繼2017年12月《信息安全技術個人信息安全規范》發布之后，時隔兩年多，歷經兩次公開向社會征求意見，3月6日，《規范》有了新的變化調整，包括：

新增「多項業務功能的自主選擇」「用戶畫像的使用限制」「個性化展示的使用」「第三方接入管理」「個人信息處理活動記錄」等多項內容，并將個人生物識別信息的要求細化并完善。

在收集個人生物識別信息前，需單獨向用戶告知收集、使用個人生物識別信息的目的、方式和范圍以及存儲時間等規則，并征得用戶的明示同意；其次，個人生物識別信息要與個人身份信息分開存儲，原則上不應存儲原始個人生物識別信息。

新版《規范》能否為個人信息安全栓上一道「鎖」，讓我們拭目以待。

3月6日，國家市場監督管理總局、國家標準化管理委員會正式發布國家標準《信息安全技術個人信息安全規范》（下稱《規范》），并定于2020年10月1日實施。

該《規范》對個人信息收集、儲存、使用做出了明確規定，并規定了個人信息主體具有查詢、更正、刪除、撤回授權、注銷賬戶、獲取個人信息副本等權力。

一、《信息安全技術個人信息安全規范》早有淵源

早在2017年12月，全國信息安全標準化技術委員會組織制定和歸口管理的國家標準GB/T 35273-2017《信息安全技術個人信息安全規范》就已正式發布，當時《規范》規定將于2018年5月1日實施。

2019年6月，據App專項治理工作組顯示，《規范》公開向社會征求意見，截止10月，標準編制組共收到并處理意見約400條。基于各單位反饋意見以及App違法違規收集使用個人信息專項治理工作實踐經驗。

此后，標準編制組對征求意見稿版本予以補充完善、優化和更新，2019年10月24日，《信息安全技術個人信息安全規范》最新版征求意見稿（簡稱「新版征求意見稿」）對外發布。相比6月份的征求意見稿，新版征求意見稿規定，App應提供簡便易操作的注銷功能，核驗身份時不得要求用戶提供超過注冊、使用時收集的個人信息。

二、不應存儲原始個人生物識別信息

2020版《規范》繼續沿用了2017版的七大原則，分別是：權責一致原則、目的明確原則、選擇同意原則、最少夠用原則、公開透明原則、確保安全原則、主體參與原則。

與2017版《規范》相比，2020版也有了新變化。

首先，個人信息安全規范無外乎用戶隱私泄露問題，而從2019年10月「人臉識別第一案」到之后爆出的人臉照片黑色產業鏈，以及各類APP「換臉大法」，都讓個人隱私成為技術發展應用后，大眾追問的話題，便利用戶、技術運用不應該成為竊取用戶隱私的「遮羞布」。

針對個人生物識別信息方面，新版《規范》也提出具體的解決措施。

《規范》規定在收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規則，并征得個人信息主體的明示同意。

第一，個人生物識別信息要與個人身份信息分開存儲；

第二，原則上不應存儲原始個人生物識別信息，可采取的措施包括但不限于：

僅存儲個人性別信息的摘要信息；在采集終端中直接使用個人生物識別信息實現身份識別、認證等功能；在使用面部識別特征、指紋、掌紋、虹膜等實現識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。

其次，此版《規范》增加了「多項業務功能的自主選擇」「用戶畫像的使用限制」「個性化展示的使用」「基于不同業務目所收集個人信息的匯聚融合」「第三方接入管理」「個人信息安全工程」「個人信息處理活動記錄」等內容。

在「多項業務功能的自主選擇」方面，根據個人信息主體選擇、使用所提供產品或服務的根本期待和最主要的需求，劃定產品或服務的基本業務功能，產品或服務所提供的基本業務功能之外的其他功能，劃定為擴展業務功能。

據《規范》顯示，擴展的業務功能，應允許個人信息主體逐項選擇同意。用戶不同意的，個人信息控制者不得反復征求用戶同意，除非用戶主動選擇開啟擴展功能，且不應拒絕提供基本業務功能或降低基本業務功能的服務質量。

在選擇同意的流程中，《規范》建議，應通過如彈窗、文字說明、填寫框、提示條、提示音等形式進行提示，并且要讓用戶主動做出肯定性的動作，比如勾選、點擊「同意」或「下一步」。

在「個性化展示的使用」方面，App在提供業務功能的過程中使用個性化展示的，應顯著區分個性化展示的內容和非個性化展示的內容，比如標明「定推」字樣。同時，App應提供不針對用戶特征的選項。《規范》還建議，App向用戶提供個性化展示的，宜建立用戶對個人信息（如標簽、畫像維度）的自主控制機制，保障用戶調控個性化展示相關程度的能力。

當個人信息主體選擇退出個性化展示模式時，應向個人信息主體提供刪除或匿名化定向推送活動所基于的個人信息的選項。

最后，在征得授權同意的例外中，《規范》明確，隱私政策的主要功能為公開個人信息控制者收集、使用個人信息范圍和規則，不應將其視為根據個人信息主體要求簽訂和履行的合同，并在此基礎上修改「征得授權同意的例外」「個人信息主體注銷賬戶」「明確責任部門與人員」「實現個人信息主體自主意愿的方法」等內容。

《規范》持續強調個人信息控制者應承擔的義務，并新增要求「不強迫接受多項業務功能，即當產品或服務提供多項需收集個人信息的業務功能時，個人信息控制者不應違背個人信息主體的自主意愿，強迫個人信息主體接受產品或服務所提供的業務功能及相應的個人信息收集請求」，但目前尚未明確定義個人信息處理者、個人信息聯合控制者、個人信息外包方等角色應履行的義務。