作者：蔡航、陈达伦

2020年3月7日，新版GB/T 35273-2020《信息安全技术 个人信息安全规范》（“2020版《规范》”）正式发布，替代现行的推荐性国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》（“2017版《规范》”）。

《个人信息安全规范》尽管并非强制性规范，但在我国个人信息保护领域具备重要的引领地位，互联网企业在设计产品时多参照适用该规范。2020版《规范》参考了近几年国外立法趋势和执法经验，反映了在应用新技术与商业模式创新时对信息安全和个人信息保护的高度关切，具有重要的指导意义。

为了让社会公众更快地掌握新版规范，我们对2020版《规范》和2017版《规范》进行了比对，并将其中最为关键的六大要点归纳如下：

1

对提供多项业务功能的个人信息控制者提出更高要求

2017版《规范》即要求个人信息控制者不得强迫个人信息主体提供其个人信息，但是运营企业在实践中容易规避该规定。随着互联网服务日益平台化和集成化，单一App、业务网站通常集成多项业务功能，最为常见的授权做法是将全部业务功能所需要的个人信息授权全部打包在一份隐私政策内，在用户明示同意隐私政策后即可一劳永逸解决授权问题。另一方面，这些业务功能名目繁多，某些类目有意地使用“改善体验”、“产品研发”等语焉不详、客户无法感知具体内容的描述。在这种情况下，用户为了其不需要使用的某些功能而无意中额外地提供了使用个人信息的授权，违背了规范倡导的“最少够用”原则。

针对上述情形，2020版《规范》围绕“最少够用”原则，对提供多项业务功能的个人信息控制者提出了以下一系列要求：

1. 除去个人信息保护政策外，宜在实际开始收集特定个人信息时，向个人信息主体提供收集、使用该个人信息的目的、方式和范围，以便个人信息主体作出具体的授权同意前，能充分考虑对其的具体影响；

2. 不应通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求；

3. 应把个人信息主体主动作出的肯定性动作，如主动点击、勾选、填写等，作为产品或服务的业务功能开启条件，个人信息控制者应仅在个人信息主体开启该业务功能后，开始收集个人信息；

4. 关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后，个人信息控制者应停止该业务功能的个人信息收集活动；

5. 个人信息主体不授权同意使用、关闭或退出特定业务功能的，不应频繁征求个人信息主体的授权同意；

6. 如个人信息主体不授权同意使用、关闭或退出特定业务功能的，不应暂停个人信息主体自主选择使用的其他业务功能，或降低业务功能的服务质量；

7. 不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由，强制要求要求个人信息主体同意收集个人信息。

上述要求的核心在于，个人信息控制者应当针对各个业务功能收集相应范围的个人信息，不应违背用户意愿，强迫用户接受其打包的产品或服务以及对应的个人信息收集请求。从实现方式上，2020版《规范》主要通过定义和建议操作两种形式来为实践操作提供指引：一是增加了“业务功能”的定义，并明确了划分的颗粒度，即地图导航、网络约车、即时通信、网络支付、新闻资讯、网上购物、快递配送、交通票务等“满足个人信息主体的具体使用需求的服务类型”，因此，并无需担心“业务功能”的定义过于模糊而导致无法执行；二是对附录C（实现个人信息主体自主意愿的方法）进行了完善，其中建议个人信息控制者应当区分产品和服务的基本业务功能和扩展业务功能，二者在个人信息收集的告知、明示同意等方面可以采用差异化的实现方式。同时，该附录还提供了 UI 界面模板供参考。

无独有偶，2019年底出台的《App违法违规收集使用个人信息行为认定方法》（“《违法认定办法》”）对于上述第2、5、6、7项要求也有所提及。因此，按这些规定进行认真自查和合规整改是各家运营企业的内在要求。

