數(shù)據(jù)中心
Data Center

國(guó)標(biāo)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》全文

發(fā)布時(shí)間:2024-03-15  瀏覽次數(shù):275


范圍

本標(biāo)準(zhǔn)規(guī)定了開(kāi)展收集、存儲(chǔ)、使用、共享、轉(zhuǎn)讓、公開(kāi)披露、刪除等個(gè)人信息處理活動(dòng)應(yīng)遵循的原則和安全要求。

本標(biāo)準(zhǔn)適用于規(guī)范各類組織的個(gè)人信息處理活動(dòng),也適用于主管監(jiān)管部門、第三方評(píng)估機(jī)構(gòu)等組織對(duì)個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督、管理和評(píng)估。

規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T 25069—2010 信息安全技術(shù) 術(shù)語(yǔ)

術(shù)語(yǔ)和定義

GB/T 25069—2010界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1 個(gè)人信息 personal information

以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。

注1:個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

注2:關(guān)于個(gè)人信息的判定方法和類型參見(jiàn)附錄 A。

注3:個(gè)人信息控制者通過(guò)個(gè)人信息或其他信息加工處理后形成的信息,例如,用戶畫像或特征標(biāo)簽,能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的,屬于個(gè)人信息。

3.2 個(gè)人敏感信息 personal sensitive information

一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全,極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。

注1:個(gè)人敏感信息包括身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬戶、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下(含)兒童的個(gè)人信息等。

注2:關(guān)于個(gè)人敏感信息的判定方法和類型參見(jiàn)附錄 B。

注3:個(gè)人信息控制者通過(guò)個(gè)人信息或其他信息加工處理后形成的信息,如一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全,極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的,屬于個(gè)人敏感信息。

3.3 個(gè)人信息主體 personal information subject

個(gè)人信息所標(biāo)識(shí)或者關(guān)聯(lián)的自然人。

3.4 個(gè)人信息控制者 personal information controller

有能力決定個(gè)人信息處理目的、方式等的組織或個(gè)人。

3.5 收集 collect

獲得個(gè)人信息的控制權(quán)的行為。

注1:包括由個(gè)人信息主體主動(dòng)提供、通過(guò)與個(gè)人信息主體交互或記錄個(gè)人信息主體行為等自動(dòng)采集行為,以及通過(guò)共享、轉(zhuǎn)讓、搜集公開(kāi)信息等間接獲取個(gè)人信息等行為。

注2:如果產(chǎn)品或服務(wù)的提供者提供工具供個(gè)人信息主體使用,提供者不對(duì)個(gè)人信息進(jìn)行訪問(wèn)的,則不屬于本標(biāo)準(zhǔn)所稱的收集。例如,離線導(dǎo)航軟件在終端獲取個(gè)人信息主體位置信息后,如果不回傳至軟件提供者,則不屬于個(gè)人信息主體位置信息的收集。

3.6 明示同意 explicit consent

個(gè)人信息主體通過(guò)書面、口頭等方式主動(dòng)作出紙質(zhì)或電子形式的聲明,或者自主作出肯定性動(dòng)作,對(duì)其個(gè)人信息進(jìn)行特定處理作出明確授權(quán)的行為。

注:肯定性動(dòng)作包括個(gè)人信息主體主動(dòng)勾選、主動(dòng)點(diǎn)擊“同意”“注冊(cè)”“發(fā)送”“撥打”、主動(dòng)填寫或提供等。

3.7 授權(quán)同意 consent

個(gè)人信息主體對(duì)其個(gè)人信息進(jìn)行特定處理作出明確授權(quán)的行為。

注:包括通過(guò)積極的行為作出授權(quán)(即明示同意),或者通過(guò)消極的不作為而作出授權(quán)(如信息采集區(qū)域內(nèi)的個(gè)人信息主體在被告知信息收集行為后沒(méi)有離開(kāi)該區(qū)域)。

3.8 用戶畫像 user profiling

通過(guò)收集、匯聚、分析個(gè)人信息,對(duì)某特定自然人個(gè)人特征,如職業(yè)、經(jīng)濟(jì)、健康、教育、個(gè)人喜好、信用、行為等方面作出分析或預(yù)測(cè),形成其個(gè)人特征模型的過(guò)程。

注:直接使用特定自然人的個(gè)人信息,形成該自然人的特征模型,稱為直接用戶畫像。使用來(lái)源于特

定自然人以外的個(gè)人信息,如其所在群體的數(shù)據(jù),形成該自然人的特征模型,稱為間接用戶畫像。

3.9 個(gè)人信息安全影響評(píng)估 personal information security impact assessment

針對(duì)個(gè)人信息處理活動(dòng),檢驗(yàn)其合法合規(guī)程度,判斷其對(duì)個(gè)人信息主體合法權(quán)益造

成損害的各種風(fēng)險(xiǎn),以及評(píng)估用于保護(hù)個(gè)人信息主體的各項(xiàng)措施有效性的過(guò)程。

3.10 刪除 delete

在實(shí)現(xiàn)日常業(yè)務(wù)功能所涉及的系統(tǒng)中去除個(gè)人信息的行為,使其保持不可被檢索、訪問(wèn)的狀態(tài)。

3.11 公開(kāi)披露 public disclosure

向社會(huì)或不特定人群發(fā)布信息的行為。

3.12 轉(zhuǎn)讓 transfer of control

將個(gè)人信息控制權(quán)由一個(gè)控制者向另一個(gè)控制者轉(zhuǎn)移的過(guò)程。

3.13 共享 sharing

個(gè)人信息控制者向其他控制者提供個(gè)人信息,且雙方分別對(duì)個(gè)人信息擁有獨(dú)立控制權(quán)的過(guò)程。

3.14 匿名化 anonymization

通過(guò)對(duì)個(gè)人信息的技術(shù)處理,使得個(gè)人信息主體無(wú)法被識(shí)別或者關(guān)聯(lián),且處理后的信息不能被復(fù)原的過(guò)程。

注:個(gè)人信息經(jīng)匿名化處理后所得的信息不屬于個(gè)人信息。

3.15 去標(biāo)識(shí)化 de-identification

通過(guò)對(duì)個(gè)人信息的技術(shù)處理,使其在不借助額外信息的情況下,無(wú)法識(shí)別或者關(guān)聯(lián)個(gè)人信息主體的過(guò)程。

注:去標(biāo)識(shí)化建立在個(gè)體基礎(chǔ)之上,保留了個(gè)體顆粒度,采用假名、加密、哈希函數(shù)等技術(shù)手段替代對(duì)個(gè)人信息的標(biāo)識(shí)。

3.16 個(gè)性化展示 personalized display

基于特定個(gè)人信息主體的網(wǎng)絡(luò)瀏覽歷史、興趣愛(ài)好、消費(fèi)記錄和習(xí)慣等個(gè)人信息,向該個(gè)人信息主體展示信息內(nèi)容、提供商品或服務(wù)的搜索結(jié)果等活動(dòng)。

3.17 業(yè)務(wù)功能 business function

滿足個(gè)人信息主體的具體使用需求的服務(wù)類型。

注:如地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時(shí)通訊、網(wǎng)絡(luò)社區(qū)、網(wǎng)絡(luò)支付、新聞資訊、網(wǎng)上購(gòu)物、快遞配送、交通票務(wù)等。

4. 個(gè)人信息安全基本原則

個(gè)人信息控制者開(kāi)展個(gè)人信息處理活動(dòng)應(yīng)遵循合法、正當(dāng)、必要的原則,具體包括:

權(quán)責(zé)一致——采取技術(shù)和其他必要的措施保障個(gè)人信息的安全,對(duì)其個(gè)人信息處理活動(dòng)對(duì)個(gè)人信息主體合法權(quán)益造成的損害承擔(dān)責(zé)任;

目的明確——具有明確、清晰、具體的個(gè)人信息處理目的;

選擇同意——向個(gè)人信息主體明示個(gè)人信息處理目的、方式、范圍等規(guī)則,征求其授權(quán)同意;

最小必要——只處理滿足個(gè)人信息主體授權(quán)同意的目的所需的最少個(gè)人信息類型和數(shù)量。目的達(dá)成后,應(yīng)及時(shí)刪除個(gè)人信息;

