1、 1/18�������1 企业个人信息保护合规思路与实践报告 2/181 发布单位:360 集团 指导单位:中国信息通信研究院 360 法律研究院简介 360 法律研究院是隶属于 360 集团法务中心的高端智库。旨在依托 360 集团卓越的网络安全技术、多元化的产品形态和丰富的法律实践,围绕数字经济发展的前沿性问题,立足国家安全和行业发展,通过开放合作的研究平台,汇集各界智慧,协同解决互联网行业新型法律问题,为共建网络空间命运共同体提供战略支撑,理论保障和人才支持。声明 1.本报告著作权归属 360 集团,谨为企业研究成果参考,不具备监管指导作用,依据本文件不代表完全符合最新执法监管要求。2.报告可供各类
2、型企业建设完善自身个人信息保护制度体系、提升内部专业人员和部门团队能力建设水平,打造企业良好社会品牌与公众形象进行参考。3.本报告仅基于学术探讨目的使用,不代表所有贡献作者所在单位观点。企业个人信息保护合规思路与实践报告 3/181 目录 第一章 处理的个人信息类型与要求.8 一.个人信息的概念、类型.8(一)个人信息(个人数据).8(二)个人敏感信息.8 二.个人敏感信息的保护要求.8(一)特殊标记.8(二)增强告知.8(三)强�������加密.9(四)单独存储.9(五)独立规则.9 三.一般与敏感的判定标准.9 第二章 处理的原则要求.14 一.合法、正当、必要.14 二.原则拆解.14(一)权责一致
3、.14(二)目的明确.14(三)公开透明.15(四)选择同意.15(五)最小必要.15(六)确保安全.15(七)主体参与.16 第三章 处理行为要求.17 一.收集.17(一)收集的合法基础.17(二)收集的最小必要原则.21(三)禁止行为.21(四)我方身份.28(五)收集的数据类型.28(六)收集来源方式.2�����8 二.存储.30(一)存储的告知同意.30(二)存储地域范围.30 企业个人信息保护合规思路��������与实践报告 4/181 (三)存储形式.31(四)敏感个人信息的存储.32(五)匿名化.33(六)去标识化.35(七)存储的期限要求.38(八)超期处理方式.40 三.使用.40(一)告知同意
4、.40(二)展示限制.41(三)目的限制.41(四)用户画像的使用限制.42(五)个性化展示的使用.43(六)基于不同业务目的所收集个人信息的汇聚融合.47(七)信息系统自动决策机制的使用.48 四.共享、转让.49(一)原则不得共享、转让.49(二)合法依据、理由.49(三)非因收购、兼并、重组、破产原因的共享、转让.50(四)因收购、兼并、重组、破产原因的共享、转让.51(五)记录.51 五.公开披露.51(一)原则不得公开披露.51(二)合法依据、理由.51(三)禁止行����为.52(四)记录.52(五)担责.53 六.委托处理.53(一)总体要求.53(二)我方委托第三方.53(三)我方作为
5、受托方.55 七.共同控制.57 八.第三方接入(SDK).58(一)控制者的一般要求.58(二)SDK 的特别注意.60 九.用户的权利.66 企业个人信息保护合规思路与实践报告 5/181 (一)查询(访问)、获取副本、更正、删除、注销账号.66(二)撤回同意.69(三)响应.70(四)用户权利限制.70(五)投诉、举报、申诉.71 十.跨��境传输.72(一)合法依据.72(二)接收方的可靠性.74(三)各方责任、义务的划分.74(四)他国法律监管因素影响.74(五)记录全过程.75 十一.未成年人与儿童保护.76(一)需要保护未成年人和儿童的产品或服务.76(二)未成年人与儿童的范围.76
6、(三)儿童个人信息作为个人敏感信息加强保护.76 十二.停止运营.81 十三.记录.81 第四章 特殊场景下的个人信息.83 一.物联网场景下个人信息.83(一)智�������能家居设备一般要求.83(二)智能音箱收集个人信息的告知同意.84(三)健康穿戴与管理.85 二.公共场合场景下个人信息.86 三.车载场景下个人信息.87�������� 四.个人金融信息.88(一)个人金融信息的主要类别.88(二)告知同意要求.90 五.面部识别等生物特征识别信息.91 第五章 个人信息安全工程(隐私设计).93 第六章 组织、制度、技术要求.98 一.应设立专职个人信息保护负责人与机构.98 二.应建立健全制度体系.99(一
7、)应设置个人信息处理的管理、审批流程.99 企业个人信息保护合规思路与实践报告 6/�������181 (二)应严格管理内外部人员.101(三)应严格管理第三方.102(四)应充分记录留痕.103(五)应重视隐私设计与规划.103(六)应进行事前风险评估.103(八)应开展个人信息安全影响评估.104(七)应建立个人信息应急机制和预案.107(八)应进行安全审计.108 三.应有足以保护个人信息安全的技术措施.109 第七章 监管动向与法律后果.111 一.监管动向.111 二.法律后果.113(一)刑事责任.113(二)行政责任.115(三)民事责任.117 三.典型案例.117 第八章 常见问题.11
8、9 一.弹窗.119 二.权限问题.120(一)权限的获取.120(二)权限的退出.121(三)最小权限示例.121 三.告知同意的机制设计.121 四.第三方身份界定与责任划分.122(一)身份界定.122(二)责任划分.122 五.不同业务个人信息的汇聚融合.123 六.隐私政策自评估.124(一)基本内容.124(二)注意点.126 七.App 安全测评.���������127(一)App 个人信息安全测评过程.128(二)App 个人信息安全测评方法.128 企业个人信息保护合规思路与实践报告 7/181 (三)�������结果判定.131 附录一:Q&A.132 附录二:主要参考法规依据.135 附录三:开发设
9、计实践参考.141 第一部分 概述.141 第一章第一章 前言前言.141 第二章第二章 确定确定 AppApp ������功能功能.142 第三章第三章 确定确定所收集的个人信息������种类所收集的个人信息种类.145 第四章第四章 AppApp 中的中的 SDKSDK.156 第二部分 以用户为中心的产品设计与开发.159 第一章第一章 用户下载安装用户下载安装 AppApp.159 第二章第二章 用户首次开启使用用户首次开启使用 AppApp.160 第三章第三章 用户注册账户登录用户注册账户登录 AppApp.163 第四章第四章 收集生物特征识别信息或者申请敏感权限收集生物特征识别信息或者申请敏感权限
10、.165 第五章第五章 AppApp 运行和用户管理运行和用户管理 AppApp.166 第六章第六章 AppApp 变更和隐私政策修改变更和隐私政策修改.167 第七章第七章 用户注销账户用户注销账户.169 第三部分 传输与存储.170 第四部分 产品个人信息合规评估清单.171 企业个人信息保护合规思路与实践报告 8/181 第一第一章章 处理的处理的个人信息个人信息类型类型与要求与要求 一一.个人个人信息信息的概念、的概念、类型类型 (一一)个人信息(个人数据个人信息(个人数据)以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自�������然人身份或者反映特定自然人活动情况的各种信息。1
11、 对用户信息进行分析加工、用户画像、特征标签,能够单独或与其他信息结合识别个人的,属于个人信息。(二二)个人敏感�������信息个人敏感信息 一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。2 二二.个人个人敏感信息的敏感信息的保护要求保护要求 重点要求有以下几点:(一一)特殊标记特殊标记 收集需要与产品或服务的功能强关联;在隐私政策中显著标记,如字体加粗、斜体、特别颜色、标记星号等。(二二)增强告知增强告知 按风险评估情况设计告知同意方案,关键规则增强告知,在收集处理时
12、进行即时告知,不限于弹窗、浮窗、文字备注、提示条等方式,同����步告知目的、方式、范围、安全保护措施;3 1信息安全技术 个人信息安全规范(GB/T 35273-2020)。2 同上以及个人信息保护法(草案)(二次审议稿)。3信息安全技术 个人信息告知同意指南(征求意见稿)。企业个人信息保护合规思路与实践报告 9/18�����1 尽可能弹窗或其他形式显著提示,征得用户明示同意,如用户自主点击同意、自主填写提交;收集敏感个人信息时,应通过弹窗提示等显著方式向用户明示收集、使用个人信息的目的、方式、范围。4(三三)强加密强加密 存储管理,需更强的加密等保护措施,按风险评估思维开展分级分类管理。(四四)单独存储单
13、独存储 个人生物识别信息应与个人身份信息分开存储。原则上不应存储原始个人生物识别信息(如样本、图像等),可以仅存储个人生物识别信息的摘要信息、在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能、或者在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。5(五五)独立规则独立规则 涉及儿童、生物特征识别信息的,需要有专门的保护规则;儿童个人信息保护规则可以将链接嵌入隐私政策里+核验监护人的同意措施;生物特征识别信息保护规则需要单独告知用户,可在首次下载运行时与隐私政策同步告知用户。例如������,设计两个层次,第一层是生物特征识别信息保护规则,下一
14、层则是隐私政策或通过单独链接与隐私政策链接并列展示。三三.一般一般与与敏感敏感的判定标准的判定标准 除了依据概念判断外,可参考“表 1-1 个人信息列举�������”加粗与说明部分。表 1-1 个人信息列举6 4 网络安全标准实践指南移动互联网应用程序(App)违法违规收集使用个人信息自评估指南2.3 https:/ 2020 年 �������7 月 27 日。5 参照信息安全技术 个人信息安全规范 (GB/T 35273-2020。)。6 同上。企业个人信息保护合规思路与实践报告 10/181 儿童(14 周岁(含)以下)个人信息和自然人隐私信息一般被认为是个人敏感信息,以下加粗部分为个人敏感信息或建议按照个人敏感
15、信息保护,应在隐私政策中通过加粗字体、颜色变化等形式展示。1 个人基本资料 姓名、生日、性别、民族、国籍、家庭关系、住址、电话号码、电子邮件地��������址等 2 个人身份信息 身份证、军官证��������、护照、驾驶证、工作证、出入证、社保卡、居住证等 3 个人生物识别信息 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 4 网络身份标识信息 系统账号、个人信息主体账号、IP 地址、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等 5 个人健康生理信息 个人生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊
16、治情况、家族病史、现病史、传染病史等,以及个人身体健康状况产生的相关信息,及体重、身高、肺活量等 6 个人教育工作信息 职业、职位、工作单位、学历、学位、教育/工作经历、培训记录、成绩单等 7 个人财产信息 银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、借贷记���录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 8 个人通信信息 通信记录和内容、短信、彩信、电子邮企业个人信息保护合规思路与实践报告 11/181 Cookies 所收集的信息是个人信息么?7答案是不一定的:并非所有Cookies 收集的信息都是个人信息,具
17、体判断该信息是否属于个人信息仍应当参考前述个人信息的定义,需从信息的关联性和可识别性出发进行分析。例如,用于自动判断网站语言的 Cookies 所收集的信息则不属于个人信息。8 那么 Cookies 所收集的信息是敏感个人信息么?同样的,这需要根据 Cookies 相关技术收集的具体个人信息属性来单独判断。使用Cookie等同类技术(包括脚本、Clickstream、Web 信标、Flash Cook�������ie、7 GDP�������R 下有关 Cookies 因未明示同意、未同时告知撤回权利和选择等的违规案例 https:/ 2020 年 4 月 26日。8 Cookies,the GDPR,and the
18、ePrivacy Directive,https:/gdpr.eu/cookies/,最后访问日期����� 2021 年 6 月 21 日。件,以及描述个人通信的数据(通常称为元数据)等 9 联系人信息 通讯录、好友列表、群组列表、电子邮件地址列表等 10 个人上网记录 指通过日志储存的个人信息主体操作记录,包括网站(网页)浏览记录、软件使用记录、点击记录、收藏列表等 11 个人常用设备信息 指包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码地址、软件列表、唯一设备识别码(如 IMEI/Android ID/IDFA/OpenUDID/GUID/SIM 卡 IMSI 信息等)等在内的描述个
19、人常用设备基本情况的信息 12 个人位置信息 行踪轨迹、精准定位信息、住宿信息、�������经纬度等 13 其他个人信息 政治观点、宗教信仰、婚史、性取向、未公开的违法犯罪记录等 企业个人信息保护合规思路与实践报告 12/181 内嵌 Web 链接等)收集个人信息时,简要说明相关机制,以及收集个人信息的目的、类型。9 未征得用户同意前,不利用 Cookie 等同类技术或通过调用可收集用户个人信息的权限、接口等方式收集个人信息。10例如,同类技术 Beacon 不能获取除本网������站已获得用户授权的个人信息以外的其他信息。实操中可将 Cookies 进行分类:功能实现绝对必要类(如购物车,提供电子账单);功能改善
20、或提升产品体验类;广告推荐类;数据分析类等,对不同的类别告知同意的要求不同。全面告知:包括 Cookies 的用途������、运行持续时间、数据保留期限(Cookies的到期日)、第三方是否有权访问这些 Cookies,如第三方可访问必须告知第三方身份、类型及第三方访问 Cookies 所收集的数据。告知用户权利,可拒绝或全部接受、部分接受 Cookies 的方式,以及如何更改 Cookies 设置;使得用户能够非常清楚其给予同意的后果并可以评估其行为的效果等。【Cookies 等相关技术使用合规与������界面交互要点】收集 Cookie 必须明确告知用户,并征得用户事先的、明示的同意,不应提前勾选同意,且应具
21、有较强的必要性。不应强制或捆绑同意;Cookies 使用必需符合隐私政策所述之目的;用户访问网站时,以 Cookie Banner 等形式提示用户,并给予用户点击“同意”或者“不同意”的选项;保障用户根据自己的偏好管理或清除网站内保存的所有 Cookies 的权利,对管理 Cookies 路径进行描述;提供“请勿追踪”功能;9 网络安全标准实践指南移动互联网应用程序(App)违法违规收集使用个人信息自评估指南https:/ 2020 年 7 月 27 日。1������0 同上。企业个人����信息保护合规思路与实践报告 13/181 如果授权第三方使用 Cookies 等自动数据收集工具,也需要进行说明。场景示
22、例-Cookie 显示设置 英国 Information Commissio�������ners Office(ICO)官网 Cookie Banner 在浏览器、搜索产品等网页端使用 Cookie Banner 进行提示,同时说明“Cookies 是由用户访问的网站向浏览器发送的一小段文本文件,常用来简化用户重复登录的步骤、帮助网站记住用户的设备和使用服务的偏好、分析用户使用网站的情况,从而帮助用户获得更轻松的访问体验,并向用户推荐可能感兴趣的网站或其他服务。”给予用户“同意”、“不同意”、“更改设置”三个点击选项。“更改设置”将 Cookies 分为 3 种,分别为必需收集的 Cookie、改善用户体
23、验但非必需的 Cookie、广告追踪 Cookie。每�����一种类型的Cookie 均详细列举,提供“同意提供”或者“不同意提供”选项。“更改设置”选项需在网站主页容易查找,以供用户随时更改。企业个人信息保护合规思路与实践报告 14/181 第第二二章章 处理的原则处理的原则要求 一一.合法、正当、必要合法、正当、必要 合法基础11:同意12 更多合法基础,如履行合同所必�����须等参考最新个人信息保护法。二二.原则拆解原则拆解 信息安全技术 个人信息安全规范(GB/T 35273-2020)对合法、正当、必要原则的拆解如下:(一一)权责一致权责一致 采取技术和其他必要的措施确保个人信息安全,就其个人信息处
����24、理活动对个人信息主体合法权益造成的损害承担责任。组织、制度、技术措施必须有,且有书面或其他形式的留存。(二二)目的明确目的明确 具有明确、清晰、具体的个人信息处理目的。必������须属实且尽可能穷尽,避免功能调试超出原始目的,造成需要二次同意的局面,甚至被评定为未经用户同意收集个人信息的后果。11 网络安全法:http:/ 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必合法、正当、必要要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。(不满 14 周岁需要监护人同意)网络运营者不得
25、收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。第四十四条:任何个人和组织不得窃取不得窃取或者以其他非法方式获取个人信以其他非法方式获取个人信息息,不得非法出售非法出售或者非法向他人提供非法向他人提供个人信息”等。12 参照最新个人信息保护法(草案)(二次审议稿)等法律法规及国标。企业个人信息保护合规思路与实践报告 15/181 (三三)公开透明公开透明 以明确、易懂、合理的方式公开处理个人信息的范围、目的、规则等,并接�������������受外部监督。必须有完备的隐私政策,告知清楚、全面,且不能用“等
26、”、“例如”字样。(四四)选择同意选择同意13 应向用户明示处理个人信息的目的、规则、范围等征得用户授权同意。一般所有用户个人信息的处理行为都必须要明示、且经用户明确同意。如业务认为有可�����不经同意的情形,必须经过公司合规评估部门的谨慎评估,必要情况需进一步咨询监管部门。(五五)最小必要最小必要14 只处理满足用户授权同意的目的所需要的最少个人信息类型和数量,目的达到后应及时删除。(六六)确保安全确保安全 具备与风险匹配的安全能力,采取足够的组织、制度、技术、管理等措施,保护个人信息的保密性、完整性、可用性。13 网络安全法第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,
�������27、公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。民法典中也规定征得用户同意是必备合法要件之一。关于告知同意的例外,关于告知同意的例外,需需进行个案具体分析进行个案具体分析决定决定,参考信息安全技术 个人信息安全规范或信息安全技术 个人信息告知同意指南(征求意见稿)或法律法规的规定。收集必须明示同意,不能默认勾选,且必须同步告知明确的目的,仅当用户知悉收集使用规则、目的、范围等并明确同意后才可收集个人信息,当收集的目的、范围变更时均要重新申请授权同意。14 2020 年 3 月公布的信息安全技术 个人信息安全规范A.收集的个人信息的类型应与实现产品或服务的业务功能有直
28、接关联直接关联;直接关联是指没有上述没有上述个人信息的参与,产品或服务的功能无法实现个人信息的参与,产品��������或服务的功能无法实现;B.自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;C.间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。企业个人信息保护合规思路与实践报告 16/181 (七七)主体参与主体参与 向用户提供显著的、易于操作的,访问(查询)、删除、更正、撤回授权同意、注销账户及投诉等方法途径。一般能够在产品界面完成的尽量做在产品界面,如产品界面难以实现的,提供有效的联系沟通方式。企业个人信息保护合规思路与实践报告 17/181 第第三三�������章章 处理行
29、为要求处理行为要求 一一.收集收集 (一一)收集的合法基础收集的合法基础 1.1.告知、同意告知、同意 企业应当向用户告知收集、使用的目的、方式和范围等规则,同�����时征得明示同意(征得同意前不得收集个人信息或通过 Cookies 等同类技术或通过调用权限、接口等方式收集个人信息),15并告知不同意的后果;同时应将用户主动点击、勾选、填写等作为功能开启的条件,确保功能开启后才可收集用户个人信息16。告知的内容:应真实、准确、完整。例如,逐一列明功能、所收集的个人信息、权限等;当在强关联的场景下,则说明个人信息收集的目的、方式、范围、提供个人信息可能导致的风险、不提供的后果、处理行为与处理规则、保护措
30、施、用户权利、投诉、申诉、举报的方式,采取要求用户明�����示同意,并给予用户撤回同意的渠道的方法。明示同意:在首次运行、用户注册时,通过弹窗、突出链接方式提醒用户阅读隐私政策;如果通过设置“下一步”“注册”“登录代表同意”等方式,应说明点击或执行前述动作与同意隐私政策之间的关系。如点击即代表同意本隐私政策等17。设置预选框的,由用户自主打勾,而非提前默认已勾选。(此点仍需紧密关注最新监管执法要求)将用户的主动填写、点击、勾选等主动行为作为收集个人信息的前提。15 网络安全标准实践指南移动互联网应用程序(App)违法违规收集使用个人信息自评估指南 https:/ 2020 年 7 月 28�������� 日。16
31、2020 年版信息安全技术 个人信息安全规范。17 网络安全标准实践指南移动互联网应用程序(App)违法违规收集使用个人信息自评估指南3.5 b)https:/ 访问日期 2020 年 7 月 28 日。企业个人信息保护合规思路与实践报告���� 18/181 2.2.告知告知、同意、同意方案方案 多层次告知,即采用一般告知、增强告知、以及即时提示三个层次来告知用户。弱化隐私政策的授权同意机制,在产品过程中体现交互性告知,如通过弹窗、用户提交、用户主动点击等方式;除一般告知外,个人信息处理关键规则应进行增强告知,比如将字体进行加粗、斜体化处理等;收集敏感个人信息时,需要做到即时提示,以明确告知收集的类
32、型、目的、方式、范围,确保用户完全知情,且自主、具体、明确的同意。(收集敏感个人信息时,通过显著方式告知目的,且目的明确、易懂;18)收集个人生物识别信息,收集前单独告知������目的、方式、范围、存储时间等专门规则,并征得明示同意。收集满 14 周岁未成年人的个人信息前,征得未成年或监护人同意;未成年人不满 14 周岁的周岁的,只能监护人同意,且对监护人有适当的核验。【一般规则】:合规最低要求为对收集的个人信息至少在隐私政策中说明。收集面部识别、生理健康、银行金融、行踪轨迹信息等敏感信息,最好有单独弹窗提示并让用户点击同意;如果无法由用户单独点击同意,至少有浮窗或者备注进行说明。18 同上。场景示例
33、一款行车记录仪如果需要后台持续获取地理信息(例如GPS),该信息为行踪轨迹信息,属于个人敏感信息。应当在需要触发该权限时,通过弹窗单独申请地理位置权限。如弹窗提示内容为“为了提供照片/视频分享路况和������事故等,需要您的地理位置权限,您可以在设备中随时关闭改功能。”同时提供“始终允许”、“使用 App 时允许”、“仅限本次”三个选项。企业个人信息保护合规思路与实践报告 19/181 所有行车记录仪、扫地机、儿童手表、路由器等物联网产品、固件,均需要在说明书中说明收集个人信息情况,同时采取如添加隐私政策二维码等方式告知用����户关于个人信息处理活动等方面的内容。所有行车记录仪、扫地机、儿童手表、路由器等物联
34、网产品、固件,如果连接家庭类 App,需在该等家庭类 App 个人信息保护政策中说明;如果没有此类 App,则需在公司网站主页个人信息保护政策中说明。场景示例 1 一款智能家居产品(例如扫地机)可以通过手机 App进行操作和功能控制,在用户下载 App 后、注册成为用户前,应当通过个人信息保护政策告知智能家居产品收集处理个人信息的目的、方式、种类�����等。通过专门针对智能家居产品的个人信息保护政策或者链接到公司网站的一般个人信息保护政策,均为一般告知。在智能家居产品的说明书中还可以附上个人信息保护政策全文或者摘要,以便说明。场景示例 2-一款智能家居产品(例如智能门锁)可以通过手机 App进行操作和
35、功能控制,在用户下载 App 后、注册成为用户后,如果需要启动指纹或者人脸识别开锁功能,应当单独弹窗提示用户������是否授权、告知具体的目的,以满足法律要求敏感信息单独告知并获得用户同意的要求。场景示例 3 如一款购物 App 在用户订单界面备注显示“我们仅提供流水订单号、商品名称和交易金额给第三方支付机构以完成支付,我们不会从第三方支付机构获取您的银行卡号和密码等信息。”同时,在个人信息保护政策中申明“为了满足反洗钱要求,我们可能会在满足法律规定的条件下,分享您的账户信息、联系方式、地址、所购买的商品名称信息。”企业个人信息保护合规思路与实践报告 20/181 3.3.再次告知、征得同意再次告知、征
36、得同意 当收集的目的、方式、范围等重要因素发生变化的,应当再次告知,。可采取等收集使用规则,并征得用户同意。可采取更新隐私政策等收集使用规则的方式,并通过推送消息、邮件、弹窗、着重提示等方式提醒用户阅读发生变化的条款。19 4 4.其他合法基础其他合法基础 在以下情形下,不需要征得用户同意20:为订立或者履行个人作为一方当事人的合�����同所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;依照本法规定在合理的范围内处理已公开的个人信息;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;19 同上。20 个人信息保护
37、法(草案)(二次审议稿)。场景示例 一款社交 App 更新了隐私政策中的收集使用规则,在用户打开 App 时,跳出弹窗提示用户阅读更新后的隐私政策。在弹窗中可采用如下话术:“隐私政策更新提示:我们更新了隐私政策,并将严格按照隐私政策保护您的个人信息。本次更新调整了我们产品与/或服务收集、使用及共享个人信息的类型方式和用途;增加了用户账户的注销功能;若您不同意隐私政策,将影响您使用本产品与/或服务。”(请结������合最新隐私政策相关标准)企业个人信息保护合规思路与实践报告 21/181 法律、行政法规规定的其他情形。(二二)收集的最小必要原则收集的最小必要原则 1.收集个人信息的类型、开启的权限应与实现
