2018年1月，國家標準《信息安全技術 個人信息安全規范》（以下簡稱“規范”）獲批發布全文。盡管這是一部推薦性的國家標準，不具有強制力，但仍引起了學界與實務界的廣泛關注。

在關于規范的各類解讀中，有聲音認為規范的發布及時地填補了現今個人信息保護中諸多技術細節與實操領域的規范空白；也有聲音認為，這部國家標準規范比歐洲與美國對于個人信息保護的要求更為嚴格，可能會影響行業的發展。

洪延青：

對“《個人信息安全規范》比歐盟與美國更嚴格”觀點的幾點回應

對于種種理解，規范的起草人之一、北京大學互聯網發展研究中心高級顧問洪延青近日在由中國互聯網協會研究中心主辦的“網絡產業與《個人信息安全規范》國家標準研討會”上做出了幾點回應。

1、《個人信息安全規范》比歐洲更嚴格嗎？

-用戶“同意”在規范中處于核心位置，但并非沒有考慮“正當利益”

在近日發布的《個人信息安全規范》中，對于個人信息的收集、轉讓、共享等各個環節中，都對用戶的“明示同意”做出了要求。

洪延青表示，個人信息所謂全生命周期每個環節，個人都是能參與到過程中去的，這些權利是《網絡安全法》賦予的。

洪延青介紹，《網絡安全法》（以下簡稱“網安法”）對個人信息保護的規定有一個非常顯著的特征，就是給個人特別強的控制權。比如說，收集使用需要個人的同意，即經被收集者同意；處理和保存必須遵循與用戶的協定；如果違反用戶的協定處理或者保存個人信息，用戶有刪除和更正的權利。當發生安全事件之后，還需要通知到用戶。

從這個方向來看的話，個人的“同意”，在處理個人信息過程中處于核心的地位。因此，有觀點認為，這份標準中對于“同意”的要求甚至比歐洲GDPR（《一般數據保護條例》）更為嚴格，理由是 GDPR有六個合法正當處理個人信息的事由，同意是第一項，后面五項不需要同意。第六項是正當利益。

洪延青對此持不同意見，他解釋，GDPR中有兩種同意的方式，一種是明示同意（explicit consent），指明確寫著“我同意”的字樣讓用戶點擊或勾選。而另一種是授權同意（unambiguous consent），指通過點擊“發送”或者點擊“撥打”等動作表明同意，但并不出現明文“同意”。

洪延青介紹，在此次發布的《個人信息安全規范》中，是將以上兩種情況合并為“明示同意”，同時也為“授權同意”留下了空間。

“為什么規范中沒有提及默示同意？”，洪延青解釋，首先，這樣寫怕企業會濫用默示同意。其次，目前承認“授權同意”，是希望互聯網企業做到明示同意，但如果現實大量的場景做不到明示同意的話，還是需要用到授權同意的。“從這一點上我們的標準實際上比歐盟松得多，跟相對寬松的美國相對是看齊的”，洪延青說。

而對于一些看法認為，歐盟GDPR中還考慮到“正當利益”的狀況，即個人信息對某個組織來說非常重要，有重大的利益，但是處理個人信息對個人合法權益的影響非常小的情況下，通過利益權衡，允許組織不經過同意處理個人信息的做法。

洪延青表示，首先，“同意”的要求沒有任何例外情況，這是遵循了網安法的要求，在其第41條的第一款中寫“經被收集者同意”，這里沒有給任何例外，如果網安法想給例外，這一條就完全另外一種寫法，比如說，“有法律法規授權或者其他正當事由或者經被收集者同意”， 但是，（最終的網安法）沒有“或”字，原文是“經被收集者同意”，字面上理解的話，遵循法律原意就是各個環節被收集者同意。包括后面條款說到，“未經被收集者同意，不能向他人提供”。這也是法律的原話，同意是提供的主要事由之一。當然后面提了一句如果匿名化不需要個人同意。

