前沿 | 《个人信息安全规范》与国际数据保护趋势

  • A+
所属分类:安全新闻
前沿 | 《个人信息安全规范》与国际数据保护趋势
点击上方“中国信息安全 可订阅

● 北京市安理律师事务所高级合伙人 王新锐 罗为

全球范围内的信息技术产业变革,驱动着社会福利整体提升。作为信息载体的数据,伴随着互联网下沉至消费产业链,已逐渐成为提升社会整体效能的支柱要素。同样,正因为承担如此重任,数据也成为了一旦失守、便可能引发社会系统性风险的重要风险点。由此,数据保护成为了世界范围内的共识和实践议题。
作为我国数据保护领域影响深远的推荐性国家标准,《信息安全技术 个人信息安全规范》(GB/T 35273-2017)在其实施的两年内,为网络运营者提供了详实的操作性合规指引,也给立法、执法、司法提供了参考。根据长时间的产业实践和工作反馈,全国信息安全标准化技术委员会(以下简称“信安标委”)正式更新的《信息安全技术 个人信息安全规范》(GB/T 35273-2020),并于2020年3月6日由国家市场监督管理总局和国家标准化管理委员会联合发布,将于2020年10月1日正式实施。
作为数据保护领域的从业人员,笔者注意到《个人信息安全规范》整体上较为符合国际上数据保护的最新趋势,同时针对中国数字经济的特点又有所创新,以下简要进行讨论。


国际数据保护趋势

近五年来,由于数据使用场景日趋深化,数据承载的国家利益、个人权益、商业利益在多重维度中呈现出互生、协同、冲突关系纵横交错的姿态。各国依据自身能力定位和价值选择,采取不同的利益平衡模式,构建本国的数据保护方案,以促进自身利益最大化,具体路径如下:
欧盟通过《通用数据保护条例》(General Data Protection Regulation,以下简称“GDPR”)以对自然人个人信息权利的保护为原则,确定了“原则上禁止,有合法授权时允许”的个人数据使用模式,赋予数据主体知情权、访问权、修正权、删除权、限制处理权、可携带权、拒绝权等七项数据权利,以期通过数据保护高标准重塑全球数据保护规则体系。
日本在《个人信息保护法》(2017)中没有强化事先的“知情同意”规则,只对“需注意的个人信息”,规定了必须事先取得用户同意,而对于一般个人信息则以限制滥用为原则。此举倡导了在对个人数据进行有效利用、打造高水平个人信息保护环境的同时,积极促进数据产业的发展。
美国凭借其强大的技术实力,极力倡导自由市场式的数据利用,鼓励“原则上允许,有条件禁止”的个人数据流通模式。以《2018年加州消费者隐私法案》(California Consumer Privacy Act,以下简称“CCPA”)为例,在保障个人数据的广泛访问权的基础上,兼顾公民隐私保护。
新加坡《个人资料保护条例》(2019)不仅规定了商家等从业者不得任意收集、使用并公开个人身份信息,还引入了专门问责机制,凡是触犯该规定,没有做好个人数据保护的机构,将视情况处以高额罚款,此举旨在加强个人信息保护的力度。
韩国2020年1月通过了“数据三法”(《个人信息保护法》、《信用信息法》、《信息通信网法》)的修订案,该法案旨在扩大个人和企业可以收集、利用的个人信息范围,有效缓解了有关数据利用的限制,为数据产业发展奠定了基础。
总体来看,伴随着从以信息供给基础设施为中心转向以信息载体为中心的产业革命,各国已逐渐从依靠信息技术、综合国力等外在因素进行资源抢占的斗争格局转向依靠立法选择正确性、规范技术精细化等内生因素进行资源利用、资源创造的竞争格局和合作姿态。在保护理念上,各国针对数据已逐渐形成全方位保护的立法理念,突出加强个人信息的使用限制。在立法思路上,各国普遍通过确定数据利益相关主体以及厘清各自的权益范围来达到规范目的。在价值选择上,虽然各国在数据涉及的国家利益、个人权益、商业利益发生冲突时占有不同的立场,但总体以保护个人信息主权利益为根基、以拓宽其它主体正当利益为发展。在立法重点上,各国普遍新增个人生物识别信息保护的具体要求以及加强对个性化推荐方式的控制。在立法模式上,各国共同趋势是将严格的政府执法、压力之下的行业自律和低强度的诉讼机制相结合。在立法技术上,各国均力求通过立法获得产业发展的竞争力和信息福利的可持续。在立法特点上,各国试图通过将规范对象收敛至具体场景的精细化立法方式来提升立法正确性,通过明确各方的责任义务及管理措施来提升治理效果。


《个人信息安全规范》的协同和创新

在各国数据保护姿态趋同的背景下,《个人信息安全规范》的制定和修订总体上在与国际数据保护趋势展现出协同契合的一面:
针对数据主体权利的全面保护。GDPR之所以号称数据最严格立法,源于其赋予了数据主体同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权及自动化自决权等广泛的数据权利和自由,同时明确了数据控制者和处理者应尽到采取合法、公平和透明的技术和组织措施保护数据权益的法定义务,以及履行对监管部门及数据保护认证组织的法定义务,以达到对数据的全面保护。而《个人信息安全规范》同样采用专业术语定义扩大个人信息保护范围,以单列条款的形式,增加了用户画像、个性化展示和汇聚融合的使用要求,并从生成策略设计到运行安全可靠多环节对信息系统自动决策机制提出严格约束,彰显其以对数据的全面保护为目标。
针对数据利益保护位阶的明确。在GDPR的框架下,信息权益保护的位阶为:数据控制者或第三方的合法利益让位于数据主体的基本权利和自由,但保护数据主体基本权利和自由的考量要让位于公权力机关的职责履行。《个人信息安全规范》虽然对企业商业利益与个体信息权益间的协商关系做出了细致的具体规定,但整体与GDPR的数据利益保护位阶相一致,以保护数据主体权利为基本。
针对信息收集的“最小必要原则”。如何落实数据收集的“必要性”和“最小化”原则是各国数据监管机构面临的共同挑战。在欧盟GDPR语境下被细化为三要素,即“充分性”——个人信息足以实现处理目的,“相关性”——个人信息与目的具有合理关联,“限于必要”——仅应收集完成目的所需的最少信息。《个人信息安全规范》对于该原则的贯彻,承继了此前征求意见稿在区分业务功能的基础上界定信息收集范围的思路,禁止企业将基本功能与扩展功能捆绑,防止企业通过“功能捆绑”强迫个人信息主体接受个人信息收集,显示出与国际趋势的统一。
针对生物识别信息收集制度。人脸识别信息的过度收集、泄露和滥用引发的诸多伦理、隐私和安全问题在国内外均引起了广泛关注。欧盟委员会甚至曾一度提出五年内禁用人脸识别技术的禁令。一直以隐私监管宽松而著称的美国,也有数州提出或通过关于人脸识别限制的立法。与此相呼应的是,《个人信息安全规范》同样新增并强调对个人生物识别信息在收集、存储、共享三大环节的保护要求,规定了在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间,并要求征得个人信息主体的明示同意。
与此同时,在我国的数据保护领域仍存在很多未达成共识的复杂性问题,以及存在域外经验难以本地化展开的特有性问题。对此,《个人信息安全规范》也因地制宜的进行了规则创新,比如:
关于可携信息范围的限定。GDPR将可携带信息限定为数据主体有权获取其提供给数据控制者的相关个人数据,信息种类较为广泛。而《个人信息安全规范》基于现实实践的考量,将可携信息范围规定仅限于个人基本资料、身份信息、健康生理信息和个人教育工作信息,这一工作为数据可携带权的权利实现奠定了基础。
关于具体操作的指引功能。相较于国际上对于数据的原则性立法、粗放型规定,《个人信息安全规范》从多维度深入规范场景内部进行精确化指导,对个人信息控制者收集和使用个人信息的内部合规制度和外部生态规则提供了详细指引,对个人信息通过委托处理、共享、转让等方式在个人信息控制者、共同控制者、受托处理方、第三方接入各方流转过程的规定进行详细解释。


《个人信息安全规范》的实践价值和样本功能

《个人信息安全规范》自实施以来即以其内容的丰富和可操作性引起实务界的瞩目,成为企业在个人信息保护实践中的重要指引以及相关监管机构执法的参照。在业界,许多业内人士称《个人信息安全规范》是中国版的GDPR,但与GDPR不同,《个人信息安全规范》只是推荐性标准,自身并无强制性法律效力。之所以将其与GDPR类比,其实际意思在指,在规范内容上二者具有同质性,在规范形式和规范技术上具有一定可比性。
在实践中,《个人信息安全规范》将散乱在众多规范的个人信息保护方案进行体系化梳理,为监管部门执法提供了知识参考,也在实践中被执法领域多次援引。同时根据商业形态的发展变革和数字化时代技术的快速迭代,对个人信息收集和使用规则进行完善,为企业合规业务开展提供了明确性指引,彰显了其在我国数据保护领域中的实践价值。
与此同时,面对我国数据保护领域长期处于法律滞后、规范模糊、条文冲突、立法低水平重复的现状,《个人信息安全规范》根据我国相关法律的立法理念,围绕如何保护个人信息主权利益和平衡个人信息控制者利益,综合考量了个人信息的多元利益属性和多方权属主体及其活动状态,对涉及数据的采集、存储、共享、转让、删除等环节的各类场景进行了精细化的设计和创新性的方案设置,切实提升了我国个人信息保护法律体系的融贯性。《个人信息安全规范》既为个人数据提供充分的法律保护,也避免了数据保护过度增加企业的合规成本而对数据产业发展造成压制,在实践中多次为信息立法提供参照,具有重要的样本功能。
(来源:信安标委网站)


前沿 | 《个人信息安全规范》与国际数据保护趋势
前沿 | 《个人信息安全规范》与国际数据保护趋势
前沿 | 《个人信息安全规范》与国际数据保护趋势
前沿 | 《个人信息安全规范》与国际数据保护趋势

扫码关注我们

更多信息安全资讯

请关注“中国信息安全”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: