来源:https://www.tc260.org.cn/front/postDetail.html?id=20190201173320 Comment period ends, 3/3/2019
前言
本标准按照GB/T1.1—2009《标准化工作导则第1部分:标准的结构和编写》给出的规则起草。 本标准代替GB/T35273-2017《信息安全技术个人信息安全规范》,与GB/T35273-2017相比主要变化如下:
a)“3缩略语”中补充了“3.15个性化展示”;
b)增加了“5.3不得强迫收集个人信息的要求”;
c)修改了“5.7征得授权同意的例外”;
d)增加了“7.4个性化展示及退出”;
e)增加了“7.5基于不同业务目所收集的个人信息的汇聚融合”;
f)增加了“8.7第三方接入管理”;
g)修改了“10.1明确责任部门与人员;
h)增加“10.2个人信息处理活动记录;
i)修改了“资料性附录C保障个人信息主体选择同意权的方法”。
j)增加了“附录C.1区分基本业务功能和扩展业务功能”、“C.2基本业务功能的告知和明示同意”、“C.3扩展业务功能的告知和明示同意”。
请注意本文件的其他内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:中国电子技术标准化研究院、北京大学、北京信息安全测评中心、颐信科技有限公司、四川大学、清华大学、中国信息安全研究院有限公司、公安部第一研究所、上海国际问题研究院、阿里巴巴(北京)软件服务有限公司、深圳腾讯计算机系统有限公司、中电长城网际系统应用有限公司、阿里云计算有限公司、华为技术有限公司、强韵数据科技有限公司。
本标准主要起草人:洪延青、钱秀槟、何延哲、左晓栋、陈兴蜀、高磊、刘贤刚、邵华、蔡晓丹、黄晓林、顾伟、黄劲、上官晓丽、赵章界、范红、杜跃进、杨思磊、张亚男、金涛、叶晓俊、郑斌、闵京华、鲁传颖、周亚超、杨露、王海舟、王建民、秦颂、姚相振、葛小宇、王道奎、赵冉冉、沈锡镛。
引言
近年,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。
本标准针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。
对标准中的具体事项,法律法规另有规定的,需遵照其规定执行。
信息安全技术个人信息安全规范
1范围
本标准规范了开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求。
本标准适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2010信息安全技术术语
3术语和定义
GB/T25069—2010中界定的以及下列术语和定义适用于本文件。
3.1
个人信息personalinformation
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注1:个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注2:关于个人信息的范围和类型可参见附录A。
3.2
个人敏感信息personalsensitiveinformation
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
注1:个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。
注2:关于个人敏感信息的范围和类型可参见附录B。
3.3
个人信息主体personalinformationsubject
个人信息所标识的自然人。
3.4
个人信息控制者personalinformationcontroller
有权决定个人信息处理目的、方式等的组织或个人。
3.5
收集collect
获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。
注:如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集行为。 例如,离线导航软件在终端获取用户位置信息后,如不回传至软件提供者,则不属于个人信息收集行为。
3.6
明示同意explicitconsent
个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。
注:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、“注册”、“发送”、“拨打”、主动填写或提供等。
3.7
用户画像userprofiling
通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。 注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。 使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。
3.8
个人信息安全影响评估personalinformationsecurityimpactassessment
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
3.9
删除delete
在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
3.10
公开披露public disclosure
向社会或不特定人群发布信息的行为。
3.11
转让transferofcontrol
将个人信息控制权由一个控制者向另一个控制者转移的过程。
3.12
共享sharing
个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。
3.13
匿名化anonymization
通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。
注:个人信息经匿名化处理后所得的信息不属于个人信息。
3.14
去标识化de-identification
通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。
注:去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。
3.15
个性化展示personalizeddisplay
基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。
4个人信息安全基本原则
个人信息控制者开展个人信息处理活动,应遵循以下基本原则:
a)权责一致原则——采取技术和其他必要的措施保障个人信息的安全,对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
b)目的明确原则——具有合法、正当、必要、明确的个人信息处理目的。
c)选择同意原则——向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意。
d)最少够用原则——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。 目的达成后,应及时删除个人信息。
e)公开透明原则——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督。
f)确保安全原则——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
g)主体参与原则——向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回同意、注销账户、投诉等方法。
5个人信息的收集
5.1收集个人信息的合法性要求
对个人信息控制者的要求包括:
a)不得以欺诈、诱骗、误导的方式收集个人信息;
b)不得隐瞒产品或服务所具有的收集个人信息的功能;
c)不得从非法渠道间接获取个人信息;
d)不得收集法律法规明令禁止收集的个人信息。
5.2收集个人信息的最小必要要求
对个人信息控制者的要求包括:
a)收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。 直接关联是指没有该等信息的参与,产品或服务的功能无法实现;
b)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
c)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。
5.3不得强迫收集个人信息的要求
当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不得违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。 对个人信息控制者的要求包括:
a)不得通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求;
b)应根据个人信息主体主动填写、点击、勾选等自主行为,作为产品或服务的业务功能开启或开始收集个人信息的条件,并提供关闭或退出业务功能的途径或方式。 关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样简便;
注:个人信息控制者可按照本标准7.9实现业务功能的关闭或退出。
c)如个人信息主体不同意使用、关闭或退出特定业务功能,个人信息控制者不得频繁征求个人信息主体的同意;
d)如个人信息主体不同意使用、关闭或退出特定业务功能,个人信息控制者不得暂停个人信息主体自主选择使用的其他业务功能,或降低业务功能的服务质量。
5.4收集个人信息时的授权同意
对个人信息控制者的要求包括:
a)收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则(例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等),并获得个人信息主体的授权同意;
b)间接获取个人信息时:
1)应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;
2)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。 如本组织开展业务需进行的个人信息处理活动超出该授权同意范围,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。
5.5收集个人敏感信息时的明示同意
对个人信息控制者的要求包括:
a)收集个人敏感信息时,应取得个人信息主体的明示同意。 应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示;
b)通过主动提供或自动采集方式收集个人敏感信息前,应:
1)向个人信息主体告知所提供产品或服务的基本业务功能及所必需收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响。 应允许个人信息主体选择是否提供或同意自动采集;
2)产品或服务如提供其他扩展业务功能,需要收集个人敏感信息时,收集前应向个人信息主体逐一说明个人敏感信息为完成何种扩展业务功能所必需,并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。 当个人信息主体拒绝时,可不提供相应的扩展业务功能,但不应以此为理由停止提供基本业务功能,并应保障相应的服务质量。
注:上述要求的实现方法可参考附录C。
c)收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
5.6隐私政策的要求
对个人信息控制者的要求包括:
a)应制定隐私政策,内容应包括但不限于:
1)个人信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等;
2)收集、使用个人信息的目的,以及目的所涵盖的各个业务功能,例如将个人信息用于推送商业广告,将个人信息用于形成直接用户画像及其用途等;
3)各业务功能分别收集的个人信息类型,区分基本业务功能及其运行所必要收集的个人信息,以及扩展业务功能及其运行所必要收集的个人信息,涉及个人敏感信息的,需明确标识或突出显示;
4)个人信息收集方式、频率、存放地域、存储期限、涉及数据出境情况等个人信息处理规则和实际收集的个人信息范围;
5)提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;
6)遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施,必要时可公开数据安全和个人信息保护相关的合规证明;
7)对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及所承担的法律责任;
8)个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回同意的方法、获取个人信息副本的方法、约束信息系统自动决策的方法等;
9)处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
b)隐私政策所告知的信息应真实、准确、完整;
c)隐私政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言,并在起始部分提供摘要,简述告知内容的重点。 当对隐私政策内容的理解发生分歧时,采用对个人信息主体合法权益最有利的理解;
d)隐私政策应公开发布且易于访问,例如,在网站主页、移动应用程序安装页、社交媒体首页、或本标准5.4和5.5规定的交互界面或设计等显著位置设置链接;
e)隐私政策应逐一送达个人信息主体。 当成本过高或有显著困难时,可以公告的形式发布;
f)在本条a)所载事项发生变化时,应及时更新隐私政策并重新告知个人信息主体。
注1:隐私政策的内容可参考附录D。 注2:在个人信息主体首次使用产品或服务、注册账号等情形时,宜通过弹窗等形式主动向其展示隐私政策的主要或核心内容,帮助用户理解并决定是否选择同意相应规则并继续使用该产品或服务。
5.7征得授权同意的例外
以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:
a)与个人信息控制者履行法律法规规定的义务相关的;
b)与国家安全、国防安全直接相关的;
c)与公共安全、公共卫生、重大公共利益直接相关的;
d)与犯罪侦查、起诉、审判和判决执行等直接相关的;
e)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
f)所涉及的个人信息是个人信息主体自行向社会公众公开的;
g)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
h)用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
i)个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的;
j)个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。
6个人信息的保存
6.1个人信息保存时间最小化
对个人信息控制者的要求包括:
