【全文】
2018年5月1日�,《信息安全技術(shù) 個(gè)人信息安全規(guī)范》GB\T35273--2017國(guó)家標(biāo)準(zhǔn)正式實(shí)施。因?yàn)槭莻€(gè)技術(shù)標(biāo)準(zhǔn)�,業(yè)內(nèi)關(guān)注不足,其實(shí)這個(gè)標(biāo)準(zhǔn)的重要性可能會(huì)影響大數(shù)據(jù)行業(yè)的發(fā)展��,并影響整個(gè)互聯(lián)網(wǎng)金融行業(yè)的持續(xù)經(jīng)營(yíng)���。建議業(yè)內(nèi)朋友們�����,能夠認(rèn)真對(duì)待��,切莫疏漏�����。 一���、雖不是強(qiáng)制標(biāo)準(zhǔn)���,但必須嚴(yán)格對(duì)待 也許,您的朋友會(huì)說�,這次“個(gè)人信息安全規(guī)范”只是建議標(biāo)準(zhǔn),不是強(qiáng)制標(biāo)準(zhǔn)���,不用掛懷�。我們的觀點(diǎn)不同�,因?yàn)槟承┛陀^原因這次的標(biāo)準(zhǔn)并未采取強(qiáng)制標(biāo)準(zhǔn)的方式,但據(jù)我們所知����,各地在執(zhí)行時(shí)會(huì)參照本安全規(guī)范予以執(zhí)行。 在判定一種數(shù)據(jù)獲取行為是否合規(guī)時(shí)�,這次的“個(gè)人信息安全規(guī)范”是重要參考標(biāo)準(zhǔn),甚至毫不夸張地講��,在法院處理相關(guān)民事訴訟和刑事訴訟時(shí),遇到技術(shù)難題�,他們首先找到的就是這個(gè)國(guó)家標(biāo)準(zhǔn),也會(huì)按照國(guó)家標(biāo)準(zhǔn)的理解去理解什么是個(gè)人信息���;什么是個(gè)人敏感信息��;什么是明示同意的標(biāo)準(zhǔn)�;什么是官方眼里的“用戶畫像”��;什么是個(gè)人信息安全基本原則��。 因此����,作為大數(shù)據(jù)從業(yè)人員和互金機(jī)構(gòu)從業(yè)人員����,必須了解相關(guān)知識(shí),在實(shí)際工作中才能把握“實(shí)質(zhì)紅線”�,合法合規(guī)經(jīng)營(yíng),預(yù)防重大法律風(fēng)險(xiǎn)�。 二、厘清幾個(gè)重要概念 ?��。ㄒ唬﹤€(gè)人信息 以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反應(yīng)特定自然人活動(dòng)的各種信息����。列舉:姓名、出生日期�����、身份證號(hào)碼�、生物識(shí)別信息、住址���、通信通訊聯(lián)系方式�、通信記錄和內(nèi)容����、賬號(hào)密碼、財(cái)產(chǎn)信息����、征信信息、行蹤軌跡�����、住宿信息、健康生理信息����、交易信息等。 請(qǐng)注意�����,這里的“等”是“等外等”也就是說如果未來出現(xiàn)其他與前面列舉的這些個(gè)人信息對(duì)自然人的影響力相等的情況下���,也可以認(rèn)定為個(gè)人信息�����,受到標(biāo)準(zhǔn)的保護(hù)和規(guī)制����。 ?���。ǘ﹤€(gè)人敏感信息 個(gè)人敏感信息是個(gè)人信息的“子概念”或“子集”����,具體是指:一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全,極易導(dǎo)致個(gè)人名譽(yù)��、身心健康受到損害或歧視性待遇等的個(gè)人信息����。