心有猛虎 细嗅蔷薇——评GB/T35273-2020《信息安全技术 个人信息安全规范》

来源:金诚同达

文章摘要
引言 《信息安全技术个人信息安全规范》(下称“个人信安规范”,文中如无特别说明,系指现行版本、各个修订版本及即将生效版本的统称)属于推荐性国家标准,并不具备强制效力。
引言
《信息安全技术个人信息安全规范》(下称“个人信安规范”,文中如无特别说明,系指现行版本、各个修订版本及即将生效版本的统称)属于推荐性国家标准,并不具备强制效力。但个人信安规范的历次发布和意见征求,均在业界引发广泛关注与讨论。究其原因,在于该规范已发挥出了远超于推荐性国家标准的作用,得到了监管部门乃至立法部门的肯定。
《移动互联网应用程序(App)安全认证实施规则》中,个人信安规范被确定为认证依据之一;
在APP个人信息保护专项治理工作中,《App违法违规收集使用个人信息自评估指南》《App违法违规收集使用个人信息行为认定方法》等正式文件也节选、沿用了个人信安规范的要求及宗旨;
个人信安规范在个人信息处理活动的原则和安全要求等具体内容,成为《儿童个人信息网络保护规定》《数据安全管理办法(征求意见稿)》等相关立法及征求意见稿的重要参考。
实务中,不少企业也将个人信安规范作为合规指引,甚至奉为圭臬,对隐私政策、个人信息收集使用等处理活动进行自查。
通过本文,笔者将回顾个人信安规范的出台与历次修订,解析2020年3月新近出台的个人信安规范的重点变化,复盘一手农民牌是如何打出了王炸的效果。
泰坦新生
2017年12月29日,国家质量监督检验检疫总局、国家标准化管理委员会发布GB/T 35273-2017《信息安全技术个人信息安全规范》(Information security technology—Personal information security specification,下称“2017个人信安规范”),并于2018年5月1日起实施。
在正式实施仅半年多后,2017个人信安规范的修订工作即提上日程,回顾其在2019年度的数次修订意见征求,历经一次草案、两次征求意见稿,可谓步履不停、一波三折:
(1)2019年2月1日,全国信息安全标准化技术委员会秘书处发布《信息安全技术个人信息安全规范(草案)》,面向社会公开征求意见;
(2)2019年6月25日,全国信息安全标准化技术委员会秘书处发布《信息安全技术个人信息安全规范》征求意见稿,面向社会广泛征求意见;
(3)2019年10月24日,App专项治理工作组发布GB/T 35273《信息安全技术个人信息安全规范》最新版征求意见稿;
(4)2020年3月6日,国家市场监督管理总局、国家标准化管理委员会正式发布 GB/T 35273—2020《信息安全技术个人信息安全规范》(Information security technology—Personal information security specification,下称“2020个人信安规范”或“新版规范”),并定于2020年10月1日实施,以替代2017个人信安规范。
至此,泰坦新生,新篇将启。
大鹏一日同风起
2017个人信安规范发布时,对于当时的个人信息保护尚能起到指导性作用。但经过两年的发展,实务中新技术及新业务模式的不断涌现,在个人信息保护方面产生了不少新问题,而这些问题产生并游离于2017个人信安规范的真空地带,亟需新的规范予以调整,2020个人信安规范顺势而起,在风起云涌的信息化时代,对于新技术、新模式、新风口,给出了自己的回答。
(一)个人生物识别信息
根据2020个人信安规范,个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。与普通个人信息相比,个人生物识别信息具有唯一性,且更改难度极大,一旦被非法收集、泄露或交易,不仅会对自然人的人身财产安全产生威胁或现实损害,在损害发生后也难以采取补救措施预防后续损害的发生。[1]
实务中,个人生物识别信息最常运用的方式为人脸识别。如新零售场景下,商场或店铺安装摄像头,采集人脸信息后,分析顾客的购物习惯、滞留时间,以用于产品的精准营销或安保之用;智慧校园、智慧城市等场景下,学校、交通部门使用人脸识别系统进行监测,以用于考勤或交通执法之用;[2]金融场景下,金融机构自助设备通过采集人脸信息后,进行客户身份信息核实,或反洗钱、反欺诈用途。