公開(kāi)透明——以明確、易懂和合理的方式公開(kāi)處理個(gè)人信息的范圍、目的、規(guī)則等,并接受外部監(jiān)督;

確保安全——具備與所面臨的安全風(fēng)險(xiǎn)相匹配的安全能力,并采取足夠的管理措施和技術(shù)手段,保護(hù)個(gè)人信息的保密性、完整性、可用性;

主體參與——向個(gè)人信息主體提供能夠查詢、更正、刪除其個(gè)人信息,以及撤回授權(quán)同意、注銷賬戶、投訴等方法。

5. 個(gè)人信息的收集

5.1 收集個(gè)人信息的合法性

對(duì)個(gè)人信息控制者的要求包括:

不應(yīng)以欺詐、誘騙、誤導(dǎo)的方式收集個(gè)人信息;

不應(yīng)隱瞞產(chǎn)品或服務(wù)所具有的收集個(gè)人信息的功能;c) 不應(yīng)從非法渠道獲取個(gè)人信息。

5.2 收集個(gè)人信息的最小必要

對(duì)個(gè)人信息控制者的要求包括:

收集的個(gè)人信息的類型應(yīng)與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián);直接關(guān)聯(lián)是指沒(méi)有上述個(gè)人信息的參與,產(chǎn)品或服務(wù)的功能無(wú)法實(shí)現(xiàn);

自動(dòng)采集個(gè)人信息的頻率應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率;c) 間接獲取個(gè)人信息的數(shù)量應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量。

5.3 多項(xiàng)業(yè)務(wù)功能的自主選擇

當(dāng)產(chǎn)品或服務(wù)提供多項(xiàng)需收集個(gè)人信息的業(yè)務(wù)功能時(shí),個(gè)人信息控制者不應(yīng)違背個(gè)人信息主體的自主意愿,強(qiáng)迫個(gè)人信息主體接受產(chǎn)品或服務(wù)所提供的業(yè)務(wù)功能及相應(yīng)的個(gè)人信息收集請(qǐng)求。對(duì)個(gè)人信息控制者的要求包括:

不應(yīng)通過(guò)捆綁產(chǎn)品或服務(wù)各項(xiàng)業(yè)務(wù)功能的方式,要求個(gè)人信息主體一次性接受并授權(quán)同意其未申請(qǐng)或使用的業(yè)務(wù)功能收集個(gè)人信息的請(qǐng)求;

應(yīng)把個(gè)人信息主體自主作出的肯定性動(dòng)作,如主動(dòng)點(diǎn)擊、勾選、填寫等,作為產(chǎn)品或服務(wù)的特定業(yè)務(wù)功能的開(kāi)啟條件。個(gè)人信息控制者應(yīng)僅在個(gè)人信息主體開(kāi)啟該業(yè)務(wù)功能后,開(kāi)始收集個(gè)人信息;

關(guān)閉或退出業(yè)務(wù)功能的途徑或方式應(yīng)與個(gè)人信息主體選擇使用業(yè)務(wù)功能的途徑或方式同樣方便。個(gè)人信息主體選擇關(guān)閉或退出特定業(yè)務(wù)功能后,個(gè)人信息控制者應(yīng)停止該業(yè)務(wù)功能的個(gè)人信息收集活動(dòng);

個(gè)人信息主體不授權(quán)同意使用、關(guān)閉或退出特定業(yè)務(wù)功能的,不應(yīng)頻繁征求個(gè)人信息主體的授權(quán)同意;

個(gè)人信息主體不授權(quán)同意使用、關(guān)閉或退出特定業(yè)務(wù)功能的,不應(yīng)暫停個(gè)人信息主體自主選擇使用的其他業(yè)務(wù)功能,或降低其他業(yè)務(wù)功能的服務(wù)質(zhì)量;

不得僅以改善服務(wù)質(zhì)量、提升使用體驗(yàn)、研發(fā)新產(chǎn)品、增強(qiáng)安全性等為由,強(qiáng)制要求個(gè)人信息主體同意收集個(gè)人信息。

5.4 收集個(gè)人信息時(shí)的授權(quán)同意

對(duì)個(gè)人信息控制者的要求包括:

收集個(gè)人信息,應(yīng)向個(gè)人信息主體告知收集、使用個(gè)人信息的目的、方式和范圍等規(guī)則,并獲得個(gè)人信息主體的授權(quán)同意;

注1:如產(chǎn)品或服務(wù)僅提供一項(xiàng)收集、使用個(gè)人信息的業(yè)務(wù)功能時(shí),個(gè)人信息控制者可通過(guò)個(gè)人信息保護(hù)政策的形式,實(shí)現(xiàn)向個(gè)人信息主體的告知;產(chǎn)品或服務(wù)提供多項(xiàng)收集、使用個(gè)人信息的業(yè)務(wù)功能的,除個(gè)人信息保護(hù)政策外,個(gè)人信息控制者宜在實(shí)際開(kāi)始收集特定個(gè)人信息時(shí),向個(gè)人信息主體提供收集、使用該個(gè)人信息的目的、方式和范圍,以便個(gè)人信息主體在作出具體的授權(quán)同意前,能充分考慮對(duì)其的具體影響。

注2:符合5.3和 a)要求的實(shí)現(xiàn)方法,可參考附錄C。

收集個(gè)人敏感信息前,應(yīng)征得個(gè)人信息主體的明示同意,并應(yīng)確保個(gè)人信息主體的明示同意是其在完全知情的基礎(chǔ)上自主給出的、具體的、清晰明確的意愿表示;

收集個(gè)人生物識(shí)別信息前,應(yīng)單獨(dú)向個(gè)人信息主體告知收集、使用個(gè)人生物識(shí)別信息的目的、方式和范圍,以及存儲(chǔ)時(shí)間等規(guī)則,并征得個(gè)人信息主體的明示同意;

注:個(gè)人生物識(shí)別信息包括個(gè)人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識(shí)別特征等。

收集年滿14周歲未成年人的個(gè)人信息前,應(yīng)征得未成年人或其監(jiān)護(hù)人的明示同意;不滿14周歲的,應(yīng)征得其監(jiān)護(hù)人的明示同意;e) 間接獲取個(gè)人信息時(shí):

應(yīng)要求個(gè)人信息提供方說(shuō)明個(gè)人信息來(lái)源,并對(duì)其個(gè)人信息來(lái)源的合法性進(jìn)行確認(rèn);

應(yīng)了解個(gè)人信息提供方已獲得的個(gè)人信息處理的授權(quán)同意范圍,包括使用目的,個(gè)人信息主體是否授權(quán)同意轉(zhuǎn)讓、共享、公開(kāi)披露、刪除等;

如開(kāi)展業(yè)務(wù)所需進(jìn)行的個(gè)人信息處理活動(dòng)超出已獲得的授權(quán)同意范圍的,應(yīng)在獲取個(gè)人信息后的合理期限內(nèi)或處理個(gè)人信息前,征得個(gè)人信息主體的明示同意,或通過(guò)個(gè)人信息提供方征得個(gè)人信息主體的明示同意。

5.5 個(gè)人信息保護(hù)政策

對(duì)個(gè)人信息控制者的要求包括:

應(yīng)制定個(gè)人信息保護(hù)政策,內(nèi)容應(yīng)包括但不限于:

個(gè)人信息控制者的基本情況,包括主體身份、聯(lián)系方式;

收集、使用個(gè)人信息的業(yè)務(wù)功能,以及各業(yè)務(wù)功能分別收集的個(gè)人信息類型。涉及個(gè)人敏感信息的,需明確標(biāo)識(shí)或突出顯示;

個(gè)人信息收集方式、存儲(chǔ)期限、涉及數(shù)據(jù)出境情況等個(gè)人信息處理規(guī)則;

對(duì)外共享、轉(zhuǎn)讓、公開(kāi)披露個(gè)人信息的目的、涉及的個(gè)人信息類型、接收個(gè)人信息的第三方類型,以及各自的安全和法律責(zé)任;

個(gè)人信息主體的權(quán)利和實(shí)現(xiàn)機(jī)制,如查詢方法、更正方法、刪除方法、注銷賬戶的方法、撤回授權(quán)同意的方法、獲取個(gè)人信息副本的方法、對(duì)信息系統(tǒng)自動(dòng)決策結(jié)果進(jìn)行投訴的方法等;

