国家标准《个人信息安全规范》（“《规范》”）为企业遵守《网络安全法》下个人信息保护提供实践指导。《规范》将于2018年5月1日起生效，现在正是企业审查完善自身个人信息保护措施的最佳窗口期。应如何看待《规范》的效力和指导意义？《规范》下对个人信息的宽泛定义是否合理必要？《规范》对“同意”提出了哪些创新之举？个人信息流转过程中各方应遵从何等规则？间接获取个人信息时有哪些特殊要求？个人信息主体参与个人信息保护的边界在哪？方达合规评论将通过案例讨论解析《规范》。数据的特性之一就是其流动性。文章将以企业完成个人信息收集为分界点，分别关注企业即将完成个人信息收集但数据尚未开始流动的静态阶段，以及个人信息数据开始在不同信息处理者之间流动的动态阶段。本篇为静态篇。

《规范》不具有强制力但其指导意义不容忽视

《规范》是推荐性国家标准，国家鼓励企业采用但并不强制要求。在制定《个人信息保护法》的呼声日益高涨的当下，企业对是否以及应如何遵从《规范》的意见并不统一。让我们先来看一个2015年的判例。

2013年5月6日，原告朱烨向南京市鼓楼区人民法院起诉百度公司，认为百度公司未经其知情和选择，利用网络技术记录和跟踪其搜索的关键词并据此在其浏览的网页进行广告投放，侵害了隐私权。一审法院支持了原告的主张。二审法院则认为关键词不属于个人信息，并参考国家指导性标准《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB／Z28828-2012），认为一般个人信息的收集、使用仅需要适用默示原则，而百度收集的网络碎片化信息并不属于个人信息，因此无需取得原告同意。[1]

本案中，二审法院对于关键词等cookie信息的性质界定准确与否在所不论，单就个人信息的收集规则，法院明确参考了同为不具有强制力和法律约束力的国家指导性标准，说明此类国家标准在司法实践中具有参考价值。实际上，《规范》于个人信息控制者有着多重意义：

第一，对于绝大多数企业来说，遵从《规范》指引是遵守《网络安全法》相关规定最简便安全的方法。《网络安全法》涵盖了个人信息从收集、保存、使用、处理、共享、转让、公开、到针对安全事件的处置和组织管理的全流程风险防控要求，却仅有寥寥数百字。《规范》作为权威的官方解读，在《个人信息保护法》的立法空白期无疑具有重要指导价值，相信监管机构也有意通过检验《规范》所立标准的可行性为立法铺路。于绝大多数在业务运营中会涉及到个人信息但并非以此为主业的企业而言，与其花费巨大成本证明自己所采取的个人信息保护措施符合《网络安全法》的要求，倒不如直接采用并落实《规范》的指引更加简便和安全。

第二，与法律的惜墨如金不同，在如何以现有技术保护个人信息方面，《规范》为个人信息控制者提供了操作性较强的指引。《网络安全法》明确指出国家要建立和完善网络安全标准体系，由国务院标准化部门和其他有关部门牵头组织，企业、研究机构、高校、网络相关行业组织参与国家标准和行业标准的制定。[2]前述规定不仅为《规范》的权威性背书，同时通过鼓励业界参与制定标准而保障其具备现实可操作性。《规范》在附录中不仅对个人信息和个人敏感信息提供了简明易懂的判定方法，还详细列举可归入该等范畴的信息。针对收集个人信息需要获得个人信息主体同意并发布隐私政策的要求，《规范》通过举例的方式描述保障个人信息主体选择同意权的方法，甚至提供了一份详细的隐私政策模板。

第三，《规范》可能会成为监管机构在案件调查、起诉、审判阶段的重要参考，遵守《规范》可作为抗辩理由。例如，根据刑法第253条，单位也可能因为其员工的行为构成侵犯公民个人信息罪。在此情况下，如果企业通过制度建设和技术措施确保其运营符合《规范》的要求，则即使在个人信息保护出现风险之时，仍有机会向监管和司法机关证明其系独立的偶发事件，而非系统性风险。前述百度案也是司法机关认可推荐性国家标准的示例之一。实际上，因为数据的流动性特征，个人信息控制者持有数据的风险将远超传统意义的法律风险边界，除其自身、员工外，更有无法预知的第三方可能对其收集的数据进行处理加工，在此情况下个人信息控制者该如何“独善其身”，《规范》也提供了一些启示。

第四，个人信息控制者保护数据安全和用户正当期待的合规能力未来也可能成为其核心竞争力的组成部分，《规范》为个人信息控制者如何展示这种合规能力给予指引。目前，越来越多的商业合作都对企业的合规能力提出要求，例如反腐败与反商业贿赂，随着个人信息保护意识逐步增强，保护数据安全的能力也将成为刚需。例如，《规范》在委托处理个人信息部分即规定，个人信息控制者应对委托行为进行个人信息安全影响评估，确保受委托者具备足够的数据安全能力，提供了足够的安全保护水平。