38、产品或服务的业务功能有直接关联(直接关联是指没有上述个人信息,产品或服务的功能在技术上无法实现);2.自动采集个人信息的频率应是实现产品或服务业务功能所必需的最低频率;3.获取个人信息数量应是实现产品或服务的功能所必需的最少数量;4.开启的权限数量应是实现产品或服务的业务功能所必需的最少数量。(三三�������)禁止行为禁止行为 1.1.不能非法收集不能非法收集 (1)不能以欺骗、诱骗、误导的方式收集个人信息;(2)不能隐瞒收集个人信息的功能;(3)不能从非法渠道获取个人信息;(4)不应收集禁止收集的个人信息、不能大规模收集种族、������民族、政治观点、宗教信仰等敏感个人信息;(5)个人生物识别信息应单独、显著征
39、求同意;仅收集和存储摘要信息仅收集和存储摘要信息,避免收集原始数据。我国关于个人信息保护的规定包括强制性法律规定和推荐性标准规定,在收集和处理个人信息时,如果违反法律强制性规定,将直接导致个人信息收集和处理违法。例如,网络安全法第四十一条要求运营者公开收集、使用规则,如果在 App 中没有隐私政策,或者隐私政策中没有收集使用个企业个人信息保护合规思路与实践报告 22/181 人信息规则,将直接违反法律规定,可能受到的处罚包括主管部门责令改正,警告、没收违法所得、处违法�������所得一倍�������以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
40、情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。场景示例1-利用爬虫技术等编写程序或者脚本以自动化方式抓取网页信息要符合法律规定,不能绕过安全防护边界侵入计算机信息系统,不建议违反网站 Robots 协议抓取不能抓取的信息。2.2.不能不能违反收集的必要原则违反收集的必要原则 (1)不应收集的个人信息类型或打开的可收集个人信息�����的权限与现有业务功能无关;(2)不应因用户不同意收集非必要个人信息或打开非必要权限拒绝提供业务功能;(3)App 新增业务功能申请收集的个人�����信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务
41、功能的除外;(4)收集个人信息的频度等超出业务功能实际需要;在 App 未打开或处于后台运行状态时,�����不收集用户个人信息,除非该业务功能需要后台运场景示例 2 不能从来源不明的渠道�������、黑市购买通讯录、邮箱地址、信用卡信息、征信信息等个人信息。例如,利用 QQ 群和微信群,寻找出售个人信息的网友,购买“快递提取”软件程序,批量下载个人的快递订单信息,将构成刑事犯罪。企业个人信息保护合规思路与实践报告 23/181 行时继续提供服务,如导航功能等;21 注:在用户主动关闭 App 后,未经用户同意,没有较强必要性的情况下,不采用自启动、关联启动方式收集个人信息。(5)不得以改善使用体验、提升服务质量,
42、新产品研发、增强安全性等为由强迫用户同意个人信息的收集�������或权限的开启22;(因文件规定不同,导致本条与强制捆绑部分有重合之处)(6)不得要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用;23(7)用户可以拒绝与功能相关但非必要的个人信息收集或权限的打开,如确需要收集,应事先征得用户的自主选择同意;(8)其他业务功能所需个人信息或权限,不应作为本功能的使用前提条件;浏������览/游客模式,不因用户拒绝提供其他个人信息或权限打开,而不能浏览。24 场景示例-安全类产品申请或者使用位置权限与杀毒业务功能无关,而行车记录仪收集使用位置权限与业务功能有关;除依托获取身体传感器信息权限(BODY
43、_SENSORS)提供心率测量等功能的 App 外,其他App 不应申请传感器权限;在注册账号时开展人脸识别的,应同时提供非人脸识别方式,并提 �������21 网络安全标准实践指南移动互联网应用程序(App)违法违规收集使用个人信息自评估指南https:/ 访问日期 2020 年 7 月 28 日。22 信息安全技术 个人信息安全规范(GB/T 35273-2020)。23 App 违法违规收集使用个人信息行为认定方法第四条 违反必要原违反必要原则,收集与其提供的服务无关的个人信息则,收集与其提供���的服务无关的个人信息 http:/ 网络安全标准实践指南移动互联网应用程序(App)违法违规收集使用个人信息
44、自评估指南https:/ 访问日期 2020 年 7 月 28 日。企业个人信息保护合规思路与实践报告 24/181 供用户选择使用。同时,不应因用户拒绝收集人脸识别数据而拒绝用户使用基本业务功能。25 用户体验改进计划的修正在以“改善服务质量、提升用户体验、定向推送信息、研发新产品”为由收集个人信息时,需要在个人信息保护政策或者弹窗提示中具体描������述改善的服务质量类别等,且确实与产品功能有关,不能泛泛地使用上述描述。例如,为了实现通话记录管理、备份恢复、骚扰电话拦截等功能,不能仅说明“我们将为了改善服务质量,申请通话记录权限组中的权限”,而是详细说明“我们将为了测试、提高通话记录管理、备份恢复、
45、骚扰电话拦截功能,申请通话记录权限组中的权限”。应尽可能对应到具体的功能中去,如保障账户或运营安全(并进一步展开描述)26。如为了实现本目的,需要由用户自主选择开启或关闭。收集 IMEI 号、M�����AC 地址等只能用于保障网络安全或运营安全以外的目的27保障网络安全或运营安全以外28(紧密关注个人信息保护法及时调整),且不能过早(至少不应在同意隐私政策之前)申请相应权限或收集相应个人信息29。如连接设备等基本功能在技术上只能依赖这两个信息才能实现,需要进一步描述必要性。3.3.不能不能强制强制捆绑������捆绑 针对安卓端,建议 targetSdkVersion 值设置大于 26、不应小于 23。企业不应通
46、过声明机制,在安装 App 时要求用户一次性同意打开多个可收 25 信息安全技术 人脸识别数据安全要求(征求意见稿)。26 为了网络运行安全、产品运维安全等目的,同时应参考最新法律法规和国家标准的要求。27 信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)。28 同上。29 收集 IMEI 号、MAC 地址同样需参考最新法律法规和国家标准的要求。企业个人信息保护合规思�������路与实践报告 25/181 集个人信息的权限。同时,在产品设计和开发时,企业应当注意:(1)不得以改善用户体验、提升服务质量,新产品研发等为由强迫用户同意个人信息的收集或权限的开启;(2)不能捆绑强迫用
47、户接受某项或所有业务功能,不能一揽子征集所有授权、权限;(3)不能因用户不同意某部分个人信息的收集,而拒绝提供所有服务或其他服务功能,或降低其他功能的质量,即使是基本功能所必要的;(����4)关闭或退出业务功能的途径与选择使用的途径方法同样便利,用户关闭或退出功能后应停止收集个人信息。4.4.禁止未公开收集使用规则禁止未公开收集使用规则30 5.5.禁止未明示收集使用个人信息的目的、方式和范围禁止未明示收集使用个人信息的目的、方式和范围31 30App 违法违规收集使用个人信息行为认定方法第一条 未公开收集使未公开收集使用规则用规则 http:/ App 中没有隐私政策,或者隐私政策中没有收集使用个
48、人信息规则;B.在 App 首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;C.隐私政策等收集����使用规则难以访问,如进入 App 主界面后,需多于 4 ������次点击等操作才能访问到;D.隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。31App 违法违规收集使用个人信息行为认定方法第二条 未明示收集使未明示收集使用个人信息的目的、方式和范围用个人信息的目的、方式和范围 http:/ App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;B.收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适
49、当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;C.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其�������目的,或者目的不明确、难以理解;D.有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。企业个人信息保护合规思路与实践报告 26/181 场景示�������例-告知的目的需具体、明确 目的:对处理个人信息的目的描述要清楚具体,不能将功能描述和使用目的描述同义反复,例如不能称“当你使用相机相册功能时,我们会申请和使用你的相机/相册权限及照片信息”,需要修改为“我们收集照相机权限的目的是扫描二维码,以添加联系人(家人、好
50、友),上传、保存图片”;方式:收集个人信息的方式包括自动化�����收集方式,例如描述“我们将使用Cookie、脚本、Clickstream、Web 信标、Flash Cookie、内嵌 Web 链接等收集个人信息”;范围(收集的个人信息种类):例如增加语音识别功能时,需同时修改个人信息保护政策,因为该政策中没有提到的个人信息或权限,不应收集使用。6.6.禁止未经用户同意禁止未经用户同意,私自收集使用个人信息私自收集使用个人信息32 在用户触达特定功能前,不得申请预先收集个人信息或申请开启相应权限,32App 违法违规收集使用个人信息行为认定方法第三条 未经用户同意未经用户同意收集使用个人信息收集使用个
51、人信息 http:/ Cookie 等同类技术、�����或私自调 用可收集用户个人信息的权限等方式收集个人信息 B.用户明确表示不同意后,仍收集个人信息或打开可收集个人信息���的权限,或频繁征求用户同意、干扰用户正常使用;C.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;D.以默认选择同意隐私政策等非明示方式征求用户同意;E.未经用户同意更改其设置的可收集个人信息权限状态,如 App 更新时自动将用户设置的权限恢复到默认状态;F.利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项;G.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收
52、集使用个人信息的真实目的;H.未向用户提供撤回同意收集个人信息的途径、方式;I.违反其所声明的收集使用规则,收集使用个人信息。企业个人信息保护合规思路与实践报告 27/181 实际收集的个人信息与隐私政策中声明的应保持一致。�������7.7.禁止禁止频繁征得同意频繁征得同意 不得在用户明确拒绝使用某类服务后,频繁(每 48 小时超过 1 次)要求用户同意该服务33 在 App 未打开或处于后台运行状态时,不得收集用户个人信息,除非业务功能需要后台运行时继续提供服务,如在使用导航功能时。注:在用户主动关闭 App 后,未经用户同意不得采用自启动、关联启动方式收集个人信息。34 关联启动体现为打开手机安装的
53、某一个 App 软件,其他 App 软件同时被“唤醒”,在用户没有操作的情况下自启动,主要存在于安卓系统,导致耗电量、流量使用增加、占用 CPU 和内存资源、暴露于恶意代码环境中等。关联启动主要用于消息推送和进程保活。例如,有的第三方推送 SDK 采用了联合唤醒的机制,只要使用了同一家的 SDK,启动其中一个 App 的时候就会唤醒其它所有集成了该家 SDK 的 App 推送进程,以保证所有 App 消息推送的送达率;用户长久不使用的 App,无法显示服务进程,一旦������用户选择不主动打开 App,就无法与用户进行任何通信,影响日活率。目前有的手机硬件厂商提供安卓系统中展示和关闭关联启动的功能。20
54、17 年,由工信部指导成立的包含了主流手机厂商和用户基数大的 A��������pp开发商组成的“安卓统一推送联盟”,旨在推动各应用运营者能够通过的统一推送服务的完成消息推送,各应用无需自己考虑消息推送的问题,把这 在用户实际使用相应功能前,不得收集相应的个人信息,申请相应的权在用户实际使用相应功能前,不得收集相应的个人信息,申请相应的权限。限。仅当用户用到功能时方可申请相应权限,弹窗或用户主动填写、用户主动点击选择 场景示例:不得下载安装前收集 MAC 地址等任何个人信息;不得提前申请权限,用到相应功能时方可申请相应权限。33 信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)。3
55、4 网�����络安全标准实践指南移动互联网应用程序(App)违法违规收集使用个人信息自评估指南https:/ 2020 年 7 月 27 日。企业个人信息保护合规思路与实践报告 28/181 个问题交由安卓系统层面去解决,从而避免自启动、关联启动方式的滥用。详见:安卓 App 通过“自启动/关联启动”唤醒会造成用户个人信息泄露吗?“关联启动”为用户启动某一个 App 时,该 App 带动其他 App“自启动”。根据开发者设计的关联启动触发的组件不同,用户可能感知或者无感知。例如触发活动组件后用户前台可感知,触发服务组件后台运行用户无感知。场景示例-关联启动后不收集个人信息;关联启动不能过于频繁(用户视
56、角);告知用户在设备中查看或者修改关联启动权限的路径。(四四)我方身份我方身份 企业需要说明主体的基本情况(主体身份、联系方式)。35通常,主体的选择(即“xxx 公司”)会和用户协议保持一致。(五五)收集的数据类型收集的数据类型 首先,企业需要判定、区分并显著标识(字体加粗、色彩区分等方式)个人敏感信����息,判断是否包含特殊数据类型,并进行特别的合规保护。例如,是否包含生物识别信息、未成年人个人信息、宗教信仰、政治观点、性取向、婚史、未公开的违法犯罪记录、基因、疾病信息等。(六六)收集来源收集来源方式方式 来源合法(见收集部分的“禁止行为”)1.1.自主收集自主收集 (1)通过产品或服务直接获取
57、。不得私自收集(一般指未经用户的明示同意,弹窗、浮窗、文字备注等,未在隐私政策中充分说明。)35 信息安全技术 个人信息安全规范(GB/T 35273-2020)。�����企业个人信息保护合规思路与实践报告 29/181 (2)回传。需要与产品和服务的功能紧密关联,不必要的,不回传。(3)抓取。注意要点:A.限于合法公开渠道可获取的,且避免敏感个人信息;考虑公开渠道的可靠性、准确性及安全性;B.如非公开,抓取第三方的,必须事先获得明确的、书面的授权,对用户的授权进行必要核实并留存证明文件或痕迹;包括隐私政策、合同、承诺书、授权书、邮件往来、产品日志等;C.考虑是否为被����抓对象的重要商业利益数据,是否降低
58、了被抓对象的竞争优势,损害其利益;D.不得侵入他人计算机信息系统的方式获取,否则可能构成侵入计算机信息系统罪或非法获取计算机信息系统数据罪;如一定要抓,须征得被抓对象事前的、书面、明确的同意。2.2.间接收间接收集(集(从第三方获取从第三方获取)36 一般情况,企业必须逐一列明所有第三方及收集使用的目的、方式、范围,以及与功能的强关联性。间接收集、处理的前提37:以下需留存证明文件38(1)应要求第三方说明其数据来源,并对其合法性进行确认;(2)应了解第三方已获得的授权同意的范围,目的、方式,是否允许转让、共享、公开披露、删除等;(3)超出原授权范围的,在获取个人信息后合理期限�������(越早越好)内或
59、处理个人信息前征得个人信息主体的同意,或通过第三方征得个人信息 36 跟进最新信息安全技术 个人信息告知同意指南(征求意见稿)、信息安全技术 移动互联网应用程序 App 收集个人信息基本规范。37信息安全技����术 个人信息安全规范(GB/T 35273-2020)。38信息安全技术 个人信息告知同意指南(征求意见稿)。企业个人信息保护合规思路与实践报告 30/181 主体的同意。从第三方获取个人信息的具体情形,请见委托处理、共享、转让、公开披露、第三方接入等部分。二二.存储存储 (一一)存储的告知存储的告知同意同意 隐私政策需要说明存储的目的、方式、范围、存放地域,存放期限以及超期处理方式39。(
60、二二)存储地域范围存储地域范围 1.1.原则原则 企业在境内运营活动中收集的数据应存储在境内,出境需要按法规要求评估,以个人信息保护法、数据安全法、网络安全法等法规最新要求为准。2.2.关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数关键信息基础设施运����营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储据应当在境内存储40 因业务需要确需向境外提供的,需要依法经过评估。如何判断企业是否为关键信息基础设施,需要看关键信息技术设施相关法规细则或行业指导。3.3.特殊领域的������信息乃至特殊领域的信息乃至所涉所涉个人信息个人信息应应存储在境内存储在境内,出境需,出境需主管部门评估主管
61、部门评估 场景示例-除关键信息基础设施外,我国已明确的有提供云计算服务数据中心41、国 39App 违法违规收集使用个人信息自评估指南。40 网络安全法第三十七条。41 关于规范云服务市场经营行为的通知(公开征求意见稿)。企业个人信息保护合规思路与实践报告 31/181 家秘密42、增值电信�����43、审计底稿、气象卫星44、医疗健康大数据45、个人金融信息46、证券基金、外商投资期货47、私募投资基金48、征信数据49、人口健康信息50、人类遗传资源51、网约车、网络租赁自行车52、地图数据53等应存储在境内。(三三)存储形式存储形式 1.1.分类存储、加密存储分类存储、加密存储 如没有较�����强必要的
62、,则不要明文存储,企业必须采取必要的技术手段进行保护。场景示例-统一账号体系下的存储与注销 如为同一个账号体系下,不同产品数据应分开存储,查询访问、删除时需较为方便;统一账号体系,对于注销账户来讲,注销某个产品即注销整个集团产品的账号,需要向用户告知清楚注销账号的后果,“因为统一账号,注销意味着其他集团下的产品账号均被注销下的,其他产品将无法登录使用”,由用户在明确知悉的基础上,做出自主选择�������,在交互界面由用户点击选择同意“我已充分知悉后果下一步/确认注销所有账号”。与此同时,为用户提供仅注销或删除某一单独产品个人信息的方法。42 中华人民共和国保守国家秘密法。43 外商投资准入特别管理措施(负
63、面清单)(2020 年版)。44 风云气象卫星数据管理办法(试行)。45 国家健康医疗大数据标准、安全和服务管理办法(试行��������)。46 中国人民银行金融消费者权益保护实施办法。47 外商投资期货公司管理办法。48 证券基金经营机构信息技术管理办法(2021 修订)。49 征信业管理条例。50 人口健康信息管理办法(试行)。51 人类遗传资源管理暂行办法。52 网络预约出租汽车经营服务管理暂行办法。53 地图管理条例。企业个人信息保护合规思路与实践报告 32/181 2.2.备份存储备份存储 企业应当提供本地数据备份功能,同时将备份介������质进行场外存放,并具有异地数据备份功能。应有以下不少于一种方式54
64、:(1)应提供个人信息的本地数据备份与恢复功能,定期对备份数据进行恢复测试,保证数据可用性;(2)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;(3)应提供重要数据处理系统的热冗余,保证系统的高可用性。(四四)敏感个人信息敏感个人信息的存储的存储 1.企业应当做到对传输、存储阶段进行加���密;2.个人生物识别信息55应与个人身份信息分开存储,且仅收集、使用存储摘要信息,在存储时采取加密存储。原则上企业不应存储原始个人生物识������别信息(如样本、图像等),可采取的措施包括但不限于:(1)仅存储个人生物识别信息的摘要信息;(2)在采集终端中,直接使用个人生物识别信息实现身份识别、认证等功
65、能;(3)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后,应删除可提取个人生物识别信息的原始图像。54 公安部互联网个人信息安全保护指南https:/ 2020 年 1 月 6 日。55信息安全技术 个人信息安全规范(GB/T 35273-2020)6.3 个人敏感信息的传输和存储。企业个人信息保护合规思路与实践报告 33/181 注:履行法律法规规定的义务相关的情形除外。(五五)匿名化匿名化 根据个人信息保护法(草案)(二次审议稿)以及信息安全技术������ 个人信息安全规范(GB/T 35273-2020)等,匿名化后的信息不属于个人信息。匿名化信息是指经过处理无法识别特定个人且不
66、能复原的信息。匿名化信息和非匿名化信息分开存储,防止重标识。根据互联网个人信息安全保护指南第 6.3 条,经过匿名化或脱敏的方式处理的个人信息数据可用于历史、统计或科学目的,是指的信息。重标识根据 互联网个人信息安全保护指南,经过匿名化或脱敏的方式处理的个人信息数据可用于历史、统计或科学目的,可以超出与信息主体签署的相关使用协议和约定,但应提供适当的保护措施进行保护;根据 网络安全法 以及第四十二条以及 民法典 第一百一十一条要求,未经被收集者同意,不得向他人非法提供个人信息,但是经过加工无法识别特定个人且不能复������原的除外。56 注:虽然匿名化后的信息不属于个人信息������57,但是匿名化信息和非匿名化
67、个人信息之间没有绝对的界限。匿名化不是单纯的技术问题,需要结合数据的实际使用场景与目的,放入个案中考虑,有针对性地考虑具体产品������和服务的功能特点与数据特性。不同场景下对匿名化要求的程度并不一样。即使匿名化后的信息,也需要进行持续动态评估,做到事前调查、事中控制、事后审计。56 公安部互联网个人信息安全保护指南6.3 a),https:/ 2020 年 ����1 月 7 日。民法典第 1038 条:未经被收集者同意,不得向他人非法提供个人信息,但是经过加工无法识别特定个人且不能复原的除外。网络安全法第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是
68、,经过处理无法识别特定个人且不能复原的除外。57信息安全技术 个人信息安全规范(GB/T 35273-2020)3.14 注。企业个人信息保护合规思路与实践报告 34/181 2008 年国际标准化组织(ISO)发布了健康信息假名化技术规�������范 ISO/TS 25237:2008(E)。该规范描述了如何使用假名化服务替换直接标识符,实现对隐私敏感信息的脱敏。2018 年 ISO 和国际电工委员会(IEC)发布了 ISO/IEC 20889,规定了去标识化有关的术语、技术以及应用原则。在该标准中,常用的去标识化技术包括统计技术、密码技术、抑制技术、假名化技术、泛化技术、随机化技术和数据合成技术,常用
69、的去标识化模型包括 K-匿名模型和差分隐私模型。2014 年 4 月,欧盟“第 29 条工作小组”(Article 29 Working Party)通过了第 05/2014 号意见:匿名化技术(Opinion 05/2014 on Anonymisation Techniques),专门分析了匿名化技术在欧盟数据保护法律框架下的有效性和局限性,并针对性地提出了建议。在该意见中,匿名化技术主要包括随机化和泛化,包括加噪(noise addition)、置换(permutation)、差分隐私(differential privac�������y)、聚合(aggregation)、k-匿名化(k-anony
70、mity)、l-多样性(l-diversity)和 t-相近性(t-closeness)等技术。该意见解释了这些技术的原理、优势和可能存在的风险,以及使用每一项技术过程中常见的错误。其中,风险可分为直����接识别风险、链接攻击风险和推理攻击风险。场景示例 1-方法 描述 举例 屏蔽 对标识符��������数据项进行抑制处理,对其进行删除或者隐藏。屏蔽可以针对整个数据项进行,也可以选择对数据项的一部分进行 屏蔽身份证号“4405244”时,可选择 直 接 删 除,也 可 使 用“440524*0014”代替 企业个人信息保护合规思路与实践报告 35/181 (六六)去标识化去标识化 匿名化之外
71、的去标识化,结合其他信息可以识别个人。去标识化,是指个 58信息安全技术 个人信息去标识化指南(征求意见稿)。随机 使用随机产生或分配的数据代替原来的数据项,随机方法可以包括噪声添加、完全随机产生、数据项重排置换等 中文姓名使用随机生成的姓和汉字表示,如使用随机生成的“辰筹猎”代替“张三丰”泛化 通过降低数据精度,使用概括、抽象的办法表示原有的数据项。对于数值型数据项,可以使用取整、取最大值等方法对数据进行泛化 如实数数据����“1.732”可以泛化为“1”;如“张三”可泛化为“张某”加密 采用密码学方法对数据项进行变换,包括对称加密、非对称加密和杂凑运算等。如果需要保留原有数据项的某些特性,还可以
72、使用保序加密或保留格式加密等算法 如身高“1.73”可以加密为“1.46”欧盟关于匿名化指引见:第 29 工作组“关于匿名化技术的意见”中国关于匿名化标准见:信息安全技术 个人信息去标识化指南(征求意见稿)场景示例 2-经过处理无法识别个人的信息属于匿名化信息,需要采取技术措施防止重标识,重标识的方法包括:1)隔离:基于是否能唯一确定一个个人信息主体,将属于一个个人信息主体的记录隔离出来;2)关联:将不同数据集中关于相同个人信息主体的信息关联;3)推断:通过其它属性的值以一定概率推断出一个属性的值。58 企业个人信息保护合规思路与实践报告 36/18�����1 人信息经过处理,使其在不借助额外信息的情
73、况下无法识别特定自然人的过程。59例如:假名、加密、哈希技术。而结合上文,相比下匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。二者的区别在于,匿名化的技术手段更彻底,对个人信息保护的程度更高,经过匿名化的个人信息无法再识别到个人,但是去标识化后的个人信息在借助额外信息的情况下仍可再次识别到个人。从法律性质上来看,个人信息匿名化处理后不再属于个人信息,而去标识化处理后仍属于�����个人信息。从效果上来看,匿名化后的个人信息不再是个人信息,直接对�������外提供更多需要满足商业上的要求;而去标识化是个人信息处理者内部对个人信息安全的一种保护手段。个人信息虽去标识化后仍属于个人信息,需要满足知情同意规
74、则或其他个人信息处理合法性基础。60 常见的去标识化技术与模型包括:(1)统计技术,是一种对数据集进行去标识化或提升去标识化技术有������效性的常用方法,主要包含数据抽样和数据聚合两种技术。(2)密码技术,包括确定性加密、保序加密、保留格式加密、同态加密、同态秘密共享。(3)抑制技术,即对不满足隐私保护的数据项删除,不进行发布,包括屏蔽、局部抑制和记录抑制。(4�����)假名化技术,是一种使用假名替换直接标识(或其他准标识符)的去标识化技术,包括独立于标识符的假名创建和基于密码技术的标识符派生假名创建。(5)泛化技术,是指一种降低数据集中所选属性颗粒度的去标识化技术,59个人信息保护法(草案)(二次审议稿)。
