点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
根据2023年5月23日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2023年第2号),全国信息安全标准化技术委员会归口的多项国家标准正式发布。其中包括了一项个人信息保护方面的重点标准:GB/T 42574—2023 《信息安全技术 个人信息处理中告知和同意的实施指南》(2023年12月1日实施),作为支撑个人信息保护相关法律法规落地的重要参考文件,引起了高度关注。
本文由标准的牵头编制单位:中国电子技术标准化研究院的标准参编专家,针对该标准的编制背景、适用范围、主要内容、关键问题等方面进行解读,并提出实施建议,供各界参考:
应 用 标 准
GB/T 42574-2023 《信息安全技术 个人信息处理中告知和同意的实施指南 》
GB/T 35273《信息安全技术 个人信息安全规范》国家标准实施以来,个人信息收集、使用前的告知和同意一直成为实践中关注的重点工作。2021年11月1日,我国《个人信息保护法》正式发布,阐明了个人信息处理的合法性基础,即明确了个人信息的处理是基于同意或免于同意但具备其他合法性事由。合法性基础对于个人信息处理可谓意义重大,没有此基础,后续处理活动则无法达到合法合规的要求,是绝对意义上的“必要条件”。
近年来,相关部门高度重视App个人信息保护治理监管工作,App个人信息处理规则告知不明,“套路条款”“霸王条款”、一揽子同意、强制同意等问题已经得到了较大缓解,但是,个人信息处理涉及方面不断扩展,对于一些复杂场景、新场景、新业态,部分组织在告知同意的实施方面仍存在概念理解偏差、滥用豁免条款、场景混杂交叉、落地不充分等现象,导致个人信息处理的合法性基础无法得到保证。尤其是在国家高度重视数字经济发展、数据要素作用背景下,如何让个人信息能够合法合规利用、流通,有必要通过制定标准来进一步支撑法律法规要求落地和指导行业实践。
本标准根据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等有关要求,重点围绕个人信息处理的公开透明、选择同意等原则,在GB/T 35273《信息安全技术 个人信息安全规范》的基础上,给出了处理个人信息时,向个人告知处理规则、取得个人同意的实施方法和步骤。
本标准适用于个人信息处理者在开展个人信息处理活动时保障个人权益,也可为监管、检查、评估等活动提供参考。
本标准主体内容根据告知和同意的实施逻辑出发,提出以下框架和内容:
1、标准第5章和第6章分别给出了告知和同意的适用情形。标准给出的适用情形与《个人信息保护法》中提出的要求保持一致,其中告知的适用情形包括:收集个人信息、提供、公开个人信息、处理活动发生变更、其他情形。免于取得个人同意的情形则与《个人信息保护法》第十三条(二)~(七)保持一致。以上均是在法律基础上,对相关情形予以细化、拆解、举例,以便于标准应用人员能更深入、准确理解相应条款要求,明晰个人信息处理合规工作的边界。
2、标准第7章提出了告知和同意的基本原则,与《个人信息保护法》、GB/T 35273—2020《信息安全技术 个人信息安全规范》相关的原则一脉相承,并予以细化。其中,告知的原则包括:公开透明、有效传达、适时充分、真实明确、清晰易懂;同意的原则包括:告知一致、自主选择、时机恰当、避免捆绑。同时还进一步提出了:友好展示、适配媒体、兼顾差异等宜考虑的要素。
3、标准第8章对如何告知予以详细展开。首先,8.1告知的方式拆解为:一般告知、增强告知、即时提示三种,以适配针对不同场景下告知的具体需求。其次,8.2告知的内容方面,延续了第5章中提出的适用情形的框架,以方便标准应用人员能够“对号入座”,避免告知内容出现不全面、侧重点偏差等情形。此外,8.3告知的实施方面,从告知的界面或渠道、告知内容的展示、告知的时机和频率方面予以展开,进一步为标准应用人员制定具体的告知方案提供参考。
