作者： 北京兰台律师事务所 卞静舒、李琳琳、郑雯婷

前 言

2020年3月6日，国家市场监督管理总局、国家标准化管理委员会正式发布国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》（以下简称“2020年《规范》”或“《个人信息安全规范》”），替代现行的GB/T 35273-2017《信息安全技术 个人信息安全规范》（以下简称“2017年《规范》”），并将于2020年10月1日正式实施。

随着信息技术的高速发展与互联网应用的普及，作为个人信息安全领域影响最为广泛的国家标准，2020年《规范》以2017年《规范》为基础，沿袭《民法典（草案）》人格权编的立法思路，结合《网络安全法》、《电子商务法》、《App违法违规收集使用个人信息行为认定方法》、《互联网个人信息安全保护指南》、《生物特征识别信息的保护要求（征求意见稿）》等文件中的具体规定，历经2019年6月、10月两次公开向社会征求意见而成，较为系统地回应了我国个人信息应用实践中的热点问题与监管要求。

一、《个人信息安全规范》的法律效力

值得注意的是，尽管《个人信息安全规范》的法律性质系推荐性国家标准（相对于“强制性标准”），不属于我国《立法法》所规定的正式法律渊源，但依然很可能对企业产生事实上的拘束力。

首先，监管部门可依自由裁量权参照《个人信息安全规范》处理个人信息安全事务。鉴于《民法总则》和《网络安全法》的原则性规定为监管部门提供了较大自由裁量权，监管部门在开展网络安全包括个人信息安全的管理活动和执法活动时，如果法律法规针对具体问题的规定存在缺位，监管部门有权在不违反法律法规的前提下，依其自由裁量权参照《个人信息安全规范》进行处理，例如2017年《规范》曾被作为重要依据用于2019年市场监管总局、中央网信办开展的App安全认证工作。

其次，在政府开展个人信息保护相关立法时，以及制定其它标准、指南时，《个人信息安全规范》文件也是重要参考依据。在2017年《规范》颁布实施后相继出台的网信办《儿童个人信息网络保护规定》、公安部《互联网个人信息安全保护指南》、工信部《App违法违规收集使用个人信息自评估指南》、《App违法违规收集使用个人信息行为认定方法》等，均在相关概念界定和立法执法思路上借鉴了2017年《规范》有关内容。

再次，历年来在司法实践中，引用推荐性国家标准的案件也屡见不鲜。尽管法院不得直接依据《个人信息安全规范》作出判决，但根据《最高人民法院关于裁判文书引用法律、法规等规范性法律文件的规定》第六条[1]，法院可以援引《个人信息安全规范》作为裁判说理依据。

有鉴于此，本文对2020年《规范》修订的重点内容进行整合与分析，以期为企业实施个人信息处理行为提供概括性合规指引。

二、2020年《规范》的主要修订

与2017年《规范》相比，2020年《规范》在内容上有较大变化：一是新增“多项业务功能的自主选择”、“用户画像的使用限制”、“个性化展示的使用”、“基于不同业务目所收集个人信息的汇聚融合”、“第三方接入管理”、“个人信息安全工程”、“个人信息处理活动记录”等内容；二是修改“征得授权同意的例外”、“个人信息主体注销账户”、“明确责任部门与人员”、“实现个人信息主体自主意愿的方法”部分内容；三是细化针对个人生物识别信息处理的要求。结合国内外执法监管实践，2020年《规范》为个人信息主体的权利保障与企业个人信息保护的合规实践提供了更具操作性的参考。

（一）个人信息定义：区分隐私与个人信息，增强个人敏感信息保护要求

2020年《规范》将2017年《规范》中的“隐私保护政策”调整为“个人信息保护政策”，与《民法典（草案）》界分隐私与个人信息的立法思路保持一致。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息[2]，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息。[3]二者的客体具有交错性，但就整体而言，个人信息远超出隐私的范畴。实践中，无论我国还是世界范围内各大网站、App等制定的“隐私保护政策”，从实体内容角度均系针对个人信息的保护政策。

2020年《规范》在明确界定个人信息[4]的基础上，一是明确新增“通过个人信息或其他信息加工处理后形成的信息”也属于个人信息，同样纳入2020年《规范》保护的范围；二是在2017年《规范》界定个人敏感信息[5]基础上，进一步增加对个人敏感信息的保护要求，包括第8.5(e)条注销账户过程中对个人敏感信息的保护，以及第10.1条涉及个人敏感信息泄露的安全事件应急处置和报告要求等。

【合规解读】对于在提供产品或服务时涉及对个人信息的收集、存储、使用等个人信息处理行为的企业，我们建议企业在依法制定个人信息保护政策时注意以下合规风险控制手段：
（1）对照2020年《规范》更新后的个人信息和个人敏感信息定义，依据2020年《规范》要求，合法合规实施个人信息处理行为；

（2）遵循最新监管要求，无论企业所制定的相关政策名称为“个人信息保护政策”，还是沿用过去习惯命名为“隐私政策”，其政策内容均需符合最新的个人信息保护政策监管要求；

（3）个人信息保护政策必备内容，根据2020年《规范》规定，个人信息保护政策应包括企业的基本情况、业务功能及各业务功能分别收集的个人信息类型、个人信息处理目的与规则、个人信息主体的权利和实现机制、提供个人信息后可能存在的安全风险及不提供的影响、投诉机制等；[6]

（4）首次使用提示要求，在用户首次打开产品或服务、注册账户等情形时，企业宜通过弹窗等形式主动向其展示个人信息保护政策的主要或核心内容，促使用户理解该产品或服务的个人信息处理范围和规则，并决定是否继续使用该产品或服务；

（5）App相关合规要求，2020年《规范》对于个人信息保护政策的告知设计显然是以App为主要适用场景，对于提供App产品服务的企业，还应参照《App违法违规收集使用个人信息行为认定方法》、《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南（征求意见稿）》，实施有效措施保证个人信息保护政策便于用户访问、阅读及理解，如：在显眼位置以及便捷位置（例如用户注册、登陆等必经路径等）提供个人信息保护政策的链接、减少用户访问个人信息保护政策的操作次数（4次以下），采用清晰、合适的字体或颜色、通俗易懂的语言等。[7]

（二）个人信息授权：区分具体场景，明确信息主体授权形式
1.区分授权场景
授权同意是企业开展个人信息处理活动的前提。企业向个人信息主体实施个人信息处理活动应告知活动目的、方式和范围等，并获得个人信息主体的授权同意。我国《网络安全法》第41条明确规定，对于收集、使用个人信息的目的、方式和范围，必须明示并经被收集者同意。该条款统一宽泛的规定，实践中为企业创设了较为沉重的合规负担。

2020年《规范》借鉴了欧盟《通用数据保护条例（GDPR）》中对个人信息处理的合法事由的规定，新增在两种例外情形下，无需经过个人授权即可直接收集或使用信息，具体见2020年《规范》第5.6(a)和第9.5(a)条新增规定“与个人信息控制者履行法律法规规定的义务相关的”、第5.6(g)条新增规定“根据个人信息主体要求签订和履行合同所必需的”情形，以期能更好地回应个人信息收集使用的合理诉求。

2. 明确授权形式
关于个人信息主体的授权形式，2020年《规范》将授权同意分为明示同意与默示同意。明示同意是以积极的行为作出授权，在2017年《规范》基础上增加“口头等方式主动作出纸质或电子形式的声明”，以满足实践中允许被收集信息的个人通过语音、视频等多媒体方式授权的需要。默示同意指通过消极的不作为而作出授权或信息采集区域内的个人在被告知信息收集行为后没有离开该区域。

【合规解读】2020年《规范》对明示同意、默示同意做出区分的实务意义，在于以下情形必须获得用户的明示同意（我们将在下文个人信息收集、储存、使用、个人生物识别信息特殊规制等部分进一步做出详细说明）：
（1）收集、共享、转让个人敏感信息（主要包括儿童个人信息、成人隐私信息）；

（2）收集、共享、转让个人生物识别信息；

（3）收集年满14周岁未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意；

（4）使用个人信息超出与收集个人信息时所声称的目的具有直接或合理关联的范围；

（5）个人信息处理活动超出已获得的授权同意范围；

（6）公开披露个人信息。

（三）个人信息收集：通过业务功能自主选择落实“最小必要”原则
2020年《规范》最重要的修订之一，就是新增规定了个人信息收集应当允许第5.3条规定的“多项业务功能的自主选择”，并遵循附录C“实现个人信息主体自主意愿的方法”，据此将个人信息安全基本原则从2017年《规范》的“最少够用”原则改为“最小必要”原则。

