新规范增加“授权同意”的定义并对“明示同意”定义进行了修改。根据新规范，授权同意指个人信息主体对其个人信息进行特定处理作出明确授权的行为，主要包括通过积极行为作出的明示同意和通过消极不作为作出的授权（如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域）。虽然新规范新增了授权同意的定义，但是该定义关于“通过消极不作为作出的授权”的范围并不明确，在实务中仍需进一步澄清具体的界定范围。就明示同意定义而言，新规范在原规范基础上增加“口头等方式主动作出纸质或电子形式的声明”，并列举明示同意的肯定性动作。修改后的明示同意指，个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。

（三）新增多项业务功能的自主选择

原规范仅笼统规定收集个人信息前，应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的内容和收集使用规则等，并获得个人信息主体的授权同意。因上述规定过于原则，在实务中并未取得良好的规范效果，如企业可通过同时在隐私政策中载明多项业务功能所需的个人信息授权、用户一次性明示同意隐私政策的方式规避。为解决前述问题，6月意见稿、10月意见稿追加了关于多项业务功能收集个人信息的规定，新规范基本承继了10月意见稿的相关规定。

新规范新增第5.3条多项业务功能的自主选择，即当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不应违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。同时，还增加了“业务功能”的定义，即满足个人信息主体的具体使用需求的服务类型，如地图导航、网络约车、即时通讯、网络社区、网络支付、新闻资讯、网上购物、快递配送、交通票务等，明确了划分范围。新规范强调提供多项需收集个人信息的业务功能时，应给予个人信息主体选择权和控制权，具体规范内容主要包括：

①.不得通过捆绑产品或服务各项业务功能的方式要求一次性授权；

②.应以明示同意的方式作为特定业务功能开启的条件，且开启后方可开始收集；

③.业务功能关闭或退出的方式应与使用的方式同样方便，且关闭或退出后停止收集；

④.不应频繁征求个人信息主体的同意；

⑤.不授权同意使用、关闭或退出特定业务功能的，不得影响其他业务功能的使用和服务质量；

⑥.不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由，强制要求同意。

此外，新规范对一项业务功能和多项业务功能所涉个人信息的收集方式进行不同规定。产品或服务提供多项收集、使用个人信息的业务功能的，除个人信息保护政策外，个人信息控制者宜在实际开始收集特定个人信息时，向个人信息主体提供收集、使用该个人信息的目的、方式和范围，以便个人信息主体作出具体的授权同意前，能充分考虑对其的具体影响。

（四）“隐私政策”名称修改为“个人信息保护政策”

2019年12月28日颁布的《民法典（草案）》将隐私权和个人信息保护进行了明确区分。其中，第四编人格权第六章“隐私权和个人信息保护”在明确隐私权和个人信息定义的同时，将二者关系界定为个人信息中的私密信息属于隐私信息（ 第一千零三十四条第三款个人信息中的私密信息，同时适用隐私权保护的有关规定 ），即个人信息包含隐私信息和非隐私信息。因此，新规范将“隐私政策”名称修改为“个人信息保护政策”，体现出与上位法的衔接，政策文本适用范围更加严谨、准确。

（五）新增及细化个人生物识别信息的收集、存储、共享转让的要求

新规范新增并加强了个人信息控制者对个人生物识别信息的处理要求，从收集、存储、共享转让等多个环节进行了单独规定。

1、关于收集

个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。上述信息具有不变性和唯一性，与个人信息主体人身权和财产权存在紧密关联，因此新规范细化了收集环节的要求，即个人信息控制者在收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

2、关于存储

新规范对个人生物识别信息的存储要求进行了细化。新规范要求，个人信息控制者原则上不应存储原始个人生物识别信息（如样本、图像等），仅存储个人生物识别信息的摘要信息，且该摘要信息应具有不可逆特点，无法回溯至原始信息。

此外，个人信息控制者对个人生物识别信息的存储可采取的措施包括但不限于如下方式：

(1)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能。即个人生物识别信息在手机等终端完成采集后存储在终端即可，企业仅接收信息验证结果，无需接收相关信息。比如，中国铁路12306、支付宝以及其他涉及网络支付的APP在其隐私政策中明确仅接收验证结果，并不收集用户的个人生物识别信息。这一思路与全国信息安全标准化技术委员会于2019年6月1日发布的《网络安全实践指南—移动互联网应用基本业务功能必要信息规范（V1.0）》（“ 信息规范”）的思路保持一致。信息规范针对当前用户数量大、社会关注度高的移动互联网应用中存在的超范围收集、强制授权、过度索权等个人信息收集安全问题，就16类基本业务功能正常运行所需的个人信息给出了参考。其中，“网络支付”一项显示，“支付机构通常还会提供基于生物特征的身份验证方式，会涉及个人生物特征信息。由于生物特征信息比较敏感，《规范》要求支付机构应再次告知用户并获得用户明示同意， 并应优先采取本地终端认证机制。”另外，中国人民银行发布的《个人金融信息保护技术规范》作为金融行业的推荐性标准，同样对个人生物识别信息提出要求，即“受理终端、个人终端及客户端应用软件均不应存储个人生物识别信息的样本数据、模板，仅可保存完成当前交易所必须的基本信息要素，并在完成交易后予以清除”。

(2)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。即个人信息控制者应在使用个人生物识别信息完成识别和认证后立即删除原始图像。

