2017年6月1日,《中华人民共和国网络安全法》(“《网安法》”)的正式实施,标志着我国对个人信息保护规则逐步走向清晰和明确化,但是《网安法》具体实际应用层面仍需出台专门的法律法规及政策。2018年1月24日,国家标准化委员会参考国内法律法规、国际规则和实践制定《信息安全技术 个人信息安全规范》(GB/T 35273-2017)(“《规范》”)正式公布,并将于2018年5月1日正式实施。该规范为从事网络信息业务相关人员,特别是互联网金融企业对于个人信息的获取及使用进行规范。
收集原则
《网安法》第四十一条中规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
对于如何获取个人的同意,《规范》中明确规定,收集个人信息遵循最小化要求,并在收集信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则,并获得个人信息主体的授权同意,另外,涉及个人敏感信息的,应取得个人信息主体的明示同意。
因此,对于收集信息的企业,应当遵循必要且最小化原则,区分敏感信息和普通信息,获得被收集主体的授权同意,如果涉及敏感信息的,应当获得明示同意。
使用规范
《网安法》中对企业使用个人信息仅规定了合法、正当、必要原则,而在《规范》中,则对个人信息的具体使用做出限制:
消除指向性,避免定位到个人;
个人信息范围界定为包括能够反映个人活动情况;
不得超出授权范围。
除遵循上述原则外,企业对于个人信息的使用,特别是带有个人标识的信息应当与个人标识采取物理、技术和管理上的隔离, 避免重新标识化。
分享、转让规范
《网安法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。而在企业收购、兼并、重组情况下,对于继受方使用信息的权限,《规范》中规定,个人信息原则上不得共享、转让,确需共享转让时,应遵循以下要求:
信息安全影响评估;
取得信息主体的授权同意;
涉及敏感信息的,应当取得明示同意;
记录个人信息共享、转让情况;
承担损害责任。
因此,企业继受方或关联方使用个人信息的,应当重新取得个人的授权同意,并且企业对转让和分享进行安全影响评估,承担因此可能产生的损害责任。
共同责任划分
对于共同控制信息的两个以上主体,如平台与商户对于注册用户的个人信息的使用和保护,《规范》中规定,各方应当通过合同等形式共同确定应满足的个人信息安全要求和责任划分,并告知个人信息主体。
除上述内容外,《规范》对持有个人信息的主体在信息保存、安全事件处理、部门职责、人员管理、安全审计等方面细化规范。尽管《规范》并非强制性规范,但对于企业制定及实施个人信息保护制度起到了指引和规范的作用,应作为“基本通用”的标准化实践指南。
作者:
陈云峰律师,中伦文德律师事务所高级合伙人,互联网金融专业委员会主任,擅长互联网金融及区块链业务。
小编:马珂
原创声明:本文为中伦文德互联网金融律师团队原创文章,如需转载请联系后台,我们保留追究法律责任的权利。
领取专属 10元无门槛券
私享最新 技术干货