查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨
【作者】 宁宣凤;吴涵【合作机构】 北京市金杜律师事务所
【主题分类】 政府规章条例【发布时间】 2018.02.11
【全文】法宝引证码CLI.A.225492    
  回首2017年,全球个人信息保护立法快速发展。比如在亚太地区,《中华人民共和国网络安全法》(以下简称“《网安法》”)于2017年6月1日实施,2017年2月澳大利亚通过强制性数据泄露通知法案。此外日本的《个人信息保护法》(Personal Information Protection Act)修订版也于2017年5月30日起全面生效。
  展望2018年,个人信息保护的发展更值得大家期待。欧盟委员会颁布的《一般数据保护条例》(General Data Protection Rules,下称“GDPR”)将在2018年5月25日正式生效实施,其管辖范围的规定不论是否在欧盟成员国有无实体,有无在成员国内处理个人信息,使得任何向欧盟境内提供商品或者服务,或者监控在欧盟内欧盟居民的行为的组织,都受GDPR的管辖。考虑到全球经济一体化趋势,GDPR管辖范围的扩大很大程度上将影响全球个人信息保护的实践。随着该立法趋势,各国个人信息保护立法将不可避免的冲击本土及跨国企业的实践,各企业需要在各国个人信息保护规则中寻求共性、建立普遍适用的合规体系。
  在这个大背景下,国家标准化委员会参考国内法律法规、国际规则和实践制定的《信息安全技术 个人信息安全规范》(GB/T 35273-2017)(以下简称“《个人信息安全规范》”)在2018年1月24日正式公布,并将于2018年5月1日正式实施。
  本文将结合其他国家的立法实践,讨论《个人信息安全规范》适用中的实务问题。
  《个人信息安全规范》的基本框架
  全国人大常委会2012年12月审议通过《全国人民代表大会常务委员会关于加强网络信息保护的决定》,2016年11月审议通过《网安法》(以下简称“一法一决定”)。“一法一决定”的颁布和实施,对企业处理个人信息提出了基本法律要求,比如、《网安法》就在第四章“网络信息安全”中对个人信息保护的基本原则、网络运营者的行为义务等进行了总括性规定。在现有原则性、概括性的法律条文下,企业有关个人信息保护的具体合规工作仍旧缺乏具体指引。《个人信息安全规范》的颁布,从国家标准层面对企业收集、保存、使用、共享、转让、公开披露信息等信息处理环节的各项行为提供了具体的合规指引。
  
  《个人信息安全规范》的效力
  根据2017年11月4日修订通过,2018年1月1日施行的《中华人民共和国标准化法》,“标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准分为强制性标准、推荐性标准,行业标准、地方标准是推荐性标准”[1]。《个人信息安全规范》是一项推荐性国家标准,并不要求企业强制执行。 换句话说,企业个人信息安全保护工作一旦与《个人信息安全规范》中的要求不一致,并不一定意味着企业必然违反相关的法律法规。
  但根据《国务院办公厅关于印发国家标准化体系建设发展规划(2016-2020年)的通知》,国家标准体系建设一贯遵循“强制性标准守底线、推荐性标准保基本、企业标准强质量”的原则。作为推荐性标准,一般需满足“基本通用”的要求,《个人信息安全规范》应该被视为企业“基本通用”的实践指南,具有普遍适用性。
  此外,值得企业注意的是,推荐性国家标准尽管没有强制力,但除了为各类组织提供实践指引以外,其作用还包括为监管机构执法提供参考。《个人信息安全规范》中就明确指出,其“适用于规范各类组织个人信息处理活动”,也适用于“主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估”。
  考虑到“一法一决定”的配套措施体系仍处于基础建设阶段,尽管我们理解《个人信息安全规范》是一项不具有强制力的国家标准,但由于其普遍适用性,以及可能作为监管部门执法的参考材料,一旦企业的实践背离《个人信息安全规范》中的要求,实践中企业可能需要承担更大的证明成本以说明企业行为的合规性,因此我们仍然建议在实践中,企业应把《个人信息安全规范》的要求落实到位,以求在个人信息安全保护体系建设中,做到合规、安全和高效。
  国内企业适用《个人信息安全规范》的注意要点
  随着《网安法》的颁布和实施,大多数国内企业都根据《网安法》的基本原则以及行业惯例形成了基本的个人信息安全保护制度。但《个人信息安全规范》以《网安法》为基础,结合其他司法辖区的立法和实践,为企业提出了更为具体,更为细致的要求。企业需要根据《个人信息安全规范》的要求,打破与之冲突的行业惯例,重新审视内部个人信息安全保护制度。
  1. 怎么同意才作数?
  实践中,企业收集信息征得个人信息主体同意的方式往往比较简单,通常采用的是不拒绝视为同意的原则,个人信息主体的知情同意往往流于形式。《个人信息安全规范》中不仅明确定义了 “明示同意”的概念,直接提出了“个人敏感信息的收集和使用需获得用户明示同意”的新要求,还以实践模板的方式演示了“明示同意”的方式。为了适应《个人信息安全规范》的要求,企业需要结合具体的数据类型、收集和使用场景,制定最合适的获取个人信息主体授权同意的方式,做到用户体感和个人信息保护的平衡。
  2. 用户同意万事大吉?
  目前行业实践中,大部分企业都将用户的知情同意作为个人信息收集的充分合规条件,忽略了必要性原则的门槛。对于《网全法》第四十一条规定的收集、使用个人信息的必要性原则,《个人信息安全规范》第5.2条进一步给出了三

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】 [1]见《中华人民共和国标准化法》,第二条。 [2] 《网安法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.225492      关注法宝动态: