中国发布的《信息安全技术 个人信息安全规范》的修订版将于2020年10月1日起生效。修订后的新规定侧重于确保个人信息控制者为处理个人信息而获得的同意是自主作出的、具体的和知情的。

此外，还增加了新的要求，以加强对使用新技术（如用户画像和人工智能）处理的个人信息的保护。同时，与欧盟类似的的合规措施也被引入。

本文重点介绍了本次修订的主要的变化，并阐述了我们的观点。我们建议在中国处理个人信息的公司熟悉新的标准，并及时采取措施以符合监管要求。

背景

《规范》修订要点

我们的观察

在没有统一的国家层面的个人信息保护法的情况下，2016年11月颁布的《网络安全法》是中国保护网络上处理的个人信息的主要立法。

为贯彻《网络安全法》的原则要求，国家市场监督管理总局、国家标准化管理委员会于2017年12月首次发布了《信息安全技术 个人信息安全规范》（“《规范》”）。

《规范》对个人信息控制者处理个人信息提出了详细的要求（单击此处查看文章）。

《规范》是推荐性国家标准，因此严格地讲其要求不是强制性的，违反也不一定会引起法律责任。然而，该《规范》可以指引监管机构对个人信息处理活动进行监管，因此可作为《网络安全法》和其他法律法规中个人信息保护规定的执法所参考的基准。

《规范》的非强制性性质也反映出监管机构采取分阶段的渐进式立法策略，即与利益相关者一起测试相关要求，并为未来的强制性立法和标准铺平道路。

因此，自《规范》首次发布以来，就一直在进行讨论和修订。与以往不同的是，《规范》于2017年首次发布，但自2019年2月以来，已就其修订稿三次征求意见，最终形成了将于2020年10月1日生效的修订版本。

修订后的《规范》最终将用“个人信息”的概念来取代现行版本中所有对个人数据和隐私概念的引用。

个人信息和敏感个人信息的定义保持不变。《规范》的注释明确，个人信息还包括通过个人信息或其他信息加工处理后形成的信息，这些信息明确考虑了用户画像和细分信息。

《规范》对其附录B中的个人敏感信息示例进行了更新，特别是删除了个人电话号码和网络身份识别信息，如系统账号、邮箱地址、密码、口令保护答案、用户个人数字证书等。通讯录、好友列表和群组列表被新增入了个人敏感信息的范围。

《规范》还修改了个人信息主体（现行版本称为“个人数据主体”）的定义，将范围从个人信息所标识的自然人扩大到个人信息所标识或者关联的自然人。

为与《网络安全法》保持一致，修订后的《规范》将“合法、正当、必要”作为处理个人信息的一般原则。

修订后的《规范》引入了授权同意的定义，即个人信息主体对其个人信息进行特定处理作出明确授权的行为。

同意包括通过积极的行为和消极的不作为作出的授权（例如，个人信息主体在被告知信息收集行为后没有离开该信息收集区域）。

但是，应当指出，在一些情况下将消极行为推定为同意可能是不合理的。例如，在视频监控区域，监控摄像头的标识可能不够显眼，无法引起个人信息主体的注意。

此外，如果个人信息主体在看到标识后离开该区域，则可能已经在未经同意的情况下被收集了录像。

通过积极的行为进行的授权相当于明示同意，在修订后的《规范》中被定义为通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。

口头陈述（可能通过录音方式）是新增加的一种给予明示同意的有效方法。

修订后的《规范》对个人信息控制者在取得个人信息主体同意时提出了一些特定的要求。

当一个提供多种业务功能（即满足个人信息主体特定用途或需求的服务类型）的产品或服务收集个人信息时，个人信息控制者不得违背个人信息主体的意愿，强迫个人信息主体同意个人信息的收集。

同意必须是自愿的肯定性行为（即明示同意），并且可以撤回。具体而言，不应要求个人信息主体对来自产品或服务提供多项业务功能的一系列个人信息收集请求给予单一同意。

这与欧盟《通用数据保护条例》（GDPR）下的颗粒度概念类似，GDPR规定当一项产品或服务可能涉及多个个人数据处理功能时，个人信息主体应自由选择其接受的信息处理目的并给予单独同意。

这类似于GDPR下自主取得同意要素中的损害概念，该概念规定个人信息主体可以在不受损害的情况下撤回其同意。

然而，我们注意到，修订后的《规范》仅明确将自主作出同意的原则适用于产品或服务涉及多个业务功能的数据处理活动。这是一个遗憾，因为无论相关产品或服务涉及单个还是多个业务功能，该原则都应该适用。

