繼 2017 年 12 月《信息安全技術 個人信息安全規范》發布之后，時隔兩年多，歷經兩次公開向社會征求意見，3 月 6 日，《規范》有了新的變化調整，包括：

新增「多項業務功能的自主選擇」「用戶畫像的使用限制」「個性化展示的使用」「第三方接入管理」「個人信息處理活動記錄」等多項內容，并將個人生物識別信息的要求細化并完善。

在收集個人生物識別信息前，需單獨向用戶告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規則，并征得用戶的明示同意；其次，虛擬主機，個人生物識別信息要與個人身份信息分開存儲，原則上不應存儲原始個人生物識別信息。

新版《規范》能否為個人信息安全栓上一道「鎖」，讓我們拭目以待。

3 月 6 日，國家市場監督管理總局、國家標準化管理委員會正式發布國家標準《信息安全技術 個人信息安全規范》（下稱《規范》），并定于 2020 年 10 月 1 日實施。

該《規范》對個人信息收集、儲存、使用做出了明確規定，并規定了個人信息主體具有查詢、更正、刪除、撤回授權、注銷賬戶、獲取個人信息副本等權力。

個人信息安全規范

一 《信息安全技術 個人信息安全規范》早有淵源

早在 2017 年 12 月，全國信息安全標準化技術委員會組織制定和歸口管理的國家標準 GB/T 35273-2017《信息安全技術 個人信息安全規范》就已正式發布，當時《規范》規定將于 2018 年 5 月 1 日實施。

2019 年 6 月，據 App 專項治理工作組顯示，《規范》公開向社會征求意見，截止 10 月，標準編制組共收到并處理意見約 400 條?；诟鲉挝环答佉庖娨约?App 違法違規收集使用個人信息專項治理工作實踐經驗。

此后，標準編制組對征求意見稿版本予以補充完善、優化和更新，2019 年 10 月 24 日，《信息安全技術 個人信息安全規范》最新版征求意見稿（簡稱「新版征求意見稿」）對外發布。相比 6 月份的征求意見稿，新版征求意見稿規定，App 應提供簡便易操作的注銷功能，核驗身份時不得要求用戶提供超過注冊、使用時收集的個人信息。

二 「不應存儲原始個人生物識別信息」

2020 版《規范》繼續沿用了 2017 版的七大原則，分別是：權責一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開透明原則、確保安全原則、主體參與原則。

與 2017 版《規范》相比，2020 版也有了新變化。

首先，個人信息安全規范無外乎用戶隱私泄露問題，而從 2019 年 10 月「人臉識別第一案」到之后爆出的人臉照片黑色產業鏈，以及各類 APP「換臉大法」，都讓個人隱私成為技術發展應用后，大眾追問的話題，便利用戶、技術運用不應該成為竊取用戶隱私的「遮羞布」。

針對個人生物識別信息方面，新版《規范》也提出具體的解決措施。

《規范》規定在收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規則，并征得個人信息主體的明示同意。

第一，個人生物識別信息要與個人身份信息分開存儲；

第二，原則上不應存儲原始個人生物識別信息，可采取的措施包括但不限于：

僅存儲個人性別信息的摘要信息；在采集終端中直接使用個人生物識別信息實現身份識別、認證等功能；在使用面部識別特征、 指紋、掌紋、虹膜等實現識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。

其次，此版《規范》增加了「多項業務功能的自主選擇」「用戶畫像的使用限制」「個性化展示的使用」「基于不同業務目所收集個人信息的匯聚融合」「第三方接入管理」「個人信息安全工程」「個人信息處理活動記錄」等內容。

在「多項業務功能的自主選擇」方面，根據個人信息主體選擇、使用所提供產品或服務的根本期待和最主要的需求，劃定產品或服務的基本業務功能，產品或服務所提供的基本業務功能之外的其他功能，劃定為擴展業務功能。

據《規范》顯示，擴展的業務功能，歐洲服務器，應允許個人信息主體逐項選擇同意。用戶不同意的，個人信息控制者不得反復征求用戶同意，除非用戶主動選擇開啟擴展功能，且不應拒絕提供基本業務功能或降低基本業務功能的服務質量。

在選擇同意的流程中，《規范》建議，應通過如彈窗、文字說明、填寫框、提示條、提示音等形式進行提示，并且要讓用戶主動做出肯定性的動作，比如勾選、點擊「同意」或「下一步」。