编者按:
随着国家标准《个人信息安全规范》(GB/T 35273-2017)的正式发布【国家标准《个人信息安全规范》全文】,社会各界对该标准的关注在逐渐升温。
本文作者是澳大利亚新南威尔士大学的Graham Greenleaf教授和Simone IP Services的资深律师Scott D. Livingston。Greenleaf教授耕耘全球范围内的个人信息保护法律发展超过20年时间。其代表作为由牛津大学出版社(OUP)2014年出版发行的《亚洲数据隐私法律:贸易和人权视角》(Asian Data Privacy Laws: Trade and Human Rights Perspectives)。感谢中国人民大学食品安全治理协同创新中心“山姆•沃尔顿”教席研究员孙娟娟博士翻译此文。
中国个人信息保护标准
迈向隐私法的漫漫征途
2017年9月5日,中国当局发送了一项名为《信息安全技术 个人信息安全规范》标准稿的最终版本,目前已经提交给国家标准化委员会予以批准。全国信息安全标准化技术委员会(简称信息安全标委会,TC260)是该标准的提议和管理者,其内容明细了中国当局在向私人和公共部门机构进行隐私法律解释和适用时应当遵循的规范。信息安全标委会由中国国家互联网信息办公室(Cyberspace Administration of China)领导。上述标准的最初出台时间预计为2018年第一个季度。
为了落实2016年出台且已于2017年6月1日起实施的《网络安全法》,2017年8月30日业已发布了其他四项技术标准草案。而《信息安全技术 个人信息安全规范》(报批稿)则是在这之后发布的。其中,前述这些征集公众意见的标准草案内容包括了数据出境安全评估,网络产品和服务安全通用要求,以及关键信息基础设施的安全性。
在先前的文章中,我们通过评估,认为中国2016年的《网络安全法》是迄今为止,中国一系列最为全面且适用最广的数据安全原则,远远超过了2011年至2014年期间制定的五部主要的有关数据隐私的法律法规。我们已经指出,《网络安全法》针对下列内容增加了一些新的抑或更为明确的要求,包括数据更正权利,删除,再次使用和披露,向用户通知泄露情况,数据出境限制和数据本地化要求。
当其他一些管辖区内的数据隐私法律中还涉及一些共性的要素时,例如明确的用户访问权利,针对敏感数据的数据质量和具体规定的要求,遗憾的是,这些内容没有体现在中国的法律中。而且,该法律也没有明确具体的数据保护机构。其中,就缺失有关用户访问权利的规定而言,这意味着中国法律并没有整合数据隐私法律中的一项最为基础的要素。
就本文写作而言,我们审视的内容是在2016年《网络安全法》的基础上,此次的《信息安全技术 个人信息安全规范》(报批稿)所带来的新要素,以及这是否推动了中国在国家数据隐私法律方面的进程。
对标准作用的评估
在分析这一新的《信息安全技术 个人信息安全规范》(报批稿)的具体要求前,有关该标准对于中国数据隐私领域的作用可做如下的背景概要。对于中国的标准领域而言,标准的定义是指“自愿性的国家标准,以GB/T为标记”。一项更早的标准,即中国工信部于2013年发布的信息安全技术公共及商用服务信息系统个人信息保护指南,也是一项自愿性的标准,但其特点是“国家指导性技术文件(GB/Z)”。然而,这与以“GB”标注的标准截然不同,因为后者是强制性标准。
上述工信部2013年指南的覆盖范围是相类似的,但仅仅限于通过公共和商业信息系统所收集的个人信息。比较而言,新标准并没有这样的限制,且覆盖了公私机构有关个人信息收集的活动。可以想象的是,鉴于新标准中更为详细的规范要求,工信部2013年的指南将做相应的修改或者予以废除。
尽管两个标准都不具有法律效力,但是,借助中国法院和规制机构的工作也可以发挥作用,即评估某一机构的数据保护实务是否符合既有国家数据隐私法律法规中业已起草的更为宽泛要求。最佳实务表明了所有在中国运行的机构都应当尽可能地遵循这些标准。
当信息安全标委会负责起草该项标准时,这一有关个人数据保护的项目领导者也针对中国网络安全法中有关数据保护政策做出了解释。其内容有助于理解这一标准,且应当视为中国政府在综合方法中所采取的“权威性且权衡后的观点”。
覆盖范围全面
《信息安全技术 个人信息安全规范》(报批稿)第一条明确了其同时适用于公私主体,即本标准适用于对个人信息处理进行标准化的各类组织。而且,其也适用于主管监管部门、第三方评估机构和其他组织对个人信息安全的监测、管理和评估。
然而,就2016年的《网络安全法》而言,尽管中国的专家们也考虑到了其适用范围可以包括公共领域内的组织,但是,关于这一点的内容,该法律的规定并不明确。
与2016年的《网络安全法》相比,《信息安全技术 个人信息安全规范》(报批稿)的总体范围也来得更为宽泛。当法律主要聚焦于“网络运营者”和“关键信息基础设施”运营者的活动时,标准明确了更具广泛性的“个人信息控制者”及其定义,其是指有权决定个人信息处理目的、方式等的组织或个人(第3.4条)。
《信息安全技术 个人信息安全规范》(报批稿)本身也没有仅仅限定于电子化数据,而是将“个人信息”定义为“以电子或者其他方式记录的信息(emphasis ours)”。因此,这些显而易见的宽泛性用语,表明了该标准的目标是力求覆盖各类活动者,包括公共和私人的领域,以及他们所涉及的所有个人信息的收集和处理活动。
“个人信息”:一项革命性的定义?