修订后的《规范》对目的明确原则进行了修改，要求处理个人信息的目的必须明确、清晰、具体。

特别是，个人信息控制者在为多项业务功能或目的收集个人信息时，必须出于特定目的而非一般性的通用目的请求同意。

模糊的目的描述，如“提高服务质量”或“提高安全性”等，则不符合这一要求。

修订后的《规范》再次要求，个人信息控制者必须告知个人信息主体处理个人信息的目的、方式和范围等规则。这可以通过个人信息保护政策来实现。在涉及多项业务功能的情况下，必须涵盖处理个人信息的每项业务功能的目的、方式和范围。

《规范》还包括个人信息政策（现行版本称为“隐私政策”）的最低内容要求，以及如何提供信息以获得有效同意。

修订后的《规范》附录C提出了一种方法，以确保提供多种业务功能的产品或服务，特别是应用程序，在处理个人信息时所获得的同意是自主作出和知情的。

业务功能分为基本功能和扩展功能。基本功能是指如果个人信息控制者不提供这些功能，个人信息主体通常不会选择使用该产品或服务。

个人信息控制者必须从个人信息主体的角度和需求确定基本功能，考虑与产品或服务相关的因素，包括：市场定位、名称、在应用商店中的描述以及应用程序的类别。所有其他功能都被认为是扩展功能。

基本功能和扩展功能都需要获得明示同意。个人信息主体可以通过单一的肯定性行为同意所有基本功能的数据处理行为，除非所有基本功能不需要全部开启。对于扩展功能，个人信息控制者则需要为处理个人信息的每个功能获得单独的同意。

附录C还提供了一个示例，向应用程序运营商演示如何设计功能界面，以通知用户并获得他们的有效同意。

基本功能和扩展功能的概念取代了现行版本中的核心功能和附加功能的概念，并将范围从个人敏感信息扩展到所有个人信息。

然而，这些规定已从《规范》主体部分的实施性规定转移到了附录部分。这表明，尽管监管机构建议遵循附录C中的方法，但监管机构不希望限制个人信息控制者获得有效同意的方式。

修订后的《规范》规定了一些要求，这些要求将适用于市场营销和自动化决策功能中常用的用户画像分析和其他类似的通过处理大量个人信息实现的技术。

修订后的《规范》规定了对用户画像的一般限制。个人信息主体画像中的细分描述不应包括任何（1）淫秽、色情、赌博、迷信、恐怖或暴力的内容

或（2）歧视个人信息主体的民族、种族、宗教、残疾或疾病的内容。不应以侵犯个人或组织的合法权益或其他损害国家安全或损害社会秩序的方式使用用户画像。

基于不同业务目的所收集个人信息的汇聚融合也受到限制。虽然《规范》没有定义汇聚融合的精确含义，但其内涵似乎是指处理来自不同来源的个人信息，例如不同个人信息控制者收集的信息。

修订后的《规范》重申，此类进一步处理行为必须在已同意的处理行为范围内。个人信息控制者必须开展个人信息安全影响评估，采取有效的个人信息保护措施。

个性化展示是指根据个人信息主体的浏览历史、兴趣、购买记录或习惯，向其显示产品或服务的信息或提供搜索结果。这似乎旨在针对基于用户画像分析的定向市场营销和内容展示。使用个性化展示时，个人信息控制者必须：

• 在向个人信息主体提供业务功能的过程中使用个性化展示的，显著区分个性化展示的内容和非个性化展示的内容

• 在提供电子商务服务时，允许选择退出个性化展示模式；

• 在提供新闻推送通知时，提供停止或关闭个性化展示的便捷选项，以及删除或匿名相关个人信息的选项；以及允许个人信息主体对用于个性化展示的个人信息进行管理，调整个性化展示的相关性。

新《规范》要求实施额外的保障措施以保护与自动决策相关的个人信息主体。在使用任何自动决策功能之前，个人信息控制者必须进行个人信息安全影响评估，并根据评估结果采取有效措施保护个人信息。

个人信息主体必须有渠道反对或投诉任何自动决策，并要求人工复核。

新《规范》取消了对共享或传输个人信息的禁止原则从而放宽了对数据流动的限制。然而，个人信息控制者将对处理从控制者获得个人信息的第三方承担更多的监督责任。

特别是，如果第三方代表个人信息控制者处理个人信息，或者信息与第三方共享或转让给第三方时，个人信息控制者必须确保第三方不违反任何法律法规或他们之间的协议。

如有违反，个人信息控制者必须立即要求第三方停止处理数据，采取补救措施，控制或消除安全风险，必要时终止与第三方的业务关系，并要求其及时删除个人信息。

因共享或转让个人信息而发生数据安全事件的，个人信息控制者将对个人信息主体权益受到的损害承担责任。

如果是共同控制者，个人信息控制者必须将第三方共同控制者的身份及其各自的责任和义务告知个人信息主体。否则，个人信息控制者将对第三方共同控制者造成的个人信息安全事件承担责任。

修订后的《规范》考虑了个人信息控制者在提供产品或服务的过程中部署收集个人信息的第三方产品或服务的情况，包括通过自动化工具（如java脚本、应用程序编程接口、算法、软件开发工具包（SDK）和小程序）嵌入的第三方产品或服务。

