干货分享 | 个人信息安全规范2020版 落地解读系列(一)
星期一, 三月 16, 2020
近期信安标委发布的8项网络安全国家标准中,《GB/T 35273 -2020信息安全技术 个人信息安全规范》标准是引起了广泛讨论的一个修订标准。作为一个从2018年开始实施的标准,在实施不到两年的时间内就进行了修订,这种情况在国家标准的修订中是比较少见的,也从侧面反映出国家对于个人信息安全的重视程度。
由于该标准发布时间较短,目前公开解读多从文本前后变化角度出发,梆梆安全希望透过系列文章跟大家分享该规范新旧版本的实质性变化对落地实践的影响。
从标准的变化来看,本次正式发布版本与2017年发布的版本相比,主要发生了以下变化:
- 新增了3 “多项业务功能的自主选择”章节内容;
- 新增了7.4“用户画像的使用限制”章节内容;
- 新增了7.5“个性化展示的使用”章节内容;
- 新增了7.6“基于不同业务目的所收集个人信息的汇聚融合”章节内容;
- 修改了8.5“个人信息主体注销账户”章节(见8.5,2017年版的7.8);
- 新增了9.7“第三方接入管理”章节内容;
- 修改了11.1“明确责任部门与人员”章节内容;
- 新增了11.2“个人信息安全工程”章节内容;
- 新增了11.3“个人信息处理活动记录”;
- 修改了附录C“实现个人信息主体自主意愿的方法”内容。
结合梆梆安全在个人信息保护方面的研究以及参与的众多项目经验,本次个人信息安全规范标准的更新内容中,以下部分是我们认为企业需要重点关注的。
2.1新版本标准中5.3章节“多项业务功能的自主选择”
在2017版本中,只是要求信息系统若提供了多项业务功能,需要将每项业务功能所收集的个人信息类型逐一列出,同时在附录C的隐私政策模板中提出了基本业务功能和附加业务功能的概念,并未针对提供多项业务功能的信息系统提出要求。
但是在新版本的隐私政策中,将“多项业务功能的自主选择”形成了单独章节,并且在附录C中对基本业务功能也做出了“个人信息主体之所以识别或挑选某项产品或服务……因此,个人信息控制者应根据一般个人信息主体对上述因素的最可能的认识和理解,而非自身想法来确定个人信息主体的主要需求和期待来划定基本业务功能。一般来说,如果产品或服务不提供基本业务功能,个人信息主体将不会选择使用该产品或服务。”的解释。再结合5.3章节中a项“不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求”的要求,建议企业进行如下工作:
- 对当前面向公众提供的信息系统的各项业务功能进行梳理,并明确哪些业务功能属于该系统的基本业务功能,哪些属于附加业务功能(对于业务功能类型的划分,可以参考信安标委《移动互联网应用(App)收集个人信息基本规范(征求意见稿)》中对App类型的定义)。对于基本功能的确定需要根据企业当前系统的实际情况来确定,例如若主要向用户提供的业务功能是地图导航以及网络约车,同时新开拓了金融借贷业务,在这种场景中地图导航和网络约车属于基本业务功能,金融借贷则属于附加业务功能;
- 在确定了基本业务功能和附加业务功能后,需要对各个业务功能收集和使用个人信息的业务流程、UI界面展现等内容进行调整。例如在App中,需要确认哪些权限是基本业务功能所使用的权限,哪些是附加业务功能所使用的权限,对于附加业务功能的权限不能强制用户同意;或在用户初次使用信息系统时,在隐私政策说明界面中将基本业务功能和附加业务功能列出,并使用如复选框勾选形式让用户能够自主选择使用哪些功能;或在用户拒绝附加业务功能的前提下,附加业务功能所对应的系统不主动读取基本业务功能中存储的个人信息,或以附加业务功能的名义向用户发送广告通知等信息;
- 向用户提供关闭或撤回同意的功能,如在信息系统中增加“隐私管理”功能,在该功能中将当前系统所提供的各项业务功能逐一列出,用户可以自主选择开启或关闭附加业务功能。当用户关闭附加业务功能时,附加业务功能所对应的系统不应再处理该用户的个人信信息。
2.2新版本标准中对用户画像、个性化展示、个人信息汇聚融合的要求
在2017版本中只是在7.3“个人信息的使用限制”和7.10“约束信息系统自动决策”中简单提及了对于用户画像、个性化推送等内容的要求。但是随着各个公司累积的个人信息数量、类型不断增加,以及大数据分析技术被应用在各个场景、各个行业之中,用户在这些数据寡头的公司面前好似裸奔一般,甚至已经出现了基于大数据分析技术来影响用户世界观和价值观的事情,对于该技术的限制已经到了不得不做的阶段。
在新版本的标准中,用了四个章节的内容来对大数据分析、用户画像、个性化推送等技术的使用提出了相关限制。对于企业来说,建议开展以下工作:
- 进行业务梳理,明确当前的各项业务功能中是否使用了大数据分析技术来对用户的个人信息进行分析,形成用户的特征标签、用户画像。
- 对于使用了大数据分析、用户画像来向用户进行个性化推送的业务功能,建议在用户进入具体的个性化推送的功能界面中时,通过文字、弹窗等方式向用户显著提示该功能中的信息或产品是基于用户特征进行展示和推荐的;或在基于用户特征推送的新闻、产品等条目后以“定推”、“猜你喜欢”等文字进行显著标识;
- 向用户提供关闭定向推送的功能,如在系统设置中增加“隐私设置”功能,在该功能中向用户展示当前使用了个性化推送的功能,并向用户提供关闭个性化推送的功能(或关闭某个时长,如关闭2个月);
- 对于新闻资讯类的业务功能或信息系统,当用户提出需要关闭个性化推送时,应向用户提供删除大数据分析系统中其个人信息的功能;
- 在当前新冠肺炎疫情爆发期间,若企业收集了用户的健康数据、医疗数据,不建议对这些数据进行分析,或对该用户增加诸如“新冠肺炎疫情患者”、“体温异常人员”等可能带来歧视性后果的标签。
新版标准的修订内容较多,后继我们还将会在更多系列文章中持续与读者进行分享。
梆梆安全正在以当今网络重心移动互联网为源点,逐渐将安全防护能力向传统互联网以及未来物联网延伸,并参考共享经济模式创新性提出“共享安全”理念,围绕业务安全、数据安全帮助用户制定网络安全建设规划,构筑覆盖全网络环境的新型信息安全整体纵深防御系统。