【合规解读】在当前商业实践中普遍存在的现象是，当企业在同时提供多项业务时，并不区分此类业务之间捆绑的必要性或不同业务实际所需授权的差异性，而是有意一次性、一揽子要求用户提供最全面的个人信息授权，否则用户将无法使用上述服务中的任何一项。

在2020《规范》生效后，该授权模式将面临严重的合规风险。2020年《规范》要求企业不得将基本功能与扩展功能捆绑，所收集的个人信息类型应与实现产品或服务的业务功能有直接关联。具体而言，企业应注意以下合规要点：
（1）产品或服务的多项业务功能应逐个获得授权同意[8]，不应通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求；

（2）授权必须通过明示方式[9]，即个人信息主体自主作出的肯定性动作，如主动点击、勾选、填写等，才是授权收集个人信息的开启条件；

（3）不得提前开始收集个人信息，也不得在结束业务后继续收集。[10]即使已获得授权，但需要收集相关个人信息的业务功能尚未开启时，仍应等到个人信息主体实际开启该业务功能后才有权收集；个人信息主体选择关闭或退出特定业务功能后，不得继续该业务功能的个人信息收集活动[11]；

（4）不应当针对不授权、关闭或退出业务的情形人为制造障碍[12]，包括：个人信息主体关闭或退出业务功能的途径或方式应与选择使用业务功能的途径或方式同样方便；个人信息主体不授权同意使用、关闭或退出特定业务功能的，不得频繁征求其授权同意，也不得暂停其自主选择使用的其他业务功能或降低其他业务功能的服务质量；

（5）明确不属于强制授权必要的情形[13]，即不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由，强制要求其授权同意。

为保障个人信息主体选择同意的权利，确保“最小必要”原则在不同业务场景均得到贯彻，企业还应遵循第5.4条和附录C的如下要求：
（1）区分基本业务功能和扩展业务功能[14]，以确保不强迫个人信息主体接受多项业务功能。此处基本业务功能和扩展业务功能的区分标准是个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求，改善服务质量、提升个人信息主体体验、研发新产品不应单独作为基本业务功能；

（2）基本业务功能和扩展业务功能分别遵循不同的告知和明示同意规则。在基本业务功能请求获得授权的场景下，必须向用户说明拒绝授权将造成的影响，且授权必须获得用户主动作出肯定性动作（如勾选、点击“同意”或“下一步”等）的明示同意；[15]当企业所提供的产品或服务仅具备单项业务功能时，通过个人信息保护政策的形式即可实现向个人信息主体的告知；

（3）扩展业务功能授权请求的特殊规定：仅在基本业务功能所需个人信息被拒绝授权的情况下，企业才有权拒绝提供基本业务功能，如扩展业务功能所需个人信息被拒绝授权，企业不得据此拒绝提供基本业务功能或降低其质量；[16]扩展业务功能的请求授权受到更严格限制，通常在48小时内向个人信息主体征求同意的次数不应超过一次；[17]扩展业务功能应当允许个人信息主体对扩展业务功能逐项选择同意；当企业所提供的产品或服务如具备多项业务功能，除个人信息保护政策外，企业宜在就特定义务功能实际开始收集特定个人信息时，向个人信息主体告知收集、使用该个人信息的目的、方式和范围，以便个人信息主体在作出具体的授权同意前，充分考虑对其的具体影响。[18]

（四）个人信息储存：为增设延长储存时间保留了操作空间
2020年《规范》关于个人信息储存时间的规定仍保留“最小化”原则，新增“法律法规另有规定或者个人信息主体另行授权同意的除外”情形，为企业就业务需要在最小必要范围内延长储存时间提供了操作空间。对个人信息的“去标识化”，2020年《规范》确立了更为严格的标准，要求对个人信息的技术处理不仅“无法识别”到个人且“无法关联”到个人。

