前 言

      2020年3月6日，国家市场监督管理总局、国家标准化管理委员会正式对外发布新版推荐性国家标准《信息安全技术 个人信息安全规范》（以下简称“2020版规范”），该新版规范将于2020年10月1日正式实施。

      现行有效的《信息安全技术 个人信息安全规范》（以下简称“2017版规范”）于2017年12月29日发布，2018年5月1日实施。该2017版规范在自实施不到两年的时间里，经历了2019年2月、6月、10月三次修订，最终形成2020版规范。密集、频繁的修订体现了中国个人信息保护制度的快速发展和不断完善，同时也是为未来“个人信息保护法”出台的积极预热。

     相较于2017版规范，2020版规范进一步增强了实操性，并通过相关内容的增加和修改回应了执法实践、企业合规工作中广泛关注的问题（见下表），例如“用户画像”、“个性化展示”等。同时，2020版规范还在2017版规范基础上对已有要求进行了完善，例如从收集、存储、共享、转让等多个角度细化了对于个人生物识别信息的保护要求；扩充了对于使用“信息系统自动决策机制”的约束。此外，新版规范在定义和措辞方面也进行了部分调整，例如将“隐私政策”调整为“个人信息保护政策”，将“最少够用原则”调整为“最小必要原则”。

      本文将从数据的商业开发、企业合规、数据治理三方面介绍2020版规范的重要变化，解读和提示新增和修改内容可能给企业开展个人信息收集、使用活动带来的影响，并给予实务建议，供企业参考。

一 数据的商业开发

（一）多项业务功能的自主选择

      根据2020版规范新增的定义，“业务功能”是指“满足个人信息主体的具体使用需求的服务类型”，例如地图导航、即时通讯、网络支付等。实践中，企业可能通过一个App为用户提供多项业务功能，但在收集个人信息时却未基于不同业务功能逐一告知所需个人信息的类型并分别取得同意，而是默认个人信息主体一次性接受多项业务功能并授权其使用个人信息。对此，2020版规范要求尊重个人信息主体对各项业务功能的自主选择权，明确不得通过“一揽子”授权强迫个人信息主体接受多项业务功能。具体而言：

1. 不得捆绑：即不应通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求；

2. 肯定性动作作为开启条件：即应把个人信息主体自主作出的肯定性动作，如主动点击、勾选、填写等，作为产品或服务的特定业务功能的开启条件；

3. 关闭或退出业务功能的途径或方式须方便：即应与选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后，应停止该业务功能的个人信息收集活动；

4. 拒绝后不得频繁征求授权同意：即个人信息主体不授权同意使用、关闭或退出特定业务功能的，不应频繁征求个人信息主体的授权同意；

5. 拒绝后不得降低服务质量：即个人信息主体不授权同意使用、关闭或退出特定业务功能的，不应暂停个人信息主体自主选择使用的其他业务功能，或降低其他业务功能的服务质量；

6. 不得仅基于非业务功能收集个人信息：即不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由，强制要求个人信息主体同意收集个人信息。

实务建议

      基于前述要求，具体操作中，建议企业参考2020版规范附录C部分，在向用户提供多项业务功能时，注意从以下几个方面出发，尊重和保障用户的自主选择权。

1. 区分基本业务功能和扩展业务功能；

2. 针对基本业务功能，在功能开启前（如初次安装、首次使用、注册账号等），通过交互界面（如弹窗、填写框等）向个人信息主体告知所需个人信息类型、拒绝提供的影响，并通过用户主动的肯定性动作（如勾选、点击确认等）征得其明示同意；

3. 针对扩展业务功能，在功能首次使用前，通过交互界面向个人信息主体逐一告知各项功能所需个人信息类型，并允许用户逐项选择同意；

4. 个人信息主体不同意收集扩展业务功能所需信息时，不应反复征求同意，48小时内征求同意的次数不应超过1次。

（二）用户画像的使用限制

      2020版规范主要从公序良俗、意识形态等方面，新增了对于用户画像的使用限制。要求用户画像中对个人信息主体的特征描述，不应包含淫秽、色情、赌博、迷信、恐怖、暴力的内容；或表达对民族、种族、宗教、残疾、疾病歧视的内容。在业务运营或对外业务合作中使用用户画像的，不应侵害保护公民、法人和其他组织的合法权益；或危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序。

