2018年1月,国家标准《个人信息安全规范》(GB/T35273-2017)(以下简称规范)获批发布全文。尽管这是一部推荐性的国家标准,不具有强制力。但仍引起了学界与实务界的广泛关注。2月2日下午,“网络产业与《个人信息安全规范》国家标准研讨会”在北京举行。会议由中国互联网协会指导,中国互联网协会研究中心、互联网实验室、美国信息产业机构主办。会议从产业监管、安全治理、产业合规三方面解读了规范出台的影响和意义。
起草人之一、北京大学互联网发展研究中心高级顾问洪延青:
认为规范比欧盟更严格是误读
在关于规范的各类解读中,有声音认为规范的发布及时填补了现今个人信息保护中诸多技术细节与实操领域的规范空白;也有声音认为,这部国家标准规范比欧洲与美国对于个人信息保护的要求更为严格,可能会影响行业的发展。
对于种种理解,规范的起草人之一、北京大学互联网发展研究中心高级顾问洪延青近日在由中国互联网协会研究中心主办的“网络产业与《个人信息安全规范》国家标准研讨会”上做出了几点回应。
用户“同意”处于核心位置
但并非没有考虑“正当利益”
在近日发布的《个人信息安全规范》中,对于个人信息的收集、转让、共享等各个环节,都对用户的“明示同意”做出了要求。
洪延青表示,个人信息所谓全生命周期每个环节,个人都是能参与到过程中去的,这些权利是《网络安全法》赋予的。
洪延青介绍,《网络安全法》(以下简称网安法)对个人信息保护的规定有一个非常显著的特征,就是给个人特别强的控制权。比如说,收集使用信息需要个人的同意,即经被收集者同意;处理和保存必须遵循与用户的协定;如果违反用户的协定处理或者保存个人信息,用户有删除和更正的权利。当发生安全事件之后,还需要通知到用户。
从这个方向来看的话,个人的“同意”,在处理个人信息过程中处于核心的地位。
因此,有观点认为,这份标准中对于“同意”的要求甚至比欧洲GDPR(《一般数据保护条例》)更为严格,理由是GDPR有六个合法正当处理个人信息的事由,同意是第一项,后面五项不需要同意。第六项是正当利益。
洪延青对此持不同意见。他解释,GDPR中有两种同意的方式,一种是明示同意(explicit consent),指明确写着“我同意”的字样让用户点击或勾选。而另一种是授权同意(unambigu-ousconsent),指通过点击“发送”或者点击“拨打”等动作表明同意,但并不出现明文“同意”。
洪延青介绍,在此次发布的《个人信息安全规范》中,是将以上两种情况合并为“明示同意”,同时也为“授权同意”留下了空间。
“为什么规范中没有提及默示同意?”洪延青解释,首先,这样写怕企业会滥用默示同意。其次,目前承认“授权同意”,是希望互联网企业做到明示同意,但如果现实大量的场景做不到明示同意的话,还是需要用到授权同意的。“从这一点上我们的标准实际上比欧盟松得多,跟相对宽松的美国相对是看齐的,”洪延青说。
而对于一些看法认为,欧盟GDPR中还考虑到“正当利益”的状况,即个人信息对某个组织来说非常重要,有重大的利益,但是处理个人信息对个人合法权益的影响非常小的情况下,通过利益权衡,允许组织不经过同意处理个人信息的做法。
洪延青表示,首先,“同意”的要求没有任何例外情况,这是遵循了网安法的要求。其次,在现实中有什么样的场景经常用到正当利益,法院或者行政机关认可的站得住脚的对正当利益的使用实例,那么我们考虑写到“征得授权同意的例外”中。比如说产品出了一个故障,肯定需要回传一些信息做调试,再比如说需要计费,为了计费的目的肯定要收集个人信息。这时候,虽然在国外这叫正当利益的具体表现,但是我们没有写“正当利益”四个字,而是尽量把它放到“征得授权同意的例外”当中去。
“当然,由于例外只能列举,不可能代替‘正当利益’所给的灵活性,所以会有人读起来觉得规范太严了。”洪延青表示,规范只能在网安法的框架中制定,不可能超越法律的框架。