提供個(gè)人信息后可能存在的安全風(fēng)險(xiǎn),及不提供個(gè)人信息可能產(chǎn)生的影響;

遵循的個(gè)人信息安全基本原則,具備的數(shù)據(jù)安全能力,以及采取的個(gè)人信息安全保護(hù)措施,必要時(shí)可公開(kāi)數(shù)據(jù)安全和個(gè)人信息保護(hù)相關(guān)的合規(guī)證明;

處理個(gè)人信息主體詢問(wèn)、投訴的渠道和機(jī)制,以及外部糾紛解決機(jī)構(gòu)及聯(lián)絡(luò)方式。

個(gè)人信息保護(hù)政策所告知的信息應(yīng)真實(shí)、準(zhǔn)確、完整;

個(gè)人信息保護(hù)政策的內(nèi)容應(yīng)清晰易懂,符合通用的語(yǔ)言習(xí)慣,使用標(biāo)準(zhǔn)化的數(shù)字、圖示等,避免使用有歧義的語(yǔ)言;

個(gè)人信息保護(hù)政策應(yīng)公開(kāi)發(fā)布且易于訪問(wèn),例如,在網(wǎng)站主頁(yè)、移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序安裝頁(yè)、附錄C中的交互界面或設(shè)計(jì)等顯著位置設(shè)置鏈接;

個(gè)人信息保護(hù)政策應(yīng)逐一送達(dá)個(gè)人信息主體。當(dāng)成本過(guò)高或有顯著困難時(shí),可以公告的形式發(fā)布;

在a)所載事項(xiàng)發(fā)生變化時(shí),應(yīng)及時(shí)更新個(gè)人信息保護(hù)政策并重新告知個(gè)人信息主體。

注1:組織會(huì)習(xí)慣性將個(gè)人信息保護(hù)政策命名為“隱私政策”或其他名稱,其內(nèi)容宜與個(gè)人信息保護(hù)政策內(nèi)容保持一致。

注2:個(gè)人信息保護(hù)政策的內(nèi)容可參考附錄D。

注3:在個(gè)人信息主體首次打開(kāi)產(chǎn)品或服務(wù)、注冊(cè)賬戶等情形時(shí),宜通過(guò)彈窗等形式主動(dòng)向其展示個(gè)人信息保護(hù)政策的主要或核心內(nèi)容,幫助個(gè)人信息主體理解該產(chǎn)品或服務(wù)的個(gè)人信息處理范圍和規(guī)則,并決定是否繼續(xù)使用該產(chǎn)品或服務(wù)。

5.6 征得授權(quán)同意的例外

以下情形中,個(gè)人信息控制者收集、使用個(gè)人信息不必征得個(gè)人信息主體的授權(quán)同意:

與個(gè)人信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的;

與國(guó)家安全、國(guó)防安全直接相關(guān)的;

與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的;

與刑事偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的;

出于維護(hù)個(gè)人信息主體或其他個(gè)人的生命、財(cái)產(chǎn)等重大合法權(quán)益但又很難得到本人授權(quán)同意的;

所涉及的個(gè)人信息是個(gè)人信息主體自行向社會(huì)公眾公開(kāi)的;g) 根據(jù)個(gè)人信息主體要求簽訂和履行合同所必需的;

注:個(gè)人信息保護(hù)政策的主要功能為公開(kāi)個(gè)人信息控制者收集、使用個(gè)人信息范圍和規(guī)則,不宜將其視為合同。

從合法公開(kāi)披露的信息中收集個(gè)人信息的,如合法的新聞報(bào)道、政府信息公開(kāi)等渠道;

維護(hù)所提供產(chǎn)品或服務(wù)的安全穩(wěn)定運(yùn)行所必需的,如發(fā)現(xiàn)、處置產(chǎn)品或服務(wù)的故障;

個(gè)人信息控制者為新聞單位,且其開(kāi)展合法的新聞報(bào)道所必需的;

個(gè)人信息控制者為學(xué)術(shù)研究機(jī)構(gòu),出于公共利益開(kāi)展統(tǒng)計(jì)或?qū)W術(shù)研究所必要,且其對(duì)外提供學(xué)術(shù)研究或描述的結(jié)果時(shí),對(duì)結(jié)果中所包含的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理的。

6. 個(gè)人信息的存儲(chǔ)

6.1 個(gè)人信息存儲(chǔ)時(shí)間最小化

對(duì)個(gè)人信息控制者的要求包括:

個(gè)人信息存儲(chǔ)期限應(yīng)為實(shí)現(xiàn)個(gè)人信息主體授權(quán)使用的目的所必需的最短時(shí)間,法律法規(guī)另有規(guī)定或者個(gè)人信息主體另行授權(quán)同意的除外;

超出上述個(gè)人信息存儲(chǔ)期限后,應(yīng)對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理。

6.2 去標(biāo)識(shí)化處理

收集個(gè)人信息后,個(gè)人信息控制者宜立即進(jìn)行去標(biāo)識(shí)化處理,并采取技術(shù)和管理方面的措施,將可用于恢復(fù)識(shí)別個(gè)人的信息與去標(biāo)識(shí)化后的信息分開(kāi)存儲(chǔ)并加強(qiáng)訪問(wèn)和使用的權(quán)限管理。

6.3 個(gè)人敏感信息的傳輸和存儲(chǔ)

對(duì)個(gè)人信息控制者的要求包括:a) 傳輸和存儲(chǔ)個(gè)人敏感信息時(shí),應(yīng)采用加密等安全措施;

注:采用密碼技術(shù)時(shí)宜遵循密碼管理相關(guān)國(guó)家標(biāo)準(zhǔn)。

個(gè)人生物識(shí)別信息應(yīng)與個(gè)人身份信息分開(kāi)存儲(chǔ);

原則上不應(yīng)存儲(chǔ)原始個(gè)人生物識(shí)別信息(如樣本、圖像等),可采取的措施包括但不限于:

僅存儲(chǔ)個(gè)人生物識(shí)別信息的摘要信息;

在采集終端中直接使用個(gè)人生物識(shí)別信息實(shí)現(xiàn)身份識(shí)別、認(rèn)證等功能;

在使用面部識(shí)別特征、指紋、掌紋、虹膜等實(shí)現(xiàn)識(shí)別身份、認(rèn)證等功能后刪除可提取個(gè)人生物識(shí)別信息的原始圖像。

注1:摘要信息通常具有不可逆特點(diǎn),無(wú)法回溯到原始信息。

注2:個(gè)人信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的情形除外。

6.4 個(gè)人信息控制者停止運(yùn)營(yíng)

當(dāng)個(gè)人信息控制者停止運(yùn)營(yíng)其產(chǎn)品或服務(wù)時(shí),應(yīng):

及時(shí)停止繼續(xù)收集個(gè)人信息;

將停止運(yùn)營(yíng)的通知以逐一送達(dá)或公告的形式通知個(gè)人信息主體;c) 對(duì)其所持有的個(gè)人信息進(jìn)行刪除或匿名化處理。

7.個(gè)人信息的使用

7.1 個(gè)人信息訪問(wèn)控制措施

對(duì)個(gè)人信息控制者的要求包括:

對(duì)被授權(quán)訪問(wèn)個(gè)人信息的人員,應(yīng)建立最小授權(quán)的訪問(wèn)控制策略,使其只能訪問(wèn)職責(zé)所需的最小必要的個(gè)人信息,且僅具備完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限;

對(duì)個(gè)人信息的重要操作設(shè)置內(nèi)部審批流程,如進(jìn)行批量修改、拷貝、下載等重要操作;

對(duì)安全管理人員、數(shù)據(jù)操作人員、審計(jì)人員的角色進(jìn)行分離設(shè)置;

確因工作需要,需授權(quán)特定人員超權(quán)限處理個(gè)人信息的,應(yīng)經(jīng)個(gè)人信息保護(hù)責(zé)任人或個(gè)人信息保護(hù)工作機(jī)構(gòu)進(jìn)行審批,并記錄在冊(cè);

