日前,全国信息安全标准化技术委员会发布了《信息安全技术网络数据处理安全规范(征求意见稿)》。
据了解,文件规定了网络运营者利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动应遵循的规范和安全要求。
21世纪经济报道记者梳理发现,此次征求意见稿在个人信息的主体认定、合成信息指示、突发公共卫生事件的个人信息保护等方面有了更为细化的规定,为此前公布的《数据安全法(征求意见稿)》、《数据安全管理办法(征求意见稿)》等提供了新的支撑标准。
在个人信息的主体认定、合成信息指示等方面,此次规定有了更细致的规范。
对于“个人信息主体”的定义,《个人信息安全规范》表述为“个人信息所标识的自然人”,此次规范则更为明确的规定为“个人信息能够识别或者关联到的自然人”。
根据《个人信息安全规范》“识别”和“关联”是判定某项信息是否属于个人信息的两条路径。“识别”即从信息到个人,由信息本身的特殊性识别出特定自然人;“关联”即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息如位置信息、浏览记录等即为个人信息。只要符合上述两种情形之一的信息,均应判定为个人信息。
此前公布的《数据安全管理办法(征求意见稿)》已列明网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应以明显方式标明“合成”字样。
此次规范则更为细化,要求网络运营者利用大数据、机器生产、人工智能等技术自动合成文字、图片、音视频等的信息,应以明显方式提醒用户,将图片和音视频列入了合成信息的范围。
中央网信办2月4日曾发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》要求,收集联防联控疫情所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,为疫情防控、疾病防治收集的个人信息,不得用于其他用途。
此次规范细化了上述通知,并对《个人信息安全规范》相关规定有了新的补充。
对于在突发公共卫生事件中个人信息的收集和使用,新规认为,均应遵循最小化原则。收集个人信息应当征得个人同意,但如果是为了控制事件、减轻危害而必须采集的时候,经指定机构实施并经全国突发公共卫生事件应急指挥部(下称“应急指挥部”)或者卫健委同意,就可以直接对个人信息进行收集。如果指定机构需要调用个人信息,也应经应急指挥部同意,或者由卫健委会同相关行业管理部门同意。
该规范还特别对人脸识别验证作了明确要求,规定指定机构在提供信息服务过程中不能够仅提供人脸识别的身份验证方式,而且采取人脸识别信息进行身份验证的,原则上不留存可提取人脸识别信息的原始图像。
对于突发公共卫生事件过后个人信息处理的问题,该规范要求制定机构应当停止收集和调用个人信息,并在60天内或者卫健委规定的时限内删除在此次事件中收集和调用的个人信息。制定机构未经信息主体同意不得公开其个人信息,而且不得利用个人信息谋取商业利益,比如市场营销、定向推送广告等。
规范还指出,指定机构应留存个人信息收集、调用、使用活动日志,并保存至突发公共卫生事件应对工作结束后不少于6个月,这也与《网络安全法》第二十一条规定的网络日志留存时间相一致。
(作者:张雅婷,实习生白桦 编辑:曹金良)