其次，洪延青指出，在現實中有什么樣的場景經常用到正當利益，法院或者行政機關認可的站得住腳的對正當利益的使用實例，那么我們考慮寫到“征得授權同意的例外”中。比如說產品出了一個故障，肯定需要回傳一些信息做調試，再比如說需要計費，為了計費的目的肯定要收集個人信息。這時候，雖然在國外，這叫正當利益的具體表現，但是我們沒有寫“正當利益”四個字，而是盡量把它放到“征得授權同意的例外”當中去。

當然，由于例外只能列舉，不可能代替 正當利益 所給的靈活性，所以會有人讀起來覺得規范太嚴了。”洪延青表示，規范只能在網安法的框架中制定，不可能超越法律的框架。

2、《個人信息安全規范》比歐洲更嚴格嗎？

-要求區分核心與非核心功能，實則可以降低企業問責風險

在此次發布的規范中，還對此前受到用戶詬病的產品隱私政策“一攬子”授權的狀況做出了改善的建議。

目前的互聯網產品或服務在注冊時大多會提供用戶協議或隱私政策，作為與用戶簽訂的個人信息使用處理的同意。但通常文本較長，專業術語眾多。因此有用戶認為隱私政策長文本晦澀難懂，還有“一攬子”要求用戶授權的嫌疑。

洪延青對此解釋，隱私政策長文本的讀者并非只有用戶，還包括專家、法律人士及第三方監督機構。因此長文本的全面專業依然有必要。

但他同時強調，即便點擊了隱私政策長文本的同意，并不意味著附加功能同時一并打開。在現實使用中，還是需要再次點擊同意。

洪延青介紹，為了破解“一攬子”授權的情況，標準建議企業區分核心功能和附加功能。用微信舉例，微信核心功能是聊天，在實現這個核心功能中需要收集敏感信息或是普通個人信息，用戶為了使用微信，都需要提供。但例如微信上的理財等功能，則明顯屬于附加功能，如果用戶只想聊天，不想用理財，就不能認為同意了隱私政策就也同意開通了理財功能？所以規范建議企業在告知時區分核心和附加功能。

洪延青表示，在此前四部委進行的十家互聯網產品評測中，一些企業雖然開始認為區分核心與非核心功能不容易，但在實際操作后，反而成為一個非常明晰的風險防控手段。將來面對消費者或者消協投訴時，可以由于做了核心或者附加功能的區分，而降低問責成本。

同樣，此次規范對于個人敏感信息做出了增強式同意的要求，亦或是強調用戶同意在各個環節的核心作用，實際上都是為了降低問責成本。洪延青介紹，實際上無論是歐盟還是美國，對于要尊重用戶“正當期待”也都有要求，即需要遵守與用戶的約定，要尊重用戶的“正當期待”（ reasonable expectation），這并非是中國才有。

洪延青表示，同意的要求變低，問責的要求往往就變高了。因為在現實中，這會讓判斷會更模糊，這會讓內部合規考量更多更復雜。反而，在現在《網絡安全法》框架下，同意比起問責，是相對容易做的事情。

需要注意的是，規范的發布對于企業內容合規提出了更明確的要求，洪延青介紹，完整性、保密性、可用性一直以來都是網絡安全行業熟知的三個特性。此外，如今的合規，還要求企業劇本透明性（數據的處理、流轉要透明）、可干預性（如果需要刪除或更正，需要劇本溯源追究的能力）、不可聯結性（在大數據平臺中，不同場景不同目的的數據不能聯結）。

洪延青認為，如果說個人信息系統要討論合規性的話，要實現六個性，內部必須有數據分級分類、數據打標、數據地圖、數據血緣關系、數據流向、留痕審計。這些都是基礎的合規能力，用于滿足的是對個人信息特殊對象的保護而不是對普通數據的保護。

