2017年6月1日，《中華人民共和國網絡安全法》（“《網安法》”）的正式實施，標志著我國對個人信息保護規則逐步走向清晰和明確化，但是《網安法》具體實際應用層面仍需出臺專門的法律法規及政策。2018年1月24日，國家標準化委員會參考國內法律法規、國際規則和實踐制定《信息安全技術 個人信息安全規范》（GB/T 35273-2017）（“《規范》”）正式公布，并將于2018年5月1日正式實施。該規范為從事網絡信息業務相關人員，特別是互聯網金融企業對于個人信息的獲取及使用進行規范。

　　收集原則

　　《網安法》第四十一條中規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

　　網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。

　　對于如何獲取個人的同意，《規范》中明確規定，收集個人信息遵循最小化要求，并在收集信息前，應向個人信息主體明確告知所提供產品或服務的不同業務功能分別收集的個人信息類型，以及收集、使用個人信息的規則，并獲得個人信息主體的授權同意，另外，涉及個人敏感信息的，應取得個人信息主體的明示同意。

　　因此，對于收集信息的企業，應當遵循必要且最小化原則，區分敏感信息和普通信息，獲得被收集主體的授權同意，如果涉及敏感信息的，應當獲得明示同意。

　　使用規范

　　《網安法》中對企業使用個人信息僅規定了合法、正當、必要原則，而在《規范》中，則對個人信息的具體使用做出限制：

　　消除指向性，避免定位到個人；

　　個人信息范圍界定為包括能夠反映個人活動情況的；

　　不得超出授權范圍。

　　除遵循上述原則外，企業對于個人信息的使用，特別是帶有個人標識的信息應當與個人標識采取物理、技術和管理上的隔離, 避免重新標識化。

　　分享、轉讓規范

　　《網安法》第四十二條規定，網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。而在企業收購、兼并、重組情況下，對于繼受方使用信息的權限，《規范》中規定，個人信息原則上不得共享、轉讓，確需共享轉讓時，應遵循以下要求：

　　信息安全影響評估；

　　取得信息主體的授權同意；

　　涉及敏感信息的，應當取得明示同意；

　　記錄個人信息共享、轉讓情況；

　　承擔損害責任。

　　因此，企業繼受方或關聯方使用個人信息的，應當重新取得個人的授權同意，并且企業對轉讓和分享進行安全影響評估，承擔因此可能產生的損害責任。

　　共同責任劃分

　　對于共同控制信息的兩個以上主體，如平臺與商戶對于注冊用戶的個人信息的使用和保護，《規范》中規定，各方應當通過合同等形式共同確定應滿足的個人信息安全要求和責任劃分，并告知個人信息主體。

　　除上述內容外，《規范》對持有個人信息的主體在信息保存、安全事件處理、部門職責、人員管理、安全審計等方面細化規范。盡管《規范》并非強制性規范，但對于企業制定及實施個人信息保護制度起到了指引和規范的作用，應作為“基本通用”的標準化實踐指南。

責任編輯：韓希宇