信息化觀察網(wǎng)

國家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》（GB/T 35273-2017，以下簡稱《規(guī)范》）在2017年12月公布后，關(guān)于其實(shí)際影響的討論在業(yè)內(nèi)一直沒有停止。

一方面，根據(jù)《標(biāo)準(zhǔn)化法》，《規(guī)范》作為國家推薦性標(biāo)準(zhǔn)，不屬于《網(wǎng)絡(luò)安全法》中“國家標(biāo)準(zhǔn)的強(qiáng)制性要求”，只是鼓勵(lì)企業(yè)采用，并無強(qiáng)制執(zhí)行力；而另一方面，實(shí)務(wù)人員也普遍認(rèn)為《規(guī)范》實(shí)際有著超出普通推薦性標(biāo)準(zhǔn)的影響力。

到底如何看待《規(guī)范》的作用，是一個(gè)在學(xué)理上不難推斷，在實(shí)務(wù)中不易澄清的問題。本文嘗試?yán)霉_信息，梳理《規(guī)范》自發(fā)布以來，為合規(guī)工作提供借鑒。

一、監(jiān)管執(zhí)法的援引情況及分析

2016年8月，中央網(wǎng)信辦、國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、國家標(biāo)準(zhǔn)化管理委員會聯(lián)合發(fā)布的《關(guān)于加強(qiáng)國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》提出“推進(jìn)急需重點(diǎn)標(biāo)準(zhǔn)制定”，而《規(guī)范》正是在個(gè)人保護(hù)信息領(lǐng)域的重點(diǎn)標(biāo)準(zhǔn)之一，因此在發(fā)布前后也多次被相關(guān)監(jiān)管機(jī)構(gòu)參照或援引。

2017年7月，中央網(wǎng)信辦、工信部、公安部、國家標(biāo)準(zhǔn)委四部門聯(lián)合開展了隱私條款專項(xiàng)工作，在隱私條款評審時(shí)重點(diǎn)參照了當(dāng)時(shí)還未正式生效的《個(gè)人信息安全規(guī)范（報(bào)批稿）》。參加評審的十款網(wǎng)絡(luò)產(chǎn)品和服務(wù)均參照《個(gè)人信息安全規(guī)范》中的《附錄D：隱私政策模板》，對各自的隱私政策進(jìn)行了相應(yīng)的調(diào)整。

2018年1月，國家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局在約談某大型互聯(lián)網(wǎng)公司時(shí)，指出其產(chǎn)品收集使用個(gè)人信息的方式“不符合剛剛發(fā)布的《個(gè)人信息安全規(guī)范》國家標(biāo)準(zhǔn)的精神，違背了其前不久簽署的《個(gè)人信息保護(hù)倡議》的承諾。”

2019年1月，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局發(fā)布的《關(guān)于開展App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的公告》做出工作安排：“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會、中國消費(fèi)者協(xié)會、中國互聯(lián)網(wǎng)協(xié)會、中國網(wǎng)絡(luò)空間安全協(xié)會，依據(jù)法律法規(guī)和國家相關(guān)標(biāo)準(zhǔn)，編制大眾化應(yīng)用基本業(yè)務(wù)功能及必要信息規(guī)范、App違法違規(guī)收集使用個(gè)人信息治理評估要點(diǎn)，組織相關(guān)專業(yè)機(jī)構(gòu)，對用戶數(shù)量大、與民眾生活密切相關(guān)的App隱私政策和個(gè)人信息收集使用情況進(jìn)行評估。”根據(jù)我們的理解，其中提及的“國家相關(guān)標(biāo)準(zhǔn)”即包括《規(guī)范》。

2019年3月，中央網(wǎng)信辦、市場監(jiān)管總局發(fā)布《關(guān)于開展App安全認(rèn)證工作的公告》，其附件《移動互聯(lián)網(wǎng)應(yīng)用程序（App）安全認(rèn)證實(shí)施規(guī)則》中規(guī)定：App安全認(rèn)證的認(rèn)證依據(jù)為GB/T 35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》及相關(guān)標(biāo)準(zhǔn)、規(guī)范。

2020年2月4日，中央網(wǎng)信辦發(fā)布的《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》提出：“收集聯(lián)防聯(lián)控所必需的個(gè)人信息應(yīng)參照國家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》，堅(jiān)持最小范圍原則，收集對象原則上限于確診者、疑似者、密切接觸者等重點(diǎn)人群，一般不針對特定地區(qū)的所有人群，防止形成對特定地域人群的事實(shí)上歧視。”

