声明

本文是学习360 企业个人信息合规思路与实践报告 2021. 下载地址 http://github5.com/view/1273而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

第二章 处理的原则要求

一. 合法、正当、必要

合法基础 11 同意12

更多合法基础,如履行合同所必须等参考最新个人信息保护法。

二. 原则拆解

《信息安全技术 个人信息安全规范》(GB/T 35273-2020)对合法、正当、必要原则的拆解如下:

( ) 权责一致

采取技术和其他必要的措施确保个人信息安全,就其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。

组织、制度、技术措施必须有,且有书面或其他形式的留存。

( ) 目的明确

具有明确、清晰、具体的个人信息处理目的。必须属实且尽可能穷尽,避免功能调试超出原始目的,造成需要二次同意的局面,甚至被评定为未经用户同意收集个人信息的后果。

(三) 公开透明

以明确、易懂、合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。必须有完备的隐私政策,告知清楚、全面,且不能用“等”、“例如”字样。

(四) 选择同意

应向用户明示处理个人信息的目的、规则、范围等征得用户授权同意。一般所有用户个人信息的处理行为都必须要明示、且经用户明确同意。如业务认为有可不经同意的情形,必须经过公司合规评估部门的谨慎评估,必要情况需进一步咨询监管部门。

(五) 最小必要

只处理满足用户授权同意的目的所需要的最少个人信息类型和数量,目的达到后应及时删除。

(六) 确保安全

具备与风险匹配的安全能力,采取足够的组织、制度、技术、管理等措施, 保护个人信息的保密性、完整性、可用性。

(七)主体参与

向用户提供显著的、易于操作的,访问(查询)、删除、更正、撤回授权同意、注销账户及投诉等方法途径。一般能够在产品界面完成的尽量做在产品界面,如产品界面难以实现的,提供有效的联系沟通方式。

第三章 处理行为要求

. 收集

( ) 收集的合法基础

告知、同意

企业应当向用户告知收集、使用的目的、方式和范围等规则,同时征得明示同意征得同意前不得收集个人信息或通过 Cookies 等同类技术或通过调用权限、接口等方式收集个人信息),15并告知不同意的后果;同时应将用户主动点击、勾选、填写等作为功能开启的条件,确保功能开启后才可收集用户个人信息16。

告知的内容: 应真实、准确、完整。例如,逐一列明功能、所收集的个人信息、权限等;当在强关联的场景下,则说明个人信息收集的目的、方式、范围、提供个人信息可能导致的风险、不提供的后果、处理行为与处理规则、保护措施、用户权利、投诉、申诉、举报的方式,采取要求用户明示同意,并给予用户撤回同意的渠道的方法。

明示同意: 在首次运行、用户注册时,通过弹窗、突出链接方式提醒用户阅读隐私政策;如果通过设置“下一步”“注册”“登录代表同意”等方式,应说明点击或执行前述动作与同意隐私政策之间的关系。如点击即代表同意本隐私政策等17。设置预选框的,由用户自主打勾,而非提前默认已勾选。(此点仍需紧密关注最新监管执法要求)

将用户的主动填写、点击、勾选等主动行为作为收集个人信息的前提。

告知、同意方案

多层次告知, 即采用一般告知、增强告知、以及即时提示三个层次来告知用户。弱化隐私政策的授权同意机制,在产品过程中体现交互性告知,如通过弹窗、用户提交、用户主动点击等方式;除一般告知外,个人信息处理关键规则应进行增强告知,比如将字体进行加粗、斜体化处理等;收集敏感个人信息时,需要做到即时提示,以明确告知收集的类型、目的、方式、范围,确保用户完全知情,且自主、具体、明确的同意。(收集敏感个人信息时,通过显著方式告知目的,且目的明确、易懂;18)

收集个人生物识别信息 ,收集前单独告知目的、方式、范围、存储时间等专门规则,并征得明示同意

收集满 14 周岁未成年人的个人信息前,征得未成年或监护人同意;未成年

人不满 14 周岁的周岁的,只能监护人同意,且对监护人有适当的核验。

【一般规则】:

  • 合规最低要求为对收集的个人信息至少在隐私政策中说明。

  • 收集面部识别、生理健康、银行金融、行踪轨迹信息 等敏感信息, 最好有单独弹窗提示并让用户点击同意;如果无法由用户单独点击同意,至少有浮窗或者备注进行说明。

  • 所有行车记录仪、扫地机、儿童手表、路由器 等物联网产品、固件, 均需要在说明书中说明收集个人信息情况,同时采取如添加隐私政策二维码等方式告知用户关于个人信息处理活动等方面的内容。

  • 所有行车记录仪、扫地机、儿童手表、路由器等物联网产品、固件, 如果连接家庭类 App,需在该等家庭类 App 个人信息保护政策中说明;如果没有此类 App,则需在公司网站主页个人信息保护政策中说明。

场景示例 1 – 一款智能家居产品(例如扫地机)可以通过手机 App 进行操作和功能控制,在用户下载 App 后、注册成为用户前,应当通过个人信息保护政策告知智能家居产品收集处理个人信息的目的、方式、种类等。通过专门针对智能家居产品的个人信息保护政策或者链接到公司网站的一般个人信息保护政策,均为一般告知。在智能家居产品的说明书中还可以附上个人信息保护政策全文或者摘要,以便说明。
场景示例 2 -一款智能家居产品(例如智能门锁)可以通过手机 App 进行操作和功能控制,在用户下载 App 后、注册成为用户后,如果需要启动指纹或者人脸识别开锁功能,应当单独弹窗提示用户是否授权、告知具体的目的,以满足法律要求敏感信息单独告知并获得用户同意的要求。
场景示例 3 – 如一款购物App 在用户订单界面备注显示“我们仅提供流水订单号、商品名称和交易金额给第三方支付机构以完成支付,我们不会从第三方支付机构获取您的银行卡号和密码等信息。”同时, 在个人信息保护政策中申明“为了满足反洗钱要求,我们可能会在满足法律规定的条件下,分享您的账户信息、联系方式、地址、所购买的商品名称信息。”

再次告知、征得同意

当收集的目的、方式、范围 等重要因素发生变化的,应当再次告知,。可采取等收集使用规则,并征得用户同意。可采取更新隐私政策等收集使用规则的方式,并通过推送消息、邮件、弹窗、着重提示等方式提醒用户阅读发生变化的条款。

其他合法基础

在以下情形下,不需要征得用户同意20:

  • 为订立或者履行个人作为一方当事人的合同所必需;
  • 为履行法定职责或者法定义务所必需;
  • 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
  • 依照本法规定在合理的范围内处理已公开的个人信息;
  • 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息
  • 法律、行政法规规定的其他情形。

( ) 收集的最小必要原则

  1. 收集个人信息的类型、开启的权限应与实现产品或服务的业务功能有直接关联(直接关联是指没有上述个人信息,产品或服务的功能在技术上无法实现);
  2. 自动采集个人信息的频率应是实现产品或服务业务功能所必需的最低频率;
  3. 获取个人信息数量应是实现产品或服务的功能所必需的最少数量;
  4. 开启的权限数量应是实现产品或服务的业务功能所必需的最少数量。

( ) 禁止行为

不能非法收集

  1. 不能以欺骗、诱骗、误导的方式收集个人信息;
  2. 不能隐瞒收集个人信息的功能;
  3. 不能从非法渠道获取个人信息;
  4. 不应收集禁止收集的个人信息、不能大规模收集种族、民族、政治观点、宗教信仰等敏感个人信息
  5. 个人生物识别信息应单独、显著征求同意;仅收集和存储摘要信息仅收集和存储摘要信息,避免收集原始数据。

我国关于个人信息保护的规定包括强制性法律规定和推荐性标准规定,在收集和处理个人信息时,如果违反法律强制性规定,将直接导致个人信息收集和处理违法。例如,《网络安全法》第四十一条要求运营者公开收集、使用规则,如果在 App 中没有隐私政策,或者隐私政策中没有收集使用个人信息规则,将直接违反法律规定,可能受到的处罚包括主管部门责令改正,警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

不能违反收集的必要原则

  1. 不应收集的个人信息类型或打开的可收集个人信息的权限与现有业务功能无关;
  2. 不应因用户不同意收集非必要个人信息或打开非必要权限拒绝提供业务功能;
  3. App 新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;
  4. 收集个人信息的频度等超出业务功能实际需要;在 App 未打开或处于后台运行状态时,不收集用户个人信息, 除非该业务功能需要后台运行时继续提供服务,如导航功能等;

注:在用户主动关闭 App 后,未经用户同意,没有较强必要性的情况下,不采用自启动、关联启动方式收集 个人信息。

  1. 不得以改善使用体验、提升服务质量,新产品研发**、增强安全性** 等为由强迫用户同意个人信息的收集或权限的开启22;(因文件规定不同,导致本条与强制捆绑部分有重合之处)
  2. 不得要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用
  3. 用户可以拒绝与功能相关但非必要的个人信息收集或权限的打开,如确需要收集,应事先征得用户的自主选择同意;
  4. 其他业务功能所需个人信息或权限,不应作为本功能的使用前提条件; 浏览/游客模式 ,不因用户拒绝提供其他个人信息或权限打开,而不能浏览。
  • 用户体验改进计划的修正 —在以“改善服务质量、提升用户体验、定向推送信息、研发新产品”为由收集个人信息时,需要在个人信息保护政策或者弹窗提示中具体描述改善的服务质量类别等,且确实与产品功能有关,不能泛泛地使用上述描述。例如,为了实现通话记录管理、备份恢复、骚扰电话拦截等功能,不能仅说明“我们将为了改善服务质量,申请通话记录权限组中的权限”,而是详细说明“我们将为了测试、提高通话记录管理、备份恢复、骚扰电话拦截功能, 申请通话记录权限组中的权限”。应尽可能对应到具体的功能中去, 如保障账户或运营安全(并进一步展开描述)26。如为了实现本目的,需要由用户自主选择开启或关闭
  • 收集IMEI 号、MAC 地址 等只能用于保障网络安全或运营安全以外的目的27保障网络安全或运营安全以外28(紧密关注《个人信息保护法》及时调整),且不能过早**(至少不应在同意隐私政策之前)**申请相应权限或收集相应个人信息29。如连接设备等基本功能在技术上只能依赖这两个信息才能实现,需要进一步描述必要性。

