《信息安全技术个人信息安全规范》解读-新闻动态-原点安全一体化数据安全平台uDSP

根据国家市场监督管理总局、国家标准化管理委员会于2020年3月6日发布的中华人民共和国国家标准公告（2020年第1号），全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术个人信息安全规范》（以下简称“《规范》（2020版）”）等8项国家标准正式发布，于2020年10月1日正式实施。

近年来，随着互联网应用和大数据分析的发展和普及，相关技术在给生活带来更多便利的同时，也给个人信息安全带来更多隐患。企业对个人信息的不当收集和使用使个人信息安全面临严重威胁。由于早期法律规范及各地监管政策的模糊化及碎片化，一些规定缺乏落地的细则，针对个人信息安全的规范管理和执法存在一定的难度。为规范企业收集和使用个人信息等行为，并对个人信息安全事件处理以及监管部门管理和执法等提出指引和参考，全国信息安全标准化技术委员会于2017年12月发布了GB/T 35273-2017《信息安全技术个人信息安全规范》（以下简称“《规范》（2017版）”）。继《规范》（2017版）发布之后，两年多的时间内，历经两次向社会公开征求意见，结合执法监管实践经验和工作成果，并接轨新近出台的相关法规，《规范》（2020版）对其中相关规定作出了同步更新和调整。

相比于《规范》（2017版），《规范》（2020版）在内容上有较大变化，除了授权同意、账户注销、实现个人信息主体自主意愿的方法等内容的修改外，还新增了多项业务功能的自主选择、用户画像、个性化展示、个人信息汇聚融合、第三方接入管理等相关要求。《规范》（2020版）为个人信息主体的权利保障与企业关于个人信息保护的合规实践提供参考。

本文将通过与《规范》（2017版）对比的方式，对《规范》（2020版）的主要修改进行对比和解读，并对企业做出合规提示。

一、主要修改内容

1. 删减收集个人信息合法性的部分规定；

2. 新增个人信息收集的授权同意相关规定；

3. 强化个人信息的传输和存储的相关规定；

4. 新增个人信息共享转让的相关规定；

5. 单独设立个人信息主体权利条款；

6. 新增及细化个人信息主体注销账户的相关规定；

7. 新增个人信息汇聚融合的相关规定；

8. 新增数据商业化使用限制的相关规定；

9. 新增第三方接入管理的相关规定。

二、主要条文对比及解读

（一）收集个人信息的合法性

1. 条文对比

2. 解读

对于收集个人信息的合法性要求，《规范》（2020版）主要改动为删除了原有的“不得收集法律法规明令禁止收集的个人信息”的要求，如法律法规已经明令禁止收集某类个人信息，个人信息控制者本就应该遵循相应法律法规的规定。例如《征信业管理条例》第十四条规定，禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。即行政法规明确禁止征信机构在征信业务中收集前述个人信息。

（二）收集个人信息时的授权同意

1. 条文对比

2. 解读

《规范》（2020版）在现行区分个人信息和个人敏感信息的保护框架之内，新增关于收集个人生物识别信息的要求，就近年来各行业对个人生物识别信息利用进行更全面的监督与管理，从而响应大数据发展潮流下日益突出的新型个人信息保护问题，进一步提升对个人信息主体的保护水平。

《规范》（2020版）就告知方式、告知内容和同意方式作出明确规定：（1）告知方式为单独告知；（2）告知内容，收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则；（3）应征得个人信息主体的明示同意。

（三）个人敏感信息的传输和存储

1. 条文对比

2. 解读

《规范》（2020版）明确了原则上不应存储原始个人生物识别信息（如样本、图像等）的要求。根据“注2”的解释，个人信息控制者履行法律法规规定的义务相关的情形除外，即为了履行法律法规规定的义务可以存储原始个人生物识别信息，对存储原始个人生物识别信息，将不应存储原始个人生物识别信息的例外情形也进行了严格的限制。

《规范》（2020版）对存储个人生物识别信息新增两条可选路径，其中第一条为：在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能，个人生物识别信息存储在用户的手机等采集终端，身份识别、认证等动作在用户的采集终端上完成，而不需要将个人生物识别信息传送至企业，企业接收的只是该等信息验证的结果；第二条为：在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

根据上述两条可选路径，企业可以将原始个人生物信息存储于采集终端，但限制其将原始个人生物识别信息上传至企业服务器进行身份认证以外的后续使用，这可能会对部分企业运营及产品模式产生重大影响。其次，实践中企业存在将个人生物信息长期存储，并用于后续相同客户的身份验证的情形，但在《规范》（2020版）要求之下，该验证后的个人生物信息是否属于可提取个人生物识别信息的原始信息、企业能否于服务器中留存并调取使用等问题尚未明确。