2

在个人生物识别信息的收集与使用上建立起“单独告知”和“分开存储或有限存储”两个新原则

近年来个人生物识别信息的收集、存储和转让规范逐渐成为社会公众关注的焦点。与常规的个人信息不同，个人生物识别信息在人的一生中几乎不会发生变化，或是变化缓慢，在短期内保持恒定，因此个人生物识别信息和个人身份紧密绑定的效果非常好。另一方面，个人生物识别信息一旦被泄露和不法利用，将给个人带来严重的财产安全和信息安全隐患。

2017版《规范》已经将个人生物识别信息纳入了个人敏感信息的范围。在此基础上，2020版《规范》进一步对收集个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等个人生物识别信息在收集、存储和共享方面都提出了特殊要求，回应了社会公众对个人生物识别信息泄露愈发深重的担忧。我们将这些要求归纳为“单独告知”和“分开存储或有限存储”两大原则。

“单独告知”原则主要体现在收集和共享转让两个环节。第一、在收集个人生物识别信息时，除了与其他个人信息的收集一样需要取得被收集人明示同意外，2020版《规范》还要求应当单独告知个人信息主体。这也意味着，除了在个人信息保护政策中写明个人生物识别信息的收集、使用规则外，在每次收集个人生物识别信息时，应当再以弹窗等形式单独告知收集、使用的目的、方式、范围以及存储时间等规则，并获得个人信息主体的明示同意；第二、个人生物识别信息原则上不应转让和共享，因业务需要确需共享、转让的，也应当单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等，并征得个人信息主体的明示同意。

在个人生物识别信息的存储方面，2017版《规范》已建议应当采用一定的技术措施处理后再存储个人生物识别信息，例如仅存储个人生物识别信息摘要。2020版《规范》则进一步升级，确定了除非为了履行法律法规规定的义务，个人信息控制者不应存储样本、图像等原始个人生物识别信息的消极原则。为了贯彻该原则，新规范提供了三种技术实现路径供企业参考：

1. 第一种是仅存储不可逆的摘要信息，而且是无法回溯到原始信息的摘要信息；

2. 第二种是在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能，这也意味着采集和认证两个环节均通过手机等终端完成，并由终端将识别和认证结果回传，并不需要将个人生物识别信息回传至企业服务器；

3. 第三种是在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证功能后删除可提取个人生物识别信息的原始图像。也就是说，在企业使用个人生物识别信息完成识别和认证后应立即删除，避免用于其他用途。

从上述三种路径来看，2020版《规范》并非一刀切完全禁止存储和使用个人生物识别信息，而是限制将原始个人生物识别信息回传至企业服务器。但是即使如此，仍然会给现有的个人信息收集模式带来挑战。众所周知，金融机构网站在认证客户身份时，通常会收集客户的头像视频、照片信息，并将证件信息、人像以及比对结果进行存储，这些信息对于金融机构的风控具备重要价值，但是现在这一通行做法需要进行一定的变化。我们建议企业可以结合“为了履行法律法规规定的义务”这一法定例外来审查当前业务形态中涉及原始个人生物识别信息收集和存储的各类具体场景，从合规性角度充分论证存储这些信息的必要性。

3

增加了对用户画像的描述限制与使用限制

在大数据时代，精细化运营成为互联网企业的标配，通过对用户数据进行挖掘、清洗、分类，使得海量复杂的数据被抽象成标签，并利用这些标签将用户的喜好、行为、预期等具象化，使得产品和服务更加具有针对性，这种运营手法被称为用户画像。

2020版《规范》新增了关于用户画像的描述限制和使用限制。描述限制包括用户画像中不得包含淫秽色情、赌博、迷信、恐怖、暴力等内容，也不得包含对民族、种族、宗教、残疾、疾病歧视的内容；使用限制则包括在业务运营和对外业务合作中，不得侵害公民、法人和其他组织的合法权益，或是存在危害国家安全、传播违法违规信息的行为。同时，2020版《规范》还建议，尽可能避免使用具有明确身份指向性、可以精确定位到特定个人的直接用户画像，而尽可能使用间接用户画像。