2020年3月9日，《天津市委網(wǎng)信辦關(guān)于開展疫情防控相關(guān)App違法違規(guī)收集使用個(gè)人信息專項(xiàng)治理的通告》指出：“疫情防控App運(yùn)營者收集使用個(gè)人信息時(shí)應(yīng)當(dāng)嚴(yán)格履行《網(wǎng)絡(luò)安全法》《天津市數(shù)據(jù)安全管理辦法（暫行）》規(guī)定的責(zé)任義務(wù)，對獲取的個(gè)人信息安全負(fù)責(zé)，采取有效措施加強(qiáng)個(gè)人信息保護(hù)，按照《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》和相關(guān)國家標(biāo)準(zhǔn)進(jìn)行自查整改。”如果我們理解無誤的話，其中提及的“相關(guān)國家標(biāo)準(zhǔn)”即為《規(guī)范》。

從上述援引情況來看，監(jiān)管機(jī)構(gòu)并未直接將《規(guī)范》作為監(jiān)管依據(jù)，而均是作為參照。但能夠看出，相關(guān)監(jiān)管部門在實(shí)踐中對《規(guī)范》予以高度重視，其強(qiáng)調(diào)的監(jiān)管要點(diǎn)也均在《規(guī)范》中有所體現(xiàn)。

二、地方規(guī)范性文件的援引情況及分析

2018年6月，原吉林省衛(wèi)生和計(jì)劃生育委員會印發(fā)《吉林省遠(yuǎn)程醫(yī)療服務(wù)管理辦法（試行）》（吉衛(wèi)醫(yī)發(fā)〔2018〕25號），其中第三十六條規(guī)定“加強(qiáng)信息安全保護(hù)。遠(yuǎn)程醫(yī)療服務(wù)運(yùn)營機(jī)構(gòu)，在為遠(yuǎn)程醫(yī)療服務(wù)提供技術(shù)服務(wù)的過程中，對獲取的邀請方、受邀方醫(yī)療機(jī)構(gòu)及受診患者的信息資料，負(fù)有嚴(yán)格的保密義務(wù)，不得將獲取的信息資料外泄和用于規(guī)定范圍以外的用途。涉及個(gè)人隱私和國家安全的，應(yīng)當(dāng)遵循醫(yī)學(xué)倫理原則，按照《信息安全技術(shù)個(gè)人信息安全規(guī)范》國家標(biāo)準(zhǔn)規(guī)定執(zhí)行。”

從上述援引情況來看，部分地方政府部門在制訂相關(guān)規(guī)范性文件的時(shí)候，出于對《規(guī)范》的認(rèn)可，將其作為應(yīng)當(dāng)遵守的一種行為規(guī)范。但是，根據(jù)《立法法》的有關(guān)規(guī)定，在沒有明確的法律或行政法規(guī)等上位法律依據(jù)的情況下，如果有關(guān)規(guī)章規(guī)范的內(nèi)容，涉及設(shè)定減損公民、法人和其他組織權(quán)利或者增加其義務(wù)的內(nèi)容，則其合法性將受到質(zhì)疑。

三、行政處罰的援引情況及分析

根據(jù)對公開的行政處罰決定書的檢索，未發(fā)現(xiàn)有援引《個(gè)人信息安全規(guī)范》的情況。

行政處罰中有引用推薦性標(biāo)準(zhǔn)的實(shí)例，但主要集中于產(chǎn)品質(zhì)量領(lǐng)域，需要有相關(guān)法律法規(guī)的明確規(guī)定。我們認(rèn)為，假如行政處罰中直接援引《個(gè)人信息安全規(guī)范》作為處罰依據(jù)，是缺乏依據(jù)的。

四、司法判決的援引情況及分析

目前能檢索到兩份裁判文書在說理部分（即“本院認(rèn)為”）援引了《規(guī)范》，分別為：

深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、騰訊科技（深圳）有限公司商業(yè)賄賂不正當(dāng)競爭糾紛一審民事裁定書【（2019）津0116民初2091號】“……目前，我國《消費(fèi)者權(quán)益保護(hù)法》、《信息安全技術(shù)個(gè)人信息安全規(guī)范》及《網(wǎng)絡(luò)安全法》等系列法律法規(guī)都對網(wǎng)絡(luò)用戶等消費(fèi)者個(gè)人信息保護(hù)提出了明確的要求。……”