此外，《规范》（2020版）将原始个人生物识别信息的使用范围与使用时段限于采集终端的目的，综合考虑了实践中身份验证等对原始个人生物识别信息的利用需求以及对个人信息主体人身权的保护，同时也为企业提供了储存摘要信息的路径，促使企业思考如何提高技术水平、转变商业模式，以便形成对个人生物识别信息合规利用的最佳路径。

（四）个人信息共享、转让

1. 条文对比

2. 解读

《规范》（2020正式版）新增了对个人生物识别信息共享、转让的要求。个人生物识别信息原则上不共享、转让，确需共享、转让需符合以下四个条件要求：

（1）必要性，需确因业务需要；

（2）告知方式为单独告知；

（3）告知内容，告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等；

（4）同意方式为明示同意。

(五) 个人信息主体的权利

1. 条文对比

2. 解读

《规范》（2020版）将个人信息主体的权利相关内容，从原先在“个人信息的使用”章节下的条款调整为独立章节。

相较于《规范》（2017版）将个人信息主体权利响应要求划归“个人信息使用”章节之下，《规范》（2020版）从整体结构上对标准体系规整，结构更加严谨、个人信息主体权利相关内容更加突出，凸显了对个人信息主体权利保护的关注。

（六）个人信息主体注销账户

1. 条文对比

2. 解读

《规范》（2020版）对个人信息主体注销账户作出更详细的规定，明确人工处理注销账号的时限为十五个工作日，并增加“不应注销单个账户视同注销多个产品或服务”的相关规定。

实践中，企业为便于用户登录并使用企业内部不同产品或服务，而关联用户账号，用户使用通用账号即可获取企业内部所有的产品或服务，若注销用户通用账号，将导致用户无法使用该企业所有产品或服务，影响用户体验。对此，《规范》（2020版）提供了可行性的执行建议，以达到不影响企业其他业务功能正常运作及维护消费者体验的双重效果。

(七) 个人信息的汇聚融合

1. 条文对比

2. 解读

《规范》（2020版）中增加了基于不同业务目的所收集的个人信息汇聚融合的合规监管要求。企业在汇聚融合基于不同业务目的所收集的个人信息时，需遵守个人信息使用目的限制的相关要求，不能超范围使用个人信息；同时还需要根据汇聚融合后的目的，开展个人信息安全影响评估，采取有效的个人信息保护措施。

个人信息的汇聚融合依托大数据分析技术的创新得以实现和进步。企业能够通过对自身收集的个人信息和从第三方间接获取的个人信息等进行汇聚融合，实现业务数据整合；企业依靠个人信息汇聚融合后形成的用户画像、特征标签等还能评价个人信用状况、提供个性化展示和推送功能等。但是，个人信息的汇聚融合同样可能存在超出授权范围使用个人信息、特定个人被精确定位等风险；在个人信息汇聚融合过程中，还可能因个人信息控制的共享或转让造成信息安全隐患。

《规范》（2020版）的规定有效地保障了个人信息主体在个人信息汇聚融合中的知情权、自主意愿和选择权，防范企业对个人信息的超范围使用；同时个人信息安全影响评估与个人信息保护措施的要求也能够在一定程度上降低个人信息被泄露、转卖或滥用的风险。

(八) 数据商业化的使用限制

1. 条文对比

2. 解读

《规范》（2020版）对用户画像的使用与个性化展示的数据商业化实践加以规范和限制，包括：（1）用户画像的使用不得侵犯公民、法人和其他组织的合法权益或危害国家安全、荣誉和利益等；（2）在业务运营或对外业务合作中，避免使用直接用户画像；（3）提供业务功能的过程中显著区分个性化展示的内容和非个性化展示的内容；（4）提供退出或关闭个性化模式的选项；（5）保障个人信息主体调控个性化展示相关性程度的能力等内容。

个人信息收集、汇聚融合和分析而形成的用户画像广泛应用于个人信用状况评价、商业广告推送等领域；大数据分析和人工智能技术的发展对个性化展示的使用带来极大便利，用户画像和个性化展示的使用显著提高了产品和服务提供者与用户之间的交互性。另一方面，对用户画像和个性化展示的不当使用也存在侵害对个人信息主体权利的风险。

基于对个人信息主体权利的保护，《规范》（2020版）规定在推送商业广告时避免使用直接用户画像，有助于降低用户画像被泄露、转卖或滥用的风险；显著区分个性化展示和非个性化展示保障了个人信息主体的知情权；退出或关闭个性化展示模式、删除或匿名化个性化展示所依赖的个人信息等选项体现了对个人信息主体选择权的保障。

