数字时代,技术快速革新,应用场景不断增加。为实现数据利用与个人信息保护的平衡,数据安全治理不仅需要稳定且具有国家强制力的法律规范治理框架,也需要治理规则能够适应复杂的数据利用场景并区分风险等级进行精细化规范,并对新问题快速响应,输出解决方案。《个人信息安全规范》作为一部推荐性国家标准,并不具有法律强制力,但其在《网络安全法》个人信息保护的原则框架下,为网络运营者的个人信息保护提供了系统化的解决方案,并及时回应了数据治理中重点问题,弥补了法律规范的不足,因此得到广泛适用。2020年3月,国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》(“《个人信息安全规范》”)正式发布,并将于2020年10月1日实施,作为2017年发布的《个人信息安全规范》的修订版。《个人信息安全规范》的编制与修订,充分体现了国家标准对数据安全治理的重要作用,也为新技术领域国家治理提供了有益的案例。
一、增强了数据安全治理规则的弹性
数据安全治理须适应快节奏的技术发展需求,不仅要对数据利用中的暴露的风险及时提出规制措施,还需要对“不合时宜”的规制措施及时调整,以实现安全与发展的动态平衡。
法律规范虽具有国家强制力,但正因为有强制力,则更应注重法律规范的稳定性,否则会严重产业发展。如何于迅速变化之中在稳定性和适应性之间寻得平衡,是数据治理必须应对的棘手难题。[1]笔者认为破题思路就是发挥推荐性国家标准的适应性及其对法律规范的支撑与验证作用,以增加数据治理规则的弹性。
《个人信息安全规范》编制之初的主要目的是支撑《网安法》相关个人信息保护条款的落地,而其编制和修订的过程同时体现了对数据治理规则的验证过程。
2019年初,标准出台一年后,App强制授权、过度索权、超范围收集个人信息的现象仍大量存在,违法违规使用个人信息的问题仍十分突出,广大网民对此反映强烈。[2]因此,《个人信息安全规范》修订的主要任务就是对上述问题给予回应。比如新标准增加了“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同业务目所收集个人信息的汇聚融合”、“第三方接入管理”的规则,还细化了“个人信息主体注销账户”要求,实现了国家标准对数据治理问题的高效响应。2020版的《个人信息安全规范》(“新标准”)针对《网安法》及标准实施中的问题,进一步完善了“征得授权同意的例外”规定及个人信息与敏感个人信息清单等内容,使标准更具实操性。
新标准还对个人信息保护领域出现的生物识别信息保护、第三方(如SDK)接入及信息系统自动决策等前沿问题提供了解决方案,这些规则并没有照搬国外经验,而是立足中国产业实践,为数据安全治理法律规范的提供试点。
二、强化了数据安全治理的技术方案
随着数字技术发展,法律规范越来越无法避免专业技术问题。技术规范和法律规范相互交融已成为数据治理的必然趋势,上世纪90年代提出的“Privacy by Design”,(通过设计实现隐私)理念已在全球范围得到广泛认知[3],甚至有学者提出“代码即法律”的观点。[4]
《网络安全法》要求网络运营者收集和使用个人信息应遵循正当、合法、必要原则,并征得个人信息主体同意,同时还须采取技术措施等必要措施,确保其收集的个人信息安全。但上述规则较为原则,需要有更明确的标准和技术解决方案,这离不开技术标准的支撑。
用户个人信息本身通过计算机系统中的数据字段体现,APP收集、使用个人信息的正当合法必要则需通过规制系统权限控制、弹窗设计等技术措施实现;对个人信息安全保护更离不开安全技术标准。
上述内容均在《个人信息安全规范》中得到细化,标准不仅在正文中提出了具体的技术要求,还在通过后附的参考性附录,提供隐私政策、用户交互界面设计的模板以供参考。
新标准进一步强化了个人信息保护的技术方案。比如要求产品服务须实现“多项业务功能的自主选择”,“当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求”,“不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息”;新标准还增加了《实现个人信息主体自主意愿的方法》的资料性附录,不仅对实现“多项业务功能的自主选择”提出更详细的解决思路,还提供了交互式功能界面设计模板做为参考,避免APP通过捆绑功能强制要求用户授权个人信息,这是《网络安全法》个人信息使用须遵循“必要性”原则的技术实现方式之一。
三、细化了数据安全风险治理的场景
厘清数据安全的重点问题,根据不同数据利用场景的风险等级不同,给予精细化、精准化的规制方案,有利于减轻数据治理规则对产业发展的影响。