注:個(gè)人信息保護(hù)責(zé)任人或個(gè)人信息保護(hù)工作機(jī)構(gòu)的確定見(jiàn) 11.1。

對(duì)個(gè)人敏感信息的訪問(wèn)、修改等操作行為,宜在對(duì)角色權(quán)限控制的基礎(chǔ)上,按照業(yè)務(wù)流程的需求觸發(fā)操作授權(quán)。例如,當(dāng)收到客戶投訴,投訴處理人員才可訪問(wèn)該個(gè)人信息主體的相關(guān)信息。

7.2 個(gè)人信息的展示限制

涉及通過(guò)界面展示個(gè)人信息的(如顯示屏幕、紙面),個(gè)人信息控制者宜對(duì)需展示的個(gè)人信息采取去標(biāo)識(shí)化處理等措施,降低個(gè)人信息在展示環(huán)節(jié)的泄露風(fēng)險(xiǎn)。例如,在個(gè)人信息展示時(shí),防止內(nèi)部非授權(quán)人員及個(gè)人信息主體之外的其他人員未經(jīng)授權(quán)獲取個(gè)人信息。

7.3 個(gè)人信息使用的目的限制

對(duì)個(gè)人信息控制者的要求包括:

使用個(gè)人信息時(shí),不應(yīng)超出與收集個(gè)人信息時(shí)所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍。因業(yè)務(wù)需要,確需超出上述范圍使用個(gè)人信息的,應(yīng)再次征得個(gè)人信息主體明示同意;

注:將所收集的個(gè)人信息用于學(xué)術(shù)研究或得出對(duì)自然、科學(xué)、社會(huì)、經(jīng)濟(jì)等現(xiàn)象總體狀態(tài)的描述,屬于與收集目的具有合理關(guān)聯(lián)的范圍之內(nèi)。但對(duì)外提供學(xué)術(shù)研究或描述的結(jié)果時(shí),需對(duì)結(jié)果中所包含的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理。

如所收集的個(gè)人信息進(jìn)行加工處理而產(chǎn)生的信息,能夠單獨(dú)或與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的,應(yīng)將其認(rèn)定為個(gè)人信息。對(duì)其處理應(yīng)遵循收集個(gè)人信息時(shí)獲得的授權(quán)同意范圍。

注:加工處理而產(chǎn)生的個(gè)人信息屬于個(gè)人敏感信息的,對(duì)其處理需符合對(duì)個(gè)人敏感信息的要求。

7.4 用戶畫像的使用限制

對(duì)個(gè)人信息控制者的要求包括:

用戶畫像中對(duì)個(gè)人信息主體的特征描述,不應(yīng):

包含淫穢、色情、賭博、迷信、恐怖、暴力的內(nèi)容;

表達(dá)對(duì)民族、種族、宗教、殘疾、疾病歧視的內(nèi)容。

在業(yè)務(wù)運(yùn)營(yíng)或?qū)ν鈽I(yè)務(wù)合作中使用用戶畫像的,不應(yīng):

侵害公民、法人和其他組織的合法權(quán)益;

危害國(guó)家安全、榮譽(yù)和利益,煽動(dòng)顛覆國(guó)家政權(quán)、推翻社會(huì)主義制度,煽動(dòng)分裂國(guó)家、破壞國(guó)家統(tǒng)一,宣揚(yáng)恐怖主義、極端主義,宣揚(yáng)民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經(jīng)濟(jì)秩序和社會(huì)秩序。

除為實(shí)現(xiàn)個(gè)人信息主體授權(quán)同意的使用目的所必需外,使用個(gè)人信息時(shí)應(yīng)消除明確身份指向性,避免精確定位到特定個(gè)人。例如,為準(zhǔn)確評(píng)價(jià)個(gè)人信用狀況,可使用直接用戶畫像,而用于推送商業(yè)廣告目的時(shí),則宜使用間接用戶畫像。

7.5 個(gè)性化展示的使用

對(duì)個(gè)人信息控制者的要求包括:

在向個(gè)人信息主體提供業(yè)務(wù)功能的過(guò)程中使用個(gè)性化展示的,應(yīng)顯著區(qū)分個(gè)性化展示的內(nèi)容和非個(gè)性化展示的內(nèi)容;

注:顯著區(qū)分的方式包括但不限于:標(biāo)明“定推”等字樣,或通過(guò)不同的欄目、版塊、頁(yè)面分別展示等。

在向個(gè)人信息主體提供電子商務(wù)服務(wù)的過(guò)程中,根據(jù)消費(fèi)者的興趣愛(ài)好、消費(fèi)習(xí)慣等特征向其提供商品或者服務(wù)搜索結(jié)果的個(gè)性化展示的,應(yīng)當(dāng)同時(shí)向該消費(fèi)者提供不針對(duì)其個(gè)人特征的選項(xiàng);

注:基于個(gè)人信息主體所選擇的特定地理位置進(jìn)行展示、搜索結(jié)果排序,且不因個(gè)人信息主體身份不同展示不一樣的內(nèi)容和搜索結(jié)果排序,則屬于不針對(duì)其個(gè)人特征的選項(xiàng)。

在向個(gè)人信息主體推送新聞信息服務(wù)的過(guò)程中使用個(gè)性化展示的,應(yīng):

為個(gè)人信息主體提供簡(jiǎn)單直觀的退出或關(guān)閉個(gè)性化展示模式的選項(xiàng);

當(dāng)個(gè)人信息主體選擇退出或關(guān)閉個(gè)性化展示模式時(shí),向個(gè)人信息主體提供刪除或匿名化定向推送活動(dòng)所基于的個(gè)人信息的選項(xiàng)。

在向個(gè)人信息主體提供業(yè)務(wù)功能的過(guò)程中使用個(gè)性化展示的,宜建立個(gè)人信息主體對(duì)個(gè)性化展示所依賴的個(gè)人信息(如標(biāo)簽、畫像維度等)的自主控制機(jī)制,保障個(gè)人信息主體調(diào)控個(gè)性化展示相關(guān)性程度的能力。

7.6 基于不同業(yè)務(wù)目的所收集個(gè)人信息的匯聚融合

對(duì)個(gè)人信息控制者的要求包括:

應(yīng)遵守7.3的要求;

應(yīng)根據(jù)匯聚融合后個(gè)人信息所用于的目的,開(kāi)展個(gè)人信息安全影響評(píng)估,采取有效的個(gè)人信息保護(hù)措施。

7.7 信息系統(tǒng)自動(dòng)決策機(jī)制的使用

個(gè)人信息控制者業(yè)務(wù)運(yùn)營(yíng)所使用的信息系統(tǒng),具備自動(dòng)決策機(jī)制且能對(duì)個(gè)人信息主體權(quán)益造成顯著影響的(例如,自動(dòng)決定個(gè)人征信及貸款額度,或用于面試人員的自動(dòng)化篩選等),應(yīng):

在規(guī)劃設(shè)計(jì)階段或首次使用前開(kāi)展個(gè)人信息安全影響評(píng)估,并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施;b) 在使用過(guò)程中定期(至少每年一次)開(kāi)展個(gè)人信息安全影響評(píng)估,并依評(píng)估結(jié)果改進(jìn)保護(hù)個(gè)人信息主體的措施;

向個(gè)人信息主體提供針對(duì)自動(dòng)決策結(jié)果的投訴渠道,并支持對(duì)自動(dòng)決策結(jié)果的人工復(fù)核。

8.個(gè)人信息主體的權(quán)利

8.1 個(gè)人信息查詢

個(gè)人信息控制者應(yīng)向個(gè)人信息主體提供查詢下列信息的方法:

其所持有的關(guān)于該主體的個(gè)人信息或個(gè)人信息的類型;

上述個(gè)人信息的來(lái)源、所用于的目的;

已經(jīng)獲得上述個(gè)人信息的第三方身份或類型。

注:個(gè)人信息主體提出查詢非其主動(dòng)提供的個(gè)人信息時(shí),個(gè)人信息控制者可在綜合考慮不響應(yīng)請(qǐng)求可能對(duì)個(gè)人信息主體合法權(quán)益帶來(lái)的風(fēng)險(xiǎn)和損害,以及技術(shù)可行性、實(shí)現(xiàn)請(qǐng)求的成本等因素后,作出是否響應(yīng)的決定,并給出解釋說(shuō)明。

