2018年5月1日，《信息安全技術(shù) 個人信息安全規(guī)范》GBT35273--2017國家標準正式實施。因為是個技術(shù)標準，業(yè)內(nèi)關(guān)注不足，其實這個標準的重要性可能會影響大數(shù)據(jù)行業(yè)的發(fā)展，并影響整個互聯(lián)網(wǎng)金融行業(yè)的持續(xù)經(jīng)營。建議業(yè)內(nèi)朋友們，能夠認真對待，切莫疏漏。

　　一、雖不是強制標準，但必須嚴格對待

　　也許，您的朋友會說，這次“個人信息安全規(guī)范”只是建議標準，不是強制標準，不用掛懷。我們的觀點不同，因為某些客觀原因這次的標準并未采取強制標準的方式，但據(jù)我們所知，各地在執(zhí)行時會參照本安全規(guī)范予以執(zhí)行。

　　在判定一種數(shù)據(jù)獲取行為是否合規(guī)時，這次的“個人信息安全規(guī)范”是重要參考標準，甚至毫不夸張地講，在法院處理相關(guān)民事訴訟和刑事訴訟時，遇到技術(shù)難題，他們首先找到的就是這個國家標準，也會按照國家標準的理解去理解什么是個人信息；什么是個人敏感信息；什么是明示同意的標準；什么是官方眼里的“用戶畫像”；什么是個人信息安全基本原則。

　　因此，作為大數(shù)據(jù)從業(yè)人員和互金機構(gòu)從業(yè)人員，必須了解相關(guān)知識，在實際工作中才能把握“實質(zhì)紅線”，合法合規(guī)經(jīng)營，預(yù)防重大法律風險。

　　二、厘清幾個重要概念

　　（一）個人信息

　　以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反應(yīng)特定自然人活動的各種信息。列舉：姓名、出生日期、身份證號碼、生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

　　請注意，這里的“等”是“等外等”也就是說如果未來出現(xiàn)其他與前面列舉的這些個人信息對自然人的影響力相等的情況下，也可以認定為個人信息，受到標準的保護和規(guī)制。

　?。ǘ﹤€人敏感信息

　　個人敏感信息是個人信息的“子概念”或“子集”，具體是指：一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。列舉：身份證號、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息。

　　請注意，在催收活動中，如果掌握他人通信記錄和征信信息等，且不合理使用，極容易導(dǎo)致風險事件，甚至?xí)唤杩钊伺e報涉嫌盜搶，在掃黑除惡大背景下，法律風險很高。

　?。ㄈ┟魇就?/p>

　　我們在從事金融機構(gòu)互聯(lián)網(wǎng)化項目時，經(jīng)常被業(yè)務(wù)人員和項目經(jīng)理詢問：肖律師，到底什么情況下法律才能認可客戶“明示同意”了？嚴格不？那時候，我們都是根據(jù)2017年的法律法規(guī)進行解釋，如今有了更為明確的細節(jié)標準。

　　所謂“明示同意”就是指：個人信息主體通過書面聲明或主動做出肯定性動作，對其個人信息進行特定處理做出明確授權(quán)的行為。其中，肯定性動作列舉為：個人信息主體主動作出聲明（電子、紙質(zhì)均可）、主動勾選、主動點擊“同意”、“注冊”、“發(fā)送”、“撥打”等。

　　讀者可能會問，同意、注冊、發(fā)送是“or”還是“and”的關(guān)系，我們認為應(yīng)當是擇一即可，但為了防止有關(guān)部門任意擴大解釋，不當理解穿透式監(jiān)管，建議企業(yè)還是選擇個人信息主體主動做出聲明的方式更為穩(wěn)妥。

　　三、個人信息安全7個基本原則

　　個人信息安全有如下7個基本原則，個人信息控制者應(yīng)當遵守：

　　1.權(quán)責一致。個人信息控制者對其個人信息處理活動對個人信息主體合法權(quán)益造成損害承擔責任。翻譯一下就是，掌握個人信息的企業(yè)，如果侵犯老百姓個人信息造成損失，要賠償。

　　2.目的明確。具有合法、正當、必要、明確的個人信息處理目的。其中，我們認為第三項“必要”市場主體做的很不到位，很不多多從個人身上撬動信息，全然不顧“最少夠用”的初衷，著實可憎。

　　3.選擇同意。向個人信息主體明示個人信息處理目的、方式、范圍、規(guī)制等，征求其授權(quán)。簡言之，無授權(quán)，無動用他人信息的權(quán)利。

