|
|
|
|
|
|
来源: 发布日期:2019.06.28 点击量:
自《网络安全法》2017年6月1日生效以来,有关加强个人信息保护的内容引发了社会各界的广泛关注。但由于立法层面相对较为原则化,也给诸多企业的个人信息保护合规工作带来了较大的困扰。6月25日,全国信息安全标准化技术委员会发布了关于征求《信息安全技术 个人信息安全规范》国家标准意见的通知。
国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》,作为我国个人信息保护的风向标,作为基于网安法中个人信息安全内容所延伸出的具体规范,对企业收集、使用、共享个人信息等行为、个人信息安全事件处理以及组织的管理等提出了较为详细、明确的指引和参考,其附录C和D也对企业在保障个人信息主体选择权以及制定隐私政策等方面提供了相应的模板,对企业的合规工作具有较高的参考价值,值得特别关注。(以下简称《个人信息安全规范》)
对企业的法律效力
一方面, 《个人信息安全规范》可因企业自愿遵守而产生约束力。根据《国务院办公厅关于印发国家标准化体系建设发展规划 (2016-2020年) 的通知》, 国家标准体系建设遵循“强制性标准守底线、推荐性标准保基本、企业标准强质量的原则”。作为个人信息安全方面的基本通用规范,《个人信息安全规范》的遵守与否不但是国家是否给予政策优惠的标准,也将成为企业是否具有基本保障措施的试金石。在竞争压力和声誉机制下,企业将不得不自愿遵守。根据原国家技术监督局《企业标准化管理办法》第17条第2款“推荐性标准,企业一经采用,应严格执行之规定,一旦企业通过用户合同、隐私协议或其他类型的文件对《个人信息安全规范》做出承诺,则必须受其约束。
《网络安全法》(以下简称网安法)对个人信息保护的规定有一个非常显著的特征,就是给个人特别强的控制权。比如说,收集使用信息需要个人的同意,即经被收集者同意;处理和保存必须遵循与用户的协定;如果违反用户的协定处理或者保存个人信息,用户有删除和更正的权利。当发生安全事件之后,还需要通知到用户。
因此,《个人信息安全规范》中明确要求:
1.不可强迫用户接受多项业务功能
当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。
要求把用户自主选择行为作为产品或服务的特定业务功能的开启条件,且应向个人信息主体告知收集、使用个人信息的目的、方式和范围,并获得个人信息主体的授权同意才可以收集个人信息。
《规范》在后文中明确提出:个人信息主体选择关闭或退出特定业务功能后,个人信息控制者应停止该业务功能的个人信息收集活动,且不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量。
2.对个人信息删除、撤回授权的情形
个人信息删除是个人信息主体最为重要的权利,标志着个人信息主体可以有效的管理自己的个人信息。在《数据安全管理办法(征求意见稿)》当中也有条款规定:网络运营者收到有关个人信息删除以及用户注销账号请求时,应当在合理时间和代价范围内予以删除或注销账号。《规范》在7.10章节中详细规定了个人信息控制者应当及时删除个人信息的几种情形。
我们可以简单总结为:1.个人信息控制者违反法律法规及约定;2.个人信息主体要求删除个人信息,当上述两个条件满足时,个人信息控制者应及时删除个人信息。
另外《规范》要求,个人信息主体注销账户后,应及时删除其个人信息或做匿名化处理。
3.推送不可使用直接用户画像
《规范》在“个人信息的使用”一章中对推送再次做出了明确要求,除了《数据安全管理办法》当中要求的:用户可以选择关闭商业推送,并删除相关个人信息之外,还要求商业推送不可使用直接用户画像,且明确要求不可针对个人特征提供个性化展示。
也就是说,各大App只能通过用户的选项提供个性化展示,网友们所害怕的“无所不知”的推送将会绝迹江湖。
附:主要修订内容
本标准与GB/T35273-2017的主要差异如下:
——“3 缩略语”中补充了内容;
——增加了“5.3不得强迫收集个人信息的要求”;
——“5.7 征得授权同意的例外”进行了修改;
——增加了“7.4 个性化展示及退出”;
——增加了“7.5 基于不同业务目所收集的个人信息的汇聚融合”;
——增加了“8.7 第三方接入管理”;
——修改了“10.1 明确责任部门与人员;
——增加“10.2 个人信息处理活动记录;
——修改了“资料性附录C 保障个人信息主体选择同意权的方法”。
——增加了“附录 C.1 区分基本业务功能和扩展业务功能”、“C.2基本业务功能的告知和明示同意”、“C.3扩展业务功能的告知和明示同意”。
相关新闻:
