从最新标准，看＂大数据＂如何合规？

2018年5月1日，《信息安全技术 个人信息安全规范》GB\T35273--2017国家标准正式实施。因为是个技术标准，业内关注不足，其实这个标准的重要性可能会影响大数据行业的发展，并影响整个互联网金融行业的持续经营。建议业内朋友们，能够认真对待，切莫疏漏。

1、虽不是强制标准，但必须严格对待

也许，您的朋友会说，这次”个人信息安全规范“只是建议标准，不是强制标准，不用挂怀。我们的观点不同，因为某些客观原因这次的标准并未采取强制标准的方式，但据我们所知，各地在执行时会参照本安全规范予以执行。

在判定一种数据获取行为是否合规时，这次的“个人信息安全规范”是重要参考标准，甚至毫不夸张地讲，在法院处理相关民事诉讼和刑事诉讼时，遇到技术难题，他们首先找到的就是这个国家标准，也会按照国家标准的理解去理解什么是个人信息；什么是个人敏感信息；什么是明示同意的标准；什么是官方眼里的”用户画像”；什么是个人信息安全基本原则。

因此，作为大数据从业人员和互金机构从业人员，必须了解相关知识，在实际工作中才能把握“实质红线”，合法合规经营，预防重大法律风险。

2、理清几个重要概念

（一）个人信息

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反应特定自然人活动的各种信息。列举：姓名、出生日期、身份证号码、生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

请注意，这里的“等”是“等外等”也就是说如果未来出现其他与前面列举的这些个人信息对自然人的影响力相等的情况下，也可以认定为个人信息，受到标准的保护和规制。

（二）个人敏感信息

个人敏感信息是个人信息的“子概念”或“子集”，具体是指：一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。列举：身份证号、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息。

请注意，在催收活动中，如果掌握他人通信记录和征信信息等，且不合理使用，极容易导致风险事件，甚至会被借款人举报涉嫌盗抢，在扫黑除恶大背景下，法律风险很高。

（三）明示同意

我们在从事金融机构互联网化项目时，经常被业务人员和项目经理询问：肖律师，到底什么情况下法律才能认可客户“明示同意”了？严格不？那时候，我们都是根据2017年的法律法规进行解释，如今有了更为明确的细节标准。

所谓“明示同意”就是指：个人信息主体通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为。其中，肯定性动作列举为：个人信息主体主动作出声明（电子、纸质均可）、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”等。

读者可能会问，同意、注册、发送是“or"还是”and“的关系，我们认为应当是择一即可，但为了防止有关部门任意扩大解释，不当理解穿透式监管，建议企业还是选择个人信息主体主动做出声明的方式更为稳妥。

3、个人信息安全7个基本原则

个人信息安全有如下7个基本原则，个人信息控制者应当遵守：

1.权责一致。个人信息控制者对其个人信息处理活动对个人信息主体合法权益造成损害承担责任。翻译一下就是，掌握个人信息的企业，如果侵犯老百姓个人信息造成损失，要赔偿。

2.目的明确。具有合法、正当、必要、明确的个人信息处理目的。其中，我们认为第三项“必要”市场主体做的很不到位，很不多多从个人身上撬动信息，全然不顾“最少够用”的初衷，着实可憎。

3.选择同意。向个人信息主体明示个人信息处理目的、方式、范围、规制等，征求其授权。简言之，无授权，无动用他人信息的权利。

4.最少够用。除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，及时删除。这里的约定，有点放水的意味，我们预计未来一定会有类似诉讼出现，届时，公司、企业将用这一条来抗辩自己没有多采集信息。

5.公开透明。以明确、易懂、合理方式公开，接受外部监督。

6.确保安全。具备与其所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护公民信息的保密性、完整性、可用性。其实就是提醒大家，容易被黑客攻击的，一定得加强安全防范能力。

7.主体参与。向个人信息主体提供能够访问、更正、删除其个人信息，以及撤回同意、注销账户等方法。我们认为，这一点尤为重要，应该提到更往前的位置。

4、收集个人敏感信息，“明示同意”更重要

如果收集个人敏感信息，就要更加提高明示同意的门槛， 国家标准要求个人信息控制者完成以下工作：

1.收集个人敏感信息时，应取得个人信息主体的明示同意。

应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示； （从法律人眼里，我们分明看到了这一条的意思是把客户自愿的举证责任抛给了企业，如果证明不利，则承担败诉后果）

2.通过主动提供或自动采集方式收集个人信息前，应当：

（1）向信息主体告知所提供的产品、服务的核心业务功能及必需收集敏感信息，并明确告知拒绝提供、拒绝同意将带来的影响。应当允许个人选择是否提供或同意自动采集；（作为普通人，我们可能最无奈的是如果不同意人家就不提供服务....）

（2）产品或服务如提供其他附加功能，需要收集敏感信息，收集前应当逐一说明情况，并允许信息主体逐项选择同意与否。当信息主体拒绝时，不能以此为由，不提供核心业务功能，并应当保障服务质量。换句话说，人家不同意你的附属功能收集信息，你不能掐断给人家提供的主要服务。

3.收集年满14周岁的未成年人个人信息前，应当征得其本人或监护人的明示同意；不满14周岁的，应征得其监护人明确同意。（14周岁以上是否可以判断其提供敏感信息对自己人生的重要性，我们持保留态度。）

最后，我们今天仅仅将国标中的重点内容抽出来，介绍给大家，以期达到提醒大家重视新标准的想法。从新标准可以看出，去年出台的一系列严苛的法律（含对刑法第253条之一的适用）对于大数据、互金行业的影响较大，甚至有人产生了较大的悲观情绪。

从本月国标的内容看，对于公民个人信息的保护正在回归到一个更为科学、居中的位置上，但是我们还是对于有些企业利用“合同约定”、“不提供服务”方法套取个人信息的行为表示担心。希望企事业单位严守法律和道德底线，不要失信于广大金融消费者。

标签：