就《信息安全技术 个人信息安全规范》(报批稿)对于个人信息所作出的概念而言,我们注意到了,一些额外的术语使得这一术语在定义方面不仅有所创新,而且是潜在的具有革命效果的全新定义。
一开始,标准所采用的是国际标准 “识别能力”方法,即“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人……的各种信息(第3.1条)。这与2016年《网络安全法》第76(5)条的措辞是相类似的。
然而,标准在个人信息定义的基础上,又增加了对信息定义的额外内容,即“可以反映自然人活动情况的信息。”这表明了定义有了非常宽泛地突破,即从“识别”某一个体的信息到“反映”某一特定个体的各种信息(没有必要对他们进行识别)。
诚然,要精确地理解这一额外规定会比较困难,但其目的在于指向那些可以赋予企业以下能力的信息:即使得企业具有了可以和个体开展个性化互动的能力。例如,以行为为目标的营销可以在利用数据时,无需个人信息控制者对数据主体加以识别。如果是这样,那么,这一用语相较于1980 年世界经济合作与发展组织发布的《关于隐私保护和个人数据跨国流通指导原则》(OECD/CoE(1980/81))和许多其他地区所用的措辞,便是一个先进的跨越了。此外,其还意味着标准注释1中有关“个人信息”的广泛举例,以及附录A中所列出的更多内容(个人信息示例)(两者都比网络安全法中的多),可以在适用中不考虑他们是否有能力加以识别(标准的使用中)。
中国专家对此做出了如下的确认:他们指出使用“识别”这样的措辞,可以包含将个人的数据从一个群体或人群中“单列”出来,且无需对这一关联的个人进行特别识别。而这一方法也与许多其他地区和ISO国际标准的内容相一致。对此,他们并不认为个人信息的定义超出了欧盟数据保护指令抑或通用数据保护法令的定义。但是,其他一些人认为其适用来得更为激进。中方使用这些术语,如果不是采用了更为革命性的方法来推进数据隐私法律发展,至少也是全球范围内比较先进的举措了。
这一解读和《信息安全技术 个人信息安全规范》(报批稿)就“匿名化”数据并不是个人数据的明确声明(后续会进一步讨论)是否存在冲突?我们并不如此认为,因为标准显然对数据做出了三种截然不同的分类,包括:
-
1. 可识别的数据:让个人信息控制者可以有能力识别数据主体的个人信息,例如,个人身份数据。
-
2. 不可识别的数据:无法使拥有数据的个人信息控制者识别数据主体的个人信息,但依旧可以使其与个人保持互动,例如,行为广告或者基于所“反映”信息的其他利用方式。这一数据并没有进行匿名化处理,但个人信息控制者也无法利用它识别数据主体身份(个人身份信息可以复原,但并不是由这一个人信息控制者在当下就能处理的)。因此,这是一种既无法识别也没匿名化处理的数据。
-
3. 匿名化数据。数据通过匿名化的处理,其身份信息就无法被复原,无论其原本是上述第一类的数据还是第二类的。其不再是个人信息,既可以用于行为广告也可以用作其他,且无论隐私法律有什么样的规定。
这一对影响个人的数据所做的三分,确实反映了当下的现实,而且也因此使得标准中有关个人信息的定义可以有个合理的解读。然而,中国主管当局通过“反映”这样潜在的具有革命性的措辞,究竟意图如何,还需要进一步明晰。
“匿名化”数据与“去标识化”数据
一如上文所述,标准仔细区分了“匿名化”和“去标识化”这两类个人信息。
匿名化的定义是“通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原(其是指可再次识别)的过程(第3.13条)。”也就是说,信息进行匿名化处理的程度使得更多的数据抑或技术处理都无法逆转这个匿名化的过程,进而无法识别数据主体。《信息安全技术 个人信息安全规范》(报批稿)中的一个注释明确指出了“个人信息经匿名化处理后所得的信息不属于个人信息。”借此,也解决了《网络安全法》第42条尚未明朗的要求,即当个人的身份无法从数据中得以“复原”时,诸如安全抑或其他的义务是否依旧需要履行。
另一方面,“去标识化”的数据在技术方面的处理类似于匿名化数据的过程,但是。通过其他额外的信息,“去标识化”的数据依旧可以识别数据主体。9例如,在通过化名(不是用户的真实姓名)存储数据后,其可以在不结合抑或结合其他信息的情况下,通过具体信息的分析最终确认这一化名的真实用户。
