信息化觀察網(wǎng)

2018年1月，國家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》(GB/T35273-2017)(以下簡稱規(guī)范)獲批發(fā)布全文。盡管這是一部推薦性的國家標(biāo)準(zhǔn)，不具有強(qiáng)制力。但仍引起了學(xué)界與實(shí)務(wù)界的廣泛關(guān)注。2月2日下午，“網(wǎng)絡(luò)產(chǎn)業(yè)與《個(gè)人信息安全規(guī)范》國家標(biāo)準(zhǔn)研討會(huì)”在北京舉行。會(huì)議由中國互聯(lián)網(wǎng)協(xié)會(huì)指導(dǎo)，中國互聯(lián)網(wǎng)協(xié)會(huì)研究中心、互聯(lián)網(wǎng)實(shí)驗(yàn)室、美國信息產(chǎn)業(yè)機(jī)構(gòu)主辦。會(huì)議從產(chǎn)業(yè)監(jiān)管、安全治理、產(chǎn)業(yè)合規(guī)三方面解讀了規(guī)范出臺(tái)的影響和意義。

起草人之一、北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心高級顧問洪延青：

認(rèn)為規(guī)范比歐盟更嚴(yán)格是誤讀

在關(guān)于規(guī)范的各類解讀中，有聲音認(rèn)為規(guī)范的發(fā)布及時(shí)填補(bǔ)了現(xiàn)今個(gè)人信息保護(hù)中諸多技術(shù)細(xì)節(jié)與實(shí)操領(lǐng)域的規(guī)范空白；也有聲音認(rèn)為，這部國家標(biāo)準(zhǔn)規(guī)范比歐洲與美國對于個(gè)人信息保護(hù)的要求更為嚴(yán)格，可能會(huì)影響行業(yè)的發(fā)展。

對于種種理解，規(guī)范的起草人之一、北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心高級顧問洪延青近日在由中國互聯(lián)網(wǎng)協(xié)會(huì)研究中心主辦的“網(wǎng)絡(luò)產(chǎn)業(yè)與《個(gè)人信息安全規(guī)范》國家標(biāo)準(zhǔn)研討會(huì)”上做出了幾點(diǎn)回應(yīng)。

用戶“同意”處于核心位置

但并非沒有考慮“正當(dāng)利益”

在近日發(fā)布的《個(gè)人信息安全規(guī)范》中，對于個(gè)人信息的收集、轉(zhuǎn)讓、共享等各個(gè)環(huán)節(jié)，都對用戶的“明示同意”做出了要求。

洪延青表示，個(gè)人信息所謂全生命周期每個(gè)環(huán)節(jié)，個(gè)人都是能參與到過程中去的，這些權(quán)利是《網(wǎng)絡(luò)安全法》賦予的。

洪延青介紹，《網(wǎng)絡(luò)安全法》(以下簡稱網(wǎng)安法)對個(gè)人信息保護(hù)的規(guī)定有一個(gè)非常顯著的特征，就是給個(gè)人特別強(qiáng)的控制權(quán)。比如說，收集使用信息需要個(gè)人的同意，即經(jīng)被收集者同意；處理和保存必須遵循與用戶的協(xié)定；如果違反用戶的協(xié)定處理或者保存?zhèn)€人信息，用戶有刪除和更正的權(quán)利。當(dāng)發(fā)生安全事件之后，還需要通知到用戶。

從這個(gè)方向來看的話，個(gè)人的“同意”，在處理個(gè)人信息過程中處于核心的地位。

因此，有觀點(diǎn)認(rèn)為，這份標(biāo)準(zhǔn)中對于“同意”的要求甚至比歐洲GDPR(《一般數(shù)據(jù)保護(hù)條例》)更為嚴(yán)格，理由是GDPR有六個(gè)合法正當(dāng)處理個(gè)人信息的事由，同意是第一項(xiàng)，后面五項(xiàng)不需要同意。第六項(xiàng)是正當(dāng)利益。