75、60十问十答看懂我国个人信息去标识化规则,中国信通院互联网法律研究中心,https:/ 年 7 月 10 日。企业个人信息保护合规思路与实践报告 37/181 对数据进行更概括、抽象的描述,包括取整、顶层与底层编码。(6)随机化技术,指通过随机化修改属性的值,使得随机化处理后的值区别于原来的真实值������,包括噪声添加、置换、微聚集和数据合成技术。(7)数据合成技术,是一种以人工方式产生微数据的方法,用以标识预定义的统计数据模型。(8)K-匿名模型,是在发布数据时保护个人信息安全的一种模型,要求发布的数据中,指定标识�����符属性值相同的每一等价类至少包含 K 个记录,使攻击者不能判别出个人信息所属的具体个体
76、,从而保护个人信息安全。(9)差分隐私模型,是针对数据隐私泄露问题提出的一种隐私定义,可以用来在数据采集、数据处理和数据发布中������对数据集的隐私损失进行度量。差分隐私确保数据集中任何特定个人的存在与否无法从去标识化数据集或系统响应中推导出。目前,信息安全技术 个人信息安全规范(GB/T 35273-2020)中多处提及要求个人信息控制者对个人信息去标识化以降低个人信息安全风险。例如,个人信息控制者在收集个人信息后,宜立即去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。61 信息安全技术 个人信息去标识化指南(征求意见稿)就如
77、何去除个人信息身份标识也给出了指导,对 信息安全技术 个人信息安全规范(GB/T 35273-2020)形成配套和支撑作用,帮助公司在保护个人信息的安全的同时促进�����数据的共享开放。而 2021 年新发布的信息安全技术 个人信息去标识化效果分级评估规范(征求意见稿)基于标识个人身份程度给出一种个人信息分级划分,用于去标识化效果评价,也可用于进一步落实个人信息的分级保护,对 信息安全技术 个人信息安全规范(GB/T 35273-20�����20)和信息安全技术 个人信息去标识化指南(征求意见稿)形成了辅助作 61信息安全技术 个人信息安全规范(GB/T 35273-2020)。企业个人信息保护合规思路与实践
78、报告 38/181 用。62收集后,宜立即去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。63 场景示例-在用户下载 App 后首次登录时,需要用户提供手机号码以完成注册,一种方法为用户主动输入手机号码,一种方法为系统自动识别出手机号码,然后由用户主动点击确认。在第二种情况下,应当对用户登录使用的手机号码做掩码处理,例如 139XXXX1234。场景示例 2-在收集用户的年龄信息后,通过泛化技术,将具体年龄展示为年龄段。如某用户的实际年龄为 35 岁,经过泛化处理后,显����示为 30-40 岁。(七七)存储的期限要求存储的期
79、限要求 存储期限应为实现个������人信息主体授权使������用的目的所必需的最短时间,法律法规另有规定或者个人信息主体另行授权同意的除外。存储期限的总体要求为,不能超过处理信息所必需的最短时间。不需要使用个人信息后,应当删除个人信息。如果产品停止服务,一般应当立即删除个人信息;如果用户注销账号,可以在合理时间(例如存留 30-60 日,实践做法)内删除,以便在用户误删的情况下可以找回数据。云盘存储类可适当延长,给用户留充足的下载转存时间,并明确告知用户。示例三种表述方式:相关法律法规规定的最短期限内/不超过相关法律法规规定的最短期限/明确说明具体时间长度。62信息安全技术个人信息去标识化效果分级评估规范(征求意
80、见稿)。63信息安全技术 个人信息安全规范(GB/T 35273-2020)。企业个人信息保护合规思路与实践报告 39/181 场景示例-法律法规对存储时间另有规定的,应当遵守:留存网络日志不少于六个月(网络安全法);自动驾驶路测车辆事故或失效状况发生前至少 90 秒的数据存储时间不少于 3 年,这些数据包括外部 360 度视频监控情况、反映测试驾驶人和人机交互状态的车内视频及语音监控情况等信息。向自动驾驶企业提供录音录像设备且存储数据服务,需要按照客户的要求满足存储时间规定。(智能网联汽车道路测试管理规范(试行);电子商务����平台应当记录、保存平台上发布的商品和服务信息、交易信息,交易信息保存时
81、间自交易完成之日起不少于 3 年。(电子商务法);网络直播服务提供者对网络交易活动的直播视频保存时间自直播结束之日起不少于三年。(网络交易监督管理办法);互联网服务提供者(如互联网网络接入、互联网信息服务、域名注册和解析等服务提供者)对用户的�������真实身份信息应当在提供服务期间同步保存,并在停止服务后保存至少两年以上。(互联网信息服务管理办法(修订草案征求意见稿);面向中小学生、利用互联网技术实施的学科类校外线上培训的培训内容和培训数据信息须留存 1 年以上,其中直播教学的影像须留存至少 6 个月。如果公司视频业务为培训机构提供存储服务,虽然不需要直接遵守教育部的规定,但是需要根据客户要求满足存储期
82、限的规定。(教育部等六部门关于规范校外线上培训的实施意见);Facebook 与美国联邦贸易委员会在“剑桥分析”案最终达成的和解协议中,关于个人信息删除的约定如下:(1)最长在用户终止、删除信息或者账户后 30 日内,Faceboo�����k 应停止第三方访问用户删除企业个人信息保护合规思路与实践报告 40/181 的信息(但是第三方从其他途径访问到的信息不受此限制),并且要如实陈述。法律另有规定、反欺诈和反非法活动留存除外;(2)最长在用户终止、删除账户后 120 日内,从服务器删除用户生产的信息,法律另有规定、反欺诈和反非法活动留存、灾备、或者技术不可行除外;(3)如果用户仅删除部分信息而不是终止
83、账户使用,可以保留日志等原数据。(八八)超期处理方式超期处理方式 企业应当做到当超期时对个人信息进行删除或匿名化处理。64此处匿名化是否绝对妥当,需要进一步见最新相关法规要求,且依据必要性进行分析。三三.使用使用65 (一一)告知同意告知同意 告知同意形式参考收集部分。访问控制措施 企业应当建立������权限管理制度,设置重要操作审批流程(如批量修改、拷贝、下载等);企业应当做到安全管理人员、数据操作人员、审计人员角色分离设置;员工只能访问其职责范围内最小、必要的个人信息,仅具备完成职责所需的最少权限;确需超权的,应经个人信息保护责任��������人或个人信息保护工作机构进行审批,并记录在册;针对敏感个人信息,企业还
84、应按业务流程的需求触发操作授权,如收到投诉后,负责处理的人员才可访问该投诉客户的相关信息。64信息安全技术 个人信息安全规范(GB/T 35273-2020)6.1 个人信息存储时间最小化。65信息安全技术 个人信息安全规范(GB/T 35273-2020)。企业个人信息保护合规思����路与实践报告 41/181 (二二)展示限制展示限制 展示必须具有较强必要性,尽可能采取去标识化等处理措施,防止泄露。场景示例-用户账号、银行卡、身份证、手机号等信息在手机 App、智能设备显示屏中展示时,利用“*”星号替代部分信息;系统内拨打显示虚拟电话号码;快递外包装用户联系方式用星号替代几位数字;在开发设计过程
85、,内部人员在访问查看个人信息时有权限设置,显示在有权限人员手机或者电脑�������屏幕上的个人信息也应用星号替代遮挡,防止无权限人员查看。个人信息类型 信息范围 展示规范 银行卡信息 银行卡号 显示前 6 位+*(实际位数)+后 4 位,如 622575*1496 个人身份信息 1)身份证号码、护照号码 使用缺省信息隐藏规则,如隐藏出生日期,身份证号码屏蔽后 6 位 2)客户姓名 隐藏部分字符 3)手机号码 除区号外,至少隐藏中间四位,大陆显示前三位*+后四位,如:138*9050 4)固定电话 推荐的规范:显示区号和后 2 位 5)电子邮箱 前面的字符显示前 3 位,3 位后显示3 个*,后 面 完 整
86、 显 示,如:con*,如果少于 3 位,则全�������部显示,前加*,例如:则显示为 tt*(三三)目的限制目的限制66 企业收集使用个人信息不�����应超出原始目的范围,确需超出的,应再次征得同意;加工生成的个人信息,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的仍为个人信息,应遵守收集时的授权 66 原始目的范围,需要明确、具体、清晰,增加功能不一定超出原始目的,需要具体分析。企业个人信息保护合规思路与实践报告 42/181 同意范围。同理,加工生成个人信息为敏感个人信息的,按个人敏感信息保护。场景示例-为了儿童安全监控目的,儿童手表需要收集儿童实时地理位置信息,监护人可以在 Ap
87、p 中查看。实时地理位置信息为行踪轨迹信息,属于个人敏感信息属于个人敏感信息,不应用于其他目的,且只要泄露一条并�����且导致严重后果就可能构成刑事犯罪。18 岁以下未成年人网络游戏、网络直播、网络音视频、网络社交等产品,设计防沉迷功能,设置相应的时间管理、权限管理、消费管理等功能(如每日 22:00 至次日 8:00,禁止向未成年人提供网游服务)。以未成年人为服务对象的在线教育网络产品和服务,不得插入网络游����戏链接,不得推送广告等与教学无关的信息;成年人在线教育网络产品和服务以及非在线教育网络产品和服务,可以插入广告或者游戏链接。(四四)用户画像的使用限制用户画像的使用限制67 1.告知:在隐私政策中
88、明确告知画像情况,说明应用场景和对用户的影响;2.内容禁止:不得包含不良信息、违法信息 68;不应侵害他人合法权益;不应危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序;3.除目的必须之外,应消除明确身份指向性,避免精确定位到个人;4.尽量使用间接用户画像,是否使用直接用户画像,具体用途,应当在 67信息安全技术 个人信息安全规范(GB/T 35273-2020)。68网络信息内容生态治������理规定。企业个人信息保护合规思路与实践报告 43/181
89、 隐私政策中明确告知。如个人信用评价可使用直接画像,推送广告则使用间接画像;5.经过分析后的数据如可定位到个人,则应遵守个人信息保护的所有要求。场景示例-根据法律规定,使用用户画像等方式自动化处理数据后,向用户推送信息或者广告,应当同时提供不针对其个人特征的选项,或者向个人提供拒绝的方式。69App在功能设置中应当提供“关闭定向推送”按钮,用户可以选择退出使用其信息进行定向推送,“关闭定向推送”按钮可以在告知用户情形下设置时间限制,例如 3-6 个月后自动开启定向推送功能,用户可选择再次关闭(与最新监管要求保持一致)。用户关闭定向推送后,不能基于直接画像�����(针对用户个人)和间接画像(针对与用户及
90、模糊相似群体,例如均为女性)推送广告,但是不影响全量推送广告,例如可以基于粗略地理位置向该区域所有人推送“周边的服务”,或者分时间段推送某一类型广告(例如国庆节前后推送酒店广告)。广告推送需要标记“广告”字样并在右上角设 X 号,用户可一键关闭。通过自动化决策方式作出对用户个人权益有重大影响的决定时,用户有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。70(五五)个性化展示的使用个性化展示的使用 1.企业应当显著区分个性化展示和非个性化展示部分,包括但不限于标 69个人信息保护法(草案)(二次审议稿)。70 同上。企业个人信息保护合规思路与实践报告 4�������4
91、/181 注“定推”等字样,或通过不同栏目、版块、页面分别展示等。7������1同时,企业应向用户提供不针对个人特征的选项,并允许用户自行退出;72 2.企业向用户提供电商服务,并根据用户兴趣爱好、消费习惯等提供商品或服务搜索结果的个性化展示的,应同时提供不针对个人特征的选项73;3.企业向用户提供推送新闻信息服务的,应提供直观的退出或关闭个性化推荐的选项;用户关闭或退出后,提供删除或匿名化定推活动所需基于的个人信息的选项;4���������.企业宜建立用户对个性化展示所依赖个人信息(如标签、画像维度等)的自主控制机制,保障用户调控个性化展示相关程度的能力;即用户可自由自主控制基于其哪些个人信息进行定向推送;场景示例
92、1-:用户可在“个性化广告”设置中直接查看 Google 基于用户的网络浏览历史等信息为用户打的标签,而且用户可以直接删除自己不想要的标签。展示的标签基于用户个人的使用偏好和画像,更加细致也更具多样性,而非系统统一设定的固定标签。这大大增强了透明性,增加了用户自主调控个性化展示相关程度的能力。71 对比最新信息安全技术 个人信息告知同意指南(征求意见稿)的要求后,确定方案。72 工业和信息化部关于开展 APP����� 侵害用户权益专项整治工作的通知第(二)条第 4 款。73信息安全技术 个人信息安全规�����范(GB/T 35273-2020),),7.5 个性化展示的使用 基于个人信息主体所选择的特定地理位
93、置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜�����索结果排序,则属于不针对其个人特征的选项。企业个人信息保护合规思路与实践报告 45/181 场景示例 2-:Facebook 能在“广告偏好”设置中,根据“你的兴趣”、“广告商和企业”、“你的资料”等类别,选择关闭或开启与其相关的个性化广告推送。用户还能在设置页面中,了解到广告主的目标受众与被投放广告的用户间有怎样的联系。企业个人信息保护合规思路与实践报告 46/181 5.从执法层面来看,2020 年至今工信部的 12 次关于违法违规 App 的通报,涉及 88 款 App,违规点一般为“未向用户提供个推退出功能”。因此
94、,进行个性化推送商业广告,企业74应提供退出按钮或选项。场景示例 1-以电子邮件发送广告合规要求75:电子邮件地址������属于保密信息。用户主动向公司提供的电子邮件地址不应泄露或转卖给第三方,不能非法从第三方获取电子邮件地址;不能将采用在线自动收集、字母或者数字任意组合等手段获得的他人的互联网电子邮件地址用于出售、共享、交换,或者向通过上述方式获得的电子邮件地址发送互联网电子邮件;不能故意隐匿或者伪造互联网电子邮件信封信息;发送广告需要电子邮件接收者明确同意,明示其真实身份和����联系方式,并且提供显著、简便、免费的拒绝选项免费的拒绝选项;如用户拒绝接收广告,除公司和用户另有约定,不应再发送广告(不得更换名
95、义后再次发送)76;提供拒绝继续接收的联系方式,包括发送者的电子邮件地址,并保证所提供的联系方式在 30 日内有效;发送广告需要在邮件标题信息前部注明“广告”或者海外的注明“AD”字样;如果用户向电子邮件服务提供者投诉,企业应当及时响应投诉;74 目前行业是隐私政策明确告知隐私政策明确告知+退出选项退出选项,根据最新实时情况判断。消费者权益保护法第 29 条�����规定经营者收集、使用消费者个人信息,应“经消费者同意”且“不得违反法律、法规的规定和双方的约定收集、使用信息”,“经营者未经消费者同意或者请求未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。”网络交易监督管理办法第
96、�����十六条也提到网络交易经营者未经消费者同意或者请求,不得向其发送商业性信息。75互联网电子邮件服务管理办法。76网络交易监督管理办法。企业个人信息保护合规思路与实践报告 47/181 企业应当记录电子邮件的发送或者接收时间、发送者和接收者的电子邮件地址及 IP 地址,保存六十日,协助电子邮件服务提供者和国家有关机关依法查询。场景示例 2-以电话或者短信发送广告合规要求77:不能发送违法信息;电话或者短信发送广告需要用户明确同意,并且提供拒绝选项;如果用户拒绝接收广告,不应当再发送广告。发送广告之外的业务管理和服务类短信息不受此限制;短信中写明公司名称、联系电话,提供便捷和有效的拒绝接收方式并随短
97、信息告知用户,不得以任何形式对用户拒绝接收设置障碍;发送广告内容和用户同意证明至少留存 5 个月。(关于用户同意,建议按一般民事诉讼时效时长留 3 年)(六六)基于不同业务目的所收集个人信息的汇聚融合基于不同业务目的所收集个人信息的汇聚融合 企业应当遵循目的限制要求,就汇聚融合后的目的,开展个人信息安全影响评估,采取有效个人信息保护措施78,汇聚融合生成新的数据属于个人信息或敏感个人信息的,遵循个人信息的保护原则与具体要求;汇聚融合的������告知同意问题,需要进一步遵循 信息安全技术 个人信息告知同意指南(征求意见稿)。如首��������要判断汇聚融合是否超出原始目的。若超出原始目的的,一般应当进行明确告知,征得明
98、示同意。如生成新的个人信息,应当明示征得用户同意等。不同场景下的汇聚融合方案需要具体分析,仔细设计哪些信息可以汇聚融合、需要相应技术措施处理和保护等,哪些个人信息不可以汇聚融合,或 77通信短信息和语音呼叫服务管理规定(征求意见稿)。78信息安全技术 个人信息安全规范(GB/T 35273-2020)7.6 基于不同业务目的所收集个人信息的汇聚融合。企业个人信息保护合规思路与实践报告��������� 48/181 不鼓励汇聚融合的,如应谨慎的为“不应大规模收集的个人信息类型”。(七七)信息系统自动决策机制的使用信息系统自动决策机制的使用 企业需开展信息系统自动决策机制,如自动决定贷款额度、个人征信、面试人员自
99、动筛选等,会对个人主体权益造成显著影响的,应做到:事先告知,增强式告知79 在规划设计阶段或首次使用前开展个人信息安全影响评估;在使用过程中定期,�����至少每年 1 次个人信息安全影响评估;依据结果采取或改进有效保护措施;应提供投诉渠道,支持人工复核。通过自动化决策方式作出对用户个人权益有重大影响的决定,用户有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。80 场景示例-自动化处理个人信息后,如果没有人工参与做出决策,为自动化决策。如面试是否通过、是否批贷、信用等级,属于自动化决策。自动化决策属于高风险处理行为。用户有权要求个人信息处理者予以说明自动化决策,需
100、要向受影响的个人提供人工申诉的机会。例如用户可以依法查询自己的信用评价;发现信用评价不当的,有权提出异议并请�������求采取更正、删除等必要措施,公司应当及时核查,经核查属实的,应当及时采取必要措施,可通过提供邮箱、电话或在产品界面给予用户申诉机会。79信息安全技术 个人信息告知同意指南(征求意见稿)。80个人信息保护法(草案)(二次审议稿)企业个人信息保护合规思路与实践报告 49/181 四四.共享共享、转让、转让 (一一)原则原则不得共享、转让不得共享、转让 严禁擅自共享,刑事风险。共享:是指控制者向其他控制者提供个人信息,且双方分别享有独立控制权的过程。转让:不保留数据,数据交给第三方。集团内的共
101、享,一般称为不同业务个人信息的汇聚融合,可见使用部分。(二二)合法依据、理由合法依据、理由 企业应当确保共享、转让行为具备足够的合法性、必要性,同时遵循最小限度原则。应开展个人信息安全影响评估 对受让方的数据安全能力进行评估,确保受让方具备足够的数据安全能力,并按照评估�������结果采取有效的保护个人信息的措施。告知+明示同意 企业需对用户做到明确的、显著的告知,并获得用户明确的授权或明示同意,不得擅自共享;告知共享、转让个人信息的�������目的、规模、数据类型、范围、接收方的类型、身份等信息;告知不同意的后果;与第三方签订书面合同,审核并确保安全,明确的权利、义务、责任划分;设置有内部与外部管理流程,进行严格审
102、核管理。场景示例-因账号登录、第三方支付、物流快递发货、广告等需要向第三方共享或者转让数据,需�����要在隐私政策中进行说明;如果实现服务功能需要跳转到第三方链接或者信息由第三方收集,除了企业个人信息保护合规思路与实践报告 50/181 在个人信息保护政策中说明,可以在实际触发该功能时以弹窗或者浮窗简单对信息种类和目的进行说明,例如购物类产品简单说明“我们和第三方支付机构共享订单信息”;通过 SDK 共享或者转让的,具体参见 SDK 部分。(三三)非因收购、兼并、重组、破产原因的共享非因收购、兼并、重组、破产原因的共享、转让、转让 针对非因收购、兼并、重组、破产原因导致的共享、转让行为,企业应当:1.
103、事先开展个人信息安全影响评估+相应安全保护措施;2.事先告知+征得授权同意;经去标识化处理且确保数据接收方无法重新识别或者关联个人信息主�������体的除外81;(1)对于一般个人信息,做到告知目的、接收方类型/名称、个人信息类型、可能后果等+明示同意82;(2)对����于敏感个人信息,做到在前述基础+敏感个人信息的类型、接收方身份和数据安全能力+明示同意;(3)个人生物识别信息原则不能共享、转让83;确需共享、转让,单独告知目的、个人生物识别信息的类型、接收方的具体身份和数据安全能力等+征得明示同意。3.合同约定接收方的责任和义务;4.准确记录共享、转让各项情况,包括日期、规模、目的、接收方基本情况,告知同意
104、情况,合同文本等;81信息安全技术 个人信息安全规范(GB/T 35273-2020)9.2 个人信息共享、转让 b)。82 授权同意,一般情况下就是明示同意。具体告知要点遵从个人信息保个人信息保护法护法(草案)(二次审议稿)(草案)(二次审议稿)的要求。83 注意参考个人信息保护法个���人信息保护法(草案)(二次审议稿)(草案)(二次审议稿)等法律法规及国家标准。企业个人信息保护合规思路与实践报告 51/181 5.接收方违反法律法规、合同约定的,立即要求停止相关行为,采取或要求对方采取有效安全措施,控制或消除风险;必要时解除合同关系,要求对方删除获取的个人信息;6.担责:因共享、转让造成用户损
105、害的,如发生个人信息安全事件的,个人信息控制者担责。(谁是控制者,不同时间点的身份与责任变化,最好合同提前约定);84 7.配合个人信息主体的权利行使,了解接收方的存储、使用情况等。(四四)因收购、兼并、重组、破产原因因收购、兼并、重组、破产原因的共享、转让的共享、转让 A.应事先告知;85 B.变更后的个人信息控制者履行原责任和义务;C.如变更原使用目的的,应重新征得明示同意;D.破产无承接方的,删除����数据。(五五)记录记录 企业应当记录共享、转让的内容、日期、数据量、目的、数据接收方的基本情况等信息,留存合同文本及告知同意证据。五五.公开披露公开披������露 (一一)原则不得公开披露原则不得公开披露
106、 (二二)合法依据合法依据、理由理由 1.必须有较强的必要性;84 根据个人信息保护法(草案)(二次审议稿)第六十八条,个人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。85信息安全技术 个人信息安全规范(GB/T 35273-2020)9.3 收购、兼并、重组、破产时的个人信息转让,未要求此时征得同意;告知即可;除非目的变更。������企业个人信息保护合规思路与实践报告 52/181 2.事先开展个人信息安全影响评估,并采取有效保护措施;3.事先经过明示同意,告知目的、类型,涉及个人敏感信息的还应告知具体内容。有例外86(注意参考最新个人信息保护
107、法),即与个人信息控制者履行法律法规规定的义务相关的、与国安、国防直接相关的、与公共安全、公共卫生、重大公共利益直接相关的、与犯罪侦查、起诉、审判、判决执行等直接相关的、出于维护用户或其他个人的生命、财�����产等重大合法权益但又很难得到本人授权同意的、用户自行向社会公众公开的个人信息、从合法公开披露的信息中收集个人信息的情形除外;4.尽可能进行加密,匿名,假名等去标识化处理;防止泄露,造成危害。场景�����示例-信息不能上传 Github,公布用户中奖信息,不能直接公开姓名和手机号码,需要做去标识化处理,例如:张*,138*1234;路由器收集的用户访问网址记录,仅以安全分析目的使用,不应当公开。(三三)禁
108、止禁止行为行为 企������业不应擅自公开披露、发布个人信息,否则将承担刑事责任风险;同时,企业不应公开个�����人生物识别信息、基因、疾病等个人生理信息87、以及我国公民种族、民族、政治观点、宗教信仰等个人敏感信息的分析结果。(四四)记录记录 企业应当准确记录公开的情况,包括公开的日期、规模、目的、范围等。86互联网个人信息保护指南与信息安全技术 个人信息安全规范(GB/T 35273-2020)。87 同上。企业个人信息保护合规思路与实践报告 53/181 (五五)担责担责 企业需要承担因公开披露造成损害的责任。六六.委托处理委托处理 (一一)总体要求总体要求 合法前提是企业作为控制者作出委托行为,不得超出
109、已征得同意的范围88,同时必须有较强的必要性,但是经过处理无法识别特定个人且不能复原的除外。禁止未经同意向他人提供个人信息,经过处理无法识别特定个人且不能复原的除外89 企业不得在既未经用户同意、也未做匿名化处理的������情况下,将数据传输至App 后台服务器后,向第三方提供其收集的个人信息;App 接入第三方应用,未经用户同意,向第三方应用提供个人信息。90 (二二)我方委托第三方我方委托第三方 我方作为委托方,交付个人信息给被委托方,应对第三方进行监督,包括不限于:1.事先征得用户明示同意,显著告知,并保留记录并保留记录;2.不应超出我方征得用户授权同意的范围;88信息安全技术 个人信息安全规范(
110、GB/T 35273-2020)9.1a)。89 网络安全法第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。无法识别特定个人且�������不能复原的除外。民法典第 1038 条:未经被收集者同意,不得向他人非法提供个人信息,但是经过加工无法������识别特定个人且不能复原的除外。90App 违法违规收集使用个人信息行为认定方法第五条 未经同意向他人提未经同意向他人提供供个人信息 http:/ 年 2 月。企业个人信息保护合规思路与实践报告 54/181 3.梳
111、理相关产品中涉及的数据委托处理情况,包括第三方身份、共享及转让目的、涉及的个人信息类型、传输方式等。涉及嵌入或接入第三方插件(例如 SDK、API 等)的应当一并按上述维度进行梳理。4.开展对第三方的尽调,进行严格的审查核实,可由第三方提供保护个人信����息的承诺书,确保被委托方的可靠性91;建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改92;开展个人信息安全影响评估,确保受托方达到的数据安全能力要求;5.应签订关于个人信息保护的书面合同,约定我方和受托方的权利、义务及应承担的责任范围;规定清楚受托第三方的责任和义务;6.对受托第三方进行审计;7.要求受托方严
