中国于2017年12月发布国家标准《个人信息安全规范》(GB/T 35273-2017),将于2018年5月1日实施。虽然《规范》是推荐性国家标准,不具强制性,但是作为去年6月1日实施的《网络安全法》的配套基础性标准文件,对《网安法》中关于个人信息保护的原则性规定进行了细化,突出了可操作性。
WU YUANYUAN
安杰律师事务所合伙人
Partner
AnJie Law Firm
问:《规范》的核心内容有哪些?
答:《规范》关注个人信息处理活动的各环节,具体包括对个人信息的收集、保存、使用、委托处理、共享、转让、公开披露等。其中,个人信息主体的“同意”贯穿了上述多个环节。“同意”要求也体现了《网安法》对个人信息安全的保障功能,从此意义上来说,“同意”要求是《规范》的重要核心内容。
问:在《规范》下,个人信息分成哪几类?
答:《规范》对个人信息的分类响应了《网安法》第21条规定的数据分类要求。根据《规范》,个人信息被分成两类:个人信息和个人敏感信息。个人信息是指能够识别特定自然人身份或者反映特定自然人活动情况的信息。个人敏感信息,是指可能危害人身和财产安全,导致个人名誉、身心健康受到损害或歧视性待遇等的信息。
《规范》对个人敏感信息的处理提出了更为严格的要求。例如,在收集时,个人信息控制者应取得个人信息主体的明示同意,并且应确保该明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。
此外,在通过主动提供或自动采集方式收集前,个人信息控制者应当告知个人信息主体。在涉及附加功能的提供时,个人信息控制者应逐一说明并且允许个人信息主体逐项选择。在个人信息主体拒绝为附加功能提供信息时,不应停止提供核心业务功能。
《规范》尤其对未成年人的个人信息保护提出了额外的要求。在收集未成年人的个人信息前,应征得未成年人或其监护人的明示同意。
SONG YING
安杰律师事务所合伙人
Partner
AnJie Law Firm
问:《规范》对“个人信息控制者”提出了哪些要求?
答:在个人信息处理的各环节,《规范》均对“个人信息控制者”提出了不同程度的要求:
首先,在个人信息的收集环节,需要遵循合法性和最小化原则。在直接收集和间接获取个人信息时,需要获得个人信息主体的授权同意或明示同意。在收集个人敏感信息时,需要获得明示同意。
第二,在个人信息的保存环节,需要遵循时间最小化和去标示化处理的要求。对个人敏感信息的储存,应采取加密措施。对于个人生物识别信息,应在采用技术措施处理后再进行存储。在停止运营时,应停止收集活动,并对信息进行删除或匿名化处理等。
第三,在个人信息的使用环节,应采取访问控制措施,并遵守对展示和使用的限制要求。同时,应明确个人信息主体享有信息访问、更正、删除、撤回同意、注销账户、获取个人信息副本的权利。个人信息控制者还应能够响应个人信息主体的请求,以及建立申诉管理机制。
最后,在个人信息的委托处理、共享、转让、公开披露环节,不得超出授权范围作出委托行为,以及应遵守原则上不得共享、转让、公开披露个人信息的要求。
问:违反《规范》的企业需承担哪些法律责任?
答:虽然《规范》只是推荐性的国家标准,但是需要提醒的是,由于《规范》是在《网安法》的框架下制定,因此不能排除企业根据《网安法》的相关规定承担相应民事、行政及刑事责任。
问:企业应采取何种策略防范违法风险?
答:《规范》在使数据合规更具可操作性的同时,也使对企业的数据合规工作进行量化评估成为可能。因此,企业的数据合规面临着新的挑战。我们建议相关企业应当早日采取以下行动:
第一,建立符合监管要求的管理体系,包括:建立个人信息安全事件处置机制和个人信息安全影响评估报告制度;建立数据安全能力;对个人信息处理岗位的相关人员进行管理和培训;以及开展安全审计。
第二,咨询法律、技术专业人员意见,争取在合规解决方案和技术解决方案之间取得良好平衡。
第三,对采取合规措施的过程和相关文件妥善保存,在需要时可作为已采取合规措施的证明。
第四,对数据处理行为进行持续性监测,及时改正、改善违法风险点。
最后,设计与数据处理相关的争议和投诉解决流程,及时化解矛盾。
作者:安杰律师事务所合伙人吴院渊、合伙人宋迎
北京市朝阳区东方东路19号院5号楼亮马桥外交办公大楼D1座19层 邮编: 10060019/F Tower D1, Liangmaqiao Diplomatic Office Building, 19 Dongfang East Road
Chaoyang District, Beijing 100600, China
电话 Tel: +86 10 8567 5988
传真 Fax: +86 10 8567 5999
电子信箱 E-mail:
wuyuanyuan@anjielaw.com
songying@anjielaw.com
