作者:宁宣凤 吴涵 李沅珊 张乐健 刘阳璐 金杜律师事务所

一、引言

自2019年2月,全国信息安全标准化技术委员会(“信安标委”)首次发布《信息安全技术 个人信息安全规范(草案)》,历时逾1年,历经6月及10月两版《信息安全技术 个人信息安全规范》(征求意见稿)(分别称为“6月征求意见稿”、“10月征求意见稿”),推荐性国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》(“现行《规范》”)修订工作于2020年3月6日完成。新版标准GB/T 35273-2020《信息安全技术 个人信息安全规范》(“新版《规范》”)于当日正式发布,并将自2020年10月1日起正式生效,以代替现行《规范》。

相比于现行《规范》,新版《规范》在内容上有较大变化,除了授权同意例外[1]、账户注销[2]、责任部门与人员[3]、个人信息处理活动记录[4]、实现个人信息主体自主意愿的方法[5]等内容的修改外,还新增了多项业务功能的自主选择[6]、用户画像[7]、个性化展示[8]、基于不同业务目的的信息汇聚融合[9]、第三方接入管理[10]、个人信息安全工程[11]等相关要求。新版《规范》在总结国内外执法监管实践经验的基础之上,体现了对技术发展、商业模式创新下个人信息保护新型问题的关注,为个人信息主体的权利保障与企业个人信息保护的合规实践提供参考。

有鉴于此,我们对现行《规范》、10月征求意见稿及新版《规范》进行文本比对,并从中选取几项重要变化,就其内容及所反映的个人信息保护与利用的新趋势与大家共同探讨。

二、部分重点修改内容评析与新趋势探讨

本章节以文本对比的方式呈现本次新发布的《个人信息安全规范》的三大重点修改内容,并由此总结个人信息保护领域的变化与趋势,进而为企业的个人信息保护合规工作提供方向性建议。

(一) 对个人生物识别信息保护提出优化要求

现行《规范》 10月征求意见稿 新版《规范》
(一)         个人生物识别信息的收集

5.4  收集个人信息时的授权同意

c) 收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;

注:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。

(二)         个人生物识别信息的存储

6.3  个人敏感信息的传输和存储

对个人信息控制者的要求包括:

b)    存储个人生物识别信息时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的摘要

6.3  个人敏感信息的传输和存储

对个人信息控制者的要求包括:

b)    存储个人生物识别信息时,应采用技术措施确保信息安全后再进行存储,例如将个人生物识别信息的原始信息和摘要分开存储,或仅收集、存储、使用摘要信息

6.3  个人敏感信息的传输和存储

对个人信息控制者的要求包括:

b) 个人生物识别信息应与个人身份信息分开存储

c) 原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:

1) 仅存储个人生物识别信息的摘要信息

2) 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;

3) 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像

注1:摘要信息通常具有不可逆特点,无法回溯到原始信息。

注2:个人信息控制者履行法律法规规定的义务相关的情形除外。

(三)         个人生物识别信息的共享

9.2 

 

 新版《规范》在现行区分个人信息和个人敏感信息的保护框架之内,新增并强调对个人生物识别信息在收集、存储、共享三大环节的保护要求,对近年来各行业日益频繁及普遍的对个人生物识别信息利用进行更全面的监督与管理,从而响应大数据发展潮流下日益突出的新型个人信息保护问题,进一步提升对个人信息主体的信息保护水平。

基于以上表格总结,在内容修改方面,我们可以看出:

个人生物识别信息收集方面:新版《规范》对个人信息控制者提出了“单独告知”及“取得明示同意”的双重要求,相较于现行《规范》及10月征求意见稿中已有的对收集个人敏感信息时应当确保获得个人信息主体的明示同意的要求更为严格。

