|
在大数据时代的背景下,融合是大数据的价值所在。对于持有海量数据的集团而言,集团内不同企业间业务线数据的融合,将有效提升大数据的内涵价值和商业价值,提高集团的核心竞争力。因此,集团内数据的收集、融合和分析将成为集团持续发展的关键生命线。跟随市场发展的脚步,国家市场监督管理总局、国家标准化管理委员会于2020年3月6日正式发布了推荐性国家标准《信息安全技术个人信息安全规范》[i](GB/T 35273-2020)(2020年10月1日实施)(以下简称“《个人信息安全规范》”)。该规范增加了关于“基于不同业务目的所收集个人信息的汇聚融合”(第7.6条)的合规监管规定。根据该规定及《网络安全法》有关规定,我国现行法律法规允许个人信息控制者在符合一定条件时进行个人信息的汇聚融合,即企业应事先获得个人信息主体的有效授权,遵循最小必要原则,并应针对集团内部个人信息共享行为和汇聚融合行为事先开展个人信息安全影响评估。本文现从汇聚融合的定义、合规要点及建议以及行业实践等角度展开如下分析。目前在中国个人信息保护领域的主要法律法规中“汇聚融合”一词并未正式出现,《个人信息安全规范》虽然对个人信息汇聚融合提出要求,但并未明确汇聚融合的定义及应用场景。根据国家标准《智慧城市 数据融合 第一部分:概念模型》(GB/T 36625.1-2018)(2019年5月1日实施)中数据融合的定义(3.1数据融合:集成多个数据源以产生比任何单独数据源更有价值信息的过程)以及中国信息通信研究院安全研究所数据安全研究部有关官员在“数据互联互通与安全发展”高峰论坛暨“数据治理和网络安全研究联盟”2020年度论坛发表的公开讲话,我们理解,从狭义而言,汇聚融合主要指企业内部不同业务线的数据“打通”实现共享、融合;从广义而言,汇聚融合还包括集团内不同关联企业间的数据融合以及集团内企业与集团外第三方的数据融合。根据《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当明示收集、使用信息的目的、方式和范围,并经被收集者同意。该规定较为原则,《个人信息安全规范》第5.4条和第9.2条进一步明确选择同意问题,即个人信息控制者收集或共享个人信息,应向个人信息主体告知收集、使用、共享个人信息的目的、方式和范围等规则,并事先获得个人信息主体的授权同意(涉及个人敏感信息或个人生物识别信息的,应征得个人信息主体的明示同意)。《个人信息安全规范》第7.6条[ii]从汇聚融合角度对个人信息主体的有效授权问题进行了规定:个人信息控制者对基于不同业务目的所收集个人信息进行汇聚融合,应遵守第7.3条关于个人信息使用的目的限制(即使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围);因业务需要,确需超出与收集个人信息时所声称的目的具有直接或合理关联的范围使用个人信息的,应再次征得个人信息主体明示同意。根据上述规定,我们建议,企业作为个人信息控制者在收集、共享个人信息时应就汇聚融合征得个人信息主体的授权同意,超出收集时声称目的范围汇聚融合的,则应征得个人信息主体的明示同意。如集团内子公司所从事业务种类较多,则应事先对业务线进行梳理,厘清不同业务线所需个人信息的类型及数据处理目的等,向用户告知个人信息汇聚融合的目的、方式和范围并征得其授权同意,涉及个人敏感信息或个人生物识别信息的,应征得个人信息主体的明示同意。对各子公司收集的个人信息进行汇聚融合时超出收集个人信息时声称的使用目的范围的,应再次征得个人信息主体明示同意。但根据《个人信息安全规范》第7.3条注释和第9.2条规定,以下两种情形,企业无需再次征得个人信息主体的同意:(1)将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述,属于与收集目的具有合理关联的范围之内;(2)个人信息控制者共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的信息。关于征得同意的方式,我们建议,如为业务办理所需的汇聚融合,企业可以弹窗、跳转页面或链接的方式通过隐私政策(或个人信息保护政策)告知个人信息主体并获得个人信息主体的授权同意或明示同意[iii];如为提供个人信息控制者产品或服务附加功能而展开的汇聚融合,则应通过单独文本将可能涉及的产品或服务、汇聚融合的目的、范围以及拒绝的后果等内容告知个人信息主体。个人信息控制者收集个人信息的,除应征得个人信息主体同意外,还应遵循《网络安全法》第41条规定的必要性原则,即网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。