“个人信息”定义并非世界最严,
与欧盟仍有一定的差距
《个人信息安全规范》附录A中有某项信息是不是个人信息的判断。洪延青介绍,规范的定义考虑两个路径,一是识别路径,即由信息本身特殊性识别出特定自然人。二是关联路径。关联路径的前提是,个人已经识别出来了,他后续做的一系列动作又被系统记录了,显示出他的偏好和行为轨迹,这些也属于个人信息。
洪延青指出,一些社交平台把身份信息保护得很好,例如账户、用户名、手机号、身份证号、家庭住址等。但是,却把用户的朋友关系网络,例如特别关注的好友,屏蔽了谁,不屏蔽谁等叫做系统日志信息,而没有定义为个人信息,这是不合理的。他表示,在一些场景下,身份信息往往没有行为信息更隐私,更需要保护。
此外,还有专家评论,识别是欧盟经常用的路径,关联是美国经常用的路径,把识别和关联都加起来,标准比美欧都严。洪延青认为这是一个误读。
据洪延青介绍,欧盟GDPR中的个人信息定义中,本身就包括“可识别”(identifiable)与“已识别”(ident-ified),这实际上已经把识别和关联都包含在内了。所以规范并没有超过欧盟的严格程度。
需要注意的是,欧盟语境中的“身份“(identity)一词的内涵远比中文语境中“身份”更宽泛。中文语境的“身份”一词指的是工作单位、职位、职级等。但是欧盟GDPR对“身份”的定义,则包括physical(身体的),physiologi-cal(生理的),genetic(基因的),mental(精神的),economic(经济的),cultural or social(文化与社会的)identity(身份)。因此欧盟个人信息定义中包含的内容远大于中国。
而美国的情况也是如此,美国商务部下国家标准与技术研究院标准PⅡ将个人信息定义为两类,第一类是能够用来区别(distinguish)或勾勒个体身份的信息,第二类是能够和个人相关联的信息。洪延青解释,美国的定义也是包括了关联与识别两类。
洪延青表示,规范在制定时,可能会比美国稍严一点,但是绝对不会比欧洲更严,而且与欧洲拉开了一定的距离。
洪延青在发言的最后强调,法律往往都是框架性要求,制定标准一定会在《网络安全法》的框架内,如果未来能够出台个人信息保护相关的专门法,那么规范会在那时候再适时做出修改,反映有弹性的操作空间。
中国互联网协会研究中心秘书长吴沈括:
规范提供了新的
业务参照和行为指引
“在大数据、云计算、物联网以及人工智能等新一代信息技术迅速普及、推广的当下,个人信息与数据治理的战略意义日益凸显”。会议伊始,主持人、中国互联网协会研究中心秘书长吴沈括在发言中表示,包括规范在内的一系列政策、法律法规相继颁布施行,反映了主管部门对民众权益、产业发展和国家利益的高度重视,也折射出中国个人信息保护追求多元价值集合的鲜明特色。
吴沈括认为,在网络安全法治框架下,规范立足信息安全的维度,厘定、阐明了个人信息安全保护领域的诸多重要问题,如“个人信息”的基本定义、个人信息安全的基本要求等;并突出了个人信息全生命周期动态调节的机制特色。他指出,在目前我国个人信息处理规范相对不足的情况下,规范在实际操作层面填补了诸多空白,为提升公民意识、企业合规和国家监管水平提供了新的业务参照和行为指引。
在附录中,规范将具备识别特定自然人或者在一般情况下可以关联到自然人的信息纳入了个人信息的范畴。吴沈括对南都记者表示,这是因为规范的出发点是管控风险,其核心在于尽量降低在收集、处理个人信息过程中对个人合法权益造成的不利影响。
