摘要:本文对比国际标准化组织 (ISO) 和国际电工委员会 (IEC) 发布的 ISO/IEC 27701(安全技术-针对ISO / IEC 27001和ISO / IEC 27002在隐私信息管理的扩展-要求和指南)与GB/T35273-2020《信息安全技术 个人信息安全规范》的重要条款,对两者在全方位保护个人信息主体的权利、行业规制、总体要求一致性上进行分析。
关键词:个人信息 国家标准 PII 国际标准
2020年3月6日,全国信息安全标准化技术委员会归口的GB/T35273-2020《信息安全技术 个人信息安全规范》国家标准正式发布,代替GB/T35273-2017。新版《个人信息安全规范》在“用户画像的使用限制”、“第三方接入管理”、“个人信息安全工程”等方面扩展了原有标准的内容,并对“征得授权同意的例外”、“个人信息主体注销账户”等方面进行了一定的修改。
2019 年 8 月 6 日,国际标准化组织 (ISO) 和国际电工委员会 (IEC) 发布了 ISO/IEC 27701(安全技术-针对ISO / IEC 27001和ISO / IEC 27002在隐私信息管理的扩展-要求和指南),对建立、实施、维护和持续改进隐私信息管理系统(PIMS)的各项要求做出了规定。在个人可识别信息(PII)处理情境中的隐私保护是一种社会需求,也是全世界专门立法和 / 或监管的主题【注1】。 ISO/IEC 27701是第一部PIMS国际标准,为PII控制者和PII处理者如何做好PII保护和控制指明了方向,且可能会被用于证明包括《通用数据保护条例》(EU) 2016/679 (GDPR) 在内的全球隐私合规实践。
GB/T35273-2020《个人信息安全规范》和ISO/IEC 27701的发布时间只差半年,可以说两者在国内和国际上均引起了广泛的关注。本文从ISO/IEC 27701国际标准角度,解读我国国家标准GB/T35273-2020《个人信息安全规范》在个人信息保护方面与国际标准的耦合性。
一、《个人信息安全规范》多维度全方位保护个人信息主体的权利
不同于ISO/IEC27018、ISO/IEC 29151的控制措施全都属于“指南should”,ISO/IEC 27701同时扩展了ISO/IEC 27001和ISO/IEC 27002中有关信息安全的控制要求,变成了“要求shall + 指南should”模式,成为第一部扩充了信息安全管理体系(ISMS)的隐私保护“认证”性质的标准,而同时又整合了“指南”性质的条款,让其具有“双重身份”。《个人信息安全规范》制定的目的是“规范” 个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。相较于ISO/IEC 27701,《个人信息安全规范》“要求”的属性更加明显,也在个人信息主体权利保障层面提出了更加具体、明确的规定,比如:
(1)收集规则-多项业务功能的自主选择同意。《个人信息安全规范》5.3a)不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。此处的“业务功能”可以理解为“服务类型”。针对当下App集合多个服务类型的现状,《个人信息安全规范》针对性的提出“区分业务功能“,不得捆绑个人信息来强迫用户接受的要求,并要求同时提供关闭或退出特定业务功能的方式,相比ISO/IEC 27701中关于具体征得用户同意的要求要更加具体和有指导性。I
(2)保存规则-个人控制者停止运营。ISO/IEC 27701在7.4.7组织应制定并维护保留信息的留存时间规划,并考虑到PII留存期限不得超过必要的时间。PII留存时间规划应考虑法律、法规和业务要求。《个人信息安全规范》更加明确的指出个人控制者停止运营,是个人信息不得留存的场景之一,并把这种场景单独列出,以防止个人信息倒卖、黑灰产运作等不良个人信息用途的发生。
(3)使用规则-基于不同业务目的所收集个人信息的汇聚融合。《个人信息安全规范》7.6b) 应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。大数据时代下,各个大平台厂商可能会收购、并购一些小的不同业务类型的企业,它们收集的个人信息类型也不完全相同;有些还可能会涉及线上平台与线下门店个人信息的汇聚融合。这些汇聚融合后的个人信息如何使用,是否会做大数据分析,相比于单个已经征得用户同意的个人信息对个人信息主体的影响是不一样的。《个人信息安全规范》对于基于不同业务目的所收集个人信息的汇聚融合做出了规定,ISO/IEC 27701对此没有进行具体展开。
二、《个人信息安全规范》紧密结合了中国互联网行业发展的实情,秉承了行业规制与个人信息保护平衡发展的思路。