不能强制捆绑

针对安卓端,建议 targetSdkVersion 值设置大于 26、不应小于 23。

企业不应通过声明机制,在安装 App 时要求用户一次性同意打开多个可收

集个人信息的权限。同时,在产品设计和开发时,企业应当注意:

  1. 不得以改善用户体验、提升服务质量,新产品研发等为由强迫用户同意个人信息的收集或权限的开启;
  2. 不能捆绑强迫用户接受某项或所有业务功能,不能一揽子征集所有授权、权限;
  3. 不能因用户不同意某部分个人信息的收集,而拒绝提供所有服务或其他服务功能,或降低其他功能的质量,即使是基本功能所必要的;
  4. 关闭或退出业务功能的途径与选择使用的途径方法同样便利,用户关闭或退出功能后应停止收集个人信息。

禁止未公开收集使用规则30

  1. 禁止未明示收集使用个人信息的目的、方式和范围31

30《App 违法违规收集使用个人信息行为认定方法》第一条 未公开收集使用规则

禁止未公开收集使用规则:

  1. 在 App 中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
  2. 在 App 首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;
  3. 隐私政策等收集使用规则难以访问,如进入 App 主界面后,需多于 4 次点击等操作才能访问到;
  4. 隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

禁止未明示收集使用的目的、方式和范围:

  1. 未逐一列出 App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
  2. 收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
  3. 在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
  4. 有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。

禁止未经用户同意,私自收集使用个人信息32

在用户触达特定功能前,不得申请预先收集个人信息或申请开启相应权限,

32《App 违法违规收集使用个人信息行为认定方法》第三条 未经用户同意收集使用个人信息

禁止未经同意私自收集:

  1. 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限; 不应在征得用户同意前,利用 Cookie 等同类技术、或私自调用可收集用户个人信息的权限等方式收集个人信息
  2. 用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
    1. 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
  4. 以默认选择同意隐私政策等非明示方式征求用户同意;
  5. 未经用户同意更改其设置的可收集个人信息权限状态,如 App 更新时自动将用户设置的权限恢复到默认状态;
  6. 利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;
  7. 以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;
  8. 未向用户提供撤回同意收集个人信息的途径、方式;
  9. 违反其所声明的收集使用规则,收集使用个人信息。

实际收集的个人信息与隐私政策中声明的应保持一致。

禁止频繁征得同意

不得在用户明确拒绝使用某类服务后,频繁(每 48 小时超过 1 次) 要求用户同意该服务33

在 App 未打开或处于后台运行状态时,不得收集用户个人信息, 除非业务功能需要后台运行时继续提供服务,如在使用导航功能时。注:在用户主动关闭 App 后,未经用户同意不得采用自启动、关联启动方式收集个人信息。

关联启动体现为打开手机安装的某一个 App 软件,其他 App 软件同时被“唤醒”,在用户没有操作的情况下自启动,主要存在于安卓系统,导致耗电量、流量使用增加、占用CPU 和内存资源、暴露于恶意代码环境中等。关联启动主要用于消息推送和进程保活。例如,有的第三方推送 SDK 采用了联合唤醒的机制,只要使用了同一家的 SDK,启动其中一个 App 的时候就会唤醒其它所有集成了该家 SDK 的 App 推送进程,以保证所有 App 消息推送的送达率;用户长久不使用的 App,无法显示服务进程,一旦用户选择不主动打开App,就无法与用户进行任何通信,影响日活率。

目前有的手机硬件厂商提供安卓系统中展示和关闭关联启动的功能。

2017 年,由工信部指导成立的包含了主流手机厂商和用户基数大的 App 开发商组成的“安卓统一推送联盟”,旨在推动各应用运营者能够通过的统一推送服务的完成消息推送,各应用无需自己考虑消息推送的问题,把这

在用户实际使用相应功能前,不得收集相应的个人信息,申请相应的权限。 仅当用户用到功能时方可申请相应权限,弹窗或用户主动填写、用户主动点击选择

场景示例:不得下载安装前收集 MAC 地址等任何个人信息;不得提前申请权限,用到相应功能时方可申请相应权限。

个问题交由安卓系统层面去解决,从而避免自启动、关联启动方式的滥用。详见:安卓 App 通过“自启动/关联启动”唤醒会造成用户个人信息泄露吗?

“关联启动”为用户启动某一个 App 时,该 App 带动其他 App“自启动”。根据开发者设计的关联启动触发的组件不同,用户可能感知或者无感知。例如触发活动组件后用户前台可感知,触发服务组件后台运行用户无感知。

( ) 我方身份

企业需要说明主体的基本情况(主体身份、联系方式)。35通常,主体的选择(即“xxx 公司”)会和用户协议保持一致。

( ) 收集的数据类型

首先,企业需要判定、区分并显著标识 (字体加粗、色彩区分等方式)个人敏感信息,判断是否包含特殊数据类型,并进行特别的合规保护。例如, 是否包含生物识别信息、未成年人个人信息、宗教信仰、政治观点、性取向、婚史、未公开的违法犯罪记录、基因、疾病信息等。

( ) 收集来源方式

来源合法(见收集部分的“禁止行为”)

  1. 自主收集

  2. 通过产品或服务直接获取。不得私自收集(一般指未经用户的明示同意,弹窗、浮窗、文字备注等,未在隐私政策中充分说明。)

  3. 回传。需要与产品和服务的功能紧密关联,不必要的,不回传。

  4. 抓取。注意要点:

  5. 限于合法公开渠道可获取的,且避免敏感个人信息;考虑公开渠道的可靠性、准确性及安全性;

  6. 如非公开,抓取第三方的,必须事先获得明确的、书面的授权,对用户的授权进行必要核实并留存证明文件或痕迹;包括隐私政策、合同、承诺书、授权书、邮件往来、产品日志等;

  7. 考虑是否为被抓对象的重要商业利益数据,是否降低了被抓对象的竞争优势,损害其利益;

  8. 不得侵入他人计算机信息系统的方式获取,否则可能构成侵入计算机信息系统罪或非法获取计算机信息系统数据罪;如一定要抓,须征得被抓对象事前的、书面、明确的同意。

间接收集(从第三方获取)

一般情况,企业必须逐一列明所有第三方及收集使用的目的、方式、范围, 以及与功能的强关联性。

间接收集、处理的前提:以下需留存证明文件

  1. 应要求第三方说明其数据来源,并对其合法性进行确认;
  2. 应了解第三方已获得的授权同意的范围,目的、方式,是否允许转让、共享、公开披露、删除等;
  3. 超出原授权范围的,在获取个人信息后合理期限(越早越好)内或处理个人信息前征得个人信息主体的同意,或通过第三方征得个人信息主体的同意。
    从第三方获取个人信息的具体情形,请见委托处理、共享、转让、公开披露、第三方接入等部分。

. 存储

( ) 存储的告知同意

隐私政策需要说明存储的目的、方式、范围、存放地域,存放期限以及超期处理方式39。

( ) 存储地域范围

原则

企业在境内运营活动中收集的数据应存储在境内, 出境需要按法规要求评估,以《个人信息保护法》、《数据安全法》、《网络安全法》等法规最新要求为准。

关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储

因业务需要确需向境外提供的,需要依法经过评估。如何判断企业是否为关键信息基础设施,需要看关键信息技术设施相关法规细则或行业指导。

特殊领域的信息乃至所涉个人信息应存储在境内,出境需主管部门评估

( ) 存储形式

分类存储、加密存储

如没有较强必要的,则不要明文存储,企业必须采取必要的技术手段进行保护。

42 《中华人民共和国保守国家秘密法》。

43 《外商投资准入特别管理措施(负面清单)(2020 年版)》。

44 《风云气象卫星数据管理办法(试行)》。

45 《国家健康医疗大数据标准、安全和服务管理办法》(试行)。

46 《中国人民银行金融消费者权益保护实施办法》。

47 《外商投资期货公司管理办法》。

48 《证券基金经营机构信息技术管理办法》(2021 修订)。

49 《征信业管理条例》。

50 《人口健康信息管理办法(试行)》。

51 《人类遗传资源管理暂行办法》。

52 《网络预约出租汽车经营服务管理暂行办法》。

53 《地图管理条例》。

备份存储

企业应当提供本地数据备份功能,同时将备份介质进行场外存放,并具有异地数据备份功能。

应有以下不少于一种方式54:

  1. 应提供个人信息的本地数据备份与恢复功能,定期对备份数据进行恢复测试,保证数据可用性;
  2. 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
  3. 应提供重要数据处理系统的热冗余,保证系统的高可用性。

( ) 敏感个人信息的存储

  1. 企业应当做到对传输、存储阶段进行加密;
  2. 个人生物识别信息 55应与个人身份信息分开存储,且仅收集、使用存储摘要信息,在存储时采取加密存储。

原则上企业不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:

