信息安全技术个人信息安全规范

2017年12月29日，

《

国家根本大法层面，《宪法》（1982年，2004修正）中关于“公民的人格尊严不受侵犯，公民享有通信自由和通信秘密的权利，国家尊重和保障人权”等相关条款是个人信息应当受到法律保护的《宪法》依据。

民事法律层面，《民法总则》（2017年）首次对隐私权和个人信息采取“二元论”保护模式[②]。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（2014年）首次从司法解释层面，明确了个人信息的法律内涵及侵权责任承担方式。《侵权责任法》（2010年）首次将隐私权纳入民事权益的范畴。

行政监管法律层面，《网安法》（2017年）延续了《全国人民代表大会常务委员会关于加强网络信息保护的决定》（2012年）、《电信和互联网用户个人信息保护规定》（2013年）、《消费者权益保护法》（2014年）等关于个人信息保护的思路，明确了“个人信息”的概念，对个人信息保护提出了更为严格的要求。

刑事法律层面，《刑法修正案七》（2009年）新设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。《刑法修正案九》（2015年）对《刑法修正案七》进行了修改，将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”，明确放宽了侵犯公民个人信息罪的主体范围。

2017年生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（2017年）（以下简称《两高司法解释》）在《网安法》的基础上，进一步扩大了个人信息的定义范围，将反映特定自然人活动情况的各种信息，例如行踪轨迹信息等均纳入到个人信息保护范畴，同时明确了此罪的认定标准和量刑标准。随着一系列刑事法律的出台，我国个人信息保护迈开了刑法先行的步伐。

虽然2017年《民法总则》、《网安法》和《两高司法解释》的出台极大程度上促进了我国在个人信息保护方面的立法进程，但对于行业发展，尤其是大数据领域个人信息保护问题，我国的立法并没有给出具体的答案，相关定义和实务方案亟待明确。

《个人信息安全规范》相比国内现行的法律法规规章，以及现有的国家标准，提出了超过130项具体的个人信息保护措施，篇幅超30页，规定详细指导性强，针对各类组织的个人信息处理活动给出了具体操作规范。

从法律效力上，《个人信息安全规范》是国家推荐性标准，不属于强制性标准，国家鼓励企业自愿采用。

《中华人民共和国标准化法》第二条规定：本法所称标准（含标准样品），是指农业、工业、服务业以及社会事业等领域需要统一的技术要求。标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准分为强制性标准、推荐性标准，行业标准、地方标准是推荐性标准。强制性标准必须执行。

国家鼓励采用推荐性标准。第二十一条规定：国家鼓励社会团体、企业制定高于推荐性标准相关技术要求的团体标准、企业标准。《个人信息安全规范》给软件行业、互联网行业提供一个可以参考、指导、遵照执行的标准。从内容来看，很像网站的“隐私政策”制定说明。

事实上，《个人信息安全规范》里的很多原则、规范包括隐私政策模板等内容已经在2017年9月网信办召开的个人信息保护提升行动之隐私条款专项工作中被多家参评的互联网公司所使用。在此规范还未发布前，已有相关企业将此规范的内容作为企业内部个人信息保护合规红线相关制度的重要依据。

围绕个人权益为中心的目标，《个人信息安全规范》借鉴OECD（Organization for Economic Co-operationand Development）《保护个人信息跨国传送及隐私权指导纲领（1980）》和APEC（Asia-Pacific Economic Cooperation）《隐私保护框架（2004）》等国际准则和地区立法的规定，针对个人信息控制者开展个人信息处理活动提出了个人信息安全七大基本原则：

（1）权责一致原则，对个人信息主体合法权益造成的损害承担责任。

（2）目的明确原则，具有合法、正当、必要、明确的个人信息处理目的。

（3）选择同意原则，向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意。

（4）最少够用原则，除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时根据约定删除个人信息。

（5）公开透明原则，以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督。

（6）确保安全原则，具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性。

（7）主体参与原则，向个人信息主体提供能够访问、更正、删除其个人信息，以及撤回同意、注销账户等方法。

《网安法》和《两高司法解释》等法律法规虽然给出个人信息的定义，但未明确个人信息处理活动中重要术语的定义。《个人信息安全规范》弥补了目前法律法规在此方面的不足，为此后制定和实施个人信息保护相关法律法规奠定了基础。