但个人生物识别信息的过度使用,也对其保护提出了挑战。未经用户同意收集、超范围使用、未履行安全保障义务导致个人生物识别信息泄露等行为,将给个人信息控制者带来重大合规隐患。
国外方面,Facebook与其用户因人脸识别技术的使用引发集体诉讼,最后以支付5.5亿美元费用和解;
国内方面,杭州野生动物园将大门口的检票通道从指纹识别升级为人脸识别技术,被法学博士郭兵以侵权名义起诉,被称为“中国人脸识别第一案”;
陌陌科技旗下“ZAO”APP因使用用户人脸肖像引发合规问题,被工业和信息化部网络安全管理局约谈,要求其自查整改。
因此,2020个人信安规范对于个人信息控制者提出了更高的要求:
1. 收集方面,要求个人信息控制者在收集前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。[3]
2. 存储方面,要求个人生物识别信息应与个人身份信息分开储存,且原则上不应储存原始个人生物识别信息(如样本、图像等)。[4]
3. 此外,个人生物识别信息原则上不应共享、转让,因业务确需转让的,应该单独告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并且取得个人信息主体的明示同意。[5]
对此,以APP场景为例,如相关业务涉及到人脸识别技术或其他个人生物识别信息的,企业在收集使用阶段,除在个人信息保护政策中予以特别说明外,建议单独以弹窗等方式在告知明确的目的、方式、范围后获取用户的明示同意,该种明示同意应当是个人信息主体通过书面声明或主动做出肯定性动作,如主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。
(二)用户画像及个性化展示
通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成的个人特征模型,即为用户画像。[6]
实务中,用户画像被广泛使用,并常与个性化展示绑定在一起,其主要运用场景包括用户分析、产品研发、行业分析及征信活动等。通过使用用户画像,企业能够在日趋激烈的商业竞争中挖掘用户需求,提供个性化服务,提高用户黏性,减少运营成本,从而在市场竞争中掌握主动权。
但用户画像使用的合规性也遭到质疑。用户常有这样的体验:前一秒刚浏览完一类商品,后一秒就有类似产品推荐;或者在一个APP上搜索的内容,会在另外一个APP上出现。对于部分用户而言,该种方式可以提高搜索效率;但对于部分用户而言则有这样的质疑:用户画像的形成及使用是否侵犯了个人隐私?尤其是在跨APP情境中,在APP归属于不同运营主体时,他们之间是否存在用户信息的分享?由此引发的问题是:用户画像的使用边界在哪里?
2017个人信安规范对此并无提及。2019年个人信安规范第二次征求意见稿则加入了限制用户画像使用的内容,例如要求除为达到个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人,最终生效的2020个人信安规范也延续了征求意见稿的精神。[7]
由此可见,规范对用户画像的使用并不采取一刀切的方式予以禁止,而是考虑到其双刃剑的性质,在满足征得用户授权同意、内容不违规、匿名化等前提下,允许用户画像的运用。该种做法既能发挥个人信息保护作用,又在一定程度上满足了部分用户对个性化推荐的需求,同时也考虑了企业开拓业务的需要。
此外,在基于用户画像产生的个性化展示中,2020个人信安规范也强调了用户的自主控制力。个人信息控制者使用个性化展示的,需显著区分个性化展示的内容和非个性化展示的内容;推送新闻信息服务的过程中使用个性化展示的,允许个人信息主体自主选择退出或关闭个性化展示模式,并提供删除或匿名化定向推送活动所基于的个人信息的选项,鼓励个人信息控制者建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。[8]
企业在使用用户画像和个性化展示时,应做好上述区分工作,标明“定推”等字样,或通过不同的栏目、版块、页面分别展示,并且尊重用户的自主权,尊重其对“定推”说不的权利和自由。
