四、國家標準

（一）《個人信息安全規范（2017）》

《個人信息安全規范（2017）》由信安標委于2017年12月29日正式發布，并于2018年5月1日正式實施。《個人信息安全規范（2017）》是貫徹《網絡安全法》中針對個人信息安全相關規定的重要配套規范之一。盡管其僅為推薦性國家標準而并非法律，但其精神卻經常在監管部門的監管中所體現。

例如，早在2018年1月10日，在《個人信息安全規范（2017）》正式實施前，網信辦網絡安全協調局在因“支付寶年度賬單事件”約談支付寶時，便曾指出支付寶、芝麻信用收集使用個人信息的方式，不符合《個人信息安全規范（2017）》國家標準的精神。[15]可見，在《個人信息保護法》出臺前，作為推薦性國家標準的《個人信息安全規范（2017）》事實上成了監管部門執法活動中的重要參考依據，并為企業就個人信息的收集、使用、對外提供等一系列活動提供了行為規范方面的有益指導。

從具體內容上看，《個人信息安全規范（2017）》在借鑒國際立法實踐和我國個人信息保護研究成果的基礎上，對個人信息全生命周期的相關活動進行了規制，涵蓋了個人信息的收集、存儲、使用、委托處理、共享、轉讓、公開披露等環節，重申了收集、使用個人信息的前提是信息主體的同意，并基于此搭建起了一系列個人信息保護制度。其不僅可以作為企業個人信息合規治理的指導，彌補了實際操作層面的不足。同時，《個人信息安全規范（2017）》的出臺還具有一定的信號功能[16]，釋放出“中國竭力保護個人信息安全”的聲音。

根據實踐中個人信息收集、使用的變化及《個人信息安全規范（2017）》在實施過程中出現的問題，信安標委分別于2019年2月1日、6月25日及10月22日發布了《個人信息安全規范（草案）》和兩次征求意見稿，并于2020年3月6日發布了《個人信息安全規范》正式版。

幾次修訂一方面不斷融合增加了實踐中新出現的問題，例如明確用戶畫像屬于個人信息、補充對注銷機制的具體要求、新增“通訊錄、好友列表、群組列表”作為個人敏感信息舉例、新增對生物識別信息收集、使用的規范等新的規定；另一方面也不斷就現有的規定進行調整，如不再強調個人信息跨境傳輸需進行安全評估、除新聞信息服務外不再強制要求向信息主體提供關閉個性化展示的選項等。從某種程度上說，正是由于推薦性國家標準的屬性，《個人信息安全規范》反而具有了充分的靈活性，可以及時根據實踐的發展變化靈活調整對企業的規范要求，從而更好地實現對個人信息的保護。

（二）《個人信息去標識化指南》

1.出臺背景

可識別性是個人信息的核心特性。從比較法的角度出發，各國數據立法均將可識別性作為個人信息的重要特征。

例如，歐盟GDPR第4條明確規定，個人數據，是指與已識別或可識別的自然人（數據主體）相關的任何數據；可識別的自然人是指尤其通過姓名、身份證號、定位數據、網絡標識符等標識符，或通過特定的身體、心理、基因、精神狀態、經濟、文化、社會等方面個人屬性能夠被直接或間接識別的自然人。[17]法國《數據處理、數據文件及個人自由法》明確，“個人數據是指可通過身份證件號碼、一項或多項個人特有因素被直接或間接識別的自然人相關的任何信息”。我國臺灣地區“個人資料保護法”認為個人資料系“自然人之姓名、出生年月日……及其他得以直接或間接方式識別該個人之資料”。換而言之，一旦喪失可識別性，無法用于識別到個人，該等信息就不再構成法律意義上的個人信息，也不再受到個人信息保護相關法律、法規的保護。

早在2017年8月25日，出于為個人信息處理相關方提供去標識化指導及為第三方機構測評提供參考依據的目的，信安標委針對去標識化問題發布了《個人信息去標識化指南（征求意見稿）》。2019年8月30日，市場監管總局、國家標準化委員會發布了《個人信息去標識化指南》正式版，為企業開展去標識化操作提供了有益指引。