【合规解读】依据2020年《规范》关于个人信息存储的要求，建议企业采取以下措施：
（1）通过事先获得用户授权，延长个人信息存储时间：2020年《规范》规定了个人信息储存时间“最小化”原则，但允许在获得用户授权同意的情况下延长存储时间。

（2）加强个人信息储存安全防护：一是分别存储，将可用于恢复识别个人的信息与去标识化后的信息分开存储；二是加密存储，采用加密等安全措施存储个人敏感信息；三是权限管理，包括加强访问和使用的权限管理。

（五）个人信息使用：限制与多样化并存
2020年《规范》在个人信息的使用章节增加“用户画像使用限制”、“个性化展示的使用”与“基于不同业务目的所收集个人信息的汇聚融合”三部分内容。

1. 进一步强调用户画像使用限制
用户画像近年来在互联网金融领域大行其道，被广泛运用于信用评估、客户抓取、广告推广等数据商业化实践中。用户画像指通过收集、汇聚、分析个人信息，对某特定自然人个人特征作出分析或预测，形成其个人特征模型的过程。[19]

【合规解读】2017年《规范》已在第6.3“个人信息的使用限制”章节明确要求“非目的必要应消除身份指向性”，并举例说明直接用户画像的使用场景（准确评价个人信用状况）和间接用户画像的使用场景（推送商业广告）。2020年《规范》更进一步将“用户画像的使用限制”单独成节（第7.4节），除保留上述已有要求以外，以列举的方式明确补充用户画像使用的限制要求。企业应注意的要点包括：
（1）用户画像中对个人信息主体的特征描述，不应包含淫秽、色情、赌博、迷信、恐怖、暴力的内容或表达对民族、种族、宗教、残疾、疾病歧视的内容。[20]这一条有两点提示注意：第一，受到限制的是对个人信息主体民族、种族、宗教、残疾、疾病等情况的“歧视的内容”，因为民族、种族、宗教、残疾、疾病等情况本身并不构成违法或应当受限；第二，2019年《规范（征求意见稿）》曾经规定“不应大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人信息”的要求，而2020年《规范》删除了上述要求，仅在第9.4(g)条规定“不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果”，表明企业可以收集上述个人信息，但不应添加对此类信息的歧视性描述内容，也不得公开披露上述信息的分析结果，防止此类分析结果被用于破坏我国国家安全和政治稳定等违法犯罪目的。

（2）用户画像的使用不得危害国家安全、荣誉和利益，不得侵害公民、法人和其他组织的合法权益。[21]此处注意区分“收集为形成用户画像所必需的个人信息”和“使用用户画像”两种行为，前者首先不应收集法律法规明令禁止收集的个人信息，后者是在此基础上进一步提出要求，在使用用户画像过程中也不得侵害国家利益和合法权益。

（3）延续2017年《规范》所要求，除为实现个人信息主体授权同意的使用目的所必需外，应消除明确身份指向性，避免精确定位到特定个人。

2. 新增个性化展示的使用限制
个性化展示是当前实践中普遍应用的商业模式，包括个性化广告（又称“针对用户兴趣投放广告”）、个性化商品推送等，其本质是基于企业在向用户展示信息内容、提供商品或服务的搜索结果等行为中，基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息，进行有针对性的侧重展示，甚至筛选展示结果。

【合规解读】个性化展示限制是2020年《规范》最新增加的内容之一。早在2019年起实施的《电子商务法》第18条[22]以及2019年征求意见的《数据安全管理办法（征求意见稿）》第23条[23]，均已针对个性化展示有所限制，2020年《规范》在上述法律法规基础上，进一步明确了对滥用个性化展示的具体可操作性限制。企业在向个人信息主体提供业务功能的过程中使用个性化展示时，建议注意以下合规要点：
（1）明确标注“定推内容”“个性化展示内容”字样或通过不同的栏目、版块、页面区分个性化展示的内容和非个性化展示的内容。[24]

（2）在向个人信息主体提供电子商务服务的过程中，根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的，应同时向该消费者提供不针对其个人特征的选项。[25]

（3）在向个人信息主体推送新闻信息服务的过程中使用个性化展示的，应提供简单直观的退出或关闭选项；当个人信息主体选择退出或关闭时，提供删除或匿名化定向推送活动所基于的个人信息的选项。[26]