个人生物识别信息存储方面:不难看出,在《个人信息安全规范》沿革过程中,对个人生物识别信息的保护要求始于信息存储环节。现行《规范》已在“个人敏感信息的传输和存储”章节提出了对个人生物识别信息存储的特殊技术处理要求,并建议个人信息控制者仅存储“个人生物识别信息的摘要”;10月征求意见稿在个人生物识别信息存储之前的技术处理要求方面,新增了“将原始信息和摘要信息分开存储”的建议,为企业提供了多项技术参考,而新版《规范》则将前述规范版本中的“分开存储”建议上升为具体要求,明确提出了“不应存储原始生物识别信息”的原则,并列举了包括仅存储摘要信息、在采集终端直接使用、识别认证身份后删除原始图像在内的具体实现方式以供企业参考。具体而言,“在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能”及“识别认证身份后删除原始图像”的两条可选路径可能意味着企业可以将原始个人生物信息存储于采集终端,但限制其将原始个人生物识别信息上传至企业服务器进行身份认证以外的后续使用,这可能会对部分企业运营及产品模式产生重大影响。其次,就实践中企业进行身份识别与验证的一般情况来看,很多企业可能会将认证成功的证件照片长期存储,并用于后续相同客户的身份验证。但在新版《规范》的要求之下,该验证后的证件照片是否属于可提取个人生物识别信息的原始图像,企业能否于服务器中留存并调取使用等问题值得进一步探讨。同时,该等原则仅以“履行法律法规规定的义务”为例外,足可见标准制定者对个人生物识别信息存储的强监管态度。我们理解,标准制定者对个人生物识别信息存储的严苛要求可能出于对个人生物识别信息本身的唯一性考虑。[12]原始个人生物识别信息作为自然人从出生以来即无条件拥有的信息素,具有天然的强人身附属性及私密性;相较于其他结合社会性特征的个人信息,其泄露可能会带来的对个人信息主体人身权,特别是人格权的侵犯与影响更为严重[13]。此外考虑到目前面部识别特征、虹膜、指纹等个人生物识别信息广泛用于个体身份验证以及财产支付等场景,个人生物识别信息与个人信息主体财产权的关联也愈发紧密。因此,从对个人生物识别信息的保护和使用程度的把控来看,新版《规范》意图将原始个人生物识别信息的使用范围与使用时段限于采集端,综合考虑了现实商业场景中身份验证等对原始个人生物识别信息的利用需求以及对个人信息主体人身权的保护,同时也为企业提供了储存摘要信息的路径,促使企业思考如何提高技术水平,转变商业模式,以便形成对个人生物识别信息合规利用的最佳路径。

个人生物识别信息共享方面:个人生物识别信息以不共享、不转让为原则,确需共享、转让的,首先需要符合“业务需要”的必要性要求,其次,与上述个人生物识别信息收集的要求类似,新版《规范》针对个人生物识别信息的共享在原来个人敏感信息共享的“明示同意”及“额外告知内容”要求的基础之上额外提出了向个人信息主体“单独告知”的要求,同样体现了标准制定者对个人生物识别信息保护的重视。同时,我们也注意到,针对个人生物识别信息在存储和共享方面体现“原则+例外”的标准制定理念,与欧盟《一般数据保护条例》第九条有关包括生物性识别数据在内特殊类型个人数据处理[14]及中国人民银行于2月13日发布的《个人金融信息保护技术规范》要求的“受理终端、个人终端及客户端应用软件均不应存储个人生物识别信息的样本数据、模板,仅可保存完成当前交易所必须的基本信息要素,并在完成交易后予以清除”[15]的思路保持一致。    随着人工智能技术的发展及社会信息变革,对个人生物识别信息的利用将会越发广泛,而随着应用场景的多样化,对个人信息主体保护的挑战也将逐渐升级。我们可以预见,标准制定者将在不断深化对个人生物识别信息的保护的同时,进一步探索如何在商业应用强需求和个人权益保护之间实现基本平衡并推进企业在个人生物识别信息利用方面的合规良性发展。基于上述对新版《规范》中个人生物识别信息优化要求的解析,我们建议企业:

  • 梳理现有业务中涉及个人生物识别信息收集与共享的场景,在正式开启个人生物识别信息采集功能或进行个人生物识别信息共享之前,设置单独的个人生物识别信息采集或共享声明呈现界面或跳转链接;
  • 相关声明应依据不同功能场景下的采集或共享目的,列明对应的信息采集、使用规则;
  • 对于涉及多次采集或共享个人生物识别信息,宜通过弹窗或跳转声明页面或链接的方式再次向个人信息主体进行告知,并取得个人信息主体的明示同意;
  • 原则上不存储原始个人生物识别信息,可根据业务模式,选择仅存储摘要信息、在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能或在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像等。