a)个人信息保存期限应为实现个人信息主体授权使用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另行同意的除外;
b)超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理。
6.2去标识化处理
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的信息与可用于恢复识别个人的信息分开存储。
6.3个人敏感信息的传输和存储
对个人信息控制者的要求包括:
a)传输和存储个人敏感信息时,应采用加密等安全措施;
b)存储个人生物识别信息时,应采用技术措施确保信息安全后再进行存储,例如将个人生物识别信息的原始信息和摘要分开存储,或仅存储摘要信息。
6.4个人信息控制者停止运营
当个人信息控制者停止运营其产品或服务时,应:
a)及时停止继续收集个人信息的活动;
b)将停止运营的通知以逐一送达或公告的形式通知个人信息主体;
c)对其所持有的个人信息进行删除或匿名化处理。
7个人信息的使用
7.1个人信息访问控制措施
对个人信息控制者的要求包括:
a)对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最少够用的个人信息,且仅具备完成职责所需的最少的数据操作权限;
b)对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作;
c)对安全管理人员、数据操作人员、审计人员的角色进行分离设置;
d)如确因工作需要,需授权特定人员超权限处理个人信息的,应由个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;
注:个人信息保护责任人或个人信息保护工作机构的确定见本标准10.1。
e)对个人敏感信息的访问、修改等操作行为,宜在对角色的权限控制的基础上,根据业务流程的需求触发操作授权。 例如,因收到客户投诉,投诉处理人员才可访问该用户的相关信息。
7.2个人信息的展示限制
涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。 例如,在个人信息展示时,防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。
7.3个人信息的使用限制
对个人信息控制者的要求包括:
a)除为达到个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。 例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像;
b)对所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情况的,应将其认定为个人信息。 对其处理应遵循收集个人信息时获得的授权同意范围;
注:加工处理而产生的个人信息属于个人敏感信息的,对其处理应符合本标准对个人敏感信息的要求。
c)使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。 因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。
注:将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述,属于与收集目的具有合理关联的范围之内。 但对外提供学术研究或描述的结果时,应对结果中所包含的个人信息进行去标识化处理。
7.4个性化展示及退出
对个人信息控制者的要求包括:
a)在向个人信息主体推送新闻或信息服务的过程中使用个性化展示的,应:
1)以显著方式标明“个性化展示”或“定推”等字样;
2)为个人信息主体提供简单直观的退出个性化展示模式的选项。
注:退出定向推送模式是指向特定个人提供业务功能时,其推送方式不再基于该特定个人的个人信息。
b)电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;
注:基于用户所选择的特定位置进行展示、搜索结果排序,且不因用户身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。
c)在向个人信息主体提供业务功能的过程中使用个性化展示的,宜:
1)建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力;
2)当个人信息主体选择退出个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
7.5基于不同业务目所收集的个人信息的汇聚融合
对个人信息控制者的要求包括:
a)应遵守本标准7.3的要求;
b)应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取适当的个人信息保护措施;
7.6个人信息查询
个人信息控制者应向个人信息主体提供查询下列信息的方法:
a)其所持有的关于该主体的个人信息或类型;
b)上述个人信息的来源、所用于的目的;
c)已经获得上述个人信息的第三方身份或类型。
注:个人信息主体提出查询非其主动提供的个人信息时,个人信息控制者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,做出是否响应的决定,并给出解释说明。
7.7个人信息更正
个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者应为其提供请求更正或补充信息的方法。
7.8个人信息删除
对个人信息控制者的要求包括:
a)符合以下情形的,个人信息主体要求删除的,应及时删除个人信息:
1)个人信息控制者违反法律法规规定,收集、使用个人信息的;
2)个人信息控制者违反了与个人信息主体的约定,收集、使用个人信息的。
b)个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除;
c)个人信息控制者违反法律法规规定或与个人信息主体的约定,公开披露个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息。
7.9个人信息主体撤回同意
对个人信息控制者的要求包括:
a)应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。 撤回同意后,个人信息控制者后续不得再处理相应的个人信息;
b)应保障个人信息主体拒绝接收基于其个人信息推送的商业广告的权利。 对外共享、转让、公开披露个人信息,应向个人信息主体提供撤回同意的方法。
注:撤回同意不影响撤回前基于同意的个人信息处理。
7.10个人信息主体注销账户
对个人信息控制者的要求包括:
a)通过注册账户提供服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且该方法应简便易操作;
b)个人信息主体注销账户后,应及时删除其个人信息或做匿名化处理。
7.11个人信息主体获取个人信息副本
根据个人信息主体的请求,个人信息控制者宜为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将以下个人信息的副本传输给个人信息主体指定的第三方:
a)个人基本资料、个人身份信息;
b)个人健康生理信息、个人教育工作信息。
7.12约束信息系统自动决策
当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时(例如基于用户画像决定个人征信及贷款额度,或将用户画像用于面试筛选),个人信息控制者应向个人信息主体提供申诉方法。
7.13响应个人信息主体的请求
对个人信息控制者的要求包括:
a)在验证个人信息主体身份后,应及时响应个人信息主体基于本标准第7.6至7.12提出的请求,应在三十天内或法律法规规定的期限内做出答复及合理解释,并告知个人信息主体外部纠纷解决途径;
b)宜直接在产品或服务提供的功能界面中(例如应用程序可设置专门的选项、功能、界面等)设置相应的机制,便于个人信息主体在线行使其访问、更正、删除、撤回同意、注销账户等权利;
c)对合理的请求原则上不收取费用,但对一定时期内多次重复的请求,可视情收取一定成本费用;
d)如直接实现个人信息主体的请求需要付出高额的成本或存在其他显著的困难,个人信息控制者应向个人信息主体提供其他替代性方法,以保护个人信息主体的合法权益;
e)以下情况可不响应个人信息主体基于本标准7.6至7.12提出的请求,包括但不限于:
1)与个人信息控制者履行法律法规规定的义务相关的;
2)与国家安全、国防安全直接相关的;
3)与公共安全、公共卫生、重大公共利益直接相关的;
4)与犯罪侦查、起诉、审判和执行判决等直接相关的;
5)个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的;
6)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
7)响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;
8)涉及商业秘密的。
7.14申诉管理
个人信息控制者应建立申诉管理机制和申诉跟踪流程,并在合理的时间内对申诉进行响应。
8个人信息的委托处理、共享、转让、公开披露
8.1委托处理
委托处理个人信息时,应遵守以下要求:
a)个人信息控制者作出委托行为,不得超出已征得个人信息主体授权同意的范围或遵守本标准5.7规定的情形;
b)个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者达到
10.4节数据安全能力要求;
c)受委托者应:
1)严格按照个人信息控制者的要求处理个人信息。 如受委托者因特殊原因未按照个人信息控制者的要求处理个人信息,应及时向个人信息控制者反馈;
2)如受委托者确需再次委托时,应事先征得个人信息控制者的授权;
3)协助个人信息控制者响应个人信息主体基于本标准7.6至7.12提出的请求;
4)如受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件,应及时向个人信息控制者反馈;
5)在委托关系解除时不再保存个人信息。
d)个人信息控制者应对受委托者进行监督,方式包括但不限于:
1)通过合同等方式规定受委托者的责任和义务;
2)对受委托者进行审计。
e)个人信息控制者应准确记录和保存委托处理个人信息的情况。
8.2个人信息共享、转让
个人信息原则上不得共享、转让。 个人信息控制者确需共享、转让时,应充分重视风险。 共享、转让个人信息,非因收购、兼并、重组、破产原因的,应遵守以下要求:
a)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b)向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。 共享、转让经去标识化处理的个人信息,但确保数据接收方无法重新识别个人信息主体的除外;
c)共享、转让个人敏感信息前,除8.2b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
d)准确记录和保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;
e)承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任;
f)帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等。
8.3收购、兼并、重组、破产时的个人信息转让
当个人信息控制者发生收购、兼并、重组、破产等变更时,个人信息控制者应:
a)向个人信息主体告知有关情况;
b)变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。
8.4个人信息公开披露
个人信息原则上不得公开披露。 个人信息控制者经法律授权或具备合理事由确需公开披露时,应充分重视风险,遵守以下要求:
a)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b)向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意;
c)公开披露个人敏感信息前,除8.4b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;
d)准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;
e)承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;
f)不得公开披露个人生物识别信息、基因信息。
8.5共享、转让、公开披露个人信息时事先征得授权同意的例外
以下情形中,个人信息控制者共享、转让、公开披露个人信息无需事先征得个人信息主体的授权同意:
a)与个人信息控制者履行法律法规规定的义务相关的;
b)与国家安全、国防安全直接相关的;
c)与公共安全、公共卫生、重大公共利益直接相关的;
d)与犯罪侦查、起诉、审判和判决执行等直接相关的;
e)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
f)个人信息主体自行向社会公众公开的个人信息;
g)从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
8.6共同个人信息控制者
当个人信息控制者与第三方为共同个人信息控制者时(例如服务平台与平台上的签约商家),个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。
注:个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包SDK、调用地图API接口),且该第三方并未单独向个人信息主体征得收集、使用个人信息的授权同意,则个人信息控制者与该第三方为共同个人信息控制者。
8.7第三方接入管理
当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不适用本标准8.1和8.6的,对个人信息控制者的要求包括:
a)应建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;
b)应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
c)应向个人信息主体明确标识产品或服务由第三方提供;
d)应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
e)应要求第三方根据本标准相关规定要求向个人信息主体征得收集个人信息的授权同意,核验其实现本项要求的方式;
f)应要求第三方产品或服务建立响应个人信息主体请求、申诉等的机制,并妥善留存、及时更新,确保个人信息主体查询、使用;
g)应督促和监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
h)涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜:
1)开展技术检测确保其个人信息收集、使用行为符合约定要求;
2)宜对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定行为的及时切断接入。
