全国信息安全标准化技术委员会组织制定的国家标准GB/T35273-2017《信息安全技术 个人信息安全规范》(以下简称规范)将于2018年5月1日起正式实施,规范的法律效力受到关注。有学者指出,规范是推荐性标准而非强制性标准,因此不具备法律强制力。但规范可能成为监管部门的执法参考,由此对企业产生约束力。
规范本身不直接产生约束力
确切地说,规范可被视为“基础通用”的实践指南,但并不强制要求企业执行。
根据2018年1月1日起施行的《中华人民共和国标准化法》,标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准又分为强制性标准和推荐性标准,前者必须执行,后者系国家鼓励采用。按照国务院要求,国家标准体系建设一贯遵循“强制性标准守底线、推荐性标准保基本”的原则。
因此,规范作为推荐性国家标准,除非行为主体主动承诺、权力机关明确援引或法律直接认可,规范本身不直接产生行为约束力。规范起草人之一、北京大学互联网发展研究中心研究员洪延青认为,规范凝聚了企、事业及科研机构等单位较为广泛的共识,具有普遍适用性,为企业合规提供了一个良好的参考方案。
他表示,企业采用并忠实地落实了规范,就符合了《网络安全法》等法律法规关于个人信息保护的要求。但规范并不是唯一方案,有能力的企业完全可以自己理解《网络安全法》的相关条文,并制定出一套合规体系,并向主管监管部门证明自己符合了《网络安全法》。
可作为执法参考和说理依据
值得注意的是,在几种情况下,推荐性标准可获得法律上的约束力。
有学者指出,根据原国家技术监督局《企业标准化管理办法》第17条第2款“推荐性标准,企业一经采用,应严格执行”的规定,一旦企业通过用户合同、隐私协议或其他类型的文件对规范作出承诺,则必须受其约束。
此外,规范明确指出,规范适用于“主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估”。因此,规范能为监管机构执法提供参考,并由此对企业产生约束力。监管机构不能直接将规范作为执法依据,但可以根据规范采取警示约谈、行政检查、劝导示范、行政指导、行政奖励等非正式的监管措施。例如,在2018年初的“支付宝年度账单事件”中,国家网信办就迅速约谈支付宝和蚂蚁金服,并依据规范作出了通报。
在法院的司法实践中,推荐性标准也能发挥一定作用。以2009年“郸城县中英文学校诉被告宿迁宝乐文体玩具有限公司产品质量损害赔偿纠纷案”为例,法院引用《中华人民共和国国家标准》(GB/T3328-1997)“家具(床类)主要尺寸”的要求,认定双层床产品质量存在缺陷。有学者据此指出,法院根据审理案件的需要,经审查认定规范在相关案件中合法有效,可将规范作为裁判说理的依据,并由此对企业产生约束力。