洪延青還透露，目前《個人信息安全規范》已經發布，個人信息安全影響評估正在起草中，這一文本將會對企業合規的差距進行分析，并針對未來的新技術、新業態、新技術留出空間。個人信息安全影響評估將對企業合規有更明晰的指導性。

3、《個人信息安全規范》比歐洲更嚴格嗎？

“個人信息”的定義并非全世界最嚴，與歐盟程度仍拉開了距離

《個人信息安全規范》附錄A中有某項信息是不是個人信息的判斷。洪延青介紹，規范的定義考慮兩個路徑，一是識別路徑，即由信息本身特殊性識別出特定自然人。二是關聯路徑。 關聯路徑的前提是，個人已經識別出來了，他后續做的一系列動作，又被系統記錄了，顯示出他的偏好和行為軌跡，這些也屬于個人信息。

洪延青指出，一些社交平臺，把身份信息保護得很好，例如帳戶、用戶名、手機號、身份證號、家庭住址等等。但是，卻把用戶的朋友關系網絡，例如特別關注的好友，屏蔽了誰，不屏蔽誰等等，叫做系統日志信息，而沒有定義為個人信息，這是不合理的。他表示，在一些場景下，身份信息往往并沒有行為信息更隱私，更需要保護。

此外，還有專家評論，識別是歐盟經常用的路徑，關聯是美國經常用的路徑，把識別和關聯都加起來，標準比美歐都嚴。洪延青認為這是一個誤讀。

據洪延青介紹，歐盟GDPR中的個人信息定義中，本身就包括“可識別”（identifiable ）與“已識別”（identified），這實際上已經把識別和關聯都包含在內了。所以規范首先并沒有超過歐盟的嚴格程度。

需要注意的是，歐盟語境中的“身份“（identity）一詞的內涵遠比中文語境中“身份”更寬泛。中文語境的“身份”一本指的是工作單位、職位，職級等等。但是歐盟GDPR對“身份”的定義，則包括physical（身體的）, physiological（生理的）, genetic（基因的）, mental（精神的）, economic（經濟的）, cultural or social （文化與社會的）identity（身份）。 舉例來說，一個人的性取向，在中國語境里并不認為是“身份”，但在歐盟就會認為是身份的一種。因此歐盟個人信息定義中包含的內容遠大于中國。

而美國的情況也是如此，美國商務部下國家標準與技術研究院標準PⅡ將個人信息定義為兩類，第一類是能夠用來區別（distinguish）或勾勒個體身份的信息，第二類是能夠和個人相關聯的信息。洪延青解釋，美國的定義也是包括了關聯與識別兩類。

洪延青表示，規范在制定時，可能會比美國稍嚴一點，但是絕對不會比歐洲更嚴，而且與歐洲拉開了一定的距離。

洪延青在發言的最后強調，法律往往都是框架性的要求，制定標準一定會在《網絡安全法》的框架內，如果未來能夠出臺個人信息保護相關的專門法，那么規范會在那時候再適時做出修改，反映有彈性的操作空間。

吳沈括：《個人信息安全規范》提供了新的業務參照和行為指引

“在大數據、云計算、物聯網以及人工智能等新一代信息技術迅速普及、推廣的當下，個人信息與數據治理的戰略意義日益凸顯”，會議伊始，主持人、中國互聯網協會研究中心秘書長吳沈括在發言中表示，包括規范在內的一系列政策、法律法規相繼頒布施行，反映了主管部門對民眾權益、產業發展和國家利益的高度重視，也折射出中國個人信息保護追求多元價值集合的鮮明特色。

吳沈括認為，在網絡安全法治框架下，規范立足信息安全的維度，厘定、闡明了個人信息安全保護領域的諸多重要問題，如“個人信息”的基本定義、個人信息安全的基本要求等；并突出了個人信息全生命周期動態調節的機制特色。他指出，在目前我國個人信息處理規范相對不足的情況下，規范在實際操作層面填補了諸多空白，為提升公民意識、企業合規和國家監管水平提供了新的業務參照和行為指引。

