新规范下个人信息处理的合规要点 .pdfVIP

新规范下个人信息处理的合规要点

前言

２０２０年３月６日，国家市场监督管理总局、国家标准化管理委员会正式发布国家标

准ＧＢ／Ｔ３５２７３－２０２０《信息安全技术个人信息安全规范》（以下简称“２０

２０年《规范》”或“《个人信息安全规范》”），替代现行的ＧＢ／Ｔ３５２７３－２

０１７《信息安全技术个人信息安全规范》（以下简称“２０１７年《规范》”），并将

于２０２０年１０月１日正式实施。

随着信息技术的高速发展与互联网应用的普及，作为个人信息安全领域影响最为广泛的

国家标准，２０２０年《规范》以２０１７年《规范》为基础，沿袭《民法典（草案）》人

格权编的立法思路，结合《网络安全法》、《电子商务法》、《Ａｐｐ违法违规收集使用个

人信息行为认定方法》、《互联网个人信息安全保护指南》、《生物特征识别信息的保护要

求（征求意见稿）》等文件中的具体规定，历经２０１９年６月、１０月两次公开向社会征

求意见而成，较为系统地回应了我国个人信息应用实践中的热点问题与监管要求。

一、《个人信息安全规范》的法律效力

值得注意的是，尽管《个人信息安全规范》的法律性质系推荐性国家标准（相对于“强

制性标准”），不属于我国《立法法》所规定的正式法律渊源，但依然很可能对企业产生事

实上的拘束力。

首先，监管部门可依自由裁量权参照《个人信息安全规范》处理个人信息安全事务。鉴

于《民法总则》和《网络安全法》的原则性规定为监管部门提供了较大自由裁量权，监管部

门在开展网络安全包括个人信息安全的管理活动和执法活动时，如果法律法规针对具体问题

的规定存在缺位，监管部门有权在不违反法律法规的前提下，依其自由裁量权参照《个人信

息安全规范》进行处理，例如２０１７年《规范》曾被作为重要依据用于２０１９年市场监

管总局、中央网信办开展的Ａｐｐ安全认证工作。

其次，在政府开展个人信息保护相关立法时，以及制定其它标准、指南时，《个人信息

安全规范》文件也是重要参考依据。在２０１７年《规范》颁布实施后相继出台的网信办《儿

童个人信息网络保护规定》、公安部《互联网个人信息安全保护指南》、工信部《Ａｐｐ违

法违规收集使用个人信息自评估指南》、《Ａｐｐ违法违规收集使用个人信息行为认定方法》

等，均在相关概念界定和立法执法思路上借鉴了２０１７年《规范》有关内容。

再次，历年来在司法实践中，引用推荐性国家标准的案件也屡见不鲜。尽管法院不得直

接依据《个人信息安全规范》作出判决，但根据《最高人民法院关于裁判文书引用法律、法

规等规范性法律文件的规定》第六条［１］，法院可以援引《个人信息安全规范》作为裁判

说理依据。

有鉴于此，本文对２０２０年《规范》修订的重点内容进行整合与分析，以期为企业实

施个人信息处理行为提供概括性合规指引。

二、２０２０年《规范》的主要修订

与２０１７年《规范》相比，２０２０年《规范》在内容上有较大变化：一是新增“多

项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同

业务目所收集个人信息的汇聚融合”、“第三方接入管理”、“个人信息安全工程”、“个

人信息处理活动记录”等内容；二是修改“征得授权同意的例外”、“个人信息主体注销账

户”、“明确责任部门与人员”、“实现个人信息主体自主意愿的方法”部分内容；三是细

化针对个人生物识别信息处理的要求。结合国内外执法监管实践，２０２０年《规范》为个

人信息主体的权利保障与企业个人信息保护的合规实践提供了更具操作性的参考。

（一）个人信息定义：区分隐私与个人信息，增强个人敏感信息保护要求

２０２０年《规范》将２０１７年《规范》中的“隐私保护政策”调整为“个人信息保

护政策”，与《民法典（草案）》界分隐私与个人信息的立法思路保持一致。隐私是自然人

的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息［２］，个人信息是以

电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。［３］

二者的客体具有交错性，但就整体而言，个人信息远超出隐私的范畴。实践中，无论我国还

是世界范围内各大网站、Ａｐｐ等制定的“隐私保护政策”，从实体内容角度均系针对个人

信息的保护政策。

２０２０年《规范》在明确界定个人信息［４］的基础上，一是明确新增“通过个人信

息或其他信息加工处理后形成的信息”也属于个人信息，同样纳入２０２０年《规范》保护

的范围；二是在２０１７年《规范》界定个人敏感信息［