洪延青對此持不同意見。他解釋，GDPR中有兩種同意的方式，一種是明示同意(explicit consent)，指明確寫著“我同意”的字樣讓用戶點(diǎn)擊或勾選。而另一種是授權(quán)同意(unambigu-ousconsent)，指通過點(diǎn)擊“發(fā)送”或者點(diǎn)擊“撥打”等動(dòng)作表明同意，但并不出現(xiàn)明文“同意”。

洪延青介紹，在此次發(fā)布的《個(gè)人信息安全規(guī)范》中，是將以上兩種情況合并為“明示同意”，同時(shí)也為“授權(quán)同意”留下了空間。

“為什么規(guī)范中沒有提及默示同意？”洪延青解釋，首先，這樣寫怕企業(yè)會(huì)濫用默示同意。其次，目前承認(rèn)“授權(quán)同意”，是希望互聯(lián)網(wǎng)企業(yè)做到明示同意，但如果現(xiàn)實(shí)大量的場景做不到明示同意的話，還是需要用到授權(quán)同意的。“從這一點(diǎn)上我們的標(biāo)準(zhǔn)實(shí)際上比歐盟松得多，跟相對寬松的美國相對是看齊的，”洪延青說。

而對于一些看法認(rèn)為，歐盟GDPR中還考慮到“正當(dāng)利益”的狀況，即個(gè)人信息對某個(gè)組織來說非常重要，有重大的利益，但是處理個(gè)人信息對個(gè)人合法權(quán)益的影響非常小的情況下，通過利益權(quán)衡，允許組織不經(jīng)過同意處理個(gè)人信息的做法。

洪延青表示，首先，“同意”的要求沒有任何例外情況，這是遵循了網(wǎng)安法的要求。其次，在現(xiàn)實(shí)中有什么樣的場景經(jīng)常用到正當(dāng)利益，法院或者行政機(jī)關(guān)認(rèn)可的站得住腳的對正當(dāng)利益的使用實(shí)例，那么我們考慮寫到“征得授權(quán)同意的例外”中。比如說產(chǎn)品出了一個(gè)故障，肯定需要回傳一些信息做調(diào)試，再比如說需要計(jì)費(fèi)，為了計(jì)費(fèi)的目的肯定要收集個(gè)人信息。這時(shí)候，雖然在國外這叫正當(dāng)利益的具體表現(xiàn)，但是我們沒有寫“正當(dāng)利益”四個(gè)字，而是盡量把它放到“征得授權(quán)同意的例外”當(dāng)中去。

“當(dāng)然，由于例外只能列舉，不可能代替‘正當(dāng)利益’所給的靈活性，所以會(huì)有人讀起來覺得規(guī)范太嚴(yán)了。”洪延青表示，規(guī)范只能在網(wǎng)安法的框架中制定，不可能超越法律的框架。

“個(gè)人信息”定義并非世界最嚴(yán)，

與歐盟仍有一定的差距

《個(gè)人信息安全規(guī)范》附錄A中有某項(xiàng)信息是不是個(gè)人信息的判斷。洪延青介紹，規(guī)范的定義考慮兩個(gè)路徑，一是識別路徑，即由信息本身特殊性識別出特定自然人。二是關(guān)聯(lián)路徑。關(guān)聯(lián)路徑的前提是，個(gè)人已經(jīng)識別出來了，他后續(xù)做的一系列動(dòng)作又被系統(tǒng)記錄了，顯示出他的偏好和行為軌跡，這些也屬于個(gè)人信息。

洪延青指出，一些社交平臺(tái)把身份信息保護(hù)得很好，例如賬戶、用戶名、手機(jī)號、身份證號、家庭住址等。但是，卻把用戶的朋友關(guān)系網(wǎng)絡(luò)，例如特別關(guān)注的好友，屏蔽了誰，不屏蔽誰等叫做系統(tǒng)日志信息，而沒有定義為個(gè)人信息，這是不合理的。他表示，在一些場景下，身份信息往往沒有行為信息更隱私，更需要保護(hù)。

