別值得關(guān)注的是:
(1)公共數(shù)據(jù)的范圍和分類:指各級行政機關(guān)以及具有公共管理和服務職能的事業(yè)單位���,在依法履行職責過程中獲得的各類數(shù)據(jù)資源���。根據(jù)數(shù)據(jù)開放的風險程度��,將公共數(shù)據(jù)分為無條件開放��、受限開放、禁止開放三類��,并針對不同風險類別設(shè)置了有差異的開放方式��。
(2)禁止開放的公共數(shù)據(jù)
i. 依法確定為國家秘密的����;
ii. 開放后可能危及國家安全����、公共安全、經(jīng)濟安全和社會穩(wěn)定的�;
iii. 涉及商業(yè)秘密���、個人隱私的�;
iv. 因數(shù)據(jù)獲取協(xié)議或者知識產(chǎn)權(quán)保護等禁止開放的���;
v. 法律��、法規(guī)規(guī)定不得開放或者應當通過其他途徑獲取的�。
前述(i)-(v)款所列的公共數(shù)據(jù)����,依法已經(jīng)脫敏、脫密等技術(shù)處理��,符合開放條件的����,可以列為無條件開放類或者受限開放類公共數(shù)據(jù)。
前述(iii)款所列涉及商業(yè)秘密�����、個人隱私的公共數(shù)據(jù)不開放將會對公共利益造成重大影響的�,公共數(shù)據(jù)開放主體可以將其列為無條件開放類或者受限開放類公共數(shù)據(jù)。
(3)受限開放的公共數(shù)據(jù)
i. 涉及商業(yè)秘密�����、個人信息的公共數(shù)據(jù)�����,其指向的特定公民����、法人和其他組織同意開放�����,且法律����、法規(guī)未禁止的���;
ii. 開放將嚴重擠占公共數(shù)據(jù)基礎(chǔ)設(shè)施資源���,影響公共數(shù)據(jù)處理運行效率的���;
iii. 開放后預計帶來特別顯著的經(jīng)濟社會效益��,但現(xiàn)階段安全風險難以評估的。
公民�����、法人和其他組織可以向公共數(shù)據(jù)開放主體提出獲取受限開放類數(shù)據(jù)的服務需求�,但應當符合規(guī)定的數(shù)據(jù)存儲、數(shù)據(jù)處理��、數(shù)據(jù)安全保護能力等條件并達到相應的信用等級��。
后記:
海問在網(wǎng)絡(luò)安全�����、數(shù)據(jù)合規(guī)領(lǐng)域積累豐富的經(jīng)驗,亦持續(xù)關(guān)注不斷更新的法律法規(guī)及與數(shù)據(jù)合規(guī)有關(guān)的時事熱點。您可通過如下鏈接瀏覽此前的《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動態(tài)》:
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動態(tài)》(2019年9月上半月)
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動態(tài)》(2019年9月下半月-10月上半月)
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動態(tài)》(2019年10月下半月-11月)
《海問觀察:網(wǎng)絡(luò)安全及數(shù)據(jù)合規(guī)動態(tài)》(2019年12月)