  1. 仅存储个人生物识别信息的摘要信息;
  2. 在采集终端中,直接使用个人生物识别信息实现身份识别、认证等功能;
  3. 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后,应删除可提取个人生物识别信息的原始图像。

( ) 匿名化

根据《个人信息保护法(草案)》(二次审议稿)以及《信息安全技术 个人信息安全规范》(GB/T 35273-2020)等,匿名化后的信息不属于个人信息。匿名化信息是指经过处理无法识别 特定个人且不能复原的信息。匿名化信息和非匿名化信息分开存储防止重标识

根据《互联网个人信息安全保护指南》第 6.3 条,经过匿名化或脱敏的方式处理的个人信息数据可用于历史、统计或科学目的,是指的信息。重标识 根据《互联网个人信息安全保护指南》,经过匿名化或脱敏的方式处理的个人信息数据可用于历史、统计或科学目的,可以超出与信息主体签署的相关使用协议和约定,但应提供适当的保护措施进行保护;

根据《网络安全法》以及第四十二条以及《民法典》第一百一十一条要求, 未经被收集者同意,不得向他人非法提供个人信息,但是经过加工无法识别特定个人且不能复原的除外。

《民法典》第 1038 条:未经被收集者同意,不得向他人非法提供个人信息,但是经过加工无法识别特定个人且不能复原的除外 。

《网络安全法》第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

2008 年国际标准化组织(ISO)发布了健康信息假名化技术规范 ISO/TS

25237:2008(E)。该规范描述了如何使用假名化服务替换直接标识符,实现对隐私敏感信息的脱敏。

2018 年 ISO 和国际电工委员会(IEC)发布了 ISO/IEC 20889,规定了去标识化有关的术语、技术以及应用原则。在该标准中,常用的去标识化技术包括统计技术、密码技术、抑制技术、假名化技术、泛化技术、随机化技术和数据合成技术,常用的去标识化模型包括 K-匿名模型和差分隐私模型。

2014 年 4 月,欧盟“第 29 条工作小组” (Article 29 Working Party) 通过了《第 05/2014 号意见: 匿名化技术》( Opinion 05/2014 on Anonymisation Techniques),专门分析了匿名化技术在欧盟数据保护法律框架下的有效性和局限性,并针对性地提出了建议。

在该意见中,匿名化技术主要包括随机化和泛化,包括加噪(noise addition)、置换(permutation)、差分隐私(differential privacy) 、聚合(aggregation)、k-匿名化(k-anonymity)、l-多样性(l-diversity)和 t-相近性(t-closeness)等技术。该意见解释了这些技术的原理、优势和可能存在的风险,以及使用每一项技术过程中常见的错误。其中,风险可分为直接识别风险、链接攻击风险和推理攻击风险。

场景示例 1-
方法 描述 举例
屏蔽 对标识符数据项进行抑制处理,对其进行删除或者隐藏。屏蔽可以针对整个数据项进行,也可以选择对 数据项的一部分进行 屏 蔽 身 份 证 号 —— “440524188001010014”时,可选 择 直 接 删 除 , 也 可 使 用 “440524********0014”代替
随机 使用随机产生或分配的数据代替原来的数据项,随机方法可以包括噪声添加、完全随机产生、数据项重排 置换等 中文姓名使用随机生成的姓和汉字表示,如使用随机生成的 “辰筹猎”代替“张三丰”
泛化 通过降低数据精度,使用概括、抽象的办法表示原有的数据项。对于数值型数据项,可以使用取整、取最大 值等方法对数据进行泛化 如实数数据“1.732”可以泛化为“1”;如“张三”可泛化为“张某”
加密 采用密码学方法对数据项进行变换,包括对称加密、非对称加密和杂凑运算等。如果需要保留原有数据项的某些特性,还可以使用保序加 密或保留格式加密等算法 如身高“1.73”可以加密为“1.46”
欧盟关于匿名化指引见:第 29 工作组“关于匿名化技术的意见” 中国关于匿名化标准见:《信息安全技术 个人信息去标识化指南(征求意见稿)》
场景示例 2- 经过处理无法识别个人的信息属于匿名化信息,需要采取技术措施防止重标识,重标识的方法包括:1)隔离:基于是否能唯一确定一个个人信息主体,将属于一个个人信息主体的记录隔离出来;2)关联:将不同数据集中关于相同个人信息主体的信息关联;3)推断:通过其它属性的值以一定概率推断出一个属性的值。58

( ) 去标识化

匿名化之外的去标识化,结合其他信息可以识别个人。去标识化,是指个

58《信息安全技术 个人信息去标识化指南(征求意见稿)》。

人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。59例如:假名、加密、哈希技术。而结合上文,相比下匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。

二者的区别在于,匿名化的技术手段更彻底,对个人信息保护的程度更高, 经过匿名化的个人信息无法再识别到个人,但是去标识化后的个人信息在借助额外信息的情况下仍可再次识别到个人。从法律性质上来看,个人信息匿名化处理后不再属于个人信息,而去标识化处理后仍属于个人信息。从效果上来看,匿名化后的个人信息不再是个人信息,直接对外提供更多需要满足商业上的要求;而去标识化是个人信息处理者内部对个人信息安全的一种保护手段。个人信息虽去标识化后仍属于个人信息,需要满足知情同意规则或其他个人信息处理合法性基础。60

常见的去标识化技术与模型包括:

  1. 统计技术,是一种对数据集进行去标识化或提升去标识化技术有效性的常用方法,主要包含数据抽样和数据聚合两种技术。

  2. 密码技术,包括确定性加密、保序加密、保留格式加密、同态加密 、同态秘密共享。

  3. 抑制技术,即对不满足隐私保护的数据项删除,不进行发布,包括 屏蔽、局部抑制和记录抑制。

  4. 假名化技术,是一种使用假名替换直接标识(或其他准标识符)的 去标识化技术,包括独立于标识符的假名创建和基于密码技术的标识符派生假名创建。

  5. 泛化技术,是指一种降低数据集中所选属性颗粒度的去标识化技术,
    对数据进行更概括、抽象的描述,包括取整、顶层与底层编码。

  6. 随机化技术,指通过随机化修改属性的值,使得随机化处理后的值 区别于原来的真实值,包括噪声添加、置换、微聚集和数据合成技术。

  7. 数据合成技术,是一种以人工方式产生微数据的方法,用以标识预 定义的统计数据模型。

(8)K-匿名模型,是在发布数据时保护个人信息安全的一种模型,要求发布的数据中,指定标识符属性值相同的每一等价类至少包含K 个记录,使攻击者不能判别出个人信息所属的具体个体,从而保护个人信息安全。

  1. 差分隐私模型,是针对数据隐私泄露问题提出的一种隐私定义,可 以用来在数据采集、数据处理和数据发布中对数据集的隐私损失进行度量。差分隐私确保数据集中任何特定个人的存在与否无法从去标识化数据集或系统响应中推导出。

目前,《信息安全技术 个人信息安全规范》(GB/T 35273-2020)中多处提及要求个人信息控制者对个人信息去标识化以降低个人信息安全风险。例如,个人信息控制者在收集个人信息后,宜立即去标识化处理 ,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。61

《信息安全技术 个人信息去标识化指南(征求意见稿)》就如何去除个人信息身份标识也给出了指导,对《信息安全技术 个人信息安全规范》(GB/T 35273-2020)形成配套和支撑作用,帮助公司在保护个人信息的安全的同时促进数据的共享开放。而 2021 年新发布的《信息安全技术 个人信息去标识化效果分级评估规范(征求意见稿)》基于标识个人身份程度给出一种个人信息分级划分,用于去标识化效果评价,也可用于进一步落实个人信息的分级保护,对《信息安全技术 个人信息安全规范》(GB/T 35273-2020) 和《信息安全技术 个人信息去标识化指南(征求意见稿)》形成了辅助作

用。62收集后,宜立即去标识化处理 ,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。63

场景示例- 在用户下载App 后首次登录时,需要用户提供手机号码以完成注册,一种方法为用户主动输入手机号码,一种方法为系统自动识别出手机号码,然后由用户主动点击确认。在第二种情况下,应当对用户登录使用的手机号码做掩码处理,例如 139XXXX1234。
场景示例 2- 在收集用户的年龄信息后,通过泛化技术,将具体年龄展示为年龄段。如某用户的实际年龄为 35 岁,经过泛化处理后,显示为 30-40 岁。

( ) 存储的期限要求

存储期限应为实现个人信息主体授权使用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另行授权同意 的除外。

存储期限的总体要求为,不能超过处理信息所必需的最短时间。不需要使用个人信息后,应当删除个人信息。如果产品停止服务,一般应当立即删除个人信息;如果用户注销账号,可以在合理时间(例如存留 30-60 日, 实践做法)内删除,以便在用户误删的情况下可以找回数据。云盘存储类 可适当延长,给用户留充足的下载转存时间,并明确告知用户。

示例三种表述方式:相关法律法规规定的最短期限内/不超过相关法律法规规定的最短期限/明确说明具体时间长度。

62《信息安全技术个人信息去标识化效果分级评估规范(征求意见稿)》。

场景示例-

法律法规对存储时间另有规定的,应当遵守:

  • 留存网络日志 不少于六个月(《网络安全法》);
  • 自动驾驶路测 车辆事故或失效状况发生前至少 90 秒的数据存储时间不少于 3 年,这些数据包括外部 360 度视频监控情况、反映测试驾驶人和人机交互状态的车内视频及语音监控情况等信息。向自动驾驶企业提供录音录像设备且存储数据服务,需要按照客户的要求满足存储时间规定。(《智能网联汽车道路测试管理规范(试行)》);
  • 电子商务平台应当记录、保存平台上发布的商品和服务信息、交易信息,交易信息保存时间自交易完成之日起不少于 3 年。(《电子商务法》);
  • 网络直播服务提供者对网络交易活动的直播视频保存时间自直播结束之日起不少于三年。(《网络交易监督管理办法》);
  • 互联网服务提供者(如互联网网络接入、互联网信息服务、域名注册和解析等服务提供者)对用户的真实身份信息应当在提供服务期间同步保存,并在停止服务后保存至少两年以上。(《互联网信息服务管理办法(修订草案征求意见稿)》);
  • 面向中小学生、利用互联网技术实施的学科类校外线上培训的培训内容和培训数据信息须留存 1 年以上,其中直播教学的影像须留存至少 6 个月。如果公司视频业务为培训机构提供存储服务 ,虽然不需要直接遵守教育部的规定,但是需要根据客户要求满足存储期限的规定。(《教育部等六部门关于规范校外线上培训的实施意见》);
  • Facebook 与美国联邦贸易委员会在“剑桥分析”案最终达成的和解协议中,关于个人信息删除的约定如下:(1)最长在用户终止、删除信息或者账户后 30 日内,Facebook 应停止第三方访问用户删除

( ) 超期处理方式

企业应当做到当超期时对个人信息进行删除或匿名化处理。64此处匿名化是否绝对妥当,需要进一步见最新相关法规要求,且依据必要性进行分析。

. 使用65

( ) 告知同意

告知同意形式参考收集部分。

访问控制措施

企业应当建立权限管理制度,设置重要操作审批流程(如批量修改、拷贝、下载等);

企业应当做到安全管理人员、数据操作人员、审计人员角色分离设置;

员工 只能访问其职责范围内最小、必要的个人信息,仅具备完成职责所需的最少权限;确需超权的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;

针对敏感个人信息,企业还应按业务流程的需求触发操作授权, 如收到投诉后,负责处理的人员才可访问该投诉客户的相关信息。
( ) 展示限制

展示必须具有较强必要性,尽可能采取去标识化等处理措施,防止泄露。

( ) 目的限制66

企业收集使用个人信息不应超出原始目的范围,确需超出的,应再次征得同意;加工生成的个人信息,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的仍为个人信息,应遵守收集时的授权

66 原始目的范围,需要明确、具体、清晰,增加功能不一定超出原始目的,需要具体分析。

同意范围。同理,加工生成个人信息为敏感个人信息的,按个人敏感信息保护。

( ) 用户画像的使用限制67

  1. 告知:在隐私政策中明确告知画像情况,说明应用场景和对用户的影响;
  2. 内容禁止: 不得包含不良信息、违法信息 68;不应侵害他人合法权益;不应危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主 义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序;
  3. 除目的必须之外,应消除明确身份指向性 ,避免精确定位到个人;
  4. 尽量使用间接用户画像,是否使用直接用户画像,具体用途,应当在

67《信息安全技术 个人信息安全规范》(GB/T 35273-2020)。

68《网络信息内容生态治理规定》。

隐私政策中明确告知。如个人信用评价可使用直接画像,推送广告则使用间接画像;

  1. 经过分析后的数据如可定位到个人,则应遵守个人信息保护的所有要求。

场景示例-

  • 根据法律规定,使用用户画像等方式自动化处理数据后,向用户推送信息或者广告 ,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。69App 在功能设置中应当提供“关闭定向推送” 按钮,用户可以选择退出使用其信息进行定向推送,**“关闭定向推送”按钮可以在告知用户情形下设置时间限制,例如 3-6 个月后自动开启定向推送功能,用户可选择再次关闭(与最新监管要求保持一致)。**用户关闭定向推送后,不能基于直接画像(针对用户个人)和间接画像(针对与用户及模糊相似群体,例如均为女性)推送广告, **但是不影响全量推送广告,**例如可以基于粗略地理位置向该区域所有人推送“周边的服务”,或者分时间段推送某一类型广告(例如国庆节前后推送酒店广告)。
  • 广告推送需要标记“广告”字样并在右上角设 X 号,用户可一键关闭。
  • 通过自动化决策方式作出对用户个人权益有重大影响的决定时,用户有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。70

( ) 个性化展示的使用

  1. 企业应当显著区分个性化展示和非个性化展示部分,包括但不限于标
    注“定推”等字样,或通过不同栏目、版块、页面分别展示等。71同时, 企业应向用户提供不针对个人特征的选项,并允许用户自行退出;72

  2. 企业向用户提供电商服务,并根据用户兴趣爱好、消费习惯等提供商品或服务搜索结果的个性化展示的,应同时提供不针对个人特征的选项73;

  3. 企业向用户提供推送新闻信息服务的,应提供直观的退出或关闭个性化推荐的选项;用户关闭或退出后,提供删除或匿名化定推活动所需基于的个人信息的选项;

  4. 企业宜建立用户对个性化展示所依赖个人信息(如标签、画像维度等) 的自主控制机制,保障用户调控个性化展示相关程度的能力;即用户可自由自主控制基于其哪些个人信息进行定向推送;

71 对比最新《信息安全技术 个人信息告知同意指南(征求意见稿)》的要求后,确定方案。

72 《工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知》第

(二)条第 4 款。

73《信息安全技术 个人信息安全规范》(GB/T 35273-2020),),7.5 个性化展示的使用 基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序, 且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uJkqIHuY-1672487984988)(media/3eeb0f5c0efeff1620b449faff219b61.jpeg)]
场景示例 2-: Facebook 能在“广告偏好”设置中,根据“你的兴趣”、“广告商和企业”、“你的资料”等类别,选择关闭或开启与其相关的个性化广告推送。用户还能在设置页面中,了解到广告主的目标受众与被投放广告的用户间有怎样的联系。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2gvlpDXD-1672487984989)(media/daf861f334437824eda098fa93f461a1.jpeg)]

从执法层面来看,2020 年至今工信部的 12 次关于违法违规 App 的通报,涉及 88 款 App,违规点一般为“未向用户提供个推退出功能”。因此,进行个性化推送商业广告,企业74应提供退出按钮或选项。

场景示例 1-以电子邮件发送广告合规要求 75**:**

  • 电子邮件地址属于保密信息。用户主动向公司提供的电子邮件地址不应泄露或转卖给第三方,不能非法从第三方获取电子邮件地址;
  • 不能将采用在线自动收集、字母或者数字任意组合等手段获得的他人的互联网电子邮件地址用于出售、共享、交换,或者向通过上述方式获得的电子邮件地址发送互联网电子邮件;
  • 不能故意隐匿或者伪造互联网电子邮件信封信息;
  • 发送广告需要电子邮件接收者明确同意,明示其真实身份和联系方式,并且提供显著、简便、免费的拒绝选项免费的拒绝选项; 如用户拒绝接收广告,除公司和用户另有约定,不应再发送广告

(不得更换名义后再次发送)76;

  • 提供拒绝继续接收的联系方式,包括发送者的电子邮件地址,并保证所提供的联系方式在 30 日内有效;

发送广告需要在邮件标题信息前部注明“广告”或者海外的注明“AD”字样;

  • 如果用户向电子邮件服务提供者投诉,企业应当及时响应投诉;
企业应当记录 电子邮件的发送或者接收时间、发送者和接收者的电子邮件地址及 IP 地址,保存六十日,协助电子邮件服务提供者和国家有关机关依法查询。
场景示例 2-以电话或者短信发送广告合规要求77: 不能发送违法信息; 电话或者短信发送广告需要用户明确同意,并且提供拒绝选项;如果用户拒绝接收广告,不应当再发送广告。发送广告之外的业务管理和服务类短信息不受此限制短信中写明公司名称、联系电话,提供便捷和有效的拒绝接收方式并随短信息告知用户,不得以任何形式对用户拒绝接收设置障碍; 发送广告内容和用户同意证明至少留存 5 个月。(关于用户同意, 建议按一般民事诉讼时效时长留 3 年

基于不同业务目的所收集个人信息的汇聚融合

企业应当遵循目的限制要求,就汇聚融合后的目的,开展个人信息安全影响评估 ,采取有效个人信息保护措施78,汇聚融合生成新的数据属于个人信息或敏感个人信息的,遵循个人信息的保护原则与具体要求;汇聚融合的告知同意问题,需要进一步遵循《信息安全技术 个人信息告知同意指南(征求意见稿)》。如首要判断汇聚融合是否超出原始目的。若超出原始目的的, 一般应当进行明确告知,征得明示同意。如生成新的个人信息,应当明示征得用户同意等。

不同场景下的汇聚融合方案需要具体分析,仔细设计哪些信息可以汇聚融合、需要相应技术措施处理和保护等,哪些个人信息不可以汇聚融合,或

77《通信短信息和语音呼叫服务管理规定(征求意见稿)》。

78《信息安全技术 个人信息安全规范》(GB/T 35273-2020))7.6 基于不同业务目的所收集个人信息的汇聚融合。

不鼓励汇聚融合的,如应谨慎的为“不应大规模收集的个人信息类型”。

信息系统自动决策机制的使用

企业需开展信息系统自动决策机制,如自动决定贷款额度、个人征信、面试人员自动筛选等,会对个人主体权益造成显著影响的,应做到:

事先告知,增强式告知

在规划设计阶段或首次使用前开展个人信息安全影响评估;在使用过程中定期,至少每年 1 次个人信息安全影响评估;依据结果采取或改进有效保护措施;应提供投诉渠道,支持人工复核。