(九) 第三方接入管理

1. 条文对比

2. 解读

《规范》（2020版）从事前接入审查、授权同意、后续检测审计等方面全面加强产品和服务对接入或嵌入的第三方个人信息处理的监督审查责任。要求企业在第三方接入前建立安全评估等机制，对第三方工具开展相关的技术检测；要求第三方从用户处获得收集个人信息的授权同意，并在必要情形中核验其实现的方式。同时要求企业在第三方接入后向用户明确标识产品或服务由第三方提供，要求接入第三方建立个人权利响应机制并加强个人信息的安全管理。在发现未落实安全管理要求和责任时，企业应当督促第三方及时整改，必要时立即停止接入。

三、对企业的合规提示

（一）关于个人信息优化

1. 建议企业根据现有业务中涉及个人生物识别信息收集的项目，在启动个人生物识别信息采集功能之前，设置个人生物识别信息采集声明，向用户告知采集的目的、方式和范围，并取得用户的明示同意；如业务中需要重复或多次采集个人生物识别信息的，应每次单独向用户进行告知，并取得用户的明示同意；

2. 建议企业在实践中可采取如下相应措施，确保原则上不存储原始个人生物识别信息：仅存储个人生物识别信息的摘要信息、在采集终端直接使用个人生物识别信息实现身份识别、认证等功能、在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像等。

3. 建议企业在实践中确保原则上不共享、转让个人生物识别信息，根据现有业务中涉及个人生物识别信息，如存在确需共享、转让个人生物识别信息的项目，在进行个人生物识别信息共享、转让之前，应事先对个人信息安全影响进行评估，设置个人生物识别信息共享或转让声明，向用户告知采集或共享、转让的目的、方式和范围，并取得用户的明示同意；如业务中需要重复或多次共享、转让个人生物识别信息的，应每次单独向用户进行告知，并取得用户的明示同意。

（二）关于用户对个人信息的管理能力

1. 建议企业通过不同形式向用户告知存在需收集个人信息的业务功能及需要收集的个人信息类型和用户拒绝提供将造成的影响，确保能够获取用户的授权同意，保障用户的自主意愿和选择权；同时保障关闭或重启相应业务功能的便捷性；

2. 设置简便易操作的注销账户方法，不设置不合理的条件或提出额外要求增加用户的义务，在承诺时限内及时响应用户的注销请求并完成核查和处理，确保用户注销后的个人信息及时删除或做匿名化处理；

3. 若注销某个通用账户，会导致其他产品或服务的基本功能无法实现或者质量下降的，应向用户进行详细说明；

4. 在个人信息收集环节对法律法规规定需要留存的数据进行筛查，以便在用户注销账户并对完成个人信息的删除或匿名化处理之后，对法律规定需要留存的数据妥善保管，并确保其不被再次用于日常业务活动。

（三）关于个人信息汇聚融合

建议企业通过不同形式告知用户关于汇聚融合不同业务的个人信息的目的、方式和范围，在超出原有授权同意范围使用个人信息时，再次征得用户的明示同意，并根据要求开展个人信息安全影响评估以及采取个人信息保护措施。

（四）关于个人信息商业化

1. 建议企业在运营或对外业务合作中对用户画像的使用进行严格的核查和限制，如核查业务中是否存在使用大数据分析技术等对个人信息进行分析，以形成特征标签、用户画像的情形。使用用户画像时应消除明确身份指向性，避免用户被精确定位；

2. 建议企业在用户提供个性化展示功能与内容时对相应功能和内容进行显著标识；同时保障用户退出或关闭个性化展示服务的权利；建立删除或匿名化定向推送活动中基于个人信息的选项。

（五）关于第三方接入管理

建议企业对自身产品或服务中的第三方产品或服务进行核查，及时删除或停止接入不必要或存在隐秘收集或滥用个人信息以及存在信息安全隐患的第三方产品或服务；若必须接入第三方产品或服务，应当向用户明确标识该产品或服务由第三方提供并详细披露第三方个人信息处理活动的具体情况。

四、结语

在大数据发展环境下，个人信息安全备受关注。《规范》（2020版）除通过优化部分规定，进一步加强对个人信息主体的权益保护外，还对个人信息的合规管理、个人生物识别信息的保护、数据商业化、第三方接入等内容作出了新的规定，在确保企业完善个人信息保护工作的同时也为监督部门的执法管理和个人信息主体的维权提供了参考依据，同时也为提升公民意识、企业合规和国家监管水平提供了新的业务参照和行为指引。