在附錄中，規范將具備識別特定自然人或者在一般情況下可以關聯到自然人的信息納入了個人信息的范疇。吳沈括對南都記者表示，這是因為規范的出發點是管控風險，其核心在于盡量降低在收集、處理個人信息過程中對個人合法權益造成的不利影響。

此外，附錄還將通過日志儲存的用戶操作記錄、IMEI信息、設備MAC地址等列入了個人信息范疇。不過，吳沈括強調，規范的附錄屬于“資料性附錄”，而非“規范性附錄”，兩者的區別是：后者是構成標準整體的不可分割的部分，其效力等同于標準正文；前者則僅限于提供參考，不具備與標準正文同等的效力。

吳沈括指出，作為國家推薦性標準，規范的適用主體不僅限于網絡企業，還包括所有個人、企事業單位和國家機關。“事實上，規范更恰當的功能定位應當是一個有關個人信息處理業務合規指引的一攬子推薦性解決方案，屬于公共產品的范疇”，他進一步解釋說，除非行為主體主動承諾、有權機關明確援引或法律規范直接認可，規范本身不直接產生行為約束力，也并非行政性規范，更不應在刑事責任層面產生實質性意義。

“個案思維和總體風險可控是兩個維度的問題，在《個人信息安全規范》的個案運用中，特別需要注意行為邊界的精準厘定”，吳沈括強調，規范的實際價值需要在 5月1日正式施行后，結合政府機關以及龍頭企業的示范效應，尤其是有關部門的執法實踐做出進一步的跟蹤研判，同時還應特別注意數據跨境下的國際博弈可能產生的反向影響。

許長帥：個人信息保護立法應劃分行政監管邊界

中國信通院工業和信息化法律服務中心副主任許長帥在會上做了主題發言。他認為，雖然規范只是推薦性國家標準，但對于日常監管卻有重要參考作用，可通過“轉化”的方式，把規范融入到日常監管當中。此外，在后續的個人信息保護立法中，還應重點解決監管部門分工以及劃分行政監管邊界的問題。

規范可通過“轉化”融入日常監管

近日，《個人信息安全規范》全文在國家標準全文公開系統上線。作為《中華人民共和國網絡安全法》（以下簡稱“網安法”）的配套標準，規范從收集、保存、使用、共享、轉讓、公開披露等個人信息處理活動方面進行了詳細規定。

“《個人信息安全規范》在網安法的框架內做了 打開 ，對實務有很好的指引作用，這一點是毋庸置疑的”，許長帥指出，網安法關于個人信息保護的規定條款較少，且多為原則性條款，而規范在此基礎上給出了更加詳細、明確的規則。此外，規范的出臺符合產業發展的需要，也更靠近國際上通行的做法。“規范實施后積累的實踐經驗，將為后續的個人信息保護立法打下很好的基礎”。

值得注意的是，規范屬于推薦性國家標準，和強制性國家標準不同，不能作為執法的直接依據。對此，許長帥提出了一個對策，即通過“轉化”的方式，把規范融入到日常監管當中。

許長帥表示，網安法中雖然給出了個人信息的定義并列舉了其中一些，但對于沒有被列舉的信息中，還有哪些屬于個人信息，尚無統一標準。規范作為有一定效力的國家標準，詳細列舉了個人信息、個人敏感信息的范圍，完全可以融入網安法適用中。不過，盡管監管部門可以將規范當作執法指引，卻不能成為執法依據。

同樣的，執法部門后續制定規章和規范性文件的時候，可以參照規范所確定的規則，將相關制度融入到規章和規范性文件中，但不能將規范作為這些規章和規范性文件的立法依據。

企業違反規范是否需要承擔法律責任？

對企業來說，規范在產業中的作用完全靠企業自主采用，就算企業不采用，也無需承擔法律責任。但是，如果企業對外承諾或者宣稱采用了規范而實際未采用，是否需要承擔相應的法律責任？

