总第1期 新版个人信息安全规范的主要变化及企业合规
近日,国家市场监督管理总局、国家标准化管理委员会正式对外发布新版推荐性国家标准《信息安全技术 个人信息安全规范》,该新版规范将于2020年10月1日正式实施。相较于2017版规范,新版规范进一步增强了实操性,并通过相关内容的增加和修改回应了执法实践、企业合规工作中广泛关注的问题,同时对已有要求进行了完善,扩充了对于使用“信息系统自动决策机制”的约束。本期前沿,LexisNexis邀请众多行业内知名专家,就个人信息规范的主要变化以及企业合规应对等相关法律问题进行深入探讨,并提供一些法律建议和对策,希望对企业有所参考和借鉴。
- 新版《个人信息安全规范》的主要变化及企业的应对 [袁立志,胡科,竞天公诚律师事务所]
一、明示同意与授权同意的定义
二、新增多项业务功能的自主选择
三、收集个人信息时的授权同意
四、个人生物识别信息的存储
五、新增汇聚融合的规定
六、完善注销账户的规定
七、委托处理
八、共同控制与第三方接入管理
九、责任部门与人员
十、调整了个人敏感信息的范围
- 新个人信息安全规范重要新增内容解读 [孙胤翔, 董秋艳, 胡玮,环球律师事务所]
一、 新增口头同意和默示同意
二、 新增多项业务功能的自主选择
三、 新增个人生物识别信息的特殊规定
四、 规范第三方接入管理
五、 新增用户画像及个性化展示的特殊规定
六、 细化个人信息主体注销账户的相关规定
七、 提高设立专职个人信息保护负责人和保护工作机构的最低标准
- 《信息安全技术个人信息安全规范》修订版正式发布 [董潇, 袁琼, 董俊杰,君合律师事务所]
一、 “授权同意”的定义扩展为包括默示同意
二、 多项业务功能分别征求同意
三、 对个人生物识别信息的收集、使用及存储提出更加严格的要求
四、 用户画像的使用限制
五、 可辨识的和可控制的个性化展示
六、 账户注销程序
七、 数据处理协议
八、 对共同个人信息控制者和其他第三方插件的严格要求
九、 内部管理要求
- 《信息安全技术个人信息安全规范》新版解读与合规提示 [林祯, 叶柏村,国浩律师(上海)事务所]
对企业的合规提示
一、关于个人信息优化
1. 建议企业根据现有业务中涉及个人生物识别信息收集的项目,在启动个人生物识别信息采集功能之前,设置个人生物识别信息采集声明,向用户告知采集的目的、方式和范围,并取得用户的明示同意。
2. 建议企业在实践中可采取如下相应措施,确保原则上不存储原始个人生物识别信息:仅存储个人生物识别信息的摘要信息、在采集终端直接使用个人生物识别信息实现身份识别、认证等功能、在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像等。
3. 建议企业在实践中确保原则上不共享、转让个人生物识别信息,根据现有业务中涉及个人生物识别信息,如存在确需共享、转让个人生物识别信息的项目,在进行个人生物识别信息共享、转让之前,应事先对个人信息安全影响进行评估,设置个人生物识别信息共享或转让声明,向用户告知采集或共享、转让的目的、方式和范围,并取得用户的明示同意。
二、关于用户对个人信息的管理能力
1.建议企业通过不同形式向用户告知存在需收集个人信息的业务功能及需要收集的个人信息类型和用户拒绝提供将造成的影响,确保能够获取用户的授权同意,保障用户的自主意愿和选择权。
2.设置简便易操作的注销账户方法,不设置不合理的条件或提出额外要求增加用户的义务,在承诺时限内及时响应用户的注销请求并完成核查和处理,确保用户注销后的个人信息及时删除或做匿名化处理;
3.若注销某个通用账户,会导致其他产品或服务的基本功能无法实现或者质量下降的,应向用户进行详细说明;
4.在个人信息收集环节对法律法规规定需要留存的数据进行筛查,以便在用户注销账户并对完成个人信息的删除或匿名化处理之后,对法律规定需要留存的数据妥善保管,并确保其不被再次用于日常业务活动。
三、关于个人信息汇聚融合
建议企业通过不同形式告知用户关于汇聚融合不同业务的个人信息的目的、方式和范围,在超出原有授权同意范围使用个人信息时,再次征得用户的明示同意,并根据要求开展个人信息安全影响评估以及采取个人信息保护措施。
四、关于个人信息商业化
1.建议企业在运营或对外业务合作中对用户画像的使用进行严格的核查和限制,如核查业务中是否存在使用大数据分析技术等对个人信息进行分析,以形成特征标签、用户画像的情形。使用用户画像时应消除明确身份指向性,避免用户被精确定位;
2.建议企业在用户提供个性化展示功能与内容时对相应功能和内容进行显著标识;同时保障用户退出或关闭个性化展示服务的权利;建立删除或匿名化定向推送活动中基于个人信息的选项。
五、关于第三方接入管理
建议企业对自身产品或服务中的第三方产品或服务进行核查,及时删除或停止接入不必要或存在隐秘收集或滥用个人信息以及存在信息安全隐患的第三方产品或服务;若必须接入第三方产品或服务,应当向用户明确标识该产品或服务由第三方提供并详细披露第三方个人信息处理活动的具体情况。
- 六脉神剑袭来,新版国标《个人信息安全规范》显威 [蔡航, 陈达伦,安杰律师事务所]
一、对提供多项业务功能的个人信息控制者提出更高要求
二、在个人生物识别信息的收集与使用上建立起“单独告知”和“分开存储或有限存储”两个新原则
三、增加了对用户画像的描述限制与使用限制
四、体现对个人信息汇聚融合趋势的关注
五、细化个人信息主体注销账户的有关要求
六、细化了个人信息管理环节中的第三方责任
- 水落石出——新版《个人信息安全规范》解读 [数据合规团队,天达共和律师事务所]
一、 完善和补充了部分重要定义
二、 增加了“多项业务功能的自主选择”
三、 修改了“征得授权同意的例外”
四、 增加了“用户画像的使用限制”
五、 增加了“个性化展示的使用”
六、 增加了“基于不同业务目所收集个人信息的汇聚融合”
七、 修改了“个人信息主体注销账户”
八、 增加了“第三方接入管理”
九、 修改了“明确责任部门与人员”
十、 增加了“个人信息安全工程”
十一、 增加了“个人信息处理活动记录”
十二、 修改了“实现个人信息主体自主意愿的方法”
- 心有猛虎 细嗅蔷薇——评GB/T35273-2020《信息安全技术 个人信息安全规范》 [彭凯, 周晨黠,金诚同达律师事务所]
- 最新《个人信息安全规范》(GB/T 35273-2020)解读(附全文对照表) [施青红, 李娟,泰和泰律师事务所]
- 2020版《个人信息安全规范》重点解析 [段志超, 蔡克蒙,汉坤律师事务所]
- 《个人信息安全规范》最新正式稿,你想知道的都在这里 [刘新宇, 宋海新,北京市中伦律师事务所]
- “欲穷千里目,更上一层楼”——《个人信息安全规范》最新修订要点评述 [宁宣凤, 吴涵, 李沅珊, 张乐健, 刘阳璐,北京市金杜律师事务所]