(二)         增强个人信息主体对个人信息的管理能力

现行《规范》 10月征求意见稿 新版《规范》
(一)   保障个人信息主体自主选择

5.3  不强迫接收多项业务功能

当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括:

a)    不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。

b)    应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息;

c)    关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后,个人信息控制者应停止该业务功能的个人信息收集活动;

d)    个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意;

e)    个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量;

f)    不应以改善服务质量、提升个人信息主体体验、研发新产品、增强安全性等为由,强迫要求个人信息主体同意收集个人信息。

5.3  多项业务功能的自主选择

当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括:

a) 不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求;

b) 应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息;

c) 关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后,个人信息控制者应停止该业务功能的个人信息收集活动;

d) 个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意;

e) 个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量;

f) 不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息。

附录C 保障个人信息主体选择同意权的方法

内容主要包括征求同意的实现方法,提供了功能模板交互式界面的设计。

附录C 实现个人信息主体自主意愿的方法

1)区分基本业务功能与扩展业务功能,分别提出了实现告知同意的方法

2)提供交互式功能界面设计以供参考

附录C 实现个人信息主体自主意愿的方法

1)区分基本业务功能与扩展业务功能,分别提出了实现告知同意的方法

2)提供交互式功能界面设计以供参考

(二)   个人权利保护

7. 个人信息的使用

7.4   个人信息访问

7.5   个人信息更正

7.6   个人信息删除

7.7   个人信息主体撤回同意

7.9  个人信息主体注销账户

7.10           个人信息主体获取个人信息副本

7.11           响应个人信息主体的请求

7.12           申诉管理

7. 个人信息的使用

7.8   个人信息访问

7.9   个人信息更正

7.10           个人信息删除

7.11           个人信息主体撤回授权同意

7.12           个人信息主体注销账户

7.13           个人信息主体获取个人信息副本

7.14           响应个人信息主体的请求

7.15           申诉管理

8. 个人信息主体的权利

8.1   个人信息访问

8.2   个人信息更正

8.3   个人信息删除

8.4   个人信息主体撤回授权同意

8.5   个人信息主体注销账户

8.6   个人信息主体获取个人信息副本

8.7   响应个人信息主体的请求

8.8   投诉管理

7.9  个人信息主体注销账户

对个人信息控制者的要求包括:

a)    通过注册账户提供服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且该方法应简便易操作;

b)    个人信息主体注销账户后,应删除其个人信息或做匿名化处理。

7.12 个人信息主体注销账户

对个人信息控制者的要求包括:

a)    通过注册账户提供服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且该方法应简便易操作;

b)    宜直接设置便捷的注销功能交互式页面,及时响应个人信息主体注销请求;

c)    受理注销账号请求后,需要人工处理的,应在承诺时限内(原则上不超过十五天)完成核查和处理;

d)    注销过程进行身份核验需要个人信息主体重新提供的个人信息不应多于注册、使用等服务环节收集的个人信息;

e)    注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为必要注销条件等;

 

f)    注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等;

g)    个人信息主体注销账户后,应及时删除其个人信息或做匿名化处理。

注:因法律规规定需要留存的个人信息应妥善保管,不能将其再次应用于业务场景。

8.5   个人信息主体注销账户

对个人信息控制者的要求包括:

a) 通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且方法简便易操作;

宜直接设置便捷的注销功能交互式页面,及时响应个人信息主体注销请求;

b) 受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理;

c) 注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型;

d) 注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等;

注 1:多个产品或服务之间存在必要业务关联关系的,例如,一旦注销某个产品或服务的账户,将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,需向个人信息主体进行详细说明。

注 2:产品或服务没有独立的账户体系的,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现注销。

e) 注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等;

g) 个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律法规定需要留存个人信息的,不能再次将其用于日常业务活动中。

首先,从个人信息主体自主选择的角度,新版《规范》承继了10月征求意见稿中新增的“不强迫接受多种业务功能”以及“区分业务功能,提出实现个人信息主体自主意愿的方法”的内容。其中“不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求”等要求,对于某些集团企业的个人信息保护政策体系的合规性,特别是采用集团统一个人信息保护政策文本的情形,可能会产生影响,企业可能需要考虑重新评估现存个人信息保护政策体系并进行优化。

其次,就具体个人信息主体权利响应而言,相较于现行《规范》与10月征求意见稿中将个人信息主体权利响应要求划归为“个人信息使用”章节之下的做法,新版《规范》将个人信息主体权利响应单独成章,从整体结构上对标准体系进行了规整,也凸显了标准制定者对个人信息主体权利保护的关注。值得注意的是,新版《规范》在10月征求意见稿已对个人信息注销权增添具体要求的基础之上,又针对企业“无独立账户体系,注销单个账号等同注销多个产品或服务”的情况,提供了合规解决方案,以期达到不影响企业其他业务功能正常运作及维护消费者体验的双重效果。

在网络产品和服务不断升级与更迭的今天,相关个人信息的利用方式也越发的复杂。个人信息主体一方面享受着多样化服务带来的多重多效体验,另一方面也面临着个人权利被侵害的风险,如何切实保障个人信息主体的自决权与决策的透明性,进而逐步实现数据权利本身向个人信息主体的让渡,成为了标准制定者关注的重点之一,而从最本源的授权同意有效性出发,对新业态下自主决定权的保障及常规个人信息权利响应的维护,增强个人信息主体对个人信息的管理能力,是实现数据权利让渡的基础要求(注:有关个人信息主体对用户画像的自主管理的分析内容请见要点三)。在实践中,我们也不乏看到,如谷歌、百度、OPPO等公司已就注册用户全览及自主管理个人信息提供了Dashboard工具,详尽列明了用户在使用服务过程中的授权情况及存储的详细个人信息,并相应地赋予了用户利用工具行使对留存的个人信息增删改查的权利,[16]以更好地应对向个人信息主体进行数据权利让渡的潮流与趋势。同时,在《个人信息安全规范》修订的过程中,我们也注意到了标准制定者对企业的正常业务运营的考虑,从规范角度出发,为企业提供合规路径,化解可能的业务困局。随着网络服务与产品的升级与商业模式的转变,我们可以预见,标准制定者也将针对新产品新服务提供过程中产生的个人信息主体权利的全新问题及可能的企业发展困境提出更进一步的解决思路。

 基于上述总结的新版《规范》对增强个人信息主体管理个人信息能力的要求,我们建议企业:

  • 除了通过《个人信息保护政策》或声明等授权文本的方式确保获取个人信息主体的授权同意,保障个人信息自主意愿之外,在具体业务功能设计过程中,避免为取得授权而对个人信息主体进行骚扰;同时,在产品设计环节通过交互界面优化,保障关闭相应服务功能的便捷性;
  • 结合集团型业务开展的具体情形,包括不同业务之间的运营主体、业务关联性等情况,在综合评估基础上对相应个人信息保护政策体系进行优化;
  • 设置便捷的注销账户方法,不设置以注销为由收集多于服务环节所需的个人信息等障碍,在承诺时间内及时响应个人信息主体的主要要求,并在设计环节通过对内部数据管理系统的优化与调整,确保用户注销后的有效数据及时删除、匿名化或至少从生产系统内的移出;
  • 若多个产品或服务之间存在必要业务关联关系,而注销某个产品或服务的账户,会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,向个人信息主体进行详细说明;
  • 在企业已建立大账号体系且针对单个产品或服务设置独立账号的情况之下,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现注销;
  • 在收集环节对法律法规规定需要留存的数据予以识别,以便在个人信息主体注销账户之后,对其他没有法定留存要求的数据,及时删除或做匿名化处理;而对有法定留存要求的数据,则妥善保管,但不得将其再次用于日常业务活动中,以便最大限度地保证企业经营运行的合法合规;
  • 可考虑建立专门的隐私保护平台,设置用户自主管理个人信息的简易方式。

