2018年1月,国家标准《信息安全技术 个人信息安全规范》(以下简称“规范”)获批发布全文。尽管这是一部推荐性的国家标准,不具有强制力,但仍引起了学界与实务界的广泛关注。
在关于规范的各类解读中,有声音认为规范的发布及时地填补了现今个人信息保护中诸多技术细节与实操领域的规范空白;也有声音认为,这部国家标准规范比欧洲与美国对于个人信息保护的要求更为严格,可能会影响行业的发展。
洪延青:
对“《个人信息安全规范》比欧盟与美国更严格”观点的几点回应
对于种种理解,规范的起草人之一、北京大学互联网发展研究中心高级顾问洪延青近日在由中国互联网协会研究中心主办的“网络产业与《个人信息安全规范》国家标准研讨会”上做出了几点回应。
1、《个人信息安全规范》比欧洲更严格吗?
-用户“同意”在规范中处于核心位置,但并非没有考虑“正当利益”
在近日发布的《个人信息安全规范》中,对于个人信息的收集、转让、共享等各个环节中,都对用户的“明示同意”做出了要求。
洪延青表示,个人信息所谓全生命周期每个环节,个人都是能参与到过程中去的,这些权利是《网络安全法》赋予的。
洪延青介绍,《网络安全法》(以下简称“网安法”)对个人信息保护的规定有一个非常显著的特征,就是给个人特别强的控制权。比如说,收集使用需要个人的同意,即经被收集者同意;处理和保存必须遵循与用户的协定;如果违反用户的协定处理或者保存个人信息,用户有删除和更正的权利。当发生安全事件之后,还需要通知到用户。
从这个方向来看的话,个人的“同意”,在处理个人信息过程中处于核心的地位。因此,有观点认为,这份标准中对于“同意”的要求甚至比欧洲GDPR(《一般数据保护条例》)更为严格,理由是 GDPR有六个合法正当处理个人信息的事由,同意是第一项,后面五项不需要同意。第六项是正当利益。
洪延青对此持不同意见,他解释,GDPR中有两种同意的方式,一种是明示同意(explicit consent),指明确写着“我同意”的字样让用户点击或勾选。而另一种是授权同意(unambiguous consent),指通过点击“发送”或者点击“拨打”等动作表明同意,但并不出现明文“同意”。
洪延青介绍,在此次发布的《个人信息安全规范》中,是将以上两种情况合并为“明示同意”,同时也为“授权同意”留下了空间。
“为什么规范中没有提及默示同意?”,洪延青解释,首先,这样写怕企业会滥用默示同意。其次,目前承认“授权同意”,是希望互联网企业做到明示同意,但如果现实大量的场景做不到明示同意的话,还是需要用到授权同意的。“从这一点上我们的标准实际上比欧盟松得多,跟相对宽松的美国相对是看齐的”,洪延青说。
而对于一些看法认为,欧盟GDPR中还考虑到“正当利益”的状况,即个人信息对某个组织来说非常重要,有重大的利益,但是处理个人信息对个人合法权益的影响非常小的情况下,通过利益权衡,允许组织不经过同意处理个人信息的做法。
洪延青表示,首先,“同意”的要求没有任何例外情况,这是遵循了网安法的要求,在其第41条的第一款中写“经被收集者同意”,这里没有给任何例外,如果网安法想给例外,这一条就完全另外一种写法,比如说,“有法律法规授权或者其他正当事由或者经被收集者同意”, 但是,(最终的网安法)没有“或”字,原文是“经被收集者同意”,字面上理解的话,遵循法律原意就是各个环节被收集者同意。包括后面条款说到,“未经被收集者同意,不能向他人提供”。这也是法律的原话,同意是提供的主要事由之一。当然后面提了一句如果匿名化不需要个人同意。
其次,洪延青指出,在现实中有什么样的场景经常用到正当利益,法院或者行政机关认可的站得住脚的对正当利益的使用实例,那么我们考虑写到“征得授权同意的例外”中。比如说产品出了一个故障,肯定需要回传一些信息做调试,再比如说需要计费,为了计费的目的肯定要收集个人信息。这时候,虽然在国外,这叫正当利益的具体表现,但是我们没有写“正当利益”四个字,而是尽量把它放到“征得授权同意的例外”当中去。
当然,由于例外只能列举,不可能代替 正当利益 所给的灵活性,所以会有人读起来觉得规范太严了。”洪延青表示,规范只能在网安法的框架中制定,不可能超越法律的框架。
2、《个人信息安全规范》比欧洲更严格吗?