《个人信息安全规范》的编制与修订一直秉承风险治理的路径,结合国家个人信息保护工作的重点和难点问题,围绕个人信息保护主要威胁和风险点开展编制和修订工作。[5]标准不仅对当前个人信息保护的重点问题进行了回应,同时区分了数据利用的场景,给予更有针对性的规范要求。
比如新标准增加了对“个人信息的个性化展示”这一热点问题的规范要求。除通用性的规范外,还对电子商务及新闻信息服务这两类应用做出了差异化的具体规定。
由于推送新闻信息相较于推送商品存在更大的内容安全的风险,因此新标准对推送新闻信息的个性化展示提出更为严格的要求:“在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。”
而电商场景下则要求“向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项”。
四、提升了社会各界对数据安全治理的参与度
数据安全治理的技术化及治理场景的复杂性,要求规则制定者对安全技术和数据应用实务有深刻的理解,这在《个人信息安全规范》的编制和修订中,得到充分体现。
与国家法律规范由立法机关和监管机关独立制定不同的,国家标准参与编制的主体则更加多元,研究机构、高校与企业的技术、实务及法律专家均可参与编著组,不同领域的专家在标准编制过程中充分交流,使国家标准更接地气。而推荐性的国家标准具有 “自下而上”的自律规范属性。《个人信息安全规范》在2016年制定之初,即有来自安全研究与检测机构、知名高校及手机终端、互联网应用的头部企业的数十位安全管理、安全技术、法律与标准专家参与,保证了标准的系统性和实操性,因此标准一经推出,即获得了社会各界的广泛关注,其中不乏律师及企业的法律人员。《个人信息安全规范》作为一部安全技术领域的国家推荐标准,被法律实务界的关注和应用,这在此前的安全技术标准领域是绝无仅有的。
国家标准又不能等同与自律规范,国家标准由国家标准化组织牵头,反映了监管侧重点关注的技术问题,监管机构在执法检查中对标准的参照,可实现标准的实施与完善。因此国家标准在法律规范和自律规则间发挥着承上启下的作用,有利于推进数据安全治理的社会共治。2017年中央网信办、工信部、公安部、国家标准委四部委指导信安标委秘书处组织开展的对京东商城、航旅纵横等10款网络产品和服务的隐私条款专项工作、2018年信安标委秘书处对出行旅游、生活服务、影视娱乐、工具资讯和网络支付5类30款产品的隐私条款专项工作及2019年四部委开展的App违法违规收集使用个人信息专项治理工作,均参照了《个人信息安全规范》。[6]在2019年的个人信息治理工作中,工作组在牵头修订《个人信息安全规范》的同时,通过微信公众号与公众互动,宣传普及个人信息保护的知识并收集举报和投诉意见,使标准的修订更加有的放矢,也进一步扩大了标准的影响力。律所、咨询机构和企业纷纷参与了标准修订的讨论,甚至法学家也开始对个人信息安全进行研究并提出修改意见。
《个人信息安全规范》显著提升了社会各界对数据安全治理的参与度与对数据治理规则的关注度,有利于数据治理规则的完善。
展望
《个人信息安全规范》的编制、应用与修订,充分体现了国家标准对数据安全治理的重要作用及对提高国家治理水平和效率、推进国家治理体系和治理能力现代化具有重要意义,也给未来新技术领域的治理提供了借鉴思路。
随着科技发展,技术规范与法律的融合必将是未来发展的趋势。不仅是国家标准,法律规范也将是由法律专家、实务专家与技术专家共同参与的产物。这不仅需要立法和监管机构引入更多的技术及实务领域的专业人才,更需要监管机构、第三方行业组织、企业、学术机构等主体的多方协作,综合运用法律、标准、监管、技术、市场、宣传等多种手段,建立以法律法规为基础、监督执法为保障、标准规范为牵引、技术和市场为驱动、宣传教育为支撑的一套兼顾监管治理和发展促进平衡的科学路径。[7]
(作者:京东法律研究院 严少敏)
[1]参见沈岿:数据治理与软法,载《财经法学》2020年第1期。
[2]参见中央网信办、工业和信息化部、公安部、市场监管总局:关于开展App违法违规收集使用个人信息专项治理的公告,载中央网信办官网http://www.cac.gov.cn/2019-01/25/c_1124042599.htm,最后访问日期为2020年4月28日。
[3]1995年加拿大隐私专员Ann Cavoukian率先提出Privacy by Design (PbD)理念,旨在产品或服务设计之初,就考虑到隐私保护的需求。
[4]参见[美] 劳伦斯·莱斯格(Lawrence Lessig):代码2.0:网络空间中的法律,p6,清华大学出版社。
[5]参见胡影、上官晓丽、王佳敏:《个人信息保护国家标准工作情况与思考》,载《中国信息安全》杂志2019年第4期。
[6]同上
[7]参见刘贤刚 何延哲:《以发展和保护平衡之道加强个人信息保护的路径研究》,载《中国信息安全》杂志2019年第8期。