列舉:身份證號(hào)、個(gè)人生物識(shí)別信息�����、銀行賬號(hào)�����、通信記錄和內(nèi)容��、財(cái)產(chǎn)信息�����、征信信息����、行蹤軌跡、住宿信息���、健康生理信息��、交易信息�����、14歲以下(含)兒童的個(gè)人信息�。 請(qǐng)注意,在催收活動(dòng)中����,如果掌握他人通信記錄和征信信息等,且不合理使用�����,極容易導(dǎo)致風(fēng)險(xiǎn)事件��,甚至?xí)唤杩钊伺e報(bào)涉嫌盜搶���,在掃黑除惡大背景下��,法律風(fēng)險(xiǎn)很高���。 (三)明示同意 我們?cè)趶氖陆鹑跈C(jī)構(gòu)互聯(lián)網(wǎng)化項(xiàng)目時(shí)�����,經(jīng)常被業(yè)務(wù)人員和項(xiàng)目經(jīng)理詢問:肖律師�,到底什么情況下法律才能認(rèn)可客戶“明示同意”了?嚴(yán)格不����?那時(shí)候,我們都是根據(jù)2017年的法律法規(guī)進(jìn)行解釋�,如今有了更為明確的細(xì)節(jié)標(biāo)準(zhǔn)。 所謂“明示同意”就是指:個(gè)人信息主體通過書面聲明或主動(dòng)做出肯定性動(dòng)作�,對(duì)其個(gè)人信息進(jìn)行特定處理做出明確授權(quán)的行為。其中���,肯定性動(dòng)作列舉為:個(gè)人信息主體主動(dòng)作出聲明(電子�、紙質(zhì)均可)����、主動(dòng)勾選、主動(dòng)點(diǎn)擊“同意”�����、“注冊(cè)”、“發(fā)送”��、“撥打”等�����。 讀者可能會(huì)問���,同意����、注冊(cè)�����、發(fā)送是“or”還是“and”的關(guān)系�����,我們認(rèn)為應(yīng)當(dāng)是擇一即可�����,但為了防止有關(guān)部門任意擴(kuò)大解釋��,不當(dāng)理解穿透式監(jiān)管,建議企業(yè)還是選擇個(gè)人信息主體主動(dòng)做出聲明的方式更為穩(wěn)妥����。 三��、個(gè)人信息安全7個(gè)基本原則 個(gè)人信息安全有如下7個(gè)基本原則�����,個(gè)人信息控制者應(yīng)當(dāng)遵守: 1.權(quán)責(zé)一致����。個(gè)人信息控制者對(duì)其個(gè)人信息處理活動(dòng)對(duì)個(gè)人信息主體合法權(quán)益造成損害承擔(dān)責(zé)任。翻譯一下就是�����,掌握個(gè)人信息的企業(yè)���,如果侵犯老百姓個(gè)人信息造成損失�����,要賠償��。 2.目的明確�����。具有合法����、正當(dāng)、必要�����、明確的個(gè)人信息處理目的��。其中�����,我們認(rèn)為第三項(xiàng)“必要”市場(chǎng)主體做的很不到位��,很不多多從個(gè)人身上撬動(dòng)信息�,全然不顧“最少夠用”的初衷,著實(shí)可憎�����。 3.選擇同意。向個(gè)人信息主體明示個(gè)人信息處理目的�����、方式����、范圍�、規(guī)制等,征求其授權(quán)�����。簡(jiǎn)言之�,無授權(quán),無動(dòng)用他人信息的權(quán)利��。 4.最少夠用�����。除與個(gè)人信息主體另有約定外��,只處理滿足個(gè)人信息主體授權(quán)同意的目的所需的最少個(gè)人信息類型和數(shù)量。目的達(dá)成后�,及時(shí)刪除。這里的約定�,有點(diǎn)放水的意味,我們預(yù)計(jì)未來一定會(huì)有類似訴訟出現(xiàn)�����,屆時(shí)�,公司、企業(yè)將用這一條來抗辯自己沒有多采集信息�����。 