-要求区分核心与非核心功能,实则可以降低企业问责风险
在此次发布的规范中,还对此前受到用户诟病的产品隐私政策“一揽子”授权的状况做出了改善的建议。
目前的互联网产品或服务在注册时大多会提供用户协议或隐私政策,作为与用户签订的个人信息使用处理的同意。但通常文本较长,专业术语众多。因此有用户认为隐私政策长文本晦涩难懂,还有“一揽子”要求用户授权的嫌疑。
洪延青对此解释,隐私政策长文本的读者并非只有用户,还包括专家、法律人士及第三方监督机构。因此长文本的全面专业依然有必要。
但他同时强调,即便点击了隐私政策长文本的同意,并不意味着附加功能同时一并打开。在现实使用中,还是需要再次点击同意。
洪延青介绍,为了破解“一揽子”授权的情况,标准建议企业区分核心功能和附加功能。用微信举例,微信核心功能是聊天,在实现这个核心功能中需要收集敏感信息或是普通个人信息,用户为了使用微信,都需要提供。但例如微信上的理财等功能,则明显属于附加功能,如果用户只想聊天,不想用理财,就不能认为同意了隐私政策就也同意开通了理财功能?所以规范建议企业在告知时区分核心和附加功能。
洪延青表示,在此前四部委进行的十家互联网产品评测中,一些企业虽然开始认为区分核心与非核心功能不容易,但在实际操作后,反而成为一个非常明晰的风险防控手段。将来面对消费者或者消协投诉时,可以由于做了核心或者附加功能的区分,而降低问责成本。
同样,此次规范对于个人敏感信息做出了增强式同意的要求,亦或是强调用户同意在各个环节的核心作用,实际上都是为了降低问责成本。洪延青介绍,实际上无论是欧盟还是美国,对于要尊重用户“正当期待”也都有要求,即需要遵守与用户的约定,要尊重用户的“正当期待”( reasonable expectation),这并非是中国才有。
洪延青表示,同意的要求变低,问责的要求往往就变高了。因为在现实中,这会让判断会更模糊,这会让内部合规考量更多更复杂。反而,在现在《网络安全法》框架下,同意比起问责,是相对容易做的事情。
需要注意的是,规范的发布对于企业内容合规提出了更明确的要求,洪延青介绍,完整性、保密性、可用性一直以来都是网络安全行业熟知的三个特性。此外,如今的合规,还要求企业剧本透明性(数据的处理、流转要透明)、可干预性(如果需要删除或更正,需要剧本溯源追究的能力)、不可联结性(在大数据平台中,不同场景不同目的的数据不能联结)。
洪延青认为,如果说个人信息系统要讨论合规性的话,要实现六个性,内部必须有数据分级分类、数据打标、数据地图、数据血缘关系、数据流向、留痕审计。这些都是基础的合规能力,用于满足的是对个人信息特殊对象的保护而不是对普通数据的保护。
洪延青还透露,目前《个人信息安全规范》已经发布,个人信息安全影响评估正在起草中,这一文本将会对企业合规的差距进行分析,并针对未来的新技术、新业态、新技术留出空间。个人信息安全影响评估将对企业合规有更明晰的指导性。
3、《个人信息安全规范》比欧洲更严格吗?
“个人信息”的定义并非全世界最严,与欧盟程度仍拉开了距离
《个人信息安全规范》附录A中有某项信息是不是个人信息的判断。洪延青介绍,规范的定义考虑两个路径,一是识别路径,即由信息本身特殊性识别出特定自然人。二是关联路径。 关联路径的前提是,个人已经识别出来了,他后续做的一系列动作,又被系统记录了,显示出他的偏好和行为轨迹,这些也属于个人信息。
洪延青指出,一些社交平台,把身份信息保护得很好,例如帐户、用户名、手机号、身份证号、家庭住址等等。但是,却把用户的朋友关系网络,例如特别关注的好友,屏蔽了谁,不屏蔽谁等等,叫做系统日志信息,而没有定义为个人信息,这是不合理的。他表示,在一些场景下,身份信息往往并没有行为信息更隐私,更需要保护。
此外,还有专家评论,识别是欧盟经常用的路径,关联是美国经常用的路径,把识别和关联都加起来,标准比美欧都严。洪延青认为这是一个误读。
据洪延青介绍,欧盟GDPR中的个人信息定义中,本身就包括“可识别”(identifiable )与“已识别”(identified),这实际上已经把识别和关联都包含在内了。所以规范首先并没有超过欧盟的严格程度。
需要注意的是,欧盟语境中的“身份“(identity)一词的内涵远比中文语境中“身份”更宽泛。中文语境的“身份”一本指的是工作单位、职位,职级等等。但是欧盟GDPR对“身份”的定义,则包括physical(身体的), physiological(生理的), genetic(基因的), mental(精神的), economic(经济的), cultural or social (文化与社会的)identity(身份)。 举例来说,一个人的性取向,在中国语境里并不认为是“身份”,但在欧盟就会认为是身份的一种。因此欧盟个人信息定义中包含的内容远大于中国。