通过自动化决策方式作出对用户个人权益有重大影响的决定,用户有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。80

79《信息安全技术 个人信息告知同意指南(征求意见稿)》。

80《个人信息保护法(草案)》(二次审议稿)

. 共享、转让

( ) 原则不得共享、转让

严禁擅自共享,刑事风险。

共享:是指控制者向其他控制者提供个人信息,且双方分别享有独立控制权的过程。

转让:不保留数据,数据交给第三方。集团内的共享,一般称为不同业务个人信息的汇聚融合,可见使用部分。

(二) 合法依据、理由

企业应当确保共享、转让行为具备足够的合法性、必要性,同时遵循最小限度原则。

应开展个人信息安全影响评估

对受让方的数据安全能力进行评估,确保受让方具备足够的数据安全能力, 并按照评估结果采取有效的保护个人信息的措施。

告知+明示同意

企业需对用户做到明确的、显著的告知,并获得用户明确的授权或明示同意,不得擅自共享;告知共享、转让个人信息的目的、规模、数据类型、范围、接收方的类型、身份等信息;告知不同意的后果 ;与第三方签订书面合同,审核并确保安全,明确的权利、义务、责任划分;设置有内部与外部管理流程,进行严格审核管理。

(三) 非因收购、兼并、重组、破产原因的共享、转让

针对非因收购、兼并、重组、破产原因导致的共享、转让行为,企业应当:

  1. 事先开展个人信息安全影响评估 +相应安全保护措施;
  2. 事先告知+征得授权同意 ;经去标识化处理且确保数据接收方无法重新识别或者关联个人信息主体的除外81;
  3. 对于一般个人信息,做到告知目的、接收方类型/名称、个人信息类型、可能后果等+明示同意82;
  4. 对于敏感个人信息,做到在前述基础+敏感个人信息的类型、接收方身份和数据安全能力+明示同意;
  5. 个人生物识别信息原则不能共享、转让83 ;确需共享、转让,单独告知目的、个人生物识别信息的类型、接收方的具体身份和数据安全能力等+征得明示同意。
  6. 合同约定接收方的责任和义务;
  7. 准确记录 共享、转让各项情况,包括日期、规模、目的、接收方基本情况,告知同意情况,合同文本等;

81《信息安全技术 个人信息安全规范》(GB/T 35273-2020))9.2 个人信息共享、转让 b)。

82 授权同意,一般情况下就是明示同意。具体告知要点遵从**《个人信息保护法(草案)》(二次审议稿)** 的要求。

83 注意参考**《个人信息保护法(草案)》(二次审议稿)** 等法律法规及国家标准。

  1. 接收方违反法律法规、合同约定的,立即要求停止相关行为,采取或要求对方采取有效安全措施,控制或消除风险;必要时解除合同关系, 要求对方删除获取的个人信息;
  2. 担责: 因共享、转让造成用户损害的,如发生个人信息安全事件的, 个人信息控制者担责。(谁是控制者,不同时间点的身份与责任变化, 最好合同提前约定);84
  3. 配合个人信息主体的权利行使,了解接收方的存储、使用情况等。

(四) 因收购、兼并、重组、破产原因的共享、转让

  1. 应事先告知;85
  2. 变更后的个人信息控制者履行原责任和义务;
  3. 如变更原使用目的的,应重新征得明示同意;
  4. 破产无承接方的,删除数据。

(五) 记录

企业应当记录共享、转让的内容、日期、数据量、目的、数据接收方的基本情况等信息,留存合同文本及告知同意证据。

公开披露

( ) 原则不得公开披露

( ) 合法依据、理由

  1. 必须有较强的必要性;
  2. 事先开展个人信息安全影响评估 ,并采取有效保护措施;
  3. 事先经过明示同意 ,告知目的、类型,涉及个人敏感信息的还应告知具体内容。有例外86(注意参考最新个人信息保护法),即与个人信息控制者履行法律法规规定的义务相关的、与国安、国防直接相关的、与公共安全、公共卫生、重大公共利益直接相关的、与犯罪侦查、起诉、审判、判决执行等直接相关的、出于维护用户或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的、用户自行向社会公众公开的个人信息、从合法公开披露的信息中收集个人信息的情形除外;
  4. 尽可能进行加密,匿名,假名等去标识化处理;防止泄露,造成危害。

禁止行为

企业不应擅自公开披露、发布个人信息,否则将承担刑事责任风险;同时, 企业不应公开个人生物识别信息、基因、疾病等个人生理信息87、以及我国公民种族、民族、政治观点、宗教信仰等个人敏感信息的分析结果。

记录

企业应当准确记录公开的情况,包括公开的日期、规模、目的、范围等。

担责

企业需要承担因公开披露造成损害的责任。

委托处理

( ) 总体要求

合法前提是企业作为控制者作出委托行为,不得超出已征得同意的范围88 , 同时必须有较强的必要性,但是经过处理无法识别特定个人且不能复原的 除外。

禁止未经同意向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外89

企业不得在既未经用户同意、也未做匿名化处理的情况下,将数据传输至App 后台服务器后,向第三方提供其收集的个人信息;App 接入第三方应用,未经用户同意,向第三方应用提供个人信息。90

( ) 我方委托第三方

我方作为委托方,交付个人信息给被委托方,应对第三方进行监督,包括不限于:

  1. 事先征得用户明示同意,显著告知,并保留记录并保留记录;
  2. 不应超出我方征得用户授权同意的范围;
  3. 梳理相关产品中涉及的数据委托处理情况,包括第三方身份、共享及转让目的、涉及的个人信息类型、传输方式等。涉及嵌入或接入第三方插件(例如 SDK、API 等)的应当一并按上述维度进行梳理。
  4. 开展对第三方的尽调, 进行严格的审查核实,可由第三方提供保护个人信息的承诺书,确保被委托方的可靠性91;建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改92;开展个人信息安全影响评估,确保受托方达到的数据安全能力要 求;
  5. 应签订关于个人信息保护的书面合同,约定我方和受托方的权利、义务及应承担的责任范围;规定清楚受托第三方的责任和义务;
  6. 对受托第三方进行审计;
  7. 要求受托方严格按照我方的授权处理的目的、范围、方式等进行个人信息的处理,不得私自改变目的、范围、方式等;
  8. 如我方改变目的、范围、方式等超出原始授权范围的,需要更新隐私政策,重新提醒用户阅读重新提醒用户阅读,再次征得用户明示同意;
  9. 向受托方进行对个人信息数据的使用和访问的授权;
  10. 受托方对个人信息的相关数据进行处理完成之后,应对存储的个人信息数据的内容进行删除;
  11. 准确记录和存储 委托处理个人信息的各种情况;
  12. 得知或发现第三方未按要求处理或未有效履行个人信息安全保护责任,

应及时要求对方停止相关行为,采取补救措施或要求第三方采取有效补救措施控制或消除安全风险。必要时,应终止委托,并要求第三方及时删除所获的的个人信息。(合同中可事先约定终止协议的条件 )。

配合具体的案件证据调取 工作,需要企业刑事合规部门事先审核,有对方盖章的正式文书。

我方作为受托方

我方作为受托方,接收委托人提供的个人信息,以下步骤留书面证据:

  1. 进行严格的审查核实,应了解委托方委托个人信息处理加工行为是否经过用户明示同意,委托方已获取的授权同意范围,包括使用的目的, 个人信息主体是否同意转让、共享、公开披露、删除等;
  2. 签订关于个人信息保护的书面合同,(第三方的承诺书,包括承诺经用户明示同意且来源合法,对第三方所承诺的来源合法性应进行进一步的确认,数据安全能力,采取的安全保护措施,承担的责任等);
  3. 严格按照委托方的要求,授权处理的目的、范围进行个人信息的处理,

不得私自改变目的、范围;如有特殊原因无法做到,应及时向委托方反馈;

  1. 如我方改变目的、范围,再次委托等超出合同或其他书面文件授权范围的,需要及时再次事先获取委托方的书面同意、确认已经个人信息主体同意 ;
  2. 协助配合个人信息主体所行使权利的实现;
  3. 如无法提供足够的安全保护水平或发生安全事件,应及时告知第三方控制者;
  4. 委托结束后,及时删除存储的个人信息。

关于受托行为是否需要再经过用户明示同意的问题: 首先,从控制者、处理者角色划分,一般告知同意要求的对象是控制者。目前司法实践等典型案例看,有三重授权的规则要求,即用户授权委托方收集使用,委托方授权受托方处理,用户授权同意委托行为。具体仍需根据最新发展形势分析。

共同控制

如在与第三方合作中,与第三方为共同控制者,应签订书面合同确定双方应满足的个人信息安全要求及各方的责任与义务,并明确告知用户;应承担的如未告知第三方身份及各方应承担的责任与义务,应承担第三方引起的个人信息安全责任。93

注意: 如存在从客户端直接向第三方发送个人信息的情形,包括通过客户端嵌入第三方代码、插件(如 SDK)等方式向第三方发送个人信息的情形, 需事先征得用户同意,经匿名化处理的除外;如个人信息传输至服务器后, App 运营者向第三方提供其收集的个人信息,需事先征得用户同意,经匿名化处理的除外。94

第三方接入(SDK)

此处为不属于委托处理或共同控制的情况。

( ) 控制者的一般要求

接入第三方应用时,不私自截留第三方应用收集的个人信息;