112、格按照我方的授权处理的目的、范围、方式等进行个人信息的处理,不得私自改变目的、范围、方式等;8.如我方改变目的、范围、方式等超出原始授权范围的,需要更新隐私政策,重新提醒用户阅读重新提醒用户阅读,再次征得用户明示同意;9.向受托方进行对个人信息������数据的使用和访问的授权;10.受托方对个人信息的相关数据进行处理完成之后,应对存储的个人信息数据的内容进行删除;11.准确记录和存储委托处理个人信息的各种情况;12.得知或发现第三方未按要求处理或未有效履行个人信息安全保护责任,91 根据个人信息保护法(草案)(二次审议稿)第五十五条,评估内容包括:个人信息的处理目的、处理方式等是否合法、正当、必要;对个
113、人的影响及风险程度;所采取的安全保护措施是否合法、有效并与风险程度相适应;所采取的安全保护措施是否合法、有效并与风险程度相适应。风险评估报告和处理情况记录应当至少保存三年。受托者应有适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄露、毁损、丢失、被篡改。92信息安全技术 个人信息安全规范11.5 数据安全能力 企业个人信息保护合规思路与实践报告 55/181������� 应及时要求对方停止相关行为,采取补救措施或要求第三方采取有效补救措施控制或消除安全风险。必要时,应终止委托,并要求第三方及时删除所获的的个人信息。(合同中可事先约定终止协议的条件)��������。配合具体的案件证据调取工作,需要企业刑事合
114、规部门事先审核,有对方盖章的正式文书。场景示例-作为委托方,委托处理如果不超过公司指定的目的和方式,不需要征得用户对委托处理的同意,但是应当向用户告知,应当通过签署专门的委托���������处理合同,对接受委托处理方进行监督。例如,对于物联网设备收集的面部识别或者语音数据委托第三方进行数据训练、数据存储于第三方云服务器或者托管服务器等,需要在隐私政策中对委托处理情况进行原则性描述,需要签署委托处理合同以及保密协议,委托处理合同至少应当包含受托方对处理的数据保密、不能将数据及处理结果提供给任何第三方、不能再次转委托、完成处理目的后立即彻底删除或者返还数据、采取安全措施保障数据安全以及、采取�������安全措施保障数据安全以
115、及接受公司定期审计等。(三三)我方作为受托方我方�����作为受托方 我方作为受托方,接收委托人提供的个人信息,以下步骤留书面证据:1.进行严格的审查核实,应了解委托方委托个人信息处理加工行为是否经过用户明示同意,委托方已获取的授权同意范围,包括使用的目的,个人信息主体是否同意转让、共享、公开披露、删除等;2.签订关�����于个人信息保护的书面合同,(第三方的承诺书,包括承诺经用户明示同意且来源合法,对第三方所承诺的来源合法性应进行进一步的确认,数据安全能力,采取的安全保护措施,承担的责任等);3.严格按照委托方的要求,授权处理的目的、范围进行个人信息的处理,企业个人信息保护合规思路与实践报告 56/181 不
116、得私自改变目的、范围;如有特殊原因无法做到,应及时向委托方反馈;4.如我方改变目的、范围,再次委托等超出合同或其他书面文件授权范围的,需要及时再次事先获取委托方的书面同意、确认已经个人信息主体同意;5.协助配合个人信息主体所行使权利的实现;6.如无法提供足够的安全保护水平或发生安全事件,应及时告知第三方控制者;7.委托结束后,及时删除存储的个人信息。关于受托行为是否需要再经过用户明示同意的问题:首先,从控制者、处理者角色划分,一般告知同意要求的对������象是控制者。目前司法实践等典型案例看,有三重授权的规则要求,即用户授权委托方收集使用,委托方授权受托方处理,用户授权同意委托行为。具体仍需根据最新发展
117、形势分析。场景示例-OEM 代工 公司作为受托方仅能够根据委托方规定的目的和方式处理数据,超出约定的目的和方式需要重新征得用户同意,公司作为受托方应当要求委托方承诺数据来源合法,委托方本身经用户同意有权依法处理数据,公司不应该再次转委托,完成处理目的后立即彻底删除或者返还数据。公司代工生产智能硬件产品并开发 App,App 中收集的个人信息属于产品品牌方,品牌方负责告知其用户;如果信息由公司代为存储和维护,公司和������品牌方的������合同应当明确就数据处理做出约定,除了运维外不应为其他目的使用,否则可能对数据处理承担责任。涉及跨境传输的情况下,同样应当约定由品牌方承担当地跨境传输责任,整个过程需经过严格依法
118、评估。2016/679 条例合同参考:关�������于根据欧洲议会和理事会第 2016/679 号条企业个人信息保护合规思路与实践报告 57/181 例将个人数据传输给第三国处理者的标准合同条款(可随时参考最新文本)七七.共同控制共同控制 如在与第三方合作中,与第三方为共同控制者,应签订书面合同确定双方应满足�����的个人信息安全要求及各方的责任与义务,并明确告知用户;应承担的如未告知第三方身份及各方应承担的责任与义务,应承担第三方引起的个人信息安全责任。93 注意:如存在从客户端直接向第三方发送个人信息的情形,包括通过客户端嵌入第三方代码、插件(如 SDK)等方式向第三方发送个人信息的情形,需事先征得用户同意,
119、经匿名化处理的除外;如个人信�������息传输至服务器后,App 运营者向第三方提供其收集的个人信息,需事先征得用户同意,经匿名化处理的除外。94 场景示例-摄像头与物业 若视频监控设备被安装在单元小区,小区物业决定视频监控设备收集的信息使用目的,则小区物业为单独的处理者;如果监控设备开发者也使用安装在小区的视频监控收集到的数据用作分析改进产品性能或者做进一步分析,则为共同处理者。如果任何一方发生信息泄露事件,均有可能为对方的过错承担连带责任,但可以在双方合同约定权利义务和责任分担。如果摄像头仅在家庭内使用,则监控设备开发者为数据处理者,对数据的处理承担全部安全责任和保护义务,需要告知用户并取得同意。93
120、 注意遵从个人信息保护法个人信息保护法(草案)(二�������次审议稿)(草案)(二次审议稿)要求。94 网络安全标准实践指南移动互联网应用程序(App)违法违规收集使用个人信息自评估指南 https:/ 2020 年 7 月 28 日。企业个人信息保护合规思路与实践报告 58/181 八八.第三方接入第三方接入(S SDKDK)95 此处为不属于委托处理或共同控制的情况。(一一)控制者的控制者的一般一般要求要求 1.接入第三方应用时,不私自截留第三方应用收集的个人信息;2.如 App 接入第三方应用,当用户使用第三方应用时,需在征得用户同意后,再向第三方应用提供个人信息;当用户获知应用为��第三方提供后,自
121、行以主动填写等方式向第三方直接授权的除外;96 3.App 运营者宜对于接入的第三方应用收集个人信息的合法、正当、必要性等方面进行审核,明确标识相�������关业务功能为第三方提供,并提醒用户关注第三方应用收集使用个人信息的规则;97 4.说明第三方代码、插件的类型或名称,及收集个人信息的目的、类型、方式;98 5.建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;6.应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;7.应向用户明确标识产品或服务由第三方提供;8.应妥善留存平台第三方接入有关合同和管理的记录,确保可供后续查阅,记录留存
122、证据;95信息安全技术 个人信息安全规范(GB/T 35273-2020)。96 网络安全标准实践指南移动互联网应用程序(App)违法违规收集使用个人信息自评估指南 https:/ 2020 年 7 月 27 日。97 网络安全标准实践指南移动互联网应用程序(App)违法违规收集使用个人信息自评估指南 https:/ 2020 年 7 月 27 日。98 同上。企�������业个人信息保护合规思路与实践报告 59/181 9.应要求第三方向用户征得收集其个人信息的授权同意,必要��������时核验其实现的方式,记录留存证据;10.应要求第三方建立响应用户权利请求和投诉等的机制;11.应监督第三方产品或服务提供者加强个人
123、信息安全管理,发现第三方未落实安全管理要求和责任,应及时督促整改,必要时停止接入;(如第三方被监管部门通报下架时)12.产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:(1)开展技术检测,确保其个人信息收集、使用行为符合约定要求;(2)对第三方嵌入/接入的自动化工具收集个人信息的行为进行审计;(3)������发现超出约定的行为,及时切断接入。关于第三方接入场景下如何告知同意:从最新要求来看,此时告知同意的义务主体为控制者,因此判断谁是控制者是前提。一般情况宿主一方即App 方为控制者,也有第三方自主控制或共同控制的情况,需要具体分析,并以
124、各方责任身份来制定告知同意的具体方案。场景示例 1-第三方支付 公司在接入外部网络支付机构时,应当�����审查外部支付机构的牌照是否合法有效,在隐私政策里提示用户支付服务由第三方提供,接入第三方支付机构收集个人信息的情况(例如,公司需要向第三方机构提供流水订单号、交易时间和交易金额等信息),支付链接跳转至第三方支付机构页面,不留存第三方支付机构收集的与公司业务无关的个人信息,不向第三方支付机构提供与实现支付功能无关的信息(例如,第三方支付机构不向用户发送快递,不需要公司向其提供用户住址信息),不提供第三方企业个人信息保护合规思路与实践报告 60/181 支付机构从其他渠道可以获得的按照反洗钱法要求必需
125、提供的信������息(例如,用户本身为第三方支付机构的注册用户,其已经收集了用户的身份证号码、手机号码信息)。场景示例 2-行车记录仪的第三方 物联网下接入很多外部链接,例如行车记录仪的信息分享功能,交罚单,加油卡等,也属于第三方接���入,公司需要对外部链接的安全性进行审查,在隐私政策中对接入的链接进行说明,要求第三方链接公布隐私政策。(二二)S SDKDK 的特别注意的特别注意99 1.1.常见常见 S SDKDK 软件开发工具包(Software Development Kit,简称 SDK)是指辅助开发某一类软件的相关文档、范例和工具的集合。第三方 SDK 是指由第三方服务商或开发者提供的实现软件产品
126、某项功能的工具包,通常不包括企业自己开发的仅供自己使用的通用功能模块。常见的第三方 SDK 有框架类、广告类、推送类、统计类、地图类、第三方登录、社交类、支付类、客服类、测试类、安全风控类、Crash 监控类、人脸识别类、语音识别类、短信验证类、基础功能类等。2.2.对使用第三方对使用第三方 SDKSDK 的合规要求的合规要求 (1)应遵循合法、正当、必要的原则选择使用第三方 SDK;(2)告知同意机制:在个人信息保护政策中“间接收集个人信息的方式”部分,对使用第三方SDK 的数量、SDK 及其提供方的名称、第三方及其提供方的名称、第 99 本部分参见 2020 年 11 月网������络安全标准�����实践指
127、南移动互联网应用程序(App)使用软件开发工具�����包(SDK)安全指引,https:/ 61/181 三方 SDK 会共享何等个人信息�������给予 App 平台方。在个人信息保护政策中“我们如何共享、转让、公开披露您的个人信息”部分,应当详细说明所有嵌入的第三方 SDK 名称及类型、第三方SDK 应当详细说明所有嵌入的第三方名称及类型、第三方主要实现的功能、收集用户个人信息的内容、目的和方式、SDK 提供的用户权利实现方式与投诉渠道以及对第三方 SDK 的安全管理措施。也可以在这部分简要说明 SDK 的名称等基本信息,详情可通过超链接的方式链接到 SDK 隐私政策。我方与第三方 SDK 在协议中所约定的角
128、色,其收集、处理用户个人信息的方式方法和所依据的正当性依据都将不同。一般情况,当第三方 SDK 作为数据处理者,以及第三方 SDK 为共同控制者但其存在对于用户“无感知”、不能直接触的情况下,我方 App 需要在弹窗页或者��������我方 App 的隐私政策中介绍 SDK 的存在,并且需要代为其说明 SDK收集用户个人信息的情况,在用户同意 App 隐私政策的情况下,我方 App 方可打开 API 接口或者为其启动权限调取,让第三方 SDK 收集信息;而当第三方 SDK 作为共同数据控制者,并且������用户是“有感知”的情况下(如地图类 SDK、登录类 SDK、支付类 SDK 等),我方 App与第三方 SDK
129、需要分别获取用户同意。企业个人信息保护合规思路与实践报告 62/181 场景示例-(3)在集成第三方 SDK 前宜对第三方 SDK 进行安全性评估,包括对 SDK提供方基本信息等来源评估,对恶意代码、安全漏洞等进行代码安全性评估,对调用的敏感权限等进行行为安全性评估。安全评估应当定期进行,及时修复漏洞,使���用最新的 SDK 版本;(4)使用提供者基本信息明确、沟通反馈渠道有效的 SDK;(5)对于使用的具有热更新功能的第三方 SDK,宜对第三方 SDK 的热更新内容进行内容校验、动态检测和安全评估,对于非官方的热更新内容进行阻断,对于发现问题的热更新内容应及时停用;(6)对集成后的 SDK 进行
130、持续动态监测或定期进行安全评估;(7)通过接口调用第三方 SDK 功能的,对接口增加鉴权机制;(8)与第三方 SDK 提供方通过合同等方式约定权利义务,明确第三方SDK 收集的个人信息类型、申请的敏感权限、个人信息的收集目的、保存期限、超期处理方式,各自应采取的安全措施,承担的责任义务等;第三方 SDK 提供者 企业个人信息保护合规思路与实践报告 63/181 (9)停用某第三方 SDK 后,及时从 App 中移除该第三方 SDK 的代码和调用该第三方 SDK 代码,存��������在通过本 App 共享或收集个人信息的,应敦促第三方 SDK 提供者按照合同约定,删除从本 App 共享或收集的个人信息或做匿
131、名化处理。3.3.提供给第三方提供给第三方 SDKSDK 的合规要求的合规要求 下方内容可同时作为审核第三方 SDK 的内容参考:(1)收集使用个人信息和申请敏感权限应遵循合理、最小、必要原则;(2)对功能独立的模块,宜进行拆分或提供单独的开启关闭选项,允许App 提供者按需进行选择使用或开启关闭,不应强制捆绑无关功能并以此为由申请无关权限或收集�����无关的个人信息;(3)告知 App 提供者充分的信息,基本信息、沟通反馈渠道(需核实有效)、安全能力;如功能、版本号、隐私政策链接,申请的敏感权限与目的,建立的个人信息主体权利响应的机制,热更新机制及开关方式、是否存在单独收集用户������个人信息的界面、是否嵌
132、入其他 SDK,是否向第三方共享个人信息;是否存在后台自启动、关联启动等行为;(4)有充足的安全技术措施;(5)作为个人信息共同控制者或独立控制者收集使用用户个人信息的SDK,单独向用户告知收集使用个人信息的行为并征得用户同意;(6)优先本地存储,不存唯一识别码或寻求可替代方案;(7)如必要,建立选择退出机制“Opt-out”,用户可选择不使用 SDK,在官网或隐私政策中提供便于用户操作的退出链接;(8)完善合同,在停止接入后删除或匿名化处理个人信息。场�����景示例 1-评估 SDK 的主要内容 SDK 调用的敏感权限、目的和频率;收集的个人信息类型、目的和频企业个人信息保护合规思�������路与实践报告 64
133、/181 率;个人信息回传服务器域名、IP 地址、所在地域;是否存在热更新行为;传输数据是否加密;是否存在单独收集用户个人信息的界面;是否存在后台自启动和关联启动后收集个人信息的行为等。��������场景示例 2-其他安全防控措施 代码安全:通过代码审计、代码混淆等方式,增强自身安全性。在发布上线前,进行安全评估,形成安全评估报告,评估内容包括但不限于:完整性校验、恶意代码检测、安全漏洞检测、权限申请和调用频率检测、收集个人信息的类型和频率检测、后台自启动和关联启动并收集个人信息行为的检测;通过接口调用提供自身功能的第三方 SDK,对接口增加鉴权机制,并对不同 App 调用接口的上下文环境进行隔离。行为安全
134、:不得使用热更新(若禁止热更影响 SDK 性能,需要求 SDK 出具自律声明),也不得在未经应用允许的情况下进行更新升级;在������无相关业务场景或无用户授权情况下不能主动进行后台唤醒;若主动调用系统 API 或进行后台其他敏感����行为,应留存日志记录;不得在未经应用允许的情况下进行热修复或者动态加载组件。存储安全:为不同的 App 提供者设置逻辑独立的数据存储区域,不同 App 之间的数据应相互独立;企业个人信息保护合规思路与实践报告 65/181 如在本地存储用户个人敏感数据的,应按字段为单位加密保存。传输安全:数据传输宜使用 HTTPS 安全信道、双向证书校验、证书绑定等安全机制,避免因中间人攻击导
135、致传输数据泄露或被篡改;应在传输过程中对用户个人敏感数据字段单独进行加密;不得在未经过应用或用户同意的情况下向服务器传输数据。日志安全:输出日志记录包含输出日志记录包含用户个人敏感信息的,对个人敏感信息单独进行加密。场景示例 3-对 SDK 使用情况进行自查评估 前 10 点应放进隐私政策中进行说明������� 1.SDK 种类:(框架类、广告类、推送类、统计类、地图类、第三方登录、社交类、支付类、客服类、测试类、安全风控类、Crash 监控类、人脸识别类、语音识别类、短信验证类、基础功能类等)2.所属系统:iOS/Android 3.SDK 名称:4.公司名称:5.SDK 的个人信息保护政策链接:6.收
136、集使用目的:例如登录类 SDK 用于身份认证、用户关系、内容传播、分享内容同步信息。7.收集个人信息类型/范围:例如查看 WLAN 连接、读取外置存储卡、企业个人信息保护合规思路与实践报告 66/181 九九.用户的权利用户的权利 用户的权利包括以下方面:访问(查询)、获取副本、更正、删除、账户注销、投诉、举报100、撤回同意、以及拒绝自动决策的重大权益影响。(一一)查询(查询(访问访问)、获取副本、获取副本、更正、删除、注销账号更正、删除、注销账号 必须告知并提供访问(副本)、更正、删除、注销账号的有效功能、方便的 100 App 违法违规收集使用个人信息行�����为认定�����方法第六条 未提供更正、未提
137、供更正、删除、注销账号的途径删除、注销账号的途径 http:/ 2020 年 1 月 5 日。读取手机状态和身份、写入外部存储卡 上述所有个人信息类型是否对实现 SDK 功能均十分必要:是;否【请列举收�������集的非必要信息种类:】是否收集其他个人信息(例如文字、图像、视频、个人相关信息、通讯信息、上网记录、财产等):是;否【请列举收集的其他信息种类:】8.收集个人信息的方式 9.App 从第三方 SDK 获取的个人信息 10.是否控制所收集的信息、留存信息或者所收集信息是否被用于为公司提供服务以外的目的:是;否【请列举用于为公司提供服务以外的其他目的或者说明其他情况:】企业个人信息保护合规思路与实践
138、报告 67/181 途径。查询(访问)包括查询用户个人信息;该个人信息的来源、使用目的;查询第三方接收者的信息(身份或类型);是否必须实时查询,需要参考�����最新法规要求(30 日以内或法律法规规定的期限内101)。尽可能在产品界面实现,方便用户。获取副本,应提供个人基本资料、身份信息、健康生理信息、教育工作信获取副本的途径,或在技术可行下直接将副本传输给用户指定的第三方(类似部分数据可携权)。收取纸质打印副本的成本价并未禁止。更正、删除,及时响应,包括经用户申请和自主维护,失去存储必要性时及时删除、注销。15������ 个工作日内102完成核查和处理,后台也需要同步完成处理。应当主动删除个人信息的情形103
139、:处理目的已实现或者为实现处理目的不再必要;停止提供产品或者服务,或者保存期限已届满;个人撤回同意;违反法律、行政法规或者违反约定处理个人信息或者向第三方共享转让、公开披露个人信息;法律、行政法规规定的其他情形。以上情形下,若个人信息处理者未主动删除的,个人有权请求删除���。101个人信息保护法(草案)(GB/T 35273-2020)8.7 响应个人信息主体的请求。102 这个时间与信息安全技术 个人信息安全规范 (GB/T 352�����73-2020)不同,应以App 违法违规收集使用个人信息行为认定方法六、3.规定为准,15 个工作日内完成核查和处理;该认定方法并未规定任何例外情况。103个人信息
140、保护法(草案)与信息安全技术 个人信息安全规范(GB/T 35273-2020)8.3。企业个人信息保护合规思路与实践报告 68/181 场景示例 1-获取副本 应用户请求,公司应当提供给用户访问个人信息和复制个人信息的权利,实践中可以在产品界面直接设置用户自主下载已提供的个人信息功能,也可以在用户单独请求时由公司提供,可以在隐私政策中提供客服电话或者电子邮箱。但是目前法律并没有强制规定用户可请求将信息以自动化方式转移给第三方。场景示例 2-删除 用户进行搜索产品申诉,要求删除其个人信息的判断方法:如果用户要求搜索产品删除可以被用来检索到自身的关键词或者要求排除特定信息和自身的关联性,公司������需要
141、判断实际情况以决定是否满足用户请求:该信息是否真实准确,信息内容是否合法;该信息来源是否合法;该信息是否是合法公开的信息或者用户主动公开的信息;该信息是否和新闻公众事件或者公众人物关联不大。如果满足上述条件,均为“是”,搜索产品可以拒绝删除;如果不满足上述任何一项条件,搜索产品应当满足用户删除请求。如果符合删除要求,原则从服务器同时删除数据,可以在隐私政策中提供客服电话或者电子邮箱。具体从服务器的删除时间需要依据法律法规要求。企业个人信息保护合规思路与实践报告 69/181 注销账户104 企业通过注册账户提����供产品或服务的,应提供注销账户的方法,且方法需简单易于操作;注销账户过程需要身份核验所
142、需个人信息主体提供的个人信息不应多于注册、使用环节收集的个人信息;需要人工审核的,应承诺在 15 个工作日内完成核实和处理;注销过程需要敏感个人信息进行核验的,应明确处理措施,如达成目的后立即删除或匿名化处理;注销账户后,应及时删除或匿名化,依法需要留存的,不应再应用到产品或服务中。禁止行为:1.未提供有效的更正、删除个人信息及注销用户������账号的功能;2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件,增加个人信息主体的义务(如注销单个产品或服务,视同注销多个产品或服务。此处对同一账户问题提出更高的要求,没有独立的账户体系,可采取对该产品或�����服务账号以外其他个人信息进行删除,并切断账户体系
143、与产品或服务的关联等措施实现105);3.虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的,未在承诺时限内(承诺时限不得超过15 个工作日,无承诺时限的,一般应以 15 个工作日为限)完成核查和处理;4.注销用户账号等用户操作已执行完毕,但 App 后台并未完成。(二二)撤回同意撤回同意 企业应提供方便撤回同意的途径,易于操作,至少与同意同等难易,不能设置不合理条件。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。106 104信息安全技术 个人信息安全规范(GB/T 35273-202�������0)8.5�����。105 同上。106个人信息保护法(草
144、案)(二次审议稿)。企业个人信息保护合规思路与实践报告 70/181 企业不应因用户撤回同意而拒绝提供所有服务,除撤回同意无法提供强关联功能外,其他功能仍需要��������提供;撤回授权同意后,后续不应再处理相应个人信息。企业应保障用户拒绝接收基于其个人信息推送商业广告的权利,如设置退出个性化推荐广告的按钮。如有对外共享、转让、公开披露的情况,企业应向用户提供撤回授权同意的方法。撤回同意不影响撤回前做出的同意。(三三)响应响应 企业需要向用户提供权利请求途径、投诉途径、外部纠纷解决途径,并做到及时响应。目前信息安全技术 个人信息安全规范(GB/T 35273-2020)的响应时间除了注销账户是要求做到 15
145、 个工作日内处理,其他则是 30 天内;“在验证个人信息主体身份后,应及时响应个人信息主体提������出的请求,应在 30 天内或法律法规规定期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径107”。但是App 违法违规收集使用个人信息行为认定方法”更正、删除、注销账户 15 个工作日内完成和处理,后台也需要同步完成处理”108。从优先性和保护用户角度而言,应以 15 个工作日内为准,可以在产品界面实现的尽量在界面实现。(四四)用户权利限制用户权利限制 请参考告知同意的例外,但特定情况需要具体分析。同时请注意参考最新个人信息保护法律法规和国家标准。107信息安全技术 个人信息安全规范(BG/
146、T 35273-2020),App 收集个人信息安全规范;App 违法违规收集使用个人信息行为认定方法三个目前有些许不同,以短的优先。108 App 违法违规收集使用个人信息行为认定方法第六条 未建立、未公未建立、未公布投诉、举报方式等信息布投诉、举报方式等信息 http:/ 2020 年 2 月 9 日。企业个人信息保护合规思路与实践报告 71/181 场景示例-为订立合同或���履行个人作一方当事人的合同所必需109 为订立合同或履行个人作一方当事人的合同所必需收集的信息,这也意味着缺失该类信息我们产品和服务的基本功能无法在技术上实现。当用户在选择继续使用产品的同时,要求删除前述信息,可以先行文
147、字弹窗并说明理由-例如“您使用 xxx 购买商品必须依赖您的收货地址信息,用于给您寄送货物,否则删除所有收货地址后您将无法收到货物”-之后当用户仍然选择删除时,则仅可不提供依赖收货地址的相关功能,但如某产品有浏览模式(需区别于基础功能模式),则不应因用户删除“收货地址信息”而拒绝给用户提������供仅浏览的服务。被收集信息的用户必需是合同一方,而不能仅仅是使用服务的其他用户;所收集的信息必需是实现业务功能在技术上所必需,不能是可有可无的������信息。-如在出租车内安装摄像头,如果安装摄像头是履行合同为实现安全目的所必需的,用户使用 App 叫车即表明同意摄像头采集个人信息;但是如果用户使用 App 为他人叫车或
148、者同乘,他人并非合同一方,仅实际使用服务,在车内应当语音或者图标提������示摄像头的存在。(五五)投诉、举报、申诉投诉、举报、申诉 企业应建立投诉管理机制和投诉跟踪流程,公布个人信息安全投诉、举报、申诉渠道,同时需要做到在 15 个工作日内受理并处理110。产品的隐私政策中至少提供以下一种投诉渠道111:电子邮件 电话 109个人信息保护法(草案)(二次审议稿)110App 违法违规收集使用个人信息自评估指南。111 同上。企业个人信息保护合规思路与实践报告 72/181 传真 在线客服 在线表格 十十.跨境传输跨������境传输112 应遵循最新相关法规依据。(一一)合法依据合法依据 1.1.强必要性强必要性