8.2 個(gè)人信息更正

個(gè)人信息主體發(fā)現(xiàn)個(gè)人信息控制者所持有的該主體的個(gè)人信息有錯(cuò)誤或不完整的,個(gè)人信息控制者應(yīng)為其提供請(qǐng)求更正或補(bǔ)充信息的方法。

8.3 個(gè)人信息刪除

對(duì)個(gè)人信息控制者的要求包括:

符合以下情形,個(gè)人信息主體要求刪除的,應(yīng)及時(shí)刪除個(gè)人信息:

個(gè)人信息控制者違反法律法規(guī)規(guī)定,收集、使用個(gè)人信息的;

個(gè)人信息控制者違反與個(gè)人信息主體的約定,收集、使用個(gè)人信息的。

個(gè)人信息控制者違反法律法規(guī)規(guī)定或違反與個(gè)人信息主體的約定向第三方共享、轉(zhuǎn)讓個(gè)人信息,且個(gè)人信息主體要求刪除的,個(gè)人信息控制者應(yīng)立即停止共享、轉(zhuǎn)讓的行為,并通知第三方及時(shí)刪除;

個(gè)人信息控制者違反法律法規(guī)規(guī)定或違反與個(gè)人信息主體的約定,公開(kāi)披露個(gè)人信息,且個(gè)人信息主體要求刪除的,個(gè)人信息控制者應(yīng)立即停止公開(kāi)披露的行為,并發(fā)布通知要求相關(guān)接收方刪除相應(yīng)的信息。

8.4 個(gè)人信息主體撤回授權(quán)同意

對(duì)個(gè)人信息控制者的要求包括:

應(yīng)向個(gè)人信息主體提供撤回收集、使用其個(gè)人信息的授權(quán)同意的方法。撤回授權(quán)同意后,個(gè)人信息控制者后續(xù)不應(yīng)再處理相應(yīng)的個(gè)人信息;

應(yīng)保障個(gè)人信息主體拒絕接收基于其個(gè)人信息推送商業(yè)廣告的權(quán)利。對(duì)外共享、轉(zhuǎn)讓、公開(kāi)披露個(gè)人信息,應(yīng)向個(gè)人信息主體提供撤回授權(quán)同意的方法。

注:撤回授權(quán)同意不影響撤回前基于授權(quán)同意的個(gè)人信息處理。

8.5 個(gè)人信息主體注銷賬戶

對(duì)個(gè)人信息控制者的要求包括:

通過(guò)注冊(cè)賬戶提供產(chǎn)品或服務(wù)的個(gè)人信息控制者,應(yīng)向個(gè)人信息主體提供注銷賬戶的方法,且方法簡(jiǎn)便易操作;

受理注銷賬戶請(qǐng)求后,需要人工處理的,應(yīng)在承諾時(shí)限內(nèi)(不超過(guò)15個(gè)工作日)完成核查和處理;

注銷過(guò)程如需進(jìn)行身份核驗(yàn),要求個(gè)人信息主體再次提供的個(gè)人信息類型不應(yīng)多于注冊(cè)、使用等服務(wù)環(huán)節(jié)收集的個(gè)人信息類型;

注銷過(guò)程不應(yīng)設(shè)置不合理的條件或提出額外要求增加個(gè)人信息主體義務(wù),如注銷單個(gè)賬戶視同注銷多個(gè)產(chǎn)品或服務(wù),要求個(gè)人信息主體填寫精確的歷史操作記錄作為注銷的必要條件等;

注1:多個(gè)產(chǎn)品或服務(wù)之間存在必要業(yè)務(wù)關(guān)聯(lián)關(guān)系的,例如,一旦注銷某個(gè)產(chǎn)品或服務(wù)的賬戶,將會(huì)導(dǎo)致其他產(chǎn)品或服務(wù)的必要業(yè)務(wù)功能無(wú)法實(shí)現(xiàn)或者服務(wù)質(zhì)量明顯下降的,需向個(gè)人信息主體進(jìn)行詳細(xì)說(shuō)明。

注2:產(chǎn)品或服務(wù)沒(méi)有獨(dú)立的賬戶體系的,可采取對(duì)該產(chǎn)品或服務(wù)賬號(hào)以外其他個(gè)人信息進(jìn)行刪除,并切斷賬戶體系與產(chǎn)品或服務(wù)的關(guān)聯(lián)等措施實(shí)現(xiàn)注銷。

注銷賬戶的過(guò)程需收集個(gè)人敏感信息核驗(yàn)身份時(shí),應(yīng)明確對(duì)收集個(gè)人敏感信息后的處理措施,如達(dá)成目的后立即刪除或匿名化處理等;

個(gè)人信息主體注銷賬戶后,應(yīng)及時(shí)刪除其個(gè)人信息或匿名化處理。因法律規(guī)規(guī)定需要留存?zhèn)€人信息的,不能再次將其用于日常業(yè)務(wù)活動(dòng)中。

8.6 個(gè)人信息主體獲取個(gè)人信息副本

根據(jù)個(gè)人信息主體的請(qǐng)求,個(gè)人信息控制者宜為個(gè)人信息主體提供獲取以下類型個(gè)人信息副本的方法,或在技術(shù)可行的前提下直接將以下類型個(gè)人信息的副本傳輸給個(gè)人信息主體指定的第三方:

本人的基本資料、身份信息;

本人的健康生理信息、教育工作信息。

8.7 響應(yīng)個(gè)人信息主體的請(qǐng)求

對(duì)個(gè)人信息控制者的要求包括:

在驗(yàn)證個(gè)人信息主體身份后,應(yīng)及時(shí)響應(yīng)個(gè)人信息主體基于8.1~8.6提出的請(qǐng)求,應(yīng)在三十天內(nèi)或法律法規(guī)規(guī)定的期限內(nèi)作出答復(fù)及合理解釋,并告知個(gè)人信息主體外部糾紛解決途徑;

采用交互式頁(yè)面(如網(wǎng)站、移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序、客戶端軟件等)提供產(chǎn)品或服務(wù)的,宜直接設(shè)置便捷的交互式頁(yè)面提供功能或選項(xiàng),便于個(gè)人信息主體在線行使其訪問(wèn)、更正、刪除、撤回授權(quán)同意、注銷賬戶等權(quán)利;

對(duì)合理的請(qǐng)求原則上不收取費(fèi)用,但對(duì)一定時(shí)期內(nèi)多次重復(fù)的請(qǐng)求,可視情收取一定成本費(fèi)用;

直接實(shí)現(xiàn)個(gè)人信息主體的請(qǐng)求需要付出高額成本或存在其他顯著困難的,個(gè)人信息控制者應(yīng)向個(gè)人信息主體提供替代方法,以保障個(gè)人信息主體的合法權(quán)益;

以下情行可不響應(yīng)個(gè)人信息主體基于8.1~8.6提出的請(qǐng)求,包括:

與個(gè)人信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的;

與國(guó)家安全、國(guó)防安全直接相關(guān)的;

與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的;

與刑事偵查、起訴、審判和執(zhí)行判決等直接相關(guān)的;

個(gè)人信息控制者有充分證據(jù)表明個(gè)人信息主體存在主觀惡意或?yàn)E用權(quán)利的;

出于維護(hù)個(gè)人信息主體或其他個(gè)人的生命、財(cái)產(chǎn)等重大合法權(quán)益但又很難得到本人授權(quán)同意的;

響應(yīng)個(gè)人信息主體的請(qǐng)求將導(dǎo)致個(gè)人信息主體或其他個(gè)人、組織的合法權(quán)益受到嚴(yán)重?fù)p害的;

涉及商業(yè)秘密的。

如決定不響應(yīng)個(gè)人信息主體的請(qǐng)求,應(yīng)向個(gè)人信息主體告知該決定的理由,并向個(gè)人信息主體提供投訴的途徑。

8.8 投訴管理

個(gè)人信息控制者應(yīng)建立投訴管理機(jī)制和投訴跟蹤流程,并在合理的時(shí)間內(nèi)對(duì)投訴進(jìn)行響應(yīng)。

9.個(gè)人信息的委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露

9.1 委托處理

個(gè)人信息控制者委托第三方處理個(gè)人信息時(shí),應(yīng)符合以下要求:

個(gè)人信息控制者作出委托行為,不應(yīng)超出已征得個(gè)人信息主體授權(quán)同意的范圍或應(yīng)遵守5.6所列情形;