(三)汇聚融合
在2020个人信安规范中,基于不同业务目的所收集个人信息的汇聚融合相关规定篇幅不大,但值得引起关注。
个人信息的汇聚融合,是指个人信息控制者通过表达手段和工具将不同来源的数据进行整合,以获取更高质量信息的一种形式化框架,最终通过数据服务对外提高数据检索和展示等功能。[9]
实务中,个人信息汇聚融合常见的使用场景有三类:同一企业内部不同业务线信息融合、同一集团内不同关联企业间信息融合、与集团外第三方信息融合。[10]该等使用方式涉及个人信息的共享及转让,涉及到的问题主要包括:用户是否知情?是否需要征得用户同意?实际使用过程中是否超出用户授权范围?出现信息安全事件后,承担义务主体是谁?在2017个人信安规范中,未见个人信息汇聚融合的明文规定。
新版规范则对此做出了回答。通过汇聚融合获取的个人信息,同样应该遵守个人信息主体知情且同意的原则,在用户授权范围内使用,超出授权范围的,应再次征得用户的明示同意;同时要求个人信息控制者应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施。[11]但对于汇聚融合下个人信息使用主体是否构成共同个人信息控制者,新版规范并无明文规定。
笔者认为,根据规范释义,个人信息控制者是指有能力决定个人信息处理目的、方式等的组织或个人,在汇聚融合场景下,各信息使用主体均实质控制了个人信息并进行使用。据此,同一企业内部不同业务部门由于共用同一个人信息控制者,不存在共同个人信息控制的问题;而同一集团不同关联企业、企业与第三方主体在汇聚融合收集使用个人信息时,构成共同个人信息控制者,应当按照规范对“共同个人控制者”的有关规定执行,即通过合同等形式共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。个人信息控制者未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。[12]虽然由于个人信息控制者此时承担的是替代责任,在承担个人信息安全责任后应有权向第三方进行追索,但考虑到第三方的资信能力参差不齐,企业仍可能因第三方的信息安全问题遭受实际损失。
因此,对企业而言,在汇聚融合个人信息场景下,基于合规成本的考量,应充分考虑到信息融合的必要性;在满足必要性前提下,应开展个人信息安全影响评估,对共同控制主体的安全管理能力进行考察,并以合同形式约定的权利义务及责任承担方式。
一脉相承
2017个人信安规范发布后,个人信息专项整治活动也在随后陆续进行,2019年进入强监管时期,尤以APP个人信息专项整治最为如火如荼。就监管要求而言,陆续出台《关于开展App违法违规收集使用个人信息专项治理的公告》《App违法违规收集使用个人信息自评估指南》《APP违法违规收集使用个人信息行为认定方法》《关于开展App安全认证工作的公告》等监管文件,细化个人信息生命周期各个环节的要求。在整治过程中,监管主体提出了不少2017个人信安规范未涉及的要求。因此,2020个人信安规范将整治过程中提出的监管要求纳入其中,有效衔接了监管文件的相关内容。
(一)多项业务功能自主选择
在APP专项治理活动中,监管主体发现部分APP存在强制要求用户一次性接受并授权同意多项业务功能收集使用个人信息的情况,若用户不同意,或无法使用该APP,或影响其他业务功能的使用,或被降低服务质量。
对此,《App违法违规收集使用个人信息自评估指南》要求,个人信息控制者在收集使用个人信息应经用户自主选择同意,不应存在强制捆绑授权行为。
具体要求为:APP收集个人信息前应提供由用户主动选择同意或不同意的选项,不同意应仅影响与所拒绝提供个人信息相关的业务功能。
《APP违法违规收集使用个人信息行为认定方法》进一步明确,该类捆绑式授权行为违反了必要原则,并对此类违规行为的表现方式进行了举例说明。
因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;
App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
