信息系统自动决策机制的使用
聲明
本文是學習360 企業個人信息合規思路與實踐報告 2021. 下載地址 http://github5.com/view/1273而整理的學習筆記,分享出來希望更多人受益,如果存在侵權請及時聯系我們
第二章 處理的原則要求
一. 合法、正當、必要
合法基礎 11 同意12
更多合法基礎,如履行合同所必須等參考最新個人信息保護法。
二. 原則拆解
《信息安全技術 個人信息安全規范》(GB/T 35273-2020)對合法、正當、必要原則的拆解如下:
(一 ) 權責一致
采取技術和其他必要的措施確保個人信息安全,就其個人信息處理活動對個人信息主體合法權益造成的損害承擔責任。
組織、制度、技術措施必須有,且有書面或其他形式的留存。
(二 ) 目的明確
具有明確、清晰、具體的個人信息處理目的。必須屬實且盡可能窮盡,避免功能調試超出原始目的,造成需要二次同意的局面,甚至被評定為未經用戶同意收集個人信息的后果。
(三) 公開透明
以明確、易懂、合理的方式公開處理個人信息的范圍、目的、規則等,并接受外部監督。必須有完備的隱私政策,告知清楚、全面,且不能用“等”、“例如”字樣。
(四) 選擇同意
應向用戶明示處理個人信息的目的、規則、范圍等征得用戶授權同意。一般所有用戶個人信息的處理行為都必須要明示、且經用戶明確同意。如業務認為有可不經同意的情形,必須經過公司合規評估部門的謹慎評估,必要情況需進一步咨詢監管部門。
(五) 最小必要
只處理滿足用戶授權同意的目的所需要的最少個人信息類型和數量,目的達到后應及時刪除。
(六) 確保安全
具備與風險匹配的安全能力,采取足夠的組織、制度、技術、管理等措施, 保護個人信息的保密性、完整性、可用性。
(七)主體參與
向用戶提供顯著的、易于操作的,訪問(查詢)、刪除、更正、撤回授權同意、注銷賬戶及投訴等方法途徑。一般能夠在產品界面完成的盡量做在產品界面,如產品界面難以實現的,提供有效的聯系溝通方式。
第三章 處理行為要求
一 . 收集
(一 ) 收集的合法基礎
告知、同意
企業應當向用戶告知收集、使用的目的、方式和范圍等規則,同時征得明示同意 (征得同意前不得收集個人信息或通過 Cookies 等同類技術或通過調用權限、接口等方式收集個人信息),15并告知不同意的后果;同時應將用戶主動點擊、勾選、填寫等作為功能開啟的條件,確保功能開啟后才可收集用戶個人信息16。
告知的內容: 應真實、準確、完整。例如,逐一列明功能、所收集的個人信息、權限等;當在強關聯的場景下,則說明個人信息收集的目的、方式、范圍、提供個人信息可能導致的風險、不提供的后果、處理行為與處理規則、保護措施、用戶權利、投訴、申訴、舉報的方式,采取要求用戶明示同意,并給予用戶撤回同意的渠道的方法。
明示同意: 在首次運行、用戶注冊時,通過彈窗、突出鏈接方式提醒用戶閱讀隱私政策;如果通過設置“下一步”“注冊”“登錄代表同意”等方式,應說明點擊或執行前述動作與同意隱私政策之間的關系。如點擊即代表同意本隱私政策等17。設置預選框的,由用戶自主打勾,而非提前默認已勾選。(此點仍需緊密關注最新監管執法要求)
將用戶的主動填寫、點擊、勾選等主動行為作為收集個人信息的前提。
告知、同意方案
多層次告知, 即采用一般告知、增強告知、以及即時提示三個層次來告知用戶。弱化隱私政策的授權同意機制,在產品過程中體現交互性告知,如通過彈窗、用戶提交、用戶主動點擊等方式;除一般告知外,個人信息處理關鍵規則應進行增強告知,比如將字體進行加粗、斜體化處理等;收集敏感個人信息時,需要做到即時提示,以明確告知收集的類型、目的、方式、范圍,確保用戶完全知情,且自主、具體、明確的同意。(收集敏感個人信息時,通過顯著方式告知目的,且目的明確、易懂;18)
收集個人生物識別信息 ,收集前單獨告知目的、方式、范圍、存儲時間等專門規則,并征得明示同意。
收集滿 14 周歲未成年人的個人信息前,征得未成年或監護人同意;未成年
人不滿 14 周歲的周歲的,只能監護人同意,且對監護人有適當的核驗。
【一般規則】:
-
合規最低要求為對收集的個人信息至少在隱私政策中說明。
-
收集面部識別、生理健康、銀行金融、行蹤軌跡信息 等敏感信息, 最好有單獨彈窗提示并讓用戶點擊同意;如果無法由用戶單獨點擊同意,至少有浮窗或者備注進行說明。
-
所有行車記錄儀、掃地機、兒童手表、路由器 等物聯網產品、固件, 均需要在說明書中說明收集個人信息情況,同時采取如添加隱私政策二維碼等方式告知用戶關于個人信息處理活動等方面的內容。
-
所有行車記錄儀、掃地機、兒童手表、路由器等物聯網產品、固件, 如果連接家庭類 App,需在該等家庭類 App 個人信息保護政策中說明;如果沒有此類 App,則需在公司網站主頁個人信息保護政策中說明。
| 場景示例 2 -一款智能家居產品(例如智能門鎖)可以通過手機 App 進行操作和功能控制,在用戶下載 App 后、注冊成為用戶后,如果需要啟動指紋或者人臉識別開鎖功能,應當單獨彈窗提示用戶是否授權、告知具體的目的,以滿足法律要求敏感信息單獨告知并獲得用戶同意的要求。 |
| 場景示例 3 – 如一款購物App 在用戶訂單界面備注顯示“我們僅提供流水訂單號、商品名稱和交易金額給第三方支付機構以完成支付,我們不會從第三方支付機構獲取您的銀行卡號和密碼等信息。”同時, 在個人信息保護政策中申明“為了滿足反洗錢要求,我們可能會在滿足法律規定的條件下,分享您的賬戶信息、聯系方式、地址、所購買的商品名稱信息。” |
再次告知、征得同意
當收集的目的、方式、范圍 等重要因素發生變化的,應當再次告知,。可采取等收集使用規則,并征得用戶同意。可采取更新隱私政策等收集使用規則的方式,并通過推送消息、郵件、彈窗、著重提示等方式提醒用戶閱讀發生變化的條款。
其他合法基礎
在以下情形下,不需要征得用戶同意20:
- 為訂立或者履行個人作為一方當事人的合同所必需;
- 為履行法定職責或者法定義務所必需;
- 為應對突發公共衛生事件,或者緊急情況下為保護自然人的生命健康和財產安全所必需;
- 依照本法規定在合理的范圍內處理已公開的個人信息;
- 為公共利益實施新聞報道、輿論監督等行為,在合理的范圍內處理個人信息
- 法律、行政法規規定的其他情形。
(二 ) 收集的最小必要原則
(三 ) 禁止行為
不能非法收集
我國關于個人信息保護的規定包括強制性法律規定和推薦性標準規定,在收集和處理個人信息時,如果違反法律強制性規定,將直接導致個人信息收集和處理違法。例如,《網絡安全法》第四十一條要求運營者公開收集、使用規則,如果在 App 中沒有隱私政策,或者隱私政策中沒有收集使用個人信息規則,將直接違反法律規定,可能受到的處罰包括主管部門責令改正,警告、沒收違法所得、處違法所得一倍以上十倍以下罰款,沒有違法所得的,處一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。情節嚴重的,并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。