3、关于共享、转让

新规范新增了对个人生物识别信息共享、转让的要求，即原则上不应共享、转让个人生物识别信息，确需共享、转让的，应符合以下四个条件要求：

①.必要性：确因业务需要，即共享、转让行为应符合必要性要求

②.告知方式：单独向个人信息主体告知

④.同意方式：个人信息主体的明示同意

（六）新增个性化展示的使用

新规范新增了个性化展示的使用要求，主要分为以下几点：

1、在向个人信息主体提供业务功能的过程中使用个性化展示的，应显著区分个性化展示的内容和非个性化展示的内容。显著区分的方式包括但不限于：标明“定推”等字样，或通过不同的栏目、版块、页面分别展示等。该规定与《数据安全管理办法（征求意见稿）》要求的“网络运营者开展定向推送活动时，应当以明显方式标明“定推”字样”的思路保持一致。

2、在向个人信息主体提供电子商务服务的过程中，根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的，应当同时向该消费者提供不针对其个人特征的选项。该规定与《电子商务法》第十八条规定的“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的，应当同时向该消费者提供不针对其个人特征的选项”的几乎保持一致。

3、在向个人信息主体推送新闻信息服务的过程中使用个性化展示的，应为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项；当个人信息主体选择退出或关闭个性化展示模式时，向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

（七）细化个人信息主体注销账户的相关规定

新规范将个人信息主体权利单独列为一章，并在“8.5 个人信息主体注销账户”一节中从注销时限、注销过程等方面细化了注销账户的要求。就人工处理注销账号的时限而言，原规范未进行规定，10月意见稿规定受理注销账户请求后，需要人工处理的应于十五天内完成，而新规范将时限放宽至十五个工作日，与《App违法违规收集使用个人信息行为认定方法》第6.3条的规定基本一致，该条在企业进行人工处理时面临复杂问题的情况下给予企业更多灵活性。另外，新规范新增注销账户时多个产品或服务之间存在必要业务关联关系以及产品或服务没有独立账户体系的场景下的具体要求。如注销某个产品或服务的账户，将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的，需向个人信息主体进行详细说明；产品或服务没有独立的账户体系的，可采取对该产品或服务账号以外其他个人信息进行删除，并切断账户体系与产品或服务的关联等措施实现注销。

（八）新增第三方接入管理的要求

就个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务的但不属于委托处理或共同个人信息控制者的情形，新规范新增了第9.7条第三方接入管理，该条从接入审查、对个人信息主体承担的责任、持续监管等方面全面加强产品和服务对接入或嵌入的第三方个人信息处理的监督审查责任。与《App违法违规收集使用个人信息行为认定方法》要求的“App运营者应逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围”思路保持一致。具体而言：

接入审查：建立接入管理、安全评估等机制；应当与第三方通过合同等形式明确双方安全责任等；妥善留存合同与管理记录；

对个人信息主体承担的责任：向个人信息主体明确标识产品或服务由第三方提供；要求第三方向个人信息主体征得收集个人信息的授权同意，必要时核验其实现的方式；要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制（“ 响应机制”）；

持续监管：发现未落实安全管理要求和责任的，应及时督促整改，必要时停止接入；对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计，发现超出约定的行为，及时切断接入。

此外，相较10月意见稿，新规范放宽了对第三方告知同意的核验要求，提出仅在必要时对第三方征集个人信息主体授权同意的方式进行核验即可，一定程度上减轻了个人信息控制者的负担；并删除了要求个人信息控制者“妥善留存、及时更新响应机制”的要求。

（九）修改个人信息安全管理要求

新规范调整了设立专职个人信息保护负责人和个人信息保护工作机构的条件，将“处理超过50万人的个人信息，或在12个月内预计处理超过50万人的个人信息”修改为“处理超过100万人的个人信息，或预计在12个月内处理超过100万人的个人信息”。另外，企业收集、使用个人信息时，大部分会涉及个人敏感信息，10月意见稿仅在企业处理个人敏感信息时即要求设立专职人员的条件难免有些苛刻，因此新规范新增“处理超过10万人的个人敏感信息的”的门槛，放宽设立专职人员的个人敏感数量条件，加强了在实践中的可执行性。

三、企业合规建议

（一）关于个人生物识别信息

企业作为个人信息控制者，应梳理内部业务线中涉及个人生物识别信息收集、共享的场景，根据不同场景的收集和共享目的，设置单独的个人生物识别信息保护说明或共享声明；对于多次收集或共享个人生物识别信息的，应以弹窗或跳转链接等方式再次向个人信息主体告知相应内容，通过个人信息主体主动点击确认以征得其明示同意。原则上不应存储原始个人生物识别信息，可以选择仅存储个人生物识别信息的摘要信息、在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能或在使用面部识别特征等实现识别身份等功能后删除可提取个人生物识别信息的原始图像等。

（二）关于第三方接入管理

企业应详细梳理自身产品或服务中接入具备收集个人信息功能的第三方产品或服务，及时清理或停止不必要或秘密收集个人信息的第三方产品或服务；对确有必要的第三方产品或服务，则应向个人信息主体明确标识该产品或服务由第三方提供并披露第三方收集使用个人信息的目的、方式、范围等情况。

（三）关于个人信息主体注销账户

企业应设置简便易操作的注销账户方法，不设置收集多于注册、使用等服务环节收集的个人信息类型等障碍；受理注销请求后需要人工处理的，应在承诺时间内（不超过15个工作日）及时完成处理，并对用户注销后的数据及时删除或进行匿名化处理。此外，多个产品或服务之间存在必要业务关联关系的，如注销某个产品或服务的账户，会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的，企业应向个人信息主体进行详细说明；如企业未就产品或服务设立独立账户体系的，可采取对该产品或服务账号以外其他个人信息进行删除，并切断账户体系与产品或服务的关联等措施实现注销。

（四）关于个性化展示的使用

企业应在产品或服务的开发环节加强和优化个性化展示的设计，根据业务功能的不同，采取相应方式对个性化展示页面与服务进行显著标识，并通过提供关闭选项给予用户对个性化展示进行控制的权利。

关于作者

特别声明：返回搜狐，查看更多