继 2017 年 12 月《信息安全技术 个人信息安全规范》发布之后,时隔两年多,历经两次公开向社会征求意见,3 月 6 日,《规范》有了新的变化调整,包括:

新增「多项业务功能的自主选择」「用户画像的使用限制」「个性化展示的使用」「第三方接入管理」「个人信息处理活动记录」等多项内容,并将个人生物识别信息的要求细化并完善。

在收集个人生物识别信息前,需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并征得用户的明示同意;其次,个人生物识别信息要与个人身份信息分开存储,原则上不应存储原始个人生物识别信息。

新版《规范》能否为个人信息安全栓上一道「锁」,让我们拭目以待。

3 月 6 日,国家市场监督管理总局、国家标准化管理委员会正式发布国家标准《信息安全技术 个人信息安全规范》(下称《规范》),并定于 2020 年 10 月 1 日实施。

该《规范》对个人信息收集、储存、使用做出了明确规定,并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。

个人信息安全规范

个人信息安全规范

一 《信息安全技术 个人信息安全规范》早有渊源

早在 2017 年 12 月,全国信息安全标准化技术委员会组织制定和归口管理的国家标准 GB/T 35273-2017《信息安全技术 个人信息安全规范》就已正式发布,当时《规范》规定将于 2018 年 5 月 1 日实施。

2019 年 6 月,据 App 专项治理工作组显示,《规范》公开向社会征求意见,截止 10 月,标准编制组共收到并处理意见约 400 条。基于各单位反馈意见以及 App 违法违规收集使用个人信息专项治理工作实践经验。

此后,标准编制组对征求意见稿版本予以补充完善、优化和更新,2019 年 10 月 24 日,《信息安全技术 个人信息安全规范》最新版征求意见稿(简称「新版征求意见稿」)对外发布。相比 6 月份的征求意见稿,新版征求意见稿规定,App 应提供简便易操作的注销功能,核验身份时不得要求用户提供超过注册、使用时收集的个人信息。

二 「不应存储原始个人生物识别信息」

2020 版《规范》继续沿用了 2017 版的七大原则,分别是:权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则。

与 2017 版《规范》相比,2020 版也有了新变化。

首先,个人信息安全规范无外乎用户隐私泄露问题,而从 2019 年 10 月「人脸识别第一案」到之后爆出的人脸照片黑色产业链,以及各类 APP「换脸大法」,都让个人隐私成为技术发展应用后,大众追问的话题,便利用户、技术运用不应该成为窃取用户隐私的「遮羞布」。

针对个人生物识别信息方面,新版《规范》也提出具体的解决措施。

《规范》规定在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。

第一,个人生物识别信息要与个人身份信息分开存储;

第二,原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:

仅存储个人性别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、 指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

其次,此版《规范》增加了「多项业务功能的自主选择」「用户画像的使用限制」「个性化展示的使用」「基于不同业务目所收集个人信息的汇聚融合」「第三方接入管理」「个人信息安全工程」「个人信息处理活动记录」等内容。

在「多项业务功能的自主选择」方面,根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求,划定产品或服务的基本业务功能,产品或服务所提供的基本业务功能之外的其他功能,划定为扩展业务功能。

据《规范》显示,扩展的业务功能,应允许个人信息主体逐项选择同意。用户不同意的,个人信息控制者不得反复征求用户同意,除非用户主动选择开启扩展功能,且不应拒绝提供基本业务功能或降低基本业务功能的服务质量。

在选择同意的流程中,《规范》建议,应通过如弹窗、文字说明、填写框、提示条、提示音等形式进行提示,并且要让用户主动做出肯定性的动作,比如勾选、点击「同意」或「下一步」。

在「个性化展示的使用」方面,App 在提供业务功能的过程中使用个性化展示的,应显着区分个性化展示的内容和非个性化展示的内容,比如标明「定推」字样。同时,App 应提供不针对用户特征的选项。《规范》还建议,App 向用户提供个性化展示的,宜建立用户对个人信息(如标签、画像维度)的自主控制机制,保障用户调控个性化展示相关程度的能力。

当个人信息主体选择退出个性化展示模式时,应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

最后,在征得授权同意的例外中,《规范》明确,隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为根据个人信息主体要求签订和履行的合同,并在此基础上修改「征得授权同意的例外」「个人信息主体注销账户」「明确责任部门与人员」「实现个人信息主体自主意愿的方法」等内容。

《规范》持续强调个人信息控制者应承担的义务,并新增要求「不强迫接受多项业务功能,即当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求」,但目前尚未明确定义个人信息处理者、个人信息联合控制者、个人信息外包方等角色应履行的义务。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2022-03-21 10:34:05
大数据资讯 大数据杀熟、信息茧房、诱导沉迷 …… 算法推荐能否告别野蛮生长?
平台是算法推荐的使用者,因此只有把平台的责任压实,平台才有自觉性去落实法律法规的要求。 <详情>
2022-02-15 10:07:31
大数据资讯 广东高院:要探索大数据、人工智能等新领域新业态司法保护规则
要服务保障夯实新发展格局战略支点,探索大数据、人工智能等新领域新业态司法保护规则,全面落实惩罚性赔偿制度,提升司法保护效能 <详情>
2021-12-24 14:04:16
市场情报 智科会智慧应急论坛:携手创新,共创生态合作新标杆
应急指挥体系和能力的现代化建设是体制+机制+ICT 三要素的现代化建设,需要懂行人和持续交付 <详情>
2021-12-20 15:21:57
市场情报 中国长城总裁徐建堂:底座安全是自主计算的核心
当前,我国致力于网络安全与信息化建设,关键行业都在推动自主计算的落地应用,信息化经费投入也逐年增加。 <详情>
2021-11-17 16:54:44
市场情报 2021信创研究报告:推动中国信创产业发展势在必然
信创不单是全球信息安全事件频发、中西摩擦加剧的伴生概念,更是我国IT供应链寻求产业升级的实现手段,我国IT产业发展升级采取的长久之计。 <详情>