不能違反收集的必要原則
注:在用戶主動關閉 App 后,未經用戶同意,沒有較強必要性的情況下,不采用自啟動、關聯啟動方式收集 個人信息。
- 用戶體驗改進計劃的修正 —在以“改善服務質量、提升用戶體驗、定向推送信息、研發新產品”為由收集個人信息時,需要在個人信息保護政策或者彈窗提示中具體描述改善的服務質量類別等,且確實與產品功能有關,不能泛泛地使用上述描述。例如,為了實現通話記錄管理、備份恢復、騷擾電話攔截等功能,不能僅說明“我們將為了改善服務質量,申請通話記錄權限組中的權限”,而是詳細說明“我們將為了測試、提高通話記錄管理、備份恢復、騷擾電話攔截功能, 申請通話記錄權限組中的權限”。應盡可能對應到具體的功能中去, 如保障賬戶或運營安全(并進一步展開描述)26。如為了實現本目的,需要由用戶自主選擇開啟或關閉。
- 收集IMEI 號、MAC 地址 等只能用于保障網絡安全或運營安全以外的目的27保障網絡安全或運營安全以外28(緊密關注《個人信息保護法》及時調整),且不能過早**(至少不應在同意隱私政策之前)**申請相應權限或收集相應個人信息29。如連接設備等基本功能在技術上只能依賴這兩個信息才能實現,需要進一步描述必要性。
不能強制捆綁
針對安卓端,建議 targetSdkVersion 值設置大于 26、不應小于 23。
企業不應通過聲明機制,在安裝 App 時要求用戶一次性同意打開多個可收
集個人信息的權限。同時,在產品設計和開發時,企業應當注意:
禁止未公開收集使用規則30
30《App 違法違規收集使用個人信息行為認定方法》第一條 未公開收集使用規則 ;
禁止未公開收集使用規則:
禁止未明示收集使用的目的、方式和范圍:
禁止未經用戶同意,私自收集使用個人信息32
在用戶觸達特定功能前,不得申請預先收集個人信息或申請開啟相應權限,
32《App 違法違規收集使用個人信息行為認定方法》第三條 未經用戶同意收集使用個人信息
禁止未經同意私自收集:
實際收集的個人信息與隱私政策中聲明的應保持一致。
禁止頻繁征得同意
不得在用戶明確拒絕使用某類服務后,頻繁(每 48 小時超過 1 次) 要求用戶同意該服務33
在 App 未打開或處于后臺運行狀態時,不得收集用戶個人信息, 除非業務功能需要后臺運行時繼續提供服務,如在使用導航功能時。注:在用戶主動關閉 App 后,未經用戶同意不得采用自啟動、關聯啟動方式收集個人信息。
關聯啟動體現為打開手機安裝的某一個 App 軟件,其他 App 軟件同時被“喚醒”,在用戶沒有操作的情況下自啟動,主要存在于安卓系統,導致耗電量、流量使用增加、占用CPU 和內存資源、暴露于惡意代碼環境中等。關聯啟動主要用于消息推送和進程保活。例如,有的第三方推送 SDK 采用了聯合喚醒的機制,只要使用了同一家的 SDK,啟動其中一個 App 的時候就會喚醒其它所有集成了該家 SDK 的 App 推送進程,以保證所有 App 消息推送的送達率;用戶長久不使用的 App,無法顯示服務進程,一旦用戶選擇不主動打開App,就無法與用戶進行任何通信,影響日活率。
目前有的手機硬件廠商提供安卓系統中展示和關閉關聯啟動的功能。
2017 年,由工信部指導成立的包含了主流手機廠商和用戶基數大的 App 開發商組成的“安卓統一推送聯盟”,旨在推動各應用運營者能夠通過的統一推送服務的完成消息推送,各應用無需自己考慮消息推送的問題,把這
在用戶實際使用相應功能前,不得收集相應的個人信息,申請相應的權限。 僅當用戶用到功能時方可申請相應權限,彈窗或用戶主動填寫、用戶主動點擊選擇
場景示例:不得下載安裝前收集 MAC 地址等任何個人信息;不得提前申請權限,用到相應功能時方可申請相應權限。
個問題交由安卓系統層面去解決,從而避免自啟動、關聯啟動方式的濫用。詳見:安卓 App 通過“自啟動/關聯啟動”喚醒會造成用戶個人信息泄露嗎?
“關聯啟動”為用戶啟動某一個 App 時,該 App 帶動其他 App“自啟動”。根據開發者設計的關聯啟動觸發的組件不同,用戶可能感知或者無感知。例如觸發活動組件后用戶前臺可感知,觸發服務組件后臺運行用戶無感知。
(四 ) 我方身份
企業需要說明主體的基本情況(主體身份、聯系方式)。35通常,主體的選擇(即“xxx 公司”)會和用戶協議保持一致。
(五 ) 收集的數據類型
首先,企業需要判定、區分并顯著標識 (字體加粗、色彩區分等方式)個人敏感信息,判斷是否包含特殊數據類型,并進行特別的合規保護。例如, 是否包含生物識別信息、未成年人個人信息、宗教信仰、政治觀點、性取向、婚史、未公開的違法犯罪記錄、基因、疾病信息等。
(六 ) 收集來源方式
來源合法(見收集部分的“禁止行為”)
自主收集
通過產品或服務直接獲取。不得私自收集(一般指未經用戶的明示同意,彈窗、浮窗、文字備注等,未在隱私政策中充分說明。)
回傳。需要與產品和服務的功能緊密關聯,不必要的,不回傳。
抓取。注意要點:
限于合法公開渠道可獲取的,且避免敏感個人信息;考慮公開渠道的可靠性、準確性及安全性;
如非公開,抓取第三方的,必須事先獲得明確的、書面的授權,對用戶的授權進行必要核實并留存證明文件或痕跡;包括隱私政策、合同、承諾書、授權書、郵件往來、產品日志等;
考慮是否為被抓對象的重要商業利益數據,是否降低了被抓對象的競爭優勢,損害其利益;
不得侵入他人計算機信息系統的方式獲取,否則可能構成侵入計算機信息系統罪或非法獲取計算機信息系統數據罪;如一定要抓,須征得被抓對象事前的、書面、明確的同意。
間接收集(從第三方獲取)
一般情況,企業必須逐一列明所有第三方及收集使用的目的、方式、范圍, 以及與功能的強關聯性。
間接收集、處理的前提:以下需留存證明文件
從第三方獲取個人信息的具體情形,請見委托處理、共享、轉讓、公開披露、第三方接入等部分。
二 . 存儲
(一 ) 存儲的告知同意
隱私政策需要說明存儲的目的、方式、范圍、存放地域,存放期限以及超期處理方式39。
(二 ) 存儲地域范圍
原則
企業在境內運營活動中收集的數據應存儲在境內, 出境需要按法規要求評估,以《個人信息保護法》、《數據安全法》、《網絡安全法》等法規最新要求為準。
關鍵信息基礎設施運營者在境內運營中收集和產生的個人信息和重要數據應當在境內存儲
因業務需要確需向境外提供的,需要依法經過評估。如何判斷企業是否為關鍵信息基礎設施,需要看關鍵信息技術設施相關法規細則或行業指導。
特殊領域的信息乃至所涉個人信息應存儲在境內,出境需主管部門評估
(三 ) 存儲形式
分類存儲、加密存儲
如沒有較強必要的,則不要明文存儲,企業必須采取必要的技術手段進行保護。
42 《中華人民共和國保守國家秘密法》。
43 《外商投資準入特別管理措施(負面清單)(2020 年版)》。
44 《風云氣象衛星數據管理辦法(試行)》。
45 《國家健康醫療大數據標準、安全和服務管理辦法》(試行)。
