你是谁?你做过什么?你有什么?你的账户密码是多少?……
这些问题的答案,互联网服务提供者可能全知道。在互联网上,你几乎就是在裸奔。
个人信息被非法收集、窃取和使用,导致个人名誉、隐私、安全和财产利益被侵害的严重,让我们触目惊心。
而另一方面,我们,已经无法想象没有互联网的世界。
互联网、大数据和人工智能技术的发展和因此带来的经济增长方式变革,给人类带来了巨大福利。如果消费者需要一些贴身的网络服务或者网络交易,免不了就要提供一些具体的个人信息。如果消费者需要一些免费的服务,自然也需要提供一些具体的个人信息,忍受一些不期而至的“精准营销”,毕竟,天下没有免费的午餐。
2017年6月1日,我国已经实施《中华人民共和国网络安全法》,对于个人信息保护在国家法律层面作出了比较全面的原则性规定。即将于2018年5月1日起实施的《个人信息安全规范GB/T35273-2017》(以下简称“该规范”)在个人信息保护方面又有什么新亮点呢?
首先必须明确,该规范是国家推荐性标准,是自愿采用的国家标准。这类标准经接受并采用,或各方商定同意纳入经济合同中,就成为各方必须共同遵守的技术依据,具有法律上的约束性。反之,则不具有法律约束力。
该规范定义了“个人信息控制者”的概念,个人信息控制者在个人信息保护的责任方,整个规范主要围绕对个人信息控制者的约束而展开。该规范所称的“个人信息控制者”,是指有权决定个人信息处理目的、方式等的组织或个人。
亮点一:明确界定了个人信息和个人敏感信息的范围
根据该规范,个人信息和个人敏感信息范围如下:
1.个人信息
个人信息,指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。一般包括:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
2.个人敏感信息
个人敏感信息,指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。一般包括:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产 信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童 的个人信息等。
亮点二:细化了对个人信息控制者收集个人信息的具体要求
该规范细化规定了收集个人信息的合法性要求及最小化要求,明确了收集个人信息时必须经个人信息主体授权同意,个人信息控制者应制订和发布隐私政策。该规范还特别规定了收集个人敏感信息时应当经个人信息主体明示同意。
该规范细化规定了收集个人信息的合法性要求及最小化要求,明确了收集个人信息时必须经个人信息主体授权同意,个人信息控制者应制订和发布隐私政策。该规范还特别规定了收集个人敏感信息时应当经个人信息主体明示同意。
1. 收集个人敏感信息时,应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示;
2. 通过主动提供或自动采集方式收集个人敏感信息前,应:
- 向个人信息主体告知所提供产品或服务的核心业务功能及所必需收集的个人敏感信息,并明确 告知拒绝提供或拒绝同意将带来的影响。应允许个人信息主体选择是否提供或同意自动采集;
- 产品或服务如提供其他附加功能,需要收集个人敏感信息时,收集前应向个人信息主体逐一说明个人敏感信息为完成何种附加功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。
- 收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
亮点三:明确了个人信息的使用限制
该规范对于个人信息的使用作了以下规定:
1. 除目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像;
2. 对所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围;
3. 使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。
亮点四:个人信息共享、转让
该规范规定,个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组原因的,应遵守以下要求:
1. 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
2. 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别个人信息主体的除外;
3. 共享、转让个人敏感信息前,还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
4. 准确记录和保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;
5. 承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任;
6. 帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等。
瑕疵
个人信息主体与个人信息控制者或网络服务提供者相比,处于弱势地位,同时存在严重的信息不对称,在这样的状况下,所谓个人的“同意”究竟有多少自愿和理性的成分?个人“同意”不应当成为网络服务提供者恣意收集和使用个人信息的“避风港”。
瑕不隐瑜,我们认为,在现阶段,是否将该标准纳入双方的服务合同之中,是网络服务提供者是否诚信面对个人用户的一颗试金石。
附:中国个人信息保护的立法进程
1、《中华人民共和国侵权责任法》,2009年12月26日发布。该法首次在国家法律层面明确规定了“隐私权”。
2、《全国人民代表大会常务委员会关于加强网络信息保护的决定》,2012年12月28日发布。这是我国首次在国家法律层面明确提出加强个人信息保护,并提出网络服务提供者和其他单位在业务活动中手机、使用公民个人电子信息的基本原则。
3、《电信和互联网用户个人信息保护规定(工业和信息化部令第24号)》,自2013年9月1日起施行。该法以部门规章的形式对电信和互联网用户个人信息保护作出了规定。
4、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,2014年10月10日起施行。
5、《刑法修正案(九)》,自2015年11月1日起开始施行。该法规定了“侵犯公民个人信息罪”。
6、《最高人民法院、最高人民检察院、公安部关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》,2016年12月19日发布。该法规定,明知他人实施电信网络诈骗犯罪,非法获取、出售、提供公民个人信息的,以共同犯罪论处(法律和司法解释另有规定的除外)。
7、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,自2017年6月1日起施行。该司法解释对于刑法规定的“侵犯公民个人信息罪”进行了具体的解释。
8、《中华人民共和国网络安全法》,自2017年6月1日起施行。该法明确规定网络运营者收集、使用个人信息,应当遵循的原则。
9、《民法总则》,自2017年10月1日起施行。该法规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