      同时，2020版规范沿用了2017版规范对于个人信息的使用限制，明确：除为达到个人信息主体授权同意的使用目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。例如，为准确评价个人信用状况，可使用直接用户画像，而用于推送商业广告目的时，则宜使用间接用户画像。

实务建议

      值得注意的是，前述“民族、种族、宗教、残疾、疾病”等个人信息主体的特征描述本身并不受到用户画像的使用限制。但是，如果在使用时可能产生或引发歧视，则为本新增条款所禁止。实践中，企业应尽可能避免收集或谨慎处理可能涉及以上内容的用户标签或描述。

（三）个性化展示的使用

      针对个性化展示，2020版规范要求通过标注“定推”等字样或分别展示等方式，显著区分个性化展示的内容和非个性化展示的内容，并着重就三个应用场景进行了具体说明：

1. 提供电子商务服务：2020版规范呼应了2019年1月1日生效的《电子商务法》下的相关规定，要求个人信息控制者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。

2. 推送新闻信息服务：提供简单直观的退出或关闭个性化展示模式的选项；当退出或关闭后，向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

3. 提供业务功能：建立个人信息主体对个性化展示所依赖的个人信息的自主控制机制，保障个人信息主体调控个性化展示相关性程度的能力。

实务建议

      针对个性化展示的使用的相关规定旨在约束定向广告推送、大数据杀熟等行为。企业在基于用户浏览历史、兴趣爱好、消费记录等向用户进行精准营销时，应注意：

1. 显著区分个性化展示的内容和非个性化展示的内容；

2. 避免因提供个性化展示或个性化服务造成价格等方面的歧视；

3. 给予个人信息主体充分的选择退出/关闭个性化展示的权利；

4. 保障个人信息主体调控个性化展示相关性程度的能力。

(四) 基于不同业务目所收集个人信息的汇聚融合

      大数据时代，信息的汇聚融合是最大化数据价值的重要方式，2020版规范要求个人信息控制者在对基于不同业务目所收集个人信息进行汇聚融合时，遵守该规范下个人信息使用的目的限制，并根据汇聚融合后的使用目的，开展个人信息安全影响评估，采取有效的个人信息保护措施。

实务建议

     基于前述要求，企业应当注意：

1. 使用个人信息时，不应超出与收集时所声称的目的具有直接或合理关联的范围；

2. 确需超出上述范围使用个人信息的，应再次征得明示同意；

3. 开展个人信息安全影响评估。

      值得注意的是，基于不同业务目所收集个人信息的汇聚融合通常是一个企业内的不同业务部门的数据的融合，除此之外，企业还可能与同一集团内的其他关联实体进行数据融合；通过并购与目标企业进行数据融合；通过数据爬取、对外合作等方式与第三方进行数据融合等。因此实践中，企业在进行数据的汇聚融合时，应注意针对不同情形，适用不同的合规要求。

二 企业合规

（一）征得授权同意的例外

      2020版规范对征得授权同意的例外情形进行了调整：

1. 删去了“法律法规规定的其他情形”；

2. 增加了“与个人信息控制者履行法律法规规定的义务相关的”情形。

      与此同时，2020版规范下“响应个人信息主体的请求”和“共享、转让、公开披露个人信息时事先征得授权同意”部分，也分别新增了“与个人信息控制者履行法律法规规定的义务相关的”作为例外情形。

      此外，针对原有例外情形“根据个人信息主体要求签订和履行合同所必需的”，2020版规范特别明确：个人信息保护政策（即隐私政策）的主要功能为公开个人信息控制者收集、使用个人信息范围和规则，不宜将其视为合同。

实务建议

      值得注意的是，前面提到的2020版规范对原有例外情形的特别说明，体现了其对于滥用隐私政策超范围收集、使用个人信息行为的约束意图，企业不应以相关内容已写入隐私政策为由适用例外情形。但是，用户注册时的其他格式性合同，例如《软件许可使用协议》、《平台服务协议》等，是否能被看作可以适用例外情形的“合同”，2020版规范未予说明，实践中有待进一步明确。

