上海WTO事务咨询中心

全球贸易投资研究咨询中心
世界产业运行研究咨询中心
首页>WTO动态研究>中国个人信息标准:隐私法的改革之路

中国个人信息标准:隐私法的改革之路

18-01-09

2017年9月5日,中国政府计算了“信息安全技术——个人信息安全明细”的最新一版草案标准(‘标准’),现已提交至国家标准化委员会等待通过。由国家信息安全标准化技术委员会(‘TC260’)提出并管理的该标准规定了大多数详尽的明细,供中国政府对私有或公共部门解读并应用现有的数据保密法律。标准的最终版本将有望在2017年12月公布。

在2017年8月30日其他四个用于进一步执行2017年6月1日生效的网络安全法的草案技术标准公布后,紧接着就是该标准的公布。这四个补充草案(同样公开评论)旨在对跨境数据转移,网络产品和服务的通用安全要求,以及关键信息基础设施的安全进行安全评估。

在前一篇文章中,我们评估了2016年网络安全法的数据隐私条例是“中国截至目前最全面并广泛应用的数据安全原则”,比2011-14年实施的处理数据安全的五个主要法律法规更先进。我们指出了2016年网络安全法对数据修正权,信息的删除、反复使用和披露,对用户的违反通知,数据导出限制和数据本地化要求增加了新的、更明确的要求。

然而,依然有一些部分在其他的数据安全法中都有所遗漏,例如明确的用户访问权限、对敏感数据的数据质量和特殊规定的要求,以及无专家数据保护权限(DPA)。明确的用户访问权限的缺失意味着中国法律还未包括数据安全法最基础的部分。

在本文中,我们审视了该标准带给我们的对2016年网络安全法新的理解,以及它是否可以推动中国在完善国家数据安全法的进程中更进一步。

评估“标准”的作用

在讨论新标准的条例细节前,需要先交代一些新标准在中国数据保密体系中的作用的背景。在中华人民共和国标准体系中,标准属于推荐性国家标准(GB/T)。早期的2013年中华人民共和国工业和信息化部指南的标准也是推荐性的,但是属于“国家指导性技术文件” (GB/Z)。这种分类其实也是强制性的,与“强制性国家标准(GB)”原则相悖。

2013年MIIT指南涵盖了类似的领域,但将其覆盖范围限制在公共和商业信息系统上的个人信息(“PI”)。新标准没有这样的限制,并且似乎有针对性地覆盖了公共和私有实体和组织的PI收集活动。可以想见,根据新标准中提出的更详细的规范,2013年的MIIT指南可能会被修改或废除。

尽管这两个标准都缺乏法律效力,但中国法院和监管机构可能会依赖这些标准来评估某一组织的数据保护实践是否符合中国现行的数据隐私法和监管规定中更广泛的草拟条款。最好是所有在中国经营的实体都遵从该标准

负责起草标准的TC260个人数据保护项目的领导人也发表了一个关于网络安全法的数据保护政策的解释,该解释坚持了对标准的目的的理解,并应被视为一个中国政府对采取的整体方法的权威的、平衡的观点。

范围广泛——包括公共部门,及所有私营部门

标准第一条明确表示它包括公共和私营部门:

标准适用于所有组织将其个人信息处理过程标准化。标准也适用于主管机关、第三方评估机构和其他组织监控、管理和评估个人信息安全

对于2016年的网络安全法,虽然中国专家认为它确实适用于公共部门组织,但究竟是否合适还不清晰。

标准的总体覆盖范围也比2016年的网络安全法规要宽泛得多。虽然该法律主要关注“网络运营商”和“关键信息基础设施”运营商的活动,但标准明确了一个更广泛的“个人信息控制器”(PIC: personal information controller),定义为任何有权决定个人信息处理的目的和方法的组织或个人。(第3.4条)

标准也不局限于数字数据,将“个人信息”定义为“以电子方式或其他方式记录的信息”。因此,这种条款扩张表明,标准的目的是全面覆盖所有的个人信息收集和处理活动的参与者,不论公共领域还是私营领域。

“个人信息”——一个传统的还是“革命性的”定义?

