信息來源:安全客
隨著網(wǎng)絡(luò)技術(shù)的日新月異����,對于個人信息保護的困難程度也在與日俱增�。法律法規(guī)作為維護公平正義的有力防線����,必須要在此問題上作出與時俱進的回應(yīng)?��!秱€人信息安全規(guī)范》的出臺�,對于個人信息保護來說,是一個強有力的信號����,也為個人信息保護起到了良好的屏障作用。規(guī)范對個人信息收集�、儲存、使用做出了明確規(guī)定�,并規(guī)定了個人信息主體具有查詢、更正��、刪除�、撤回授權(quán)、注銷賬戶��、獲取個人信息副本等權(quán)力��。規(guī)范將于2020年10月1日正式實施�����。
《個人信息安全規(guī)范》共分為十個章節(jié)����,其中包括范圍,規(guī)范性引用文件��,術(shù)語和定義,個人信息安全基本原則�,個人信息的收集,個人信息的保存���,個人信息的使用���,個人信息的委托處理、共享�、轉(zhuǎn)讓、公開披露�,個人信息安全事件處置以及組織的管理要求。其中����,個人信息的收集,存儲�,使用,委托處理����、共享、轉(zhuǎn)讓���、公開披露是個人信息在流轉(zhuǎn)過程中的常見行為�����。
01
信息收集最小化要求
根據(jù)《個人信息安全規(guī)范》�����,在個人信息的收集過程中���,需要遵循合法性以及信息收集最小化的要求,也即直接關(guān)聯(lián)��、最低頻率和最少數(shù)量�。在收集個人信息時,一般情形下必須獲得個人信息主體在明確該收集行為前提下的完全同意�,只有當(dāng)該信息與國家安全、公共安全或者犯罪偵查等公共項目相關(guān)時����,方可不經(jīng)個人信息主體同意而對其個人信息進行強制收集。而對于個人信息中的敏感內(nèi)容�,必須經(jīng)過個人信息主體的明示同意方可收集?���?梢?,在個人信息保護問題上�����,作為信息源頭的收集過程已逐漸得到細化規(guī)制�����。
02
信息保存去標識化處理
個人信息的保存問題��,要求對于信息的保存要做到去標識化處理���,同時保存時間要遵循所需時間的最短要求���,在信息的傳輸過程中也必須做到高度的安全防范措施,以避免個人信息在傳輸或者保存過程中出現(xiàn)不當(dāng)泄露�����。同時�,個人信息在展示及使用時的場合、范圍限制�,還是個人信息的訪問、刪除���、更正以及撤回問題�,都有嚴格的程序及原則要求�����。
03
2020版與2017版的重點對比
-
延續(xù)七大原則
2020版繼續(xù)沿用了2017版的七大原則�����,分別是:權(quán)責(zé)一致原則��、目的明確原則�、選擇同意原則、最少夠用原則���、公開透明原則�、確保安全原則�����、主體參與原則�����。雖未明確定義“準確和質(zhì)量、問責(zé)�����、收集限制��、隱私合規(guī)”等原則�,略感遺憾,但相關(guān)原則的控制措施卻躍然紙上�����。
-
定義控制者的義務(wù)
在架構(gòu)上持續(xù)強調(diào)個人信息控制者應(yīng)承擔(dān)的義務(wù)���,而未明確定義個人信息處理者����、個人信息聯(lián)合控制者��、個人信息外包方等角色應(yīng)履行的義務(wù)���。
-
要求的變化
1��、選擇同意原則下:
新增要求“不強迫接受多項業(yè)務(wù)功能:當(dāng)產(chǎn)品或服務(wù)提供多項需收集個人信息的業(yè)務(wù)功能時���,個人信息控制者不應(yīng)違背個人信息主體的自主意愿�,強迫個人信息主體接受產(chǎn)品或服務(wù)所提供的業(yè)務(wù)功能及相應(yīng)的個人信息收集請求”��。強調(diào)了“隱私政策的主要功能為公開個人信息控制者收集�、使用個人信息范圍和規(guī)則����,不應(yīng)將其視為個人信息主體要求簽訂的合同”。
2��、收集及使用的變化:
在目的明確原則下�����,新增要求“如產(chǎn)品或服務(wù)僅提供一項收集�����、使用個人信息的業(yè)務(wù)功能時����,個人信息控制者可通過隱私政策的形式,實現(xiàn)向個人信息主體的告知;產(chǎn)品或服務(wù)提供多項收集��、使用個人信息的業(yè)務(wù)功能的�����,除隱私政策外�����,個人信息控制者宜在實際開始收集特定個人信息時���,向個人信息主體提供收集����、使用該個人信息的目的�、方式和范圍,以便個人信息主體在作出具體的授權(quán)同意前�����,能充分考慮對其的具體影響”�����。