(1)个性化展示的使用区分了不同场景的要求。电子商务服务有更大的需求根据消费者的兴趣爱好、消费习惯向个人信息主体提供商品或服务搜索结果的个性化展示,消费者群体对个性化展示也更加易于接受,因此《个人信息安全规范》提出了“提供不针对其个人特征选项”的要求。对于推送新闻信息服务,个人信息主体的需求小,主观更加不希望自己的阅读偏好被知晓,因此《个人信息安全规范》提出了“简单直观退出或关闭个性化展示模式的选项”以及“向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项”。对于标签、画像维度等的自主控制机制,考虑到当下的行业发展水平、技术能力,以及实现的成本情况,《个人信息安全规范》采用鼓励引导的方式,提倡企业“宜”保障个人信息主体调控个性化展示相关性程度的能力。我国个人信息保护总体情况较为复杂,涵盖范围大、涉及环节多,一方面要提升能力,解决公民关切的问题,另一方面也要考虑当前技术和监管的能力限制(注[2])。个性化展示的使用要求兼顾了行业的发展现状以及用户对个人信息保护在不同行业领域的需求来区分,是对行业规制与个人信息保护的平衡发展的有益探索。相比而言,ISO/IEC 27701在个性化展示方面没有进行具体展开。
(2)总体规范与不同行业标准指南相结合。ISO/IEC 27701采用的是 “要求 + 指南”的模式,既扩充了信息安全管理体系(ISMS)的隐私保护“认证”性质的标准,而同时又整合了“指南”性质的条款,因此在ISO/IEC 27701的“指南”的条款较多,虽然给出了一些具体的指导,但是国际标准需要兼顾通用性,无法囊括各个行业的特点,也使得在行业针对性方面略显不足,。《个人信息安全规范》旨在规范各行业在个人信息处理过程中的相关行为,给出了原则和方向性的规范。同时,通过制定指南性质的国家标准来作为《个人信息安全规范》的配套标准,进一步将《个人信息安全规范》的要求在各个具体行业落地。全国信息安全标准化技术委员会于2020年3月7日发布的“《关于印发<2020年网络安全国家标准项目申报>指南》的通知”中指出重点标准制定项目“拟支持网络平台数据安全(网络预约汽车、网络支付、网上购物、即时通信、快递物流、网路广播等)“。规范标准与指南标准相结合的方式更加契合中国互联网行业快速发展的现状,个人信息保护方式在具体行业领域的落地更加具有针对性和可操作性。
三、《个人信息安全规范》与国际接轨,总体要求与ISO/IEC 27701一致。
(1)个人敏感信息的重要性。ISO/IEC 27701的特殊类型PII对应《个人信息安全规范》中的个人敏感信息。ISO/IEC 27701 7.2.2中提到特殊类别PII的使用应进行更严格的控制,也指出特殊类别的PII的定义可以依据PII的性质(如医疗健康信息)或相关PII主体(如与儿童有关的PII)。属于特殊类别PII的分类可能因不同地区而异,也可能因适用于不同类型业务的监管制度而异,因此组织需要清楚适用于PII处理的分类。ISO/IEC 27701对特殊类型的PII注意到了要根据不同地域以及不同类型业务的监管制度来考虑更加严格的保护,但对于保护的方式并没有详细规定。《个人信息安全规范》对个人敏感信息在传输和存储方面特别提出对个人信息控制者的要求。传输和存储个人敏感信息时,应采用加密等安全措施。对于个人生物识别信息,提出了应与个人身份信息分开存储、原则上不应存储原始个人生物识别信息(如样本、图像等)的明确要求,把个人生物识别信息提高到了更加突出的保护地位。
(2)个人信息处理目的。ISO/IEC 27701 7.2.1与7.2.3指出组织应确保PII主体了解处理其PII的目的;组织除非有其他合法理由,否则处理PII都需要征得同意,并要将处理目的和如何获得同意的相关信息关联起来。ISO/IEC 27701注意到了征得同意的时机与处理目的的关联性。相比,《个人信息安全规范》更加明确的指出,使用个人信息时不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围,因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。《个人信息安全规范》的规定更加明确征得同意的时机与业务目的的关联性关系,给企业更强的指导。
总的来看,相比于ISO/IEC 27701,《个人信息安全规范》更注重以国内个人信息保护领域的重点问题问题为导向,延续国内法律法规关于个人信息保护的规定和管理原则。ISO/IEC27701则更注重于国际通用性,它对当下世界各国法律制度中有关个人信息保护的主要要求进行了实践层面的指导。两者虽然侧重点有所不同,但对于在个人信息保护方面所提的要求体现出来的方向性、前瞻性均值得参考。
参考文献:
注【1】谢宗晓、甄杰、董坤祥 《基于ISO/IEC 27701的隐私信息管理体系(PIMS)实施探讨》,中国质量与标准导报,2019年12期
注【2】刘贤刚 何延哲《以发展和保护平衡之道 加强个人信息保护的路径研究》,中国信息安全,2019年08期
其他参考文献:
【3】洪延青、葛鑫《国家标准〈信息安全技术 个人信息安全规范〉修订解读》,保密科学技术,2019年08期
【4】许可《〈个人信息安全规范〉的效力与功能》,中国信息安全,2019年03期
(作者:中国电子技术标准化研究院 陈舒 何延哲)