日前，国家市场监督管理总局、国家标准化管理委员会发布的《中华人民共和国国家标准公告》称，全国信息安全标准化技术委员会归口的GB/T 35273-2020《个人信息安全规范》(以下简称《规范》)正式发布，并将于2020年10月1日正式实施。

　　《规范》是个人信息安全领域最基础、影响最广泛的国家标准，开启了我国个人信息保护工作的新篇章，不仅体现了监管部门对《规范》相关标准的认可态度，还是监管部门开展APP相关执法工作的重要依据，更反映了个人信息保护的最新监管要求。

　　依然留有修改空间

　　《规范》删除了原有的“不应收集法律法规明令禁止收集的个人信息”条款，就是法律法规明令禁止收集某类个人信息，个人信息控制者应该遵循相应法律法规的规定，不能存在法条冲突导致的无法执行问题。

　　《规范》删除了“不应大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人敏感信息”的规定。从字面意思理解，个人信息收集者(控制者)今后是可以大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人信息。这对于未来大规模收集公民个人敏感信息来说，等于开了一个突破口。但对于公民个人信息保护而言，这种变化是否更容易侵犯人身权益、财产权益尚不能定论，有待立法机构今后进一步研究。

　　好在《规范》保留了不应公开披露前述公民个人敏感信息分析结果的要求。这意味着，虽然个人信息收集者(控制者)可以收集我国公民的种族、民族、政治观点、宗教信仰等个人信息，但不应公开披露这些信息的分析结果，目的就是减少对公民敏感信息的侵犯，减少对国家安全、社会稳定和民族团结的潜在不利影响。

　　笔者认为，只有在确有需要情况下，才能大规模收集我国公民的种族、民族、政治观点、宗教信仰等个人信息，必须有一定的前置条件。否则大规模收集我国公民的前述信息，一旦泄露或被不法分子加以非法利用，很容易给我国国家安全、社会稳定和民族团结造成威胁。Facebook数据泄露事件为全世界敲响了警钟，必须引起我们重视，尽可能防止其被窃取、泄露或其他个人信息安全事件的发生，以减少对我国国家安全、社会稳定和民族团结的潜在威胁。

　　个人生物识别信息收集、储存要求趋严

　　简单来说，个人生物识别信息用于身份鉴别有其独特优势，比如手机指纹解锁、人脸解锁、人脸支付、声音锁等。但由于个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征都是难以或不可能发生变化，一旦出现被泄漏、被窃取了，也容易给个人信息主体造成财产损失、名誉损失等严重后果。

　　不久前，我国某地就曾经出现小学生用照片刷开了某智能快递柜、换脸软件“ZAO”引发的对刷脸支付安全性的担忧，当时在社会上引起质疑，对个人生物识别的安全性提出了很多疑问。为此，《规范》吸取了经验教训，增加对收集个人生物识别信息新要求。《规范》规定：收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。

　　从市场实践中，企业对个人生物识别信息制定单独的个人生物识别信息保护政策，在实际开始采集个人生物信息前告知个人生物识别信息保护的简要规则，单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式、范围和存储时间规则，并征得个人信息主体的明示同意。否则，收集的个人生物识别信息无效，也不能再次使用。这对于有效保护个人生物识别信息起到了重要作用，也是未来个人生物识别信息保护的一个方向。

　　《规范》明确了原则上不应存储原始个人生物识别信息(如样本、图像等)的要求。这意味着，不存储原始个人生物识别信息是原则要求。如果想要存储原始个人生物识别信息，需要有特别充分的依据和理由。当然，对存储个人生物识别信息还是有选择途径的。例如，在使用面部识别特征、指纹、掌纹、虹膜时，实现识别认证功能后删除可提取个人生物识别信息的原始图像，但用完就应该删除原始图像。也就是说，采集以后用了，用完之后也删除了，并不违反《规范》相关规定。这对于未来我国个人生物识别信息的采集和使用在方法上具有指导意义。

　　个人隐私政策调整范围扩大

　　从旧版“隐私政策”调整为新规“个人信息保护政策”的原因是多方面的，主要是个人信息与隐私范围不一致，这也符合我国《民法典》(草案)等法律规定。

　　实践中，“个人信息保护政策”实际是对个人信息的全面保护，基本围绕对全部个人信息的收集、使用、存储、对外提供、个人信息主体权利保护等个人信息保护内容。因此，从“隐私政策”调整为“个人信息保护政策”，表面上是对政策文本名称的简单变化，实际上是对政策文本适用范围界定得更加严谨、准确，改变了隐私政策的界定范围，扩大了个人信息保护范围，对未来公民个人信息保护立法将产生深远影响。

　　(顾雷 作者系天津金融资产交易所首席经济学家)

　　来源： 中国银行保险报网