  1. 如 App 接入第三方应用,当用户使用第三方应用时,需在征得用户同意后 ,再向第三方应用提供个人信息;当用户获知应用为第三方提供后,自行以主动填写等方式向第三方直接授权的除外;96
  2. App 运营者宜对于接入的第三方应用收集个人信息的合法、正当、必要性等方面进行审核,明确标识相关业务功能为第三方提供 ,并提醒用户关注第三方应用收集使用个人信息的规则;97

说明第三方代码、插件的类型或名称,及收集个人信息的目的、类型、方式;98

  1. 建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;
  2. 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
  3. 应向用户明确标识产品或服务由第三方提供;
  4. 应妥善留存平台第三方接入有关合同和管理的记录,确保可供后续查阅,记录留存证据;
  5. 应要求第三方向用户征得收集其个人信息的授权同意,必要时核验其实现的方式,记录 留存证据;
  6. 应要求第三方建立响应用户权利请求和投诉等的机制;
  7. 应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方未落实安全管理要求和责任,应及时督促整改,必要时停止接入;

(如第三方被监管部门通报下架时)

  1. 产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:
  2. 开展技术检测,确保其个人信息收集、使用行为符合约定要求;
  3. 对第三方嵌入/接入的自动化工具收集个人信息的行为进行审计;
  4. 发现超出约定的行为,及时切断接入。

关于第三方接入场景下如何告知同意: 从最新要求来看,此时告知同意的义务主体为控制者,因此判断谁是控制者是前提。一般情况宿主一方即App 方为控制者,也有第三方自主控制或共同控制的情况,需要具体分析,并以各方责任身份来制定告知同意的具体方案。

支付机构从其他渠道可以获得的按照反洗钱法要求必需提供的信息(例如,用户本身为第三方支付机构的注册用户,其已经收集了用户的身份证号码、手机号码信息)。
场景示例 2-行车记录仪的第三方 物联网下接入很多外部链接,例如行车记录仪的信息分享功能,交罚单, 加油卡等,也属于第三方接入,公司需要对外部链接的安全性进行审查, 在隐私政策中对接入的链接进行说明,要求第三方链接公布隐私政策。

SDK 的特别注意

常见 SDK

软件开发工具包(Software Development Kit,简称 SDK)是指辅助开发某一类软件的相关文档、范例和工具的集合。第三方 SDK 是指由第三方服务商或开发者提供的实现软件产品某项功能的工具包,通常不包括企业自己开发的仅供自己使用的通用功能模块。常见的第三方 SDK 有框架

类、广告类、推送类、统计类、地图类、第三方登录、社交类、支付类、客服类、测试类、安全风控类、Crash 监控类、人脸识别类、语音识别类、短信验证类、基础功能类等。

对使用第三方 SDK 的合规要求

  1. 应遵循合法、 正当、 必要的原则选择使用第三方 SDK;

告知同意机制:

  • 在个人信息保护政策中“间接收集个人信息的方式”部分,对使用第三方

SDK 的数量、SDK 及其提供方的名称、第三方及其提供方的名称、第

三方 SDK 会共享何等个人信息给予 App 平台方。

  • 在个人信息保护政策中“我们如何共享、转让、公开披露您的个人信息”部分,应当详细说明所有嵌入的第三方 SDK 名称及类型、第三方SDK 应当详细说明所有嵌入的第三方名称及类型、第三方主要实现的功能、收集用户个人信息的内容、目的和方式、SDK 提供的用户权利实现方式与投诉渠道以及对第三方 SDK 的安全管理措施。也可以在这部分简要说明 SDK 的名称等基本信息,详情可通过超链接的方式链接到 SDK 隐私政策。
  • 我方与第三方 SDK 在协议中所约定的角色,其收集、处理用户个人信息的方式方法和所依据的正当性依据都将不同。一般情况,当第三方 SDK 作为数据处理者,以及第三方 SDK 为共同控制者但其存在对于用户“无感知”、不能直接触的情况下,我方 App 需要在弹窗页或者我方 App 的隐私政策中介绍 SDK 的存在,并且需要代为其说明 SDK 收集用户个人信息的情况,在用户同意 App 隐私政策的情况下,我方 App 方可打开 API 接口或者为其启动权限调取,让第三方 SDK 收集信息;而当第三方 SDK 作为共同数据控制者,并且用户是“有感知” 的情况下(如地图类 SDK、登录类 SDK、支付类 SDK 等),我方 App与第三方 SDK 需要分别获取用户同意。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1w9Dfoyy-1672487984990)(media/ea39714d2e2be957475064dbeda3e263.png)]

  1. 在集成第三方 SDK 对第三方 SDK 进行安全性评估,包括对 SDK 提供方基本信息等来源评估,对恶意代码、安全漏洞等进行代码安全性评估,对调用的敏感权限等进行行为安全性评估。安全评估应当定期进行,及时修复漏洞,使用最新的 SDK 版本;

使用提供者基本信息明确、沟通反馈渠道有效的 SDK;

  1. 对于使用的具有热更新功能的第三方 SDK,宜对第三方 SDK 的热更新内容进行内容校验、动态检测和安全评估,对于非官方的热更新内容进行阻断,对于发现问题的热更新内容应及时停用;
  2. 对集成后的 SDK 进行持续动态监测或定期进行安全评估;
  3. 通过接口调用第三方 SDK 功能的,对接口增加鉴权机制;
  4. 与第三方 SDK 提供方通过合同等方式约定权利义务 ,明确第三方SDK 收集的个人信息类型、申请的敏感权限、个人信息的收集目的、保存期限、超期处理方式,各自应采取的安全措施,承担的责任义务等;
  5. 停用某第三方 SDK 后, 及时从 App 中移除该第三方 SDK 的代码和调用该第三方 SDK 代码,存在通过本 App 共享或收集个人信息的,应敦促第三方 SDK 提供者按照合同约定,删除从本 App 共享或收集的个人信息或做匿名化处理。

提供给第三方 SDK 的合规要求

下方内容可同时作为审核第三方 SDK 的内容参考:

  1. 收集使用个人信息和申请敏感权限应遵循合理、最小、必要原则;
  2. 对功能独立的模块,宜进行拆分或提供单独的开启关闭选项,允许App 提供者按需进行选择使用或开启关闭,不应强制捆绑无关功能并以此为由申请无关权限或收集无关的个人信息;
  3. 告知 App 提供者充分的信息,基本信息、沟通反馈渠道(需核实有效)、安全能力;如功能、版本号、隐私政策链接,申请的敏感权限与目的,建立的个人信息主体权利响应的机制,热更新机制及开关方式、是否存在单独收集用户个人信息的界面、是否嵌入其他 SDK,是否向第三方共享个人信息;是否存在后台自启动、关联启动等行为;
  4. 有充足的安全技术措施;
  5. 作为个人信息共同控制者或独立控制者收集使用用户个人信息的

SDK,单独向用户告知收集使用个人信息的行为并征得用户同意;

  1. 优先本地存储,不存唯一识别码或寻求可替代方案;
  2. 如必要,建立选择退出机制“Opt-out”,用户可选择不使用SDK,在官网或隐私政策中提供便于用户操作的退出链接;
  3. 完善合同,在停止接入后删除或匿名化处理个人信息。

. 用户的权利

用户的权利包括以下方面:访问(查询)、获取副本、更正、删除、账户注销、投诉、举报100、撤回同意 、以及拒绝自动决策的重大权益影响。

查询(访问)、获取副本、更正、删除、注销账号

必须告知并提供访问(副本)、更正、删除、注销账号的有效功能、方便的

途径。

查询(访问) 包括查询用户个人信息;该个人信息的来源、使用目的;查询第三方接收者的信息(身份或类型);是否必须实时查询,需要参考最新法规要求(30 日以内或法律法规规定的期限内101)。尽可能在产品界面实现,方便用户。

获取副本, 应提供个人基本资料、身份信息、健康生理信息、教育工作信获取副本的途径,或在技术可行下直接将副本传输给用户指定的第三方(类似部分数据可携权)。收取纸质打印副本的成本价并未禁止。

更正、删除,及时响应, 包括经用户申请和自主维护,失去存储必要性时及时删除、注销。15 个工作日内102完成核查和处理,后台也需要同步完成处理。

应当主动删除个人信息的情形103:

  • 处理目的已实现或者为实现处理目的不再必要;
  • 停止提供产品或者服务,或者保存期限已届满;
  • 个人撤回同意;
  • 违反法律、行政法规或者违反约定处理个人信息或者向第三方共享转让、公开披露个人信息;
  • 法律、行政法规规定的其他情形。

以上情形下,若个人信息处理者未主动删除的,个人有权请求删除。

场景示例 1-获取副本 应用户请求,公司应当提供给用户访问个人信息和复制个人信息的权利,实践中可以在产品界面直接设置用户自主下载已提供的个人信息功能,也可以在用户单独请求时由公司提供,可以在隐私政策中提供客服电话或者电子邮箱。但是目前法律并没有强制规定用户可请求将信息以自动化方式转移给第三方。
场景示例 2-删除 用户进行搜索产品申诉,要求删除其个人信息的判断方法: 如果用户要求搜索产品删除可以被用来检索到自身的关键词或者要求排除特定信息和自身的关联性,公司需要判断实际情况以决定是否满足用户请求: 该信息是否真实准确,信息内容是否合法; 该信息来源是否合法; 该信息是否是合法公开的信息或者用户主动公开的信息; 该信息是否和新闻公众事件或者公众人物关联不大。 如果满足上述条件,均为“是”,搜索产品可以拒绝删除;如果不满足上述任何一项条件,搜索产品应当满足用户删除请求。 如果符合删除要求,原则从服务器同时删除数据,可以在隐私政策中提供客服电话或者电子邮箱。具体从服务器的删除时间需要依据法律法规要求。