2020个人信安规范将上述监管文件的部分要求纳入,再次重申了对个人信息主体自主权及控制力的尊重。[13]
当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者需分别征得个人信息主体的授权同意,将其自主做出的肯定性动作作为产品或服务的特定业务功能的开启条件;
针对实务中存在的部分个人信息控制者在用户关闭或退出业务功能时设置的障碍,如要求用户提供不必要的资料、频繁征求用户授权等行为,新版规范要求关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便,在个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意,也不应影响其他业务功能的使用,不应降低其他业务功能的服务质量。
与APP个人信息专项整治监管文件相比,2020个人信安规范对多项业务功能的自主选择规定并没有新颖的规定。因此,该条规定对于已经在前期经受洗礼的APP个人信息控制者而言,应该没有太大杀伤力。但对于APP以外的其他个人信息控制者,尤其是采用统一隐私政策文本的集团企业可能会产生影响。
(二)个人信息主体注销账户
2017个人信安规范仅对个人信息主体注销账户提出原则性要求,即要求个人信息控制者向个人信息主体提供简便易操作的注销方法,但具体到注销条件、处理时限等内容则无提及。实务中,个人信息主体注销账户之难,难于上青天,如要求用户填写精确的历史操作记录、手持身份证拍摄等与注销账户无关或不合理的条件,或在个人信息主体提出注销请求后刻意拖缓甚至置之不理,条件之苛刻、操作之复杂,足以让个人信息主体望而生畏。
对此,《APP违法违规收集使用个人信息行为认定方法》规定,未提供有效的注销账户功能、设置不必要或不合理条件、未及时相应或未在承诺期限内(15各工作日为限)完成核查和处理、用户注销操作完成但APP后台未同步完成的行为,均属于违法违规行为。
2020个人信安规范及时增加了注销账户的具体要求,在处理时限、注销条件设置方面与上述监管文件保持一致,同时增加了多个产品或服务存在必要业务关联关系或使用统一账户情形下账户注销的要求。[14]
多个产品或服务之间存在必要业务关联关系的,需向个人信息主体进行详细说明;
产品或服务没有独立的账户体系的,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现注销。
(三)第三方接入管理
第三方接入,是指个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务,且不属于委托或共同信息控制者的行为。
在实务中,为提升效率、降低成本,个人信息控制者往往会引入第三方代码和插件,最为典型的是第三方SDK开发包。然而,一方面用户往往难以通过直观感知区分第三方SDK的使用场景,另一方面由于第三方SDK是作为技术手段嵌入应用后通过黑箱方式运作的,即便是个人信息控制者也未必完全知悉其是否收集个人信息、收集哪些个人信息,因此第三方SDK在提供便利的同时,也存在不可忽视的弊端。
《APP违法违规收集使用个人信息行为认定方法》注意到了第三方SDK的隐蔽收集现象,将APP接入第三方应用,且未经用户同意向其提供个人信息的行为,认定为“未经同意向他人提供个人信息”。言外之意为,在涉及第三方接入时,若个人信息控制者向第三方提供个人信息的,需要告知个人信息主体并征得其同意。
2020个人信安规范在此基础上新增了第三方接入管理的相关规定。主要要求有:
建立接入管理机制和工作流程;
与第三方明确各自安全责任及应实施的个人信息安全措施;
告知个人信息主体并征得其同意;
对第三方实施监管督促,包括请求和投诉等机制的建立、信息安全管理的加强、确保其个人信息收集使用行为符合约定并对其进行审计等。[15]
除监管要求外,2020个人信安规范还有效衔接了《网络安全法》《密码法》等法律法规的相关内容,如将《网络安全法》所规定的在收集、使用个人信息活动中需要遵循的“合法、正当、必要”原则纳入个人信息安全基本原则;要求个人信息控制者在传输和存储个人敏感信息采用密码技术时遵循密码管理相关国家标准,与《密码法》相对应;不应公开公民个人敏感数据的分析结果,则与《数据安全管理办法(征求意见稿)》相衔接。