（二）信息系统自动决策机制的使用

       2017版规范已有对于使用信息系统自动决策机制的约束，2020版规范在此基础上，新增了对信息系统自动决策的安全影响评估要求，包括规划设计阶段或首次使用前的影响评估，和在使用过程中定期（至少每年一次）开展的个人信息安全影响评估，同时要求依据评估结果采取或改进保护个人信息主体的措施。该等要求强调个人信息控制者加强事前、事中合规，降低个人信息安全风险。

      此外，新版规范还在要求提供针对自动决策结果的投诉渠道的基础上，明确个人信息控制者需支持对自动决策结果的人工复核，最大程度地降低自动决策可能给个人信息主体带来的不利影响。

实务建议

      基于前述要求，企业在设计或使用可能给个人信息主体造成显著影响的自动决策机制时，应注意：

1. 开展使用前的个人信息安全影响评估，并在使用过程中定期开展评估；

2. 在向个人信息主体提供针对自动决策结果的投诉渠道的基础上，支持对自动决策结果的人工复核。

      此外值得注意的是，2020版规范强调了“个人信息安全影响评估”的重要性，要求在众多场景下进行影响评估，以针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的风险，评估保护个人信息主体的各项措施的有效性，包括：

1. 在基于不同业务目所收集个人信息的汇聚融合时；

2. 在使用信息系统自动决策机制时；

3. 在委托第三方处理个人信息时；

4. 在共享、转让个人信息时；

5. 在公开披露个人信息时。

（三）第三方接入管理

      当前，App开发者使用第三方服务商开发的SDK等工具包已成为普遍现象，但良莠不齐的第三方产品给用户隐私带来了极大的隐患。对此，2020版规范明确了个人信息控制者对第三方产品/服务提供者的约束和管理义务，要求：

1. 建立第三方产品或服务接入管理机制和工作流程，必要时应建立安全评估等机制设置接入条件；

2. 与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施；

3. 向个人信息主体明确标识产品或服务由第三方提供；

4. 妥善留存平台第三方接入有关合同和管理记录，确保可供相关方查阅；

5. 要求第三方根据相关规定要求向个人信息主体征得收集个人信息的授权同意，必要时核验其实现的方式；

6. 要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制，以个人信息主体查询、使用；

7. 督促和监督第三方产品或服务提供者加强个人信息安全管理，发现第三方产品或服务没有落实安全管理要求和责任的，应及时督促整改，必要时停止接入；

8. 产品或服务嵌入或接入第三方自动化工具（如代码、脚本、接口、算法模型、软件开发工具包、小程序等）的，宜：开展技术检测确保其个人信息收集、使用行为符合约定要求；对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计，发现超出约定的行为，及时切断接入。

实务建议

      基于前述要求，相关企业，尤其是App开发者在接入第三方产品或服务时，应注意通过书面方式明确双方的责任和义务，审核第三方产品或服务的安全性，监督第三方落实安全管理要求，保障个人信息主体合法权益。

      实际上，不仅是在接入第三方产品或服务时，企业在委托处理、共享个人信息时，也应当注意明确与第三方的责任和义务划分，否则将可能需要为第三方的不当行为承担相应的法律责任。

（四）个人生物识别信息的收集、存储、共享和转让

      个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。随着智能科技的发展，个人生物识别信息的应用场景逐渐多样化，由此也引发了广泛的对于隐私问题的担忧。2020版规范从收集、存储、共享和转让等方面，强调了对于个人生物识别信息的保护。

      实务建议

      指纹、人脸识别等技术在支付、实名认证等商业化领域已得到广泛应用，实践中，建议企业依据前述要求，针对个人生物识别信息的收集、存储、共享、转让，建立单独的操作流程和使用规则，与其他个人信息进行区分。

（五）个人信息主体注销账户

      实践中，用户经常面临账户注销难、注销后个人信息继续被留存甚至使用的问题。对此，2020版规范在2017版规范的基础上，进一步明确了对于个人信息控制者在保障个人信息主体注销账户权利时的要求：