（4）建立个人信息主体对个性化展示所依赖的个人信息（如标签、画像维度等）的自主控制机制，保障个人信息主体调控个性化展示相关性程度的能力。[27]

（5）从企业可操作空间出发，我们发现无论《电子商务法》还是2020年《规范》，均未对个性化展示内容与非个性化展示内容二者的展示顺序做出该规定，即企业可自主选择二者的展示顺序，包括吸引屏幕注意力大小不同的展示分配。

（6）此外，基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序，且不因个人信息主体身份不同展示不一样的内容和搜索结果排序，被明确排除属于个性化展示。[28]

3. 新增基于不同业务目的所收集个人信息的汇聚融合
2020年《规范》首次针对个人信息汇聚融合进行了规定，第7.6条允许企业基于不同业务目的收集、使用个人信息，但需遵循第7.3“个人信息使用的目的限制”和第7.6(b)“汇聚融合”的限制性规定。

上述修订体现了我国政府力求及时回应当下日新月异变化的个人信息所涉法律风险的监管态度。在大数据时代背景下，企业有能力通过大量整合孤立数据，进而发掘出数据背后的深层商业价值，包括：基于企业从不同业务所获得的同一个人主体不同信息，综合形成个人信息主体多维度、全方位的用户画像，交叉应用于企业不同的业务领域，企业还可与第三方共享个人信息应用并进一步整合数据，以及在汇聚融合多家企业拥有的大量个人用户画像基础上，进行社会整体商业趋势预判。

【合规解读】我们理解，企业汇聚融合包括两种：（1）企业本身不同业务目的的内部汇聚融合；以及（2）企业与合作第三方通过信息共享可能存在的外部汇聚融合。其中，后者可能导致的风险及合规要求主要规定在下文介绍的“个人信息委托处理、共享、转让”（见2020年《规范》第9节），而前者关于个人信息汇聚融合的行为，则需遵循第7.3条“个人信息使用的目的限制”和第7.6(b)“汇聚融合”的限制性规定。

当前唯一针对个人信息汇聚融合做出规定的现行有效的规范性文件，是2020年2月刚发布的《个人金融信息保护技术规范》（JR/T 0171-2020）。我们根据2020年《规范》规定，参考《个人金融信息保护技术规范》第6.1.4.6条对个人金融信息汇聚融合的规定，对于涉及个人信息的汇聚融合的行为，建议企业：
（1）根据汇聚融合后的目的，开展个人信息安全影响评估，采取有效的个人信息保护措施[29]。我们建议企业及时留存已开展的个人信息安全影响评估工作的记录，并通过制定相关保护措施制度、定期审阅和更新制度、留存内部相关培训记录、以及设置专门岗位职责等方式，降低在风险事件发生时企业被认定为未采取有效评估和保护措施的风险。

（2）涉及个人信息的汇聚融合行为应当遵循使用目的限制原则，使用个人信息不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围[30]；如因实现业务目的需外部汇聚融合，需获得个人信息主体的明确授权。我们建议企业在此基础上，及时通过个人信息保护政策、其他相关政策制度或通知、弹窗或专题网页等形式，事先向用户充分告知企业开展的汇聚融合行为所涉及的个人信息的范围、收集方式、使用目的，降低合规风险。

（3）企业汇聚融合所收集的个人信息进行加工处理而产生的信息，能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的，属于个人信息，对其处理应遵循收集个人信息时获得的授权同意范围[31]。

（六）个人信息委托处理：强化第三方接入管控
第三方接入是“互联网+”经济业态下的重要特征，在App内接入小程序、网站或App选择嵌入第三方代码、插件时，均可能涉及第三方接入并产生个人信息安全隐患。2020年《规范》新增的“第三方接入管理”回应该行业实践，对企业委托第三方处理个人信息细化了相关要求。

企业在提供的产品或服务过程中涉及第三方接入的，建议企业在与第三方的合作协议明确约定以下内容，以减轻或摘除因第三方行为导致的侵权责任：
（1）明确双方的安全责任及应实施的个人信息安全措施。[32]

（2）明确第三方建立响应个人信息主体请求和投诉等机制的义务。[33]

（3）明确合作关系解除时第三方不得存储因提供约定服务而采集的个人信息的义务以及相关的违约责任。[34]