“馬適之、張立一審刑事判決書”【（2018鄂0528刑初52號）】“……同時(shí)，《信息安全技術(shù)個(gè)人信息安全規(guī)范》（國家標(biāo)準(zhǔn)）亦將個(gè)人電話號碼、網(wǎng)頁瀏覽記錄列入個(gè)人敏感信息范疇。……”

盡管上述裁判文書在說理部分提及了《個(gè)人信息安全規(guī)范》，但一份僅是作為背景信息介紹，另一份是為了論證相關(guān)個(gè)人信息屬于個(gè)人信息敏感信息，均不是作為裁判依據(jù)而援引。這是因?yàn)楦鶕?jù)最高人民法院的相關(guān)規(guī)定，法院的裁判文書不能援引推薦性標(biāo)準(zhǔn)作為裁判依據(jù)，但可以在說理部分援引。

《最高人民法院關(guān)于裁判文書引用法律、法規(guī)等規(guī)范性法律文件的規(guī)定》第二條規(guī)定裁判文書中引用的規(guī)范性法律文件只包括“法律及法律解釋、行政法規(guī)、地方性法規(guī)、自治條例或者單行條例、司法解釋”，而不包括國家標(biāo)準(zhǔn)；而在第六條規(guī)定其他規(guī)范性文件“根據(jù)審理案件的需要，經(jīng)審查認(rèn)定為合法有效的，可以作為裁判說理的依據(jù)。”

《最高人民法院關(guān)于加強(qiáng)和規(guī)范裁判文書釋法說理的指導(dǎo)意見》（法發(fā)〔2018〕10號），亦指出：“除依據(jù)法律法規(guī)、司法解釋的規(guī)定外，法官可以運(yùn)用下列論據(jù)論證裁判理由，以提高裁判結(jié)論的正當(dāng)性和可接受性：……公理、情理、經(jīng)驗(yàn)法則、交易慣例、民間規(guī)約、職業(yè)倫理；立法說明等立法材料；采取歷史、體系、比較等法律解釋方法時(shí)使用的材料；法理及通行學(xué)術(shù)觀點(diǎn)；與法律、司法解釋等規(guī)范性法律文件不相沖突的其他論據(jù)。”

由于法律法規(guī)的規(guī)定往往較為原則性，當(dāng)出現(xiàn)法律無具體規(guī)定時(shí)（尤其在《個(gè)人信息保護(hù)法》出臺前），作為在行業(yè)中被廣泛參考的推薦性標(biāo)準(zhǔn)，法官還是有很大可能會參考《規(guī)范》以判斷是否構(gòu)成個(gè)人信息、在保護(hù)個(gè)人信息中是否存在過錯(cuò)，而無論是否在裁判文書的說理部分直接引用《規(guī)范》的原文。因此，認(rèn)為《規(guī)范》對于司法裁判并無實(shí)際影響的觀點(diǎn)，我們也是不認(rèn)同的。事實(shí)上，在我們接觸的個(gè)人信息相關(guān)訴訟案件中，原被告雙方通常都會就是否違反《規(guī)范》進(jìn)行辯論。

五、其他標(biāo)準(zhǔn)/規(guī)范的援引情況及分析

個(gè)人信息保護(hù)的標(biāo)準(zhǔn)體系，除了《規(guī)范》外，還包括多個(gè)標(biāo)準(zhǔn)。在《規(guī)范》之后起草的諸多標(biāo)準(zhǔn)或文件，在“規(guī)范性引用文件”部分，基本都會提及《規(guī)范》，包括但不限于：

公安部網(wǎng)絡(luò)安全保衛(wèi)局、北京市網(wǎng)絡(luò)行業(yè)協(xié)會、公安部第三研究所《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》

中國人民銀行《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T 0171-2020）

App專項(xiàng)治理工作組《App違法違規(guī)收集使用個(gè)人信息自評估指南》

信安標(biāo)委《個(gè)人信息去標(biāo)識化指南》（GB/T 37964-2019）

信安標(biāo)委《網(wǎng)絡(luò)安全實(shí)踐指南——移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》