46 《中國人民銀行金融消費者權益保護實施辦法》。
47 《外商投資期貨公司管理辦法》。
48 《證券基金經營機構信息技術管理辦法》(2021 修訂)。
49 《征信業管理條例》。
50 《人口健康信息管理辦法(試行)》。
51 《人類遺傳資源管理暫行辦法》。
52 《網絡預約出租汽車經營服務管理暫行辦法》。
53 《地圖管理條例》。
備份存儲
企業應當提供本地數據備份功能,同時將備份介質進行場外存放,并具有異地數據備份功能。
應有以下不少于一種方式54:
(四 ) 敏感個人信息的存儲
原則上企業不應存儲原始個人生物識別信息(如樣本、圖像等),可采取的措施包括但不限于:
(五 ) 匿名化
根據《個人信息保護法(草案)》(二次審議稿)以及《信息安全技術 個人信息安全規范》(GB/T 35273-2020)等,匿名化后的信息不屬于個人信息。匿名化信息是指經過處理無法識別 特定個人且不能復原的信息。匿名化信息和非匿名化信息分開存儲,防止重標識。
根據《互聯網個人信息安全保護指南》第 6.3 條,經過匿名化或脫敏的方式處理的個人信息數據可用于歷史、統計或科學目的,是指的信息。重標識 根據《互聯網個人信息安全保護指南》,經過匿名化或脫敏的方式處理的個人信息數據可用于歷史、統計或科學目的,可以超出與信息主體簽署的相關使用協議和約定,但應提供適當的保護措施進行保護;
根據《網絡安全法》以及第四十二條以及《民法典》第一百一十一條要求, 未經被收集者同意,不得向他人非法提供個人信息,但是經過加工無法識別特定個人且不能復原的除外。
《民法典》第 1038 條:未經被收集者同意,不得向他人非法提供個人信息,但是經過加工無法識別特定個人且不能復原的除外 。
《網絡安全法》第四十二條 網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。
2008 年國際標準化組織(ISO)發布了健康信息假名化技術規范 ISO/TS
25237:2008(E)。該規范描述了如何使用假名化服務替換直接標識符,實現對隱私敏感信息的脫敏。
2018 年 ISO 和國際電工委員會(IEC)發布了 ISO/IEC 20889,規定了去標識化有關的術語、技術以及應用原則。在該標準中,常用的去標識化技術包括統計技術、密碼技術、抑制技術、假名化技術、泛化技術、隨機化技術和數據合成技術,常用的去標識化模型包括 K-匿名模型和差分隱私模型。
2014 年 4 月,歐盟“第 29 條工作小組” (Article 29 Working Party) 通過了《第 05/2014 號意見: 匿名化技術》( Opinion 05/2014 on Anonymisation Techniques),專門分析了匿名化技術在歐盟數據保護法律框架下的有效性和局限性,并針對性地提出了建議。
在該意見中,匿名化技術主要包括隨機化和泛化,包括加噪(noise addition)、置換(permutation)、差分隱私(differential privacy) 、聚合(aggregation)、k-匿名化(k-anonymity)、l-多樣性(l-diversity)和 t-相近性(t-closeness)等技術。該意見解釋了這些技術的原理、優勢和可能存在的風險,以及使用每一項技術過程中常見的錯誤。其中,風險可分為直接識別風險、鏈接攻擊風險和推理攻擊風險。
| 方法 | 描述 | 舉例 | ||
| 屏蔽 | 對標識符數據項進行抑制處理,對其進行刪除或者隱藏。屏蔽可以針對整個數據項進行,也可以選擇對 數據項的一部分進行 | 屏 蔽 身 份 證 號 —— “440524188001010014”時,可選 擇 直 接 刪 除 , 也 可 使 用 “440524********0014”代替 |
| 泛化 | 通過降低數據精度,使用概括、抽象的辦法表示原有的數據項。對于數值型數據項,可以使用取整、取最大 值等方法對數據進行泛化 | 如實數數據“1.732”可以泛化為“1”;如“張三”可泛化為“張某” | ||
| 加密 | 采用密碼學方法對數據項進行變換,包括對稱加密、非對稱加密和雜湊運算等。如果需要保留原有數據項的某些特性,還可以使用保序加 密或保留格式加密等算法 | 如身高“1.73”可以加密為“1.46” | ||
| 歐盟關于匿名化指引見:第 29 工作組“關于匿名化技術的意見” 中國關于匿名化標準見:《信息安全技術 個人信息去標識化指南(征求意見稿)》 | ||||
| 場景示例 2- 經過處理無法識別個人的信息屬于匿名化信息,需要采取技術措施防止重標識,重標識的方法包括:1)隔離:基于是否能唯一確定一個個人信息主體,將屬于一個個人信息主體的記錄隔離出來;2)關聯:將不同數據集中關于相同個人信息主體的信息關聯;3)推斷:通過其它屬性的值以一定概率推斷出一個屬性的值。58 |
(六 ) 去標識化
匿名化之外的去標識化,結合其他信息可以識別個人。去標識化,是指個
58《信息安全技術 個人信息去標識化指南(征求意見稿)》。
人信息經過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。59例如:假名、加密、哈希技術。而結合上文,相比下匿名化是指個人信息經過處理無法識別特定自然人且不能復原的過程。
二者的區別在于,匿名化的技術手段更徹底,對個人信息保護的程度更高, 經過匿名化的個人信息無法再識別到個人,但是去標識化后的個人信息在借助額外信息的情況下仍可再次識別到個人。從法律性質上來看,個人信息匿名化處理后不再屬于個人信息,而去標識化處理后仍屬于個人信息。從效果上來看,匿名化后的個人信息不再是個人信息,直接對外提供更多需要滿足商業上的要求;而去標識化是個人信息處理者內部對個人信息安全的一種保護手段。個人信息雖去標識化后仍屬于個人信息,需要滿足知情同意規則或其他個人信息處理合法性基礎。60
常見的去標識化技術與模型包括:
統計技術,是一種對數據集進行去標識化或提升去標識化技術有效性的常用方法,主要包含數據抽樣和數據聚合兩種技術。
密碼技術,包括確定性加密、保序加密、保留格式加密、同態加密 、同態秘密共享。
抑制技術,即對不滿足隱私保護的數據項刪除,不進行發布,包括 屏蔽、局部抑制和記錄抑制。
假名化技術,是一種使用假名替換直接標識(或其他準標識符)的 去標識化技術,包括獨立于標識符的假名創建和基于密碼技術的標識符派生假名創建。
泛化技術,是指一種降低數據集中所選屬性顆粒度的去標識化技術,
對數據進行更概括、抽象的描述,包括取整、頂層與底層編碼。
隨機化技術,指通過隨機化修改屬性的值,使得隨機化處理后的值 區別于原來的真實值,包括噪聲添加、置換、微聚集和數據合成技術。
數據合成技術,是一種以人工方式產生微數據的方法,用以標識預 定義的統計數據模型。
(8)K-匿名模型,是在發布數據時保護個人信息安全的一種模型,要求發布的數據中,指定標識符屬性值相同的每一等價類至少包含K 個記錄,使攻擊者不能判別出個人信息所屬的具體個體,從而保護個人信息安全。