2.具體內容

所謂去標識化，按《個人信息去標識化指南》的定義，即通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程。[18]因而，采用技術手段對個人信息去識別化，保留不具有可識別性的信息進行處理和挖掘便成為許多企業收集、使用個人信息的重要方式。

《個人信息去標識化指南》關注的待去標識化的數據集是微數據，涵蓋了去標識化的目標、原則、技術、模型、過程和組織措施，目的是提出能科學有效地抵御安全風險、符合信息化發展需要的個人信息去標識化的實踐指引。其明確了去標識化工作的重點不僅在于對數據集中的標識符進行刪除或變換，也在于避免去標識化后的結合后期應用場景評估有關數據集被重標識的風險。

具體內容上，《個人信息去標識化指南》將共享行為按照可能的重標識風險和對去標識化的要求區分為完全公開共享、受控公開共享和領地公開共享，[19]并要求企業在開展去標識化工作前須根據應用需求確定數據的公開共享類型。同時，《個人信息去標識化指南》還針對去標識化的具體過程提供了詳細的操作指引，并針對確定目標、識別標識、處理標識、驗證審批、監控審查等不同的去標識化步驟提出了不同的操作要點。此外，《個人信息去標識化指南》還針對性地規定了數據控制者在開展去標識化工作時應籌劃的人員安排，明確了規劃管理者、執行者和監督者在去標識化過程中的具體職責，并對去標識化過程中數據控制者的人員管理提出了相應的要求。

（三）《大數據安全管理指南》

1.出臺背景

大數據技術早已滲透社會生活的方方面面，無論是國家治理、企業決策還是個人生活中，大數據都得到了廣泛的應用。但在大數據技術普遍推廣和運用的過程中，也暴露出了不少安全問題。大數據技術運用的前提是具備海量的可供使用的數據，而大數據服務的提供者往往傾向于獲取更多的數據以提高其提供的服務的質量，這某種程度上也導致更多的數據處于被暴露的風險之中。同時，行業的快速發展也使得參與到大數據產業的實體越來越多。但部分實體或由于技術水平相對有限，或由于安全保障措施和技術不夠完備，其管理或控制的數據被竊取或泄露的風險也相對升高，使得大數據安全問題越發受到重視。

《大數據安全管理指南》便是在該等背景下出臺的。其于2017年5月開始征求意見，正式版于2019年8月30日發布并于2020年3月1日正式實施。

2.具體內容

在大數據的生命周期中，不同類型的組織都可能參與其中并針對數據作出不同的操作。因而《大數據安全管理指南》旨在通過提升掌握數據的組織的技術和管理能力的建設，加強數據采集、存儲、處理、分發等環節的技術和管理措施，實現數據的有效保護，降低大數據應用過程中面臨的安全風險。

《大數據安全管理指南》明確了開展大數據活動的組織應當開展大數據安全管理工作，并對大數據安全管理的目標、內容和基本原則作出了具體的規定。為滿足大數據安全管理的要求，開展大數據活動的組織需要滿足保密性、完整性、可用性等要求，且需根據科學性、穩定性、實用性和擴展性的原則針對數據進行分類分級，并需遵循大數據生命周期中的采集、存儲、處理、分發、刪除等活動的安全要求。此外，《大數據安全管理指南》還要求相關組織識別并評估大數據安全風險，并對大數據安全風險的類型進行了分別列舉，以備相關組織進行針對性防范。

（四）《個人信息安全影響評估指南》

1.出臺背景

《個人信息安全規范》明確在匯聚融合個人信息、使用信息系統自動決策機制、委托處理、共享、轉讓、公開披露等處理個人信息的場景下，個人信息控制者需要事先開展個人信息安全影響評估，并針對個人信息安全影響評估作出了原則性規定。作為《個人信息安全規范》的配套標準，《個人信息安全影響評估指南》在繼承《個人信息安全規范》基本精神的情況下，對企業如何開展個人信息安全影響評估進行了細致的規定。

《個人信息安全規范》第3.8條明確，個人信息安全影響評估是指針對個人信息處理活動，檢驗其合法合規程度，判斷其對個人信息主體合法權益造成損害的各種風險，以及評估用于保護個人信息主體的各項措施有效性的過程。作為在國際實踐中被普遍采用的合規評估方式，個人信息安全影響評估是個人信息控制者實施風險管理的重要組成部分。可幫助企業確定遵守數據保護義務并滿足信息主體對隱私保護的期望。對于企業而言，個人信息安全影響評估有利于其有效識別個人信息相關活動中面臨的安全風險，并及時根據評估結果采取合理手段調整與修正。

2.具體內容

針對評估的開展，《個人信息安全影響評估指南》在第四部分“評估基本原理和框架”分別規定了評估價值、評估報告的用途、評估責任主體、評估基本原理、評估實施考慮的要素等內容。在第五部分，《個人信息安全影響評估指南》為組織開展個人信息安全影響評估提供了詳盡的流程指引，包括必要性分析、評估準備工作、數據映射分析、風險源識別、個人權益影響評析、安全風險綜合分析、評估報告、風險處置和持續跟進、制定報告發布策略等。

對于具體評估過程中可供參考的具體方法，《個人信息安全影響評估指南》在附錄D中進行了詳細的描述。例如，對于評估個人信息主體權益影響程度，以定性為例，可從“限制個人自主決定權”“引發差別性待遇”“個人名譽受損和遭受精神壓力”“人身財產受損”四個維度，依據表D.3的判定準則，對個人信息主體的權益進行影響程度評價。

3.不足之處

在現行立法框架較為粗糙的情況下，《個人信息安全影響評估指南》針對個人信息安全影響評估提出了許多細化要求，但其中部分要求由于缺乏足夠的理論和立法支撐而可能引發爭議。例如，附錄A中提出可以從“限制個人自主決定權”的維度對個人權益受影響程度進行分析和評價，但個人自主決定權并非法定權利，在立法層面缺乏相應的權利基礎。這導致企業在判定相關行為對自由意志的影響時可能缺乏相應的標準，且也很難評估影響了個人信息主體的自由意志會對其個人信息安全產生何等程度的影響。

（五）《個人信息告知同意指南（征求意見稿）》

《個人信息告知同意指南（征求意見稿）》作為推薦性國家標準，于2020年1月22日由信安標委發布。《個人信息告知同意指南（征求意見稿）》回應了當前監管執法實踐中發現的問題，并力圖通過更為細致的規定，指導企業在告知信息主體并取得其同意方面的實踐。

1.出臺背景

規模日益龐大的個人信息處理行為給信息與隱私安全帶來了隱患。在這樣的大背景下，個人信息主體的隱私保護意識越發高漲，對網絡運營者及其收集、處理個人信息行為的質疑情緒也相應“水漲船高”。在國際層面，歐盟《一般數據保護條例》的個人信息保護規則體系是圍繞告知同意這一根本原則構建的，而歐盟29工作組于2018年4月26日發布了《對第2016/679號條例（GDPR）下同意的解釋指南》（以下簡稱《29工作組同意指南》），較為細致地闡述了其對于GDPR項下“同意”的理解，并針對“自愿作出”“具體的”“知情的”“明確的意思表示”等關于有效同意的要素逐一加以分析，專門討論了GDPR特別關注的領域中與“同意”相關的問題。更具普適性的則是ISO 29100隱私保護標準體系，其將“同意和選擇”列為其核心原則之一，并針對此提出了一整套非常翔實的實踐指引，正在制定中的《ISO 29184—線上隱私告知與同意指南》（ISO 29184 -Guidelines for online privacy notices and consent，以下簡稱《ISO 29184指南》）即是該體系下針對個人信息告知同意的專門標準。

