一、背景 2016年11月7日中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议通过了《中华人民共和国网络安全法》,自2017年6月1日起施行。2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》,自2021年9月1日起施行。2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,自2021年11月1日起施行。自此,信息安全或者说网络空间安全领域三部重要的法律诞生了,也可以称之为“信息安全三部曲”。随着三部法律的发布实施,“数据”、“个人信息”、“隐私”等相关的词汇在我们的工作生活中出现的频次也越来越高,针对几部法律有大量的文章进行解读,解读的内容包括几部法律的关系、实施后的影响、如何去做才能合规等等。但少有文章特意去讲这三部法律衍生出来的“个人隐私保护”的问题,而是“默认”大家已经知道了“个人隐私保护”属于这三部法律的保护范围。在本文中笔者尝试对“个人信息保护”与“个人隐私保护”进行讨论分析,梳理它们之间的关系,探讨我们国内是用什么样的方式去关注“个人隐私保护”,以及与“个人隐私保护”强相关的法律法规等内容。 本文内容仅代表个人观点,如有错误之处,望读者指正。 二、概念讨论 首先直接开始对几个概念进行讨论,网络安全等同于数据安全吗?数据安全与个人信息安全是一个概念吗?隐私保护又是保护的什么内容呢?我们通常理解的“网络安全”其实更加偏向于“网络空间安全”或者说是“信息安全”,这是一个比较广义的理解;而在专门的信息安全行业中,“网络安全”还有一种看法是网络层面的安全,这是一个比较狭义的理解。数据是一种对信息记录后的表现形式,个人信息就是其表达出来的一种结果之一,个人信息是一种特殊的数据,而隐私又是比较特殊的个人信息,其具有很高的敏感性,通常被滥用可能对个人造成经济损失,或者暴露后会对个人的自尊、人格等造成伤害。个人认为《网络安全法》、《数据安全法》、《个人信息保护法》三者在法律地位上是完全平等的关系,但是在内容上是包含、递进的关系,如下图所示: 数据:《数据安全法》第三条明确指出“数据是指任何以电子或者其他方式对信息的记录”。可以看出数据是信息的一种载体,其内在含义表达的结果是我们需要获取的信息,而其范围中明确提出了“任何”这个限定词,因此数据的涵盖范围是非常广泛的。 个人信息:《个人信息保护法》第四条明确指出“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。即,个人信息是一些可以定位到自然人的数据。 敏感个人信息:《个人信息保护法》第二十八条指出“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。敏感个人信息包括两类,一类是比个人信息更进一步,与自然人的人格尊严或者人身、财产安全密切相关的个人信息;另一类是直接将不满十四周岁的未成年人的个人信息作为敏感个人信息,这也是为了加强对未成年人的保护。 隐私信息:《民法典》第一千零三十二条指出“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。私密空间比如更衣室,或者说我们设置为不对外开放的QQ空间等;私密活动,比如说我们的日常行踪轨迹等;私密信息比如说我们的健康信息、财产信息等。 可以看到,数据、个人信息、敏感个人信息、隐私信息这几个概念涵盖的范围越来越狭窄,并且特别注意的是敏感个人信息并不等同于隐私信息。 三、个人信息保护与个人隐私保护发展历程 国内相关法律法规发布实施的进程是要落后于国外的,可以看到在2014年以前对数据及个人信息保护没有太多的法律依据。在2014年至2017年《网络安全法》颁布之前有较少的法律法规对数据及个人信息保护进行规定,如《消费者权益保护法》。在2019年之后国家加快了相关立法进程,也不断的推出了相关的国家标准、行业标准以及其他相关管理办法,这是飞速发展的阶段。并且可以看到这个阶段也不断加强了对APP等的安全执法检查,具体执行情况这里就不再详述。整体的进程如下图所示: 在横轴的上方是六部重要的法律,这六部法律相互推进,相互补充。 2014年3月颁布的《消费者权益保护法》第二十九条指出:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。这是在国内比较早的对经营者使用、收集消费者信息等行为进行明确规定的法律法规,在一些行业中,根据消保法去做一些自查也是日常工作中定期需要做的事情。 2015年7月颁布的《国家安全法》第二十五条指出:实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。这应该是首次将数据安全提到了国家安全的高度。 2017年6月颁布的《网络安全法》在多个条款中都提到了数据安全以及个人信息保护,比如第四十一条、四十二条、四十三条、四十四条、四十五条等。 《数据安全法》《民法典》《个人信息保护法》在上一节已经提到,此处不再赘述。 四、重要政策法规概览 接下来对重要的法律法规进行简要的解读,法律主要是从高层次进行提纲挈领的约束,而具体的法规政策则具有更强的指导意见。可以看到在国内比较少的直接去提个人用户隐私保护,而是提的用户个人信息保护,但是在实际操作过程中,比如APP的隐私保护政策中则有直接提到如何进行隐私保护,或者个人信息保护。 (一)《消费者权益保护法》 在消保法中与消费者数据相关的内容为对消费者信息的保护,包括收集、使用、保护等内容,相对比较简要。在金融行业与之相对应的是2020年由中国人民银行9月发布的《中国人民银行金融消费者权益保护实施办法》。在第三章“消费者金融信息保护”中进一步明确了消费者金融信息的类别、生命周期、数据保护等内容,并且在办法中说明了机构需要承担的法律责任。另外需要说明的是,金融机构每年要进行两次消费者权益保护相关的自查,在信息科技工作中着重关注消费者信息(数据)的保护。 (二)《App违法违规收集使用个人信息自评估指南》 该指南具有非常强的实操指导性,主要用于APP运营者对其收集使用个人信息的情况进行自查,自查范围包括三个大类、9个评估项、31个评估点,我们在工作中可以着重参考。分别是隐私政策文本类,包括隐私政策的独立性、易读性;清明说明各项业务功能及所收集个人信息类型;清晰说明个人信息处理规则及用户权益保障;不应在隐私政策等文件中设置不合理条款。APP收集使用个人信息行为类,包括收集个人信息应明示收集目的、方式、范围;收集使用个人信息应经用户自主选择同意,不应存在强制捆绑授权行为;收集个人信息应满足必要性要求。APP运营者对用户权利的保障类包括支持用户注销账号、更正或删除个人信息;及时反馈用户申诉。 (三)关于印发《App违法违规收集使用个人信息行为认定方法》的通知 该认定方法为监督管理部门认定App违法违规收集使用个人信息行为提供参考,同时也可以作为App运营者自查的指引。主要的内容包括如何认定“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”。 (四)JR/T 0171-2020《个人金融信息保护技术规范》 直接引用本规范中的引言即可阐明本规范的宗旨。个人金融信息是个人信息在金融领域围绕账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息等方面的扩展与细化,是金融业机构在提供金融产品和服务的过程中积累的重要基础数据,也是个人隐私的重要内容。个人金融信息一旦泄露,不但会直接侵害个人金融信息主体的合法权益、影响金融业机构的正常运营,甚至可能会带来系统性金融风险。本规范可以指导机构规范处理个人金融信息。个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。特别指出说明的是,该技术规范比如详细,可以支撑日常的工作,并且也可以作为监管单位检查的依据。 (五)GB/T 35273-2020《信息安全技术 个人信息安全规范》 该规范为国家推荐标准,比JR/T 0171-2020《个人金融信息保护技术规范》更具有普适性,前者主要适用于金融行业机构,而本规范适用于各类组织机构。同样该标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求,组织可以作为自查规范,监管部门、第三方评估机构可以作为监督、管理、评估依据。 (六)《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》 该评估指南可认为是《App违法违规收集使用个人信息行为认定方法》后续的配套文件,《实践指南》归纳总结了App收集使用个人信息的六项评估点,供App运营者自评估参考使用,小程序、快应用等运营者也可参考其中的适用条款进行自评估。 (七)工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知 该通知是作为一个执法工作的通知,虽然有一个执法的期限,但是可以看出执法部门会随着政策法规不断地去推进检查执法,确保政策法规的落地。其中明确了整治对象、整治任务,在后来的各种执行检查中也可以看到还有多次的“回头看”行动。 (八)GB/T 39335-2020《个人信息安全影响评估指南》 在之前的各种法规规范中都是说的要做什么以及如何去做,而在《个人信息安全影响评估指南》中则给出了组织如何开展个人信息安全影响评估工作。通过个人信息安全影响评估发现、处置和持续监控个人信息处理过程中对个人信息主体合法权益造成不利影响的风险。 (九)《常见类型移动互联网应用程序必要个人信息范围规定》 明确移动互联网应用程序(App)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用App基本功能服务。该规定说明了常见类型App的必要个人信息范围,一共包括三十九种常见类型App的基本功能服务和必要个人信息范围,并且在第二条中明确了App包括移动智能终端预置、下载安装的应用软件,基于应用软件开放平台接口开发的、用户无需安装即可使用的小程序。 五、个人隐私保护建设 如何进行个人隐私保护建设呢?除了管理上的策略外,在技术上个人认为大体上有两条路径,一是将个人隐私保护融入到SDL中,法务、合规、安全、开发人员共同参与,从根源进行治理。首先在需求分析的时候就要分清楚业务需求是什么,该业务需求映射到开发过程中需要什么样的业务逻辑、数据作为支撑,这些数据是否符合隐私保护要求;在设计的时候需要对设计进行评审,是否将所有的隐私保护要求纳入到了产品设计中;在测试环节同样要进行验收测试。当然整个过程中不能忽略掉了其他与安全相关的常规的安全流程。这里提到的隐私保护需求、设计、测试等依据可以参考上述法律法规政策。 二是基于场景进行隐私保护评估自查,及时发现风险排除隐患。首先将业务需求进行场景化,比如说信贷类APP可拆分为用户的注册、授信、银行卡绑定与更新、申请借款、提现等不同的场景,对每一个场景分别从信息的采集、传输、存储、处理、销毁等环节进行分析评估,这里引用《信息安全技术 个人信息安全影响评估指南》中的评估原理示意图。同样相关的标准可以参考上述法律法规政策。 六、总结 本文对数据、个人信息、隐私保护等词进行了解释,说明了几者的关系,对国内个人信息保护的发展历史进行了简要的说明。对国内几部个人认为比较重要的法规政策进行了简要的说明,最后提出了如何进行个人隐私保护的建设工作的思路。在国内没有太直接的去提个人隐私保护,而更多的是提的如何去做个人信息保护,在一些大的企业可以看到有相关专职岗位设置。APP、H5等已经成为了最广泛、最直接触达用户的一种方式,因此最直观的感受是通常在APP的隐私保护政策中去展示企业如何为消费者提供隐私保护,在实践中我们可以更多地去关注上述的法律法规,特别关注几个与APP最直接相关的政策发文,指导我们实际的工作开展。
个人信息保护与个人隐私保护——概述