关于标准中对个人信息(PI)的定义,我们注意到增加了一些其他的词汇,这暗示了个人信息可能具有革命性的新定义。

首先,标准采取了国际标准“识别能力”方法(任何以电子方式或其他方式记录的信息,均可单独或与其他信息结合使用,来辨别自然人的身份(第3.1条))。这与2016年网络安全法第76(5)条中的文本相似。

然而,标准为PI的定义增加了新的一句话:个人信息还包括可以反映自然人的活动的信息。这表明,个人信息的定义从“识别”个人的信息到任何可能“反映”某人(而不需要识别)的信息。

虽然这个新增定义内容很难理解,它可能是指任何给予一个组织在一个个性化的基础上与个人进行交互的能力的信息——例如不支持PIC识别数据主体的行为目标营销所使用的信息。如果是这种情况,加入的新定义将是超越OECD/ CoE(1980/81)和许多其他立法现有定义的重要一步。这也意味着标准注释1中“个人信息”的大量实例,以及附件A中的长长的列表(“个人信息示例”)(都比网络安全法中列举的更多)都将被采用,不管这些示例是否具有进行识别的能力(根据标准定义)。

中国专家证实,他们认为“识别语言”的使用包括在不知道个人身份的情况下,将个人数据从一个团队或人群中“挑出”这种方法与大部分立法和ISO标准相符。在这种情况下,他们不认为标准对“个人信息”的定义具有超越了欧盟指令或“通用数据保护规范”(GDPR)的意义。然而,其他人可能认为这是一种更激进的用法。中国对这些条款的使用,即使不是一种数据隐私法的革命性改变,也至少是全球最先进的。

这一解读与标准的澄清声明中关于“匿名化”数据不是个人信息(下文有讨论)是否相悖?我们不这样看,因为标准建立了三种不同的数据类别:

  1. 可识别数据:即PIC具有识别数据对象的能力的个人信息。
  2. 不可识别数据:PIC无法识别数据对象,但却能够与那个人进行交互(比如行为广告或其他“可反馈”信息的使用)。该数据并没有被匿名化,但是它不能被PIC识别(即个人身份信息可以恢复,但现阶段不是通过PIC)。因此。此类数据既不能识别,也不能匿名。
  3. 匿名数据:被匿名处理的数据(即处理后的个人身份不能被恢复),无论它最开始是属于第一类还是第二类信息。它不再是PI,可以用于行为营销或其他用途,而不考虑隐私法律。

    这种对影响个人的数据的三种分类反映了目前的现实,因此可以对标准的PI的定义作出合理的解释。然而,中国当局采用这种具有潜在革命性的“反思”语言所希望实现的目标需要进一步明确。

    “匿名”和“不可识别”数据

    如上所述,标准谨慎的区别了“匿名”和“不可识别”个人信息。

    “匿名化”被定义为“处理个人信息,使个人资料主体不可识别,并使处理后的信息无法恢复的技术程序”(这可能意味着“重新辨别”)(第3.13条)。在这里,信息被匿名化,以至于没有任何其他的数据或技术程序可以撤回并识别数据主体的可能。该标准的一份说明澄清了“被匿名化的个人信息不属于个人信息”,从而解决了网络安全法律中一旦个人身份识别“不能从数据中恢复”,安全与其他义务是否会依然存在的界限模糊的问题(第42条)。

    另一方面,“不可识别数据”和匿名数据一样经过类似的技术处理,但“不可识别数据”通过其他信息的帮助依然可以被识别。例如,在使用假名(而不是用户的真实姓名)保存的数据时,可以通过对其中包含的特定信息的分析,或者借助其他信息,最终找到这个使用者。

    虽然这些条款清楚地表明匿名的数据不受数据隐私保护,但仍不清楚个人信息的拷贝是否也可以匿名(这样一份拷贝就不会受到隐私限制)。因此,2016年网络安全法和标准是否允许这些经过匿名的个人数据的“大数据”处理还不明确,但权威评论认为,这可能是事实,我们希望这是正确的解释。

