《个人信息安全规范》被援引情况实证分析(DPO社群成员观点)
国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2017,以下简称《规范》)在2017年12月公布后,关于其实际影响的讨论在业内一直没有停止。
一方面,根据《标准化法》,《规范》作为国家推荐性标准,不属于《网络安全法》中“国家标准的强制性要求”,只是鼓励企业采用,并无强制执行力;而另一方面,实务人员也普遍认为《规范》实际有着超出普通推荐性标准的影响力。
到底如何看待《规范》的作用,是一个在学理上不难推断,在实务中不易澄清的问题。本文尝试利用公开信息,梳理《规范》自发布以来,为合规工作提供借鉴。
一、监管执法的援引情况及分析
2016年8月,中央网信办、国家质量监督检验检疫总局、国家标准化管理委员会联合发布的《关于加强国家网络安全标准化工作的若干意见》提出“推进急需重点标准制定”,而《规范》正是在个人保护信息领域的重点标准之一,因此在发布前后也多次被相关监管机构参照或援引。
2017年7月,中央网信办、工信部、公安部、国家标准委四部门联合开展了隐私条款专项工作,在隐私条款评审时重点参照了当时还未正式生效的《个人信息安全规范(报批稿)》。参加评审的十款网络产品和服务均参照《个人信息安全规范》中的《附录D:隐私政策模板》,对各自的隐私政策进行了相应的调整。
2018年1月,国家网信办网络安全协调局在约谈某大型互联网公司时,指出其产品收集使用个人信息的方式“不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的《个人信息保护倡议》的承诺。”
2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局发布的《关于开展App违法违规收集使用个人信息专项治理的公告》做出工作安排:“全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会,依据法律法规和国家相关标准,编制大众化应用基本业务功能及必要信息规范、App违法违规收集使用个人信息治理评估要点,组织相关专业机构,对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估。” 根据我们的理解,其中提及的“国家相关标准”即包括《规范》。
2019年3月,中央网信办、市场监管总局发布《关于开展App安全认证工作的公告》,其附件《移动互联网应用程序(App)安全认证实施规则》中规定:App安全认证的认证依据为GB/T 35273-2017《信息安全技术 个人信息安全规范》及相关标准、规范。
2020年2月4日,中央网信办发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》提出:“收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上歧视。”
2020年3月9日,《天津市委网信办关于开展疫情防控相关App违法违规收集使用个人信息专项治理的通告》指出:“疫情防控App运营者收集使用个人信息时应当严格履行《网络安全法》《天津市数据安全管理办法(暂行)》规定的责任义务,对获取的个人信息安全负责,采取有效措施加强个人信息保护,按照《App违法违规收集使用个人信息行为认定方法》和相关国家标准进行自查整改。”如果我们理解无误的话,其中提及的“相关国家标准”即为《规范》。
从上述援引情况来看,监管机构并未直接将《规范》作为监管依据,而均是作为参照。但能够看出,相关监管部门在实践中对《规范》予以高度重视,其强调的监管要点也均在《规范》中有所体现。
二、地方规范性文件的援引情况及分析
2018年6月,原吉林省卫生和计划生育委员会印发《吉林省远程医疗服务管理办法(试行)》(吉卫医发〔2018〕25号),其中第三十六条规定“加强信息安全保护。远程医疗服务运营机构,在为远程医疗服务提供技术服务的过程中,对获取的邀请方、受邀方医疗机构及受诊患者的信息资料,负有严格的保密义务,不得将获取的信息资料外泄和用于规定范围以外的用途。涉及个人隐私和国家安全的,应当遵循医学伦理原则,按照《信息安全技术个人信息安全规范》国家标准规定执行。”
从上述援引情况来看,部分地方政府部门在制订相关规范性文件的时候,出于对《规范》的认可,将其作为应当遵守的一种行为规范。但是,根据《立法法》的有关规定,在没有明确的法律或行政法规等上位法律依据的情况下,如果有关规章规范的内容,涉及设定减损公民、法人和其他组织权利或者增加其义务的内容,则其合法性将受到质疑。
三、行政处罚的援引情况及分析
根据对公开的行政处罚决定书的检索,未发现有援引《个人信息安全规范》的情况。
行政处罚中有引用推荐性标准的实例,但主要集中于产品质量领域,需要有相关法律法规的明确规定。我们认为,假如行政处罚中直接援引《个人信息安全规范》作为处罚依据,是缺乏依据的。
四、司法判决的援引情况及分析
目前能检索到两份裁判文书在说理部分(即“本院认为”)援引了《规范》,分别为:
深圳市腾讯计算机系统有限公司、腾讯科技(深圳)有限公司商业贿赂不正当竞争纠纷一审民事裁定书【(2019)津0116民初2091号】
“……目前,我国《消费者权益保护法》、《信息安全技术个人信息安全规范》及《网络安全法》等系列法律法规都对网络用户等消费者个人信息保护提出了明确的要求。……”
“马适之、张立一审刑事判决书”【(2018鄂0528刑初52号)】
“……同时,《信息安全技术个人信息安全规范》(国家标准)亦将个人电话号码、网页浏览记录列入个人敏感信息范畴。……”