见微知著
除上述实质内容的增删外,相较2017个人信安规范,2020个人信安规范在体系上更加完整、用词上也更加考究。
(一)体系调整
1. “个人信息主体的权利”独立成章
2017个人信安规范将个人信息主体的权利,包括访问、更正、删除、撤回授权同意、注销账户、获取个人信息副本、响应个人信息主体的请求、申诉管理八方面内容放在“个人信息的使用”章节中。
从名词定义上看,使用,是指使人员、器物、资金等为某种目的的服务,在规范中,“使用”的词性为动词,其主体应为个人信息控制者。从内容上看,该章节应当是与个人信息控制者使用个人信息活动的相关规定。但上述八方面内容更侧重于个人信息主体的权利,从内容上看,与“个人信息的使用”不甚统一。
2020个人信安规范将该八方面内容独立成章,并命名为“个人信息主体的权利”,一来肯定了个人信息主体在个人信息处理活动中所享有的正当权利,二来也对规范体系进行了完善。
2. 授权同意与明示同意的整合
在2017个人信安规范将用户同意分为授权同意和明示同意两类,分别在5.3条、5.4条、5.5条进行规定,但在“术语和定义”篇,仅对明示同意进行界定,忽略了授权同意的概念界定。此外,对于授权同意和明示同意的相关规定也存在内容上的交叉。
2020个人信安规范填补了授权同意界定的漏洞,将授权同意定义为个人信息主体对其个人信息进行特定处理作出明确授权的行为,并将授权同意分为通过积极的行为作出授权,或通过消极的不作为作出授权,前者即为明示同意。[16]根据此定义,授权同意与明示同意非为并列关系,而是包含关系。
因此,新版规范整合了原授权同意和明示同意的相关内容,对于需要明示同意的特殊事项也规定在“授权同意”内容下,与定义篇保持一致;同时简化了授权同意需要告知的内容描述,与下文的个人信息保护政策进行更好的衔接。
3. 贯彻“权责一致”原则
2017个人信安规范将“权责一致”原则界定为,个人信息控制者对其在个人信息处理活动中给个人信息主体合法权益造成的损害承担责任。而2020个人信安规范则对责任进行扩张,个人信息控制者除就损害承担责任外,还应当采取技术和其他必要的措施保障个人信息的安全。
此外,为贯彻“权责一致”原则,2020个人信安规范新增“个人信息安全工程”和“个人信息处理活动记录”两部分内容,以求与“权责一致”原则的定义保持一致。
新版规范对于“权责一致”原则内容的扩充是否必要,本文持保留态度。个人信息安全基本原则的“确保安全”原则中,已经要求个人信息控制者具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性可用性。此次“权责一致”原则再次增加保障个人信息安全的技术与措施,将导致两个原则内容的重复。
(二)措辞精确
1. 使用“个人信息保护政策”代替“隐私政策”
根据《民法典(草案)》的规定,个人信息与隐私属于两个不同的概念。二者的内涵既存在交叉,也存在区别,并非所有的隐私都属于个人信息,只有私密信息才属于个人信息的范畴。对于个人信安规范而言,所要规制的行为是处理个人信息的行为,而非处理隐私的行为。
草案第一千零三十二条规定:
隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息;
草案第一千零三十四条规定:
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。
因此,新版规范使用“个人信息保护政策”代替“隐私政策”,体现了对“个人信息”内涵的充分理解,也体现了用词的严谨。
2. 使用“最小必要”代替“最少够用”
在个人信息安全基本原则中,2020个人信安规范将原有的“最少够用”替换成“最小必要”。
此处变动应有两方面的考量:1)与《网络安全法》个人信息活动应当遵循合法、正当、必要原则相对应;(2)对必要原则做出实质性回应。2017个人信安规范中允许企业与用户通过协议约定等方式,在最小必要范围以外收集个人信息,该等规定导致最小必要原则容易沦为形式,不利于个人信息的保护及必要原则的贯彻。
但此处引申出的问题在于,不同的企业对于相似的服务场景,其风控、业务等标准是不同的,需求也是不同的,如何满足企业的个性化需求而不是一刀切的穷举划分最小必要范围的信息,是企业和监管主体都不得不面临的考验。