個(gè)人信息控制者應(yīng)對(duì)委托行為進(jìn)行個(gè)人信息安全影響評(píng)估,確保受委托者達(dá)到

11.5的數(shù)據(jù)安全能力要求;c) 受委托者應(yīng):

嚴(yán)格按照個(gè)人信息控制者的要求處理個(gè)人信息。受委托者因特殊原因未按照個(gè)人信息控制者的要求處理個(gè)人信息的,應(yīng)及時(shí)向個(gè)人信息控制者反饋;

受委托者確需再次委托時(shí),應(yīng)事先征得個(gè)人信息控制者的授權(quán);

協(xié)助個(gè)人信息控制者響應(yīng)個(gè)人信息主體基于8.1~8.6提出的請(qǐng)求;

受委托者在處理個(gè)人信息過(guò)程中無(wú)法提供足夠的安全保護(hù)水平或發(fā)生了安全事件的,應(yīng)及時(shí)向個(gè)人信息控制者反饋;

在委托關(guān)系解除時(shí)不再存儲(chǔ)相關(guān)個(gè)人信息。

個(gè)人信息控制者應(yīng)對(duì)受委托者進(jìn)行監(jiān)督,方式包括但不限于:

通過(guò)合同等方式規(guī)定受委托者的責(zé)任和義務(wù);

對(duì)受委托者進(jìn)行審計(jì)。

個(gè)人信息控制者應(yīng)準(zhǔn)確記錄和存儲(chǔ)委托處理個(gè)人信息的情況;

個(gè)人信息控制者得知或者發(fā)現(xiàn)受委托者未按照委托要求處理個(gè)人信息,或未能有效履行個(gè)人信息安全保護(hù)責(zé)任的,應(yīng)立即要求受托者停止相關(guān)行為,且采取或要求受委托者采取有效補(bǔ)救措施(如更改口令、回收權(quán)限、斷開(kāi)網(wǎng)絡(luò)連接等)控制或消除個(gè)人信息面臨的安全風(fēng)險(xiǎn)。必要時(shí)個(gè)人信息控制者應(yīng)終止與受委托

者的業(yè)務(wù)關(guān)系,并要求受委托者及時(shí)刪除從個(gè)人信息控制者獲得的個(gè)人信息。

9.2 個(gè)人信息共享、轉(zhuǎn)讓

個(gè)人信息控制者共享、轉(zhuǎn)讓個(gè)人信息時(shí),應(yīng)充分重視風(fēng)險(xiǎn)。共享、轉(zhuǎn)讓個(gè)人信息,非因收購(gòu)、兼并、重組、破產(chǎn)原因的,應(yīng)符合以下要求:

事先開(kāi)展個(gè)人信息安全影響評(píng)估,并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施;

向個(gè)人信息主體告知共享、轉(zhuǎn)讓個(gè)人信息的目的、數(shù)據(jù)接收方的類型以及可能產(chǎn)生的后果,并事先征得個(gè)人信息主體的授權(quán)同意。共享、轉(zhuǎn)讓經(jīng)去標(biāo)識(shí)化處理的個(gè)人信息,且確保數(shù)據(jù)接收方無(wú)法重新識(shí)別或者關(guān)聯(lián)個(gè)人信息主體的除外;

共享、轉(zhuǎn)讓個(gè)人敏感信息前,除 b)中告知的內(nèi)容外,還應(yīng)向個(gè)人信息主體告知涉及的個(gè)人敏感信息類型、數(shù)據(jù)接收方的身份和數(shù)據(jù)安全能力,并事先征得個(gè)人信息主體的明示同意;

通過(guò)合同等方式規(guī)定數(shù)據(jù)接收方的責(zé)任和義務(wù);

準(zhǔn)確記錄和存儲(chǔ)個(gè)人信息的共享、轉(zhuǎn)讓情況,包括共享、轉(zhuǎn)讓的日期、規(guī)模、目的,以及數(shù)據(jù)接收方基本情況等;

個(gè)人信息控制者發(fā)現(xiàn)數(shù)據(jù)接收方違反法律法規(guī)要求或雙方約定處理個(gè)人信息的,應(yīng)立即要求數(shù)據(jù)接收方停止相關(guān)行為,且采取或要求數(shù)據(jù)接收方采取有效補(bǔ)救措施(如更改口令、回收權(quán)限、斷開(kāi)網(wǎng)絡(luò)連接等)控制或消除個(gè)人信息面臨的安全風(fēng)險(xiǎn);必要時(shí)個(gè)人信息控制者應(yīng)解除與數(shù)據(jù)接收方的業(yè)務(wù)關(guān)系,并要求數(shù)據(jù)接收方及時(shí)刪除從個(gè)人信息控制者獲得的個(gè)人信息;

因共享、轉(zhuǎn)讓個(gè)人信息發(fā)生安全事件而對(duì)個(gè)人信息主體合法權(quán)益造成損害的,個(gè)人信息控制者應(yīng)承擔(dān)相應(yīng)的責(zé)任;

幫助個(gè)人信息主體了解數(shù)據(jù)接收方對(duì)個(gè)人信息的存儲(chǔ)、使用等情況,以及個(gè)人信息主體的權(quán)利,例如,訪問(wèn)、更正、刪除、注銷賬戶等;

個(gè)人生物識(shí)別信息原則上不應(yīng)共享、轉(zhuǎn)讓。因業(yè)務(wù)需要,確需共享、轉(zhuǎn)讓的,應(yīng)單獨(dú)向個(gè)人信息主體告知目的、涉及的個(gè)人生物識(shí)別信息類型、數(shù)據(jù)接收方的具體身份和數(shù)據(jù)安全能力等,并征得個(gè)人信息主體的明示同意。

9.3 收購(gòu)、兼并、重組、破產(chǎn)時(shí)的個(gè)人信息轉(zhuǎn)讓

當(dāng)個(gè)人信息控制者發(fā)生收購(gòu)、兼并、重組、破產(chǎn)等變更時(shí),對(duì)個(gè)人信息控制者的要求包括:

向個(gè)人信息主體告知有關(guān)情況;

變更后的個(gè)人信息控制者應(yīng)繼續(xù)履行原個(gè)人信息控制者的責(zé)任和義務(wù),如變更個(gè)人信息使用目的時(shí),應(yīng)重新取得個(gè)人信息主體的明示同意;c) 如破產(chǎn)且無(wú)承接方的,對(duì)數(shù)據(jù)做刪除處理。

9.4 個(gè)人信息公開(kāi)披露

個(gè)人信息原則上不應(yīng)公開(kāi)披露。個(gè)人信息控制者經(jīng)法律授權(quán)或具備合理事由確需公開(kāi)披露時(shí),應(yīng)符合以下要求:

事先開(kāi)展個(gè)人信息安全影響評(píng)估,并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施;

向個(gè)人信息主體告知公開(kāi)披露個(gè)人信息的目的、類型,并事先征得個(gè)人信息主體明示同意;

公開(kāi)披露個(gè)人敏感信息前,除 b)中告知的內(nèi)容外,還應(yīng)向個(gè)人信息主體告知涉及的個(gè)人敏感信息的內(nèi)容;

準(zhǔn)確記錄和存儲(chǔ)個(gè)人信息的公開(kāi)披露的情況,包括公開(kāi)披露的日期、規(guī)模、目的、公開(kāi)范圍等;

承擔(dān)因公開(kāi)披露個(gè)人信息對(duì)個(gè)人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任;

不應(yīng)公開(kāi)披露個(gè)人生物識(shí)別信息;

不應(yīng)公開(kāi)披露我國(guó)公民的種族、民族、政治觀點(diǎn)、宗教信仰等個(gè)人敏感數(shù)據(jù)的分析結(jié)果。

9.5 共享、轉(zhuǎn)讓、公開(kāi)披露個(gè)人信息時(shí)事先征得授權(quán)同意的例外

以下情形中,個(gè)人信息控制者共享、轉(zhuǎn)讓、公開(kāi)披露個(gè)人信息不必事先征得個(gè)人信息主體的授權(quán)同意:

與個(gè)人信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的;

與國(guó)家安全、國(guó)防安全直接相關(guān)的;

與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的;