1. 受理注销账户请求后，需要人工处理的，应在承诺时限内（不超过15个工作日）完成核查和处理；

2. 注销过程如需进行身份核验，要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型；

3. 注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务，如注销单个账户视同注销多个产品或服务，要求个人信息主体填写精确的历史操作记录作为注销的必要条件等；

4. 注销账户的过程需收集个人敏感信息核验身份时，应明确对收集个人敏感信息后的处理措施，如达成目的后立即删除或匿名化处理等；

5. 个人信息主体注销账户后，应及时删除其个人信息或匿名化处理。因法律规定需要留存个人信息的，不能再次将其用于日常业务活动中。

实务建议

      基于前述要求，我们建议相关企业，尤其是App运营商：

1. 向用户提供方法简便易操作的账户注销方法；

2. 不应对注销账户设置不合理的条件；

3. 注销后，及时完成后台删除或匿名化工作。依法留存个人信息的，不得再次将其用于日常业务活动中。

三 数据治理

（一）明确责任部门与人员

      与2017版规范相比，2020版规范新增了对于个人信息保护负责人的资质要求；调整了需要设立个人信息保护负责人和工作机构的规模标准；增加了个人信息保护负责人和工作机构的具体职责。此外，2020版规范还要求企业为个人信息保护负责人和工作机构提供必要的资源，保障其独立履行职责。

实务建议

      基于前述要求，建议规模达到需要任命个人信息保护负责人和个人信息保护工作机构标准的企业注意：

1. 在选择个人信息保护负责人时，注重对相关人员进行背景调查，并对其专业知识和管理能力进行考核；

2. 明确并落实个人信息保护负责人和个人信息保护工作机构的工作职责和追责制度；

3. 确保个人信息保护负责人和个人信息保护工作机构独立履行职责，不受其他部门的影响。

（二）个人信息安全工程

      2020版规范新增了一节“个人信息安全工程”，要求开发具有处理个人信息功能的产品或服务时，个人信息控制者宜根据国家有关标准在需求、设计开发、测试、发布等系统工程阶段考虑个人信息保护要求，保证在系统建设时对个人信息保护措施同步规划、同步建设和同步使用。

该“个人信息安全工程”与欧盟《通用数据保护条例》下的“Privacy by Design”原则类似，要求企业在产品或服务设计开发之初即引入数据与隐私保护理念并贯彻始终。

实务建议

       “Privacy by Design”是国际隐私保护实践中所推崇的重要理念，目前已有众多企业秉持该理念将数据与隐私保护贯穿产品和服务的整个生命周期。实践中，个人信息与隐私安全问题可能关系到商业模式的成败，建议企业在创新产品或服务时，同步考虑个人信息保护要求，不仅依赖“事后审核”，同时也做好“事前评估”。

（三）个人信息处理活动记录

      个人信息处理活动记录不仅是企业内部安全审计的重要参考，更能够为企业发生个人信息泄露等安全事件时的整改和追责提供有效依据。2020版规范明确要求企业建立、维护和更新所收集、使用的个人信息处理活动记录，记录的内容可包括：

1. 所涉及个人信息的类型、数量、来源（如从个人信息主体直接收集或通过间接获取方式获得）；

2. 根据业务功能和授权情况区分个人信息的处理目的、使用场景，以及委托处理、共享、转让、公开披露、是否涉及出境等情况；

3. 与个人信息处理活动各环节相关的信息系统、组织或人员。

实务建议

      基于前述要求，建议企业准确记录个人信息处理活动，并依据相关法律法规规定和企业内部需要，制定相应的留存和查询机制、访问权限和规则等。

结 语

      《信息安全技术 个人信息安全规范》虽是推荐性国家标准，不具有法律强制力，但其作为现阶段中国个人信息保护领域最具有普遍性和操作性的行为指引，对于企业、个人信息主体以及执法机构均具有重要参考意义，企业宜在制定内部个人信息保护合规政策和操作规范时理解并适用相关要求。此外，鉴于商业模式和数据应用场景的不断创新，对于规范中未明确或未涉及的内容，企业应秉持谨慎态度，并密切关注相关规定和标准的发布以及执法实践，及时调整商业行为和合规政策。