用户画像最为典型的使用场景就是个性化展示。个性化展示是指基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息，向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。在电商广告、新闻资讯、社交等领域，将用户画像用于个性化展示早已是常规手段，但与此同时也产生了较多乱象和弊端，例如电商领域的个性化展示曾催生出“大数据杀熟”这种乱象，严重损害了消费者的利益；而新闻资讯内容的个性化展示也容易产生“回声室效应”，不利于社会共识的建立。

2020版《规范》对“个性化展示”提出了较为细致的操作规范，核心在于保障用户的知情权和选择权。

在保护知情权方面，2020版《规范》要求，在向用户提供业务功能的过程中使用个性化展示的，应当以标注等形式将其与非个性化展示的内容进行显著区分。参考《违法认定办法》的有关规定，我们建议，如果APP运营者将个人信息用于个性化信息展示，那么个人信息保护政策也需要描述具体应用的场景和功能模块，更进一步保护用户的知情权。

在保护选择权方面，2020版《规范》则针对电商和新闻信息两大业务场景作出要求，电商平台应当向消费者提供不针对其个人特征的选项，这一点与《电子商务法》的要求一致，即“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项”，所以这一要求对于电商平台而言实质上已经从推荐性规范上升为强制性规范。而新闻信息服务平台应当为用户提供简单直观的退出或关闭个性化展示模式的选项，并向用户提供删除或匿名化个性化推送活动所基于的个人信息的选项。对于前述两类业务场景以外的业务，2020版《规范》则建议建立个人信息主体对个性化展示所依赖的个人信息的自主控制机制。

4

体现对个人信息汇聚融合趋势的关注

随着人工智能技术的发展，“数据中台”的概念火热，特别是对于拥有多个业务条线的平台型互联网企业而言，将不同业务条线所收集、整理的个人信息进行汇聚融合，并将汇聚融合的成果反哺到业务条线中，可以极大地提升各个业务条线所收集数据的使用效率，更大程度地挖掘数据价值。但是数据的汇聚融合也可能存在未经授权使用或是超出授权范围使用的可能性。因此，在上述针对用户画像和个性化展示的要求基础上，对于个人信息的汇聚融合，2020版《规范》在定义层面对“个人信息”的范围进行更细化的界定，即个人信息控制者通过个人信息或者其他信息加工处理后形成的信息，例如用户画像或者特征标签，能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息。也就是说，即使个人信息经过加工处理，如果依然通过处理后的数据能够识别到具体个人，其授权使用的范围仍应视同个人信息进行规制。在使用个人信息进行汇聚融合时，同样应当符合在收集个人信息时所生成的目的，否则应当重新获得个人信息主体的授权同意。

此外，2020版《规范》也建议，应当根据汇聚融合后个人信息所用于的目的，开展个人信息安全影响评估，采取有效的个人信息保护措施。

上述要求对于平台型互联网企业是不小的挑战，因为如果每个业务条线在收集个人信息时，其适用的个人信息保护政策存在一定的偏差，那么可能导致数据中台可能并无权处理这些未被授权进行汇聚融合的个人信息数据，所以我们会建议在这类平台型企业应当在各个业务条线的个人信息保护政策中对汇聚融合其他条线的个人信息的目的和使用范围进行充分告知。同时，在汇聚融合的信息性质和使用范围超出原有授权时，应当重新获得个人信息主体的明示同意。

5

细化个人信息主体注销账户的有关要求

2020版《规范》大幅增加了个人信息主体注销账户的细节性要求，以简化个人信息主体在注销账户时的流程。这些要求主要包括：

1. 对于网站、App、客户端软件等采用交互式页面提供产品或服务的，最好直接设置便捷的交互式页面提供功能或选项，便于个人信息主体在线注销账户等请求；

2. 如果注销账户需要人工处理，应当在承诺时限（不超过15个工作日）内完成核查和处理；

3. 不得在注销过程中设置不合理的条件或提出额外要求增加个人信息主体的义务；

4. 注销账户过程中需要核验身份时，要求个人信息主体提供的信息不得多于注册、使用等环节收集的个人信息类型，如果在注销环节收集的是个人敏感信息，应当明确收集个人敏感信息后的处理措施，且在达成目的后立即删除或匿名化处理。