4、标准第9章对如何同意予以详细展开。首先,9.1对同意机制如何选择进行阐述,明确了原则上采取明示同意的机制,并对明示同意的具体表现形式予以细化,同时对可推定为同意的其它情形及限制条件进行说明。其次,9.2对同意的通用实施方法、步骤、要点予以展开,9.3则针对《个人信息保护法》中提出的单独同意,从实施方法,以及法律中涉及的五类场景出发的实施要点,给出了具体的实施建议。9.4则针对《个人信息保护法》中提出的书面同意,从梳理适用场景、归纳实施要点的角度给出实施建议。此外,9.5对于个人拒绝同意、9.6对于撤回同意均从最大化保障个人权益的视角给出了建议,9.7则从同意证据留存的视角,明确了同意证据应当通过留存证据的方式确保相关机制能确认有效执行,防止出现同意过程不明导致个人信息处理合法性基础无法证明的情形。
5、标准给出了13个场景下的资料性附录,基本涵盖了常见的个人信息处理情形,可方便标准应用人员能更准确、全面地实施告知、同意,涉及的场景包括:
1、标准注重提出一套广泛且长期适用的告知、同意的方法论
个人信息处理活动可谓涵盖范围广、场景差异大、更迭变化多,但是,法律法规提出的告知、同意的根本要求不会变,归纳提出一套更有针对性、适应性的方法对于指导实践非常关键。首先,本标准明确了“告知”和“同意”作为不同概念和动作的理念,将相关的方法、步骤予以区分,同时又在实施层面予以衔接,以兼顾法律法规中提出的多样化的要求。其次,本标准对于关键的概念进行归纳、拆解,为针对不同场景予以灵活应用提供了基础。
比如,本标准将同意的方式区分为:一般告知、增强告知、即时提示三种,并明确了其各自的特点和使用方式;本标准根据同意实施的特点、步骤等区分了“明示同意、单独同意、书面同意、单次同意、拒绝同意、撤回同意、同意证据留存”等概念,为不同场景下制定同意的实施方案提供了丰富的思路。
此外,通过对告知、同意原则的详细展开阐述,本标准进一步明确了告知、同意中不变的核心逻辑以及可以优化的部分要素,既防止告知、同意实施中可能存在“敷衍了事”“偷工减料”,也尽可能避免告知、同意实施中的“教条死板”“舍本求末”,从而更好地引导组织把握发展与安全的平衡。
2、标准立足于行业领域现状及需求并尽可能给出可行性方案
在我国个人信息保护法律框架基本趋于完备的背景下,如何结合实践理解法律条款本意,关联具体场景予以落地时是合规工作中的关键所在。可以说,个人信息保护的根本目的是促进个人信息的合法合理利用,最大程度地保障个人权益、惠及个人,因此,告知和同意其核心要领也在于此。调研发现,在实施层面,告知和同意面临的问题非常复杂,比如,告知的内容并非越多越细越好,很多用户对隐私政策太长问题也颇为苦恼,而同意也如此,由于同意的环节过于多,海量的弹窗、复杂的机制可能会让用户无法把握其选择是否均为其真正所需。
为此,标准在告知和同意的实施层面,尽可能提出可优化的路径,在不会影响个人权益的前提下强化可行性。比如,在单独同意的实施方面,标准9.3.5c)提出,“如为实现某一特定目的需要同时处理多项敏感个人信息的,可一并告知并一次性取得个人单独同意”,该条款即对单独同意给出了实施层面的优化路径,由于多项敏感个人信息均为必要,分多次增强告知并分多次明示同意的操作对于个人来说仅仅只是增加了操作的时间,并没有起到强化个人决定权的效果,因此进行合并操作以增加友好度。
但是需要注意的是,标准中所给出的类似方案其前提非常明确,是以不会降低个人权益保护水平为前提,如果在应用时无法达到该前提,则可认为方案不适用。
3、标准通过提供大量注和资料性附录的方式增加标准的实用性