目前,《信息安全技術 個人信息安全規范》(GB/T 35273-2020)中多處提及要求個人信息控制者對個人信息去標識化以降低個人信息安全風險。例如,個人信息控制者在收集個人信息后,宜立即去標識化處理 ,并采取技術和管理方面的措施,將可用于恢復識別個人的信息與去標識化后的信息分開存儲并加強訪問和使用的權限管理。61
《信息安全技術 個人信息去標識化指南(征求意見稿)》就如何去除個人信息身份標識也給出了指導,對《信息安全技術 個人信息安全規范》(GB/T 35273-2020)形成配套和支撐作用,幫助公司在保護個人信息的安全的同時促進數據的共享開放。而 2021 年新發布的《信息安全技術 個人信息去標識化效果分級評估規范(征求意見稿)》基于標識個人身份程度給出一種個人信息分級劃分,用于去標識化效果評價,也可用于進一步落實個人信息的分級保護,對《信息安全技術 個人信息安全規范》(GB/T 35273-2020) 和《信息安全技術 個人信息去標識化指南(征求意見稿)》形成了輔助作
用。62收集后,宜立即去標識化處理 ,并采取技術和管理方面的措施,將可用于恢復識別個人的信息與去標識化后的信息分開存儲并加強訪問和使用的權限管理。63
| 場景示例 2- 在收集用戶的年齡信息后,通過泛化技術,將具體年齡展示為年齡段。如某用戶的實際年齡為 35 歲,經過泛化處理后,顯示為 30-40 歲。 |
(七 ) 存儲的期限要求
存儲期限應為實現個人信息主體授權使用的目的所必需的最短時間,法律法規另有規定或者個人信息主體另行授權同意 的除外。
存儲期限的總體要求為,不能超過處理信息所必需的最短時間。不需要使用個人信息后,應當刪除個人信息。如果產品停止服務,一般應當立即刪除個人信息;如果用戶注銷賬號,可以在合理時間(例如存留 30-60 日, 實踐做法)內刪除,以便在用戶誤刪的情況下可以找回數據。云盤存儲類 可適當延長,給用戶留充足的下載轉存時間,并明確告知用戶。
示例三種表述方式:相關法律法規規定的最短期限內/不超過相關法律法規規定的最短期限/明確說明具體時間長度。
62《信息安全技術個人信息去標識化效果分級評估規范(征求意見稿)》。
場景示例-
法律法規對存儲時間另有規定的,應當遵守:
- 留存網絡日志 不少于六個月(《網絡安全法》);
- 自動駕駛路測 車輛事故或失效狀況發生前至少 90 秒的數據存儲時間不少于 3 年,這些數據包括外部 360 度視頻監控情況、反映測試駕駛人和人機交互狀態的車內視頻及語音監控情況等信息。向自動駕駛企業提供錄音錄像設備且存儲數據服務,需要按照客戶的要求滿足存儲時間規定。(《智能網聯汽車道路測試管理規范(試行)》);
- 電子商務平臺應當記錄、保存平臺上發布的商品和服務信息、交易信息,交易信息保存時間自交易完成之日起不少于 3 年。(《電子商務法》);
- 網絡直播服務提供者對網絡交易活動的直播視頻保存時間自直播結束之日起不少于三年。(《網絡交易監督管理辦法》);
- 互聯網服務提供者(如互聯網網絡接入、互聯網信息服務、域名注冊和解析等服務提供者)對用戶的真實身份信息應當在提供服務期間同步保存,并在停止服務后保存至少兩年以上。(《互聯網信息服務管理辦法(修訂草案征求意見稿)》);
- 面向中小學生、利用互聯網技術實施的學科類校外線上培訓的培訓內容和培訓數據信息須留存 1 年以上,其中直播教學的影像須留存至少 6 個月。如果公司視頻業務為培訓機構提供存儲服務 ,雖然不需要直接遵守教育部的規定,但是需要根據客戶要求滿足存儲期限的規定。(《教育部等六部門關于規范校外線上培訓的實施意見》);
- Facebook 與美國聯邦貿易委員會在“劍橋分析”案最終達成的和解協議中,關于個人信息刪除的約定如下:(1)最長在用戶終止、刪除信息或者賬戶后 30 日內,Facebook 應停止第三方訪問用戶刪除
(八 ) 超期處理方式
企業應當做到當超期時對個人信息進行刪除或匿名化處理。64此處匿名化是否絕對妥當,需要進一步見最新相關法規要求,且依據必要性進行分析。
三 . 使用65
(一 ) 告知同意
告知同意形式參考收集部分。
訪問控制措施
企業應當建立權限管理制度,設置重要操作審批流程(如批量修改、拷貝、下載等);
企業應當做到安全管理人員、數據操作人員、審計人員角色分離設置;
員工 只能訪問其職責范圍內最小、必要的個人信息,僅具備完成職責所需的最少權限;確需超權的,應經個人信息保護責任人或個人信息保護工作機構進行審批,并記錄在冊;
針對敏感個人信息,企業還應按業務流程的需求觸發操作授權, 如收到投訴后,負責處理的人員才可訪問該投訴客戶的相關信息。
(二 ) 展示限制
展示必須具有較強必要性,盡可能采取去標識化等處理措施,防止泄露。
(三 ) 目的限制66
企業收集使用個人信息不應超出原始目的范圍,確需超出的,應再次征得同意;加工生成的個人信息,能夠單獨或與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的仍為個人信息,應遵守收集時的授權
66 原始目的范圍,需要明確、具體、清晰,增加功能不一定超出原始目的,需要具體分析。
同意范圍。同理,加工生成個人信息為敏感個人信息的,按個人敏感信息保護。
(四 ) 用戶畫像的使用限制67
67《信息安全技術 個人信息安全規范》(GB/T 35273-2020)。
68《網絡信息內容生態治理規定》。
隱私政策中明確告知。如個人信用評價可使用直接畫像,推送廣告則使用間接畫像;
場景示例-
- 根據法律規定,使用用戶畫像等方式自動化處理數據后,向用戶推送信息或者廣告 ,應當同時提供不針對其個人特征的選項,或者向個人提供拒絕的方式。69App 在功能設置中應當提供“關閉定向推送” 按鈕,用戶可以選擇退出使用其信息進行定向推送,**“關閉定向推送”按鈕可以在告知用戶情形下設置時間限制,例如 3-6 個月后自動開啟定向推送功能,用戶可選擇再次關閉(與最新監管要求保持一致)。**用戶關閉定向推送后,不能基于直接畫像(針對用戶個人)和間接畫像(針對與用戶及模糊相似群體,例如均為女性)推送廣告, **但是不影響全量推送廣告,**例如可以基于粗略地理位置向該區域所有人推送“周邊的服務”,或者分時間段推送某一類型廣告(例如國慶節前后推送酒店廣告)。
- 廣告推送需要標記“廣告”字樣并在右上角設 X 號,用戶可一鍵關閉。
- 通過自動化決策方式作出對用戶個人權益有重大影響的決定時,用戶有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。70
(五 ) 個性化展示的使用
企業應當顯著區分個性化展示和非個性化展示部分,包括但不限于標
注“定推”等字樣,或通過不同欄目、版塊、頁面分別展示等。71同時, 企業應向用戶提供不針對個人特征的選項,并允許用戶自行退出;72
