新版《个人信息安全规范》发布了,PDF版尚未发布,只有草案版的PDF,和正式版基本一致
先说下简单结论,本次对规范做了进一步分类和细化,对于造成社会重大影响的个人信息安全事件做了特别的考量(如支付宝账单事件),对于头条系这种重度推荐造成信息茧房的改造量较大,要求可让客户自选是否接受推荐,针对目前最新的平台间合作模式、机器学习算法可解释性等都做了回应。
前言中列出了相比2017版的主要修改内容,还有些重要修改没列在前言中,下面数据玩家就进行逐条对比:
——增加“收集个人信息时的授权同意”5.4,原5.3和5.4合并,这条没在前言中列出
5.4 收集个人信息时的授权同意
对个人信息控制者的要求包括:
a) 收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意;
注1:如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过个人信息保护政策的形式,实现向个人信息主体的告知;产品或服务提供多项收集、使用个人信息的业务功能的,除个人信息保护政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响。
注2:符合5.3和 a)要求的实现方法,可参考附录C。
b) 收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;
c) 收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;
注:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。
d) 收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意;
e) 间接获取个人信息时:
1) 应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;
2) 应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;
3) 如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。
这里把个人信息、个人敏感信息、个人生物信息并列了,并且明确了个人生物信息的含义。对于未成年人信息的收集,要求征得监护人同意,这个有点难落地,主要针对各类在线教育应用。
——增加了“多项业务功能的自主选择” 5.3
5.3 多项业务功能的自主选择
当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括:
a) 不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求;
b) 应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息;
c) 关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后,个人信息控制者应停止该业务功能的个人信息收集活动;
d)个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意;
e)个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量;
f) 不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息。
禁止捆绑授权,禁止频繁请求授权,另外值得注意的是b这一条,一定要客户主动勾选,默认勾选不行(还记得支付宝账单事件吗)。
——修改了“征得授权同意的例外”5.6(原5.4)实际应为5.5
新版增加了一条
i) 维护所提供产品或服务的安全稳定运行所必需的,如发现、处置产品或服务的故障
这个除了商品质量问题需要联系客户(如车辆安全问题需要召回)之外,在金融行业中,由于客户逾期导致需要催收是否属于范围内?
——修改5.5 个人信息保护政策,原5.6个人信息保护策略的内容和发布
注1:组织会习惯性将个人信息保护政策命名为“隐私政策”或其他名称,其内容宜与个人信息保护政策内容保持一致。
注2:个人信息保护政策的内容可参考附录D。
注3:在个人信息主体首次打开产品或服务、注册账户等情形时,宜通过弹窗等形式主动向其展示个人信息保护政策的主要或核心内容,帮助个人信息主体理解该产品或服务的个人信息处理范围和规则,并决定是否继续使用该产品或服务。
其中注1和注3为本次新增,写得比较清楚了。
——增加了“用户画像的使用限制”7.4
这一条除了画像本身不能很黄很暴力,不能包含民族、宗教、疾病等歧视信息外,比较重要的是:
除为实现个人信息主体授权同意的使用目的所必须外,使用个人信息时应消除明确身份指向性,避免精确定位到个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。
意思是风控可以定位到个人,精准营销不建议定位到个人,也就是精准营销应该使用群体画像投放,而不应该定位到某个人来投放。这个也很好理解,但是有些DMP平台具体操作中肯定需要规范,比如某宝浏览了商品,到某音马上看到广告推送的,是不是太明显了。
——增加了“个性化展示的时候用”7.5
7.5 个性化展示的使用
对个人信息控制者的要求包括:
a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容;
注:显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。
b) 在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;
注:基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。
c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:
1) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;
2) 当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
d) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。
这条内容比较多,白话解读:
根据算法推荐的内容,应该明确标识:“根据您的喜好推荐”类似的内容。特别的,对电商类,客户可以看推荐结果,也可以看无推荐结果,还贴心的指出,根据地区显示的不算,也就是有货/无货,特定地区有售的商品等都不受限制;对新闻类,也可以选择不看推荐内容,相当于退出账号的效果,并且还要能够删除用来做推荐的个人信息。
Emmm… 这条感觉是为头条定制的,看了下起草单位,有腾讯、阿里,没有字节跳动……不阴谋论了,继续看下面。
——增加了“基于不同业务目的所收集个人信息的汇聚融合”7.6 (这里国标居然漏了一个字)
这条比较笼统,大意是汇聚以后也得保证个人信息安全,比如多个设备特征,单一来看不算个人信息,汇聚以后变成设备指纹,按7.3要求,也算个人信息了。
——增加7.7 信息系统自动决策机制的使用
7.7 信息系统自动决策机制的使用
个人信息控制者业务运营所使用的信息系统,具备自动决策机制且能对个人信息主体权益造成显著影响的(例如,自动决定个人征信及贷款额度,或用于面试人员的自动化筛选等),应:
