《个人信息安全规范》修订草案：用心良苦、主动自律

《草案》带来的最强信号首当其冲即是，仅依靠隐私政策获得一揽子授权的情形将成为历史，企业要真正地将收集个人信息的决定权还于民众。2019年1月25日，中央网信办、工信部、公安部、市场监管总局四部门召开新闻发布会，联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》。公告指出，将开展为其一年的针对移动互联网应用程序（下称“APP”）强制授权、过度索权、超范围收集个人信息、违法违规使用个人信息的专项治理工作，完成千款左右用户数量大、社会关注度高的APP评估工作。当天，央视《新闻1+1》播出了题为“个人信息泄露治理：从APP开始”的专题节目，其中一段问答很有价值。

主持人白岩松问：这项专项治理行动大家能够看到力度，同时也会看到含糊，企业是否会采取观望的态度，临到收尾再整改？您怎么看待这一年与未来的关系？

中国电子技术标准化研究院信息安全研究中心审查部总监何延哲答：公告正文首先提出很多倡导性的要求，给企业传达的信号是，如果能够尽快按照要求整改提升…

白岩松：越自律越自由，不自律才会被修理。

何延哲：对，传达的就是这个意思。

新形势下的执法更加关注综合治理，不仅有打击，还有认证等鼓励措施，《草案》就如何自律为企业指明了方向。 2019 年 2 月 2 日，中国网络安全审查技术与认证中心（ CCRC ）公布了首批个人信息安全管理体系认证结果，支付宝、腾讯云等成为国内首批通过认证的试点单位。 《网络安全法》以“必要”为收集个人信息的合理范围进行界定，但现状是开发者单方以各种理由证明个人信息收集的必要性并全部写入隐私政策，以此符合“公开收集、使用规则，明示收集、使用信息的目的、方式和范围”的要求，并通过用户同意接受隐私政策实现“经被收集者同意”的合规要求，民众的自主决策权并未充分得到保障。为解决此问题，《草案》增加了“不得强迫收集个人信息”专条，禁止企业进行功能捆绑或以一揽子授权形式收集个人信息，不仅明确要求应提供关闭或退出业务功能的途径，而且其应与选择使用业务功能的途径同样便捷。同时，《草案》建议区分基本业务功能和扩展业务功能，以此作为中国版的强制收集破解路径，对应GDPR下个人信息处理的合法事由和美国法下的合理期待。

区分基本业务功能和扩展业务功能的核心目的是保障用户的选择同意权，其基础逻辑为基本业务功能所需收集的个人信息为提供基本服务的必要信息，用户不同意收集时企业可以拒绝提供该业务功能；而用户即使不提供扩展业务功能所需的个人信息仍可以使用基本服务。《草案》明确要求隐私政策应“区分基本业务功能及其运行所必要收集的个人信息，以及扩展业务功能及其运行所必要收集的个人信息，涉及个人敏感信息的，需明确标识或突出显示”。相应地，附录C则建议了两种功能开启前获得用户明示同意的形式，即：就基本业务功能，除告知基本业务功能所必要收集的个人信息类型，还需要告知拒绝提供产生的影响，通过个人的肯定性动作征得明示同意；就扩展业务功能，需要允许个人能够对功能逐项选择同意，并限制了反复征求迫使用户同意收集的行为。

落实基本业务功能和扩展业务功能划分的难点在于如何区分，如果完全交由企业自主划分是否会因掌握尺度不一而出现不公平的现象？首先，《草案》明确划分时应基于用户选择、使用相关产品或服务的根本期待和最主要的需求，而非企业开展业务的需求。因此，企业在划分时应从用户角度出发，否则势必受到市场与舆论的监督。其次，根据前述公告，信安标委、消协、互联网协会、网络空间安全协会将编制大众化应用基本业务功能及必要信息规范、APP违法违规收集使用个人信息治理评估要点，从而提出各类应用程序基本功能与扩展功能的划分指引，以期统一标准。合规评论将关注前述规范的进展。

《草案》倡导APP运营者在定向推送新闻、时政、广告时，为用户提供拒绝接收定向推送的选项。Facebook剑桥分析事件一经曝光在全球范围内引起了激烈的讨论甚至恐慌，不仅因为数据滥用规模之大令人咋舌，更在于大数据影响价值取向、意识形态甚至政治权利的能力之强让人细思恐极。互联网上，个性化展示快速精确捕捉需求也成为现象级话题。广大网民对于个性化展示日趋精准的恐惧，直接来自于被全网监控和追踪的感觉，进一步原因则是广告网络（ad network）对用户行为信息处理逻辑的不公开，个人对于是否接收个性化展示无能为力。