企業向用戶提供電商服務,并根據用戶興趣愛好、消費習慣等提供商品或服務搜索結果的個性化展示的,應同時提供不針對個人特征的選項73;
企業向用戶提供推送新聞信息服務的,應提供直觀的退出或關閉個性化推薦的選項;用戶關閉或退出后,提供刪除或匿名化定推活動所需基于的個人信息的選項;
企業宜建立用戶對個性化展示所依賴個人信息(如標簽、畫像維度等) 的自主控制機制,保障用戶調控個性化展示相關程度的能力;即用戶可自由自主控制基于其哪些個人信息進行定向推送;
71 對比最新《信息安全技術 個人信息告知同意指南(征求意見稿)》的要求后,確定方案。
72 《工業和信息化部關于開展 APP 侵害用戶權益專項整治工作的通知》第
(二)條第 4 款。
73《信息安全技術 個人信息安全規范》(GB/T 35273-2020),),7.5 個性化展示的使用 基于個人信息主體所選擇的特定地理位置進行展示、搜索結果排序, 且不因個人信息主體身份不同展示不一樣的內容和搜索結果排序,則屬于不針對其個人特征的選項。
| 場景示例 2-: Facebook 能在“廣告偏好”設置中,根據“你的興趣”、“廣告商和企業”、“你的資料”等類別,選擇關閉或開啟與其相關的個性化廣告推送。用戶還能在設置頁面中,了解到廣告主的目標受眾與被投放廣告的用戶間有怎樣的聯系。 [外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-2gvlpDXD-1672487984989)(media/daf861f334437824eda098fa93f461a1.jpeg)] |
從執法層面來看,2020 年至今工信部的 12 次關于違法違規 App 的通報,涉及 88 款 App,違規點一般為“未向用戶提供個推退出功能”。因此,進行個性化推送商業廣告,企業74應提供退出按鈕或選項。
場景示例 1-以電子郵件發送廣告合規要求 75**:**
- 電子郵件地址屬于保密信息。用戶主動向公司提供的電子郵件地址不應泄露或轉賣給第三方,不能非法從第三方獲取電子郵件地址;
- 不能將采用在線自動收集、字母或者數字任意組合等手段獲得的他人的互聯網電子郵件地址用于出售、共享、交換,或者向通過上述方式獲得的電子郵件地址發送互聯網電子郵件;
- 不能故意隱匿或者偽造互聯網電子郵件信封信息;
- 發送廣告需要電子郵件接收者明確同意,明示其真實身份和聯系方式,并且提供顯著、簡便、免費的拒絕選項免費的拒絕選項; 如用戶拒絕接收廣告,除公司和用戶另有約定,不應再發送廣告
(不得更換名義后再次發送)76;
- 提供拒絕繼續接收的聯系方式,包括發送者的電子郵件地址,并保證所提供的聯系方式在 30 日內有效;
發送廣告需要在郵件標題信息前部注明“廣告”或者海外的注明“AD”字樣;
- 如果用戶向電子郵件服務提供者投訴,企業應當及時響應投訴;
| 場景示例 2-以電話或者短信發送廣告合規要求77: 不能發送違法信息; 電話或者短信發送廣告需要用戶明確同意,并且提供拒絕選項;如果用戶拒絕接收廣告,不應當再發送廣告。發送廣告之外的業務管理和服務類短信息不受此限制; 短信中寫明公司名稱、聯系電話,提供便捷和有效的拒絕接收方式并隨短信息告知用戶,不得以任何形式對用戶拒絕接收設置障礙; 發送廣告內容和用戶同意證明至少留存 5 個月。(關于用戶同意, 建議按一般民事訴訟時效時長留 3 年) |
基于不同業務目的所收集個人信息的匯聚融合
企業應當遵循目的限制要求,就匯聚融合后的目的,開展個人信息安全影響評估 ,采取有效個人信息保護措施78,匯聚融合生成新的數據屬于個人信息或敏感個人信息的,遵循個人信息的保護原則與具體要求;匯聚融合的告知同意問題,需要進一步遵循《信息安全技術 個人信息告知同意指南(征求意見稿)》。如首要判斷匯聚融合是否超出原始目的。若超出原始目的的, 一般應當進行明確告知,征得明示同意。如生成新的個人信息,應當明示征得用戶同意等。
不同場景下的匯聚融合方案需要具體分析,仔細設計哪些信息可以匯聚融合、需要相應技術措施處理和保護等,哪些個人信息不可以匯聚融合,或
77《通信短信息和語音呼叫服務管理規定(征求意見稿)》。
78《信息安全技術 個人信息安全規范》(GB/T 35273-2020))7.6 基于不同業務目的所收集個人信息的匯聚融合。
不鼓勵匯聚融合的,如應謹慎的為“不應大規模收集的個人信息類型”。
信息系統自動決策機制的使用
企業需開展信息系統自動決策機制,如自動決定貸款額度、個人征信、面試人員自動篩選等,會對個人主體權益造成顯著影響的,應做到:
事先告知,增強式告知
在規劃設計階段或首次使用前開展個人信息安全影響評估;在使用過程中定期,至少每年 1 次個人信息安全影響評估;依據結果采取或改進有效保護措施;應提供投訴渠道,支持人工復核。
通過自動化決策方式作出對用戶個人權益有重大影響的決定,用戶有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。80
79《信息安全技術 個人信息告知同意指南(征求意見稿)》。
80《個人信息保護法(草案)》(二次審議稿)
四 . 共享、轉讓
(一 ) 原則不得共享、轉讓
嚴禁擅自共享,刑事風險。
共享:是指控制者向其他控制者提供個人信息,且雙方分別享有獨立控制權的過程。
轉讓:不保留數據,數據交給第三方。集團內的共享,一般稱為不同業務個人信息的匯聚融合,可見使用部分。
(二) 合法依據、理由
企業應當確保共享、轉讓行為具備足夠的合法性、必要性,同時遵循最小限度原則。
應開展個人信息安全影響評估
對受讓方的數據安全能力進行評估,確保受讓方具備足夠的數據安全能力, 并按照評估結果采取有效的保護個人信息的措施。
告知+明示同意
企業需對用戶做到明確的、顯著的告知,并獲得用戶明確的授權或明示同意,不得擅自共享;告知共享、轉讓個人信息的目的、規模、數據類型、范圍、接收方的類型、身份等信息;告知不同意的后果 ;與第三方簽訂書面合同,審核并確保安全,明確的權利、義務、責任劃分;設置有內部與外部管理流程,進行嚴格審核管理。
(三) 非因收購、兼并、重組、破產原因的共享、轉讓
針對非因收購、兼并、重組、破產原因導致的共享、轉讓行為,企業應當:
81《信息安全技術 個人信息安全規范》(GB/T 35273-2020))9.2 個人信息共享、轉讓 b)。
82 授權同意,一般情況下就是明示同意。具體告知要點遵從**《個人信息保護法(草案)》(二次審議稿)** 的要求。
83 注意參考**《個人信息保護法(草案)》(二次審議稿)** 等法律法規及國家標準。
(四) 因收購、兼并、重組、破產原因的共享、轉讓
(五) 記錄
企業應當記錄共享、轉讓的內容、日期、數據量、目的、數據接收方的基本情況等信息,留存合同文本及告知同意證據。
公開披露
(一 ) 原則不得公開披露
(二 ) 合法依據、理由
禁止行為
