正式发布国家标准《信息安全技术个人信息安全规范》

继2017年12月《信息安全技术个人信息安全规范》发布之后，时隔两年多，历经两次公开向社会征求意见，3月6日，《规范》有了新的变化调整，包括：

新增「多项业务功能的自主选择」「用户画像的使用限制」「个性化展示的使用」「第三方接入管理」「个人信息处理活动记录」等多项内容，并将个人生物识别信息的要求细化并完善。

在收集个人生物识别信息前，需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则，并征得用户的明示同意；其次，个人生物识别信息要与个人身份信息分开存储，原则上不应存储原始个人生物识别信息。

新版《规范》能否为个人信息安全栓上一道「锁」，让我们拭目以待。

3月6日，国家市场监督管理总局、国家标准化管理委员会正式发布国家标准《信息安全技术个人信息安全规范》（下称《规范》），并定于2020年10月1日实施。

该《规范》对个人信息收集、储存、使用做出了明确规定，并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。

一、《信息安全技术个人信息安全规范》早有渊源

早在2017年12月，全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017《信息安全技术个人信息安全规范》就已正式发布，当时《规范》规定将于2018年5月1日实施。

2019年6月，据App专项治理工作组显示，《规范》公开向社会征求意见，截止10月，标准编制组共收到并处理意见约400条。基于各单位反馈意见以及App违法违规收集使用个人信息专项治理工作实践经验。

此后，标准编制组对征求意见稿版本予以补充完善、优化和更新，2019年10月24日，《信息安全技术个人信息安全规范》最新版征求意见稿（简称「新版征求意见稿」）对外发布。相比6月份的征求意见稿，新版征求意见稿规定，App应提供简便易操作的注销功能，核验身份时不得要求用户提供超过注册、使用时收集的个人信息。

二、不应存储原始个人生物识别信息

2020版《规范》继续沿用了2017版的七大原则，分别是：权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则。

与2017版《规范》相比，2020版也有了新变化。

首先，个人信息安全规范无外乎用户隐私泄露问题，而从2019年10月「人脸识别第一案」到之后爆出的人脸照片黑色产业链，以及各类APP「换脸大法」，都让个人隐私成为技术发展应用后，大众追问的话题，便利用户、技术运用不应该成为窃取用户隐私的「遮羞布」。

针对个人生物识别信息方面，新版《规范》也提出具体的解决措施。

《规范》规定在收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

第一，个人生物识别信息要与个人身份信息分开存储；

第二，原则上不应存储原始个人生物识别信息，可采取的措施包括但不限于：

仅存储个人性别信息的摘要信息；在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

其次，此版《规范》增加了「多项业务功能的自主选择」「用户画像的使用限制」「个性化展示的使用」「基于不同业务目所收集个人信息的汇聚融合」「第三方接入管理」「个人信息安全工程」「个人信息处理活动记录」等内容。

在「多项业务功能的自主选择」方面，根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求，划定产品或服务的基本业务功能，产品或服务所提供的基本业务功能之外的其他功能，划定为扩展业务功能。

据《规范》显示，扩展的业务功能，应允许个人信息主体逐项选择同意。用户不同意的，个人信息控制者不得反复征求用户同意，除非用户主动选择开启扩展功能，且不应拒绝提供基本业务功能或降低基本业务功能的服务质量。

在选择同意的流程中，《规范》建议，应通过如弹窗、文字说明、填写框、提示条、提示音等形式进行提示，并且要让用户主动做出肯定性的动作，比如勾选、点击「同意」或「下一步」。

在「个性化展示的使用」方面，App在提供业务功能的过程中使用个性化展示的，应显著区分个性化展示的内容和非个性化展示的内容，比如标明「定推」字样。同时，App应提供不针对用户特征的选项。《规范》还建议，App向用户提供个性化展示的，宜建立用户对个人信息（如标签、画像维度）的自主控制机制，保障用户调控个性化展示相关程度的能力。

当个人信息主体选择退出个性化展示模式时，应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

最后，在征得授权同意的例外中，《规范》明确，隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则，不应将其视为根据个人信息主体要求签订和履行的合同，并在此基础上修改「征得授权同意的例外」「个人信息主体注销账户」「明确责任部门与人员」「实现个人信息主体自主意愿的方法」等内容。

《规范》持续强调个人信息控制者应承担的义务，并新增要求「不强迫接受多项业务功能，即当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不应违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求」，但目前尚未明确定义个人信息处理者、个人信息联合控制者、个人信息外包方等角色应履行的义务。