(三) 数据融合的合规实践

现行《规范》 10月征求意见稿 新版《规范》
基于不同业务目的所收集的个人信息的汇聚融合

7.6 基于不同业务目的所收集的个人信息的汇聚融合

对个人信息控制者的要求包括:

a) 遵守本标准7.3的要求;

b) 根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。

7.6 基于不同业务目的所收集个人信息的汇聚融合

对个人信息控制者的要求包括:

a) 应遵守本标准7.3的要求;

b) 应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。

相较于现行《规范》,新版《规范》中增加了对基于不同业务目的所收集的个人信息的汇聚融合的合规监管要求。具体而言,企业在汇聚融合基于不同业务目的所收集的个人信息时,需要遵守个人信息使用目的限制的相关要求,不能超范围使用个人信息;同时还需要根据汇聚融合后的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。

大数据时代,数据的聚合使用在数据价值挖掘和创新方面的作用已经不言而喻。“通过对海量沉淀的个人信息的二次或多次使用,大数据可以发现隐藏在这些孤立的数据背后的商业价值与公共性价值。”[17]企业能够通过对基于内部不同业务目的所收集的个人信息、以及从第三方间接获取的个人信息等进行汇聚融合,实现数据的验真与价值提纯,提升单位数据价值密度;个人信息汇聚融合后形成的用户画像、特征标签等还可能用于评价个人信用状况、推送商业广告或其他个性化展示内容。但是个人信息的汇聚融合同样可能存在超出个人信息主体授权范围使用个人信息、消费者歧视等风险;在个人信息汇聚融合过程中,还可能因个人信息控制的移转或共享而引发信息安全担忧。

从个人信息主体权利保护来看,新版《规范》第7.6条的规定,有效地保障了主体在个人信息汇聚融合中的知情权与自决权,防范企业对个人信息的超范围使用;同时个人信息安全影响评估与个人信息保护措施的要求也能够在一定程度上降低信息泄露、转卖或滥用的风险。而对企业而言,如何合规地实现内部不同业务条线所收集的个人信息的汇聚融合,充分挖掘数据的价值则尤为重要。根据新版《规范》的相关要求,企业可能需要:

  • 通过个人信息保护政策、其他独立文本、弹窗等形式对汇聚融合不同业务条线中的个人信息的目的、方式、范围等向个人信息主体进行充分的告知并在超出原有授权同意范围时另行征得个人信息主体的同意;
  • 根据要求相应开展个人信息安全影响评估并采取个人信息保护措施;

同时,数据融合并不仅限于企业内部自有数据的融合,企业还可能通过与第三方的合作,通过数据转让共享实现内外部数据融合或采用隐私保护、密文计算等方法在“保障数据所有权基础上实现数据的融合应用”[18]……需要提示的是,数据融合是一项复杂的系统性工程,除上述要求外,还可能涉及:

  • 更多个人信息保护与行业监管限制。如对于以转让共享为前提的内外部数据融合,在转让共享时可能还需要满足《个人信息安全规范》中个人信息转让、共享的相关要求。个人金融信息还需要满足《个人金融信息技术保护规范》中对共享、转让的信息类型及数据接收方资质的要求等;
  • 数据融合必要性基础的建立。具体而言,《网络安全法》第四十一条规定了数据处理的必要性原则;现行《规范》中将其进一步解释为(1)个人信息收集的直接关联、最低频率和最少数量要求;(2)个人信息存储的必需最短时间和超期删除及匿名化等;因此,企业可能需要通过商业模式的搭建建立数据融合的必要性基础;
  • 不同主体之间的权利义务分配。包括数据源提供方、数据融合技术供应方、数据融合商业化变现的应用主体等多方主体之间的权利义务关系的确认和利益分配机制的设计等;
  • 数据资产及其他类型资产的移转。

总体而言,数据融合已经成为企业挖掘数据价值的重要方式,但同时也面临着相应的监管与合规风险,无论是内部不同业务条线的数据汇聚融合、还是内外部数据的融合,需要在厘清风险的前提下实现合规的数据融合实践,才能助力企业的长远发展(更多有关数据融合的探讨可参见《“数”年快乐——万字长文说数据融合》一文)。