與刑事偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的;

出于維護(hù)個(gè)人信息主體或其他個(gè)人的生命、財(cái)產(chǎn)等重大合法權(quán)益但又很難得到本人授權(quán)同意的;

個(gè)人信息主體自行向社會(huì)公眾公開(kāi)的個(gè)人信息;

從合法公開(kāi)披露的信息中收集個(gè)人信息的,如合法的新聞報(bào)道、政府信息公開(kāi)等渠道。

9.6 共同個(gè)人信息控制者

對(duì)個(gè)人信息控制者的要求包括:

當(dāng)個(gè)人信息控制者與第三方為共同個(gè)人信息控制者時(shí),個(gè)人信息控制者應(yīng)通過(guò)合同等形式與第三方共同確定應(yīng)滿足的個(gè)人信息安全要求,以及在個(gè)人信息安全方面自身和第三方應(yīng)分別承擔(dān)的責(zé)任和義務(wù),并向個(gè)人信息主體明確告知;b)如未向個(gè)人信息主體明確告知第三方身份,以及在個(gè)人信息安全方面自身和第三方應(yīng)分別承擔(dān)的責(zé)任和義務(wù),個(gè)人信息控制者應(yīng)承擔(dān)因第三方引起的個(gè)人信息安全責(zé)任。

注:如個(gè)人信息控制者在提供產(chǎn)品或服務(wù)的過(guò)程中部署了收集個(gè)人信息的第三方插件(例如,網(wǎng)站經(jīng)營(yíng)者與在其網(wǎng)頁(yè)或應(yīng)用程序中部署統(tǒng)計(jì)分析工具、軟件開(kāi)發(fā)工具包SDK、調(diào)用地圖API接口),且該第三方并未單獨(dú)向個(gè)人信息主體征得收集個(gè)人信息的授權(quán)同意,則個(gè)人信息控制者與該第三方在個(gè)人信息收集階段為共同個(gè)人信息控制者。

9.7 第三方接入管理

當(dāng)個(gè)人信息控制者在其產(chǎn)品或服務(wù)中接入具備收集個(gè)人信息功能的第三方產(chǎn)品或服務(wù)且不適用9.1和9.6時(shí),對(duì)個(gè)人信息控制者的要求包括:

建立第三方產(chǎn)品或服務(wù)接入管理機(jī)制和工作流程,必要時(shí)應(yīng)建立安全評(píng)估等機(jī)制設(shè)置接入條件;

應(yīng)與第三方產(chǎn)品或服務(wù)提供者通過(guò)合同等形式明確雙方的安全責(zé)任及應(yīng)實(shí)施的個(gè)人信息安全措施;

應(yīng)向個(gè)人信息主體明確標(biāo)識(shí)產(chǎn)品或服務(wù)由第三方提供;

應(yīng)妥善留存平臺(tái)第三方接入有關(guān)合同和管理記錄,確??晒┫嚓P(guān)方查閱;

應(yīng)要求第三方根據(jù)本標(biāo)準(zhǔn)相關(guān)要求向個(gè)人信息主體征得收集個(gè)人信息的授權(quán)同意,必要時(shí)核驗(yàn)其實(shí)現(xiàn)的方式;

應(yīng)要求第三方產(chǎn)品或服務(wù)建立響應(yīng)個(gè)人信息主體請(qǐng)求和投訴等的機(jī)制,以供個(gè)人信息主體查詢、使用;

應(yīng)監(jiān)督第三方產(chǎn)品或服務(wù)提供者加強(qiáng)個(gè)人信息安全管理,發(fā)現(xiàn)第三方產(chǎn)品或服務(wù)沒(méi)有落實(shí)安全管理要求和責(zé)任的,應(yīng)及時(shí)督促整改,必要時(shí)停止接入;

產(chǎn)品或服務(wù)嵌入或接入第三方自動(dòng)化工具(如代碼、腳本、接口、算法模型、軟件開(kāi)發(fā)工具包、小程序等)的,宜采取以下措施:

開(kāi)展技術(shù)檢測(cè)確保其個(gè)人信息收集、使用行為符合約定要求;

對(duì)第三方嵌入或接入的自動(dòng)化工具收集個(gè)人信息的行為進(jìn)行審計(jì),發(fā)現(xiàn)超出約定的行為,及時(shí)切斷接入。

9.8 個(gè)人信息跨境傳輸

在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息向境外提供的,個(gè)人信息控制者應(yīng)遵循國(guó)家相關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)的要求。

10.個(gè)人信息安全事件處置

10.1 個(gè)人信息安全事件應(yīng)急處置和報(bào)告

對(duì)個(gè)人信息控制者的要求包括:

應(yīng)制定個(gè)人信息安全事件應(yīng)急預(yù)案;

應(yīng)定期(至少每年一次)組織內(nèi)部相關(guān)人員進(jìn)行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練,使其掌握崗位職責(zé)和應(yīng)急處置策略和規(guī)程;

發(fā)生個(gè)人信息安全事件后,個(gè)人信息控制者應(yīng)根據(jù)應(yīng)急響應(yīng)預(yù)案進(jìn)行以下處置:

記錄事件內(nèi)容,包括但不限于:發(fā)現(xiàn)事件的人員、時(shí)間、地點(diǎn),涉及的個(gè)人信息及人數(shù),發(fā)生事件的系統(tǒng)名稱,對(duì)其他互聯(lián)系統(tǒng)的影響,是否已聯(lián)系執(zhí)法機(jī)關(guān)或有關(guān)部門;

評(píng)估事件可能造成的影響,并采取必要措施控制事態(tài),消除隱患;

按照《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等有關(guān)規(guī)定及時(shí)上報(bào),報(bào)告內(nèi)容包括但不限于:涉及個(gè)人信息主體的類型、數(shù)量、內(nèi)容、性質(zhì)等總體情況,事件可能造成的影響,已采取或?qū)⒁扇〉奶幹么胧?,事件處置相關(guān)人員的聯(lián)系方式;

個(gè)人信息泄露事件可能會(huì)給個(gè)人信息主體的合法權(quán)益造成嚴(yán)重危害的,如個(gè)人敏感信息的泄露,按照10.2的要求實(shí)施安全事件的告知。

根據(jù)相關(guān)法律法規(guī)變化情況,以及事件處置情況,及時(shí)更新應(yīng)急預(yù)案。

10.2 安全事件告知

對(duì)個(gè)人信息控制者的要求包括:

應(yīng)及時(shí)將事件相關(guān)情況以郵件、信函、電話、推送通知等方式告知受影響的個(gè)人信息主體。難以逐一告知個(gè)人信息主體時(shí),應(yīng)采取合理、有效的方式發(fā)布與公眾有關(guān)的警示信息;

告知內(nèi)容應(yīng)包括但不限于:

安全事件的內(nèi)容和影響;

已采取或?qū)⒁扇〉奶幹么胧?/p>

個(gè)人信息主體自主防范和降低風(fēng)險(xiǎn)的建議;

針對(duì)個(gè)人信息主體提供的補(bǔ)救措施;

個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)的聯(lián)系方式。

11.組織的個(gè)人信息安全管理要求

11.1 明確責(zé)任部門與人員

對(duì)個(gè)人信息控制者的要求包括:

應(yīng)明確其法定代表人或主要負(fù)責(zé)人對(duì)個(gè)人信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任,包括為個(gè)人信息安全工作提供人力、財(cái)力、物力保障等;

應(yīng)任命個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu),個(gè)人信息保護(hù)負(fù)責(zé)人應(yīng)由具有相關(guān)管理工作經(jīng)歷和個(gè)人信息保護(hù)專業(yè)知識(shí)的人員擔(dān)任,參與有關(guān)個(gè)人信息處理活動(dòng)的重要決策直接向組織主要負(fù)責(zé)人報(bào)告工作;

滿足以下條件之一的組織,應(yīng)設(shè)立專職的個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu),負(fù)責(zé)個(gè)人信息安全工作:

主要業(yè)務(wù)涉及個(gè)人信息處理,且從業(yè)人員規(guī)模大于200人;

處理超過(guò)100萬(wàn)人的個(gè)人信息,或預(yù)計(jì)在12個(gè)月內(nèi)處理超過(guò)100萬(wàn)人的個(gè)人信息;