注销账户104

企业通过注册账户提供产品或服务的,应提供注销账户的方法,且方法需简单易于操作;注销账户过程需要身份核验所需个人信息主体提供的个人信息不应多于注册、使用环节收集的个人信息;需要人工审核的,应承诺在 15 个工作日内完成 核实和处理;注销过程需要敏感个人信息进行核验的,应明确处理措施,如达成目的后立即删除或匿名化处理;注销账户后, 应及时删除或匿名化,依法需要留存的,不应再应用到产品或服务中。

禁止行为:

  1. 未提供有效的更正、删除个人信息及注销用户账号的功能;
  2. 为更正、删除个人信息或注销用户账号设置不必要或不合理条件,增 加个人信息主体的义务(如注销单个产品或服务,视同注销多个产品或服务。此处对同一账户问题 提出更高的要求,没有独立的账户体 系,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现105);
  3. 虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过 15 个工作日,无承诺时限的,一般应以 15 个工作日为限)完成核查和处理;
  4. 注销用户账号等用户操作已执行完毕,但 App 后台并未完成。

撤回同意

企业应提供方便撤回同意的途径,易于操作 ,至少与同意同等难易,不能设置不合理条件。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。106

104《信息安全技术 个人信息安全规范》(GB/T 35273-2020))8.5。

105 同上。

106《个人信息保护法(草案)》(二次审议稿)。

企业不应因用户撤回同意而拒绝提供所有服务 ,除撤回同意无法提供强关联功能外,其他功能仍需要提供;撤回授权同意后,后续不应再处理相应个人信息。

企业应保障用户拒绝接收基于其个人信息推送商业广告的权利,如设置退出个性化推荐广告的按钮。

如有对外共享、转让、公开披露的情况,企业应向用户提供撤回授权同意的方法。撤回同意不影响撤回前做出的同意。

( ) 响应

企业需要向用户提供权利请求途径、投诉途径、外部纠纷解决途径,并做到及时响应。

目前《信息安全技术 个人信息安全规范》(GB/T 35273-2020)的响应时间除了注销账户是要求做到 15 个工作日内处理,其他则是 30 天内;“在验证

个人信息主体身份后,应及时响应个人信息主体提出的请求,应在 30 天内或法律法规规定期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径107”。但是《App 违法违规收集使用个人信息行为认定方法》”更正、删除、注销账户 15 个工作日内完成和处理,后台也需要同步完成处理。从优先性和保护用户角度而言,应以 15 个工作日内为准,可以在产品界面实现的尽量在界面实现。

用户权利限制

请参考告知同意的例外,但特定情况需要具体分析。同时请注意参考最新个人信息保护法律法规和国家标准。

场景示例-为订立合同或履行个人作一方当事人的合同所必需

订立合同或履行个人作一方当事人的合同所必需收集的信息 ,这也意味着缺失该类信息我们产品和服务的基本功能无法在技术上实现。

当用户在选择继续使用产品的同时,要求删除前述信息,可以先行文字弹窗并说明理由 --例如“您使用 xxx 购买商品必须依赖您的收货地址信息,用于给您寄送货物,否则删除所有收货地址后您将无法收到货物”-

-之后当用户仍然选择 删除时,则仅可不提供依赖收货地址的相关功能, 但如某产品有浏览模式(需区别于基础功能模式),则不应因用户删除“收货地址信息”而拒绝给用户提供仅浏览的服务。

被收集信息的用户必需是合同一方,而不能仅仅是使用服务的其他用户;所收集的信息必需是实现业务功能在技术上所必需,不能是可有可无的信息。–如在出租车内安装摄像头,如果安装摄像头是履行合同为实现安全目的所必需的,用户使用 App 叫车即表明同意摄像头采集个人

信息;但是如果用户使用 App 为他人叫车或者同乘,他人并非合同一方, 仅实际使用服务,在车内应当语音或者图标提示摄像头的存在。

( ) 投诉、举报、申诉

企业应建立投诉管理机制和投诉跟踪流程,公布个人信息安全投诉、举报、申诉渠道,同时需要做到在 15 个工作日内受理并处理110。

产品的隐私政策中至少提供以下一种投诉渠道111:

  • 电子邮件
  • 电话
  • 传真
  • 在线客服
  • 在线表格

. 跨境传输112

应遵循最新相关法规依据。

( ) 合法依据

强必要性+依法评估

依据《网络安全法》》要求,关键信息基础设施的运营者在境内运营中收集和产生的个人信息应当存储在境内。如需出境则必须依法评估,需要按照最新出境相关法规要求进行评估,并开展个人信息安全影响评估。

依据《数据安全法》,关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定,企业应时刻关注相关的立法动态。

《个人信息保护法(草案)》(二次审议稿)提出,个人信息处理者因业务等需要,确需向境外提供个人信息的,应当至少具备下列一项条件:

(一)通过国家网信部门组织的安全评估;

(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;

(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;

112 依据最新个人信息出境相关法律法规、国家标准,进行判断分析。

(四)法律、行政法规或者国家网信部门规定的其他条件。

告知同意

企业需要增强式告知,经过明示同意,并标识在隐私政策中逐项列出并显著标识,说明出境个人信息类型。

传输时,企业可以使用弹窗告知征得明示同意(我国《个人信息保护法(草案)》(二次审议稿)要求单独告知同意,可利用弹窗附文案说明跨境的目的、涉及的个人信息类型等信息,由用户自主点击同意)。

具体做法及例外情况,需要参考不同国家最新的法律法规要求。

传输的数据类型合法

尤其是特殊类型的数据需要特别注意,如民族、宗教信仰、政治观点,生物识别信息、基因信息等。

不应突破本地化要求

考虑到目前尚未看到“经明示同意”可以突破本地化的要求,收集和产生的

个人信息与重要数据113因此关键信息基础设施收集和产生的个人信息与重要数据114,仍应存在境内,如确需跨境,必须按照最新法规进行评估,同时针对特殊领域则需按照法律法规要求做到本地化存储(详见存储部分)。

( ) 接收方的可靠性

企业应对接收方的安全保护能力等进行详细的尽调摸底,除接收方承诺外, 实际进行一定的检测以核验其保护能力是否属实可靠。

( ) 各方责任、义务的划分

企业可使用传输方/接收方模式,抑或是控制者/处理者模式。但必须有书面合同划分清楚各方的责任、义务,并进行留存。

( ) 他国法律监管因素影响

充分了解他国法律监管情况,对现实和潜在风险进行把控。

关系协定)。 在海外销售的智能硬件 数据回传中国处理需要根据当地跨境传输的规则进行。
场景示例 2-欧盟数据怎么跨境 对于将欧盟用户个人数据转移至他国,《通用数据保护条例》(GDPR)第5 章有特殊要求,仅在满足该等特殊要求的情形下,才可以将欧盟用户的数据转移至他国。该等特殊要求包括:1. 特别授权;2. 被列入欧盟认可的提供充足保护的名单中(除去美国,目前仅 12 个国家或地区。韩 国与英国正在推进充分性程序);3. 控制者或者处理者提供适当的保障 措施(列举了 6 种保障措施,包括由双方签署标准合同条款、采用有约 束力的公司规则等),以及为数据主体提供可执行的权利与有效的法律救济措施;4. 特殊情形下的克减(包括个人明知仍同意、履行合同所必需、实现数据主体利益所必需、实现公共利益所必需等 7 项,此 7 种可 以直接传出欧盟);或者 5. 国际合作。 每种特殊要求有非常细致的具体规定,部分有很多限制性措施无法成为公司跨境转移数据的常规措施,**其中比较常用的为第 3 点的适当的保障措施。**在上述措施之外,欧盟和美国曾经达成“隐私盾”,加入“隐私盾”的5000 家美国企业可以根据“隐私盾”将数据从欧盟传输至美国,但目前“隐私盾”已经被欧盟法院认定无效。

( ) 记录全过程

企业应当详细记录跨境的全过程,包括从评估到最后执行,书面文件、技术措施等。

十一 . 未成年人与儿童保护115

(一) 需要保护未成年人和儿童的产品或服务

  1. 主要针对未成年人、儿童的产品、服务:

如未成年人、儿童益智游戏,相关平台、插件、在线服务、联网设备、玩具等;

  1. 被视为针对未成年人、儿童的产品、服务:

虽非主要针对儿童,但是网站或服务有以下内容—“网站或服务的主题、音视频内容、使用动画角色或其他针对儿童的活动和措施、模特年龄, 是否出现儿童偶像、或吸引儿童的名人,网站或服务上有针对儿童的 广告,其他关于实际或预期受众为儿童的证据”116;

  1. 我方应确保知晓,合作方通过我方收集儿童个人信息或我方通过合作方收集的儿童个人信息,如收集的儿童身份信息的情况。

未成年人与儿童的范围

未成年人不满 18 周岁。其中不满 14 周岁的未成年人为儿童。117

儿童个人信息作为个人敏感信息加强保护

专门规则

14 岁以下周岁以下(含)儿童的个人信息属于个人敏感信息118,应设置专门的儿童个人信息保护规则和用户协议,并指定专人负责。

儿童个人信息保护负责人

如果已经设立数据保护官,可以由数据保护官兼任儿童信息保护工作;如果没有设立数据保护官,至少应指定一人负责,虽不一定要增设新职位。

告知同意

企业收集、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。除了要求更正和删除的权利行使外,其余只能由监护人同意,儿童不行。120要求删除必须删除; 停止运营时必须删除并将情况告知监护人。