（4）明确第三方为实现合作目的需向个人信息主体收集信息时应征得收集个人信息的授权同意的义务，以及第三方违规收集的核验方式与违约责任。[35]


同时，企业还应注意以下事项：
（1）向个人信息主体明确标识产品或服务由第三方提供。[36]

（2）如得知或者发现第三方未按合作要求或授权要求处理个人信息或未有效履行个人信息安全保护责任，立即要求第三方停止相关行为，并采取或要求第三方采取有效补救措施控制或消除个人信息面临的安全风险。必要时终止与第三方的合作关系，并要求第三方及时删除从个人信息控制者获得的个人信息。[37]

（3）建立第三方产品或服务接入管理机制和工作流程，必要时应建立安全评估等机制设置接入条件。[38]

（七）个人生物识别信息的特殊规制
生物识别是大数据时代个人身份识别的新形态，被广泛应用于与公众个体的各类交易活动。个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等[39]，相较于普通个人信息具有特殊性，是以2020年《规范》对个人生物识别信息采用“原则+例外”的标准，确立了严格的限制规则。国际上，欧盟《一般数据保护条例》也对个人生物识别信息采用了与普通个人信息不同的严格规定，明确包括“脸纹”在内的生物信息属于其所有者，使用这些信息需征得本人同意。

我国于2019年制定了《信息技术 安全技术 生物特征识别信息的保护要求（征求意见稿）》（以下简称“《保护要求》”）并向社会征求意见，尽管尚未正式颁布实施，但监管部门对个人生物识别信息的监管重视程度可见一斑。

【合规解读】在此我们结合2020年《规范》和《保护要求》的相关内容，在企业拟对个人生物识别信息的处理时，建议注意以下合规要点：
 1. 采集：
2019年《规范（征求意见稿）》中，个人生物识别信息统一适用个人敏感信息的采集要求，即“征得明示同意”。然而，鉴于个人生物识别信息往往与资金支付与管理等行使财产权的行为密切相关，如违规采集可能导致重大风险，故而2020年《规范》以单独条款规定了个人生物识别信息的采集要求，并进一步扩充为“征得明示同意”与“单独告知”的双重限定。[40]

因此，我们建议企业在排查现有业务模式中所有需采集个人生物识别信息的业务场景基础上，在每次采集开始之前，均以弹窗或其它醒目提醒方式（字体、颜色、位置、大小等）单独向用户告知收集、使用个人生物识别信息的目的、方式、范围、存储时间、类型和数量等内容，并取消“默认勾选”改为“用户主动勾选”方式，确保征得个人信息主体的明示同意。

2. 传输：
2020年《规范》对个人生物识别信息传输的限制程度低于采集，仅要求事先获得个人信息主体的明示同意，但对传输技术手段、信息处境要求较高，包括应采用加密等安全措施传输，采用密码技术时宜遵循密码管理相关国家标准。如果涉及信息出境，应根据相关政策和标准要求进行评估，并向个人信息主体告知并征求其同意授权。

同上，我们建议企业在征得用户事先明示同意、并遵循加密传输、国家密码管理标准和出境评估授权的基础上，开展信息传输和信息出境。

3. 储存：
首先，2020年《规范》已超越了2017年《规范》对个人生物识别信息“采用技术措施处理后再进行存储”的要求，转而明确规定“原则上不应存储原始个人生物识别信息（如样本、图像等）”，体现了政府对个人生物识别信息的强监管要求。

为免彻底颠覆企业当前相关业务模式，2020年《规范》提供了一系列可采取的措施，包括：A. 仅存储个人生物识别信息的摘要信息；B. 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；C. 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。[41]

换言之，2020年《规范》要求企业仅在采集终端中才能直接使用所采集的个人生物识别原始信息，不允许将原始信息上传至服务器或云端，企业可在后台存储的仅限于摘要信息而非原始信息。这事实上严格限制了企业，仅能将原始信息用于采集时曾向用户明示并获得用户授权的终端直接用途，避免了企业利用后台存储的原始信息（在规避用户同意情况下）擅自用于其它用途，更有助于防范原始信息泄露可能造成的重大影响。