《網絡安全法》《消費者權益保護法》均明確要求處理個人信息需告知個人信息主體并獲得其同意，而《個人信息安全規范》則圍繞《網絡安全法》確立的基本原則，對告知內容、時間、方式以及同意的形式進行了明確，并在附錄中為告知的重要工具——隱私政策提供了具體的模板。誠然，在《網絡安全法》輔以《個人信息安全規范》所確立的個人信息保護整體規則的框架下，對于互聯網采集使用個人信息行為的規范程度較過去已有了較大的進步，但現有的規范總體框架上仍顯粗糙，不足以應對多變的互聯網場景中不同類型的信息收集、使用行為。在告知同意方面，盡管《網絡安全法》及相關法律法規都明確了告知同意作為收集、使用個人信息的必要規則，但并未對告知同意如何實施提出具體的細化要求，難以形成在實踐中對企業相關操作的具體指引。此外，在細節層面，現有規范亦存在著些許不足。例如，《個人信息安全規范》雖已經就同意的例外作出了原則性規定，但缺乏針對具體應用場景的細化規定，須進一步細化其適用情形與適用條件。再如，若發生有關個人信息收集、使用的相關糾紛，則往往涉及告知同意行為的證據留存問題。但針對這一實踐中頗受關注的環節，現行規定并未對此明確。

基于此，無論是從監管的要求出發，還是根據企業自身合規的需求考慮，在《網絡安全法》及《個人信息安全規范》的基礎上出臺更為細化的告知同意配套規則，都有利于為網絡商事環境中企業獲取信息主體的有效同意提供有益的指引，使對個人信息的保護落到實處。

2.具體內容

在融入監管實踐經驗并借鑒GDPR、《信息技術 安全技術 在線隱私通知和準許指南》等國際立法的前提下，《個人信息告知同意指南（征求意見稿）》就告知同意的適用情形、基本原則、內容、方式、展示、時機和頻率等方面內容進行了細致化的規定。

（1）告知同意的適用情形

《個人信息告知同意指南（征求意見稿）》明確在收集、使用、對外提供個人信息的情況下，均需要取得個人信息主體的明示同意，較《個人信息安全規范》，其對企業合規提出了更高的要求。同時，由于《個人信息安全規范》僅對同意的例外進行了概括性的規定，《個人信息告知同意指南（征求意見稿）》在設計告知同意的例外情形時，通過舉例的方式對有關情形的表現形式進行了細化，并另行規定了使用目的變更時免予告知同意的情形。

（2）告知的內容

就告知的具體內容上，《個人信息告知同意指南（征求意見稿）》依照《個人信息安全規范》中對基本業務和擴展業務的區分，設計了不同的告知同意要求，并區分收集、使用、存儲、對外提供等不同行為分別提出了告知同意層面的要求。值得注意的是，由于委托處理和對外提供情景下企業對個人信息的控制權存在較大區別，《個人信息告知同意指南（征求意見稿）》將個人信息的對外共享、轉讓及公開披露統一為“對外提供”一并進行規定，并將其同委托處理進行了區分。值得關注的是，《個人信息告知同意指南（征求意見稿）》明確在涉及SDK等外部代碼的引用時，應告知是否存在SDK等外部代碼的引用，以及SDK等外部代碼收集處理個人信息的情況，并在附錄B中對SDK收集使用個人信息場景下的告知同意進行了細致的規定，第一時間回應了專項治理工作中發現普遍存在的SDK違法違規收集個人信息的亂象，具體如下：

（3）告知和同意的形式

告知的組織形式及其展示方式將對個人信息主體理解告知內容，實現有效告知產生顯著的影響，但告知的展示方式和同意的用戶界面可能因場景和環境的不同而有很多差異，例如，針對智能手表交互界面和針對網頁的告知同意呈現形式將會有很大差異。基于此，《個人信息告知同意指南（征求意見稿）》針對不同應用環境和交互界面規定了不同的展示方式，如允許移動端設備可以采用多層次的告知同意模式，允許IoT設備可以在連接互聯網時通過綁定該設備的移動端程序展示告知內容。

