3月6日,国家标准化管理委员会(SAC)联合国家市场监督管理总局(SAMR)发布了GB/T 35273-2020《信息安全技术 个人信息安全规范》、或《信息安全技术 个人信息安全规范》,将于 2020 年 10 月 1 日生效。该《规范》将于 2020 年 10 月 1 日起生效。2020 年《规范》将取代自 2017 年起生效的 GB/T 35273-2017。我们曾在这里介绍过之前的《个人信息安全规范》。
2020 年规范》将更新和完善 2017 年《个人信息安全规范》中概述的准则。2020 年规范》是一项国家标准,简称为 "GB"。有些国家标准,如《2020 年规范》,不是强制性的,而是强化法律的推荐性指南,被称为 GB/T。在这种情况下,《2020 规范》解释并强化了中国 2017 年的《网络安全法》。虽然《2020 年规范》不具有法律强制力,但中国政府使用这些标准来评估实体是否符合中国的法律准则和规定。战略与国际研究中心曾撰文谈及之前的规范以及中国如何执行国家标准的模糊性,指出 "书面标准为执法部门的解释留下了空间,而执法部门的利益和目标可能与起草者的意图并不一致"。虽然 2020 年规范明确了生物识别数据、多种业务功能和明确同意等问题,但目前仍不清楚新标准在中国的执行程度。
2020 年规范》概述了 "控制者 "是指为提供产品或服务而收集个人信息的人。主体 "是向控制者提供个人信息的个人或实体。2020 年规范》旨在为主体提供更多自主权,使其能够决定如何以及何时向控制者提供个人信息。
多种业务功能
2020 年规范》第 5.3 条规定,提供需要个人信息的产品或服务的控制者不得将主体的个人信息捆绑到多个业务功能中。如果主体没有明确授权同意将个人信息用于特定业务功能,控制者不得通过保证提供更优质的服务或提高安全性来换取主体的授权同意。如果主体停止使用特定业务功能,控制者不能继续使用之前收集的个人信息。
明确同意
第 5.4 条规定,个人信息控制者必须告知当事人其收集数据的范围和目的。在收集敏感数据时(定义为任何一旦泄露或滥用可能会损害个人身体或经济安全、影响个人声誉或精神健康、或导致被区别对待的信息),控制者必须获得 "明确同意"。明确同意是指主体必须以纸质或电子格式提供授权声明,确认收集者有权处理其个人信息。2020 年规范》新增加了一项关于收集和保留生物识别数据的规定。除了要获得当事人的明确同意,生物识别数据的控制者还必须告知当事人其预期目的、收集方法、范围和存储时间。生物识别数据包括基因信息、指纹、声纹、掌纹、耳廓扫描、虹膜扫描、面部扫描等。当收集者间接获得生物识别数据时,他们必须确认从其获得数据的第三方已经获得受试者的明确同意。
个人信息的存储
第 6 条涉及个人信息的存储期、匿名化和去标识化。要求控制者最大限度地缩短个人信息的存储期,以达到其目的,之后必须对个人信息进行匿名化处理。去标识化工作必须尽快完成,并且必须采取预防措施,确保个人信息数据不会被重新标识为其主体。当控制者停止使用收集个人信息的产品或服务时,他们必须对数据进行匿名处理,并向所有主体发出通知,告知他们其信息已不再被使用。
个人信息主体的权利
与之前的规范相比,2020 年规范理论上保障了个人信息主体更多的自主权。第 8 条规定,控制者应向信息主体提供以下查询方法:a) 控制者持有的关于信息主体的个人信息类型;b) 获取个人信息的目的;c) 可能参与收集信息主体数据的任何第三方的身份。如果控制者违反了任何法律或与当事人签订的任何协议,则必须立即删除所有个人信息。控制者还必须提供一种方法,让当事人可以撤销对访问其个人信息的授权同意。
共享和传输个人信息
要共享和传输个人信息,控制者必须 a) 事先进行安全影响评估,b) 告知主体共享和传输其个人信息的目的,c) 得到主体的明确同意。2020 年规范》规定,一般来说,除非控制者事先进行了必要的安全影响评估,告知了信息主体他们的意图,得到了信息主体的明确同意,并保留了公开披露的详细记录,否则不应公开披露个人信息。然而,公开披露生物识别数据或个人敏感数据(如种族、民族、政治观点和宗教信仰)的分析结果并无例外。
个人信息的跨境传输
第 9.8 条规定,在中国收集和生成的个人信息可以传输到海外,但控制者必须遵守所有相关的国家法规和标准。
个人信息安全事故
控制者必须为处理和报告任何个人信息安全事故制定具体而详细的规程,包括对处理个人信 息的工作人员进行定期培训。如果当事人的个人信息被泄漏或泄露,必须立即通知当事人。控制者应制定安全影响评估,评估控制者的个人信息安全标准对主体的合法权益有什么影响。
尽管这一国家标准是 "建议性 "的,不具有法律效力,但作为 "最佳实践 "措施,在中国运营的外国公司应努力全面遵守该《规范》。过去曾有许多关于数据向海外传输的问题,以及中国政府在多大程度上允许与外国实体和政府共享在中国积累的数据。自 2017 年起生效的《网络安全法》第 37 条规定,在中国收集的所有信息都应留在中国,只有在业务需要的绝对必要情况下才能向境外传输。网络安全法》第 37 条还规定,实体在将数据传输出境之前,必须进行安全评估并获得当地网络安全机构的批准。该条款的措辞没有详细说明外国实体在中国向境外传输数据的 "必要性"。2020 规范》的一个好处是,它对数据本地化提供了一点明确性:第 9.8 条规定,在中国收集的个人信息可以转移到海外,只要收集者的运营符合所有相关国家标准。值得注意的是,该标准只涉及个人信息,不涉及通用数据。
尽管 2020 规范澄清了《网络安全法》中未明确的大部分内容,但在存储、匿名化、第三方共享/传输等具体程序方面仍存在模糊之处。因此,我们的中国网络安全/数据隐私律师将继续与中国地方政府部门合作,以确认我们客户的业务运营符合这一新标准。