企業不應擅自公開披露、發布個人信息,否則將承擔刑事責任風險;同時, 企業不應公開個人生物識別信息、基因、疾病等個人生理信息87、以及我國公民種族、民族、政治觀點、宗教信仰等個人敏感信息的分析結果。
記錄
企業應當準確記錄公開的情況,包括公開的日期、規模、目的、范圍等。
擔責
企業需要承擔因公開披露造成損害的責任。
委托處理
(一 ) 總體要求
合法前提是企業作為控制者作出委托行為,不得超出已征得同意的范圍88 , 同時必須有較強的必要性,但是經過處理無法識別特定個人且不能復原的 除外。
禁止未經同意向他人提供個人信息,經過處理無法識別特定個人且不能復原的除外89
企業不得在既未經用戶同意、也未做匿名化處理的情況下,將數據傳輸至App 后臺服務器后,向第三方提供其收集的個人信息;App 接入第三方應用,未經用戶同意,向第三方應用提供個人信息。90
(二 ) 我方委托第三方
我方作為委托方,交付個人信息給被委托方,應對第三方進行監督,包括不限于:
應及時要求對方停止相關行為,采取補救措施或要求第三方采取有效補救措施控制或消除安全風險。必要時,應終止委托,并要求第三方及時刪除所獲的的個人信息。(合同中可事先約定終止協議的條件 )。
配合具體的案件證據調取 工作,需要企業刑事合規部門事先審核,有對方蓋章的正式文書。
我方作為受托方
我方作為受托方,接收委托人提供的個人信息,以下步驟留書面證據:
不得私自改變目的、范圍;如有特殊原因無法做到,應及時向委托方反饋;
關于受托行為是否需要再經過用戶明示同意的問題: 首先,從控制者、處理者角色劃分,一般告知同意要求的對象是控制者。目前司法實踐等典型案例看,有三重授權的規則要求,即用戶授權委托方收集使用,委托方授權受托方處理,用戶授權同意委托行為。具體仍需根據最新發展形勢分析。
共同控制
如在與第三方合作中,與第三方為共同控制者,應簽訂書面合同確定雙方應滿足的個人信息安全要求及各方的責任與義務,并明確告知用戶;應承擔的如未告知第三方身份及各方應承擔的責任與義務,應承擔第三方引起的個人信息安全責任。93
注意: 如存在從客戶端直接向第三方發送個人信息的情形,包括通過客戶端嵌入第三方代碼、插件(如 SDK)等方式向第三方發送個人信息的情形, 需事先征得用戶同意,經匿名化處理的除外;如個人信息傳輸至服務器后, App 運營者向第三方提供其收集的個人信息,需事先征得用戶同意,經匿名化處理的除外。94
第三方接入(SDK)
此處為不屬于委托處理或共同控制的情況。
(一 ) 控制者的一般要求
接入第三方應用時,不私自截留第三方應用收集的個人信息;
說明第三方代碼、插件的類型或名稱,及收集個人信息的目的、類型、方式;98
(如第三方被監管部門通報下架時)
關于第三方接入場景下如何告知同意: 從最新要求來看,此時告知同意的義務主體為控制者,因此判斷誰是控制者是前提。一般情況宿主一方即App 方為控制者,也有第三方自主控制或共同控制的情況,需要具體分析,并以各方責任身份來制定告知同意的具體方案。
| 場景示例 2-行車記錄儀的第三方 物聯網下接入很多外部鏈接,例如行車記錄儀的信息分享功能,交罰單, 加油卡等,也屬于第三方接入,公司需要對外部鏈接的安全性進行審查, 在隱私政策中對接入的鏈接進行說明,要求第三方鏈接公布隱私政策。 |
SDK 的特別注意
常見 SDK
軟件開發工具包(Software Development Kit,簡稱 SDK)是指輔助開發某一類軟件的相關文檔、范例和工具的集合。第三方 SDK 是指由第三方服務商或開發者提供的實現軟件產品某項功能的工具包,通常不包括企業自己開發的僅供自己使用的通用功能模塊。常見的第三方 SDK 有框架
類、廣告類、推送類、統計類、地圖類、第三方登錄、社交類、支付類、客服類、測試類、安全風控類、Crash 監控類、人臉識別類、語音識別類、短信驗證類、基礎功能類等。
對使用第三方 SDK 的合規要求
告知同意機制:
- 在個人信息保護政策中“間接收集個人信息的方式”部分,對使用第三方
SDK 的數量、SDK 及其提供方的名稱、第三方及其提供方的名稱、第
三方 SDK 會共享何等個人信息給予 App 平臺方。
- 在個人信息保護政策中“我們如何共享、轉讓、公開披露您的個人信息”部分,應當詳細說明所有嵌入的第三方 SDK 名稱及類型、第三方SDK 應當詳細說明所有嵌入的第三方名稱及類型、第三方主要實現的功能、收集用戶個人信息的內容、目的和方式、SDK 提供的用戶權利實現方式與投訴渠道以及對第三方 SDK 的安全管理措施。也可以在這部分簡要說明 SDK 的名稱等基本信息,詳情可通過超鏈接的方式鏈接到 SDK 隱私政策。
- 我方與第三方 SDK 在協議中所約定的角色,其收集、處理用戶個人信息的方式方法和所依據的正當性依據都將不同。一般情況,當第三方 SDK 作為數據處理者,以及第三方 SDK 為共同控制者但其存在對于用戶“無感知”、不能直接觸的情況下,我方 App 需要在彈窗頁或者我方 App 的隱私政策中介紹 SDK 的存在,并且需要代為其說明 SDK 收集用戶個人信息的情況,在用戶同意 App 隱私政策的情況下,我方 App 方可打開 API 接口或者為其啟動權限調取,讓第三方 SDK 收集信息;而當第三方 SDK 作為共同數據控制者,并且用戶是“有感知” 的情況下(如地圖類 SDK、登錄類 SDK、支付類 SDK 等),我方 App與第三方 SDK 需要分別獲取用戶同意。
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-1w9Dfoyy-1672487984990)(media/ea39714d2e2be957475064dbeda3e263.png)]
使用提供者基本信息明確、溝通反饋渠道有效的 SDK;
提供給第三方 SDK 的合規要求
下方內容可同時作為審核第三方 SDK 的內容參考:
SDK,單獨向用戶告知收集使用個人信息的行為并征得用戶同意;
九 . 用戶的權利
用戶的權利包括以下方面:訪問(查詢)、獲取副本、更正、刪除、賬戶注銷、投訴、舉報100、撤回同意 、以及拒絕自動決策的重大權益影響。
查詢(訪問)、獲取副本、更正、刪除、注銷賬號
必須告知并提供訪問(副本)、更正、刪除、注銷賬號的有效功能、方便的
途徑。
查詢(訪問) 包括查詢用戶個人信息;該個人信息的來源、使用目的;查詢第三方接收者的信息(身份或類型);是否必須實時查詢,需要參考最新法規要求(30 日以內或法律法規規定的期限內101)。盡可能在產品界面實現,方便用戶。
獲取副本, 應提供個人基本資料、身份信息、健康生理信息、教育工作信獲取副本的途徑,或在技術可行下直接將副本傳輸給用戶指定的第三方(類似部分數據可攜權)。收取紙質打印副本的成本價并未禁止。
更正、刪除,及時響應, 包括經用戶申請和自主維護,失去存儲必要性時及時刪除、注銷。15 個工作日內102完成核查和處理,后臺也需要同步完成處理。
應當主動刪除個人信息的情形103:
- 處理目的已實現或者為實現處理目的不再必要;
