GB/T 35273《信息安全技术 个人信息安全规范》自2017年底首次发布以来,已经被各个行业和企业在数据合规工作中广泛采用,为企业落地《网络安全法》提供了良好的实践指引。2020年3月6日,GB/T 35273-2020《信息安全技术个人信息安全规范》(以下简称“新版《规范》”)正式发布,并自2020年10月1日起正式生效。
2020新版规范在总结国内外企业合规、政府监管实践经验的基础上,体现了对技术发展、商业模式创新下个人信息保护新型问题的关注。新版《规范》同时作为App安全认证的标准依据,从认证技术规范的角度,也进一步明确各条款的具体要求,增强了标准要求的可操作性、可评价性和可核查性,为企业开展数据合规管理,为认证机构开展App安全认证提供了标准依据。本文着重分析了新版《规范》发布对App安全认证影响的重点内容,并为App认证申请的运营者提出相关建议。
一、App安全认证及其标准依据
2019年6月,为落实《市场监管总局 中央网信办关于开展App安全认证工作的公告》要求,保护广大消费者权益,引导、规范应用程序市场发展,中国网络安全审查技术与认证中心受市场监管总局、中央网信办委托,依据相关标准规范,围绕个人信息安全,组织相关单位开展了移动互联网应用程序(App)安全认证试点工作。
对于认证依据,App安全认证主要参考了GB/T 35273《信息安全技术个人信息安全规范》及相关标准、规范,同时参考了《移动互联网应用程序(App)个人信息收集基本规范》和《App违法违规收集使用个人信息自评估指南》的相关内容,将规范要求细化到指标级,对指标进行分类,明确了评价内容、评价方法和步骤,最后给出了总体评价结论判定原则,以确保认证评价的客观性、公正性、科学性和一致性。试点认证评价指标包括了新版规范中个人信息的收集、保存、存储、委托处理共享转让公开披露、个人信息安全事件处置、组织的管理六大评价类共130项评价指标。
二、App安全认证规范性依据变化要点提示
认证工作原则上应执行国家标准化行政主管部门发布的最新版本。此前App安全认证试点主要依据《信息安全技术 个人信息安全规范》(2019年6月征求意见稿),新版《规范》在内容上有较大变化,涉及的主要内容有:对不得强迫接受多项业务功能、授权同意等内容进行更新;对个性化展示的使用部分予以更新;针对注销难,补充了对注销机制的要求;补充了对委托处理、共享、转让等中对受委托者和接受方的管理要求;对个人信息共同控制者进行更新等。特别在2019年10月征求意见稿基础上,新版规范在个人生物识别信息保护、个人敏感信息的传输和存储、个性化展示的使用、个人信息主体的权利保护等方面提出明确要求,进一步提升对个人信息主体的信息保护水平。
三、对App认证申请的相关建议
App安全认证将依据新版规范要求,同步修订完善App安全评价指标等认证规范性文件,App安全认证申请的运营者应该在2019年10月规范征求意见稿标准合规的基础上对照新版规范着重注意以下方面要求。
(一)个人生物识别信息保护要求
新版规范在个人敏感信息的保护要求基础上,新增并强调对个人生物识别信息在收集、存储、使用、共享环节的保护要求。个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。个人信息控制者收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;个人生物识别信息应与个人身份信息分开存储。原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:
1)仅存储个人生物识别信息的摘要信息;
2)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;
3)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
(二)个性化展示的使用要求
新版规范要求个人信息控制者在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容。宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力;新版规范同时对提供电子商务服务和新闻推送类业务的个性化展示提出了具体要求。
在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。
在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:1)为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;2)当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
(三)个人信息主体的权利保护要求
新版规范明确和细化了个人信息主体注销账户过程中各环节具体要求。要求个人信息控制者受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理;注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型;注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等;注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,达成目的后应立即删除或匿名化处理等;个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律法规规定需要留存个人信息的,不能再次将其用于日常业务活动中。
同时,新版规范还在个人信息的委托处理、共享、转让、公开披露和组织的个人信息安全管理要求等方面也提出了具体要求。
(作者:中国网络安全审查技术与认证中心 张志强 何静)