此外，還有專家評論，識別是歐盟經(jīng)常用的路徑，關(guān)聯(lián)是美國經(jīng)常用的路徑，把識別和關(guān)聯(lián)都加起來，標(biāo)準(zhǔn)比美歐都嚴(yán)。洪延青認(rèn)為這是一個(gè)誤讀。

據(jù)洪延青介紹，歐盟GDPR中的個(gè)人信息定義中，本身就包括“可識別”(identifiable)與“已識別”(ident-ified)，這實(shí)際上已經(jīng)把識別和關(guān)聯(lián)都包含在內(nèi)了。所以規(guī)范并沒有超過歐盟的嚴(yán)格程度。

需要注意的是，歐盟語境中的“身份“(identity)一詞的內(nèi)涵遠(yuǎn)比中文語境中“身份”更寬泛。中文語境的“身份”一詞指的是工作單位、職位、職級等。但是歐盟GDPR對“身份”的定義，則包括physical(身體的)，physiologi-cal(生理的)，genetic(基因的)，mental(精神的)，economic(經(jīng)濟(jì)的)，cultural or social(文化與社會(huì)的)identity(身份)。因此歐盟個(gè)人信息定義中包含的內(nèi)容遠(yuǎn)大于中國。

而美國的情況也是如此，美國商務(wù)部下國家標(biāo)準(zhǔn)與技術(shù)研究院標(biāo)準(zhǔn)PⅡ?qū)€(gè)人信息定義為兩類，第一類是能夠用來區(qū)別(distinguish)或勾勒個(gè)體身份的信息，第二類是能夠和個(gè)人相關(guān)聯(lián)的信息。洪延青解釋，美國的定義也是包括了關(guān)聯(lián)與識別兩類。

洪延青表示，規(guī)范在制定時(shí)，可能會(huì)比美國稍嚴(yán)一點(diǎn)，但是絕對不會(huì)比歐洲更嚴(yán)，而且與歐洲拉開了一定的距離。

洪延青在發(fā)言的最后強(qiáng)調(diào)，法律往往都是框架性要求，制定標(biāo)準(zhǔn)一定會(huì)在《網(wǎng)絡(luò)安全法》的框架內(nèi)，如果未來能夠出臺(tái)個(gè)人信息保護(hù)相關(guān)的專門法，那么規(guī)范會(huì)在那時(shí)候再適時(shí)做出修改，反映有彈性的操作空間。

中國互聯(lián)網(wǎng)協(xié)會(huì)研究中心秘書長吳沈括：

規(guī)范提供了新的

業(yè)務(wù)參照和行為指引

“在大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)以及人工智能等新一代信息技術(shù)迅速普及、推廣的當(dāng)下，個(gè)人信息與數(shù)據(jù)治理的戰(zhàn)略意義日益凸顯”。會(huì)議伊始，主持人、中國互聯(lián)網(wǎng)協(xié)會(huì)研究中心秘書長吳沈括在發(fā)言中表示，包括規(guī)范在內(nèi)的一系列政策、法律法規(guī)相繼頒布施行，反映了主管部門對民眾權(quán)益、產(chǎn)業(yè)發(fā)展和國家利益的高度重視，也折射出中國個(gè)人信息保護(hù)追求多元價(jià)值集合的鮮明特色。

吳沈括認(rèn)為，在網(wǎng)絡(luò)安全法治框架下，規(guī)范立足信息安全的維度，厘定、闡明了個(gè)人信息安全保護(hù)領(lǐng)域的諸多重要問題，如“個(gè)人信息”的基本定義、個(gè)人信息安全的基本要求等；并突出了個(gè)人信息全生命周期動(dòng)態(tài)調(diào)節(jié)的機(jī)制特色。他指出，在目前我國個(gè)人信息處理規(guī)范相對不足的情況下，規(guī)范在實(shí)際操作層面填補(bǔ)了諸多空白，為提升公民意識、企業(yè)合規(guī)和國家監(jiān)管水平提供了新的業(yè)務(wù)參照和行為指引。