2020年《规范》的上述要求，目的仍在于精确平衡企业对个人生物识别信息的正常商业需求与个人敏感信息的依法受保护需求。结合上文提及的2020年2月刚实施的《个人金融信息保护技术规范》可以看到，鉴于后者系央行发布的金融行业标准，因此对个人生物识别信息的存储规定了更严格限制，对于支付敏感信息及个人生物识别信息的样本数据、模板，连终端都不允许存储，仅可保存完成当前交易所必需的基本信息要素，并要求在完成交易后及时予以清除。[42]

此外，2020年《规范》继续沿用了2017年《规范》的其它存储要求，即个人生物识别信息应当与个人身份信息分开存储，并采用加密等安全措施存储。

4. 共享、转让、披露：
个人生物识别信息的共享、转让行为，适用与采集行为类似的强监管限制，即原则上不得共享、转让，确有业务需要时应满足“征得明示同意”与“单独告知”的双重限定条件。具体而言，企业应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等，并征得个人信息主体的明示同意[43]。企业不得公开披露个人生物识别信息[44]。我们建议企业在共享、转让个人生物识别信息时，遵循与第1点“采集”相同的步骤和要求。

（八）信息主体权利保障：细化账户注销的信息控制方责任
“互联网+”时代，个人信息主体在享受多样、便捷的信息化服务的同时也面临着多重信息权利侵害的风险。2020年《规范》将“个人信息主体的权利”单独成章，体现了监管机关对于个人信息主体权利保障的关注。相较于2017年《规范》的简单规制，2020年《规范》对“个人信息主体注销账户”进行了较为丰富的完善。

结合《电子商务法》第24条[45]及《App违法违规收集使用个人信息行为认定方法》第6条[46]，涉及个人信息主体注销账户事项，企业应注意：
（1）向个人信息主体提供简便易操作的注销方法，不得为注销用户账号设置不必要或不合理条件或提出额外要求增加个人信息主体义务[47]，例如注销单个账户视同注销多个产品或服务，要求个人信息主体填写精确的历史操作记录作为注销的必要条件等。

（2）及时响应用户相应操作，受理注销账户请求后，如需要人工处理，应在承诺时限内（不超过15个工作日）完成核查和处理。[48]

（3）注销过程如需进行身份核验，要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型。[49]

（4）注销账户的过程需收集个人敏感信息核验身份时，应明确对收集个人敏感信息后的处理措施，如达成目的后立即删除或匿名化处理等。[50]

（5）账户注销后，应及时删除其个人信息或匿名化处理，因法律规定需要留存个人信息的，不能再次将其用于日常业务活动中。[51]

（6）个人信息主体注销账号后，App后台应同步删除相关个人信息。[52]
需明确的是，注销账户指向的是企业提供的产品或服务而非业务功能。基于前述，注销账户与关闭具体业务功能在个人信息处理方面的区别在于：前者企业禁止再收集用户个人信息，且须删除或匿名化已收集的相应个人信息；后者企业仅不得就该业务功能收集用户个人信息。

另外，如因注销账户导致个人信息主体享受的其他产品或服务的必要业务功能无法实现或者服务质量明显下降的，企业需向个人信息主体详细说明；[53]产品或服务没有独立的账户体系的，可采取对该产品或服务账号以外其他个人信息进行删除，并切断账户体系与产品或服务的关联等措施实现注销。[54]

（九）信息保护责任：修改专职个人信息保护负责人和专职机构的设立条件

2020年《规范》在2017年《规范》基础上，在“明确责任部门与人员”章节新增个人信息保护负责人的资质要求，修改设立专职的个人信息保护负责人和个人信息保护工作机构的条件以及个人信息保护负责人的部分职责。

企业任命的个人信息保护负责人应具有相关管理工作经历和个人信息保护专业知识，对于具备如下特征的业务，应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作：
（1）主要业务涉及个人信息处理，且从业人员规模大于200人。

（2）处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息。

（3）处理超过10万人的个人敏感信息的。[55]

三、结语

2020年《规范》明确回应了我国个人信息保护相关立法趋势以及合规实践中的热点问题，虽然作为国家推荐性标准，无强制执行力，但从国家监管部门对经营者业务活动实施的监管实践所援引的情况来看，《个人信息安全规范》事实上已成为个人信息处理合规最为重要的参照标准。

