|
最新《個(gè)人信息安全規(guī)范》發(fā)布����!首次明確:個(gè)人原始信息不應(yīng)存儲(chǔ)
繼 2017 年 12 月《信息安全技術(shù) 個(gè)人信息安全規(guī)范》發(fā)布之后,時(shí)隔兩年多�,歷經(jīng)兩次公開(kāi)向社會(huì)征求意見(jiàn)���,3 月 6 日,《規(guī)范》有了新的變化調(diào)整�����,包括:
新增「多項(xiàng)業(yè)務(wù)功能的自主選擇」「用戶(hù)畫(huà)像的使用限制」「?jìng)€(gè)性化展示的使用」「第三方接入管理」「?jìng)€(gè)人信息處理活動(dòng)記錄」等多項(xiàng)內(nèi)容���,并將個(gè)人生物識(shí)別信息的要求細(xì)化并完善�。
在收集個(gè)人生物識(shí)別信息前�����,需單獨(dú)向用戶(hù)告知收集����、使用個(gè)人生物識(shí)別信息的目的�����、方式和范圍以及存儲(chǔ)時(shí)間等規(guī)則�,并征得用戶(hù)的明示同意����;其次,個(gè)人生物識(shí)別信息要與個(gè)人身份信息分開(kāi)存儲(chǔ)�����,原則上不應(yīng)存儲(chǔ)原始個(gè)人生物識(shí)別信息�。
新版《規(guī)范》能否為個(gè)人信息安全栓上一道「鎖」,讓我們拭目以待����。
3 月 6 日,國(guó)家市場(chǎng)監(jiān)督管理總局�、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(下稱(chēng)《規(guī)范》),并定于 2020 年 10 月 1 日實(shí)施�����。
該《規(guī)范》對(duì)個(gè)人信息收集、儲(chǔ)存�����、使用做出了明確規(guī)定��,并規(guī)定了個(gè)人信息主體具有查詢(xún)��、更正����、刪除、撤回授權(quán)���、注銷(xiāo)賬戶(hù)、獲取個(gè)人信息副本等權(quán)力����。一 《信息安全技術(shù) 個(gè)人信息安全規(guī)范》早有淵源
早在 2017 年 12 月,全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織制定和歸口管理的國(guó)家標(biāo)準(zhǔn) GB/T 35273-2017《信息安全技術(shù) 個(gè)人信息安全規(guī)范》就已正式發(fā)布���,當(dāng)時(shí)《規(guī)范》規(guī)定將于 2018 年 5 月 1 日實(shí)施����。
2019 年 6 月,據(jù) App 專(zhuān)項(xiàng)治理工作組顯示����,《規(guī)范》公開(kāi)向社會(huì)征求意見(jiàn),截止 10 月��,標(biāo)準(zhǔn)編制組共收到并處理意見(jiàn)約 400 條��?����;诟鲉挝环答佉庖?jiàn)以及 App 違法違規(guī)收集使用個(gè)人信息專(zhuān)項(xiàng)治理工作實(shí)踐經(jīng)驗(yàn)��。
此后�,標(biāo)準(zhǔn)編制組對(duì)征求意見(jiàn)稿版本予以補(bǔ)充完善、優(yōu)化和更新��,2019 年 10 月 24 日����,《信息安全技術(shù) 個(gè)人信息安全規(guī)范》最新版征求意見(jiàn)稿(簡(jiǎn)稱(chēng)「新版征求意見(jiàn)稿」)對(duì)外發(fā)布。相比 6 月份的征求意見(jiàn)稿����,新版征求意見(jiàn)稿規(guī)定����,App 應(yīng)提供簡(jiǎn)便易操作的注銷(xiāo)功能���,核驗(yàn)身份時(shí)不得要求用戶(hù)提供超過(guò)注冊(cè)����、使用時(shí)收集的個(gè)人信息���。
二 「不應(yīng)存儲(chǔ)原始個(gè)人生物識(shí)別信息」
2020 版《規(guī)范》繼續(xù)沿用了 2017 版的七大原則��,分別是:權(quán)責(zé)一致原則��、目的明確原則���、選擇同意原則、最少夠用原則���、公開(kāi)透明原則、確保安全原則��、主體參與原則。
與 2017 版《規(guī)范》相比����,2020 版也有了新變化。
首先���,個(gè)人信息安全規(guī)范無(wú)外乎用戶(hù)隱私泄露問(wèn)題�����,而從 2019 年 10 月「人臉識(shí)別第一案」到之后爆出的人臉照片黑色產(chǎn)業(yè)鏈���,以及各類(lèi) APP「換臉大法」,都讓個(gè)人隱私成為技術(shù)發(fā)展應(yīng)用后����,大眾追問(wèn)的話題,便利用戶(hù)�����、技術(shù)運(yùn)用不應(yīng)該成為竊取用戶(hù)隱私的「遮羞布」�。
針對(duì)個(gè)人生物識(shí)別信息方面,新版《規(guī)范》也提出具體的解決措施�����。
