新聞與事件
为了进一步加强中国的个人信息保护监管制度,国家市场监督管理总局和国家标准化管理委员会于2020年3月6日共同发布了新版的国家标准《信息安全技术 个人信息安全规范》(简称“2020年个人信息国家标准”)。2020年个人信息国家标准将于2020年10月1日生效。本文比较2020年个人信息国家标准及自2018年5月1日实施的旧版本的重点变化。
生物识别信息
2020年个人信息国家标准提出了新的及更严格的要求,规范“生物识别信息”的收集、存储和共享,其中包括面部识别特征、指纹和声纹等。个人信息控制者收集个人生物识别信息前,须单独向个人信息主体告知收集、使用和存储个人生物识别信息的相关规则并征得他们的明示同意。这个新要求反映当局的监管趋势,打击以获取捆绑同意的形式收集个人信息(不管其敏感性)的一种常见但不合规做法。
如2020年个人信息国家标准及旧版本所述,“明示同意”是指个人信息主体作出肯定性动作如点击/勾选“同意”选项或以其他方式主动给予书面或口头同意。旧版本的国家标准已要求收集个人敏感信息前征得个人信息主体的明示同意。2020年个人信息国家标准并未提供具体的指导,解释何谓“单独”告知和征得明示同意。一个可行的解决方案是提供一个单独的弹窗,告知个人信息主体有关生物识别信息的收集、使用和存储并征得同意,但这种做法的充分性或适宜性将取决于实际情况,应作小心考虑。
此外,2020年个人信息国家标准规定,不应存储原始个人生物识别信息(例如:指纹和面部识别特征的样本和图像),并提出了一些实务替代措施,例如,仅存储个人生物识别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别功能;在实现识别身份功能后马上删除原始个人生物识别信息。但如果无法避免存储个人生物识别信息,该等信息应与其他类型的个人信息分开存储。
个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知并征得其明示同意。
营销手法
2020年个人信息国家标准对常见的营销手法,包括个人信息的汇聚融合、用户画像和个性化展示(例如:基于个人信息主体的网络浏览历史和消费习惯展示商品或服务的内容)进行审查。
个人信息控制者在汇聚融合个人信息之前必须告知个人信息主体相关规则并征得其明示同意。在为营销目的创建用户画像时,个人信息控制者必须避免精确定位到特定个人。个人信息控制者可考虑根据个人信息主体的共同特征(例如年龄范围和性别)对他们进行分类,而非使用其独特的识别信息来精确识别每个个体。
当根据个人信息主体的喜好向其提供个性化展示时,个人信息控制者亦应明确指出所显示的内容是经过定制的,并同时提供非个性化内容展示的选项。2020年个人信息国家标准中建议可接受的非个性化展示的例子包括基于个人信息主体的地理位置而非个人特征展示产品或服务。此外,个人信息主体应可自主调整个性化展示的程度。
其他重点问题
2020年个人信息国家标准还要求,在个人信息控制者提供多种业务功能的情况下,必须向个人信息主体分开征得同意,换句话说,要求个人信息主体提供捆绑同意的常见做法将不被接受。另外,个人信息主体的权利可通过以下要求得到进一步保障:
结论
2020年个人信息国家标准中引入的变化清楚显示中国监管机构当前的执法重点。企业应该审查现行个人信息保护做法和相关文档,并应采取适当的步骤来管理不断增加的合规风险。如果您想了解更多,请随时与我们联系。