許長帥認為，根據《標準化法》第27條“企業應當按照標準組織生產經營活動，其生產的產品、提供的服務應當符合企業公開標準的技術要求”和第36條“企業生產的產品、提供的服務不符合其公開標準的技術要求的，依法承擔民事責任”，企業需要承擔民事責任。

此外，許長帥還類比了《產品質量法》第26條“產品質量符合在產品或者其包裝上注明采用的產品標準”，提出該法通過合格產品制度，要求產品對外宣示采用了哪個推薦性國家標準，如果實際上沒有達到，執法部門可以進行處罰，即企業需承擔行政責任。

相比之下，個人信息保護所屬的服務領域就缺少類似規定。許長帥建議，未來個人信息保護立法應設計把個人信息保護推薦性國家標準轉化為具有法律約束力的要求的制度。“如果沒有做到，企業除了民事責任以外，還要承擔行政法上的責任，這樣可能更有利于企業的良好經營”，他說。

許長帥還指出了執法過程中可能出現的另一個問題。網安法第41條規定, 網絡運營者收集、使用個人信息，應征得被收集者同意，并在第64條明確了相關罰則。規范也明確，收集個人信息應獲得個人信息主體的授權同意，另外又列舉了針對此條規定的例外情形。比如在與國家安全、國防安全直接相關的情形下，個人信息控制者收集、使用個人信息無需征得個人信息主體的授權同意。

“假如企業說我是在規范列舉的例外情形下，沒有告知就收集了用戶的信息，而用戶依據網安法第41條和第64條要求執法部門處罰企業，應該如何執法？”許長帥提出，現階段國家法律和規范之間仍存在一定差異，可能需要通過立法解釋等方式解決，將來個人信息保護立法也應吸收規范的例外規則或其他要求。

后續個人信息保護立法要與執法做預判或銜接

談到后續的個人信息保護立法，許長帥認為，有兩個需要注意的問題。

一個是監管部門的分工問題。網安法沒有明確規定具體的執法部門和主管部門，而個人信息保護問題涉及各個行業和領域，很難一一對應，因此實踐中形成了分散監管的模式。許長帥舉了一個在淘寶平臺售賣醫療器械的例子：既然客戶有購買醫療器械的需求，就說明家里有人需要器械輔助，那就很可能也需要家政服務，于是賣家將收集到的客戶信息出售給家政服務公司，一個利益鏈條就串起來了。

“這種情況下，既涉及受電信部門管理的互聯網信息服務，又涉及受工商部門管理的網絡交易，還涉及受食藥監部門管理的醫療器械，被侵犯個人信息的客戶找誰投訴、找誰解決呢？”許長帥指出，誰來監管的問題需要立法部門在個人信息保護立法時重點解決。國外大多采取統一的監管模式，對用戶來說有很多的便利，但也必須綜合考慮統一監管涉及的執法力量、執法負擔以及執法能力等因素。

另一個是行政監管的邊界問題。許長帥指出，個人信息保護是在服務過程中存在的，發生糾紛應該首先尋求司法解決。但實際情況卻是大多數人會第一時間找行政部門投訴和舉報，試圖通過信訪、依法履職、投訴等途徑解決。

近兩年，與網絡有關的投訴、舉報和依法履職申請案件急劇增加，行政復議和行政訴訟的案件更是呈幾何級增長。許長帥認為，這導致了極大的行政資源浪費。“個人信息保護涉及的服務是市場行為，產生的問題應該在市場規律下走司法途徑解決，不是說政府部門負責某一行業的個人信息保護，這個行業出現的所有糾紛都要通過行政手段解決，這已經被證明是做不到的，況且行政成本說到底還是攤到公眾頭上。”

因此，許長帥建議，個人信息保護立法要明確劃分行政監管的邊界，與后面的執法做一個預判或銜接。如果前期立法的規則設計處理好了，為行政監管劃清界限，個人信息保護的大部分案件就可以通過司法途徑解決，有效減少行政執法糾紛。