就同意模式的選擇上，《個人信息告知同意指南（征求意見稿）》主張個人信息控制者應當優先采用明示同意的方式，盡量避免采取授權同意的機制，并列舉了幾種主要的明示同意模式。當然，《個人信息告知同意指南（征求意見稿）》也并未徹底否定授權同意機制，但僅限于特定情形且經個人信息影響評估后無高風險方可適用。此外，《個人信息告知同意指南（征求意見稿）》亦對同意機制的設計進行了特別規定。

（4）其他

《個人信息告知同意指南（征求意見稿）》還對告知同意過程中的一些其他問題提出了相應的解決方案。收集、使用個人信息的一方在作出告知并獲得用戶的同意后，應如何保存相關證據以應對可能出現的糾紛和訴訟，是業界在落實告知同意要求過程中所普遍關心的問題。具體來看，證據留存主要涉及三個方面的問題，首先是留存的內容，即個人信息控制者應留存哪些方面的證據；其次是留存的方式，即應以何種形式留存且留存的證據應保存在何種載體之中；最后是留存的時間，即有關證據應留存多長期限。《個人信息告知同意指南（征求意見稿）》分別針對上述問題給出了相關的回應。在留存的內容上，明確個人信息控制者應當留存個人信息主體初次選擇同意特定個人信息處理活動以及后續變更或撤回同意的證據，包括：時間，事項，目的等。在留存的方式上，《個人信息告知同意指南（征求意見稿）》采用了“原則＋舉例”的方式進行規定，個人信息控制者可以根據自身情況靈活選擇證據留存的方式。而在留存的時間上，《個人信息告知同意指南（征求意見稿）》明確，個人信息控制者應在有關的個人信息處理活動持續的過程中始終留存告知同意的相關證據，且在處理活動結束后，個人信息控制者的證據留存不應超過履行法律義務，提起或應對訴訟、糾紛的必要限度，平衡了個人信息控制者和個人信息主體雙方的需求。需要指出的是，盡管《個人信息告知同意指南（征求意見稿）》對證據的留存提出了具體的要求，但按照該等方式留存的證據并不具有天然的合法性，其仍需符合電子證據合法性的相關要求方可為法院所認可。

《個人信息告知同意指南（征求意見稿）》的另外一個特色在于其根據不同場景分別設計了獲得個人信息主體同意的不同方式。當前，個人信息收集行為可能發生在不同場景下，如IoT場景、公共場合場景（如機場、火車站）、車載場景等。不同端口基于其自身特點有所差別，不宜采用相似的告知方式。例如，許多IoT設備本身并未配備屏幕，難以通過該設備實現告知。《個人信息告知同意指南（征求意見稿）》在附錄中分別列舉了IoT、公共場合、車載、個性化推薦、互聯網金融、網上購物等多個不同場景下告知同意的實現方式，有益于為相關行業提供有益指引。

3.不足之處

當然，《個人信息告知同意指南（征求意見稿）》在某些規定上仍存在著一定的不足。例如，其并未明確在個人信息主體拒絕提供“同意”的情形下，相關運營者應當采取何種行動；其將委托處理同共享、轉讓、公開披露相區分，但并未明確個人信息委托處理情形下的告知同意應如何實現；其作為推薦性國家標準在缺乏上位法基礎的情況下規定“免予告知同意的情形”，若企業參照其規定的相關情形進行操作，該等行為可能缺乏充足的合法性基礎等。

---

[1] 《全國人大常委會組成人員：制定網絡安全法十分必要和緊迫》，http：//www.npc.gov.cn/zgrdw/npc/xinwen/lfgz/2015-06/28/content_1939640.htm，最后訪問時間：2020年2月17日。

[2] 《網絡安全法》第76條第5項：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”

[3] 楊合慶：《中華人民共和國網絡安全法釋義》，中國民主法制出版社2017年版，第107頁。

[4] 《全國人民代表大會常務委員會執法檢查組關于檢查〈中華人民共和國消費者權益保護法〉實施情況的報告》，http：//www.npc.gov.cn/npc/c12491/201511/b3833048ca4b4ca88c5b8d02dbe20 b70.shtml，最后訪問時間：2019年2月17日。