而美国的情况也是如此,美国商务部下国家标准与技术研究院标准PⅡ将个人信息定义为两类,第一类是能够用来区别(distinguish)或勾勒个体身份的信息,第二类是能够和个人相关联的信息。洪延青解释,美国的定义也是包括了关联与识别两类。
洪延青表示,规范在制定时,可能会比美国稍严一点,但是绝对不会比欧洲更严,而且与欧洲拉开了一定的距离。
洪延青在发言的最后强调,法律往往都是框架性的要求,制定标准一定会在《网络安全法》的框架内,如果未来能够出台个人信息保护相关的专门法,那么规范会在那时候再适时做出修改,反映有弹性的操作空间。
吴沈括:《个人信息安全规范》提供了新的业务参照和行为指引
“在大数据、云计算、物联网以及人工智能等新一代信息技术迅速普及、推广的当下,个人信息与数据治理的战略意义日益凸显”,会议伊始,主持人、中国互联网协会研究中心秘书长吴沈括在发言中表示,包括规范在内的一系列政策、法律法规相继颁布施行,反映了主管部门对民众权益、产业发展和国家利益的高度重视,也折射出中国个人信息保护追求多元价值集合的鲜明特色。
吴沈括认为,在网络安全法治框架下,规范立足信息安全的维度,厘定、阐明了个人信息安全保护领域的诸多重要问题,如“个人信息”的基本定义、个人信息安全的基本要求等;并突出了个人信息全生命周期动态调节的机制特色。他指出,在目前我国个人信息处理规范相对不足的情况下,规范在实际操作层面填补了诸多空白,为提升公民意识、企业合规和国家监管水平提供了新的业务参照和行为指引。
在附录中,规范将具备识别特定自然人或者在一般情况下可以关联到自然人的信息纳入了个人信息的范畴。吴沈括对南都记者表示,这是因为规范的出发点是管控风险,其核心在于尽量降低在收集、处理个人信息过程中对个人合法权益造成的不利影响。
此外,附录还将通过日志储存的用户操作记录、IMEI信息、设备MAC地址等列入了个人信息范畴。不过,吴沈括强调,规范的附录属于“资料性附录”,而非“规范性附录”,两者的区别是:后者是构成标准整体的不可分割的部分,其效力等同于标准正文;前者则仅限于提供参考,不具备与标准正文同等的效力。
吴沈括指出,作为国家推荐性标准,规范的适用主体不仅限于网络企业,还包括所有个人、企事业单位和国家机关。“事实上,规范更恰当的功能定位应当是一个有关个人信息处理业务合规指引的一揽子推荐性解决方案,属于公共产品的范畴”,他进一步解释说,除非行为主体主动承诺、有权机关明确援引或法律规范直接认可,规范本身不直接产生行为约束力,也并非行政性规范,更不应在刑事责任层面产生实质性意义。
“个案思维和总体风险可控是两个维度的问题,在《个人信息安全规范》的个案运用中,特别需要注意行为边界的精准厘定”,吴沈括强调,规范的实际价值需要在 5月1日正式施行后,结合政府机关以及龙头企业的示范效应,尤其是有关部门的执法实践做出进一步的跟踪研判,同时还应特别注意数据跨境下的国际博弈可能产生的反向影响。
许长帅:个人信息保护立法应划分行政监管边界
中国信通院工业和信息化法律服务中心副主任许长帅在会上做了主题发言。他认为,虽然规范只是推荐性国家标准,但对于日常监管却有重要参考作用,可通过“转化”的方式,把规范融入到日常监管当中。此外,在后续的个人信息保护立法中,还应重点解决监管部门分工以及划分行政监管边界的问题。
规范可通过“转化”融入日常监管
近日,《个人信息安全规范》全文在国家标准全文公开系统上线。作为《中华人民共和国网络安全法》(以下简称“网安法”)的配套标准,规范从收集、保存、使用、共享、转让、公开披露等个人信息处理活动方面进行了详细规定。
“《个人信息安全规范》在网安法的框架内做了 打开 ,对实务有很好的指引作用,这一点是毋庸置疑的”,许长帅指出,网安法关于个人信息保护的规定条款较少,且多为原则性条款,而规范在此基础上给出了更加详细、明确的规则。此外,规范的出台符合产业发展的需要,也更靠近国际上通行的做法。“规范实施后积累的实践经验,将为后续的个人信息保护立法打下很好的基础”。
值得注意的是,规范属于推荐性国家标准,和强制性国家标准不同,不能作为执法的直接依据。对此,许长帅提出了一个对策,即通过“转化”的方式,把规范融入到日常监管当中。
许长帅表示,网安法中虽然给出了个人信息的定义并列举了其中一些,但对于没有被列举的信息中,还有哪些属于个人信息,尚无统一标准。规范作为有一定效力的国家标准,详细列举了个人信息、个人敏感信息的范围,完全可以融入网安法适用中。不过,尽管监管部门可以将规范当作执法指引,却不能成为执法依据。
同样的,执法部门后续制定规章和规范性文件的时候,可以参照规范所确定的规则,将相关制度融入到规章和规范性文件中,但不能将规范作为这些规章和规范性文件的立法依据。
企业违反规范是否需要承担法律责任?