149、+依法评估依法评估 依据网络安全法 要求,关键信息基础设施的运营者在境内运营中����收集和产生的个人信息应当存储在境内。如需出境则必须依法评估,需要按照最新出境相关法规要求进行评估,并开展个人信息安全影响评估。依据 数据安全法,关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理,适用中华人民共和国网络安全法的规定;其他数据处理者在中国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定,企业应时刻�������关注相关的立法动态。个人信息保护法(草案)(二次审议稿)提出,个人信息处理者因业务等需要,确需向境外提供个人信息的,应当至少具备下列一项条件:(一)
150、通过国家�������网信部门组织的安全评估;(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;(三)按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;112 依据最新个人信息出境相关法律法规、国家标准,进行判断分析。企业个人信息保护合规思路与实践报告 73/181 (四)法律、行政法规或者国家网信部门规定的其他条件。2.2.告知告知同意同意 企业需要增强式告知,经过明示同意,并标识在隐私政策中逐项列出并显著标识,说明出境个人信息类型。传输时,企业可以使用弹窗告知征得明示同意(我国 个人信息保护法(草案)(二次审议稿)
151、要求单独告知同意,可利用弹窗附文案说明跨境的目的、涉及的个人信息类型等信息,由用户自主点击同意)。具体做法及例外情况,需要参考不同国家最新的法律�������法规要求。场景示例-在苹果商店上架一款游戏,可能会有其他国家用户下载使用 苹果商店在用户注册时会识别用户手机号码归属地。例如,使用中国手机号码注册苹果商店的用户不能下载部分 App,这部分 App 仅使用外国手机号码注册的苹果商店用户才可以下载。游戏一般区可分为海外版和国内版,对于专门开发的海外版游戏,设置为不能使用国内手机号码注册账号或者同时要求苹果商店不提供国内用户下载。海外版游戏的数据存储不存储在中国,国内版游戏的数据不存储在海外。如果在中国的外
152、国人使用中国手机号码,但需要下载使用游戏,可以提供将国������内版游戏的语言设置为用户本国语言。3.3.传输的数据类型传输的数据类型合法合法 尤其是特殊类型的数据需要特别注意,如民族、宗教信仰、政治观点,生物识别信息、基因信息等。4.4.不应突破本地化要求不应突破本地化要求 考虑到目前尚未看到“经明示同意”可以突破本地化的要求,收集和产生的企业个人信息保护合规思路与实践报告 74/181 个人信息与重要数据113因此关键信息基础设施收集和产生的个人信息与重要数据114,仍应存在境内,如确需跨境,必须按照最新法规进行评估,同时针对特殊领域则需按照法律法规要求做到本地化存储(详见存储部分)。(二二)接收方
153、接收方的可靠性的可靠性 企业应对接收方的安全保护能力等进行详细的尽调摸底,�������除接收方承诺外,实际进行一定的检测以核验其保护能力是否属实可靠。(三三)各方责任、义务的划分各方责任、义务的划分 企业可使用传输方/接收方模式,抑或是控制者/处理者模式。但必须有书面合同划分清楚各方的责任、义务,并进行留存。(四四)他国法律监管因素影响他国法律监管因素影响 充分了解他国法律监管情况,对现实和潜在风险进行把控。�����场景示例 1-他国本地化要求(是否需要建服务器是否需要建服务器)目前全球有超过 60 个国家做出不同程度数据本地化存储的要求,对本地化要求比较严格的国家包括中国、俄罗斯(处理其用户个人信息的,均应在俄
154、境内建服务器)、印尼(应在境内建立数据灾备中心)、尼日利亚、越南、文莱等;对本地化有一定要求的有欧盟、白俄罗斯、印度、哈萨克斯坦、马来西亚、韩国;对本地化要求不大或者没有的有阿根廷、巴西、哥伦比亚、秘鲁、乌拉圭、美国;仅对特定领域有数据本地化要求的有澳大利亚(个人健康记录要存在其境内)、加拿大、新西兰、中国台湾、土耳其、维瑞内拉。可依据各国本地化严格程度与业务实际判断是否����需要建服务器,同时可参考欧盟最新白名单国家及国家间协议等,如 RCEP(区域全面经济伙伴 113 个人信息保护法(草案)(二次审议稿)。114 个人信息保护法��������(草案)(二次审议稿)。企业个人信息保护合规思路与实践报告 75/1
155、81 关系协定)。在海外销售的智能硬件数据回传中国处理需要�����根据当地跨境传输的规则进行。场景示例 2-欧盟数据怎么跨境 对于将欧盟用户个人数据转移至他国,通用数据保护条例(GDPR)第 5 章有特殊要求,仅在满足该等特殊要求的情形下,������才可以将欧盟用户的数据转移至他国。该等特殊要求包括:1.特别授权;2.被列入欧盟认可的提供充足保护的名单中(除去美国,目前仅 12 个国家或地区。韩国与英国正在推进充分性程序);3.控制者或者处理者提供适当的保障措施(列举了 6 种保障措施,包括由双方签署标准合同条款、采用有约束力的公司规则等),以及为数据主体提供可执行的权利与有效的法律救济措施;4.特殊情形下的克
156、减(包括个人明知仍同意、履行合同所必需、实现数据主体利益所必需、实现公共利益所必需等 7 项,此 7 种可以直接传出欧盟);或者 5.国际合作。每种特殊要求有非常细致的具体�����规定,部分有很多限制性措施无法成为公司跨境转移数据的常规措施,其中比较常用的为第 3 点的适当的保障措施。在上述措施之外,欧盟和美国曾经达成“隐私盾”,加入“隐私盾”的5000 家美国企业可以根据“隐私盾”将数据从欧盟传输至美国,但目前“隐私盾”已经被欧盟法院认定无效。(五五)记录全过程记录全过程 企业应当详细记录跨境的全过程,包括从评估到最后执行,书面文件、技术措施等。企业个人信息保护合规思路与实践报告 76/181 十一
157、十一.未成年人未成年人与与儿童儿童保护保护115 (一一)需要保护未成年人和儿童需要保护未成年人和儿童的产品或服务的产品或服务 1.主要针对未成年人、儿童的产品、服务:如未成年�������人、儿童益智游戏,相关平台、插件、在线服务、联网设备、玩具等;2.被视为针对未成年人、儿童的产品、服务:虽非主要针对儿童,但是网站或服务有以下内容“网站或服务的主题、音视频内容、使用动画角色或其他针对儿童的活动和措施、模特年龄,是否出现儿童偶像、或吸引儿童的名人,网站或服务上有针对儿童的广告,其他关于实际或预期受众为儿童的证据”116;3.我方应确保知晓,合作方通过我方收集儿童个人信息或我方通过合作方收集的儿童个人信息,
158、如收集的儿童身份信息的情况。(二二)未成年人未成年人与儿童的与儿童的范围范围 未成年人不满 18 周岁。其中不满 14 周岁的未成年人为儿童。117(三三)儿童个人信息儿童个人信息作为作为个人个人敏感信息加强保护敏感信息加强保护 1.1.专门规则专门规则 14 岁以下周岁以下(含)儿童的个人信息属于个人敏感信息118,应设置专门的儿童个人信息保护规则和用户协议,并指定专人负责。场景示例-某产品是否需要专门的儿童隐私规则 115 需要参考未成年人保护法、信息安全技术 个人信息告知同意指南(征求意见稿)等最新法律法规和文件。116 借鉴美������国儿童在线隐私保护法案。117 网信办儿童个人信息网络保护规
159、定http:/ 2020 年 1 月 6 日。118信息安全技术 个人信息安全规范(GB/T 35273-2020)。企业个人信息保护合规思路与实践报告 77/181 可根据儿童使用产品的可能性,将产品分为儿童是主要受众与儿童是非主要受众的两种。儿童为主要受众的产品要有专门的儿童个人信息保护政策,儿童为非主要受众的产品直接在隐私政策中说明不收集儿童信息。儿童为主要受众的产品(例如游戏、社交以及教育产品)在用户登录注册时宜采用验�����证强度较高的方式进行核验身份,例如要求用户输入生日信息(精确到年月日)、身份证号,或采取其他合理的方式进行身份验证,但上述措�������施不应超过必要限度(例如不应要求未成年人上传其
160、手持身份证的照片),核验后发现小于 14 岁的,不提供注册服务或者要求监护人同意后才可以进行注册119。2.2.儿童个人信息保护负责人儿童个人信息保护负责人 如果已经设立数据保护官,可以由数据保护官兼任儿童信息保护工作;如果没有设立数据保护官,至少应指定一人负责,虽不一定要增设新职位。3.3.告知同意告知同意 企业收集�������、使用、转移、披露儿童个人信息的,应当以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。除了要求更正和删除的权利行使外,其余只能由监护人同意,儿童不行。120要求删除必须删除;停止运营时必须删除并将情况告知监护人。征得同意时,应同时提供拒绝选项,并明确告知以下内容:(
161、1)处理121儿童个人信息的目的、方式、范围;(2)儿童个人信息存储的地点、期限和到期后的处理方式;119信息安全技术 个人信息告知同意指南(征求意见稿)。120 网信办儿童个人信息网络保护规定http:/ 20212021 年 625 月 25 日。121 遵从最新个人信息保护法(草案)(二次审议稿)的定义。企业个人信息保护合规思路与实践报告 78/181 (3)针对儿童个人信息的敏感性采取的特别安全保障措施;(4)拒绝的后果;(5)投诉、举报的渠道和方式;(6)更正、删除儿童个人信息的途径和方法;(7)儿童个人信息的敏感性与注意事项;(8��������)监护人正确履行监护职责,教育引导儿童增强个人信息保
162、护意识和能力的方式;122(9)其他应当告知的事项。前款告知内容发生实质性变化的,企业应当再次征得儿童监护人的同意。因业务需要,确需超出约定的目的、范围使用的,应再次征得儿童监护人同意。4.4����.儿童个人信息存储儿童个人信息存储要求要求 (1)加密存储和传输儿童信息;(2)除非法律有特殊规定或者在隐私政策中明确说明可能的披露场景,不能对特定或者不特定第三方披露儿童信息;(3)应当保证监护人请求更正或者删除儿童信息渠道的通畅,且在隐私政策中明确说明更正和删除途径;(����4)应当建立应急预案,确保儿童信息发生泄露、损毁、丢失时,可以立即向监管汇报并且通知儿童的监护人;(5)在线教育 App 网络日志留存
163、和节目内容留存均有特殊规定。校外培训在线教育 App 用户日志必须留存 1 年,长于一般规定 60 日的要求。123培训内容和培训数据信息须留存 1 年以上,其中直播教学的影像须 122信息安全技术 个人信息告知同意指南(征求意见稿�������)。123教育部等六部门关于规范校外线上培训的实施意见。企业个人信息保护合规思路与实践报告 79/181 留存至����少 6 个月124。5.5.访问控制访问控制 企业应当建立单独的或者在现有访问控制制度中专门规定涉及儿童信息的内容。对工作人员应当以最小授权为原则,严格设定信息访问权限,控制儿童个人信息知悉范围。工作人员访问儿童个人信息的,应当经过儿童个人信息保护负责人或
164、者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法复制、下载儿童个人信息。6.6.向第向第三方转移儿童个人信息三方转移儿童个人信息 企业应自行或者委托第三方机构进行安全评������估。委托第三方处理儿童个人信息的,应对受委托方及委托行为等进行安全评估,签署委托协议,明确双方责������任、处理事项、处理期限、处理性质和目的等,委托行为不得超出授权范围。受委托方不得转委托,应在委托关系解除时及时删除儿童个人信息。7.7.如何核验是否为监护人如何核验是否为监护人 目前可参考的方案如下(但并非一定是针对业务的最优方案,最优方案需要结合产品及业务的场景具体分析):如监护人签署同意书并发送给公司(是否真的父母不
165、确定);提问监护人(仅儿童家长才可回答的知识挑战问题),电话等方式;审核证明文件,如让监护人通过信用卡、借记卡或在线支付系统等支付小额款项,验证监护人是成年人(需要避免过度收集信息);与第三方合作,验证是否为监护人。实践中,国外有采用同意书+信用卡支付等方式的。场景示例-“儿童实名认证通知监护人”功能 在用户做实名认证时,124 同上。企业个人信息保护合规思路与实践报告 80/181 若年龄小于 14 周岁,则要求填入真实姓名、身份证号、手机号;通过校检后进入下一步,需填写监护人相�������关信息;将根据所填监护人信息联系监护人,征求其授权同意;告知监护人未成年人保护相关条款,包括 儿童个人信息保护指引
166、及监护人须知和儿童保护协议及监护�����人须知等;监护人授权同意后,账号方可实现认证;如未成功获得授权,系统将重新返回认证最初界面,并删除已收集到的儿童信息。目前相关国家标准中提出了一些指引性意见,例如:终端或应用仅单独面向未成年人的,核验的方式可采取短信验证、电话验证、邮箱验证等合理措施进行。短信内容可参照:“尊敬的用户您好!这里是 xxxx,根据国家有�������关未成年人个人信息保护的要求,收集使用年满 14 周岁的未成年人的个人信息前,宜征得该未成年人或其监护人的明示同意 收集不满 14 周岁的未成年人的个人信息前,应征得其监护人的明示同意。若您是 xxx 的监护人,请回复“1”,若不是请回复 2”。本条
167、短信 5 分钟内容有效。”125 若产品或服务为未成年人和监护人提供了不同终端或应用界面的,核验的方式可直接在监护人终端或应用界面中完成。例如,直接在监护人终端或应用界面中完成。例如,在未成年人的终端或应用界面提示为满足国家有关未成年人个人信息保护的要求,需要该未成年人将有关产品或服务的个人信息使用规则等信息告知其监����护人,此时该未成年人的终端或应用界面上已生成用于分享给其监护人的超链接或二维码。未成年人可分享超链接或二维码至其监护人,其监护人打开该超链接或扫一扫该二维码之后可以下载或进入监护人专门的终端或应用,该监护人可在该终端或应用界面上确认其是否为该未成年人的监护人;或在监护人界面设置主动
168、开启未成年 125信息安全技术 个人信息告知同意指南(征求意见稿)。企业个人信息保护合规思路与实践报告 81/181 人设备的开关,监护人端开与未成年人端通过 WLAN、蓝牙、移动网络������完成鉴权和连接的,视为完成验证等。126 十二十二.停止运营停止运营 当停止运营时,企业应及时停止继续收集个人信息,将停止运营的通知以逐一送达或公告的形式通知个人信息主体,并对所持有的个人信息进行删除。127 场景示例-如 App 计划停止运营,需要提前在 App 中进行公示,并告知用户有权注销账户或者删除信息,提供用户存储或者转移信息的方式;App 停止运营后不再收集任�����何个人信息并且停止向第三方提供个人信息;对
169、已收集�������的信息删除或者做匿名化处理。另法律法规对存储期限有强制要求的应当遵守,可参考存储部分。十三十三.记录记录 企业宜建立、维护和更新所收集、使用的个人信息处理活动记录,记录 1)所涉及个人信息的类型、数量、来源(如从个人信息主体直接收集或通过间接获取方式获得);2)根据�����业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况;以及 3)与个人信息处理活动各环节相关的信息系统、组织或人员。128 126 同上。127信息安全技术 个人信息安全规范(GB/T 35273-2020)。128 同上。对个人信息处理的各个环节进行记录是法律的要求,也是
170、证明个人信息处理行为合规�������的证据。对个人信息处理的记录可以是系统自动化方式进行,也可以通过手动电子文档或者纸质文档方式进行。记录内容应当全面反映个人信息处理的相关情况,以处理儿童个人信息为例:需要记录企业个人信息保护合规思路与实践报告 82/181 处理了哪些类型的儿童信息、通过 App 直接收集或者从第三方间接收集的儿童信息、涉及儿童信息处理的全过程、存储地点和是否跨境传输、涉及的信息系统以及组织和人员等。各项记录至少保存 3 年。企业处理数据记录(数据清单)模板:具体可参考分则产品������个人信息合规评估清单业务填写部分,其中功能与个人信息对应的 2 列可作为数据清单,七大版块情况可作为数据处理清单
171、。企业个人信息保护合规思路与实践报告 83/181 第四章第四章 特殊场景下特殊场景下的的个人信息个人信息 一一.物联网场景下个人信息物联网场景下个人信息129 物联网是指通过感知设备,按照既定协议,连接物、人、系统和信息资源,实现对物理和虚拟世界的信息进行处理并做出反应的智能服务系统,也是指通过“随时”和“随地”连接任何事物而创建的一个全新的、动态的网络130。其应用场景包括智能交通、家居、公共建筑、办公、工业、农业、渔业、穿戴、机车、智慧城市等 14 个方面。物联网场景下收集的个人方式更加多样、种类更加丰富,物联网场景下处理个人信息有不同的保护要求。(一一)智能家居设备����智能家居设备一般要求
172、一般要求 1.弱界面交互的产品(没有 App 的),其告知内容通过建立连接设备上的 web UI 上展示,并获得用户的同意;如某无线路由器、CPE(用户驻地设备);2.若 App 在与智�����慧生活设备绑定前就已经开始收集个人信息的,应当通过该 App ���进行告知同意;3.智慧生活设备在注册到智慧生活平台前,对于所收集的个人信息可通过与平台直接相连的 App 告知用户,并获得用户明示同意;4.智慧生活平台提供对智慧生活设备管理和服务,为实现对智慧生活设备的管理和服务,智慧生活平台需要收集注册到智慧生活平台上的设备的相关信息,在收集该信息前,通过与平台直接相连的 App 告知用户所收集的个人信息,并征得
173、用户同意。智慧生活设备向第三方分享、从第三方获得个人�������信息的告知同意包括:129信息安全技术 ��������个人信息告知同意指南(征求意见稿)。130 同上。企业个人信息保护合规思路与实践报告 84/181 为实现智慧生活平台和第三方平台之间的互联,当用户授权第三方账号登录时,应向用户展示智慧生活平台从第三方平台获得的用户设备等信息,并获得用户同意。此外,产品所提供的服务若跳转到由第三方提供的服务界面,还应告知用户该服务由第三方提供。场景示例-以“360 安心家庭 App”为例 目前接入“360 安心家庭 App”的产品为摄像机、门铃、防火墙-路由器、扫地机、平衡车,如果每种类型产品有单独的 App,每款 A
174、pp 需要单独的隐私政策。通过“360 安心家庭 App”管理产品时,可跳转到该款产品单独的 App;如果每种类型产品不开发 App,直接接入“360 安心家庭 App”,则应在 360 安心家庭 App 的隐私政策中对收集的数据种类进行分类描述;既不接入“360 安心家庭 App”,又没有单独的 App 产品,在产品说明书中对个人信息保护事项进行说明,或者在产品屏幕上提供可查阅链接或说明;所有产品说明书均可提供二维码或链接,可手机扫码或上网查阅隐私政策。(二二)智能音箱收集�������个人信息的告知同意智能音箱收集个人信息的告知同意 智能音箱是指可连接网络实现播报新闻、播放音乐、互动聊天以及可能包含控制
175、其他智能家庭设备的功��������能,可能采用语音的方式操控的音箱。131 1.若智能音箱配备显示屏且足以展示告知内容的,可以在自带的显示屏上进行展示并获得用户同意;2.若智能音箱不配备显示屏,或者为了更好的阅读体验,可以在其他终 131 同上。企业个人信息保护合规思路与实践报告 85/181 端展示,并通过(在屏幕直接显示或在印刷包装上)提供二维码、短链接等方式引导用户访问,或者采用语音播报提示重要内容,并获得明确同意。但应避免在此过程中收�������集个人信息;3.若智能音箱可以绑定 App,可以通过绑定该设备的 App 展示告知内容,并通过 App 获得用户同意;4.若绑定该智能音箱的 App 收集不同于智能音箱
176、收集的个人信息,应当在 App 启动或账号登录时向用户展示告知内容,并通������过 App 获得用户同意;5.若智能音箱以及 App 收集的个人信息均通过 App 展示告知内容的,则宜在告知内容上区分智能音箱及 App 分别收集的个人信息类型和个人信息处理规则,并通过 App 获得用户同意。智能音箱向第三方分享、从第三方获得个人信息的告知同意包括:当智能音箱其他智能家居设备的控制中枢,且该设备由其他数据控制者处理个人信息,则智能音箱在向其他控制者传输或者获取其他数据控制者收集的个人信息前(比如智能音箱需要将用户操作其他设备的指令传输给该其他设备实现操作,而该其他设备操作后需要返回操作结果等给智能音箱进
17�����7、而播报给用户),应当告知用户并获得用户同意。(三三)健康穿戴与管理健康穿戴与管理 运动健康设备包括智能手表、智能手环、耳机等穿戴设备和健康管理设备,如体脂秤、血压计、健身设备等。1.运动健康设备多为没有屏幕或屏幕尺寸受限的设备,与运动健康设备相关的个人信息处理在提供运动健康服务的 App 上实现告知同意;2.用户通过提供运动健康服务的 App 绑定运动健康设备前,应告知用户的运动数据、健康数据等个人信息同步到提供运动健康服务的 App;若存在设备间数据同步,则应告知用户在设����备间分享的数据类型,告企业个人信息保护合规思路与实践报告 86/181 知用户解除绑定方式;3.运动健康平台收集用户的个人
178、资料、运动信息、健康信息等个人信息应在收集信息前明确告知用户,并获得用户同意;4.运动健康场景向第三������方分享个人信息的告知同意包括:用户使用运动健康服务,其个人数据可以共享给第三方,以使用户使用第三方应用提供的运动健康服务,在数据共享前应告知用户,并得到用户授权,并告知用户取消授权的方式。二二.公共场合场景下个人信息公共场合场景下个人信息 公共空间是指向不特定的社会公众开放的、供公共使用和活动的场所,包括市政道路、建筑物、公园、广场、绿地、滨水区域等开放式空间,也包括政府机关或企事业单位管理的机场、火车站、学校、图书馆、商场、餐饮娱乐产所、公共交通工具等非开放式空间132。1.公共场所收集个人信
179、息时,建议个人信息控制者以显著方式向用户进行展示告知。公共场所张贴告知内容宜简短易懂,效果宜显著醒目,同时告知获取更多相关信息的途径;2.在产品 PC 端、移动端与公共场所的问讯处、柜台、管理办公室等处同时提供完整隐私政策或条款文本,提供二维码扫码获得更多信息,告知官网访问个人信息保护政策途径,供个人信息主体需要时查阅;3.对于不特定人群进入的公共场所收集人脸等个人敏感信息的,明确标识信息采集设备的性质和目的。对于特定人进入的场所采集人脸特征等个人敏感信息的,明确标识信息采集设备的性质和目的,同时征得信息�������主体或其合法监护人的授权同意,依据法律法规和相关约定的情况除外;4.当个人信息主体拒绝在公
180、共场所收集其个人信息时,为信息主体提供 132 同上。企业个人信息保护合规思路与实践报告 87/181 拒绝路径和方式,建议相关公共场所提供不收集�����个人信息的选择方案,例如,不参与分流安检的通道;不成为会员的购买方式;不通过人脸识别的支付方式等。场景示例-采集个人敏感信息的摄像头如何告知 在摄像头产品中提供张贴的纸质提示:您已进入监控区 收集信息种类 面部图像、身体图像、声音信息【请确认具体信息种类】使用目的 公开场所或者封闭空间、楼宇、单位、学校、住宅安全防护【请确认是否用于其他目的】获取更多信息的方式 如扫码获取更多信息(提供隐私政策链接)三三.车载车载场景下个人信息场景下个人信息 车载场景
181、是指以车载终端作为载体,通过网络连接实现人车交互及系统服务的各种应用场景,包括信息娱乐系统、交通信息管理系统、应急救援系统等。车载场景随着网络技术、大数据算法能力、AI 技术等的发展有所变化,可能会出现更多的融合模式133。请注意在进行告知及与个人信息主体交互时,不宜在行车场景下设置任何可能干扰驾驶的产品方案134。1.在车辆使用说明书或销售协议中对于车载系统及应用服务进行介绍,并将服务相关的个人信息控制者、个人信息处理活动及个人信息控制者就个人信息处理活动����制定的基本规则或查看规则的具体路径和方式 133 同上。134 同上。企业个人信息保护合规思路与实践报告 88/181 进行告知;2.车辆
182、生产商及车载系统服务提供商宜在系统控制层面为各个人信息控制者提供向个人信息主体告知个人信息处理活动制定的基本规则的交互界面或可行设计,个人信息控制者通过前述交互页面或可行设计向用户展示隐私政策等个人信息处理活������动的规则;3.存在车机互联或账号设定等交互的产品,可以选择将告知内容通过建立连接的移动设备进行展示;4.提供服务时如手机人脸、指纹等个人敏感信息时,在交互过程中向个人信息主体明示收集信息的目的,可以采用语音提示方式引起个人信息主体的注意。注:如信息仅用于或存储在车载终端,没有回传服务器,不属于个人信息的收集行为。四四.个人金融信息个人金融信息1�������35 个人金融信息包括账户、鉴别信息、金融交易
183、信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。上及原则上涉及金融类个人信息与������个人财产情况紧密相关均为敏感个人信息,应当按照敏感个人信息加强保护。(一一)个人金融信息的主要类别个人金融信息的主要类别 1.账户信息指账户及账户相关信息,包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)、银行卡有效期、证券账户、保险账户、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等;2.鉴别信息指用于验证主体是否具有访问或使用权限的信息,包括但不 135个人金融信息保护技术规范。企业个人信息保护合规思路与实践报告 89/181 限于银行卡密码、预付卡支付密码;个
184、人金融信息主体登录密码、账户查询密码、交易密码;卡片验证码(CVN 和 CVN2)、动态口令、短信验证码、密码提示问题答案等;3.金融交易信息指个人金融信息主体在交易过程中产生的各类信息,包括但不限于交易金额、支付记录、透支记录、交易日志、交易凭证;证券委托、成交、持仓信息;保单信息、理赔信息等;4.个人身份信息指个人基本信息、个人生物识别信息等:个人基本信息包括但不限于�������客户法定名称、性别、国籍、民族、职业、婚姻状况、家庭状况、收�������入情况、身份证和护照等证件类信息、手机号码、固定电话号码、电子邮箱、工作及家庭地址,以及在提供产品和服务过程中收集的照片、音视频等信息;个人生物识别信息包括但不限于指
185、纹、人脸、虹膜、耳纹、掌纹、静脉、声纹、眼纹、步态、笔迹等生物特征样本数据、特征值与模板。5.财产信息指金融业机构在提供金融产品和服务过程中,收集或�����生成的个人金融信息主体财产信息,包括但不限于个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金存缴金额等;6.借贷信息指个人金融信息主体在金融业机构发生借贷业务产生的信息,包括但不限于授信、信用卡和贷款的发放及还款、担保情况等;7.其他信息:对原始数据进行处理、分析形成的,能够反映特定个人某些情况的信息,包括但不限于特定个人金融信息主体的消费意愿����、支付习惯和其他衍生信息;在提供金融产品与服务过程中获取、保存的其他个人信息。其中被定义为