(四) 数据商业化的合规监管

现行《规范》 10月征求意见稿 新版《规范》
(一)用户画像的使用限制

7.4  用户画像的使用限制

对个人信息控制者的要求包括:

a)    用户画像中对个人信息主体的特征描述,不应:

1)    包含淫秽、色情、赌博、迷信、恐怖、暴力的内容;

2)    表达对民族、种族、宗教、残疾、疾病歧视的内容。

b)    在业务运营或对外业务合作中使用用户画像的,不应:

1)    侵害保护公民、法人和其他组织的合法权益;

2)    危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。

c)    除为达到个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。

7.4 用户画像的使用限制

对个人信息控制者的要求包括:

a) 用户画像中对个人信息主体的特征描述,不应:

1) 包含淫秽、色情、赌博、迷信、恐怖、暴力的内容;

2) 表达对民族、种族、宗教、残疾、疾病歧视的内容。

b) 在业务运营或对外业务合作中使用用户画像的,不应:

1) 侵害公民、法人和其他组织的合法权益;

2) 危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。

c) 除为实现个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。

(二) 个性化展示的使用

7.5 个性化展示的使用

对个人信息控制者的要求包括:

a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容;

注:显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。

b) 在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;

注:基于个人信息主体所选择的特定位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。

 

c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:

1) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;

2) 当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

d)    在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力。

7.5 个性化展示的使用

对个人信息控制者的要求包括:

a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容;

注:显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。

b) 在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;

注:基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。

c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:

1)为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;

2) 当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

d) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。

除对企业数据融合的实践提出监管要求外,新版《规范》还进一步对用户画像的使用与个性化展示的数据商业化实践加以规范。包括但不限于用户画像的使用不得侵犯公民、法人和其他组织的权益或危害国家安全、荣誉和利益;在业务运营或对外合作过程中尽量避免使用直接用户画像;在业务过程中区分个性化展示和非个性化展示;提供退出个性化展示选项;保障或建议保障个人信息主体对用户画像或标签的自主控制等内容。

正如前文所言,通过个人信息收集、汇聚和分析[19]而形成的用户画像在信用评估、商品推荐和程序化广告等领域有着广泛的应用;大数据和人工智能技术的发展,也使得个性化展示的准确性大幅度提升,并显著提高了产品和服务提供者与用户之间的交互性。[20]但是另一方面,对用户画像和个性化展示的不当利用可能会引发对个人信息主体、国家与社会的危害;例如对个人信息主体知情权利的侵害;部分具有可直接识别性的用户画像的泄露导致对相应主体权益的损害;新闻的个性化展示可能导致信息茧房效应[21]的加剧;基于用户画像和个性化展示进行商品推荐时,可能损害消费者的平等权利等。

从个人信息主体权利保护来看,避免使用直接用户画像有助于降低画像泄露或滥用给个人信息主体造成的风险;个性化展示的区分体现了对个人信息主体知情权的尊重;关闭或退出个性化展示界面、删除个性化展示所依赖的用户画像、标签等选项体现了对主体权利自决的尊重与保障。而从企业角度来看:

  • 用户画像作为数据商业化产品的一种,在交易与流通环节中可能受到一定程度的限制,企业在对外提供或使用用户画像时可能需要承担更高的合规义务;
  • 企业可能需要选择合适的方式对个性化展示页面与服务进行标识,而对于某些以个性化展示为核心业务功能的企业,可能需要进一步调整自身的商业模式,如在个性化推荐算法系统之外,另行搭建非个人标签化的推荐体系,如单纯按照内容发布时间、社群用户点击总量决定内容顺序等;
  • 新闻信息服务、电子商务服务提供商还需保障用户退出个性化展示服务的权利;新闻信息服务提供商还可能需要建立删除或匿名化用户标签、画像的选项;
  • 以上内容可能要求相应企业在业务模式、数据管理系统、个人信息主体权利响应机制上进行相应的调整与更新。