在附錄中，規(guī)范將具備識別特定自然人或者在一般情況下可以關(guān)聯(lián)到自然人的信息納入了個(gè)人信息的范疇。吳沈括對南都記者表示，這是因?yàn)橐?guī)范的出發(fā)點(diǎn)是管控風(fēng)險(xiǎn)，其核心在于盡量降低在收集、處理個(gè)人信息過程中對個(gè)人合法權(quán)益造成的不利影響。

吳沈括指出，作為國家推薦性標(biāo)準(zhǔn)，規(guī)范的適用主體不僅限于網(wǎng)絡(luò)企業(yè)，還包括所有個(gè)人、企事業(yè)單位和國家機(jī)關(guān)。“事實(shí)上，規(guī)范更恰當(dāng)?shù)墓δ芏ㄎ粦?yīng)當(dāng)是一個(gè)有關(guān)個(gè)人信息處理業(yè)務(wù)合規(guī)指引的一攬子推薦性解決方案，屬于公共產(chǎn)品的范疇”，他進(jìn)一步解釋說，除非行為主體主動(dòng)承諾、有權(quán)機(jī)關(guān)明確援引或法律規(guī)范直接認(rèn)可，規(guī)范本身不直接產(chǎn)生行為約束力，也并非行政性規(guī)范，更不應(yīng)在刑事責(zé)任層面產(chǎn)生實(shí)質(zhì)性意義。

“個(gè)案思維和總體風(fēng)險(xiǎn)可控是兩個(gè)維度的問題，在《個(gè)人信息安全規(guī)范》的個(gè)案運(yùn)用中，特別需要注意行為邊界的精準(zhǔn)厘定”，吳沈括強(qiáng)調(diào)，規(guī)范的實(shí)際價(jià)值需要在5月1日正式施行后，結(jié)合政府機(jī)關(guān)以及龍頭企業(yè)的示范效應(yīng)，尤其是有關(guān)部門的執(zhí)法實(shí)踐做出進(jìn)一步的跟蹤研判，同時(shí)還應(yīng)特別注意數(shù)據(jù)跨境下的國際博弈可能產(chǎn)生的反向影響。

中國信通院工業(yè)和信息化法律服務(wù)中心副主任許長帥：

個(gè)人信息保護(hù)立法應(yīng)劃分行政監(jiān)管邊界

規(guī)范可通過“轉(zhuǎn)化”融入日常監(jiān)管

“《個(gè)人信息安全規(guī)范》在網(wǎng)安法的框架內(nèi)做了‘打開’，對實(shí)務(wù)有很好的指引作用，這一點(diǎn)是毋庸置疑的”，許長帥指出，網(wǎng)安法關(guān)于個(gè)人信息保護(hù)的規(guī)定條款較少，且多為原則性條款，而《個(gè)人信息安全規(guī)范》(以下簡稱規(guī)范)在此基礎(chǔ)上給出了更加詳細(xì)、明確的規(guī)則。

值得注意的是，規(guī)范屬于推薦性國家標(biāo)準(zhǔn)，和強(qiáng)制性國家標(biāo)準(zhǔn)不同，不能作為執(zhí)法的直接依據(jù)。對此，許長帥提出了一個(gè)對策，即通過“轉(zhuǎn)化”的方式，把規(guī)范融入到日常監(jiān)管當(dāng)中。

許長帥表示，網(wǎng)安法中雖然給出了個(gè)人信息的定義并列舉了其中一些，但對于沒有被列舉的信息中，還有哪些屬于個(gè)人信息尚無統(tǒng)一標(biāo)準(zhǔn)。規(guī)范作為有一定效力的國家標(biāo)準(zhǔn)，詳細(xì)列舉了個(gè)人信息、個(gè)人敏感信息的范圍，完全可以融入網(wǎng)安法適用中。

企業(yè)違反規(guī)范是否需要承擔(dān)法律責(zé)任？

對企業(yè)來說，規(guī)范在產(chǎn)業(yè)中的作用完全靠企業(yè)自主采用，就算企業(yè)不采用，也無需承擔(dān)法律責(zé)任。但是，如果企業(yè)對外承諾或者宣稱采用了規(guī)范而實(shí)際未采用，是否需要承擔(dān)相應(yīng)的法律責(zé)任？