186、C3 类信息的主要为用户鉴别信息,主要指密码、验证码、口令等;C2 类别信息主要为可识别特定个人金融信息主体身份与金融状况的个人金融信息,以及用于金融产品与服务的关键信息,例如账号、户名等;C1 类信息为机构内部的信息资产,主要指供金融业机构内部使用的个企业个人信息保护合规思路与实践报告 90/181 人金融信息,例如开户时间、开户机构等。C3 类信息������敏感度最高,依次为C2、C1 类,不同级别应同时按金融监管部门要求遵守相应保护要求。(二二)告知同意要求告知同意要求 互联网金融场景下在以下三类场景中会涉及告知同意:金融借贷,是指为用户提供从金融机构进行个人消费贷款服务,包括授信、借款、还款与交
187、易记录等功能,这里的金融机构是指有放贷资质的银行、消费金融公司、小贷公司等在网络上提供借贷服务的机构。助贷业务,是指金融科技机构通过自有系统或渠道筛选目标客群,在完成自有风控流程后,将较为优质的客户输送给持牌金融机构、类金融机构,经持牌金融机构、类金融机构风控终审后,完成发放贷款的一种业务。金融机构线上业务,是指金融服务机构通过网络提供金融服务,为用户提供从金融机构进行存����款、保险及投资理财服务,包括账户开户、存款、交易、认购、赎回、投保、理赔、分红、交易记录、查询与客服等功能,具有银行、保险、理财、投资等资质在网络上提供服务的金融机构及金融中介机构(统称“金融服务机构”)136。1.向个人信息
188、主体提供授信、借款、还款、交易记录等产品或服务而收集使用个人信息时,应当在实名认证、绑定银行账户信息、获取个人征信信息、紧急联系人信息、借贷交易记录等基������本功能开启前,向个人信息主体告知基本业务功能所必要收集的个人信息类型,包括网络日志、手机号码、身份证件信息、账户信息、银行账户信息、个人征信信息、紧急联系人信息、借贷交易记录等。并向个人信息主体说明拒绝提供或拒绝同意收集将带来的影响,并通过个人信息主体对信息收������集主动做出肯定性动作(如勾选、点击“同意”或“下一步”文字备注点击表示您同意等)征得其明示同意;2.向个人信息主体提供产品或服务的扩展业务,包括但不限于基于定位 136信息安全技术 个人信
189、息告知同意指南�������(征求意见稿)。企业个人信息保护合规思路与实践报告 91/181 的扩展功能、基于相机的扩展功能、基于通讯录的扩展功能、基于日历的扩展功能、基于麦克风的扩展功能,收集使用个人信息时,应当在扩展业务功能开启前,向个人信息主体注意告知所提供扩展业务功能及所必要收集的个人信息,并允������许个人信息主体对扩展业务功能逐项选择同意;3.金融机构向与其存在业务关系的第三方提供个人信息的,应当事先明确告知信息主体第三方的姓名或者名称,第三方收集、处理、使用个人信息的特定的用途,范围和可能产生的后果等,并取得信息主体的明示同意。五五.面部识别等生物特征面部识别等生物特征识别识别信息信息137 个人生物
190、特征信息属于敏感个人信息,包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等,应遵守传输、存储部分的加密及分开存储等要求。收集个人生物特征信息前,企业应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围��������,以及存储时间等规则,并征得个人信息主体明示同意。场景示例-是否需要单独生物特征识别信息保护规则 涉及人脸识别信息、指纹信息的,在隐私政策中加入单独的个人生物特征识别信息保护政策的链接。单纯的拍照片、拍摄不等于收集处理人脸识别信息或声纹信息。收集相关个人信息�������/申请相关权限时,弹窗告知“xxx 申请您的相机权限,收集您的人脸特征识别信息,用于验证您的身份,进行登录/支付,具
191、体规则详见 xx 可链接上xxx 个人生物特征识别信息保护政策”并由用户 137信息安全技术 个人信息安全规范(GB/T 35273-2020)。)。企业个人信息保护合规思路与实践报告 92/181 自主点击同意按钮。企业个人信息保护合规思路与实践报告 93/181 第五第五章章 个人信息安全工程个人信息安全工程(隐私设计)(隐私设计)一、概述一、概述 个人信息安全工程,又可被称为隐私工程(privacy engineering),是将个人信息保护关注点整合到系统和软件生命周期过程的工程实践中。主要包括需求分析、产品设计、产品开发、测试审核、发布部署等阶段,各阶段对应的工程活动,如表 1�����-2
192、所示。138在个人信息安全工程中,根据实际情况,同步开展个人信息安全影响评估、法律合规评估。表 1-2 个人信息安������全工程总体框架 流程阶段 需求分析 产品设计 产品开发 测试审核 发布部署 活动 流 程活动 需求触发 需求设计 隐私编码实现 测试用例 发布准备 需求分析及评估 设计检查及评估 安全编码 安全和隐私测试 发布评审 需求确定 第三�����方 SDK/插件安全 安全整改 安全部署 隐 私评审 隐私相关团队参与 本部分简言之,应当将本文件所述个人信息保护要求,个人信息合规问题提前到产品需求、设计、研发阶段,在需求、设计、开发、测试、上线发布等系统工程阶段考虑个人信息保护要求,保证系统建设时对个
193、人信息保 138信息安全技术 个人信息安全工程指南(征求意见稿)https:/ 202�������0 年 5 月 10 日。企业个人信息保护合规思路与实践报告 94/181 护措施进行同步规划、同步建设和同步使用139,并在产品运行全过程,通过个人信息处理全生命周期来进行个人信息的重点保护。通过个人信息处理全生命周期来进行个人信息的重点保护避免产品上线即存在个人信息保护方面的瑕疵,届时再进行产品合规修改,可能会增加业务成本,甚至被监管������部门因个人信息不合规问题处罚、下架,严重影响到产品的生存问题。个人信息安全设计考虑点:隐私政策、告知同意机制设计、用户权益、产品权限、第三方插件/SDK(第三方接入)、定向推
194、送设计、身份鉴别和访问控制、个人信息加密、密钥管理设计、个人信息采集、监测审计、个人信息去标识140。场景示例-个人信息安全工程设计要点 二、隐私设计重点二、隐私设计重点 隐私设计是指网络产品和服务的设计阶段需要实施个人信息保护的原则和要求。从日常实践来看,通常包括以下内容:产品隐私政策设计、产品权限管理设计、用户告知及授权交互操作设计、用户查询、删除、更正、账号注销、撤回同意等权益功能及机制的设计、用户信息保存期限的设计、身份认����证和访问控制机制的设计(防止个人����信息未经授权的访问及不正当的使用)、端到端的个人信息数据安全防护、隐私功能保护设计(如个人信 139信息安全技术 个人信息安全规范(G
195、B/T 35273-2020)。140信息安全技术 个人信息安全工程指南(征求意见稿)。产品权限 权限最小化 非必要权限被拒绝后不强制开启 敏感权限需获得用户同意 权限调用有合理、明确的功能和场景个人信息去标识化 根据风险识别确定需要去标识化的个人信息和实现方式 自动化工具 保留记录,以溯源行业考虑 行业敏感度高、数据量大 重视分享而忽略私密性,泄露可能性高 与第三方合作较多 较多个人信息跨境产品权限 权限最小化 非必要权限被拒绝后不强制开������启 敏感权限需获得用户同意 权限调用有合理、明确的功能和场景个人信息去标识化 根据风险识别确����定需要去标识化的个人信息和实现方式 自动化工具 保留记录,以溯源
196、行业考虑 行业敏感度高、数据量大 重视分享而忽略私密性,泄露可能性高 与第三方合作较多 较多个����人信息跨境企业个人信息保护合规思路与实践报告 95/181 息去标识化)以及数据加密设计等。具体而言,隐私政策弹窗逻辑与页面设计、权限申请弹窗、隐私中心这三项是比较重要的部分。而“权限申请弹窗”的设计又是重中之重,也是近期监管的重点。在公司设计 App 权限申请弹窗时,需要注意遵守权限申请设计原则与权限使用设计原则。权限申请设计原则 权限使用设计原则 最小必要:仅申请 App 业务功能所必需的权限,不申请与 App 业务功能无关的权限 一致性:权限的使用应与权限申请时和隐私政策中所描述的目的用途、使用
197、场景和规则相一致。用户可知:申请的权限均应有明确、合理的使用场景,并告知用户权限申请目的。不扩散:App 通过系统权限获得的数据和能力,不应在用户未授权的情况下私自提供给小程序或终端上的其他 App 使用。不强制不捆绑:不应强制申请系统权限,不要求用户一次����性授权同意打开多个系统权限。访问显性化:使用系统权限(例如相机、麦克风、位置)获取个人敏感信息时,应采用显性方式提示用户,避免以隐蔽方式收集用户个人信息。动态申请:App 所需的权限应在对应业务功能执行时动态申请。在用户未触发相关业务功能时,不提前申请与当前业务功能无关的权限。在设计权限申请弹窗时可考虑如下建议141:141网络安全标准实践指
198、南移动互联网应用程序(App)系统权限申请使用指引(征求意见稿)。企业个人信息保护合规思路与实践报告 96/181 如安卓 APP 申请使用设备管理器、辅助功能、监听通知栏、悬浮窗权限等其他敏感权限,宜提供详细管理界面说明申请目的,并适当增加障碍设计避免用户误操作,同时可在 APP 使用过程中适当增加实时显性提示;当录音、录屏、定位等敏感操作在后台执行时,宜采用显著方式(如图标闪烁、状态栏提示、自定义提示条等)提示用户,增加感知度和透明性;如操作系统支持、APP 申请相机、位置、麦克风等敏感权限时宜提供用户选择临时单次�����授权��������;APP 监听设备的通话状态可通过接口 PhoneStateListen
199、er 或请求AudioFocus 实现,无需申请权限;APP 如需访问其他 APP 共享的文件,建议使用 MediaStore 或 SAF 框架,由用户选择对应文件,而非申请外部存储权限直接进行读取等。场景示例-iOS 系统权限请求弹窗 可编辑 在弹窗文案中明确说明权限请求目的等 安卓系统权限请求弹窗 不可编辑 在系统权限请求前,通过产品内文字提示告知用户权限请求的目的等 企业个人信息保护合����规思路与实践报告 97/181 本部分具体指引可参考个人信息合规项目成果之开发设计个人信息合规指引文件。本部分技术细节可参考最新 信息安全技术 个人信息安全工程指南(征求意见稿)和信息安全技术 个人信息安全
200、影响评估指南。企业个人信息保护合规思路与实践报告 98/181 第第六六章章 组织组织、制度制度、技术要求、技术要求 一一.应应设立专职设立专职个人信息保护负�������责人与个人信息保护负责人与机构机构 首先,企业应明确法定代表人或公司主要负责人对个人信息安全负全面领导责任,包括提供人力、财力、物力保障。其次,集团层面应任命设立专职的个人信息保护责任人与个人信息保护工作机构142。最后,哪些人员可以作为专职的个人信息保护负责人:其应具有相关管理工作经历和专业知识;具有较强独立性:参与个人信息处理活动的重要决策直接向公司主要负责人报告工作;应为个人信息保护负责人提供必要资源,保障独立履行������职责。避免多重工作
201、职责之间存在利益等因素影响独立性。如个人信息保护负责人不宜兼任首席运营官、首席执行官等可能有利益冲突的职位。注:网络安全负责人和个人信息保护负责人(DPO)承担不同职责,分别负责网络安全和数据安全。网络安全法 要求公司根据网络安全等级保护制度,制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。信息安全技术 个人信息安全规范(GB/T 35273-2020)规定,如果信息处理从业人员超过 2�����00 人、处理超过 100万人的信息、处理超过 10 万人敏感信息的,符合任何一项均应由专人负责个人信息保护工作。涉及处理儿童个人信息活动的,应设立个人信息保护专员或者指定专人负责儿童
202、个人信息保护143,或者由数据保护官兼任。142信息安全技术 个人信息安全规范(GB/T 35273-2020)11 组织的个人信息安全管理要求。应设立专职个人信息保护负责人和机构的情况:主要业务涉及个人������信息处理,且从业人员大于 200 人;处理超 100 万用户的个人信息或预计 12 月内超 100 万用户;处理超 10 万人的敏感个人信息。11.1 明确责任部门与人员。143儿童个人信息网络保护规定。企业个人信息保护合规思路与实践报告 99/181 个人信息保护负责人与机构的工作职责:统筹内部个人信息安全工作并负直接责任,制定工作计划并督促落实;制定、签发、实施、更新个人信����息保护政策和规程
203、;建立、维护更新个人信息清单(个人信息类型、数量、来源、接������收方等)和授权访问策略;开展个人信息安全影响评估,提出保护对策建议,督促整改;组织开展个人信息安全培训;在产品上线前进行检测,避免未知的个人信息收集、使用、共享等处理行为;公布投诉、举报方式等并及时处理;进行安全审计;与监管保持沟通,通报或报告个人信息保护和事件处置情况144。二二.应应建立建立健全健全制度制度体系体系 (一一)应设置应设置个人信息处理的管理、审批流程个人信息处理的管理、审批流程 企业应有书面可查证的文件或设置:如总体制度方案;个人信息安全影响评估、应急预案、响应处置、培训、演练;日常审批制度流程;操作权限、操作行为指引
204、;第三方的管理;设计与默认的隐私保护(个人信息安全工程)。管理制度:1.制定个人信息保护的总体方针和安全策略等相关规章制度和文件,包括本机构的个人信息保护工作的目标、范围、原则和安全框架等相关说明;2.制定员工手册,明确对于个人信息保护的指引和要求,突出个人信息接����触岗对个人信息日常管理的操作规程、要求;3.建立个人信息管理制度体系,其中包括安全策略、管理制度、操作规程和记录表单;4.应制定个人信息安全事件应急预案。管理制度制定发布:由专职的个人信息保护负责人或机构负责安全管理制 144信息安全技术 个人信息安全规范(GB/T 35273-2020)。企业个人信息保护合规思路与实践报告 100/
205、181 度的制定;明确安全管理制度的制定程序和发布方式,对制定的安全管理制度进行论证和审定,并形成论证和评审记录;明确管理制度的发布范围,并对发文及确认情况进行登记记录。管理制度执行落实:对相关制度执行情况进行审批登记;保存记录文件,确保实际工作流程与相关的管理制度内容相同;定期汇报总结管理制度执行情况。场景示例-数�����据分类分级审批使用表 数据种类 数 据级别 申请人 审批人 使 用目的 使 用时间 使 用 要求 人脸识别信息 3级(敏感 信息)内部员工/外部员工 1 名或 者多名 数 据训练 3个月 在 封 闭沙 箱 环境 中 使用,不对外输出 按照不������同标准对数据进行分类,例如设备信息、日志、
206、元数据、用户主动提供的数据等 按 照一 定标 准分 为1-3级 或者 更多级 具体到个人和业务团队 不同 种 类和级 别 数据需 要 经过的 审 批流程 不 一样,例如业务总 监 审批、数据保护官审批、副总审批 对 使用 目的 进行 描述 根 据实 际需 求设 定时间 根 据 使用 目 的对 使 用要 求 进行规定,例 如 停止访问、删 除 信息等 注:可在工作流中增加数据审批使用记录。企业个人信息保护合规思路与实践报���������告 101/181 (二二)应严格管理内外部人员应严格管理内外部人员 管理、操作、审计角色分离。1.1.内部人员管�����理内部人员管理 企业应与个人信息处理岗位员工签订保密协议,转岗或
207、离职仍继续履行保密义务;大量接触个人敏感信息的应进行背景调查,了解犯罪情况、诚信情况等;明确个人信息处理岗不同岗位的安全职责,建立发生安全事件的处罚机制;建立内部政策、制度对员工提����出个人信息保护的指引要求,使其遵守员工手册、劳动合同、等制度文件的要求,履行个人信息安全保护义务;应定期培训,至少每年 1 次或在隐私政策发生重大变化时对个人信息处理岗进行培训和考核,确保掌握隐私政策和相关流程。设置人员权限,最小权限原则,设置审批流程,流程完备,批量修改、复制、下载等行为应严格审核,�����超权限的,应经公司级个人信息责任人或个人信息保护机构书面同意并存档留痕。个人敏感信息特别授权。记录审批和操作过程,留痕
20������8、。2.2.外部人员管理外部人员管理 (1)与个人信息接触外部人员签订保密协议,明确可能访问个人信息的外部人员应遵守的个人信息安全要求,并监督其行为;(2)建立关于物理环境的外部人员访问安全措施,制定外部人员允许访问的设备、区域和信息的规定;要求外部人员访问前需要提出书面申请并获得批准;外部人员访问被批准后应有专人全程陪同或监督,并进行全程监控录像;对外部人员访问情况应登记备案;(3)建立关于网络通道的外部人员访问的安全措施,制定外部人员允许接入受控网络访问系统的规定;外部人员访问前需要提出书面申请并获得批准;外部人员访问时应������进行身份认证;根据外部访问人员的身份划分不同的访问权限和访问内容;对外
209、部访问人员访问时间进行限制;对外部访问人员对个人信息的操作进行记录。企业个人信息保护合规思路与实践报告 102/181 (三三)应严格应严格管理管理第三方第三方 1.建立第三方接入管理机制和工作流程,根据具体请见建立必要的安全评估等机制设置接入条件;2.签订书面合同形式约定双方或多方的安全责任与应实施的个人信息安����全措施;3.向个人信息主体明确标识产品或服务由第三方提供,�����向个人信息主体告知目的、第三方的类型及可能产生的后果,并征得用户明示同意;4.妥善留存合同、管理记录;5.要求第三方征得用户授权并核验实现方式;6.要求第三方建立响应用户个人信息权利行使和投诉等机制,并进行妥善留存、及时更新、以
210、供个人信息主体查询、使用;7.涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发包工具、小程序等)宜:开展技术检测,确保其个人信息收集、使用行为符合要求;对第三方自动化工具处理活动进行审计,发现违约行为及�����时切断接入145。SDK 问题请见第三方接入(SDK)章节。场景示例-首先对涉及的外部人员种类进行划分,例如派驻到公司完成特定工作的第三方人员、关联公司人员、供应商和客户的人员、临时访客、后勤保障人员等;其次对第三方人员可能带来的数据安全风险进行识别,例如物理办公区域、硬件设备、服务器、网络与数据等泄露风险;最后对不同的人员访问物理区域、使用硬件设备、访问数据库等设定条件
211、,包括签署保密承诺书、对可进入的物理区域设置不同级别门禁、对可 145 信息安全技术 个人信息安全规范(GB/T 35273-2020)。企业个人信息保护合规思路与实践报告 103/181 访问网络和数据库设定访问权限、防止未经授权拷贝或者泄露。(四四)应应充分充分记录留痕记录留痕 1.记录的重���������点版块:记录与留痕在个人信息保护工作中至关重要,应包括所有���处理过程、管理制度与政策、权限、流程、技术措施、个人信息安全影响评估、个人信息安全事件应对与处置、与第三方的合同、对第三方的管理措施等。2.记录处理活动的具体内容:所涉及个人信息的类型、数量、来源;包括直接和间接方式;根据业务功能或授权情况区分个
212、人信息处理的目的、使用场景以及委托处理、共享、转让、公开披露,是否出境等情����况;与个人信息处理各个环节相关的信息系统、组织或人员等。3.记录时间:除制度文件外,一般合同、审批流程、评估过程等至少留存 3 年。(五五)应应重视隐私设计与规划重视隐私设计与规划 见个人信息安全工程。(六六)应进行应进行事前风险评估事前风险评估 事前风险评估是个人信息保护相关法律法规、国家标准的强制要求。事前风险评估强调风险的事先判断,改进及加强保护措施。1.时机(1)对用户有重大影响的活动;(2)处理敏感个人信息;(3)自动化决策;(4)委托第三方、向第三方提供、公开;(5)向境外提供;企业个人信息保护合规思路与实践
213、报告 104/181 (6)其他。2.评估内容(1)处理目的、方式等是否合法、正当、必要;(2)对个人的影响与风险程度(个人信息安全影响评估);(3)所采取的安全保护措施是否合法、有效与风险适应。3.记录3 年 本部分各项评估、审计过程,含审批流程、风险程度、建议改进、成果报告等文件应保留至少 3 年。注:分则产品个人信息合规评估清单可用于对处理个人信息全生命�������周期行为-从收集到销毁的全面风险点评估,可作为事前风险评估的工具表,法律合规评估与审计的工具表及个人信息安全影响评估的前提工具表。(八八)应应开展开展个人信息个人信息安全安全影响评估影响评估146 针对个人信息处理活动,企业应检验其合法合
214、规程度,判断其对用户合法权益造成损害的各种风险以及评������估用于保护用户的各项措施有效性的过程。147个人信息安全影响评估类似 GDPR 下的 DPIA,是国际通行的处理个人信息合规路径。个人信息安全影响评估是个人信息保护法(草案)(二次审议稿)的强制要求,企业应当在个人信息处理活动前进行评估并记录,且记录需要至少留 3 年;并在数据安全法、网络安全法、数据安全管理办法(征求意见稿)、儿童个人信息网络保 146信息安全技术 个人信息安全规范(GB/T 35273-2020)11.4 及 2020年 11 月发布的信息安全技术 个人信息安全影响评估指南、个人信息保护法(草案)(二次审议稿)第 5555
215、 条。147信息安全技术 个人信息安全影响评估指南。企业个人信息保护合规思路与实践报告 105/181 护规定、个人信息出境安全评估办法(征求意见稿)等多个法律规定均有要求。另相关国家标准已生效。1.应当建立个人信息安全影响评估制度,至少每年举行一次,主要评估遵循个人信息安全基本原则和处理活动对个人信息主体合法权益的影响情况。2.须组建团队评������估,应指定责任部门与人员,并指定人员签署评估报告。管理层应配置评估所需的资源,需要组团队支持,由技术人员、相关业务部门及法律部门的代表������组成团队。3.形成个人信息安全影响评估报告+以此采取保护个人信息主体的措施,使风险降低到可接受的水平;妥善留存个人信息安全
216、影响评估报告,确保可供相关方查阅。明确评估报告的提交对象,评估的时间段,是否会公开报告或仅公开摘要。记录至少留 3 年。4.须开展的场景与时机,即合规差距评估时机,包括148:(1)整体合规评估 产品或服务的年度整体评估;新产品/服务设计阶段评估、上线初次评估;法律法规、政策、标准有重大变化时重新评估;业务模式、互联网安全环境、外部环境发生重大变化时重新评估;发生重大个人信息安全事件时;发生收购、兼��������并、重组、破产等情形。(2)局部合规评估 148 信息安全技术 个人信息安全影响评估指南。企业个人信息保护合规思路与实践报告 106/181 新功能;法律法规、政策、标准发生变化时评估;业务模式、信
217、息系统、运行环境发生变化时;新功能、业务功能发生重大变化时。(3)针对具体处理行为的专门评估,包括不限于 处理敏感个人信息;利用个人信息进行自动化决策149;基于不同业务�����目的所收集个人信息的汇聚融合时;向第三方提供(共享、转让)委托第三方、第三方接入 SDK;公开披露;向境外提供;处理个人信息数量较大时,如超过 100 万。除此之外,出于审慎经营,维护良好品牌形象目的,可进行尽责性评估。5.5.评估评估流程流程 组建评估团队制定评估计划确定评估对象和范围制定相关方咨询计划(员工、分包商、业务合作伙伴、用户、社会团体等)数据映射分析(个人信息清单及风险分析,见分则150)风险源识别(包括网络环境
218、和技术措施、个人信息处理全流程、参与的第三方、业务特点规模及安全态势)个人权益影响分析(是否限制个人决定权、引发差别性/歧视待遇、名誉受损精神压力、财产受损,以分则151为前提)安全风险综合分析(安全措施是否有������效、是否会发生安全事件/发生 149 个人信息保护法(草案)(二次审议稿)。150 分则代指x 产品个人信息合规评估清单的摸底与评估。151 同上。企业个人信息保护合规思路与实践报告 107/181 可能性)得出风险等级(严重、高、中、低)形成评估报告152 注意:此记录至少留 3 年,个人信息安全影响评估以合规性评估为前提,粗体为核心内容。6.6.评估报告的评估报告的基本基本内容内容
219、个人信息保护负责人的审批页面、评估报告的适用范围、实施评估及撰写报告的人员信息表,参考的法律、法规和标准,个人信息安全影响评估对象(明确涉及的敏感个人信息)、评估内容、�����涉及的相关方等,以及个人权益影响分析结果、安全措施分析结果、安全事件发生的可能性分析结果、风险判定准则、合规性分析结果、风险分析过程及结果、风险处�������置建议等。(七七)应建立应建立个人信息个人信息应急机制和预案应急机制和预案 企业应制定个人信息安全事件应急预案,包括应急处理流程、事件上报流程等。具体而言:个人信息泄露的通报与报告153:应至少每年举行 1 次内部应急响应培训和应急演练,留存培训和演练记录;应定期对原有应急预案进行重新
220、评估,修订和完善。处置和响应:时机:发现存在较大网络安全风险;发生安全事件;发生个人信息安全事�����件;记录事件内容:包括不限于发现事件的人员、时间、地点、涉及的个人信息及人数,发生事件的系统名次、对互联其他系统的影响;是否已联络执法机关或有关部门;是否按要求上报或通报;152 信息安全技术 个人信息安全影响评估指南。153 网络安全法第四�����十二条第二款“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”企业个人信息保护合规思路与实践报告 1
221、08/181 评估可能的影响:及时������采取必要措施,进行整改、消除影响;按要求上报154:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;依法告知:可能会给个人信息主体的合法权益造成严重危害的,如个人敏感信息的泄露。这包括:1.应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效方式发布与公众有关的警示信息;2.告知内容应包括但不限于:安全事件的内容和影响;已采取或将要采取的处置措施;个人信息主体自主防范和降低风险的建议;针对个人信息主体提供的补救
222、措施;个人信息保护负责人和个人信息保护工作机构的联系方式。(八八)应进行应进行安全审计安全审计 企业应当审计隐私政策、相关规程、安全措施有效性等针对个人�����信息安全可能会造成影响的内容。本部分安全审计侧重点在技术方面,具体如下:(1)对个人信息保护政策、相关规程和安全措施的有效性进行审计;(2)建立自动化审计系统,监测记录个人信息处理活动;(3)审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提 154 按照国家网络安全事件应急预案等有关规定及时上报。企业个人信息保护合规思路与实践报告 109/181 供支撑;(4)防止非授权访问、篡改或删除审计记录;(5)及时处理审计过程中发现的个人�������信
223、息违规使用、滥用等情况;(6)审�����计记录和留存时间应符合法律法规的要求155。三三.应应有有足以保护足以保护个人信息安全个人信息安全的技术的技术措施措施 开展数据处理活动应当依照法律企业开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务156,尽可能将������风险降到最低,防止篡改、毁损、窃取、丢失、泄露等。使用密码技术确保个人信息的保密性、完整性157。通用要求:通信网络安全(网络架构、通信传输);区域边界安全(边界防护、访问控制、入