《个人信息安全规范》第4条[iv]和第5.2条[v]对上述必要性原则进行进一步解释,即在收集个人信息时应满足直接关联、最低频率和最少数量的要求,个人信息保存应为实现目的所必需的最短时间,目的达成后,应及时对个人信息作出删除或匿名化处理。随着集团内拟开展的汇聚融合所涉个人信息收集范围的扩大,必要性原则也将面临挑战,如超出汇聚融合目的的合理范围后,可能会被认定为超出提供产品和服务的目的过量收集个人信息,如企业对集团内子公司各业务线的个人信息进行汇聚融合后生成用户画像或用于广告营销,因该汇聚融合不属于子公司各业务线提供核心业务产品和服务所必需,可能存在违反必要性原则的情况。因此,建议企业从个人信息主体的视角出发,重新建立个人信息的汇聚融合与为用户提供增值服务的必要关联。除上文提出的要求外,集团在拟开展汇聚融合之前还应当对可能涉及的个人信息范围进行审查,确保不包含法律禁止对外共享的数据和用途。同时,个人信息控制者和个人信息接收方应对拟开展汇聚融合所涉个人信息履行如下义务:- 根据《个人信息安全规范》第9.2条(个人信息共享、转让)的规定,个人信息控制者向集团内关联公司共享个人信息前,应开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施。
- 根据《个人信息安全规范》第7.6条规定,集团内个人信息接收方应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。
经查阅小米、抖音、淘宝、优酷、蚂蚁金服等行业龙头企业的隐私政策,我们发现,现阶段少有隐私政策明确规定汇聚融合相关事宜,隐私政策中的相关表述多止步于与集团内部关联公司或第三方的共享以及公司内部个人信息的使用。其中小米规定可能进行信息结合及其目的,承诺将提供具体控制机制并授予个人信息主体拒绝权;抖音的规定主要还是共享,但在形成间接人群画像方面实际上涉及到了汇聚融合。上述规定均较为原则,未来可能需要进一步细化。淘宝和优酷关于选择同意的规定更为具体,明确将另行向用户说明对应信息的收集目的、范围及使用方式,且在征得用户明示同意后收集、使用。此外,淘宝、优酷、蚂蚁金服的隐私政策中部分条款,从其表述看,主要还是止步于个人信息的共享,未提及汇聚融合的问题。基于上述分析,如企业计划在集团内开展个人信息汇聚融合,我们建议企业应梳理集团各子公司的业务条线,确保数据来源的合法性和一致性,明确汇聚融合可能形成业务及相应所需的个人信息,在此基础上完善隐私政策或个人信息保护政策,解决个人信息主体有效授权问题;从个人信息主体的角度,企业应建立起汇聚融合行为与个人信息主体利益之间的必要关联,以满足最小必要的要求;并应针对集团内部个人信息共享行为和汇聚融合行为事先开展个人信息安全影响评估。此外,如企业拟开展的汇聚融合涉及个人金融信息的,还应遵循推荐性行业标准《个人金融信息保护技术规范》(JR/T 0171—2020)中的有关规定。上述建议是针对集团内部汇聚融合提出的一般性建议,对于从事特定行业的企业而言,还应符合该行业的特殊要求(如有)。注释:
[i]虽然《网络安全法》是现阶段有关个人信息保护的核心法规,但是该法规有关个人信息的规定较为原则,关于个人信息保护的具体规定更多地体现在国家推荐性标准《个人信息安全规范》中。《个人信息安全规范》作为推荐性国家标准,虽无法律上的强制执行力,但结合其出台背景和行业实践,我们理解在现阶段《个人信息安全规范》应作为企业网络安全和数据合规的重要指引和监管部门开展相关执法工作的重要依据。 [ii]《信息安全技术个人信息安全规范》(GB/T 35273—2020)7.6基于不同业务目的所收集个人信息的汇聚融合 对个人信息控制者的要求包括:a) 应遵守7.3的要求;b) 应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。 [iii]个人信息控制者应通过隐私政策向个人信息主体告知汇聚融合的目的及其他法律规定的内容并征得其授权同意或明示同意(就个人敏感信息而言)。就共享个人生物识别信息而言,贵司还应设置单独的个人生物识别信息保护规则或共享声明告知个人信息主体相应内容,并征得个人信息主体的明示同意。 [iv]《信息安全技术个人信息安全规范》(GB/T 35273—2020)4个人信息安全基本原则 个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则,具体包括:…d) 最小必要——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息。 [v]《信息安全技术个人信息安全规范》(GB/T 35273—2020)5.2收集个人信息的最小必要 对个人信息控制者的要求包括:a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
|