8.8个人信息跨境传输要求
在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应当按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估,并符合其要求。
9个人信息安全事件处置
9.1个人信息安全事件应急处置和报告
对个人信息控制者的要求包括:
a)应制定个人信息安全事件应急预案;
b)应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;
c)发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:
1)记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
2)评估事件可能造成的影响,并采取必要措施控制事态,消除隐患;
3)按《国家网络安全事件应急预案》等的有关规定及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;
4)如个人信息泄露事件可能会给个人信息主体带来较大的影响,如个人敏感信息的泄露,照本标准10.2的要求实施安全事件的告知。
d)发生超过100万人个人信息或者关系国计民生、公共利益的个人敏感信息(例如基因、生物特征信息、疾病等个人敏感信息)泄露、毁损、丢失的安全事件,应按照本条c)的要求将有关情况报网信部门;
e)根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。
9.2安全事件告知
对个人信息控制者的要求包括:
a)应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。 难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;
b)告知内容应包括但不限于:
1)安全事件的内容和影响;
2)已采取或将要采取的处置措施;
3)个人信息主体自主防范和降低风险的建议;
4)针对个人信息主体提供的补救措施;
5)个人信息保护负责人和个人信息保护工作机构的联系方式。
10组织的管理要求
10.1明确责任部门与人员
对个人信息控制者的要求包括:
a)应明确其法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
b)应任命个人信息保护负责人和个人信息保护工作机构,个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任,参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作;
c)满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
1)主要业务涉及个人信息处理,且从业人员规模大于200人;
2)处理超过100万人的个人信息,或在12个月内预计处理超过100万人的个人信息。
d)个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于:
1)全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
2)组织制定个人信息保护工作计划并督促落实;
3)制定、签发、实施、定期更新隐私政策和相关规程;
4)应建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
5)开展个人信息安全影响评估,提出个人信息保护的对策建议;
6)组织开展个人信息安全培训;
7)在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
8)公布投诉、举报方式等信息并及时受理投诉举报;
9)进行安全审计;
10)与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况。
e)应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。
10.2个人信息处理活动记录
宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录的内容可包括如下方面:
a)所涉及个人信息类别、数量、来源(例如从个人信息主体直接收集或通过间接获取方式获得);
b)根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;
c)与个人信息处理各环节相关的信息系统、组织或人员。
10.3开展个人信息安全影响评估
对个人信息控制者的要求包括:
a)建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险;
b)个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:
1)个人信息收集环节是否遵循目的明确、选择同意、最少够用等原则;
2)个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括处理是否会危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等;
3)个人信息安全措施的有效性;
4)匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险;
5)共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
6)如发生安全事件,对个人信息主体合法权益可能产生的不利影响。
c)在产品或服务发布前,或功能发生重大变化时,应进行个人信息安全影响评估;
d)在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估;
e)形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;
f)妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
10.4数据安全能力
个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失。
10.5人员管理与培训
对个人信息控制者的要求包括:
a)应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查;
b)应明确内部涉及个人信息处理不同岗位的安全职责,以及发生安全事件的处罚机制;
c)应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务;
d)应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督;
e)应建立相应的内部制度和政策对员工提出个人信息保护的指引以及要求;
f)应定期(至少每年一次)或在隐私政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握隐私政策和相关规程。
10.6安全审计
对个人信息控制者的要求包括:
a)应对隐私政策和相关规程,以及安全措施的有效性进行审计;
b)应建立自动化审计系统,监测记录个人信息处理活动;
c)审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;
d)应防止非授权访问、篡改或删除审计记录;
e)应及时处理审计过程中发现的个人信息违规使用、滥用等情况。
English
中文(简体)
Be First to Comment