224、侵防范、恶意代码防范、安�����全审计);计算环境安全(身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和程序可信执行、资源控制);应用和数据安全(身份鉴别、访问控制、安全审计、软件容错、资源控制、数据完整性、数据保密性、数据备份恢复、剩余信息保护)。扩展要求:云计算安全扩展要求,应确保个人信息在云计算平台(简称IDC)中存储于中国境内,如需出境需要按要求评估。其他技术要求:去标识化、匿名化处理,加密传输、加密存储、分类存储、备份存储。155信息安全技术 个人信息安全规范(GB/T 3�����5273-2020)156数据安全法。157 采用密码技术时宜遵循密码管理相关国家标准。企业个人信息保护合规思路与
225、实践报告 110/181 应确保以上保护措施的有效性,并根据合规情况持续改进。案例-2020 年 10 月 30 日,英国信息专员办公室(Information Commissione�������rs Office,ICO)对 W 酒店客房预订系统数据泄露事件作出最终裁决,对 W酒店处以 1840 万英镑(约合人民币 1.6 亿元)罚款。该信息泄露事件始于 2014 年起,直到 2018 年 11 月 W 主动披露,泄露的信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、出生日期、性别、入住与退房时间、预订日期和通信偏好等,还有部分客人的支付卡卡号和有效期,涉及人数近 4 亿。该信息����泄露事件源于
226、W 收购的旗下 X 酒店没有完善的信息安全管理措施,导致黑客攻击漏洞。对于员工个人信息的保护可原则性参考本制度,遵守告知同意等要求,并落实好各项技术保护措施。企业个人信息保护合规思路与实践������报告 111/181 第第七七章章 监管动向与监管动向与法律法律后果后果 一一.监管动向监管动向 总体来看,网信、工信、公安、市场监管总局等监管部门对于个人信息保护工作越来越重视,测评机构、消费者协会、媒体等也均在职权职责范围内开展不同程度的检查或监督工作,且越来越深入。随着个人信息保护立法进度加快,个人信息保护法 正式出台生效后将会迎来新一轮的监管检查。(一)四部委&App 专项治理小组执法行动 根据四部门
227、联合发布的 关于开展 App 违法违规收集使用个人信息专项治理的公告,受中央网信办、工业和信息化部、公安部、国家市场监管总局委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立 App 专项治理工作组。自 2019 年以来,App 专项治理工作组根据公众举报情况,对各类收集使用个人信息保护问题进行归纳、梳理,重点参照网络安全法等相关法律法规要求和个人信息保护相关国家标准,制定、完善了一������系列技术规范和标准文本,为相关监管部门界定违法违规收集使用个人信息行为以及 App 运营者整改提升提供重要参考,也为开展 App 违法违规收集使用个人信息评估工作和指导企业
228、整改提供重要支撑。除了年度专项检查通报工作外,四部委发文鼓励 App 运营者自������愿通过 App个人信息安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的 App。(二)工信部执法行动 2019 年底,工信部发布了关于开展 APP 侵害用户权益专项整治工作的通知,决定集中整治 APP 违规收集个人信息、过度索权、频繁骚扰、侵害用户权益等突出问题。整治内容主要分为四部分,即违规收集用户个人企业个人信息保护合规思路与实践报告 112/181 信息、违规使用用户个人信息、不合理索取用户权限以及为用户账号注销设置障碍。2020 年����� 7 月,工信部发布了关于开展纵深推进 APP 侵害用户权益专项
229、整治行动的通知(164 号文),切实加强用户个人信息保护,为人民群众提供更������安全、更健康、������更干净的信息环境。该项行动的主要整治内容为 APP、SDK 违规处理用户个人信息、设置障碍、频繁骚扰用户、欺骗误导用户、应用分发平台责任落实不到位。在 2020 年,工信部累计对 62 万款 App 进行技术检测,责令 2234 款违规 App 进行整改,公开通报 500 款、下架 132款整改不到位、拒不整改的 App。地方通管局也根据职权查处存在侵害用户权益的 App。2021 年 4 月,工信部发布了效力层级更高的移动互联网应用程序个人信息保护管理暂行规定作为 App 治理的法律依据。其中,规定了 A
230、pp 开发运营者、App 分发平台、第三方 SDK、移动智能终端生产企业、网络接入服务提供者等各位主体的义务。截至 2021 年 7 月,工信部共通报了 5 批侵害用户权益的 App。(三)网信办执法行动 网信办先后开展了多次“清朗”系列专项行动。例如,在 2021 年“清朗春节网络环境”专项行动中,网信办共处理了 208 万余条违法违规信息,处置了7.2 万余个,封禁�����违规主播 7200 余个,协调关闭、取消备案网站平台 2300余家,下架 520 余个 App。������企业个人信息保护合规思路与实践报告 113/181 在 2021 年 3 月 21 日,网信办发布了常见类型移动互联网应用程序必要个
231、人信息范围规定,说明了 39 类 App 以及实现基本功能所必需收集的个人信息范围。截至 2021 年 6 月,网信办已经通报了上述规定中 17 类型的App,其中存在的主要问题包括:违反必要原则和�������常见类型移动互联网应用程序必要个人信息范围规定,收集与其提供的服务无关的个人信息;未明示收集使用个�����人信息的目的、方式和范围;未经用户同意收集使用个人信息;违反必要原则,收集与其提供的服务无关的个人信息;未公开收集使用规则;未按法律规定提供删除或更正个人信息功能。(四)公安部执法行动 公安部的执法行动流程一般为评估通报整改下架行政处罚刑事调查。公安部先后在 2018、2019、2020 年开展“净网”
232、专项行动,重点聚焦人民群众反映强烈的网上突出违法犯罪行为、为传统犯罪提供支撑的网络灰黑产业、新型高科技网络违法犯罪等进行重拳打击。在“净网 2019”专项行动中,其检测评估 3.1 万余款 App,调查核查 3129 条App 线索,依法整改 2090 款 App,依法查处 1121 款 App,曝光存在违法违规行为的 100 款 App。二二.法律后果法律后果 (一一)刑事责任刑事责任 单位和员工个人均可能因犯罪行为被处罚,尤其是当发生内部员����工非法使企业个人信息保护合规思路与实践报告 114/181 用在工作中接触的个人信息的情况时,将会被严惩。与个人信息和网络犯罪相关的刑事罪名有:妨害信用
233、卡管理罪、侵犯公民个人信息罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非�����法控制计算机信息系统程序、工具罪、拒�������不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪。例如,根据最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释,在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到该司法解释第五条第三项至第七项规定标准一半以上的,即构成侵犯公民个人信息罪158。同时,根据刑法第二百五十三条之一第二款,员工将工作中接触的个人信息非法出售或提供给他人的,应从重处罚。3 年以
234、下徒刑之入罪标准:1)出售或者提供行踪轨迹信息,被他人用于犯罪的;2)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;3)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;4)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;5)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;6)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;7)违法所得五千元以上的;8)将在履行职责或者提供服务过程中获得的公民个人信息出售或者����提供给他人,数量或者
235、数额达到第�����三项至第七项规定标准一半以上的;9)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;10)利用非法购买、收受的公民个人信息获利五万元以上的;11)利用非法购买、收受的公民个人信息获利五万元以����上 158关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释。企业个人信息保护合规思路与实践报告 115/181 的;其他情节严重的情形。3 年-7 年徒刑之入罪标准:1)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;2)造成重大经济损失或者恶劣社会影响的;3)数量或者数额达到前款第三项至第八项规定标准十倍以上的;4)其他情节特别严重的情
236、形。单位犯按前述标准,对单位判处罚金;对直接负责的主管人员和其他直接责任人员定罪处罚。侵入他人计算机信息系统获取数据的,同时构成非法侵入计算机信息系统罪,非法获取计算机信息系统数据罪。(二二)行政责任行政责任 个人信息保护法(草案)(二次审议稿):1.违法处理(目前并未细化)、未采取必要安全措施责令改正、没收违法所得,警告;拒不改正的+并处100 万元罚款,个人 1-10 万元罚款;2.有上述违法行为+情节严重责令改正、没收违法所得+5000 万元/上年营业额 5%罚款,可关停业务、吊销证照,个�����人 10-100 万元罚款;3.有违法行为计入信用档案并公示;4.治安管理处罚。注:个人是指直接负责
237、的主管人员或其他责任人员,如该业务主管等。159 责令改正通知书本身就是行政处罚的表现形式之一。网络�����安全法64 条:窃取、非法获取、非法出售、非法向他人提供个人信息,尚不构成犯罪的,行政处罚,没收违法所得、并处违法所得 1 倍至 159 遵从最新个人信息保护法及其相关实施细则。企业个人信息保护合规思路与实践报告 116/181 10 倍罚款,没收违��������法所得的+100 万以下罚款。2020 年 11 月 13 日,App 治理工作组关于 35 款 App 存在个人信息收集使用问题的通告,xx 贷借款 App(V5.6.0)存在的问题有:1.征得用户同意前就收集应用程序列表等个人信息;2.用户撤销位
238、置权限授权,明确表示不同意收集该权限对应的个人信息后,仍通过其他途径定位用户精确位置;3.用户明确表示不同意打开位置权限后,仍频繁征求用户同意,干扰用户正常使用;4.因用户不同意打开非必要的存储权限,拒绝提供所有业务功能;5.申请打开的位置、存储权限与现有业务功能无关;6.App 关闭后,未经用户同意,采用自启动方式收集设备 IMEI 号等个人信息;7.既未经用户同意,也未做匿名化处理,通过客户端嵌入的百度定位、极光推送、听云等 SDK 向第三方提供设备 IMEI 号、位置等个人信息;8.未逐一列出嵌入的百度定位、极光推送、听云等第三方 SDK 收集使用个人信息的目的、类型。执法活���动摘取:关于
239、侵害/下架用户������权益行为的 App 通报(2021 年)(工信部,截至2021 ������年 7 月共五批)关于 App 违法违规收集使用个人信息情况的通报(2021)(网信办,截至 2021 年 6 月共 4 批)企业个人信息保护合规思路与实践报告 117/181 关于 81 款 App 存在个人信息收集使用问题的通告(App 专项治理工作组,2020 年 9 月 17 日)关于侵害/下架用户权益行为的 App 通报(2020 年)(工信部,共七批)关于 10 款 App 存在无隐私政策等问题的通报(App 专项治理工作组,2019 年 7 月 11 日第 1 号)关于开展 App 违法违规收集使用个人
240、信息专项治理的公告(“四部�������委”,2019 年 2 月 16 日)100 款 App 个人信息收集与隐私政策测评报告(中消协,2018 年 11月 28 日)(三三)民事责任民事责任 民法典规定造成用户损害的应承担民事责任。共同处理的,应承担连带责任。能够证明没有过错的,可以减免责任。但请注意,与民法典不同的是,个人信息保护法(草案)(二次审议稿)规定个�����人信息权益因个人信息处理活动受到侵害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。因此,个人信息处理者负有证明责任,而非个人信息主体160。三三.典型案例典型案例 网信办执法监督案例 2020 年 4 月,公安部公布十起侵犯
241、公民个人信息违法犯罪典型案件 2019 年 10 月,最高法发布非法利用信息网络罪、帮助信息网络犯罪活动罪典型案例 2017 年 5 月,最高人民检察院发布 6 起侵犯公民个人信息犯罪典型案 160个人信息保护法(草案)(二次审议稿)。企业个人信息保护合规思路与实践报告 118/181 例 2017 年 5 月,最高人民法院、最高人民检察院发布 7 起侵犯公民个人信息犯罪典型案例 案例-江苏南京������公安机关侦破“42”“暗网”侵犯公民个人信息案 2019 年 4 月,江苏南京公安机关接到某单位信息中心报案,称该中心管理的南京市 1400 余万条居民社保数据被非法盗取,并在“暗网”内售卖。南京市公安
242、局网安部门迅速查明盗取并在“暗网”上兜售社保数据的犯罪嫌疑人熊某及其上下线犯罪嫌疑人任某、薛某。经查,任某为江苏某计算机技术有限公司工程师,在为南京市某单位进行信息系统漏洞测试时,利用系统漏洞盗取了居民社保数据,后伙同在柬埔寨的违法犯罪人员熊某在“暗网”上销售。其中,熊某将 7 万条数据卖给了薛某。5 月 16日,南京公安机关在柬埔寨警方配合下抓获犯罪嫌疑人熊某,后在境内抓获犯罪嫌疑人任某、薛某。企业个人信息保护合规思路与实践报告 119/181 第八第八章章 常见问题常见问题 一一.弹窗弹窗 弹窗是比较显著的告知方式,不是所有�������情况都要弹窗,但要求弹窗的必须使用弹窗161,具体要求如下:重要场
243、景、环节应当弹窗告知并征得用户同意。首次运行、注册、打开时,隐私政策应以弹窗等显著方式提示阅读;收集敏感个人信息时,应弹窗等显著方式向用户明示收集、使用个人信息的目的、方式、范围;收集处理个人敏感信息,即时提示(弹窗、浮窗、提示文等)162;通过嵌入第三方代码、插件等方式将个人信息�����传输至第三方服务器通过弹窗提示等方式明确告知用户;使用 cookies 等同类技术收集个人信息时,应向用户明示所收集的目的、类型(弹窗、浮窗,不可绕过);使用个人信息的目的、对外提供个人信息、个人信息处理规则发生变化时,宜采用弹窗等显著方式进行告知。法律法规要求收集个人信息必需单独提示时,宜有弹窗单独提示并且征得用户
244、同意。(注意参考最新细则)1.个人信息处理者向第三方转让或者共享个人信息时;2.需要向公众公开收集的个人信息时;3.收集人脸识别等个人生物识别信息时;161 参见信息安全技术 个人信息告知同意指南(征求意见稿),检索“弹窗”。162信息安全技术 个人信息告知同意指南(征求意见稿)。企业个人信息保护合规思路与实践报告 120/181 4.向境外提供个人信息时;5.公共场所安装摄像头用于公共安全以外目的。二二.权限问题权限问题163 权��������限是监管重点164,权限是操作系统内置的访问控制机制,安卓系统都有哪些权限呢?安卓(Android)操作系统通过权限来控制 App 对系统资源和个人信息的访问使用。
245、App 只有在系统层面获取了某项权限,才能执行与该权限有关的操作。例如,App 获取 READ_CONTACT������S(读通讯录)权限,就能读取手机的通讯录信息;获取 ACCESS_FINE_LOCATION(访问精准位置)权限,就能得到手机的精确位置信息165。(一一)权限的获取权限的获取 告知同意的方式:弹�������窗提示、用途描述等显著、即时、同步的方式。同步告知目的,目的明确、易懂;同时应同步告知申请打开权限和要求提供个人敏感信息的目的166。App 申请打开权限时,应当说明该权限将收集个人信息的目的、如何关闭、关闭的后果等。163App 申请安卓系统权限机制分析与建议 V1.0 ,http:/ 20
246、21 年 6月 25 日。注意参考最新网络安全标准实践指南移动互联网应用程序(App)系统权限申请使用指引。164百款常用 App 申请收集使用个人信息权限情况 ,https:/ 2021 年 6 月 25日。165 安卓系统权限,你真的了解吗?https:/ 2021年 6 月 25 日。166 网络安全标准实践指南移动互联网应用程序(App)违法违规收集使用个人信息自评估指南https:/ 20210 年 67 月 257 日。企业个人信息保护合规思路与实践报告 121/181 首次打开 App 时,仅申请保证 App 基�������本功能正常运行所必需的权限,在后续使用 App 功能时,根据业务功能
247、需要逐步申请所需权限。不应采用“一揽子打包”、“默认打开”、“强制捆绑”、“私自更改”、“频繁打扰”等方式。未经用户同意,企业不应私自更改用户设置的可收集个人信息权限和收集使用个人信息相关功能的状态。例如,未经用户同意,在更新升级后,将用户设置的可收集个人信息权限恢复到默认状态,或将用户已关闭的使用通讯录匹配好友等功能重新打开。167(二二)权限的退出权限的退出 企业应告知权限可以撤回,并实际提供方便的撤回权������限的途径。(三三)最小权限示例最小权限示例168168 企业不得在产品更新时,修改用户的默认权限等设置。同时,企业不应在用户明确拒绝权限后,频繁询问是否打开该权限,也不应捆绑打开多个权限。
248、请注意,当该权限是用户所触发需使用功能在技术上所必须时,则可以在用户主动触发后再次申请。三三.告知告知同意的同意的机制设计机制设计 企业可以依照最新 信息安全技术 个人信息告知同意指南(征求意见稿)进行设计,在征得同意前不得收集任何个人信息,不能捆绑、一揽子同意、不应频繁征得同�������意等。隐私政策被认为更倾向于告知功能,用户使用到相应功能时才触发权限或个人信息的申请,并经用户明示同意,与此同时告知用户收集该类个人信息或权限的目的、范围等必要内容。特殊类:个人生物识别信息需要单独告知,告知收集处理的目的、方式、167 同上。168App 申请和使用“可收集个人信息权限”要注意哪几点?请看案例http:
249、/ 2021 年 6 月 2������5日。信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)。企业个人信息保护合规思路与实践报告 122/181 范围,涉及的个人信息类型、安全保护措施,可撤回同意,撤回同意的方式,撤回的后果等。要做到显著提示、明示同意、即时提示。涉及儿童的有专门的儿童个人信息保护规则,进行显著告知并征得监护人的同意,告知可以拒绝,拒绝的后果等。场景示例-在 App 首次运行时,��������主动弹窗提示用户阅读个人信息保护政策,并且在弹窗界面精练的说明与产品特性相关的个人信息收集处理情况。例如对于地图导航类产品,在首次运行时,通过弹窗说明“我们将通过本 App 和关联 App 的固
250、件设备收集您的地理位置信息�����、出发地、到达地,用以为您实现本产品定位和导航的基本业务功能”等。除隐私政策外,当用户用到相关功能时(时机限制:仅由用户自主点击触发、开启相应功能时,不应早于此时间节点),如涉及敏感个人信息,备注/弹窗说明目的及个人信息种类;如涉及权限,弹窗申请并告知目的和涉及个人信息的种类。四四.第三方身份界定与第三方身份界定与责任划分责任划分 (一一)�����身份界定身份界定 1.控制者、处理者;2.委托方、受托方;3.共同控制者;4.代表、代理;5.第三方接入合作关系。(二二)责任划分责任划分 原则上企业控制个人信息需要承担个人信息安全责任,也要求企业事先与企业个人信息保护合规思路与实
251、践报告 123/181 第三方通过书面合同事先约定好双方或多方的义务与责任。针对超范围处理个人信息的,则需要承担相应的个人信息安全责任。与第三方民事责任划分,企业需要参考最新民法典、个人信息保护法及相关解释进行规定。场景示例-对于接入公司产品的外部链接应进行审查,阻止访问违法违规链接,提示用户点击链接跳转到第三方页面后,由第三方收集和处理个人信息,公司不留存跳转到第三方页面后用户提供的信息。五五.不同业务个人信息不同业务个人信息的汇聚融合的汇聚融合 根据汇聚融合后个人信息所用于的目的,企业应当开展个人信息安全影响评估,并采取有效的个人信息保护措施169;如果超出收集时的������目的、范围,则应另外征得
2�������52、用户的明示同意。如果形成新数据为个人信息的,则需要按照个人信息处理要求进行保护。场景示例-公司内部通过不同 App 收集的个人信息不能随意汇聚在一起后使用,不同 App 收集的个人信息和使用目的是不同的。例如,通过儿童手表 App收集的信息和智能机器人收集的信息范围并不相同,儿童手表需要收集地理位置信息,而智能机器人不一定需要收集地理位置信息,监护人同意收集儿童����信息时,仅预料到儿童手表收集地理位置信息,无法预料该信息将与智能机器人收集的信息汇聚融合。如果需要汇聚融合,需要评估对儿童的影响,超出原有目的的,要重新征得监护人同意。169信息安全技术 个人信息安全规范(GB/T 35273-2020
253、)。企业个人信息保护合规思路与实践报告 124/181 六六.隐私政策隐私政策自自评估评估 (一一)基本内容基本内容 企业在开展隐私政策自评估时,首先应当评估以下基本内容,同时确保做到符合法律法规的相关要求:1.表明身份:包括主体身份+联系方式+个人信息保护负责人联系方式,主体:组织或公司的170名称、注册地址或常用办公地址、个人信息保护机构或相关负责人联系方式;2.逐一列出产品或服务的基本业务功能与扩展业务功能(包括委托的第三方或������嵌入的第三方代码、�������插件),并列出各业务功能收集使用个人信息的类型、目的、方式、范围、存储期限、是否出境等;且功能与收集的个人信息类型一一对应,具有较强关联性(无该个
254、人信息,功能无法实现);3.显著标识个人敏感信息;如字体、字号、颜色突出等;4.说明是否需要对外委托第三方处理、共享、转让以及目的、涉及个人信息的类型、接收个人信息的第三方类型或身份、接收方使用的目的、个人信息共享、转让������过程中的安全措施、共享、转让个人信息是否对个人信息主体带来高危风险以及各自的安全和法律责任171;5.说明是否需要公开披露个人信息,并详细描述需要公开披露的个人信息类型、原因、是否对个人信息主体带来高危风险1����72;6.说明何种情况下个人信息控制者会不经过个人信息主体同意,共享、转让和公开披露数据,如响应执法机关和政府机构的要求、进行个人 170 网络安全标准实践指南移动互联网应
255、用程序(App)违法违规收集使用个人信息自评估指南https:/ 2021 年 6 月 25 日。171 信息安全技术 个人信息安全规范(GB/T 35273-2020)。172 同上。企业个人信息保护合规思路与实践报告 125/181 信息安全审计、保护个人信息主体避免遭受欺诈和严重人身伤害等173;7.对个人信息存放地域(境内、境外哪个国家或地区)、存储期限(法律规定范围内最短期限或明确的期限)、超期处理方式明确说明;8.如果将个人信息用于用户画像、个性化展示等,说明其应用场景和可能对用户权益产生的影响;如部分业务功能不涉及用户画像,个性化展示,可在规则中明确说�������明;174 9.是否跨境、跨
256、境传输的目的、处理规则(跨境传输遵守的标准、协议和法律机制)、说明出境个人信息类型并显著标识;10.个人信息主体的权利和实现机制,包括访问(查询)、获取副本、更正、删除、注销、撤回同意、退出定向推送、拒绝自动化决策175、投诉(如对系统自动决策结果投诉)的方法;11.用户提供个人信息的可能安全风险;不提供个人信息的可能影响;表明在发生个人信息安全事件后,个人信息控制者将承担法律责任并将及时告知个人信息主体176;12.对个人信息保护方面采取的措施和具备的能力进行说明遵循�������个人信息安全基本原则,具备数据安全能力、采取的个人信息安全保护措施(如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等)
257、;必要时可公开数据安全和个人信息保护相关合规证明177;13.说明目前遵循的个人信息安全协议和取得的认证178。14.处理个人信����息主体询问、投诉、申诉、举报的渠道和机制(电子邮件、173 同上。174网络安全标准实践指南移动互联网应用程序(App)违法违规收集使用个人信息自评估指南https:/ 2021 年 6 月 25 日。175个人信息保护法(草案)(二次审议稿)。176信息安全技术 个人信息安全规范(GB/T 35273-2020)。177市场监管总局、中央网信办关于开展 App 安全认证工作的公告中提到国家鼓励 App 运营者自愿通过 App 安全认证。178信息安全技术 个人信息安
258、全规范(GB/T 3������5273-2020)。企业个人信息保护合规思路与实践报告 126/181 电话、在线客服、在线表单、即时通信账号其中之一即可),以及外部纠纷解决机构及联络方������式;15.隐私政策的发布、生效或更新日期。(二二)注意点注意点 除以上基本内容以外,企业应当额外关注以下方面是否做到合规:1.个人生物识别信息单独告知,有单独的规则;2.涉及儿童的有专门的儿童个人信息保护规则,进行显著告知并征得监护人的同意;3.隐私政策所告知的信息真实、完整、准确179;4.清晰易懂,符合语言习惯、使用标准化数字、图示、避免歧义;5.公开发布、且易于访问(在 App 主界面,通过 4 次以内点击、滑动可
259、阅读到);6.隐私政策单独成文;7.首次运行时(首次打开、注册账号时),弹窗显著显示并提示阅读,用户主动选择同意;8.首������次展示隐私政策时,告知查找的方法,宜放在较为固定的界面,如在网站主页、移动互联网应用程序安装页、交互式功能界面或设计等显著位置设置链接,且链接突出无遮挡;9.隐私政策应逐一送达,成本过高或有显著困难方可公告形式;10.所载事项发生变化,应及时更新隐私政策并重新告知个人信息主体;目的、范围等关键内容发生变化的需重新征得同意;179 同上。企业个人信息保护合规思路与实践报告 127/181 11.用户权利和投诉应在 15 个工作日内响应并处理;12.不能有“等”、“例如”字样;1
