3月6日,中国国家标准化管理委员会(SAC)与国家市场监督管理总局(SAMR)联合发布了GB/T 35273-2020《信息安全技术 个人信息安全规范》,该标准将于2020年10月1日起正式实施。 该2020版规范将取代自2017年起实施的GB/T 35273-2017。我们曾在此处撰文介绍过该之前的《个人信息安全规范》。
《2020年规范》将更新并完善《2017年个人信息安全规范》中概述的指导方针。《2020年规范》是一项国家标准,简称“GB”。部分国家标准(如《2020年规范》)虽不具有强制性,但作为强化法律效力的推荐性指南,通常以“GB/T”为标识。 在此情况下,2020年规范对中国的2017年《网络安全法》进行了阐释和强化。尽管2020年规范不具有法律强制力,但中国政府会利用这些标准来评估实体是否符合中国的法律准则和法规。战略与国际研究中心曾就之前的规范以及中国国家标准执行过程中的模糊性撰文指出:“书面标准为执法机构留下了解释空间,而这些机构的利益和目标可能与起草者的初衷不一致。”尽管2020年规范澄清了生物识别数据、多重业务功能和明确同意等问题,但新标准在中国将得到何种程度的执行仍不明朗。
《2020年规范》指出,“控制者”是指为提供产品或服务而收集个人信息的主体。“主体”是指向控制者提供个人信息的个人或实体。《2020年规范》旨在赋予主体更多自主权,使其能够自主决定向控制者提供个人信息的方式和时间。
多种业务功能
《2020年规范》第5.3条规定,提供需要个人信息的產品或服务的控制者,不得将数据主体的个人信息捆绑到多个业务功能中。如果数据主体未就特定业务功能使用个人信息给予明确授权,控制者不得通过承诺提供更优质的服务或更高的安全性来诱使数据主体给予授权。 若数据主体停止使用某项特定业务功能,控制者不得继续使用此前收集的个人信息。
明确同意
第5.4条规定,个人信息控制者必须向主体告知数据收集的范围和目的。在收集敏感数据(定义为任何一旦泄露或被滥用,可能危害个人人身或经济安全、影响个人声誉或心理健康,或导致区别对待的信息)时,控制者必须获得“明确同意”。 明确同意是指数据主体必须以纸质或电子形式提供经授权的声明,确认数据收集方有权处理其个人信息。2020年版规范新增了关于生物识别数据收集和保留的规定。除获得数据主体的明确同意外,生物识别数据控制者还必须向数据主体告知其预期用途、收集方法、范围及存储时限。 生物识别数据包括基因信息、指纹、声纹、掌纹、耳廓扫描、虹膜扫描、面部扫描等。当收集者间接获取生物识别数据时,必须确认数据来源的第三方已从数据主体处获得明确同意。
个人信息的存储
第6条涉及个人信息的保存期限、匿名化和去标识化。要求控制者将个人信息的保存期限控制在实现其目的所必需的最短时间内,期限届满后,个人信息必须进行匿名化处理。去标识化必须尽快完成,并采取预防措施,确保个人信息数据无法与数据主体重新关联。 当控制者停止使用收集了个人信息的產品或服务时,必须对数据进行匿名化处理,并向所有主体发送通知,告知其信息不再被使用。
个人信息主体的权利
与之前的规范相比,2020年版规范在理论上为个人信息主体提供了更大的自主权。第8条规定,控制者应向主体提供一种查询方式,以便其查询:a) 控制者所持有的关于该主体的个人信息类型;b) 获取该个人信息的目的;以及c) 可能参与收集该主体数据的任何第三方的身份。 若控制者违反任何法律或与主体达成的任何协议,则须立即删除所有个人信息。控制者还必须提供一种方式,供主体撤回其对访问个人信息的授权同意。
个人信息的共享与转移
要共享和转移个人信息,控制者必须:a) 事先进行安全影响评估;b) 告知主体共享和转移其个人信息的目的;c) 获得主体的明确同意。 《2020年规范》规定,一般而言,个人数据不应被公开披露,除非数据控制者已事先进行必要的安全影响评估、告知数据主体其意图、获得数据主体的明确同意,并保留公开披露的详细记录。然而,公开披露生物识别数据,或种族、民族、政治观点及宗教信仰等个人敏感数据的分析结果,则不适用上述例外规定。
个人信息的跨境传输
第9.8条规定,在中国境内收集和产生的个人信息可以向境外转移,但控制者必须遵守所有相关国家法规和标准。
个人信息安全事件
数据控制者必须制定具体且详细的规程,用于处理和报告任何个人信息安全事件,包括对处理个人信息的员工进行定期培训。如果数据主体的个人信息发生泄露或遭入侵,必须立即通知其本人。数据控制者应开展安全影响评估,以评估其个人信息安全标准对数据主体合法权益的影响。
尽管该国家标准仅具“建议性”且不具有法律效力,但在中国运营的外国企业仍应将全面遵守该规范视为一项“最佳实践”措施。 过去,关于数据向海外传输以及中国政府在何种程度上允许与外国实体和政府共享在中国境内产生的数据,一直存在诸多疑问。自2017年起生效的《网络安全法》第37条规定,所有在中国境内收集的信息应保留在中国境内,只有在业务需要且确有必要的情况下,方可向境外传输。 中国通过设定必要条件来限制数据跨境转移,这同样体现在《网络安全法》第37条中:该条款要求实体在将数据转移出境前,必须进行安全评估并获得当地网络安全主管部门的批准。该条款的措辞并未详细说明,对于外国实体而言,何种情况才构成将数据转移出境的“必要性”。 2020年《细则》的一大亮点在于它对数据本地化问题提供了一定程度的澄清:第9.8条规定,在中国境内收集的个人信息可以向境外转移,前提是收集方必须遵守所有相关国家标准。需要注意的是,该标准仅涉及个人信息,而不适用于一般性数据。
尽管《2020年实施细则》澄清了《网络安全法》中许多未作明确规定的内容,但在数据存储、匿名化处理、第三方共享/转移等具体程序方面仍存在模糊之处。因此,我们的中国网络安全/数据隐私律师将继续与中国地方政府部门合作,确保客户的业务运营符合这一新标准。