吴沈括指出,作为国家推荐性标准,规范的适用主体不仅限于网络企业,还包括所有个人、企事业单位和国家机关。“事实上,规范更恰当的功能定位应当是一个有关个人信息处理业务合规指引的一揽子推荐性解决方案,属于公共产品的范畴”,他进一步解释说,除非行为主体主动承诺、有权机关明确援引或法律规范直接认可,规范本身不直接产生行为约束力,也并非行政性规范,更不应在刑事责任层面产生实质性意义。
“个案思维和总体风险可控是两个维度的问题,在《个人信息安全规范》的个案运用中,特别需要注意行为边界的精准厘定”,吴沈括强调,规范的实际价值需要在5月1日正式施行后,结合政府机关以及龙头企业的示范效应,尤其是有关部门的执法实践做出进一步的跟踪研判,同时还应特别注意数据跨境下的国际博弈可能产生的反向影响。
中国信通院工业和信息化法律服务中心副主任许长帅:
个人信息保护立法应划分行政监管边界
规范可通过“转化”融入日常监管
“《个人信息安全规范》在网安法的框架内做了‘打开’,对实务有很好的指引作用,这一点是毋庸置疑的”,许长帅指出,网安法关于个人信息保护的规定条款较少,且多为原则性条款,而《个人信息安全规范》(以下简称规范)在此基础上给出了更加详细、明确的规则。
值得注意的是,规范属于推荐性国家标准,和强制性国家标准不同,不能作为执法的直接依据。对此,许长帅提出了一个对策,即通过“转化”的方式,把规范融入到日常监管当中。
许长帅表示,网安法中虽然给出了个人信息的定义并列举了其中一些,但对于没有被列举的信息中,还有哪些属于个人信息尚无统一标准。规范作为有一定效力的国家标准,详细列举了个人信息、个人敏感信息的范围,完全可以融入网安法适用中。
企业违反规范是否需要承担法律责任?
对企业来说,规范在产业中的作用完全靠企业自主采用,就算企业不采用,也无需承担法律责任。但是,如果企业对外承诺或者宣称采用了规范而实际未采用,是否需要承担相应的法律责任?
许长帅认为,根据《标准化法》第27条“企业应当按照标准组织生产经营活动,其生产的产品、提供的服务应当符合企业公开标准的技术要求”和第36条“企业生产的产品、提供的服务不符合其公开标准的技术要求的,依法承担民事责任”,企业需要承担民事责任。
许长帅建议,未来个人信息保护立法应设计把个人信息保护推荐性国家标准转化为具有法律约束力的要求的制度。“如果没有做到,企业除了民事责任以外,还要承担行政法上的责任,这样可能更有利于企业的良好经营,”他说。
规范还列举了在收集个人信息时不用事先获得授权的几种例外情况,而网安法没有与之对应的规定。“假如企业声称是在这些情形下,没有告知就收集了用户的信息,而用户依据网安法要求执法部门处罚企业,该怎么办?”许长帅提出,现阶段国家法律和规范之间仍存在一定差异,可能需要通过立法解释等方式解决,将来个人信息保护立法也应吸收规范的例外规则或其他要求。
后续个人信息保护立法要与执法做预判或衔接
谈到后续的个人信息保护立法,许长帅认为,有两个需要注意的问题。
一个是监管部门的分工问题。许长帅举了一个在淘宝平台售卖医疗器械的例子:客户购买医疗器械说明家里有人需要,那就很可能也需要家政服务,于是卖家将收集到的客户信息卖给家政服务公司,一个利益链条就串起来了。
“这个例子涉及到互联网信息服务、网络交易和医疗器械,分别由三个部门管理,客户该找谁解决?”许长帅指出,谁来监管的问题需要立法部门在个人信息保护立法时重点解决。
另一个是行政监管的边界问题。许长帅指出,个人信息保护是在服务过程中存在的,发生纠纷应该首先寻求司法解决。但实际情况却是大多数人会第一时间找行政部门投诉和举报,试图通过信访、依法履职、投诉等途径解决。
许长帅认为,这导致了极大的行政资源浪费。“个人信息保护涉及的服务是市场行为,产生的问题应该在市场规律下走司法途径解决……所有纠纷都通过行政手段解决已经被证明是做不到的。”因此许长帅建议,个人信息保护立法要明确划分行政监管的边界,与后面的执法做一个预判或衔接。