2

《规范》下个人信息宽泛定义的现实意义

3

《规范》对“同意”的创新之举有待于实践中检验完善

全国人大常委会执法检查组在2017年“一法一决定”实施情况大检查的过程中发现，有49.6%的受访者曾遇到过度收集用户信息现象，其中18.3%的受访者经常遇到过度采集用户信息现象。[3] 前些年关于侵犯个人信息的报道多集中在泄露事件、黑产盗用等，而近期的几起热点事件多为个人信息控制者不当/过度收集、滥用、误用个人信息，侧面说明个人信息保护也在不断升级。《规范》对于收集个人信息的“同意”进行创新，针对为实现核心业务功能或附加业务功能而所需之“同意”的方式进行区分，并赋予个人对个人敏感信息的增强控制权利。举例说明。

A软件是一款书籍点评分享应用，注册时弹出隐私政策对话框，显示“为了正常使用应用的点评分享核心业务功能，您需要填写手机号码”，选择对话框中“我同意”才可以进入注册页面。注册页面需要填写手机号码并设置密码，页面最下方有“已同意A软件隐私权保护声明”，点击进入之后会发现用户的通讯录、好友列表和征信信息也会被A软件收集。用户填写完毕注册信息后点击“注册”，即可开始使用应用。登陆后，用户可以搜索感兴趣的书籍并看到各种书评，应用可自动提示用户的某位好友曾评价过某本书。此应用还有书本租赁的功能，点击后再次弹出隐私政策对话框，显示“本应用还提供书籍租赁的附加业务功能，需要收集您的征信信息”，并称“如果您拒绝，将导致该功能无法实现，但不影响使用本应用的核心业务功能”。B软件与A软件很类似，但其在注册时即在对话框中说明会收集个人征信信息，注册后可直接使用书籍租赁功能。

前述案例中，个人手机号码、征信信息均为《规范》中列明的个人敏感信息，而通讯录、好友列表则为个人信息。收集个人敏感信息需要获得个人信息主体的“明示同意”，即个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为，既可以是主动点击“同意”，也可以通过点击“注册”、“发送”、“拨打”等完成授权。相对而言，收集个人信息只需获得个人信息主体的“授权同意”即可，鼓励采用“明示同意”，但同时也不排斥“默示同意”，以在保护个人信息和避免过度干扰用户体验之间求得平衡。

区分核心功能与附加功能则是《规范》的一项创新，其意义在于解决广受诟病的一次性授权问题。具体而言，对于实现核心功能所需要的信息用户如需使用服务则应当给到企业；而对于实现附加功能所需的信息，用户可以随时开启或关闭，关闭授权将造成无法使用附加功能，但不会影响核心功能的使用。前述案例中，A软件将书籍租赁视为附加功能，故在开启前专门就收集征信信息这一个人敏感信息征得用户“明示同意”。可见，虽然在注册时用户已同意的《A软件隐私保护声明》中包含收集信用信息，但同意该文本并不意味着对附加功能收集个人敏感信息一并同意。案例中，B软件似乎与A软件对于书籍租赁功能性质的认识有所不同，B软件不认为其为附加功能故在用户注册阶段一次性获得收集征信信息的“同意”。对此，《规范》并没有指明应如何区分核心业务功能与附加业务功能，而是留待实践操作和市场监督中逐渐确定。

（静态篇完）

[1] 王融，《关于cookie隐私，一审选了用户，二审投了百度》，智合，2015年6月17日，https://www.zhihedongfang.com/2015/06/11246。

[2] 《网络安全法》（2017年6月1日起施行）第15条。

[3] 《全国人民代表大会常务委员会执法检查组关于检查《中华人民共和国网络安全法》《全国人民代表大会务委员会关于加强网络信息保护的决定》实施情况的报告》，2017年12月24日，http://www.npc.gov.cn/npc/xinwen/2017-12/24/content_2034836.htm。

尹云霞

方达合伙人，在公司合规、内部调查及政府执法方面有着丰富的经验，中国反腐败合规及调查的领军律师，曾参与西门子FCPA Monitorship、GSK等国际知名案件。

杨建媛

方达资深律师，具备多年争议解决经验，深耕于合规相关的内部调查、投资尽调、政府执法和政策建设领域，同时在网络安全、数据合规、个人信息保护方面具备丰富经验。

周梦媛

方达律师，服务零售、金融等行业的多家跨国企业以及在海外上市的中国大中型企业，为客户制定合规政策，提供内部调查、合规尽职调查、合规培训等服务。