最新《個人資訊保安規範》釋出！首次明確：個人原始資訊不應儲存

繼 2017 年 12 月《資訊保安技術個人資訊保安規範》釋出之後，時隔兩年多，歷經兩次公開向社會徵求意見，3 月 6 日，《規範》有了新的變化調整，包括：

新增「多項業務功能的自主選擇」「使用者畫像的使用限制」「個性化展示的使用」「第三方接入管理」「個人資訊處理活動記錄」等多項內容，並將個人生物識別資訊的要求細化並完善。

在收集個人生物識別資訊前，需單獨向用戶告知收集、使用個人生物識別資訊的目的、方式和範圍以及儲存時間等規則，並徵得使用者的明示同意；其次，個人生物識別資訊要與個人身份資訊分開儲存，原則上不應儲存原始個人生物識別資訊。

新版《規範》能否為個人資訊保安栓上一道「鎖」，讓我們拭目以待。

撰文 | 凡雪

3 月 6 日，國家市場監督管理總局、國家標準化管理委員會正式釋出國家標準《資訊保安技術個人資訊保安規範》（下稱《規範》），並定於 2020 年 10 月 1 日實施。

該《規範》對個人資訊收集、儲存、使用做出了明確規定，並規定了個人資訊主體具有查詢、更正、刪除、撤回授權、登出賬戶、獲取個人資訊副本等權力。

一《資訊保安技術個人資訊保安規範》早有淵源

早在 2017 年 12 月，全國資訊保安標準化技術委員會組織制定和歸口管理的國家標準 GB/T 35273-2017《資訊保安技術個人資訊保安規範》就已正式釋出，當時《規範》規定將於 2018 年 5 月 1 日實施。

2019 年 6 月，據 App 專項治理工作組顯示，《規範》公開向社會徵求意見，截止 10 月，標準編制組共收到並處理意見約 400 條。基於各單位反饋意見以及 App 違法違規收集使用個人資訊專項治理工作實踐經驗。

此後，標準編制組對徵求意見稿版本予以補充完善、最佳化和更新，2019 年 10 月 24 日，《資訊保安技術個人資訊保安規範》最新版徵求意見稿（簡稱「新版徵求意見稿」）對外發布。相比 6 月份的徵求意見稿，新版徵求意見稿規定，App 應提供簡便易操作的登出功能，核驗身份時不得要求使用者提供超過註冊、使用時收集的個人資訊。

二「不應儲存原始個人生物識別資訊」

2020 版《規範》繼續沿用了 2017 版的七大原則，分別是：權責一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開透明原則、確保安全原則、主體參與原則。

與 2017 版《規範》相比，2020 版也有了新變化。

首先，個人資訊保安規範無外乎使用者隱私洩露問題，而從 2019 年 10 月「人臉識別第一案」到之後爆出的人臉照片黑色產業鏈，以及各類 APP「換臉大法」，都讓個人隱私成為技術發展應用後，大眾追問的話題，便利使用者、技術運用不應該成為竊取使用者隱私的「遮羞布」。

針對個人生物識別資訊方面，新版《規範》也提出具體的解決措施。

《規範》規定在收集個人生物識別資訊前，應單獨向個人資訊主體告知收集、使用個人生物識別資訊的目的、方式和範圍，以及儲存時間等規則，並徵得個人資訊主體的明示同意。

第一，個人生物識別資訊要與個人身份資訊分開儲存；

第二，原則上不應儲存原始個人生物識別資訊，可採取的措施包括但不限於：

僅儲存個人性別資訊的摘要資訊；在採集終端中直接使用個人生物識別資訊實現身份識別、認證等功能；在使用面部識別特徵、指紋、掌紋、虹膜等實現識別身份、認證等功能後刪除可提取個人生物識別資訊的原始影象。

其次，此版《規範》增加了「多項業務功能的自主選擇」「使用者畫像的使用限制」「個性化展示的使用」「基於不同業務目所收集個人資訊的匯聚融合」「第三方接入管理」「個人資訊保安工程」「個人資訊處理活動記錄」等內容。

在「多項業務功能的自主選擇」方面，根據個人資訊主體選擇、使用所提供產品或服務的根本期待和最主要的需求，劃定產品或服務的基本業務功能，產品或服務所提供的基本業務功能之外的其他功能，劃定為擴充套件業務功能。

據《規範》顯示，擴充套件的業務功能，應允許個人資訊主體逐項選擇同意。使用者不同意的，個人資訊控制者不得反覆徵求使用者同意，除非使用者主動選擇開啟擴充套件功能，且不應拒絕提供基本業務功能或降低基本業務功能的服務質量。

在選擇同意的流程中，《規範》建議，應透過如彈窗、文字說明、填寫框、提示條、提示音等形式進行提示，並且要讓使用者主動做出肯定性的動作，比如勾選、點選「同意」或「下一步」。

在「個性化展示的使用」方面，App 在提供業務功能的過程中使用個性化展示的，應顯著區分個性化展示的內容和非個性化展示的內容，比如標明「定推」字樣。同時，App 應提供不針對使用者特徵的選項。《規範》還建議，App 向用戶提供個性化展示的，宜建立使用者對個人資訊（如標籤、畫像維度）的自主控制機制，保障使用者調控個性化展示相關程度的能力。

當個人資訊主體選擇退出個性化展示模式時，應向個人資訊主體提供刪除或匿名化定向推送活動所基於的個人資訊的選項。

最後，在徵得授權同意的例外中，《規範》明確，隱私政策的主要功能為公開個人資訊控制者收集、使用個人資訊範圍和規則，不應將其視為根據個人資訊主體要求籤訂和履行的合同，並在此基礎上修改「徵得授權同意的例外」「個人資訊主體登出賬戶」「明確責任部門與人員」「實現個人資訊主體自主意願的方法」等內容。

《規範》持續強調個人資訊控制者應承擔的義務，並新增要求「不強迫接受多項業務功能，即當產品或服務提供多項需收集個人資訊的業務功能時，個人資訊控制者不應違背個人資訊主體的自主意願，強迫個人資訊主體接受產品或服務所提供的業務功能及相應的個人資訊收集請求」，但目前尚未明確定義個人資訊處理者、個人資訊聯合控制者、個人資訊外包方等角色應履行的義務。