本标准为指南类标准,其核心目标就是凸显其指导实践的意义,标准既提出了告知、同意的方法、给出了建议,还尽可能通过注、示例、附录等方式,提供了可参考的举例,以增进标准应用人员对相关条款的理解,进一步增加标准的实用性。
纵观标准全文,总共有注超150个,资料性附录达14个。可以说,所有的注、举例都秉承了问题导向、矛盾导向的逻辑,既有助于辅助理解标准条款,又能指导实际应用。在形成注、示例等的过程中,很多都是来源于参编单位、社会反馈的问题,标准编制组在充分讨论后则以注解方式予以解答,尽可能让标准内容具有现实指导意义。
比如,标准8.2.4 其他情形g)给出了一条注,即“如通过安全风控的机制发现个人频繁发布、或向存在风险的联系人传送包含敏感个人信息种类(如身份证号、银行卡号等)的行为,可向个人发出提示。为避免引起个人产生安全风控的机制对其行为构成监控的担忧,可对安全风控的机制通过单独文档或问询答复等方式进行详细说明。”,这是充分考虑到了当前电信诈骗等活动严重危害民众切身利益,但又考虑到安全风控对个人信息的合理利用可能存在一定争议,而给出的建议。
再比如,附录L,互联网房产经纪服务场景下的告知和同意场景下,L.3 c)1)条款,给出一条注,“为用户提供便捷的渠道,如交互式界面的撤回按钮或9.6中提及的其他方式,以支持用户随时可撤回其提供联系方式用于寻求房源目的的同意。”,这是为了解决当下群众反映强烈的,房产经纪服务中个人联系方式一旦给出,可能会遭受长期电话营销,甚至面临骚扰的问题。
标准的实施应用有助于个人信息处理者落实个人信息保护相关法律法规政策的相关要求,一是,进一步规范个人信息处理前告知、同意的机制设计和功能实现,能切实保障广大民众个人信息处理相关的知情权、决定权;二是,通过告知、同意相关工作的规范化落地、存证,让个人信息处理合法性基础更为牢固,将为个人信息更好地合理利用、流通,发挥价值提供支撑。
同时,标准不断推广应用,将为第三方机构进行个人信息保护相关测评、认证提供参考,也可为有关权威部门开展个人信息保护问题研判、日常管理、治理监督等提供标准化支撑。
从个人信息处理者的视角出发,主要应用建议如下:
1、产品设计人员
对于产品设计人员来讲,标准可作为“案例集”使用,标准中提出的海量案例,可成为其设计产品时启发其思路、回答其诉求的重要参照。同时,还可以基于标准提出的框架、方法,吸纳优秀案例、积累自身案例,形成更具有实用性的“手册”“企标”。
2、合规管理人员
对于合规管理人员来讲,标准可作为“检查单”和“评估表”使用,标准中提出的方法、措施和案例,一则可以直接对照实际场景,以分析其是否与之匹配,从而厘清合规差距;二则可以通过理念延伸、案例类推等方式,评估实际场景是否能够契合标准内容,从而提出解决方案。
关注公众号谈思实验室,回复“0529”,即可获得GB/T 42574—2023 《个人信息处理中告知和同意的实施指南》。
更多文章
智能网联汽车信息安全综述
会员权益: (点击可进入)谈思实验室VIP会员
谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术,为汽车行业提供最优质的学习交流服务,并依托强大的产业及专家资源,致力于打造汽车产业一流高效的商务平台。
每年谈思实验室举办数十场线上线下品牌活动,拥有数十个智能汽车创新技术的精品专题社群,覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家,已经服务上万名智能汽车行业上下游产业链从业者。专属社群有:信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等,现专题社群仍然开放,入满即止。
扫描二维码添加微信,根据提示,可以进入有意向的专题交流群,享受最新资讯及与业内专家互动机会。