对企业来说,规范在产业中的作用完全靠企业自主采用,就算企业不采用,也无需承担法律责任。但是,如果企业对外承诺或者宣称采用了规范而实际未采用,是否需要承担相应的法律责任?
许长帅认为,根据《标准化法》第27条“企业应当按照标准组织生产经营活动,其生产的产品、提供的服务应当符合企业公开标准的技术要求”和第36条“企业生产的产品、提供的服务不符合其公开标准的技术要求的,依法承担民事责任”,企业需要承担民事责任。
此外,许长帅还类比了《产品质量法》第26条“产品质量符合在产品或者其包装上注明采用的产品标准”,提出该法通过合格产品制度,要求产品对外宣示采用了哪个推荐性国家标准,如果实际上没有达到,执法部门可以进行处罚,即企业需承担行政责任。
相比之下,个人信息保护所属的服务领域就缺少类似规定。许长帅建议,未来个人信息保护立法应设计把个人信息保护推荐性国家标准转化为具有法律约束力的要求的制度。“如果没有做到,企业除了民事责任以外,还要承担行政法上的责任,这样可能更有利于企业的良好经营”,他说。
许长帅还指出了执法过程中可能出现的另一个问题。网安法第41条规定, 网络运营者收集、使用个人信息,应征得被收集者同意,并在第64条明确了相关罚则。规范也明确,收集个人信息应获得个人信息主体的授权同意,另外又列举了针对此条规定的例外情形。比如在与国家安全、国防安全直接相关的情形下,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意。
“假如企业说我是在规范列举的例外情形下,没有告知就收集了用户的信息,而用户依据网安法第41条和第64条要求执法部门处罚企业,应该如何执法?”许长帅提出,现阶段国家法律和规范之间仍存在一定差异,可能需要通过立法解释等方式解决,将来个人信息保护立法也应吸收规范的例外规则或其他要求。
后续个人信息保护立法要与执法做预判或衔接
谈到后续的个人信息保护立法,许长帅认为,有两个需要注意的问题。
一个是监管部门的分工问题。网安法没有明确规定具体的执法部门和主管部门,而个人信息保护问题涉及各个行业和领域,很难一一对应,因此实践中形成了分散监管的模式。许长帅举了一个在淘宝平台售卖医疗器械的例子:既然客户有购买医疗器械的需求,就说明家里有人需要器械辅助,那就很可能也需要家政服务,于是卖家将收集到的客户信息出售给家政服务公司,一个利益链条就串起来了。
“这种情况下,既涉及受电信部门管理的互联网信息服务,又涉及受工商部门管理的网络交易,还涉及受食药监部门管理的医疗器械,被侵犯个人信息的客户找谁投诉、找谁解决呢?”许长帅指出,谁来监管的问题需要立法部门在个人信息保护立法时重点解决。国外大多采取统一的监管模式,对用户来说有很多的便利,但也必须综合考虑统一监管涉及的执法力量、执法负担以及执法能力等因素。
另一个是行政监管的边界问题。许长帅指出,个人信息保护是在服务过程中存在的,发生纠纷应该首先寻求司法解决。但实际情况却是大多数人会第一时间找行政部门投诉和举报,试图通过信访、依法履职、投诉等途径解决。
近两年,与网络有关的投诉、举报和依法履职申请案件急剧增加,行政复议和行政诉讼的案件更是呈几何级增长。许长帅认为,这导致了极大的行政资源浪费。“个人信息保护涉及的服务是市场行为,产生的问题应该在市场规律下走司法途径解决,不是说政府部门负责某一行业的个人信息保护,这个行业出现的所有纠纷都要通过行政手段解决,这已经被证明是做不到的,况且行政成本说到底还是摊到公众头上。”
因此,许长帅建议,个人信息保护立法要明确划分行政监管的边界,与后面的执法做一个预判或衔接。如果前期立法的规则设计处理好了,为行政监管划清界限,个人信息保护的大部分案件就可以通过司法途径解决,有效减少行政执法纠纷。