除个人信息定义外，《个人信息安全规范》明确给出了个人敏感信息、个人信息主体、个人信息控制者、收集、明示同意、用户画像、个人信息安全影响评估、删除、公开披露、转让、共享、匿名化、去标识化的定义。

值得一提的是，《个人信息安全规范》以资料性附录的形式给出了个人信息、个人敏感信息的范围和类型。将之前存在争议的网络身份标识信息、个人上网记录、个人常用设备信息均列入到个人信息的控制范围内。

《规范》要求，个人信息控制者开展个人信息处理活动，应遵守包括选择同意、最少够用和公开透明等六大基本原则。具体来说，企业不得过多收集与产品业务功能无关的用户个人信息类型和数量，且需明示和公开个人信息处理目的、方式、范围、规则等，同时征求用户授权同意，并接受外部监督。

事实上，尽管很多网站和手机应用声明提供隐私政策，但“打擦边球”的情况仍比较普遍。调查显示，很多平台的隐私政策透明度低，且普遍存在文本晦涩冗长、暗藏格式条款等弊病。与此同时，随着“跨界融合”，不少应用已不局限于单一功能。因此，有的平台会采取“一揽子”协议的做法，用户只要点击“同意”，就相当于对该平台的所有应用开放了信息。

针对这些个人信息保护的“盲点”，《规范》也提出了解决思路：当收集个人敏感信息时，平台应征得用户明示同意。即用户在完全知情的基础上，自愿给出具体的、清晰明确的愿望表示，比如主动勾选、主动点击“同意”“注册”“发送”“拨打”等。而涉及到附加功能所需收集的个人敏感信息，除需上述规定外，在用户提出拒绝后，平台不应以此为理由暂停核心业务功能，并应保障相应的服务质量。

比如，即时通信手机应用在使用时需要收集用户个人信息，但基于这一平台的理财等功能则属于附加功能。因此，如果用户要使用理财功能，平台需要根据情况再次征询用户意见，取得授权；如果用户不想使用理财功能，平台方也要确保用户正常使用聊天功能。

一款拍照应用，为何需要监控通话、读取联系人的功能？手机应用的过度授权，如今时常引发公众焦虑。此前，北京市消协发布的调查报告显示，部分手机应用过度收集、违规使用个人信息，可能导致个人隐私信息泄露或被窃取。

针对过度授权问题，《规范》从数量和存储时间两个方面提出了“最小化原则”。数据控制方自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最低频率；个人信息保存期限应为实现目的所必需的最短时间。

而在个人信息的使用方面，《规范》也提出了一些原则性的要求。例如，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人，不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意。

今年3月，美国社交网站脸书发生大规模数据泄露事件。在用户不知情的情况下，超过8700万的用户数据被一家数据分析公司转为商用。此次事件不仅让脸书遭受重创，也让人反思应当如何避免用户数据被第三方滥用。

针对数据共享问题，《规范》指出，个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时，应充分重视风险，并遵守相应的要求。在共享和转让信息前，平台应事先开展影响评估，向用户告知共享、转让个人信息的目的及数据接收方的类型，并事先征得用户的授权同意，帮助用户了解数据接收方对个人信息的保存、使用等情况，如涉及个人敏感信息，还需告知用户涉及的信息类型、数据接收方的身份和数据安全能力。

注销难，也是个人信息保护过程中的痼疾之一。当用户不再使用此应用时，却删不掉用户名，有细心者想要注销，却发现根本没有相关选项，或者程序十分繁琐。“一键注册”却“无键注销”的困境，让归还“注销权”成为舆论的强烈呼声。

对此，《规范》中明确提出，用户享有访问、更正、删除、撤回同意、获取个人信息副本、注销账户的权利。通过注册账户提供服务的个人信息控制者，应向用户提供注销账户的方法，且该方法应简便易操作。用户注销账户后，平台应删除其个人信息或做匿名化处理。

对于删除的定义，《规范》的表述是：“在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。”也就是说，根据《规范》要求，平台应充分保证用户注销的权利。

尽管《规范》提出了诸多标准，但业内人士指出，《规范》并不属于法律或法规，对于法律、法规未明确的事项，该标准作为一项推荐性标准，可以作为评估企业相关个人信息保护措施的参照。未来，在制定个人信息保护法时，“最小化原则”等内容或可以确定为正式的法律条款。