- 停止提供產品或者服務,或者保存期限已屆滿;
- 個人撤回同意;
- 違反法律、行政法規或者違反約定處理個人信息或者向第三方共享轉讓、公開披露個人信息;
- 法律、行政法規規定的其他情形。
以上情形下,若個人信息處理者未主動刪除的,個人有權請求刪除。
| 場景示例 2-刪除 用戶進行搜索產品申訴,要求刪除其個人信息的判斷方法: 如果用戶要求搜索產品刪除可以被用來檢索到自身的關鍵詞或者要求排除特定信息和自身的關聯性,公司需要判斷實際情況以決定是否滿足用戶請求: 該信息是否真實準確,信息內容是否合法; 該信息來源是否合法; 該信息是否是合法公開的信息或者用戶主動公開的信息; 該信息是否和新聞公眾事件或者公眾人物關聯不大。 如果滿足上述條件,均為“是”,搜索產品可以拒絕刪除;如果不滿足上述任何一項條件,搜索產品應當滿足用戶刪除請求。 如果符合刪除要求,原則從服務器同時刪除數據,可以在隱私政策中提供客服電話或者電子郵箱。具體從服務器的刪除時間需要依據法律法規要求。 |
注銷賬戶104
企業通過注冊賬戶提供產品或服務的,應提供注銷賬戶的方法,且方法需簡單易于操作;注銷賬戶過程需要身份核驗所需個人信息主體提供的個人信息不應多于注冊、使用環節收集的個人信息;需要人工審核的,應承諾在 15 個工作日內完成 核實和處理;注銷過程需要敏感個人信息進行核驗的,應明確處理措施,如達成目的后立即刪除或匿名化處理;注銷賬戶后, 應及時刪除或匿名化,依法需要留存的,不應再應用到產品或服務中。
禁止行為:
撤回同意
企業應提供方便撤回同意的途徑,易于操作 ,至少與同意同等難易,不能設置不合理條件。個人撤回同意,不影響撤回前基于個人同意已進行的個人信息處理活動的效力。106
104《信息安全技術 個人信息安全規范》(GB/T 35273-2020))8.5。
105 同上。
106《個人信息保護法(草案)》(二次審議稿)。
企業不應因用戶撤回同意而拒絕提供所有服務 ,除撤回同意無法提供強關聯功能外,其他功能仍需要提供;撤回授權同意后,后續不應再處理相應個人信息。
企業應保障用戶拒絕接收基于其個人信息推送商業廣告的權利,如設置退出個性化推薦廣告的按鈕。
如有對外共享、轉讓、公開披露的情況,企業應向用戶提供撤回授權同意的方法。撤回同意不影響撤回前做出的同意。
(三 ) 響應
企業需要向用戶提供權利請求途徑、投訴途徑、外部糾紛解決途徑,并做到及時響應。
目前《信息安全技術 個人信息安全規范》(GB/T 35273-2020)的響應時間除了注銷賬戶是要求做到 15 個工作日內處理,其他則是 30 天內;“在驗證
個人信息主體身份后,應及時響應個人信息主體提出的請求,應在 30 天內或法律法規規定期限內作出答復及合理解釋,并告知個人信息主體外部糾紛解決途徑107”。但是《App 違法違規收集使用個人信息行為認定方法》”更正、刪除、注銷賬戶 15 個工作日內完成和處理,后臺也需要同步完成處理。從優先性和保護用戶角度而言,應以 15 個工作日內為準,可以在產品界面實現的盡量在界面實現。
用戶權利限制
請參考告知同意的例外,但特定情況需要具體分析。同時請注意參考最新個人信息保護法律法規和國家標準。
場景示例-為訂立合同或履行個人作一方當事人的合同所必需
為訂立合同或履行個人作一方當事人的合同所必需收集的信息 ,這也意味著缺失該類信息我們產品和服務的基本功能無法在技術上實現。
當用戶在選擇繼續使用產品的同時,要求刪除前述信息,可以先行文字彈窗并說明理由 --例如“您使用 xxx 購買商品必須依賴您的收貨地址信息,用于給您寄送貨物,否則刪除所有收貨地址后您將無法收到貨物”-
-之后當用戶仍然選擇 刪除時,則僅可不提供依賴收貨地址的相關功能, 但如某產品有瀏覽模式(需區別于基礎功能模式),則不應因用戶刪除“收貨地址信息”而拒絕給用戶提供僅瀏覽的服務。
被收集信息的用戶必需是合同一方,而不能僅僅是使用服務的其他用戶;所收集的信息必需是實現業務功能在技術上所必需,不能是可有可無的信息。–如在出租車內安裝攝像頭,如果安裝攝像頭是履行合同為實現安全目的所必需的,用戶使用 App 叫車即表明同意攝像頭采集個人
信息;但是如果用戶使用 App 為他人叫車或者同乘,他人并非合同一方, 僅實際使用服務,在車內應當語音或者圖標提示攝像頭的存在。
(五 ) 投訴、舉報、申訴
企業應建立投訴管理機制和投訴跟蹤流程,公布個人信息安全投訴、舉報、申訴渠道,同時需要做到在 15 個工作日內受理并處理110。
產品的隱私政策中至少提供以下一種投訴渠道111:
- 電子郵件
- 電話
- 傳真
- 在線客服
- 在線表格
十 . 跨境傳輸112
應遵循最新相關法規依據。
(一 ) 合法依據
強必要性+依法評估
依據《網絡安全法》》要求,關鍵信息基礎設施的運營者在境內運營中收集和產生的個人信息應當存儲在境內。如需出境則必須依法評估,需要按照最新出境相關法規要求進行評估,并開展個人信息安全影響評估。
依據《數據安全法》,關鍵信息基礎設施的運營者在中國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定,企業應時刻關注相關的立法動態。
《個人信息保護法(草案)》(二次審議稿)提出,個人信息處理者因業務等需要,確需向境外提供個人信息的,應當至少具備下列一項條件:
(一)通過國家網信部門組織的安全評估;
(二)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(三)按照國家網信部門制定的標準合同與境外接收方訂立合同,約定雙方的權利和義務,并監督其個人信息處理活動達到本法規定的個人信息保護標準;
112 依據最新個人信息出境相關法律法規、國家標準,進行判斷分析。
(四)法律、行政法規或者國家網信部門規定的其他條件。
告知同意
企業需要增強式告知,經過明示同意,并標識在隱私政策中逐項列出并顯著標識,說明出境個人信息類型。
傳輸時,企業可以使用彈窗告知征得明示同意(我國《個人信息保護法(草案)》(二次審議稿)要求單獨告知同意,可利用彈窗附文案說明跨境的目的、涉及的個人信息類型等信息,由用戶自主點擊同意)。
具體做法及例外情況,需要參考不同國家最新的法律法規要求。
傳輸的數據類型合法
尤其是特殊類型的數據需要特別注意,如民族、宗教信仰、政治觀點,生物識別信息、基因信息等。
不應突破本地化要求
考慮到目前尚未看到“經明示同意”可以突破本地化的要求,收集和產生的
個人信息與重要數據113因此關鍵信息基礎設施收集和產生的個人信息與重要數據114,仍應存在境內,如確需跨境,必須按照最新法規進行評估,同時針對特殊領域則需按照法律法規要求做到本地化存儲(詳見存儲部分)。
(二 ) 接收方的可靠性
企業應對接收方的安全保護能力等進行詳細的盡調摸底,除接收方承諾外, 實際進行一定的檢測以核驗其保護能力是否屬實可靠。
(三 ) 各方責任、義務的劃分