    强烈建议PIC在收集的个人信息时能“立即消除识别信息”。在PIC收集后,“个人信息应立即消除识别信息…应采取技术和管理措施分别存储消已不可识别信息和可以用来恢复身份的信息,它应保证任何特定的个人信息都不会在后续处理中被识别”(第6.2条)。这些都是强有力的安全措施。这样的信息在处理过程中仍然是“个人信息”,因为它是以一种可分类但不可识别身份的方式进行处理的。然而,这些规定并不能解决仍在进行处理的个人信息是否被匿名化的问题。

    强烈建议PIC进一步在信息处理结束或“个人数据主体关闭其账户”后“立即”“删除或匿名个人信息”(第8(b)条), 换言之,一旦个人信息无论因各种原因完成使用,它就不再是个人信息(甚至也不是不可识别个人信息)。

    在处理后,控制器进一步强烈建议“尽快删除或匿名化”个人信息(art)。6.4(c)),以及“[a]fter,个人资料当事人关闭了他们的账户”(art)。8(b))。换句话说,一旦使用了这些信息,不管出于什么原因,它可能不会被当作个人信息(甚至是去识别的个人信息)。

    PIC必须执行一个年度PIA,包括评估“匿名化或去识别后数据恢复个人数据主体信息的风险”(第10.2(b)(4)条)。

    “敏感”信息受保护

    网络安全法律没有对“敏感”信息的类别提供特殊保护,而此前中国的法律也没有这样做,除了2013年的MIIT指南采用了类似的“潜在负面影响”的方法,而这在新的标准中也有采用。

    标准将“个人敏感信息”定义为“个人信息泄露、暴露或滥用,容易危及人身和财产安全,容易导致个人名誉和心理健康的损害,或导致歧视性待遇”(第3.2条)。注释1增加了一个简短的示例清单,附件B提供了泄漏、非法供应和滥用的风险的更多细节和例子,这些都可能是“敏感信息”。它还补充说,一般来说,14岁以下儿童的个人信息和自然人的私人信息应属于个人敏感信(表B.1)。个人敏感信息的例子将这类信息分为不同类别:“个人财产信息”、“病理和健康信息”、“个人生物特征信息”、“个人身份信息”、“网络身份信息”和“其他信息”(包括许多法律包括的“敏感信息”)。

    被认为是“个人敏感信息”的信息需要:

  • 要求收集明确的同意,即用户的书面同意或“主动认可”(第5.5条),并需要信息收集的通知(详见附件C)。
  • 要求14岁以下个人需要监护人同意(第5.5(c)条)。
  • 必须使用加密或其他安全措施进行存储,而且只有个人生物特征信息可以存储(第6.3条)。
  • 必须实施特殊访问限制(第7.1(e)条)。
  • 一旦该类信息需要被分享或传递,数据主体必须被通知到(第8.2(c)条)。
  • 如果此类信息将被公开,数据主体必须被通知到(第8.2(c)条),而个人生物特征信息不可被公开(第8.2(f)条)。
  • 紧密接触此类信息的员工必须经过背景调查(第10.4(a)条)。

    这些要求对标准适用的个人数据处理的其他方面的详细程度给出了一个很好的概念。并不是所有的数据隐私法或法规都是如此的彻底,尽管中国当局将如何主动将有关敏感信息的规定应用到实际操作中,仍有待观察。

    数据主体访问权限

    网络安全法或任何其他法律法规都未明确规定数据主体拥有访问组织所持有的PI文件的权利,尽管一些法律有规定数据主体拥有纠正文本信息错误的权利。相反,标准在三个方面的权利都做出了相关规定,数据主体应该拥有访问自己PI文件的权利,并明确了应该可以访问的内容有哪些。

    在第7.4条中,对数据主体提供了相当广泛的访问权:

    PIC应提供数据主体查阅下列资料的权利:(a)有关数据主体的个人资料,或个人资料的类别;(b)上述个人资料的来源,以及使用该资料的目的;(c)获得上述个人信息、身份或类型的任何第三方(第7.4条)。

    这一条款在“主体参与原则”的文件中被反复重申。“主体参与原则”要求PIC“提供个人数据主体的访问、修改和删除个人信息的方法”(第4(g)条)。标准还要求PIC的强制性的隐私政策必须制定出“个人数据对象和实现机制的权利,如访问方法,纠正、删除、取消账户,撤回同意,获得个人信息副本,限制信息系统的自动决策等等。”(第5.6条)。附件C给出了一个如何实现的示例。

    最后,标准规定应在30天内对数据主体的请求做出回应,而且数据主体不需要为“合理的请求”付费,标准还规定了PIC“可能拒绝请求”的情况列表(第7.11条)。

    中国电子商务法的最新草案也包含了类似的“访问权”,意味着这些要求可能很快会在未来的法律法规中得到更正式的采纳。

    信息收集遵循“最低限度”

    网络安全法规定,PIC必须“遵守合法、适当和必要的原则”,禁止他们收集“与他们提供的服务无关的个人信息”(第41条)。该标准通过一种更严格的方法来进行修订,规定“收集的个人信息应与产品或服务的业务功能的描述完整直接相关,如果没有收集到的个人信息,产品或服务的业务功能描述就不能完成”(第5.2(a)条)。这与“需求测试”的最低信息收集限度,或者第5条标题的“最低信息限度标准”是一样的。

    进一步的“最低限度”要求是,自动收集的频率应满足必要的最小频率,而间接收集的信息数量应满足必要的最低限度(第5.2(b)(c)条)。

    自动化信息处理限制

    标准新增的另一个部分是当PIC基于信息系统(如个人信用,贷款限制,或根据用户配置的面试筛选)做出自动决策时,数据主体需要提供“处理方法”(‘methods to appeal’),因为该类自动化决策将极大的影响个人信息主体的权利和利益(第7.10条)。欧盟数据保护法令也存在类似的限制,但在中国的网络安全法或其他法律中却没有。

    结论

    标准是我国数据隐私保护发展的重要一步,极大扩大了隐私保护的范围:“个人信息”定义的潜在广度;首次将“个人敏感信息”纳入保护范围;明确包含正确的访问权限;设立信息收集最小标准,并呼吁反对自动化信息处理。必须要重申这篇文章讨论的只是一个标准草案,标准的最终方案可能会出现分歧,这将需要进一步分析。

    标准对中国企业运营最重要的启示有:

  • 它适用于所有涉及“个人信息处理”的私营机构,包括顾客、雇员或其他所有人。
  • 即使“个人信息”目的不在于扩大欧盟对个人信息定义的范围,其内涵确实比一些欧洲或类似的法律更广泛。因此,至少在中国当局明确做法之前,在使用任何与人有关的数据时都必须相当谨慎。
  • “个人敏感信息”的定义既是开放的,但它的类别名目要比许多其他法律更广泛,因此需要非常小心。
  • 特别注意与数据主体访问权限、数据收集最小化标准和对自动信息处理的限制相关的义务,因为这些在其他法律中都没有。

    这篇文章只关注标准对网络安全法和早期法律增添的部分。标准还比以前更详细地阐明了许多其他方面,尽管这些问题在原则上并没有重大的偏离。这些问题也应该被认真考虑。

任何国家的数据隐私保护的评估都需要考虑到国家内的私人和公共部门组织的数据监控行为(并且数据监控法律允许此类行为)。在中国,这种平衡的评估是至关重要的,因为监控的程度来源于当局政府和执政党,而且他们也是市场经济的关键参与者。本文讨论的日益强大的数据隐私保护在多大程度上,将在实践上限制这些政府监控行为,或是打算限制这些监控行为,不是这样一篇短文可以论述完整的。本文的目的是对数据隐私保护的实际发展提供更准确的理解。