尽管上述裁判文书在说理部分提及了《个人信息安全规范》,但一份仅是作为背景信息介绍,另一份是为了论证相关个人信息属于个人信息敏感信息,均不是作为裁判依据而援引。这是因为根据最高人民法院的相关规定,法院的裁判文书不能援引推荐性标准作为裁判依据,但可以在说理部分援引。
《最高人民法院关于裁判文书引用法律、法规等规范性法律文件的规定》第二条规定裁判文书中引用的规范性法律文件只包括“法律及法律解释、行政法规、地方性法规、自治条例或者单行条例、司法解释”,而不包括国家标准;而在第六条规定其他规范性文件“根据审理案件的需要,经审查认定为合法有效的,可以作为裁判说理的依据。”
《最高人民法院关于加强和规范裁判文书释法说理的指导意见》(法发〔2018〕10号),亦指出:“除依据法律法规、司法解释的规定外,法官可以运用下列论据论证裁判理由,以提高裁判结论的正当性和可接受性:……公理、情理、经验法则、交易惯例、民间规约、职业伦理;立法说明等立法材料;采取历史、体系、比较等法律解释方法时使用的材料;法理及通行学术观点;与法律、司法解释等规范性法律文件不相冲突的其他论据。”
由于法律法规的规定往往较为原则性,当出现法律无具体规定时(尤其在《个人信息保护法》出台前),作为在行业中被广泛参考的推荐性标准,法官还是有很大可能会参考《规范》以判断是否构成个人信息、在保护个人信息中是否存在过错,而无论是否在裁判文书的说理部分直接引用《规范》的原文。因此,认为《规范》对于司法裁判并无实际影响的观点,我们也是不认同的。事实上,在我们接触的个人信息相关诉讼案件中,原被告双方通常都会就是否违反《规范》进行辩论。
五、其他标准/规范的援引情况及分析
个人信息保护的标准体系,除了《规范》外,还包括多个标准。在《规范》之后起草的诸多标准或文件,在“规范性引用文件”部分,基本都会提及《规范》,包括但不限于:
公安部网络安全保卫局、北京市网络行业协会、公安部第三研究所《互联网个人信息安全保护指南》
中国人民银行《个人金融信息保护技术规范》(JR/T 0171-2020)
App专项治理工作组《App违法违规收集使用个人信息自评估指南》
信安标委《个人信息去标识化指南》(GB/T 37964-2019)
信安标委《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》
信安标委《信息安全技术个人信息告知同意指南(征求意见稿)》
信安标委《移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)》
信安标委《生物特征识别信息的保护要求(征求意见稿)》
信安标委《信息安全技术个人信息安全工程指南(征求意见稿)》
信安标委《健康医疗信息安全指南(征求意见稿)》
信安标委《个人信息安全影响评估指南(征求意见稿)》
除上述规范外,其他引用《规范》的标准、规范、指南也在不断增加,尤其是信安标委起草的关于个人信息保护的相关标准。可以说《规范》已成为个人信息保护领域的底层规则,其定义和基本规则也被其他大量规则所参考、吸收,包括由公安部、央行发布的相关规范。目前来看,由于其天然的复杂性,个人信息保护领域以推荐性标准为主,尚未出现强制性标准直接引用《规范》的情况。
六、证券交易所问询的援引情况及分析
在企业上市过程,数据相关问题也被高度关注【有兴趣可参考:企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点);以及企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)】,证券交易所根据包括《上市公司信息披露管理办法》在内的有关法律法规和内部规则,在其履行职权的过程中可能会发出问询函,而对于相关问题的回答,会影响到企业能否顺利上市或重组。
援引情况:
深圳证券交易所创业板公司管理部于2018年6月29日出具《关于对北京梅泰诺通信技术股份有限公司的重组问询函》(创业板许可类重组问询函【2018】第27号)。其中问题9,“(2)请补充说明标的公司对用户信息的收集、传输、保存及应用的现状是否符合2018年5月1日实施的《信息安全技术个人信息安全规范》的要求。若否,请充分提示相关风险并说明后续整改措施。”
上海证券交易所于2019年10月12日出具《关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市申请文件的第二轮审核问询函》。其中,问题11:关于数据来源合规性中,要求发行人说明:“(4)发行人使用用户数据是否合法合规,请对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《信息安全技术个人信息安全规范》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的情况,是否存在法律风险或潜在法律风险”。
从上述问题和我们之前的文章中可以观察到,证券交易所对于企业是否合法合规收集使用数据越来越重视,问的问题也越来越细致,相信之后在证券监管机构和交易所的问询中,《规范》也会越来越多地被引用。
七、总结
从上述的梳理不难看出,《规范》在实践中被援引的情况,从效力上说和其他推荐性标准并无本质区别,始终未被赋予强制执行力,如果确实未能达到相关要求,并不会导致直接的处罚。但从实际影响上来讲,《规范》在事实上成为个人信息领域最重要、被广泛援引的参照标准,是个人信息保护各主体之间的公约数。从这个意义上讲,在实务中不妨将其理解为“准强制性标准”,在合规工作中尽量达到其要求。(完)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
DPO社群成员观点