这些规定明确了通过匿名化处理的数据可以不再受到数据隐私保护要求的约束。但是,依旧尚未清楚的是对一份正在处理中的数据进行复制,其也可以进行匿名化处理,最终,复制文档也可以不受隐私要求的限制。也因为如此,《网络安全法》和此次的标准是否允许“大数据”通过匿名化处理这些个人数据,也都没有做出明确要求,但是,权威性的评论认为这是可以的10,我们也希望这样的解读是正确的。
对于个人信息控制者而言,强烈建议其在收集个人信息后“立即进行去标识化处理”。根据标准,“收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人(第6.2条)。”这些是强而有力的安全保障措施。当处理这些信息时,其依旧是“个人信息”,因为,它们是以可以识别但不能辨认的格式予以处理的。然而,这一规定本身并没有解决如下问题,即依旧在处理中的个人信息是否可以进行匿名化。
此外,也强烈建议个人信息控制者在停止其运营后以及“个人数据主体关闭其账户后(第8(b)条)”后,“尽可能地”对个人信息进行“删除或匿名化处理”(第6.4条)。换而言之,当依据某一理由而使用信息的事宜完成后,便不应再持有这一个人信息(即便是去识别处理的个人信息)。
个人信息控制者应当每年开展个人信息评估,包括评估“匿名化或去标识化处理后的数据集重新识别出个人信息主体的风险”(第10.2(b)(4)条)。
业已受到保护的“敏感”信息
《网络安全法》并没有针对“敏感”类信息规定特别的保护要求,而之前的中国法律也没有如此规定的。然而,唯一的例外是2013年中国工信部的指南采取了和此次新标准类似的方法,即“潜在不利影响”的方法。
标准将“个人敏感信息”定义为“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息(第3.2条)。”而且,一是注释1增加了一个举例清单,二是附录B也针对泄露、非法提供和滥用所带来的风险及其导致的评估给出了更为具体的规定和举例。此外,该分类也指出了14岁以下儿童的个人信息和自然人的隐私信息都是个人敏感信息。表B.1关于个人敏感信息的举例也列出了很多这一类的信息,并将它们分类为“个人财产信息”、“个人健康生理信息”、“个人生物识别信息”、“个人身份信息”、“网络身份标识信息”以包括法归入为“敏感”信息的“其他信息”。
将信息列为“个人敏感信息”的作用在于:
-
1. 明示同意,其是指在收集之前,应当获得用户书面做出的同意或者“预先确认”(第5.5条)。而且,基于收集所应当做出的告知,也已经由附录C加以明确了。
-
2. 收集年满14周岁的个人信息,应当征得其监护人的同意(第5.5(c))。
-
3. 其存储应当采用加密以及其他安全措施,而且,仅能存储个人生物识别信息的摘要(第6.3条)。
-
4. 应当落实特别的访问控制措施(第7.1(e)条)。
-
5. 当对这一类的信息进行共享或者转让时,应当告知数据主体(第8.2(c))条。
-
6. 当这一类信息被公开披露时,应当告知数据主体(第8.4(c)条),且个人生物识别信息不得公开披露(第8.4(f)条)。
-
7. 对大量接触这一类信息的雇员进行背景审查(第10.4(a)条)。
这些要求很好地说明了《信息安全技术 个人信息安全规范》(报批稿)在针对个人数据处理的许多其他方面所规定的详尽程度。不是所有的数据隐私法律或者法规都可以如此详实,然而,仍需进一步观察的是,中国主管当局将如何在实践中适用这些有关敏感信息的规定。
数据主体访问
无论是《网络安全法》还是其他的法律法规,都没有作出如下规定,即数据主体在访问被某一组织所掌握的个人信息文档时所具有的明确权利。14诚然,一些法律也规定了可以针对这些文档的错误进行更正的权利。相反,《信息安全技术 个人信息安全规范》(报批稿)明确了数据主体在三个地方所应当具有的访问权利,以及如何访问的要求。
根据第7.4条,数据主体享有非常广泛的访问权利:个人信息控制者应向个人信息主体提供访问下列信息的方法:(a)其所持有的关于该主体的个人信息或类型;(b)上述个人信息的来源、所用于的目的;(c)已经获得上述个人信息的第三方身份或类型。这在有关“主体参与原则”的文件中做了阐述,其要求个人信息控制者“向个人信息主体提供能够访问、更正、删除其个人信息(第4(g)条)。”此外,标准还要求个人信息控制者所制定的强制性隐私政策中必须作出如下规定:“个人信息主体的权利和实现机制,如访问方法、更正方法、删除方法、注销账户的方法、撤回同意的方法、获取个人信息副本的方法、约束信息系统自动决策的方法等(第5.6条)。”且附录C给出了如何落实上述内容的举例。
