2018年5月1日,中國全國信息安全標準化技術委員會制定的《信息安全技術—個人信息安全規範》正式生效。該規範系由北京大學互聯網發展研究中心高級顧問洪延青博士等33名專家起草,參與單位包括北京大學、公安部和阿里馬巴巴、華為等高等院校、政府部門、知名公司。
從法律效力上看,該規範只一部推薦性國家標準,並不具有強制力。但即使如此,該規範一經公佈就引起了法學界、數據行業和經濟界的廣泛關注。客觀上講,該規範的發佈及時地填補了當前中國個人信息保護中存在諸多技術細節與實務操作領域的規範空白。但同時也有學者擔心,這部國家標準規範比歐洲的GDRP和美國的對於個人信息保護的要求更為嚴格,可能會影響中國數據經濟行業的發展。
《個人信息安全規範》生交效兩天後的2018年5月3日,國際隱私專業人員國際協會(IAPP)在其官方網站上,發表了一篇針對中國《個人信息安全規範》進行解讀的網站封面文章《Old rules, new specification for data protection in mainland China》。該文從另一個角度展現了一個境外數據專業從業人員對《個人信息安全規範》的理解和認識。
根據維基百科,國際隱私專業人員國際協會是一個不以營利為目的非訟會員協會,其目的是為了提供了一個論壇,供隱私專業人士分享最佳實踐,跟蹤趨勢和進行保密管理問題討論。IAPP據稱是全球最大的信息隱私專業協會,在83個國家擁有2萬多名會員。
在此,筆者全文翻譯了《Old rules, new specification for data protection in mainland China》,以供對網絡安全和數據保護及共享感興趣的讀者參考:
Old rules, new specification for data protection in mainland China
《中國數據保護的老法新規》
作者:Galaad Delval 翻譯:陳德志 孫清
隨著中國《網絡安全法》(China's Cybersecurity Law,簡稱 CSL)已實施一年多,相關法規和標準不斷被起草和發佈。這些新規、新標準既涉及到進一步規範個人信息和重要數據的跨境轉移,也涉及到為企業提供明確指導關於如何遵守《網絡安全法》設定的新數據保護框架。其中就包括於5月1日正式生效《信息安全技術—個人信息安全規範》,此規範於1月24日在全國信息安全標準化技術委員會(TC260)網站上被公佈。
一、 這些法規的法律價值是什麼?
為了理解這些規範的重要性,我們必須首先界定它在中國數據保護和網絡安全法律生態系統中的規範性價值。
2017年11月4日,全國人民代表大會常務委員會發佈了《中華人民共和國標準化法》 2017修訂版。這一修訂於2018年1月1日生效,更新了國家網絡安全生態系統。
關於國家標準,《中華人民共和國標準化法》第2條規定了強制性國家標準註釋GB和推薦性國家標準GB/T。原則上,推薦性標準不具有直接約束力,國家只會鼓勵行業採用推薦性標準。《信息安全技術—個人信息安全規範》的標準編號為GB/T 35273-2017,屬於推薦性國家標準,行業是否採用原則上是自願的。因此,它應該被理解為一種國家指導。
法律專家的一個有趣的觀點是,《信息安全技術—個人信息安全規範》(GB/T 35273-2017是GB/Z28828-2012)的理論繼承。
全國信息安全標準化技術委員會(TC260)於2012年11月15日發佈了標題為《信息安全技術公共及商用服務信息系統個人信息保護指南》GB/Z 28828-2012的國家標準化指導性技術文件。由此我們可以得出這樣的結論:這份法律規範的原則和內容至少在5年前就從被審查的概念中提取出來並形成了標準。
二、瞭解規範的執行機制
如果《信息安全技術—個人信息安全規範》是推薦性國家標準,那它為什麼被認為是中國大陸在數據保護領域的重大發展?其原因是該規範旨在成為可執行和具有約束力的法規文本的一部分。
首先,《個人信息安全規範》應該用於更精確地解釋《網絡安全法》的規定,特別是解釋第4章。例如,《網絡安全法》第41條規定"網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意",而《信息安全技術—個人信息安全規範》第5.3條詳細規定了同意的形式,第5.4條則規定了徵得授權同意的例外。
《網絡安全法》第42條規定"網絡運營者不得洩露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。網絡運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息洩露、毀損、丟失。在發生或者可能發生個人信息洩露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告"。
對此,《網絡安全法》中運營者的通知義務在《個人信息安全規範》第9.1條和第9.2條中進一步說明,何時應提供通知以及通知的內容。
除了細化《網絡安全法》的規定之外,《個人信息安全規範》還旨在細化國家主管機關發佈的行政法規,如國家互聯網信息辦公室於2017年4月11日發佈的《個人信息和重要數據出境安全評估辦法》。雖然該辦法與《個人信息安全規範》沒有直接聯繫,但它受《信息安全技術數據出境安全評估指南》的約束。
《信息安全技術數據出境安全評估指南》由全國信息安全標準化技術委員會於2017年8月25日發表,主要給需要數據出境的主體提供安全評估的指導。此標準使用法律規範來量化出境數據中的個人敏感信息傳遞,提供風險評估和安全性自我評估。如果不符合規範,個人敏感信息的量化就不能被正確評估。反過來,安全性自我評估也是不可能完成的,這將妨礙數據出境的執行。《信息安全技術數據出境安全評估指南》對行政法規的輔助解釋是具有間接的約束力。