處理超過(guò)10萬(wàn)人的個(gè)人敏感信息的。

個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)的職責(zé)應(yīng)包括但不限于:

全面統(tǒng)籌實(shí)施組織內(nèi)部的個(gè)人信息安全工作,對(duì)個(gè)人信息安全負(fù)直接責(zé)任;

組織制定個(gè)人信息保護(hù)工作計(jì)劃并督促落實(shí);

制定、簽發(fā)、實(shí)施、定期更新個(gè)人信息保護(hù)政策和相關(guān)規(guī)程;

建立、維護(hù)和更新組織所持有的個(gè)人信息清單(包括個(gè)人信息的類型、數(shù)量、來(lái)源、接收方等)和授權(quán)訪問(wèn)策略;

開(kāi)展個(gè)人信息安全影響評(píng)估,提出個(gè)人信息保護(hù)的對(duì)策建議,督促整改安全隱患;

組織開(kāi)展個(gè)人信息安全培訓(xùn);

在產(chǎn)品或服務(wù)上線發(fā)布前進(jìn)行檢測(cè),避免未知的個(gè)人信息收集、使用、共享等處理行為;

公布投訴、舉報(bào)方式等信息并及時(shí)受理投訴舉報(bào);

進(jìn)行安全審計(jì);

與監(jiān)督、管理部門保持溝通,通報(bào)或報(bào)告?zhèn)€人信息保護(hù)和事件處置等情況。

應(yīng)為個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)提供必要的資源,保障其獨(dú)立履行職責(zé)。

11.2 個(gè)人信息安全工程

開(kāi)發(fā)具有處理個(gè)人信息功能的產(chǎn)品或服務(wù)時(shí),個(gè)人信息控制者宜根據(jù)國(guó)家有關(guān)標(biāo)準(zhǔn)在需求、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、發(fā)布等系統(tǒng)工程階段考慮個(gè)人信息保護(hù)要求,保證在系統(tǒng)建設(shè)時(shí)對(duì)個(gè)人信息保護(hù)措施同步規(guī)劃、同步建設(shè)和同步使用。

11.3 個(gè)人信息處理活動(dòng)記錄

個(gè)人信息控制者宜建立、維護(hù)和更新所收集、使用的個(gè)人信息處理活動(dòng)記錄,記錄的內(nèi)容可包括:

所涉及個(gè)人信息的類型、數(shù)量、來(lái)源(如從個(gè)人信息主體直接收集或通過(guò)間接獲取方式獲得);

根據(jù)業(yè)務(wù)功能和授權(quán)情況區(qū)分個(gè)人信息的處理目的、使用場(chǎng)景,以及委托處理、共享、轉(zhuǎn)讓、公開(kāi)披露、是否涉及出境等情況;

與個(gè)人信息處理活動(dòng)各環(huán)節(jié)相關(guān)的信息系統(tǒng)、組織或人員。

11.4 開(kāi)展個(gè)人信息安全影響評(píng)估

對(duì)個(gè)人信息控制者的要求包括:

應(yīng)建立個(gè)人信息安全影響評(píng)估制度,評(píng)估并處置個(gè)人信息處理活動(dòng)存在的安全風(fēng)險(xiǎn);

個(gè)人信息安全影響評(píng)估應(yīng)主要評(píng)估處理活動(dòng)遵循個(gè)人信息安全基本原則的情況,以及個(gè)人信息處理活動(dòng)對(duì)個(gè)人信息主體合法權(quán)益的影響,內(nèi)容包括但不限于:

個(gè)人信息收集環(huán)節(jié)是否遵循目的明確、選擇同意、最小必要等原則;

個(gè)人信息處理是否可能對(duì)個(gè)人信息主體合法權(quán)益造成不利影響,包括是否

會(huì)危害人身和財(cái)產(chǎn)安全、損害個(gè)人名譽(yù)和身心健康、導(dǎo)致差別性待遇等;

個(gè)人信息安全措施的有效性;

匿名化或去標(biāo)識(shí)化處理后的數(shù)據(jù)集重新識(shí)別出個(gè)人信息主體或與其他數(shù)據(jù)集匯聚后重新識(shí)別出個(gè)人信息主體的風(fēng)險(xiǎn);

共享、轉(zhuǎn)讓、公開(kāi)披露個(gè)人信息對(duì)個(gè)人信息主體合法權(quán)益可能產(chǎn)生的不利影響;

發(fā)生安全事件時(shí),對(duì)個(gè)人信息主體合法權(quán)益可能產(chǎn)生的不利影響。

在產(chǎn)品或服務(wù)發(fā)布前,或業(yè)務(wù)功能發(fā)生重大變化時(shí),應(yīng)進(jìn)行個(gè)人信息安全影響評(píng)估;

在法律法規(guī)有新的要求時(shí),或在業(yè)務(wù)模式、信息系統(tǒng)、運(yùn)行環(huán)境發(fā)生重大變更時(shí),或發(fā)生重大個(gè)人信息安全事件時(shí),應(yīng)進(jìn)行個(gè)人信息安全影響評(píng)估;

形成個(gè)人信息安全影響評(píng)估報(bào)告,并以此采取保護(hù)個(gè)人信息主體的措施,使風(fēng)險(xiǎn)降低到可接受的水平;

妥善留存?zhèn)€人信息安全影響評(píng)估報(bào)告,確??晒┫嚓P(guān)方查閱,并以適宜的形式對(duì)外公開(kāi)。

11.5 數(shù)據(jù)安全能力

個(gè)人信息控制者應(yīng)根據(jù)有關(guān)國(guó)家標(biāo)準(zhǔn)的要求,建立適當(dāng)?shù)臄?shù)據(jù)安全能力,落實(shí)必要的管理和技術(shù)措施,防止個(gè)人信息的泄漏、損毀、丟失、篡改。

11.6 人員管理與培訓(xùn)

對(duì)個(gè)人信息控制者的要求包括:

應(yīng)與從事個(gè)人信息處理崗位上的相關(guān)人員簽署保密協(xié)議,對(duì)大量接觸個(gè)人敏感信息的人員進(jìn)行背景審查,以了解其犯罪記錄、誠(chéng)信狀況等;

應(yīng)明確內(nèi)部涉及個(gè)人信息處理不同崗位的安全職責(zé),建立發(fā)生安全事件的處罰機(jī)制;

應(yīng)要求個(gè)人信息處理崗位上的相關(guān)人員在調(diào)離崗位或終止勞動(dòng)合同時(shí),繼續(xù)履行保密義務(wù);

應(yīng)明確可能訪問(wèn)個(gè)人信息的外部服務(wù)人員應(yīng)遵守的個(gè)人信息安全要求,與其簽署保密協(xié)議,并進(jìn)行監(jiān)督;

應(yīng)建立相應(yīng)的內(nèi)部制度和政策對(duì)員工提出個(gè)人信息保護(hù)的指引和要求;

應(yīng)定期(至少每年一次)或在個(gè)人信息保護(hù)政策發(fā)生重大變化時(shí),對(duì)個(gè)人信息處理崗位上的相關(guān)人員開(kāi)展個(gè)人信息安全專業(yè)化培訓(xùn)和考核,確保相關(guān)人員熟練掌握個(gè)人信息保護(hù)政策和相關(guān)規(guī)程。

11.7 安全審計(jì)

對(duì)個(gè)人信息控制者的要求包括:

應(yīng)對(duì)個(gè)人信息保護(hù)政策、相關(guān)規(guī)程和安全措施的有效性進(jìn)行審計(jì);

應(yīng)建立自動(dòng)化審計(jì)系統(tǒng),監(jiān)測(cè)記錄個(gè)人信息處理活動(dòng);

審計(jì)過(guò)程形成的記錄應(yīng)能對(duì)安全事件的處置、應(yīng)急響應(yīng)和事后調(diào)查提供支撐;

應(yīng)防止非授權(quán)訪問(wèn)、篡改或刪除審計(jì)記錄;

應(yīng)及時(shí)處理審計(jì)過(guò)程中發(fā)現(xiàn)的個(gè)人信息違規(guī)使用、濫用等情況;

審計(jì)記錄和留存時(shí)間應(yīng)符合法律法規(guī)的要求。

來(lái)源:網(wǎng)絡(luò)