信安標(biāo)委《信息安全技術(shù)個(gè)人信息告知同意指南（征求意見稿）》

信安標(biāo)委《移動互聯(lián)網(wǎng)應(yīng)用程序（App）收集個(gè)人信息基本規(guī)范（征求意見稿）》

信安標(biāo)委《生物特征識別信息的保護(hù)要求（征求意見稿）》

信安標(biāo)委《信息安全技術(shù)個(gè)人信息安全工程指南（征求意見稿）》

信安標(biāo)委《健康醫(yī)療信息安全指南（征求意見稿）》

信安標(biāo)委《個(gè)人信息安全影響評估指南（征求意見稿）》

除上述規(guī)范外，其他引用《規(guī)范》的標(biāo)準(zhǔn)、規(guī)范、指南也在不斷增加，尤其是信安標(biāo)委起草的關(guān)于個(gè)人信息保護(hù)的相關(guān)標(biāo)準(zhǔn)。可以說《規(guī)范》已成為個(gè)人信息保護(hù)領(lǐng)域的底層規(guī)則，其定義和基本規(guī)則也被其他大量規(guī)則所參考、吸收，包括由公安部、央行發(fā)布的相關(guān)規(guī)范。目前來看，由于其天然的復(fù)雜性，個(gè)人信息保護(hù)領(lǐng)域以推薦性標(biāo)準(zhǔn)為主，尚未出現(xiàn)強(qiáng)制性標(biāo)準(zhǔn)直接引用《規(guī)范》的情況。

六、證券交易所問詢的援引情況及分析

在企業(yè)上市過程，數(shù)據(jù)相關(guān)問題也被高度關(guān)注，證券交易所根據(jù)包括《上市公司信息披露管理辦法》在內(nèi)的有關(guān)法律法規(guī)和內(nèi)部規(guī)則，在其履行職權(quán)的過程中可能會發(fā)出問詢函，而對于相關(guān)問題的回答，會影響到企業(yè)能否順利上市或重組。

援引情況：

深圳證券交易所創(chuàng)業(yè)板公司管理部于2018年6月29日出具《關(guān)于對北京梅泰諾通信技術(shù)股份有限公司的重組問詢函》（創(chuàng)業(yè)板許可類重組問詢函【2018】第27號）。其中問題9，“（2）請補(bǔ)充說明標(biāo)的公司對用戶信息的收集、傳輸、保存及應(yīng)用的現(xiàn)狀是否符合2018年5月1日實(shí)施的《信息安全技術(shù)個(gè)人信息安全規(guī)范》的要求。若否，請充分提示相關(guān)風(fēng)險(xiǎn)并說明后續(xù)整改措施。”

上海證券交易所于2019年10月12日出具《關(guān)于北京慧辰資道資訊股份有限公司首次公開發(fā)行股票并在科創(chuàng)板上市申請文件的第二輪審核問詢函》。其中，問題11：關(guān)于數(shù)據(jù)來源合規(guī)性中，要求發(fā)行人說明：“（4）發(fā)行人使用用戶數(shù)據(jù)是否合法合規(guī)，請對照《網(wǎng)絡(luò)安全法》、《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》、《信息安全技術(shù)個(gè)人信息安全規(guī)范》等法規(guī)和司法解釋，說明報(bào)告期發(fā)行人是否存在侵犯用戶隱私或數(shù)據(jù)的情況，是否存在法律風(fēng)險(xiǎn)或潛在法律風(fēng)險(xiǎn)”。

從上述問題和我們之前的文章中可以觀察到，證券交易所對于企業(yè)是否合法合規(guī)收集使用數(shù)據(jù)越來越重視，問的問題也越來越細(xì)致，相信之后在證券監(jiān)管機(jī)構(gòu)和交易所的問詢中，《規(guī)范》也會越來越多地被引用。

七、總結(jié)

從上述的梳理不難看出，《規(guī)范》在實(shí)踐中被援引的情況，從效力上說和其他推薦性標(biāo)準(zhǔn)并無本質(zhì)區(qū)別，始終未被賦予強(qiáng)制執(zhí)行力，如果確實(shí)未能達(dá)到相關(guān)要求，并不會導(dǎo)致直接的處罰。但從實(shí)際影響上來講，《規(guī)范》在事實(shí)上成為個(gè)人信息領(lǐng)域最重要、被廣泛援引的參照標(biāo)準(zhǔn)，是個(gè)人信息保護(hù)各主體之間的公約數(shù)。從這個(gè)意義上講，在實(shí)務(wù)中不妨將其理解為“準(zhǔn)強(qiáng)制性標(biāo)準(zhǔn)”，在合規(guī)工作中盡量達(dá)到其要求。