繼 2017 年 12 月《信息安全技術(shù) 個人信息安全規(guī)范》發(fā)布之后,時隔兩年多,歷經(jīng)兩次公開向社會征求意見,3 月 6 日,《規(guī)范》有了新的變化調(diào)整,包括:
新增「多項業(yè)務(wù)功能的自主選擇」「用戶畫像的使用限制」「個性化展示的使用」「第三方接入管理」「個人信息處理活動記錄」等多項內(nèi)容,并將個人生物識別信息的要求細化并完善。
在收集個人生物識別信息前,需單獨向用戶告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規(guī)則,并征得用戶的明示同意;其次,虛擬主機,個人生物識別信息要與個人身份信息分開存儲,原則上不應(yīng)存儲原始個人生物識別信息。
新版《規(guī)范》能否為個人信息安全栓上一道「鎖」,讓我們拭目以待。
3 月 6 日,國家市場監(jiān)督管理總局、國家標準化管理委員會正式發(fā)布國家標準《信息安全技術(shù) 個人信息安全規(guī)范》(下稱《規(guī)范》),并定于 2020 年 10 月 1 日實施。
該《規(guī)范》對個人信息收集、儲存、使用做出了明確規(guī)定,并規(guī)定了個人信息主體具有查詢、更正、刪除、撤回授權(quán)、注銷賬戶、獲取個人信息副本等權(quán)力。
個人信息安全規(guī)范
一 《信息安全技術(shù) 個人信息安全規(guī)范》早有淵源
早在 2017 年 12 月,全國信息安全標準化技術(shù)委員會組織制定和歸口管理的國家標準 GB/T 35273-2017《信息安全技術(shù) 個人信息安全規(guī)范》就已正式發(fā)布,當(dāng)時《規(guī)范》規(guī)定將于 2018 年 5 月 1 日實施。
2019 年 6 月,據(jù) App 專項治理工作組顯示,《規(guī)范》公開向社會征求意見,截止 10 月,標準編制組共收到并處理意見約 400 條。基于各單位反饋意見以及 App 違法違規(guī)收集使用個人信息專項治理工作實踐經(jīng)驗。
此后,標準編制組對征求意見稿版本予以補充完善、優(yōu)化和更新,2019 年 10 月 24 日,《信息安全技術(shù) 個人信息安全規(guī)范》最新版征求意見稿(簡稱「新版征求意見稿」)對外發(fā)布。相比 6 月份的征求意見稿,新版征求意見稿規(guī)定,App 應(yīng)提供簡便易操作的注銷功能,核驗身份時不得要求用戶提供超過注冊、使用時收集的個人信息。
二 「不應(yīng)存儲原始個人生物識別信息」
2020 版《規(guī)范》繼續(xù)沿用了 2017 版的七大原則,分別是:權(quán)責(zé)一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開透明原則、確保安全原則、主體參與原則。
與 2017 版《規(guī)范》相比,2020 版也有了新變化。
首先,個人信息安全規(guī)范無外乎用戶隱私泄露問題,而從 2019 年 10 月「人臉識別第一案」到之后爆出的人臉照片黑色產(chǎn)業(yè)鏈,以及各類 APP「換臉大法」,都讓個人隱私成為技術(shù)發(fā)展應(yīng)用后,大眾追問的話題,便利用戶、技術(shù)運用不應(yīng)該成為竊取用戶隱私的「遮羞布」。
針對個人生物識別信息方面,新版《規(guī)范》也提出具體的解決措施。
《規(guī)范》規(guī)定在收集個人生物識別信息前,應(yīng)單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍,以及存儲時間等規(guī)則,并征得個人信息主體的明示同意。
第一,個人生物識別信息要與個人身份信息分開存儲;
第二,原則上不應(yīng)存儲原始個人生物識別信息,可采取的措施包括但不限于:
僅存儲個人性別信息的摘要信息;在采集終端中直接使用個人生物識別信息實現(xiàn)身份識別、認證等功能;在使用面部識別特征、 指紋、掌紋、虹膜等實現(xiàn)識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。
其次,此版《規(guī)范》增加了「多項業(yè)務(wù)功能的自主選擇」「用戶畫像的使用限制」「個性化展示的使用」「基于不同業(yè)務(wù)目所收集個人信息的匯聚融合」「第三方接入管理」「個人信息安全工程」「個人信息處理活動記錄」等內(nèi)容。
在「多項業(yè)務(wù)功能的自主選擇」方面,根據(jù)個人信息主體選擇、使用所提供產(chǎn)品或服務(wù)的根本期待和最主要的需求,劃定產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能,產(chǎn)品或服務(wù)所提供的基本業(yè)務(wù)功能之外的其他功能,劃定為擴展業(yè)務(wù)功能。
據(jù)《規(guī)范》顯示,擴展的業(yè)務(wù)功能,歐洲服務(wù)器,應(yīng)允許個人信息主體逐項選擇同意。用戶不同意的,個人信息控制者不得反復(fù)征求用戶同意,除非用戶主動選擇開啟擴展功能,且不應(yīng)拒絕提供基本業(yè)務(wù)功能或降低基本業(yè)務(wù)功能的服務(wù)質(zhì)量。
在選擇同意的流程中,《規(guī)范》建議,應(yīng)通過如彈窗、文字說明、填寫框、提示條、提示音等形式進行提示,并且要讓用戶主動做出肯定性的動作,比如勾選、點擊「同意」或「下一步」。