最后,这一标准针对响应这些数据主体要求给出了时限,即在三十天内加以答复,而对“合理的请求”不得收费。此外,就个人信息控制者拒绝响应数据主体的请求,标准也做出情形举例(第7.11条)。
在中国最新的电子商务法中,也针对“访问权利”作出了类似的规定,建议后续的法律和法规可以尽快正式地采用这些要求。
收集的“最小化”
《网络安全法》规定了个人信息控制者应当“遵循合法、正当、必要的原则”,并禁止收集“与其提供的服务无关的个人信息”(第41条)。《信息安全技术 个人信息安全规范》(报批稿)以更为严厉的方法15对其进行了修改,规定“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联”,而如果没有这些收集的个人信息,“产品或服务的功能无法实现”(第5.2(a)条)。这可以被视为是测试最小化收集的“必要性”,或者第5条标题所指的“最小化”要求。
此外,“最小化”要求自动采集的个人信息的最小化频率必须是所必需的最低频率,而间接获取的信息数量应当是所必需的最少数量(第5.2(b)和(c))。
自动化处理的限制
标准中的另一个新要求是当个人信息控制者“依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时(例如基于用户画像决定个人信用及贷款额度,或将用户画像用于面试筛选”时,数据主体应当享有申诉的权利(第7.10条)。欧盟的数据保护指令也作出了类似的限制,但中国的《网络安全法》和其他法律中并没有这样的要求。
结语
对于中国数据隐私保护的发展而言,《信息安全技术 个人信息安全规范》(报批稿)是非常重要的一步,因为其具有以下优点,包括范围非常全面,“个人信息”定义具有潜在的广泛宽度,第一次包括针对“个人敏感信息”的额外保护,明确包括了访问的权利、收集最小化的要求以及针对自动处理的申诉要求。需要重点重申的是,本文所论述的是该标准的草案,可能的一点是,最终通过的标准会有所差异,这点是需要后期再次审视的。
对于中国的企业从业者而言,这一标准的最为重要的意义在于以下几个方面:
-
1. 其适用于私人领域内的所有涉及“个人信息处理”的机构,无论是客户的、员工的还是其他。
-
2. 与欧洲或者类似的法律相比,其“个人信息”的定义可以潜在地解读为更为宽泛,尽管其初衷并不是为了比欧盟定义的全面性来得更为广。因此,在使用关联个人的数据时,至少在中国主管机构明确相关方式前,都必须非常仔细。
-
3. “个人敏感信息”的定义也是开放的,但其所列出的分类也比许多其他的法律来得宽泛,对此,也需要谨慎应对。
-
4. 针对主体访问、数据收集最小化以及自动处理的限制,标准作出了义务要求,这是其他法律中所没有的。
本文的分析主要集中在标准的上述内容中,而它们是对《网络安全法》以及早期法律的重要补充。比较而言,此次的标准也在很多其他方面作出了比以往更为详细的要求,尽管它们并不是重大法问题上的重大分歧。但也需要仔细应对它们。
就任何一个国家的数据隐私保护而言,都应当根据该国家内的私人和公共机构所开展的数据监测实务(这是数据监测法律所允许的)的程度予以评估。在中国,这一平衡性的评估是很关键的,因为监测的程度是其权威性的政府和党所固有的,且市场经济中许多主要参与者也牵涉其中。至于这一日益强化的数据隐私保护力度将如何在实践中约束这些监测行为,则不是本文所要探讨的。我们的目的在于就数据隐私保护所取得的进展及其精确理解加以分析。
Greenleaf,Livingston
作者简介:
Graham Greenleaf是澳大利亚新南威尔士大学的教授,Greenleaf教授耕耘全球范围内的个人信息保护法律发展超过20年时间。其代表作为由牛津大学出版社(OUP)2014年出版发行的《亚洲数据隐私法律:贸易和人权视角》(Asian Data Privacy Laws: Trade and Human Rights Perspectives)。
Scott D. Livingston是Simone IP Services的资深律师。
Graham Greenleaf是澳大利亚新南威尔士大学的教授,Greenleaf教授耕耘全球范围内的个人信息保护法律发展超过20年时间。其代表作为由牛津大学出版社(OUP)2014年出版发行的《亚洲数据隐私法律:贸易和人权视角》(Asian Data Privacy Laws: Trade and Human Rights Perspectives)。
Scott D. Livingston是Simone IP Services的资深律师。