新版?zhèn)€人信息安全規(guī)范正式發(fā)布 2020年10月1日實施
3 月 6 日,國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會正式發(fā)布國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全規(guī)范》(下稱《規(guī)范》),并定于 2020 年 10 月 1 日實施。
《規(guī)范》對個人信息收集、儲存、使用做出了明確規(guī)定,并規(guī)定了個人信息主體具有查詢、更正、刪除、撤回授權(quán)、注銷賬戶、獲取個人信息副本等權(quán)力。
與 2017 年的版本 相比,這次的變化主要有三個方面:
一、增加了“多項業(yè)務(wù)功能的自主選擇”、“用戶畫像的使用限制”、“個性化展示的使用”、“基于不同業(yè)務(wù)目所收集個人信息的匯聚融合”、“第三方接入管理”、“個人信息安全工程”、“個人信息處理活動記錄”等內(nèi)容。
《規(guī)范》在附錄 C 中推薦 App 區(qū)分基本業(yè)務(wù)功能和擴展業(yè)務(wù)功能:
a:應(yīng)根據(jù)個人信息主體選擇、使用所提供產(chǎn)品或服務(wù)的根本期待和最主要的需求,劃定產(chǎn)品或服務(wù)的基本業(yè)務(wù)功能;
b:不應(yīng)將改善服務(wù)質(zhì)量、提升個人信息主體體驗、研發(fā)新產(chǎn)品單獨作為基本業(yè)務(wù)功能;
c:將產(chǎn)品或服務(wù)所提供的基本業(yè)務(wù)功能之外的其他功能,劃定為擴展業(yè)務(wù)功能。
具體如何獲得用戶同意?《規(guī)范》建議,應(yīng)通過如彈窗、文字說明、填寫框、提示條、提示音等形式進行提示,并且要讓用戶主動做出肯定性的動作,比如勾選、點擊“同意”或“下一步”。
此外,擴展的業(yè)務(wù)功能,應(yīng)允許個人信息主體逐項選擇同意。用戶不同意的,個人信息控制者不得反復(fù)征求用戶同意,除非用戶主動選擇開啟擴展功能,且不應(yīng)拒絕提供基本業(yè)務(wù)功能或降低基本業(yè)務(wù)功能的服務(wù)質(zhì)量。
同時,《規(guī)范》還要求,App 在提供業(yè)務(wù)功能的過程中使用個性化展示的,應(yīng)顯著區(qū)分個性化展示的內(nèi)容和非個性化展示的內(nèi)容,比如標(biāo)明“定推”字樣。同時,App 應(yīng)提供不針對用戶特征的選項。《規(guī)范》還建議,App 向用戶提供個性化展示的,宜建立用戶對個人信息(如標(biāo)簽、畫像維度)的自主控制機制,保障用戶調(diào)控個性化展示相關(guān)程度的能力。
二、修改了“征得授權(quán)同意的例外”、“個人信息主體注銷賬戶”、“明確責(zé)任部門與人員”、“實現(xiàn)個人信息主體自主意愿的方法”等內(nèi)容。
在征得授權(quán)同意的例外中,《規(guī)范》明確,隱私政策的主要功能為公開個人信息控制者收集、使用個人信息范圍和規(guī)則,不應(yīng)將其視為根據(jù)個人信息主體要求簽訂和履行的合同。
三、針對個人生物識別信息方面的要求,進行細(xì)化并完善。
《規(guī)范》規(guī)定在收集個人生物識別信息前,應(yīng)單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍,以及存儲時間等規(guī)則,并征得個人信息主體的明示同意。
而對于生物識別信息的存儲,《規(guī)范》也提出了具體的解決措施。
第一,個人生物識別信息要與個人身份信息分開存儲;
第二,原則上不應(yīng)存儲原始個人生物識別信息,可采取的措施包括但不限于: 僅存儲個人生別信息的摘要信息;在采集終端中直接使用個人生物識別信息實現(xiàn)身份識別、認(rèn)證等功能;在使用面部識別特征、 指紋、掌紋、虹膜等實現(xiàn)識別身份、認(rèn)證等功能后刪除可提取個人生物識別信息的原始圖像。