5.公開透明�����。以明確��、易懂�����、合理方式公開�,接受外部監(jiān)督��。 6.確保安全����。具備與其所面臨的安全風(fēng)險(xiǎn)相匹配的安全能力��,并采取足夠的管理措施和技術(shù)手段�����,保護(hù)公民信息的保密性����、完整性��、可用性��。其實(shí)就是提醒大家����,容易被黑客攻擊的,一定得加強(qiáng)安全防范能力����。 7.主體參與。向個(gè)人信息主體提供能夠訪問、更正����、刪除其個(gè)人信息,以及撤回同意���、注銷賬戶等方法��。我們認(rèn)為��,這一點(diǎn)尤為重要��,應(yīng)該提到更往前的位置���。 四、收集個(gè)人敏感信息����,“明示同意”更重要 如果收集個(gè)人敏感信息,就要更加提高明示同意的門檻��, 國(guó)家標(biāo)準(zhǔn)要求個(gè)人信息控制者完成以下工作: 1.收集個(gè)人敏感信息時(shí)����,應(yīng)取得個(gè)人信息主體的明示同意���。 應(yīng)確保個(gè)人信息主體的明示同意是其在完全知情的基礎(chǔ)上自愿給出的、具體的���、清晰明確的愿望表示�; (從法律人眼里����,我們分明看到了這一條的意思是把客戶自愿的舉證責(zé)任拋給了企業(yè),如果證明不利�,則承擔(dān)敗訴后果) 2.通過主動(dòng)提供或自動(dòng)采集方式收集個(gè)人信息前,應(yīng)當(dāng): ?�。?)向信息主體告知所提供的產(chǎn)品����、服務(wù)的核心業(yè)務(wù)功能及必需收集敏感信息���,并明確告知拒絕提供���、拒絕同意將帶來的影響。應(yīng)當(dāng)允許個(gè)人選擇是否提供或同意自動(dòng)采集��;(作為普通人,我們可能最無奈的是如果不同意人家就不提供服務(wù)…) ?�。?)產(chǎn)品或服務(wù)如提供其他附加功能�,需要收集敏感信息,收集前應(yīng)當(dāng)逐一說明情況�����,并允許信息主體逐項(xiàng)選擇同意與否���。當(dāng)信息主體拒絕時(shí)�����,不能以此為由��,不提供核心業(yè)務(wù)功能�����,并應(yīng)當(dāng)保障服務(wù)質(zhì)量��。換句話說�,人家不同意你的附屬功能收集信息��,你不能掐斷給人家提供的主要服務(wù)。 3.收集年滿14周歲的未成年人個(gè)人信息前�����,應(yīng)當(dāng)征得其本人或監(jiān)護(hù)人的明示同意��;不滿14周歲的��,應(yīng)征得其監(jiān)護(hù)人明確同意��。(14周歲以上是否可以判斷其提供敏感信息對(duì)自己人生的重要性����,我們持保留態(tài)度。) 最后��,我們今天僅僅將國(guó)標(biāo)中的重點(diǎn)內(nèi)容抽出來���,介紹給大家�,以期達(dá)到提醒大家重視新標(biāo)準(zhǔn)的想法�。從新標(biāo)準(zhǔn)可以看出���,去年出臺(tái)的一系列嚴(yán)苛的法律(含對(duì)刑法第253條之一的適用)對(duì)于大數(shù)據(jù)�、互金行業(yè)的影響較大,甚至有人產(chǎn)生了較大的悲觀情緒���。 從本月國(guó)標(biāo)的內(nèi)容看���,對(duì)于公民個(gè)人信息的保護(hù)正在回歸到一個(gè)更為科學(xué)、居中的位置上�����,但是我們還是對(duì)于有些企業(yè)利用“合同約定”��、“不提供服務(wù)”方法套取個(gè)人信息的行為表示擔(dān)心���。希望企事業(yè)單位嚴(yán)守法律和道德底線���,不要失信于廣大金融消費(fèi)者。
|