上述要求在App违法违规收集使用个人信息专项整治行动中已有体现。同时，注销期限、注销后个人敏感信息处理等要求也明确为《违法认定办法》所规定，成为强制性规范。我们建议各家互联网企业对此引起高度重视，尽快梳理和调整用户注销的流程。

6

细化了个人信息管理环节中的第三方责任

数据的受托处理和共享转让是数据流转的常见形式，2020版《规范》对于个人信息流转过程中的法律责任分配提出了新的要求。例如个人信息控制者在知晓受委托者未按照委托要求处理个人信息，或未能有效履行个人信息安全保护责任的，应当立即要求受托方停止相关行为，或通过更改口令、收回权限、断开网络链接等方式予以补救，并在必要时终止委托关系。类似的要求也出现在共享转让环节中，在数据接收方处理个人信息存在违法或违约行为时，个人信息控制者应当采取有效行动降低风险和损失。

我们认为，上述要求为企业在涉及数据流转的对外合作的合同起草和谈判提供了很有价值的参考。个人信息控制者应当在涉及数据流转的对外合作时，注意审阅、补充相关合同条款，以使得自身在对方涉及个人信息处理的履约出现违法和违约问题时，能够具有充分的自我救济和风险控制手段，并在此基础上避免己方的违约和被诉可能性。

除了受托处理和共享数据，目前在自身服务和产品中以SDK、API等形式嵌入第三方产品或服务的场景也非常常见，但个人信息控制者和第三方产品或服务提供方的权利义务并不一定明确。针对这一点，2020版《规范》也提出了一系列的管理要求和风险控制建议，包括：

1. 内部管理流程上，建立第三方产品或服务接入管理机制和流程，妥善留存第三方接入的有关合同和管理记录；

2. 针对第三方的管理上，与第三方签署合同，明确双方的安全责任及个人信息安全措施，要求第三方向个人信息主体收集个人信息时需要征得用户授权同意，并核查实现方式。同时，要求第三方产品建立响应个人信息主体请求和投诉机制。此外，还应当监督第三方加强个人信息安全管理，对于第三方自动化工具开展技术检测，并对其手机个人信息的行为进行审计，在违约时及时切断接入；

3. 对于个人信息主体的管理上，应当向个人信息主体明确标识产品或服务由第三方提供，避免在出现个人信息安全纠纷时责任不明。

     结语     

在网络安全和个人信息保护合规越来越被重视的当下，自2020年10月1日起正式生效的新版《个人信息安全规范》为企业完善个人信息保护制度提供了切实可行的实践指引。从过往的执法实践中不难看出，尽管《个人信息安全规范》名义上只是推荐性国家标准，但在我国《网络安全法》仅仅搭建了网络安全治理基本法律框架的背景下，该文件已成为监管部门在落实监管举措和制定监管细则的重要参考依据。我们建议每家互联网运营企业都认真学习该新版规范，提高个人信息的保护水平。

作者介绍

蔡航 合伙人

caihang@anjielaw.com

蔡航律师十余年来专注于医疗健康、TMT、人工智能领域的投融资服务，在中国风险投资法律服务领域具有巨大的影响力。《商法》杂志将他列为“中国法律精英100强”，认为他是中国最出色的商事律师之一。他还多次获得Legal500、Legalband等法律评级机构在TMT、风险投资领域的推荐。除了风险投资业务之外，他还精通并购与资本市场等业务。蔡航律师是安杰律师事务所上海办公室的负责人。

陈达伦

chendalun@anjielaw.com

陈达伦主要从事私募股权投融资、并购重组业务和合规业务，为客户提供交易架构设计、文件起草与审阅、尽职调查和常年法律服务等方面的法律服务，涉及的行业主要包括医疗健康、生物制药、人工智能、社交传媒、旅游等领域。

声明

文章仅代表作者观点，不视为安杰律师事务所正式法律意见或建议。如需转载或引用请注明出处。如有任何问题，欢迎与本所联系。