互联网大数据时代，个人信息数据是企业竞争的重要资源。随着个人信息保护领域的法律法规日臻完善，个人信息合规管理的重要性自不待言。在2020年《规范》正式实施前，企业宜率先根据合规要求调整相关业务活动，防范不必要的个人信息合规风险。


注释：
[1]《最高人民法院关于裁判文书引用法律、法规等规范性法律文件的规定》第6条 对于本规定第3条、第4条、第5条规定之外的规范性文件，根据审理案件的需要，经审查认定为合法有效的，可以作为裁判说理的依据。
[2]《民法典（草案）》第1032条
[3]《民法典（草案）》第1034条、GB/T 35273-2020《信息安全技术 个人信息安全规范》第3.1条
[4]2020年《规范》第3.1条注1：个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
[5]2020年《规范》第3.2条注3：个人敏感信息系指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健 康受到损害或歧视性待遇等的个人信息，包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、 征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。
[6]具体内容可参见2020年《规范》第5.5条、附录D。
[7]《App违法违规收集使用个人信息行为认定方法》第一条，《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南（征求意见稿）》第1.2、1.3、1.4条。
[8]2020年《规范》第5.3(a)条。
[9]2020年《规范》第5.3(b)条。
[10]2020年《规范》第5.3(b)条。
[11]2020年《规范》第5.3(c)条。
[12]2020年《规范》第5.3(c),(d), (e)条。
[13]2020年《规范》第(f)条。
[14]2020年《规范》第C.2条。
[15]2020年《规范》第C.3条。
[16]2020年《规范》第5.3 (e)条。
[17]2020年《规范》第C.4条。
[18]2020年《规范》第5.4条注1。
[19]2020年《规范》第3.8条。
[20]2020年《规范》第7.4（a)条。
[21]2020年《规范》第7.4（b)条。
[22]《电子商务法》第18条：电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益。电子商务经营者向消费者发送广告的，应当遵守《中华人民共和国广告法》的有关规定。
[23]《数据安全管理办法（征求意见稿）》第23条：网络运营者利用用户数据和算法推送新闻信息、商业广告等（以下简称“定向推送”），应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。
[24]2020年《规范》第7.5（a)条。
[25]2020年《规范》第7.5（b)条。
[26]2020年《规范》第7.5（c)条。
[27]2020年《规范》第7.5（d条。
[28]2020年《规范》第7.5（b)条注。
[29]2020年《规范》第7.6(b)条。
[30]2020年《规范》第7.3(a)条。
[31]2020年《规范》第7.3(b)条。
[32]2020年《规范》第9.7（b)条。
[33]2020年《规范》第9.7（f)条。
[34]2020年《规范》第9.1（c)(5)条。
[35]2020年《规范》第9.7（e)条。
[36]2020年《规范》第9.7（c)条。
[37]2020年《规范》第9.1（f）条。
[38]2020年《规范》第9.7（a)条。
[39]2020年《规范》第5.4(c)注。
[40]2020年规范》第5.4(c)条。
[41]2020年《规范》第6.3（c)条。
[42]《个人金融信息保护技术规范》第6.1.3条。
[43]2020年《规范》第9.2(i)条。
[44]2020年《规范》第9.4(f)条。
[45]《电子商务法》第24条：电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序，不得对用户信息查询、更正、删除以及用户注销设置不合理条件。电子商务经营者收到用户信息查询或者更正、删除的申请的，应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的，电子商务经营者应当立即删除该用户的信息；依照法律、行政法规的规定或者双方约定保存的，依照其规定。
[46]《App违法违规收集使用个人信息行为认定方法》第6条：更正、删除个人信息或注销用户账号等用户操作已执行完毕，但App后台并未完成的，可被认定为未按法律规定提供删除或更正个人信息功能。
[47]2020年《规范》第8.5（a)条。
[48]2020年《规范》第8.5（b)条。
[49]2020年《规范》第8.5（c)条。
[50]2020年《规范》第8.5（e)条。
[51]2020年《规范》第8.5（f)条。
[52]《App违法违规收集使用个人信息行为认定方法》第6条
[53]2020年《规范》第8.5（d)条注1。
[54]2020年《规范》第8.5（d)条注2。
[55]2020年《规范》第11.1（c)条。