　　4.最少夠用。除與個人信息主體另有約定外，只處理滿足個人信息主體授權(quán)同意的目的所需的最少個人信息類型和數(shù)量。目的達成后，及時刪除。這里的約定，有點放水的意味，我們預(yù)計未來一定會有類似訴訟出現(xiàn)，屆時，公司、企業(yè)將用這一條來抗辯自己沒有多采集信息。

　　5.公開透明。以明確、易懂、合理方式公開，接受外部監(jiān)督。

　　6.確保安全。具備與其所面臨的安全風險相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保護公民信息的保密性、完整性、可用性。其實就是提醒大家，容易被黑客攻擊的，一定得加強安全防范能力。

　　7.主體參與。向個人信息主體提供能夠訪問、更正、刪除其個人信息，以及撤回同意、注銷賬戶等方法。我們認為，這一點尤為重要，應(yīng)該提到更往前的位置。

　　四、收集個人敏感信息，“明示同意”更重要

　　如果收集個人敏感信息，就要更加提高明示同意的門檻， 國家標準要求個人信息控制者完成以下工作：

　　1.收集個人敏感信息時，應(yīng)取得個人信息主體的明示同意。

　　應(yīng)確保個人信息主體的明示同意是其在完全知情的基礎(chǔ)上自愿給出的、具體的、清晰明確的愿望表示； （從法律人眼里，我們分明看到了這一條的意思是把客戶自愿的舉證責任拋給了企業(yè)，如果證明不利，則承擔敗訴后果）

　　2.通過主動提供或自動采集方式收集個人信息前，應(yīng)當：

　?。?）向信息主體告知所提供的產(chǎn)品、服務(wù)的核心業(yè)務(wù)功能及必需收集敏感信息，并明確告知拒絕提供、拒絕同意將帶來的影響。應(yīng)當允許個人選擇是否提供或同意自動采集；（作為普通人，我們可能最無奈的是如果不同意人家就不提供服務(wù)…）

　　（2）產(chǎn)品或服務(wù)如提供其他附加功能，需要收集敏感信息，收集前應(yīng)當逐一說明情況，并允許信息主體逐項選擇同意與否。當信息主體拒絕時，不能以此為由，不提供核心業(yè)務(wù)功能，并應(yīng)當保障服務(wù)質(zhì)量。換句話說，人家不同意你的附屬功能收集信息，你不能掐斷給人家提供的主要服務(wù)。

　　3.收集年滿14周歲的未成年人個人信息前，應(yīng)當征得其本人或監(jiān)護人的明示同意；不滿14周歲的，應(yīng)征得其監(jiān)護人明確同意。（14周歲以上是否可以判斷其提供敏感信息對自己人生的重要性，我們持保留態(tài)度。）

　　最后，我們今天僅僅將國標中的重點內(nèi)容抽出來，介紹給大家，以期達到提醒大家重視新標準的想法。從新標準可以看出，去年出臺的一系列嚴苛的法律（含對刑法第253條之一的適用）對于大數(shù)據(jù)、互金行業(yè)的影響較大，甚至有人產(chǎn)生了較大的悲觀情緒。

　　從本月國標的內(nèi)容看，對于公民個人信息的保護正在回歸到一個更為科學(xué)、居中的位置上，但是我們還是對于有些企業(yè)利用“合同約定”、“不提供服務(wù)”方法套取個人信息的行為表示擔心。希望企事業(yè)單位嚴守法律和道德底線，不要失信于廣大金融消費者。

相關(guān)知識

可穿戴設(shè)備就健康大數(shù)據(jù)的合規(guī)分析
《醫(yī)療健康大數(shù)據(jù)平臺質(zhì)量管理標準》發(fā)布，引領(lǐng)數(shù)據(jù)質(zhì)量管理新時代
29周胎兒發(fā)育標準數(shù)據(jù)表 31周胎兒發(fā)育標準數(shù)據(jù)
90%數(shù)據(jù)在沉睡，如何利用健康醫(yī)療大數(shù)據(jù)開放平臺釋放數(shù)據(jù)價值？
發(fā)展不忘合規(guī)，健康醫(yī)療大數(shù)據(jù)合規(guī)注意事項
醫(yī)療健康大數(shù)據(jù)分類分級使用標準研究（一）
最新數(shù)據(jù)
最新男女標準體重已公布！看看自己達標了沒有？
據(jù)國家統(tǒng)計局最新數(shù)據(jù)公布：降糖藥最新銷售排名
電子病歷新標準要出臺？新規(guī)內(nèi)容有何調(diào)整？看完這篇你就懂了！

網(wǎng)址: 從最新標準看“大數(shù)據(jù)”如何合規(guī)？ http://www.gysdgmq.cn/newsview311310.html