征得同意时,应同时提供拒绝选项 ,并明确告知以下内容:

  1. 处理121儿童个人信息的目的、方式、范围;
  2. 儿童个人信息存储的地点、期限和到期后的处理方式;
  3. 针对儿童个人信息的敏感性采取的特别安全保障措施;
  4. 拒绝的后果;
  5. 投诉、举报的渠道和方式;
  6. 更正、删除儿童个人信息的途径和方法;
  7. 儿童个人信息的敏感性与注意事项;
  8. 监护人正确履行监护职责,教育引导儿童增强个人信息保护意识和能力的方式;122
  9. 其他应当告知的事项。

前款告知内容发生实质性变化的,企业应当再次征得儿童监护人的同意。 因业务需要,确需超出约定的目的、范围使用的,应再次征得儿童监护人同意。

儿童个人信息存储要求

  1. 加密存储和传输儿童信息;
  2. 除非法律有特殊规定或者在隐私政策中明确说明可能的披露场景,不能对特定或者不特定第三方披露儿童信息;
  3. 应当保证监护人请求更正或者删除儿童信息渠道的通畅,且在隐私政策中明确说明更正和删除途径;
  4. 应当建立应急预案,确保儿童信息发生泄露、损毁、丢失时,可以立即向监管汇报并且通知儿童的监护人;
  5. 在线教育 App 网络日志留存和节目内容留存均有特殊规定。校外培训在线教育 App 用户日志必须留存 1 年,长于一般规定 60 日的要求。123培训内容和培训数据信息须留存 1 年以上,其中直播教学的影像须

122《信息安全技术 个人信息告知同意指南(征求意见稿)》。

123《教育部等六部门关于规范校外线上培训的实施意见》。

留存至少 6 个月124。。

访问控制

企业应当建立单独的或者在现有访问控制制度中专门规定涉及儿童信息的内容。对工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。

向第三方转移儿童个人信息

企业应自行或者委托第三方机构进行安全评估。委托 第三方处理儿童个人信息的,应对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。受委托方不得转委托,应在委托关系解除时及时删除儿童个人信息。

如何核验是否为监护人

目前可参考的方案如下(但并非一定是针对业务的最优方案,最优方案需要结合产品及业务的场景具体分析):如监护人签署同意书并发送给公司

(是否真的父母不确定);提问监护人(仅儿童家长才可回答的知识挑战问题),电话等方式;审核证明文件,如让监护人通过信用卡、借记卡或在线支付系统等支付小额款项,验证监护人是成年人(需要避免过度收集信息);与第三方合作,验证是否为监护人。实践中,国外有采用同意书+信用卡支付等方式的。

目前相关国家标准中提出了一些指引性意见,例如:终端或应用仅单独面向未成年人的,核验的方式可采取短信验证、电话验证、邮箱验证等合理措施进行。短信内容可参照:“尊敬的用户您好!这里是 xxxx ,根据国家有关未成年人个人信息保护的要求,收集使用年满 14 周岁的未成年人的

个人信息前,宜征得该未成年人或其监护人的明示同意 收集不满 14 周岁的未成年人的个人信息前,应征得其监护人的明示同意。若您是 xxx 的监护人,请回复“ 1 ”,若不是请回复 2” 。本条短信 5 分钟内容有效。”

若产品或服务为未成年人和监护人提供了不同终端或应用界面的,核验的方式可直接在监护人终端或应用界面中完成。例如,直接在监护人终端或应用界面中完成。例如,在未成年人的终端或应用界面提示为满足国家有

关未成年人个人信息保护的要求,需要该未成年人将有关产品或服务的个人信息使用规则等信息告知其监护人,此时该未成年人的终端或应用界面上已生成用于分享给其监护人的超链接或二维码。未成年人可分享超链接或二维码至其监护人,其监护人打开该超链接或扫一扫该二维码之后可以下载或进入监护人专门的终端或应用,该监护人可在该终端或应用界面上确认其是否为该未成年人的监护人;或在监护人界面设置主动开启未成年人设备的开关,监护人端开与未成年人端通过 WLAN、蓝牙、移动网络完成鉴权和连接的,视为完成验证等。

十二 . 停止运营

当停止运营时,企业应及时停止继续收集个人信息,将停止运营的通知以逐一送达或公告的形式通知个人信息主体,并对所持有的个人信息进行删除。

十三 . 记录

企业宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录 1) 所涉及个人信息的类型、数量、来源(如从个人信息主体直接收集或通过间接获取方式获得);2)根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、 共享、转让、公开披露、是否涉及出境等情况; 以及 3)与个人信息处理活动各环节相关的信息系统、组织或人员。

延伸阅读

更多内容 可以点击下载 360 企业个人信息合规思路与实践报告 2021. http://github5.com/view/1273进一步学习

联系我们

DB35-T 1388-2013 地理标志产品 永安金线莲 福建省.pdf

信息系统自动决策机制的使用相关推荐

  1. 面向自动驾驶应用的车联多智能体信息融合协同决策机制研究

    一.思维导图 本次学习了面向自动驾驶应用的车联多智能体信息融合协同决策机制研究这篇论文,并做出思维导图. 二.参考文献 [1]曹佳钰,冷甦鹏,张科.面向自动驾驶应用的车联多智能体信息融合协同决策机制研 ...

  2. PRN(20201231):驾驶人驾驶决策机制遵循最小作用量原理

    王建强, 郑讯佳, 黄荷叶. 驾驶人驾驶决策机制遵循最小作用量原理[J]. 中国公路学报, 2020, v.33;No.200(04):159-172. 观点: 为提升智能汽车的自主决策能力,使其能够 ...

  3. 利用人工智能进行自动决策,将为我们带来更加智慧的路

    至于高级人工智能拥有自我意识后,还会听人类的使唤吗?人类该怎么办?真的很难给出答案.或许我们可以通过某种机制避免这样的事情发生,或者禁止创造拥有自我意识的智能机器. 人工智能的最终目的就是为了让人们的 ...

  4. 大脑奖获得者Peter Dayan:生物决策机制为生存铺路,预编程是本能!

    智源导读:生物究竟是如何思考并作出决策的?如何设计人工智能系统来模拟类似的行为? 世界著名神经科学家之一,2017年大脑奖获得者Peter Dayan从青年时期开始就对以上问题展开了深入探索.一直以来 ...

  5. Redis中的自动过期机制

    实现需求:处理订单过期自动取消,比如下单30分钟未支付自动更改订单状态 实现方案1: 使用Redis Key自动过期出发事件通知 使用定时任务30分钟后检查 按照每分钟轮训检查 使用Redis Key ...

  6. rt-thread 自动初始化机制分析-关于编译链接及段信息

    本来我的工作主要集中于嵌入式Linux这一块,关于RTOS,虽然之前也有用UcosII做过一两个项目并量产,但并不是主要发力点,感觉相对与Linux来说,RTOS太过"easy", ...

  7. [开源]FreeSCADA的通道数据与控件属性关联以及自动刷新机制研究

    [开源]FreeSCADA的通道数据与控件属性关联以及自动刷新机制研究 [参考文章]: 1. WPF之Binding深入探讨, 地址:http://www.cnblogs.com/cappuccino ...

  8. 《20天吃透Pytorch》Pytorch自动微分机制学习

    自动微分机制 Pytorch一般通过反向传播 backward 方法 实现这种求梯度计算.该方法求得的梯度将存在对应自变量张量的grad属性下. 除此之外,也能够调用torch.autograd.gr ...

  9. 速成pytorch学习——3天自动微分机制

    神经网络通常依赖反向传播求梯度来更新网络参数,求梯度过程通常是一件非常复杂而容易出错的事情. 而深度学习框架可以帮助我们自动地完成这种求梯度运算. Pytorch一般通过反向传播 backward 方 ...

最新文章

  1. [置顶] ros的navigation之———gmapping应用详解(in ros)
  2. String类为什么被设计为不可变的?
  3. Thinkphp js、css压缩类minify
  4. 嵌入式系统实时仿真解决方案SkyEye
  5. Docker的C/S模式
  6. 男人 30 岁前要做的 22 件事
  7. Jmeter之web压力测试
  8. 人工智能 一种现代方法 第9章 一阶逻辑的推理
  9. 内外网同时使用-路由配置
  10. 以太坊 私链 节点连接(window)
  11. python 邮件抄送是什么意思_python 获取邮件中的发件人From、收件人To、抄送人Cc...
  12. StyleGAN2 解释
  13. 腾讯组织了一个联盟,但无法阻止字节跳动拿走一半游戏广告
  14. jumpserver 添加Windows主机
  15. 恒源智GPU云服务器
  16. 浅谈BGP主机与其他双线主机的区别
  17. 使用Java写出九九乘法口诀表
  18. GitHub是什么?怎么用?Git是什么?怎么用?
  19. 爬虫03 —— 正则表达式
  20. RK3568全国产化主板---LYM_RK3568G_EVM全新发布

热门文章

  1. linux cgroup、kubernetes limit
  2. 在 Linux 中配置 tftpboot 服务器的 10 个步骤
  3. android usb投影win10,分享win10投影到安卓平板上的方法
  4. “动真格”的垃圾分类,需要你我容忍其中的不便
  5. 校园市场应该怎样做,看看小米有什么新招式
  6. 数据中心远程集中解决方案有哪些?
  7. 2023 简单响应个人收款二维码源码 美化版
  8. 知识产权行业获客难?一招解决
  9. 常见的文件头信息对照表
  10. 暗色科幻风格HTML登录页面css3+html5模板