2020年1月20日,全國資訊保安標準化技術委員會(以下稱"信安標委")釋出《關於國家標準<資訊保安技術 移動網際網路應用(App)收集個人資訊基本規範>徵求意見稿徵求意見的通知》,繼去年8月之後再次向社會公開徵求意見。新《資訊保安技術 移動網際網路應用(App)收集個人資訊基本規範》(徵求意見稿)(以下簡稱《收集規範》)釋出之後,應當如何正確理解與適用,本文嘗試與大家分享之。
1、 體系上是對GB/T 35273的補充和細化
GB/T 35273大家都很熟悉了,全稱是《資訊保安技術 個人資訊保安規範》,其規範了開展收集、儲存、使用、共享、轉讓、公開披露等個人資訊處理活動應遵循的原則和安全要求。GB/T 35273原則上概括約束個人資訊控制者線上(Web、App等表現形式)、線下的收集、儲存、使用等行為。
《收集規範》則是對特定網際網路形式(App)提出的規範要求,明確了移動網際網路應用程式收集個人資訊時應滿足的基本要求,用以規範移動網際網路應用程式運營者收集個人資訊的行為。
可見,當前無論從規範的業務表現形式還是規範的內容,《收集規範》都是GB/T 35273的補充和細化。
2、 內容體現了個人資訊收集中的"必要性"原則
《網路安全法》第四十一條規定"網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則",至此,收集、使用個人資訊的三原則(紅線)從法律層面予以確立。
《收集規範》主要從最小必要資訊、最小必要許可權範圍兩個方面提出了規範,兩個概念的定義朋友們可自行從《收集規範》中查詢學習。各服務型別具體的對標要求可參見《收集規範》的附錄A和附錄B。
3、 本次版本相對上次主要調整了哪些內容
(1)第4部分不再區分"管理要求"和"技術要求"
2019年8月徵求意見稿的第4部分(App收集個人資訊基本要求),把要求區分為"管理要求"和"技術要求",因這兩類要求的邊界很難清晰確定,《收集規範》中已經不再採用這樣的區分表述。
此外,《收集規範》的第4部分還較前一版進行了調整和修正,朋友們可以自行對比。
(2)附錄A和附錄B增加了9個服務型別
《收集規範》在上一版21個服務型別的基礎上,增加了旅遊服務、住宿服務、網路遊戲、線上影音、兒童教育、電子圖書、拍攝美化、應用商店、網路直播9個服務型別。《收集規範》現在共提供30個服務型別的示範與指導。
(3)細化了附錄A的必要性要求,可執行性更強
主要是對各服務型別最小必要資訊的內容、使用要求/相關法律法規依據進行調整和修正。較之上一個版本更加細緻、更加明確,與行業現狀更為貼近,落地可執行性更強。
4、 APP們應該做什麼
(1)要重視,建議內部組團應對
APP們應該清醒的認識到,個人資訊保護工作是一項嚴肅的、長期的、細緻的、體系的、逐步深入的國家層面要求。不要存在抓大放小、法不責眾、輪也輪不到等僥倖心理,一旦真的被要求APP下架,恐怕只能去看看《被工信部點名之後,APP們該怎麼辦?》了。
無論是GB/T 35273還是《收集規範》,提出的要求都是綜合性的,有法律法規層面的、網路安全層面的、技術實施層面的,這就決定了單個公司部門很難獨立完成個人資訊保護要求。建議APP們形成"高層領導牽頭協調+各部門協同"專項工作組形式的工作機制,專項工作組中除公司領導外,建議至少包括法務合規、網路安全、資料安全、產品設計、市場公關等職能部門人員。專項工作組對外溝通、領會監管要求、監管意見,對內形成整改方案、落實本部門負責的整改任務。
(2)反饋意見
APP們可以對號入座,看看自身提供的服務符合《收集規範》中30個服務型別的哪個。對《收集規範》提出的本服務型別的最小必要資訊、最小必要許可權範圍是否有不同意見(主要是9個新增的服務型別),如有意見可以直接在信安標委釋出《收集規範》的頁面上直接反饋(有互動文字框),也可以通過頁面預留的電話、郵箱向信安標委反饋意見。
(3)對標自查
2019年8月釋出的那個徵求意見稿中已經存在的21個服務型別,《收集規範》通過豐富和細化已經使之具備較為成熟的要求,建議APP們可以對照服務型別進行各自的自查工作。對標《收集規範》要求找差距、找不足、形成具備執行性的合規整改計劃。
自查的目的是對標整改,雖然《收集規範》現在處於徵求意見階段,其正式出臺之後必然會成為各監管機關檢查個人資訊保護工作的又一抓手。與其等到《收集規範》正式釋出才弄的手忙腳亂,不如未雨綢繆先自查對標,做好計劃心裡有數。
這個自查很可能是會迭代的而非一次性的,但是為了合規經營,一切都是值得的。
(4)要主動溝通,不要閉門造車
對於《收集規範》沒有提到的服務型別,建議APP們可以會同公司內外部專家,在把握最小必要資訊、最小必要許可權範圍含義的基礎上提出自己APP提供的服務型別所對應的最小資訊、最小許可權。
在此過程中如有疑義,千萬不要自行做對自身業務有利的"自嗨式"理解,並按之執行。事實證明,對自身業務有利的往往是監管規範的(原諒我的直白)。有疑義的情況下,應當找內外部專家先會商,有了合理的會商結果可以在合適的時間、場合與《收集規範》專家進行溝通,以證實公司內部會商結果的可行性,行則用,不行則改。