三、更詳細的個人信息分類
如果需要從規範中獲取一項關鍵信息,則要將個人信息的定義從《網絡安全法》擴大到《個人信息安全規範》附件A中的非詳盡清單,清單包括可以視為個人信息的所有類型的信息。清單總共有12個類別的個人信息,第十三個類別是"其他信息"。
1、 個人基本資料
如:姓名、生日、性別、民族、國籍、家庭關係、住址、個人電話號碼、電子郵箱等。
2、個人身份信息
如:身份證、軍官證、護照、駕駛證、工作證、出入證、社保卡、居住證等。
3、個人生物識別信息
如:個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部特徵等。
4、個人健康生理信息
如:個人因生病醫治等產生的相關記錄、以及與個人身體健康狀況產生的相關信息,及體重、身高、肺活量等。
5、個人教育工作信息
如:個人職業、職位、工作單位、學歷、學位、教育經歷、工作經歷、培訓記錄、成績單等。
6、個人財產信息
如:銀行賬號、鑑別信息(口令)、存款信息(包括資金數量、支付收款記錄等)、房產信息、信貸記錄、徵信信息、交易和消費記錄、流水記錄等,以及虛擬貨幣、虛擬交易、遊戲類兌換碼等虛擬財產信息。
7、個人通信信息
如通信記錄和內容、短信、彩信、電子郵件,以及描述個人通信的數據(通常稱為元數據)等。
8、聯繫人信息
如:通訊錄、好友列表、群列表、電子郵件地址列表等。
9、個人上網記錄
如:通過日誌儲存的用戶操作記錄,包括網站瀏覽記錄、軟件使用記錄、點擊記錄等。
10、網絡身份標識信息
如:系統賬號、IP地址、郵箱地址及與前述有關的密碼、口令、口令保護答案、用戶個人數字證書等。
11、個人位置信息
如:包括行蹤軌跡、精準定位信息、住宿信息、經緯度等。
12、個人常用設備信息
如:硬件序列號、設備MAC地址、軟件列表、唯一設備識別碼(如IMEI/androidID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等)等在內的描述個人常用設備基本情況的信息。
13、其他信息
如:婚史、宗教信仰、性取向、未公開的違法犯罪記錄等。
對個人信息的擴展和非詳盡定義都應被理解為是對合規官的一種警告,即在中國大陸受保護的個人信息的範圍是廣泛的,並且大陸具有保護個人信息的一般性制度。
特別說明:敏感信息
另一個從《個人信息安全規範》中提取的重要的概念就是3.2條的個人敏感信息。個人敏感信息是指一旦洩露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。附件B中所列出的應被視為個人敏感信息的清單印證了上述定義。該清單包括5個主要類別,它們均存在於附件A:
(1)個人財產信息
如:銀行賬號、鑑別信息(口令)、存款信息(包括資金數量、支付收款記錄等)、房產信息、信貸記錄、徵信信息、交易和消費記錄、流水記錄等,以及虛擬貨幣、虛擬交易、遊戲類兌換碼等虛擬財產信息。
(2)個人健康生理信息
如:個人因生病醫治等產生的相關記錄,如病症、住院志、醫囑單、檢驗報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現病史、傳染病史等,以及與個人身體健康狀況產生的相關信息等。
(3)個人生物識別信息
如:個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特徵等。
(4)個人身份信息
如:身份證、軍官證、護照、駕駛證、工作證、社保卡、居住證等。
(5)網絡身份識別信息
如:系統賬號、郵箱地址及與前述有關的密碼、口令、口令保護答案、用戶個人數字證書等。
(6)其他信息
如:個人電話號碼、性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內容、行蹤軌跡、網頁瀏覽記錄、住宿信息、精準定位信息等。
我們應當注意,這份清單是非窮盡列舉。個人敏感信息的第六項是其他信息,附件B的分類不僅包括了被歐盟認定的個人敏感數據如個人的性取向,還包括了那些常見的信息如個人的手機號碼。
四、進一步的指導
除了詳細界定了個人敏感信息的概念,《個人信息安全規範》還為多個數據保護領域提供了進一步的指導,包括以下四個值得注意的領域:
1、它在附件C中給出了向個人信息主體就個人敏感信息的收集、使用,以及個人信息的共享、轉讓、公開披露等事項徵求授權同意的實現方法。
1、它在第5.6條中規範了隱私政策的內容和發佈,規定隱私政策應逐一送達個人信息主體。當成本過高或有顯著困難時,可以公告的形式發佈。第7.7條為個體信息主體提供了撤回同意的權利,並明確了個人信息主體拒絕接收基於其個人信息推送的商業廣告的權利。
3、附件D為運營者提供了隱私政策模板,並附有說明,以支持公司根據樣本進行信息運營。
4、在沒有數據保護專家和中國網絡安全專家的情況下,企業的規範審查可能會很困難,但在任何針對中國大陸的合規項目中,規範審查的重要性都不容低估。任何公司都要遵守中國數據保護和網絡安全法律框架,都不能忽略審查相關法律規範和其它推薦性國家標準。任何在中國大陸經營的外國公司,為完成合規工作都應該及時審查更新的法律規定和頒佈的其它草案標準。
【作者簡介】:Galaad Delval,是一名專門從事網絡安全和數據保護以及關於歐盟和中國法律的研究人員。他還具有跨境電商運營和相關法律問題的解決經驗。他撰寫了一系列關於中國網絡安全和數據保護法律的新文章,描述了中國網絡安全和數據保護法律對本土和外國公司的影響,以及如何為這些公司實現合規。(信息來源於IAPP網站)
【原文地址】:https://iapp.org/news/a/old-rules-new-specification-for-data-protection-in-mainland-china/
閱讀更多 百律 的文章