企業可使用傳輸方/接收方模式,抑或是控制者/處理者模式。但必須有書面合同劃分清楚各方的責任、義務,并進行留存。
(四 ) 他國法律監管因素影響
充分了解他國法律監管情況,對現實和潛在風險進行把控。
| 場景示例 2-歐盟數據怎么跨境 對于將歐盟用戶個人數據轉移至他國,《通用數據保護條例》(GDPR)第5 章有特殊要求,僅在滿足該等特殊要求的情形下,才可以將歐盟用戶的數據轉移至他國。該等特殊要求包括:1. 特別授權;2. 被列入歐盟認可的提供充足保護的名單中(除去美國,目前僅 12 個國家或地區。韓 國與英國正在推進充分性程序);3. 控制者或者處理者提供適當的保障 措施(列舉了 6 種保障措施,包括由雙方簽署標準合同條款、采用有約 束力的公司規則等),以及為數據主體提供可執行的權利與有效的法律救濟措施;4. 特殊情形下的克減(包括個人明知仍同意、履行合同所必需、實現數據主體利益所必需、實現公共利益所必需等 7 項,此 7 種可 以直接傳出歐盟);或者 5. 國際合作。 每種特殊要求有非常細致的具體規定,部分有很多限制性措施無法成為公司跨境轉移數據的常規措施,**其中比較常用的為第 3 點的適當的保障措施。**在上述措施之外,歐盟和美國曾經達成“隱私盾”,加入“隱私盾”的5000 家美國企業可以根據“隱私盾”將數據從歐盟傳輸至美國,但目前“隱私盾”已經被歐盟法院認定無效。 |
(五 ) 記錄全過程
企業應當詳細記錄跨境的全過程,包括從評估到最后執行,書面文件、技術措施等。
十一 . 未成年人與兒童保護115
(一) 需要保護未成年人和兒童的產品或服務
如未成年人、兒童益智游戲,相關平臺、插件、在線服務、聯網設備、玩具等;
雖非主要針對兒童,但是網站或服務有以下內容—“網站或服務的主題、音視頻內容、使用動畫角色或其他針對兒童的活動和措施、模特年齡, 是否出現兒童偶像、或吸引兒童的名人,網站或服務上有針對兒童的 廣告,其他關于實際或預期受眾為兒童的證據”116;
未成年人與兒童的范圍
未成年人不滿 18 周歲。其中不滿 14 周歲的未成年人為兒童。117
兒童個人信息作為個人敏感信息加強保護
專門規則
14 歲以下周歲以下(含)兒童的個人信息屬于個人敏感信息118,應設置專門的兒童個人信息保護規則和用戶協議,并指定專人負責。
兒童個人信息保護負責人
如果已經設立數據保護官,可以由數據保護官兼任兒童信息保護工作;如果沒有設立數據保護官,至少應指定一人負責,雖不一定要增設新職位。
告知同意
企業收集、使用、轉移、披露兒童個人信息的,應當以顯著、清晰的方式告知兒童監護人,并應當征得兒童監護人的同意。除了要求更正和刪除的權利行使外,其余只能由監護人同意,兒童不行。120要求刪除必須刪除; 停止運營時必須刪除并將情況告知監護人。
征得同意時,應同時提供拒絕選項 ,并明確告知以下內容:
前款告知內容發生實質性變化的,企業應當再次征得兒童監護人的同意。 因業務需要,確需超出約定的目的、范圍使用的,應再次征得兒童監護人同意。
兒童個人信息存儲要求
122《信息安全技術 個人信息告知同意指南(征求意見稿)》。
123《教育部等六部門關于規范校外線上培訓的實施意見》。
留存至少 6 個月124。。
訪問控制
企業應當建立單獨的或者在現有訪問控制制度中專門規定涉及兒童信息的內容。對工作人員應當以最小授權為原則,嚴格設定信息訪問權限,控制兒童個人信息知悉范圍。工作人員訪問兒童個人信息的,應當經過兒童個人信息保護負責人或者其授權的管理人員審批,記錄訪問情況,并采取技術措施,避免違法復制、下載兒童個人信息。
向第三方轉移兒童個人信息
企業應自行或者委托第三方機構進行安全評估。委托 第三方處理兒童個人信息的,應對受委托方及委托行為等進行安全評估,簽署委托協議,明確雙方責任、處理事項、處理期限、處理性質和目的等,委托行為不得超出授權范圍。受委托方不得轉委托,應在委托關系解除時及時刪除兒童個人信息。
如何核驗是否為監護人
目前可參考的方案如下(但并非一定是針對業務的最優方案,最優方案需要結合產品及業務的場景具體分析):如監護人簽署同意書并發送給公司
(是否真的父母不確定);提問監護人(僅兒童家長才可回答的知識挑戰問題),電話等方式;審核證明文件,如讓監護人通過信用卡、借記卡或在線支付系統等支付小額款項,驗證監護人是成年人(需要避免過度收集信息);與第三方合作,驗證是否為監護人。實踐中,國外有采用同意書+信用卡支付等方式的。
目前相關國家標準中提出了一些指引性意見,例如:終端或應用僅單獨面向未成年人的,核驗的方式可采取短信驗證、電話驗證、郵箱驗證等合理措施進行。短信內容可參照:“尊敬的用戶您好!這里是 xxxx ,根據國家有關未成年人個人信息保護的要求,收集使用年滿 14 周歲的未成年人的
個人信息前,宜征得該未成年人或其監護人的明示同意 收集不滿 14 周歲的未成年人的個人信息前,應征得其監護人的明示同意。若您是 xxx 的監護人,請回復“ 1 ”,若不是請回復 2” 。本條短信 5 分鐘內容有效。”
若產品或服務為未成年人和監護人提供了不同終端或應用界面的,核驗的方式可直接在監護人終端或應用界面中完成。例如,直接在監護人終端或應用界面中完成。例如,在未成年人的終端或應用界面提示為滿足國家有
關未成年人個人信息保護的要求,需要該未成年人將有關產品或服務的個人信息使用規則等信息告知其監護人,此時該未成年人的終端或應用界面上已生成用于分享給其監護人的超鏈接或二維碼。未成年人可分享超鏈接或二維碼至其監護人,其監護人打開該超鏈接或掃一掃該二維碼之后可以下載或進入監護人專門的終端或應用,該監護人可在該終端或應用界面上確認其是否為該未成年人的監護人;或在監護人界面設置主動開啟未成年人設備的開關,監護人端開與未成年人端通過 WLAN、藍牙、移動網絡完成鑒權和連接的,視為完成驗證等。
十二 . 停止運營
當停止運營時,企業應及時停止繼續收集個人信息,將停止運營的通知以逐一送達或公告的形式通知個人信息主體,并對所持有的個人信息進行刪除。
十三 . 記錄
企業宜建立、維護和更新所收集、使用的個人信息處理活動記錄,記錄 1) 所涉及個人信息的類型、數量、來源(如從個人信息主體直接收集或通過間接獲取方式獲得);2)根據業務功能和授權情況區分個人信息的處理目的、使用場景,以及委托處理、 共享、轉讓、公開披露、是否涉及出境等情況; 以及 3)與個人信息處理活動各環節相關的信息系統、組織或人員。
延伸閱讀
更多內容 可以點擊下載 360 企業個人信息合規思路與實踐報告 2021. http://github5.com/view/1273進一步學習
聯系我們
DB35-T 1388-2013 地理標志產品 永安金線蓮 福建省.pdf
總結
以上是生活随笔為你收集整理的信息系统自动决策机制的使用的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Postgresql页面xmax与mul
- 下一篇: 应急响应笔记