3、確保安全原則下����,新增的要求較多,分別是:
1)“將個人生物識別信息的原始信息和摘要分開存儲”的技術(shù)要求��。
2)在信息系統(tǒng)自動決策機制的使用中定期(至少每年一次)開展個人信息安全影響評估���,并依評估結(jié)果采取有效的保護個人信息主體的措施�、向個人信息主體提供針對自動決策結(jié)果的申訴渠道����,并對自動決策結(jié)果進行人工復(fù)核��。
3)明確組織應(yīng)為個人信息保護負責(zé)人和個人信息保護工作機構(gòu)提供必要的資源���,保障其獨立履行職責(zé)�。如采用公布投訴�����、舉報方式等信息并及時受理投訴舉報���、與監(jiān)督��、管理部門保持溝通����,通報或報告?zhèn)€人信息保護和事件處置等情況等。
4)要求組織記錄的內(nèi)容包括:所涉及個人信息的類型���、數(shù)量����、來源(例如從個人信息主體直接收集或通過間接獲取方式獲得)���;根據(jù)業(yè)務(wù)功能和授權(quán)情況區(qū)分個人信息的處理目的�、使用場景�,以及委托處理、共享�����、轉(zhuǎn)讓���、公開披露����、是否涉及出境等情況。
4���、在最少夠用的原則下����,新增的要求較多����,分別是:
1)要求了用戶個人畫像的特征描述不能為“淫穢、色情����、賭博�、迷信、恐怖���、暴力”�;業(yè)務(wù)運營或?qū)ν鈽I(yè)務(wù)合作中使用用戶畫像不能侵害保護公民��、法人和其他組織的合法權(quán)益���,不能危害國家安全��、榮譽和利益�����。
2)除為達到主體授權(quán)同意的使用目的所必需外�����,使用個人信息時應(yīng)消除明確身份指向性�����,避免精確定位到特定個人����。
3)在向主體推送新聞信息服務(wù)的過程中使用個性化展示時應(yīng):顯著區(qū)分個性化推送服務(wù),如標明“個性化展示”或“定推”等字樣����,為主體提供簡單直觀的退出或關(guān)閉個性化展示模式的選項。
4)電子商務(wù)經(jīng)營者根據(jù)消費者的興趣愛好��、消費習(xí)慣等特征向其提供商品或者服務(wù)搜索結(jié)果的個性化展示的�,應(yīng)當(dāng)同時向該消費者提供不針對其個人特征的選項��。
5)在向主體提供業(yè)務(wù)功能的過程中��,如使用個性化展示時����,建立個人信息主體對個性化展示所依賴的個人信息(如標簽��、畫像維度等)的自主控制機制�,保障個人信息主體調(diào)控個性化展示相關(guān)程度的能力。
6)當(dāng)個人信息主體選擇退出個性化展示模式時��,應(yīng)向個人信息主體提供刪除或匿名化定向推送活動所基于的個人信息的選項����。
5、主體提供者查詢方法及各種操作權(quán)限:
在公開透明原則的原則下����,新增要求應(yīng)向主體提供查詢方法�����,能讓主體知曉持有的個人信息的類型�����;上述個人信息的來源、所用于的目的�����;已經(jīng)獲得上述個人信息的第三方身份或類型��;宜直接在產(chǎn)品或服務(wù)提供的功能界面中(例如應(yīng)用程序可設(shè)置專門的選項�����、功能�、界面等)設(shè)置相應(yīng)的機制,便于個人信息主體在線行使其訪問�����、更正�、刪除、撤回授權(quán)同意����、注銷賬戶等權(quán)利。
6�、新增的其他要求包括:
1)應(yīng)承擔(dān)第三方接入管理
2)收集年滿14周歲未成年人的個人信息前���,應(yīng)征得未成年人或其監(jiān)護人的明示同意;不滿14周歲的�,應(yīng)征得其監(jiān)護人的明示同意。
在《個人信息安全規(guī)范》中���,個人信息從收集到最終的注銷等一系列環(huán)節(jié)��,都有相應(yīng)需要遵守的原則及方法���,以期通過評估、監(jiān)督等多種方式����,準確估計個人信息安全系數(shù),最大程度避免個人信息的泄露及不當(dāng)利用���,從而確保個人隱私不被侵犯�,同時個人的人身安全得到保障�����。
