2017.12.29
溫堅堅律師
按照國家標準化管理委員會2017年第32號中國國家標準公告,全國資訊安全標準化技術委員會組織制定和歸口管理的國家標準GB/T 35273-2017 《資訊安全技術 個人資訊安全規範》(以下簡稱“標準”)於2017年12月29日正式發佈,標準將於2018年5月1日實施。標準為推薦性國家標準,主要規範了開展收集、保存、使用、共用、轉讓、公開披露等個人資訊處理活動應遵循的原則和安全要求,適用於規範各類組織個人資訊處理活動,也適用于主管監管部門、協力廠商評估機構等組織對個人資訊處理活動進行監督、管理和評估,具體見下文:
一、標準的主要內容
此次發佈的標準主要包括個人資訊的收集、保存、使用、委託處理、共用、轉讓、公開披露、安全事件處置、組織管理要求等幾部分內容。
具體來說,標準首先明確了什麼是個人資訊以及個人敏感資訊,給出了具體的示例,並且提出了個人資訊安全的基本原則。
在此基礎之上,就收集來說,標準提出了“收集資訊最小化”要求,對於個人敏感資訊要取得明示同意;就保存來說,標準提出了“個人資訊保存時間最小化”要求;就使用來說,標準提出了個人資訊存取控制、個人資訊展示限制、使用限制等要求;就委託處理來說,標準要求作出委託行為不得超出已征得個人資訊主體授權同意的範圍;在共用、轉讓等方面,標準則提出“原則上不得共用轉讓資訊”,如發生轉讓、共用的情形,應當向個人資訊主體告知共用、轉讓個人資訊的目的、資料接收方的類型,並事先征得個人資訊主體的授權同意,除非資料經過處理後無法識別特定個人。另外在個人資訊公開披露問題上,標準也指出個人資訊原則上不得公開披露,確需披露的情形下要事先獲得授權同意,但標準同時也指出了公開披露的例外情形,即涉及到國家安全、公共衛生、公共安全等公共利益的情形下以及犯罪處理、自我公開、媒體已經公開等情況,公開披露可無需獲得事前同意。另外,對於個人資訊跨境傳輸,也要求資訊控制者在傳輸前進行安全評估。再者,標準還要求資訊控制者制定安全應急預案,發生安全事件及時進行告知。
值得注意的是,此次標準在附件中用示例的形式明確了如何取得同意,並提供了隱私政策的範本,便於實踐者的執行實施。
二、標準的對企業的合規影響
雖然此次發佈的標準僅為推薦性國家標準,不具有強制執行的效力,但是根據《國務院辦公廳關於印發國家標準化體系建設發展規劃(2016-2020年)的通知》,國家標準體系建設一貫遵循“強制性標準守底線、推薦性標準保基本、企業標準強品質”的原則,因此作為推薦性標準的《個人資訊安全規範》應該被視為企業“基本通用”的實踐指南,具有普遍適用性。再者,該標準也很可能被執法機構作出執法的參考標準,如企業確實低於該標準,有可能需要承擔較高的合規風險,因此該標準值得作為企業合規管理的基準線。