目前针对个性化展示尚无明确的法律规定，最具有参考价值的是《电商法》第十八条有关搜索结果的规定，主要思路为应当向用户提供不针对个人特征的选项。《草案》对个性化展示的规定也体现了类似的思路，要求个人信息控制者（1）以显著方式标明其“定推”性质；（2）提供简单直观的退出个性化展示模式的选项；（3）宜建立机制以使得个人信息主体可以删除或匿名化处理个性化展示活动所依赖的个人信息。前述规定体现了逐层渐进的立法思路：标明“定推”最为表面直接；提供退出选项则是将保障落实到位，不仅要提供还要易于获得；个人自主控制个性化展示所依赖的个人信息的能力则是终极保障。展示功能的开启或关闭仅仅影响特定的内容能否展现在用户面前，却无法影响已经形成的个人标签或画像。《草案》正是针对这一情况，鼓励企业建立起个人信息主体对画像活动的控制权，使得用户不但可以选择看不看个性化展示，还可以拒绝企业进行特定的画像处理。此条规定将“应”变为“宜”，一字之差体现了标准制定者平衡大数据发展与个人信息保护的良苦用心，同时也暗示下一阶段合规的发展方向。

前文提到，用户画像的处理活动通常伴随着数据的汇聚融合，去标识化处理后的数据集在与其他数据集汇聚后重新识别出个人信息主体的风险将大幅增加。因而，《草案》要求企业除了遵循使用限制外，还要根据汇聚后的使用目的开展个人信息安全影响评估，并采取适当的个人信息保护措施。《个人信息安全影响评估指南》草案已于去年6月公布并征求意见，相信各类标准的组合使用将为新型数据处理活动提供更清晰地指引。

《草案》从组织管理视角出发，充分考量了企业在实践中常见的合规痛点，为广大企业提供了数据合规“行为落地”的最佳实践范本。

《草案》首次对“个人信息保护负责人”的选任提出了明确要求，“应由具有相关管理工作经历和个人信息保护专业知识的人员担任”。同时还对其权责设置作出规定：1）个人信息保护负责人“直接向组织主要负责人报告工作”；2）组织应为个人信息保护负责人和个人信息保护工作机构“提供必要的资源，保障其独立履行职责”。

《草案》首次提出个人信息控制者宜建立、维护和更新对个人信息处理互动的记录，并明确了需要记录的事项，便于企业在实际业务场景中对个人信息的处理情况进行核查。这一建议与GDPR第30条处理活动记录有异曲同工之妙。显然，要完成此项记录仅凭制定政策、开展培训远远不够，企业需要对其所涉及个人信息的收集处理情况及接触的信息系统和人员有充分了解，基础的数据核查（Data Mapping）工作必不可少，该等记录也是数据合规体系建设的基础。

建立数据合规体系的现实意义早已显现，是企业面临执法与诉讼时证明已履行合规义务的重要依据，并已经获得司法的认可。2018年11月20日，北京市朝阳区法院作出一审判决，认定北京链家房地产经纪有限公司前员工侵犯客户个人信息的侵权行为成立。法院判决同时指出，该侵权事实的发生与链家公司内部监管漏洞直接相关，原因是链家公司未建立信息安全管理制度和操作规程，未对客户敏感信息进行加密处理，其要求经纪人拍照上传资料的做法，亦增加了侵犯个人信息的可能性和危险性。最终，法院向北京市住建委和链家公司发出司法建议。

《草案》首次对第三方接入的情形为企业提供了管理框架，颇具现实意义。当下互联网服务之间的嵌入、接入比比皆是，企业早已习惯通过互联互通的方式实现资源的互助与整合。第三方接入带来实惠的同时，第三方管理的合规风险也相伴而生。

常有客户向笔者咨询，在第三方管理上除了合同约束外，是否需要采取进一步措施，《草案》在此给出了答案。针对可被认定为委托处理和共同个人信息控制以外的第三方（即独立的个人信息控制者），除了建立第三方接入管理机制和工作流程、以合同形式明确安全责任、向用户明确标识产品或服务由第三方提供外，企业还应要求第三方向用户征得收集个人信息的授权同意。如果第二方开发者在告知文本中说明第三方开发者的存在及收集个人信息的规则，并代其取得用户同意，该种做法用户只能一次性给出对两方的同意，系强制捆绑的一种，正是此次《草案》要重点矫正的情况；如果第二方开发者仅声明其对第三方的个人信息处理行为不负责任，则违反《草案》要求核实第三方实现向用户征得收集个人信息授权同意的要求。不仅如此，企业还需要求第三方建立机制以响应个人信息主体的请求、申诉，督促和监督第三方加强个人信息安全管理，必要时可停止接入。作为建议，《草案》鼓励企业利用技术检测和审计手段对第三方的处理行为进行管理和适时干预。“行为落地”的指导精神再次得到彰显。

《草案》还进一步细化了《网络安全法》第二十二条规定的 “双告知”义务在个人信息保护场景下的适用标准：如个人信息泄露事件可能会给个人带来较大影响，如个人敏感信息的泄露，应当向个人信息主体进行告知；发生超过100万人个人信息或者关系国计民生、公共利益的个人敏感信息泄露、毁损、丢失的安全事件，应将有关情况报告网信部门。这为企业进行安全事件处置提供了切实有效的行动指引，避免实践中因为危害不大的事件频繁告知或报告造成用户恐慌、占用行政资源，也避 ‍ ‍ ‍ ‍ ‍ 免 ‍ ‍ ‍ 企业心存侥幸而不告知、造成损害的扩大。