在这种情况下，个人信息控制者需要建立第三方产品或服务接入管理机制和工作流程，必要时应建立安全评估等机制作为接入条件。

个人信息控制者应在与第三方的合同中明确双方的安全责任及应实施的个人信息安全措施，由个人信息控制者监督和审计合规性，并保存相关管理记录。

产品或服务应标明由第三方提供。第三方必须征得个人信息主体的同意，并建立响应个人信息主体的投诉机制。

修订后的《规范》要求个人信息控制者保存其处理活动的记录。这些信息应包括以下方面：

个人信息的类型和来源

个人信息的处理目的、使用场景、公开披露和跨境传输

以及处理个人信息各个环节所涉及的系统和人员

根据新《规范》，个人信息控制者只有在数据泄露事件可能对其合法权益造成严重损害的情况下，才需要将数据泄露事件通知个人信息主体，例如敏感个人信息泄露。

在现行版本的规范中，所有数据泄露事件都需要与个人信息主体进行沟通。

修订后的《规范》要求个人信息保护负责人（DPO）应具备相关的管理和个人信息保护专业知识。

DPO必须参与有关个人信息处理活动的重要决策，并直接向组织主要负责人报告工作。

公司任命DPO的条件范围已被修改。如果个人信息控制者处理或预计在12个月内处理超过100万个人信息主体（现行版本的要求为50万人）的个人信息，则需要指定一名DPO。此外还有一项新的要求，即在处理超过10万个个人信息主体的敏感个人信息时也需要任命DPO。

《规范》增加了DPO的新职责，包括编制和监督实施个人信息保护工作计划的义务；以及提供建议并监督安全风险的缓解和纠正。此外，《规范》还要求DPO处理投诉，并在出现问题时与监督、管理部门保持沟通。

个人信息控制者需要提供必要的支持，以确保DPO能够独立履行其职责。

新《规范》引入了个人信息安全工程的概念，要求个人信息控制者在开发产品和服务的整个过程中都要考虑到个人信息的保护。

这类似于GDPR下通过“设计”来提供数据保护。《个人信息安全工程指南（征求意见稿）》已于2019年7月公布并向公众征求意见。

修订后的《规范》规定了针对个人生物识别信息的附加保障措施。个人信息控制者在通知个人信息主体处理目的、方式、范围和存储时间限制后，必须获得单独的明示同意来收集个人生物识别信息。

个人生物识别信息必须与个人身份信息分开存储和隔离。一般来说，不应存储原始的个人生物识别信息（如样本和图像）。但是，个人信息控制者可以采取以下措施：

• 仅存储摘要信息（不能用于跟踪原始信息）；

• 在收集时使用个人生物识别信息实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

一般而言，个人生物识别信息不应共享或传输给第三方。确需共享、转让的，应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等，并征得个人信息主体的明示同意。

新《规范》要求个人信息控制者在诸多情况下应进行个人信息安全影响评估。

除了上述个人信息的汇聚融合以及自动决策等情况外，个人信息控制者还应在推出产品或服务之前或其产品或服务的功能发生重大变化时进行此类评估。

但是，《规范》将取消现有的对定期评估（至少每年一次）的要求。

修订后《规范》的一个关键点是其对同意的关注。修订后的《规范》定义了授权同意，并修改了明示同意的定义。

同意的新定义（包括消极的不作为）表面上看似乎是降低了要求，并使其容易被个人信息控制者滥用。

但是，修订后的《规范》十分强调在涉及处理多种业务功能的服务或产品的情况下，确保主体自主地作出同意，并在附录C中提出了实现这一目标的方法。

这将为个人信息控制者提供有用的指导，尤其时在目前个人信息主体往往没有机会对不同的信息处理业务功能给予单独的同意的情况下。

修订后的《规范》中有众多章节专门用于规范市场上普遍使用的用户画像技术，包括使用个性化展示、自动决策、汇聚融合（来自不同来源的个人信息）等技术。

在网页和移动应用程序上常见的第三方产品和服务接入方面也制定了详细的要求。

此外，针对个人信息控制者通过人工技术广泛使用的个人生物识别信息，《规范》提供了贯穿整个处理过程的特殊保护措施。

与对于采用这些技术处理大量个人信息的互联网公司和高科技公司，这些章节的规定都密切相关。

值得注意的是，新《规范》引入了关于个人信息安全工程的规定。随着修订后《规范》的推出，这种“通过设计进行保护”的形式将很快得以实施。

保存个人信息处理活动的记录也是一项新的要求，这将有助于个人信息控制者监控自己的处理活动，并协助监管部门进行监管

文章整理于lexology.com，由隐私合规交流圈 隐小私翻译整理，转发请备注出处。

*整理编辑：A隐小私(yinxiaosi00)