a) 在规划设计阶段或首次使用前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b) 在使用过程中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果改进保护个人信息主体的措施;
c) 向个人信息主体提供针对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核。
这里首次对类似业务做了要求,不过如何进行个人信息安全影响评估,有待细则出台。另外就是提供自动决策结果的投诉通道和人工复核,这里将机器学习算法的可解释性再次摆上桌面。
——修改了“个人信息主题注销账户”8.5
8.5 个人信息主体注销账户
对个人信息控制者的要求包括:
a) 通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且方法简便易操作;
b) 受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理;
c) 注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型;
d) 注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等;
注1:多个产品或服务之间存在必要业务关联关系的,例如,一旦注销某个产品或服务的账户,将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,需向个人信息主体进行详细说明。
注2:产品或服务没有独立的账户体系的,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现注销。
e)注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等;
f) 个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律规规定需要留存个人信息的,不能再次将其用于日常业务活动中。
旧版只有a和f的前半句,新版这里写得很清楚了,大家可以看原文理解。
——增加了“第三方接入管理”9.7
9.7 第三方接入管理
当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不适用9.1和9.6时,对个人信息控制者的要求包括:
a) 建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;
b) 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
c) 应向个人信息主体明确标识产品或服务由第三方提供;
d) 应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
e) 应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;
f) 应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;
g) 应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
h) 产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:
1) 开展技术检测确保其个人信息收集、使用行为符合约定要求;
2) 对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。
这里对金融机构来说,对开放银行的模式下的各类合作模式做出了要求,还有获客导流、助贷、联合贷款等等模式都会涉及
——修改了“明确责任部门与人员”11.1
11.1 明确责任部门与人员
对个人信息控制者的要求包括:
a) 应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
b)应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作;
c)满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
1)主要业务涉及个人信息处理,且从业人员规模大于200人;
2) 处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息;
3) 处理超过10万人的个人敏感信息的。
d) 个人信息保护负责人和个人信息保护工作机构的职责应包括但不限于:
1) 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
2) 组织制定个人信息保护工作计划并督促落实;
3) 制定、签发、实施、定期更新个人信息保护政策和相关规程;
4) 建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
5) 开展个人信息安全影响评估,提出个人信息保护的对策建议,督促整改安全隐患;
6) 组织开展个人信息安全培训;
7) 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
8) 公布投诉、举报方式等信息并及时受理投诉举报;
9) 进行安全审计;
10) 与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
e) 应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。
相比旧版,对于需要独立信息保护负责人的机构认定做了调整,原来是50万个人信息,现在是100万,并且增加了10万敏感信息,并且对职责做了更详细的规定,最后强调了给予资源和保证独立性。
——增加了“个人信息安全工程”11.2
11.2 个人信息安全工程
开发具有处理个人信息功能的产品或服务时,个人信息控制者宜根据国家有关标准在需求、设计、开发、测试、发布等系统工程阶段考虑个人信息保护要求,保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。
对开发测试环境及过程管理也做了要求
——增加了“个人信息处理活动记录”11.3
11.3 个人信息处理活动记录
个人信息控制者宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括:
a) 所涉及个人信息的类型、数量、来源(如从个人信息主体直接收集或通过间接获取方式获得);
b) 根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;
c) 与个人信息处理活动各环节相关的信息系统、组织或人员。
对过程管理的规范做了细化规定
——修改了“实现个人信息主体自主意愿的方法”附录C
附录C内容比较多,主要是把业务功能分为基本的和扩展的,基本的功能如果个人不授权使用个人信息,可以拒绝提供服务,扩展的则不能拒绝,并且不能反复请求授权。
感觉还是对营销类的算法影响大,毕竟都可以算扩展功能,风控类的都可以算基本类。
总的来说,规范更加细致的同时,也考虑了实际业务中的需要,做了分类的细化规定,个人感觉对头条系和类似业务模式的产品影响比较大,合规成本越来越高。不过这没得选,安全合规是最前面那个1,其他的全是后面的0。
不过本次规范仍然是高阶指导文件,具体立法规定甚至司法解释还有一段距离,需要更严格的处罚措施才会触动企业开始改变。
921
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