[5] 《電子商務法》第24條：“電子商務經營者應當明示用戶信息查詢、更正、刪除以及用戶注銷的方式、程序，不得對用戶信息查詢、更正、刪除以及用戶注銷設置不合理條件。電子商務經營者收到用戶信息查詢或者更正、刪除的申請的，應當在核實身份后及時提供查詢或者更正、刪除用戶信息。用戶注銷的，電子商務經營者應當立即刪除該用戶的信息；依照法律、行政法規的規定或者雙方約定保存的，依照其規定。”

[6] 周光權：《拒不履行信息網絡安全管理義務罪的司法適用》，載《人民檢察》2018年第9期。

[7] 《個人信用信息基礎數據庫管理暫行辦法》第4條：“本辦法所稱個人信用信息包括個人基本信息、個人信貸交易信息以及反映個人信用狀況的其他信息。前款所稱個人基本信息是指自然人身份識別信息、職業和居住地址等信息；個人信貸交易信息是指商業銀行提供的自然人在個人貸款、貸記卡、準貸記卡、擔保等信用活動中形成的交易記錄；反映個人信用狀況的其他信息是指除信貸交易信息之外的反映個人信用狀況的相關信息。”

[8] 《四部門專項治理App違法違規收集使用個人信息》，http：//www.gov.cn/guowuyuan/2019-01/27/content_5361489.htm，最后訪問時間：2021年9月27日。

[9] 針對這一問題，《個人信息告知同意指南（征求意見稿）》中設計的告知路徑或許更為合理。具體可參見本書“第二部分 四、國家標準（五）《個人信息告知同意指南（征求意見稿）》”。

[10] 《清規|突如其來的〈App違法違規收集使用個人信息行為認定辦法〉到底是個什么》，https：// mp.weixin.qq.com/s/sqRp4DV9I7k5FMKj6e60LA，最后訪問時間：2020年2月16日。

[11] 指全國人民代表大會及其常務委員會制定的法律和決定，國務院制定的行政法規、規定的行政措施、發布的決定和命令。

[12] 一是犯罪持續時間較長、多次實施侵犯公民個人信息犯罪的；二是被侵犯的公民個人信息數量或違法所得巨大的；三是利用公民個人信息進行違法犯罪活動的；四是犯罪手段行為本身具有違法性或者破壞性，即犯罪手段惡劣的，如騙取、竊取公民個人信息，采取脅迫、植入木馬程序侵入他人計算機系統等方式非法獲取信息。

[13] 《刑法》第286條之一和第287條之一、第287條之二。

[14] 《〈最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋〉新聞發布會》，http：//courtApp.chinacourt.org/zixun-xiangqing-193671.html，最后訪問時間：2020年3月25日。

[15] 《國家互聯網信息辦公室網絡安全協調局約談“支付寶年度賬單事件”當事企業負責人》，http：//www.cac.gov.cn/2018-01/10/c_1122234687.htm，最后訪問時間：2021年8月19日。

[16] 許可：《〈個人信息安全規范〉的效力與功能》，載《中國信息安全》2019年第3期。

[17] “‘personal data’ means any information relating to an identified or identifiable natural person （‘data subject’）；an identifiable natural person is one who can be identified，directly or indirectly，in particular by reference to an identifier such as a name，an identification number，location data，an online identifier or to one or more factors specific to the physical，physiological，genetic，mental，economic，cultural or social identity of that natural person”，See GENERAL DATA PROTECTION REGULATION，Article 4.

[18] 《個人信息去標識化指南》第3.3條。

[19] 根據《個人信息去標識化指南》的相關規定，完全公開共享，指數據一旦發布，很難召回的共享行為，一般通過互聯網直接公開發布。受控公開共享，指通過數據使用協議對數據的使用進行約束的共享行為。領地公開共享，指在物理或者虛擬的領地范圍內共享，數據不能流出到領地范圍外的共享行為。