逃离“告知-同意”:《个人信息去标识化指南》笔记

一、“告知-同意”以外

网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

——《网络安全法》第四十二条第一款

我国个人信息保护规则围绕着“告知-同意”原则构建,无论是收集、使用几乎都需要向个人信息主体告知并获得同意。征求意见中的《信息安全技术 个人信息告知同意指南(征求意见稿)》就是对“告知-同意”的详尽路线图。但无论怎样设计“告知-同意”都是一条充满荆棘的路途,而在这条路途以外,去标识化就成为值得探索的荒原。

《信息安全规范 个人信息去标识化指南》(GB/T 37964-2019)(“《个人信息去标识化指南》”)是个人信息领域最为重要的国家标准之一,是“告知-同意”以外,个人信息收集、处理的另一条进路。在杨合庆主编的《中华人民共和国网络安全法解读》中,将个人信息去匿名化的重任,交给了国家标准:“对个人信息匿名化处理的具体规则和技术要求等,本条未作具体规定,应当遵守有关标准和技术规范要求。”

匿名化处理的本质在于将个人信息处理为非个人信息,让匿名化处理后的个人信息不再具有人格属性,从而无需再遵守关于个人信息保护的规定。去标识化虽然不完全等同于匿名化,但却是现阶段退而求其次的选择,可以有效帮助企业降低收集、处理个人信息的合规风险,控制个人信息泄露的危害。

继续阅读

穿透告知同意的迷雾:《个人信息告知同意指南(征求意见稿)》发布

中国个人信息制度主要是以“告知同意”为基础构建,对个人信息的收集、处理均要求个人信息控制者向个人信息主体告知规则并获得同意。但如何告知,如何才算获得了同意却是一个非常棘手的难题。

张新宝教授在《个人信息收集:告知同意原则适用的限制》一文中认为:很多情况下,手机App等互联网应用所谓的“告知”并不是真正的告知,用户的“同意”并非真正的“同意”,并且不乏大量手机App等互联网应用采取隐瞒方式获取用户同意的情形。

中国农历春节前,信安标委就《个人信息告知同意指南(征求意见稿)》开始征求意见。在正式版本生效后,这份文件可能会是与《个人信息安全规范》(GB/T 35273-2017)同等重要甚至是更为重要的一份标准。《个人信息告知同意指南(征求意见稿)》开始征求意见无疑是一个好的开始,有助于收集、处理个人信息的企业穿透迷雾,履行法律义务。

继续阅读

微信2020年1月法律文件更新

概要:微信为视频号与更新了《微信隐私保护指引》,为功能号更新了《微信软件许可及服务协议》。

2020年1月21日,腾讯修改了自己的《微信隐私保护指引》,腾讯上一次修改《微信隐私保护指引》是在2019年9月30日。

这次修改微信主要涉及了以下内容:

除了隐私政策,腾讯《微信软件许可及服务协议》同样进行了修改,主要涉及:

读在2010年代的最后一年

年底,按惯例 (20182017201620152014201320122011201020092008) 要回忆一下过去一年的读书。2019年抽时间读了30多本书,一年不如一年,只能拿读书不是刷数量这样的鬼话自我安慰一下。

照例随便列几本印象深刻的书吧。

《社会工程 : 安全体系中的人性漏洞》,一般来说,我不喜欢谈专业领域的书,但这本颇有意思。社会工程本质上是建立在对社会洞察的基础上,发现安全体系中的漏洞,充分体会到信息安全课程中所讲的:人永远都是最大的漏洞。

《中国历史地理十五讲》,我一直都很喜欢地理与历史挂钩的研究。尤其是在读历史书中,面对陌生的地名总是盼望着有旁边配有张地图帮我理解当时的情况。但碍于我国的出版制度,地图并不总是容易添加。书是十五个主题,贯彻中国历史,感觉和玩《文明》一样,地理对历史的影响应该是全球性的,如果把范围拓展到世界范围内就更好了,所谓《世界历史地理若干讲》。

《罗马的命运:气候、疾病和帝国的终结》,感觉像是《枪炮、病菌与钢铁》这类书的具体适用,深入到了非常微观的层面讨论这些传统上不被关注的元素,但气候、疾病就像是推到帝国的第一块骨牌。

《汴京之围》《长安与河北之间》《广州贸易》三本书,在国庆假期期间读完的三本书,都是关于大变革时代,只能感慨,开“上帝视角”评价历史实在是太过容易,但当局者没有办法足够的信息做决策,即使掌握大量信息,也难以识别哪些是正确的。

《激进市场》,今年读的很有意思的一本书,属于是刷新思维方式的那种,里面提出了很多很激进的观点。针对税率、针对数据。尤其是针对数据,传统的“知情-同意”感觉已然陌路,到了该掀桌子另起炉灶的时候了。