3. 使用“有能力”代替“有权”
2017个人信安规范中,对于个人信息控制者的定义为有权决定个人信息处理目的、方式等的组织或个人。而2020个人信安规范则使用“有能力”代替“有权”进行定义。
笔者认为,“有能力”更多偏向于实际能够处理个人信息,而原先的“有权”则更多偏向于具备合法权利。该措辞的变动将实际处理个人信息的主体也纳入个人信息控制者的范畴,体现了整体逻辑的严谨。
4. 使用“存储”代替“保存”
2020个人信安规范全文,以“存储”替代原先的“保存”。相比“保存”,“存储”一词更具备用词更加书面正式,从词性上看,“存储”除具备“保存”的动态性外,也涵盖静态动作,其直观的范围更加广泛,可以涉及到存储位置、存储期限、存储方式等各细节维度。
除上述内容外,相比2017信安规范,2020信安规范在信息系统自动决策机制的使用、委托处理、个人信息共享与转让、明确责任部门与人员、开展个人信息安全影响评估等方面也做了相应的调整,限于篇幅不再展开。
心有猛虎 细嗅蔷薇
综观2020个人信安规范,在宏观视野上,其综合考虑的要素颇多,因此新版规范对近两年实务中出现的新问题、新技术做出了回应,将个人信息治理活动中的监管要求纳入,衔接了《网络安全法》《密码法》《数据安全管理办法(征求意见稿)》等法律法规对于个人信息保护的相关规定。此外,无论是体系的调整,还是遣词造句的权衡,细节之处无不彰显出制定者的细腻及慎重。
无论是规范的修订过程,或是规范调整后的具体内容,可以看出,制定者对于规范的期许,绝不止于推荐性标准,而是定位为“我国个人信息保护工作的基础性标准文件,为今后开展与个人信息保护相关的各类活动提供参考,为制定和实施个人信息保护相关法律法规奠定基础,为国家主管部门、第三方测评机构等开展个人信息安全管理、评估工作提供指导和依据。” [17]因此,与2017个人信安规范相比,2020个人信安规范更贴近实务情况,也更具备可操作性,此为“心有猛虎”。与此同时,规范在体系结构、措辞用句上的调整,用立法的标准来要求自己,也将制定者的谨慎及用心体现得淋漓尽致,此为“细嗅蔷薇”。
感谢陈玉卿女士对本文的贡献。

识别二维码收藏《心有猛虎 细嗅蔷薇——评GBT35273-2020〈信息安全技术个人信息安全规范〉》PDF版。
[1] 参见程啸:《加强个人生物识别信息法律保护》,https://baijiahao.baidu.com/s?id=1654775537833936974&wfr=spider&for=pc,2020年3月26日访问。
[2] 参见周航、洪烨玲:《人脸识别技术应用场景下个人信息保护问题初探》,http://www.jibusi.cn/view_article/topId/3842/catid/41,2020年3月26日访问。
[3] 详见2020个人信安规范第5.4条。
[4] 详见2020个人信安规范第6.3条。
[5] 详见2020个人信安规范第9.2条。
[6] 详见2020个人信安规范第3.8条。
[7] 详见2020个人信安规范第7.4条。
[8] 详见2020个人信安规范第7.5条。
[9] 参见宁宣凤、吴涵、李沅珊、张乐健:《“数”年快乐——万字长文说“数据融合”》,https://www.kwm.com/zh/cn/knowledge/insights/several-years-of-happiness-wanzi-long-text-says-data-fusion-20200102,2020年3月26日访问。
[10] 同前注。
[11] 详见2020个人信安规范第7.6条。
[12] 详见2020个人信安规范第9.6条。
[13] 详见2020个人信安规范第5.3条。
[14] 详见2020个人信安规范第8.5条。
[15] 详见2020个人信安规范第9.7条。
[16] 详见2020个人信安规范第3.7条。
[17] 参见中央网信办官网:《个人信息安全须用规范“保驾”》,http://www.cac.gov.cn/2016-12/22/c_1120160205.htm,2020年3月26日访问。
技术驱动法律,专业成就未来