《規(guī)范》規(guī)定在收集個(gè)人生物識(shí)別信息前,應(yīng)單獨(dú)向個(gè)人信息主體告知收集��、使用個(gè)人生物識(shí)別信息的目的���、方式和范圍���,以及存儲(chǔ)時(shí)間等規(guī)則,并征得個(gè)人信息主體的明示同意��。
第一���,個(gè)人生物識(shí)別信息要與個(gè)人身份信息分開(kāi)存儲(chǔ)����;
第二�����,原則上不應(yīng)存儲(chǔ)原始個(gè)人生物識(shí)別信息����,可采取的措施包括但不限于:
僅存儲(chǔ)個(gè)人性別信息的摘要信息;在采集終端中直接使用個(gè)人生物識(shí)別信息實(shí)現(xiàn)身份識(shí)別����、認(rèn)證等功能;在使用面部識(shí)別特征��、 指紋���、掌紋�、虹膜等實(shí)現(xiàn)識(shí)別身份���、認(rèn)證等功能后刪除可提取個(gè)人生物識(shí)別信息的原始圖像�。
其次��,此版《規(guī)范》增加了「多項(xiàng)業(yè)務(wù)功能的自主選擇」「用戶(hù)畫(huà)像的使用限制」「?jìng)€(gè)性化展示的使用」「基于不同業(yè)務(wù)目所收集個(gè)人信息的匯聚融合」「第三方接入管理」「?jìng)€(gè)人信息安全工程」「?jìng)€(gè)人信息處理活動(dòng)記錄」等內(nèi)容�。
在「多項(xiàng)業(yè)務(wù)功能的自主選擇」方面,根據(jù)個(gè)人信息主體選擇��、使用所提供產(chǎn)品或服務(wù)的根本期待和最主要的需求���,劃定產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能�,產(chǎn)品或服務(wù)所提供的基本業(yè)務(wù)功能之外的其他功能��,劃定為擴(kuò)展業(yè)務(wù)功能。
據(jù)《規(guī)范》顯示��,擴(kuò)展的業(yè)務(wù)功能����,應(yīng)允許個(gè)人信息主體逐項(xiàng)選擇同意。用戶(hù)不同意的�����,個(gè)人信息控制者不得反復(fù)征求用戶(hù)同意��,除非用戶(hù)主動(dòng)選擇開(kāi)啟擴(kuò)展功能����,且不應(yīng)拒絕提供基本業(yè)務(wù)功能或降低基本業(yè)務(wù)功能的服務(wù)質(zhì)量。
在選擇同意的流程中�,《規(guī)范》建議,應(yīng)通過(guò)如彈窗����、文字說(shuō)明、填寫(xiě)框��、提示條�、提示音等形式進(jìn)行提示�,并且要讓用戶(hù)主動(dòng)做出肯定性的動(dòng)作�����,比如勾選��、點(diǎn)擊「同意」或「下一步」��。
在「?jìng)€(gè)性化展示的使用」方面�����,App 在提供業(yè)務(wù)功能的過(guò)程中使用個(gè)性化展示的���,應(yīng)顯著區(qū)分個(gè)性化展示的內(nèi)容和非個(gè)性化展示的內(nèi)容,比如標(biāo)明「定推」字樣��。同時(shí)��,App 應(yīng)提供不針對(duì)用戶(hù)特征的選項(xiàng)�。《規(guī)范》還建議�����,App 向用戶(hù)提供個(gè)性化展示的,宜建立用戶(hù)對(duì)個(gè)人信息(如標(biāo)簽��、畫(huà)像維度)的自主控制機(jī)制�����,保障用戶(hù)調(diào)控個(gè)性化展示相關(guān)程度的能力��。
當(dāng)個(gè)人信息主體選擇退出個(gè)性化展示模式時(shí)��,應(yīng)向個(gè)人信息主體提供刪除或匿名化定向推送活動(dòng)所基于的個(gè)人信息的選項(xiàng)����。
最后,在征得授權(quán)同意的例外中�����,《規(guī)范》明確���,隱私政策的主要功能為公開(kāi)個(gè)人信息控制者收集����、使用個(gè)人信息范圍和規(guī)則�����,不應(yīng)將其視為根據(jù)個(gè)人信息主體要求簽訂和履行的合同,并在此基礎(chǔ)上修改「征得授權(quán)同意的例外」「?jìng)€(gè)人信息主體注銷(xiāo)賬戶(hù)」「明確責(zé)任部門(mén)與人員」「實(shí)現(xiàn)個(gè)人信息主體自主意愿的方法」等內(nèi)容��。
《規(guī)范》持續(xù)強(qiáng)調(diào)個(gè)人信息控制者應(yīng)承擔(dān)的義務(wù)��,并新增要求「不強(qiáng)迫接受多項(xiàng)業(yè)務(wù)功能�,即當(dāng)產(chǎn)品或服務(wù)提供多項(xiàng)需收集個(gè)人信息的業(yè)務(wù)功能時(shí)�,個(gè)人信息控制者不應(yīng)違背個(gè)人信息主體的自主意愿,強(qiáng)迫個(gè)人信息主體接受產(chǎn)品或服務(wù)所提供的業(yè)務(wù)功能及相應(yīng)的個(gè)人信息收集請(qǐng)求」�����,但目前尚未明確定義個(gè)人信息處理者���、個(gè)人信息聯(lián)合控制者��、個(gè)人信息外包方等角色應(yīng)履行的義務(wù)���。
來(lái)源:機(jī)器之心
|