三、结语

《个人信息安全规范》作为《网络安全法》下个人信息保护体系下的重要指引,一方面,为企业完善内部个人信息保护工作提出了具体的实践要求与合规建议,另一方面也为监督部门提供了执法管理的参考依据。历经多次修改,新版《规范》将于今年10月1日起生效实施,在内容上除通过业务功能选择、用户账号注销等规定的优化进一步加强对个人信息主体的权益保护要求外,还结合业界实践对个人生物识别信息、用户画像与个性化展示的应用、基于不同业务目的所收集个人信息的汇聚融合等提出了新的要求。新修订的内容一部分是结合当前企业对于个人信息收集使用的实践而做出的有针对性的要求或建议,“与时俱进”的规范个人信息收集及处理等行为,另一方面对数据融合、个人信息管理能力的新要求反映个人信息保护和利用的新趋势,对企业个人信息保护及利用升级到“2.0”阶段的重要指引。

在数字经济蓬勃发展的今天,如何合法合规地利用和保护重要的数据资源——个人信息将会是很长时间内全球企业关注的一个重要命题。企业的个人信息保护水平不仅是数字驱动经济发展的重要基础,还是企业的综合管理能力的体现。“欲穷千里目,更上一层楼”,企业只有立足于对于个人信息保护的更高要求,合规的发展个人信息利用能力,才能在全球数字经济浪潮中站稳脚跟,走得更远。

(扫描二维码,获取《个人信息安全规范》完整对比文本)

 

 

 

 

 

[1] 见新版《规范》5.6

[2] 见新版《规范》8.5

[3] 见新版《规范》10.1

[4] 见新版《规范》11.3

[5] 见新版《规范》附录C

[6] 见新版《规范》5.3

[7] 见新版《规范》7.4

[8] 见新版《规范》7.5

[9] 见新版《规范》7.6

[10] 见新版《规范》9.7

[11] 见新版《规范》11.2

[12] 程啸:加强个人生物识别信息法律保护。https://baijiahao.baidu.com/s?id=1654775537833936974&wfr=spider&for=pc

[13] 生物识别信息保护:“你”真的是你吗?https://zhuanlan.zhihu.com/p/32647279

[14] Art. 9 GDPR Processing of special categories of personal data. https://gdpr-info.eu/art-9-gdpr/

[15] 《个人金融信息保护技术规范》(JR/T 0171—2020)第6.1.3 d)条

[16]Google Dashboard: see at https://myaccount.google.com/dashboard?hl=en

[17] 《破解个人信息收集使用“必要原则”困局》,许可,https://mp.weixin.qq.com/s?src=11&timestamp=1574262049&ver=1986&signature=iQCyhPnnMK5Fku-8OotbDMdzjrIGfGSnKl3-preyvAxo6U74rG23CrpnaMoM9Z7BXoBpqHJVgsXt418a2ZYhPHaA22Y-nR0Y3dt6FXljcfFoMD8mSwypELxrrYHJRLtt&new=1, 2019-12-27.

[18] 李伟. 做好数据治理,更快更好地推进数字化转型[EB/OL]. http://www.xinhuanet.com/fortune/2019-12/02/c_1125298138.htm. 2019-12-02.

[19] 参见新版《规范》3.8.

[20] 谢幸, 练建勋等, 个性化推荐系统,必须关注的五大研究热点[EB/OL]. https://www.msra.cn/zh-cn/news/executivebylines/tech-bylines-personalized-recommendation-system. 2018-11-06.

[21] 信息茧房即Information cocoons,由美国法学教授凯斯·R·桑德斯在《信息乌托邦——众人如何产生知识》一文中首次提出,即“在当今网络环境中,多种类型的海量信息在虚拟空间的聚集, 不仅仅提供的是对于“开放多远”化信息协作模式的“承诺”,同时也提供了非常巨大的‘‘风险”。人们可以自由地分享与获取大量的信息,但是同时也可能使自己陷入”回音室” (EchoChambers)之中,成为偏激错误和“没道理的极端主义”的摇篮、这种在信息的传播过程中所表现出来的个人只“听我们选择的东西和愉悦我们的东西的通讯领域”,从而“作苗自缚”,将自己束缚于像蚕苗一般的“苗房”之中的现象,”引自:彭晓晓. 信息时代下的认知茧房——广告业界与学界的“信息茧房”探析[D]. 2014.

[KWM1]也可以结合个人金融信息技术安全规范来说,“禁止+例外”的要求