2019年6月25日下午，全国信息安全标准化技术委员会公布了8项国家标准的征求意见稿，其中最引人瞩目的自然为《信息安全技术 个人信息安全规范》。吸引企业法务和数据律师关注的原因，不仅仅因为这是一部指导企业个人信息保护合规实务的红宝书，更因为它于2017年底颁布，2018年5月1日正式实施后，2019年1月31日就发布了汇集专家修订意见的草案（以下简称“2019年草案”），经过了信标委工作组4月宁波会议汇报与研讨，本次正式征求意见又将有哪些变化？

2019年1月31日的修订版草案已经在年初引起了热议，解读的文章也很多。鉴于本次征求意见基本上保留了草案的重大框架调整，我们先大致回顾一下2019年草案的修订内容与意图。

根据官宣，即草案的前言：

本标准代替GB/T 35273-2017《信息安全技术 个人信息安全规范》，与GB/T 35273-2017相比主要变化如下：

“3 缩略语”中补充了“3.15 个性化展示”；

增加了“5.3 不得强迫收集个人信息的要求”；

修改了“5.7 征得授权同意的例外”；

增加了“7.4 个性化展示及退出”；

增加了“7.5 基于不同业务目所收集的个人信息的汇聚融合”；

增加了“8.7 第三方接入管理”；

修改了“10.1 明确责任部门与人员”；

增加“10.2 个人信息处理活动记录”；

修改了“资料性附录C 保障个人信息主体选择同意权的方法”。

增加了“附录 C.1 区分基本业务功能和扩展业务功能”、“C.2 基本业务功能的告知和明示同意”、“C.3 扩展业务功能的告知和明示同意”。

对以上2019年草案版的重大变化进一步解读：

1、对收集的“必要性和正当性”原则理解不仅仅是“信息主体的同意”，而是增加了“不得强迫收集个人信息”的专门条款，禁止企业进行功能捆绑或以一揽子授权形式收集个人信息，不仅明确要求应提供关闭或退出业务功能的途径，而且其应与选择使用业务功能的途径同样便捷。

2、2019年草案建议区分基本业务功能和扩展业务功能，提出不同功能的实现收集个人信息同意的形式，作为强迫收集的对抗，其核心目的是保障用户的选择同意权，即基本业务功能所需收集的个人信息为提供基本服务的必要信息，用户不同意收集时企业可以拒绝提供该业务功能；而用户即使不提供扩展业务功能所需的个人信息仍可以使用基本服务。

3、在个人信息的使用方面，2019年草案新增两个内容，即“个性化展示”以及“个人信息的汇聚融合”，并完善了自动化决策机制下的个人信息的使用。但综合来看，实质在于整合梳理了个人信息使用的多种情形，包括访问控制、展示的限制、使用的限制、个性化展示及退出、基于不同业务目的所收集的个人信息的汇聚融合以及自动决策机制的使用。对个性化展示、个人信息汇聚融合，其本质是在顺应目前企业对个人信息利用场景，在明确合规要求的具体要求下助力大数据产业发展。

4、征得授权同意的例外情形中删除了“根据个人信息主体要求签订和履行合同所必需的”，此删除让人冥思苦想，感觉莫名增加了企业的获取授权同意负担。

5、新增“第三方接入管理”，是在不适用委托处理和共同控制的关系之外，对个人信息控制者提出了明确要求，包括安全评估机制，合同义务，向个人信息主体披露第三方服务，留存记录，要求第三方主体满足的多项义务，对第三方自动化工具的检测和行为审计要求等。

6、对个人信息保护负责人和工作机构在人员任职、工作范围与职责的补充和细化，其中新增“应由具有相关管理工作经历和个人信息保护专业知识的人员担任”，“提供必要资源保障独立履行职责”看起来与GDPR项下DPO的规定颇为雷同。

7、新增对“个人信息处理活动的记录”，以“宜”的形式表达记录的良好实践包括：所涉及个人信息类别、数量、来源；根据业务功能和授权情况区分个人信息的处理目的、使用场景，以及委托处理、共享、转让、公开披露、是否涉及出境等情况；与个人信息处理各环节相关的信息系统、组织或人员。

在2019年草案的基础上，刚刚发布的征求意见稿坚持了原有思路，强化了与GDPR的趋同，然而在具有创造性的区分业务功能体例中也给企业合规留下了一些困惑。

1、个人信息安全工程与Privacy by design

征求意见稿中首次提出了“个人信息安全工程”独立条款，这个条款与同期发布的《信息安全技术 个人信息安全工程指南》遥相呼应，要求个人信息控制者在需求、设计、开发、测试等系统工程阶段考虑个人信息保护要求，保护系统建设时的“三同步”，即同步规划、同步建设和同步使用。

熟悉GDPR下业内人士恐怕立刻联想到的“隐私内置（Privacy by design）原则”，根据前言第78段，“隐私内置”机制（Privacy by Design,PbD），要求产品或服务的整个生命周期都贯穿隐私和数据保护。一方面，这种数据保护是“by design”，数据控制者要在技术和成本的考量下，采取技术、制度手段来保证自身业务经营符合GDPR的规定以及数据主体保护的需要；信息服务开发阶段就应当具备隐私保护功能，在信息服务运行阶段应当将个人信息默认设置为不公开( privacy by default) 。这种数据保护的隐私设计需要有默认的两个原则：一是数据采集与数据使用目的的一一对应原则；二是数据采集的最小化原则，包括范围、数量、时间、接触主体。

2、业务功能

新颁布的修订意见新增了3.16关于“业务功能”的定义，并列举了常见的业务功能，如：地图导航、网络约车、即时通讯、社区社交、网络支付、新闻资讯、网上购物、快递配送、交通票务等。

修订意见摒弃了《2017版个人信息安全规范》中关于“核心功能”和“附加功能”的说法，而采纳“基本业务功能”与“扩展业务功能”，通过一些具体条款的细化，间接认可一个产品或服务可能会有多个“基本功能”。