許長帥認(rèn)為，根據(jù)《標(biāo)準(zhǔn)化法》第27條“企業(yè)應(yīng)當(dāng)按照標(biāo)準(zhǔn)組織生產(chǎn)經(jīng)營活動(dòng)，其生產(chǎn)的產(chǎn)品、提供的服務(wù)應(yīng)當(dāng)符合企業(yè)公開標(biāo)準(zhǔn)的技術(shù)要求”和第36條“企業(yè)生產(chǎn)的產(chǎn)品、提供的服務(wù)不符合其公開標(biāo)準(zhǔn)的技術(shù)要求的，依法承擔(dān)民事責(zé)任”，企業(yè)需要承擔(dān)民事責(zé)任。

許長帥建議，未來個(gè)人信息保護(hù)立法應(yīng)設(shè)計(jì)把個(gè)人信息保護(hù)推薦性國家標(biāo)準(zhǔn)轉(zhuǎn)化為具有法律約束力的要求的制度。“如果沒有做到，企業(yè)除了民事責(zé)任以外，還要承擔(dān)行政法上的責(zé)任，這樣可能更有利于企業(yè)的良好經(jīng)營，”他說。

規(guī)范還列舉了在收集個(gè)人信息時(shí)不用事先獲得授權(quán)的幾種例外情況，而網(wǎng)安法沒有與之對應(yīng)的規(guī)定。“假如企業(yè)聲稱是在這些情形下，沒有告知就收集了用戶的信息，而用戶依據(jù)網(wǎng)安法要求執(zhí)法部門處罰企業(yè)，該怎么辦？”許長帥提出，現(xiàn)階段國家法律和規(guī)范之間仍存在一定差異，可能需要通過立法解釋等方式解決，將來個(gè)人信息保護(hù)立法也應(yīng)吸收規(guī)范的例外規(guī)則或其他要求。

后續(xù)個(gè)人信息保護(hù)立法要與執(zhí)法做預(yù)判或銜接

談到后續(xù)的個(gè)人信息保護(hù)立法，許長帥認(rèn)為，有兩個(gè)需要注意的問題。

一個(gè)是監(jiān)管部門的分工問題。許長帥舉了一個(gè)在淘寶平臺(tái)售賣醫(yī)療器械的例子：客戶購買醫(yī)療器械說明家里有人需要，那就很可能也需要家政服務(wù)，于是賣家將收集到的客戶信息賣給家政服務(wù)公司，一個(gè)利益鏈條就串起來了。

“這個(gè)例子涉及到互聯(lián)網(wǎng)信息服務(wù)、網(wǎng)絡(luò)交易和醫(yī)療器械，分別由三個(gè)部門管理，客戶該找誰解決？”許長帥指出，誰來監(jiān)管的問題需要立法部門在個(gè)人信息保護(hù)立法時(shí)重點(diǎn)解決。

另一個(gè)是行政監(jiān)管的邊界問題。許長帥指出，個(gè)人信息保護(hù)是在服務(wù)過程中存在的，發(fā)生糾紛應(yīng)該首先尋求司法解決。但實(shí)際情況卻是大多數(shù)人會(huì)第一時(shí)間找行政部門投訴和舉報(bào)，試圖通過信訪、依法履職、投訴等途徑解決。

許長帥認(rèn)為，這導(dǎo)致了極大的行政資源浪費(fèi)。“個(gè)人信息保護(hù)涉及的服務(wù)是市場行為，產(chǎn)生的問題應(yīng)該在市場規(guī)律下走司法途徑解決……所有糾紛都通過行政手段解決已經(jīng)被證明是做不到的。”因此許長帥建議，個(gè)人信息保護(hù)立法要明確劃分行政監(jiān)管的邊界，與后面的執(zhí)法做一個(gè)預(yù)判或銜接。