2017.12.29
温坚坚律师
按照国家标准化管理委员会2017年第32号中国国家标准公告,全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术 个人信息安全规范》(以下简称“标准”)于2017年12月29日正式发布,标准将于2018年5月1日实施。标准为推荐性国家标准,主要规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求,适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估,具体见下文:
一、标准的主要内容
此次发布的标准主要包括个人信息的收集、保存、使用、委托处理、共享、转让、公开披露、安全事件处置、组织管理要求等几部分内容。
具体来说,标准首先明确了什么是个人信息以及个人敏感信息,给出了具体的示例,并且提出了个人信息安全的基本原则。
在此基础之上,就收集来说,标准提出了“收集信息最小化”要求,对于个人敏感信息要取得明示同意;就保存来说,标准提出了“个人信息保存时间最小化”要求;就使用来说,标准提出了个人信息访问控制、个人信息展示限制、使用限制等要求;就委托处理来说,标准要求作出委托行为不得超出已征得个人信息主体授权同意的范围;在共享、转让等方面,标准则提出“原则上不得共享转让信息”,如发生转让、共享的情形,应当向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意,除非数据经过处理后无法识别特定个人。另外在个人信息公开披露问题上,标准也指出个人信息原则上不得公开披露,确需披露的情形下要事先获得授权同意,但标准同时也指出了公开披露的例外情形,即涉及到国家安全、公共卫生、公共安全等公共利益的情形下以及犯罪处理、自我公开、媒体已经公开等情况,公开披露可无需获得事前同意。另外,对于个人信息跨境传输,也要求信息控制者在传输前进行安全评估。再者,标准还要求信息控制者制定安全应急预案,发生安全事件及时进行告知。
值得注意的是,此次标准在附件中用示例的形式明确了如何取得同意,并提供了隐私政策的范本,便于实践者的执行实施。
二、标准的对企业的合规影响
虽然此次发布的标准仅为推荐性国家标准,不具有强制执行的效力,但是根据《国务院办公厅关于印发国家标准化体系建设发展规划(2016-2020年)的通知》,国家标准体系建设一贯遵循“强制性标准守底线、推荐性标准保基本、企业标准强质量”的原则,因此作为推荐性标准的《个人信息安全规范》应该被视为企业“基本通用”的实践指南,具有普遍适用性。再者,该标准也很可能被执法机构作出执法的参考标准,如企业确实低于该标准,有可能需要承担较高的合规风险,因此该标准值得作为企业合规管理的基线。