260、3.产品的使用过程与隐私政策描述保持一致,不应在用户明示同意前收集个人信息,不应在用户用到相应功能前操作申请用户权限;14.不应超出隐私政策所述范围收集个人信息;15.不能一揽子要求用户同意所有个人信息的收集,用户不提供某项个人信息,不影响其他个人信息的使用。七七.App 安全测评安全测评 以四部委 App 违法违规收集使用个人信息专项治理行动为开端,从 2019年初至今,工信部、网信办、公安部等国家监管部门相继开展了多项 App个人信息安全监管行�����动,发布了多个监管文件或指导文件,监管过程涵盖对 App 的个人信息安全测评,如����App 违法违规收集使用个人信息行为认定方法、App 违法违规收集使
261、用个人信息自评估指南、常见类型移动互联网应用程序必要个人信息范围规定等,企业在运营 App 的过程中,应当注意及时对 App 的个人信息安全进行测评,通过科学的技术手段完善App����� ���对个人信息的保护,避免承担不必要的违规风险。企业个人信息保护合规思路与实践报告 128/181 (一一)A Apppp 个人信息安全测评过程个人信息安全测评过程 App 个人信息安全测评主要针对 App、App 服务端和相关文档资料开展,测评过程包含测评准备阶段、测评实施阶段、测评结果判定阶段和测评报告编写阶段180,如下图所示:(二二)A Apppp 个人信息安全测评方法个人信息安全测评方法 针对个人信息的收集、存
262、储、使用、个人信息主体权利、个人信息的委托处理、共享、转让、公开披露、个人信息安全事件的处置以及组织的个人信息安全管理要求,每一单元均有不同的测评项181,具体如下:1.个人信息的收集:收集个人信息的合法性 收集个人信息的最小必要 多项业务功能的自主选择 收集个人信息时的授权同意 180信息安全技术移动互联网应用程序(App)个人信息安全测评规范(征求意见稿)。181 同上。企业个人信息保护合规思路与实践报告 129/181 个人信息保护政策 征得授权同意的例外 2.个人信息的存储:个人信息存储时间最小化 去标识化处理 个人��������敏感信息的传输与存储 个人信息控制者停止运营 3.个人信息的使用:个人
263、信息访问控制措施 个人信息的展示限制 个人信息使用的目的限制 用户画像的使用规则 个人性展示的使用 基于不同业务目的所收集的个人信息的汇聚融合 信息系统自动化决策机制的使用 4.个人信息主体的权利 查询权 更正权 删除权 撤回授权同意 注销账户������ 企业个人信息保护合规思路与实践报告 130/181 获取个人信息副本 响应个人信息主体的请求 投诉管理 5.个人信息的委托处理、共享、转让、公开披露 委托处理 个人信息共享、转让 收购、兼并、重组、破产时的个人信息转让 个人信息公开披露 共享、转让、公开披露个人信息时事先征得授权同意的例外 共同个人信息控制者 第三方介入管理 个人信息跨境传输 6.个���������人
264、信息安全事件处置 个人信息安全事件应急处置与报告 安全事件告知 7.组织的个人信息安全管理要求 明确责任部门与人员 个人信息安全工程 个人信息处理活动记录 开展个人信息安全����影响评估 数据安全能力 企业个人信息保护合规思路与实践报告 131/181 人员管理与培训 安全审计(三三)结果判定结果判定 进行 App 个人信息安全整体测评结果判定时,应首先给出每一个测评单元的判定结果。在进行每个单元的结果判定时,不同测评方式的采取顺序按照:技术检测、功能验证、服务端核查、文档审查、人员访谈的顺序排列,仅当每一个测评项下的测评单元全部符合时,判定该测评项为符合。当所有测评项的结果均为符合时,App 个人
265、信息安全测评的结论为符合。企业个人信息保护合规思路与实践报告 132/181 附录一:附录一:Q&A 1.Q:针对情况较为复杂的超级 App,通常其不能直接归属于三十九类中的任何一类,但部分单独产品功能(即存在独立 App)在三十九类范围内,那么应该如何做到合规呢?A:建议可以通过两种方式进行解决:一是通过静态页面对扩展功能进行列举,供用户勾选(但这种方式下用户体验可能不理想);二是将扩展功能需要的个人信息(不涉及基本功能需要的必要信息)进行划分,即�������企业需要明确 App 中哪些功能是由企业自身单独提供的,需要区分基本业务功能、扩展/辅助业务功能和第三方提供的业务功能,然后再针对不同情况对具体功
266、能所需信息进行区分,规避相应的风险。同时需要明确,目前常见类型移动互联网应用程序必要个人信息范围规定的实施不只针对基本功能进行规制,而是针对所有功能。以某即时通讯 App 为例,很难区分其基本功能是即时通讯还是网络支付。假如定性为即时通讯,不仅需要满足对即时通讯所规定的必要信息范畴,使用作为非基本功能的支付功能时,同时不能超出对支付类产品所规定的必要信息的范畴。2.Q:根据常见类型移动互联网应用程序必要个人信息范围规定,短视频类或者在线影音类 App 属于无须收集个人信息即可使������用基本业务功能类的 App,但在商业变现的过程中,其无法避免涉及到收集个人信息,如何在遵守法规的前提下,合理地进行商业
267、变现呢?A:目前建议通过以下 3 种方法来解决该问题:一是通过算法来实现与个人信息绑定关系不强的统计方法,例如差分隐私;二是使用虚拟User ID,即在用户进入基本功能后,App 为了记录用户的活动而为其设定的一个虚拟 ID,不会关联到用户本身,因此其收集的信息并非个人信息;三是引入第三方行业规范标准算法等,通过一个双方均企业个人信息保护合规思路与实践报告 133/181 信任的第三方来解决问题。例如,在 App 中插入双方均信任的第三方 SDK,不收集用户信息,仅是用来统计广告视频的点击量。另外企业是否应有正当利益,仍需进一步关注个人信息保护法。3.Q:根据常见类型移������动互联网应用程序必要个人
268、信息范围规定,网络借贷类 App 所需收集的必要个人信息仅包括用户的移动电话号码、��������借款人姓名、证件类型和号码、证件有效期限以及银行卡号码。然而在行业实践中,企业还需要结合用户个人征信信息决定是否放贷,这与常见类型移动互联网应用程序必要个人信息范围规定存在差距,那么应当如何理解这一问题呢?A:借贷类服务涉及消费侧和服务侧,但相比而言,此类服务主要是从消费者层面出发,而放贷则更加侧重服务侧。关于网络借贷类App,国家已经出台了很多相对更为高阶的法律法规对其进行规范,因此根据常见类型移动互联网应用程序必要个人信息范围规定第二条,“法律、行政法规、部门规章和规范性文件另有规定的,依照其规定”,此类 A
269、pp 在开发和设计过程中应该更注意遵守高位阶的法律合规要求。类似的,对于风控层面的问题,也可依照其他现有的相关法律法规。同时,企业可以将网络借贷类服务按照放贷金额标准进行划分,在基本业务功能下仅�����收集规定中要求的必要信息,确保提供低额贷款,能够实现 App 的基本服务功能即可。如需更高额贷款,则根据相关法律要求需收集更多个人信息。换言之,提供借贷服务的金融风险要与收集用户个������人信息的风险相匹配。在实践中,企业一方面需要和监管部门提前沟通,另一方面需要向业务部门预告可能存在的风险。在与业务进行沟通时,避免过度自我限缩,建议提供其他同类产品的设计方案、通报案例情况进行对比分析,告知业务可能存在的风险,
270、以及根据最新法规可以改进之处,必要时与监管部门进行提前沟通,了解更加细致具体的要求和标准。企业个人信息保护合规思路与实践报告 134/181 4.Q:常见类型移动互联网应用程序必要个人信息范围规定对于落�������在 39 类 App 范围外的产品是否有约束力?A:随着新技术的发展和新的服务形式的出现,必然会存在不属于这39 类 App 范围内的产品。对于 39 类 App 以外的产品,该规定也具有一定的借鉴力。企业可以参照类似基本功能的规定去把控产品所收集的信息。另外,如果产品的基本功能落在 39 类 App 之外,但是辅助功能落在 39 类的 App 之内,则也需要参照该规定去进行执行。5.Q:目前网
271、信办将常见类型移动互联网应用程序必要个人信息范围规定作为执法依据,已经通报批评了若干款 App,且预计未来还将继续推进此类执法活动。作为法务,当下如何落实该规定的要求,避免使企业产品违规从而被监管机构通报批评,甚至下架处�������理呢?A:首先,法务需要和企业的业务确认产品的基本功能及其对应的必要������信息范围,这是合规的第一步。其次,法务需要根据圈定的范围调整隐私政策的文本内容。最后,公司需要确认每项业务功能收集的个人信息的必要性。这里有两种建议方法,一种是从用户的角度带着问题进行正向思考;另外一种是参考竞品,比如说同一种类产品的相同功能,为何我们需要收集三个字段,而竞品收集两个字段即可实现业务功能。以上这
272、些评估与思考都是需要提前去做的,同时评估过程进行记录留存,以应对监管的不时之需。以上内容仅为企业研究成果参考,不具备合规指导作用,请时刻关注最新法律监管要求并进行更新。企业个人信息保护合规思路与实践报告 135/181 附录附录二二:主要主要参考法规依据参考法规依据 一、法律法规、监管依据文件(征求意见稿)1 2016 年 9 月 30 日,网信办发布未成年人网络保护条例(征求意见稿)2����� 2017 年 4 月 11 日,网信办发布个人信息和重要数据出境安全评估办法(征求意见稿)3 2017 年 9 月 2 日,信安标委发布信息安全技术 个人信息去标识化指南(征求意见稿)4 2019 年 5 月
273、 28 日,网信办发布数据安全管理办法(征求意见稿)5 2019 年 6 月 13 日,网信办发布关于 个人信息出境安全评估办法(征求意见稿)6 2019 年 6 月 25 日,信安标委发布 信息安全技术 个人信息安全工程指南(征求意见稿)7������� 2019 年 8 月 8 日,信安标委发布关于开展国家标准信息安全技术 移动互联网应用(App)收集个人信息基本规������范(草案)征求意见工作的通知 8 2019 年 8 月 9 日,信安标委发布移动互联网应用程序(App)收集个人信息基本规范(草案);2020 年 1 月 22 日,信安标委发布新版的移动互联网应用程序(App)收集个人信息基本规范(草案)9
274、 2020 年 10 月 13 日,个人信息保护法(草案)公布;2021 年 4 与26 日,个人信息保护法(草案)(二次审议稿)公布 10 2020 年 1 月 20 日,信安标委发布 信息安全技术 个人信息告知同意指南(征求意见稿)企业个人信息保护合规思路与实践报告 136/181 11 2020 年 1 月 20 日,信安标委发布 信息安全技术 移动互联网应用程序 App 收集个人信息安全规范(征求意见稿)12 2020 年 7 月 8 日,数据安全法(草案)公布;2021 年 4 与 26 日,数据安全法(草案)(二次审议稿)公布;2021 年 6 月 10 日,数据安全法正����式通过。1
275、3 2020 年 6 与 9 日,智能家用电器个人信息保护要求和测评方法(征求意见稿)14 2020 年 7 月 29 日,信安标委发布网络安全标准�������实践指南移动互联网应用程序(App)系统权限申请使用指引(征求意见稿)15 2020 年 11 月 26 日,信安标委发布网络安全标准实践指南 移动互联网应用程序(App)中的第三方软件开发工具包(SDK)安全指引(征求意见稿)16 2021 年 1 月 8 日,网������信办就互联网信息服务管理办法(修订草案征求意见稿)公开征求意见 17 2021 年 4 月 12 日,信标委发布信息安全技术个人信息去标识化效果分级评估规范(征求意见稿)18 2021
276、年 ������4 月 19 日,信标委发布信息安全技术移动互联网应用程序(APP)个人信息安全测评规范(征求意见稿)19 2021 年 4 月 23 日,信安标委发布 信息安全技术 人脸识别数据安全要求征求意见稿 20 2021 年 4 月 26 日,工信部发布移动互联网应用程序个人信息保护管理暂行规定 二、已正式发布的文件(一)法律文件 企业个人信息保护合规思路与实践报告 137/181 1 2012 年 12 月 28 日,发布 全国人民代表大会常务委员会关于加强网络信息保护的决定 2 2014 年 3 月 15 日,新版消费�������者权益保护法实施 3 2017 年 4 月 11 日,刑法修正案(十)实施
277、 4 2017 年 6 月 1 日,网络安全法实施 5 2019 年 1 月 1 日,电子商务法实施 6 2021 年 1 月 1 日,民法典实施 7 2021 年 4 月 29 日,修订�����版广告法实施 8 2021 年 5 月 1 日,网络交易监督管理办法实施 9 2021 年 6 月 1 日,未成年人保护法实施 行政法规与规章 10 2012 年 3 月 15 日,工信部 规范互联网信息服务市场秩序若干规定实施 11 2015 年 1 月 8 日,工信部电信和互联网用户个人信息保护规定实施 12 2016 年 9 月 1 日,市监总局互联网广告管理暂行办法实施 13 2016 年 8 月 1
278、 日,网信办移动互联网应用程序信息服务管理规定实施 14 2016 年 12 月 16 日,工信部 移动智能终端应用软件预置和分发管理�����暂行规定实施 15 2018 年 11 月 30 日,网信办 具有舆论属性或社会动员能力的互联网信息服务安全评估规定 企业个人信息保护合规思路与实践报告 138/181 16 2019 年 10 月 1 日,网信办儿童个人信息网络保护规定实施 17 2020������� 年 6 月 1 日,网信办、发改委、工信部、公安部、国安部、财政不、商务部等发布网络安全审查办法实施(二)司法解释 18 2017 年 5 月 8 日,最高法、最高检关于办理侵犯公民个人信息刑事案件适用法律
279�����、若干问题的解释 19 2018 年 11 月 9 日,最高检关于印发检察机关办理侵犯公民个人信息案件指引的通知 20 2019 年 10 月 21 日,最高法、最高检察关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释(三)其他重要监管文件 21 2019 年 1 月 25 日,网信办、工信部、公安部、市监总局委托信安标委(简称四部委)发布关于开展 App 违法违规收集使用个人信息专项治理的公告,联合举办专项治理工作 22 2019 年 3 月 5 日,四部委联合发布 App 违法违规收集使用个人信息自评估指南 23 2019 年 3 月 13 日,网信办、市监总局
280、发布关于开展 App 安全认证工作的公告移动互联网应用程序(App)安全认证实施规则 24 2019 年 4 月 19 日,工信部网安局发布四部门抓紧推进 App 违法违规收集使用个人信息专项治理 25 2019 年 5 月 24 日,App 专项治理工作组发布百款常用 App 申请收集使用个人信息权限情况 26 2019 年 5 月 28 日,App 专项治理工作组App 申请安卓系统权限机制分析与建议 �����企业个人信息保护合规思路与实践报告 139/181 27 2019 年 6 月 28 日,工信部发布电信和互联网行业提升网络数据安全保护能力专项行动方案 28 2019 年 7 月 3 日,
281、工信部信管局发布一图读懂电信和互联网行业提升网络数据安全保护能力专项行动方案 29 2019 年 11 月 04 日,工信部发布关于开展 App 侵害用户权益专项整治工作的通知开展 App 侵犯用户权益专项整治行动,重点整治四方面 8 大类突出问题 30 2019 年 11 月 6 日,工信部信管局发布关于开展 App 侵害用户权益专项整治工作的通知 31 2019 年 11 月 6 日,工信部信管局发布关于开展 App 侵害用户权益专项整治工作的解读 ����32 2019 年 12 月 30 日,四部委发布 App 违法违规收集使用个人信息行为认定方法 33 2020 年 2 月 9 日,网信办发
282、布 关于做好个人信息保护利用大数据支撑联防联控工作的通知(四)国家标准 34 2017 年 11 月 1 日,信安标委发布 信息安全技术 移动智能终端个人信息保护技术要求 35 2019 年 8 月 30 日,信安标委信息安全技术 个人信息去标识化指南 36 2020 年 3 月 6 日,国标委、市监总局、信安标委发布更新信息安全技术 个人信息安全规范 37 2020 年 7���� 月 25 日,信安标委发布网络安全标准实践指南移动互联网应用程序(App)收集使用个人信息自评估指南 企业个人信息保护合规思路与实践报告 140/181 38 2020 年 11 月 25 日,市监总局、国标委、信安标委
283、发布信息安全技术 个人信息安全影响评估指南 39 2020 年 9 月 18 日,信安标委发布 网络安全标准实践指南 移动互联网应用程序(App)个人信息保护常见问题及处置指南 40 2021 年 6 月 1 日,信安标委 信息安全技术 个人信息安全评估指南实施 企业个人信息保护合规思路与实践报告 141/181 附录三附录三:开�����发设计实践参考开发设计实践参考 第一部分第一部分 概述概述 第一章第一章 前言前言 一、一、使用说明使用说明 (一)本指引的目的在于将个人信息保护作为设计开发 App 时必需考虑的要素,网页开发参照适用。本部分又名开发设计个人信息合规指引(二)本指引未尽事项,请参考
284、企业个人信息合规本指引未尽事项,请参考 企业个人信息合规思路与实践报告思路与实践报告。(三)本指引分为四个部分:第一部分为“概述”,对 App 的功能和需要收集的个人信息种类进行规定;第二部分为“以用户为中心的产品设计与开发”,从用户体验角度对 App 从下载安装到账户注销各环节的界面与弹�������窗等设计进行规定;第三部分为“传输与存储”;第四部分为“附件”,列举常用个人信息保护模板。(四)本指引编写依据为网络安全法核心的中国个人信息保护法律法规并参考了个人信息保护法(草案)(二次审议稿)和国家、国际标准和行业实践指引。1.网络安全法 2.个人信息保护法(草案)(二次审议稿)3.信息安全技术 个人信息
285、安全规范 4.信息安全技术 个人信息安全工程指南(征求意见稿)5.信息安全技术 移动智能终端个人信息保护技术要求 6.信息安全技术 移动智能终端安全架构 7.网络安全标准实践指南移动互联网应用程序(App)系企业个人信息保护合规思路与实践报告 142/181 统权限申请使用指南 8.移动互联网应用程序(App)收集使用个人信息自评估指南 9.信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)10.信息安全技术 个人信息告知同意指南(征求意见稿)11.网信办百款常用 A������pp 申请收集使用个人信息权限情况 12.法国 CNIL GDPR developer guide 1
286、3.欧盟Data Protection by Design and by Default 14.ISO/IEC 27002-2013 Cod�����e of practice for information security control 等国际标准、文件(五)本指引使用的图示为示例目的,并未列举所有������场景下图示;有的场景下列举了多个图示,可选择适用;图示中文字可以根据实际情况修改为更加具体的表述。二、二、本指引围绕以下三个角度考虑合规建议:本指引围绕以下三个角度考虑合规建议:(一)个人信息主体权益个人信息主体权益-知情权、决定权、限制处理和拒绝权、查阅权、复制权、更正补充权、删除权、撤回同意权、要求
287、解释说明权。182(二)个人信息生命周期个人信息生命周期-收集、存储、使用、加工、传输、提供(含合并、分立、跨境提供、共同处理、以转让或者共享方式向第三方提供、委托处理等引发的提供)、公开等。(三)开发过程开发过程-需求分析、产品设计、产品开发、测试审核、发布部署、运行维护等。第二章第二章 确定确定 AppApp 功能功能 一、综述:设计开发综述:设计开发 AppApp 前,请先确定前,请先确定 AppApp 业务功能,即对外提供业务功能,即对外提供 182 权利类型和名称仅供参考。企业个人信息保护合规思路与实践报告 143/181 的服务类型;不同功能的的服务类型;不同功能的 App�������App
288、收集处理个人信息的种类、方式和收集处理个人信息的种类、方式和目的不同目的不同。(一)App 的业务功�������能指 App 向用户提供的服�����务类型,例如“360浏览器”的业务功能为网页浏览器和搜索。(二)一个 App 可能存在一个或者多个业务功能,例如“360 行车记录仪”同时提供导航功能和录制功能等。(三)App 的多个业务功能有时可以被区分为基本业务功能和扩展业务功能,基本业务功能为该 App 提供的最主要服务,扩展业务功能为其他服务。例如“360 儿童卫士”基本业务功能为儿童即时通讯,但也提供儿童电子图书扩展功能。(四)App 的多个业务功能有时不能被区分为基本业务功能和扩展业务功能,例如“360
289、行车助手”的“ETC 助手”功能和“违章查询”功能均为基本业务功能。(五)一个 App 中可能会接入第三方 App 或者链接等,由第三方App 等独立提供的服务不是本 App 的基本业务功能,例如“360 智能摄像机”中接入“某购物服务”183,但是网络购物并非“360 智能摄像机”的基本业务功能。(六)实现一个 App 的一个业务功������能有时需要结合其他非独立业务功能,例如“某购物”需要网络支付功能以完成支付,但是不独立提供支付功能。(七)实现 App 业务功能������可能需要接入第三方 SDK,例如注册账户需要人脸识别时,可能接入第三方提供的用于人脸识别的 SDK。(八)有的 App 需要接入硬件或者
290、物联网固件以实现业务功能,例如“360 ����家庭防火墙”需要接入路由器,“360 扫地机”需与扫地机固件连接。(九)有的 App 的业务功能为管理多种设备,例如“360 安心家庭”可接入摄像机、门铃、防火墙、扫地机、平衡车等。183 在一个 App 中接入第三方 App 提供的产品或者服务时,需要在隐私政策中说明;在用户实际使用接入的 App 提供的服务时,需要跳转到第三方 App。企业个人信息保护合规思路与实践报告 144/181 二、二、示例与参考依据:示例与参考依据:(一)根据常见类型移动互联网应用程序必要个人信息范围规定常见的 39 类服务类型包括:地图导航、网络约车、即时通信、网络社区、
291、网络支付、新闻资讯、网上购物、短视频、邮件快件寄递、餐饮外卖、交通票务、婚恋相亲、求职招聘、网络借贷、房屋租售、二手车交易、运动健身、问诊挂号、网页浏览器、输入法、安全管理、旅游服务、酒店服务、网络游戏、在线影音、学习教育、电子图书、拍摄美化、应用商店、网络直播、智能家居、交通出行、实用工具、演出票务、远程会议、邮箱云盘、手机银行、投资理财、用车服务、本地生活、女性健康等。(二)详见:常见类型移动互联网应用程序必要个人信息范围规定以及 信息安全技术 移动互�������联网应用程序(App)收集个人信息基本规范(征求意见稿)184 三、三、说明:说明:(一)上述举例仅为示例目的,如与实际业务不符,以实际业务
292、为准。(二)不同业务功能可能会发生变更,例如新业务功能取代旧业务功能或者对业务功能进行拆分或者合并。(三)不将改善服务质量、提升用户体验、研发新产品单单独独作为基本业务功能。(四)“第三方”以不同的 App 为准,例如“360 儿童卫士”相对于“360 智能摄像机”为第三方 App。(五)以“引号”表示的为 App,例如“360 儿童卫士”指 360 儿童卫士 App。184 信息安全技术 移动互联网应用程序(App)收集个人信息�����基本规范(征求意见稿)。企业个人信息保护合规思路与实践报告 145/181 图示:以 360 旗下 App 为例说明确定 App 业务的过程 第三章第三章 确定所收集
293、的个人信息种类确定所收集的个人信息�������种类 一、一、综述:综述:AppApp 所收集的个人信息种类可以分为如下所收集的个人信息种类可以分为如下五五类(每类(每一个类一个类型的型�����的 AppApp 均有可能收集下列一种或者多种信息)均有可能收集下列一种或者多种信息):(一)手机系统权限:通过手机系统(iOS系统或者Android系统)权限收集的手机设备产生的个人信息。(二)用户主动提供或者生成的信息:例如用户注册“360 安心家庭”主动提供的手机号码、昵称等;例如用户在“360 行车助手”发布的信息。(三)硬件固件设备信息:硬件固件设备信息或者通过硬件固件收集的个人信息,例如通过“360 家庭防火墙”
294、连接 360 路由器收集的网页浏览记��������录,通过“360 智能摄像机”连接智能门铃收集的人脸识别信息。(四)推断的信息:通过现有信息推断的信息,例如通过在“xxx 商城”购买商品记录推断消费习惯185。(五)其他可以识别或者关联个人的信息:未包含在上述任何一种数据中,但是可以识别或者关联个人的信息。二、二、示例与参考依据:示例与参考依据:185 根据个人信息保护法(草案)(二次审议稿),如果对推断的信�������息进行匿名化处理,无法再次识别个人,则不是个人信息。企业个人信息保护合规思路与实践报告 146/181 (一)(一)手机系统权限手机系统权限 1.通过申请和使用手机 Android 系统典型权限和特殊
295、敏感权限收集的信息示例:(1)说明:A.通过 Android 典型权限可以收集一般个人信息,也可以收集敏感信息。例如,使用电话权限收集的电话号码为一般个人信息,使用相机权限收集的人脸识别信息为敏感信息。B.每一个权限组权限组中的每一项权限每一项权限均需要单独弹窗提示。例如日历权限组中有读取日历权限和编辑日历权限,需要分别申请,除非读取日历权限和编辑日历权限为提供服务同时需要的权限。(关于权限组和权限项的具体分类详见网络安全标准实践指南移动互联网应用程序(App)系统权限申请使用指南 C.超出系统典型权限和特殊敏感权限收集的信������息示例范围的,按照实际列举,例如:查看 WLAN 连同意一次 不同意
296、您使用 360 提供的xx 服务需要编辑日历权限,用于编辑日程安排、备忘录信息的目的。始终同意 同意一次 不同意 您使用 360 提供的xx 服务需要读取日历权限,用于访问日程安排、备忘录信息的目的。始终同意 企业个人信息保护合规思路与实践报告 147/181 接开机启动、使用蓝牙、访问蓝牙设备、检索正在运行的应用、访问定位额�����外命令、绑定设备管理器、应用使用数据统计、重新设置外拨电话的路径、读取浏览器信息等。如需要该等权限,需要在弹窗申请权限时和隐私政策中统一�����表述为:“产品需要【请描述具体需要的权限名称】权限,访“产品需要【请描述具体需要的权限名称】权限,访问【请描述可访问的信息类型】信息,用
297、于【请描述问【请描述可访问的信息类型】信息,用于【请描述产品功能】目的”。产品功能】目的”。(2 2)AndroidAndroid 典型权限文案内容典型权限文案内容1��������86186:A.日历:产品需要【请描述具体需要的权限名称,例如读取日历、编辑日历】权限,访问【请描述可访问的信息类型,例如系统日历中的日程安排、备忘录������、行程等】信息,用于【请描述产品功能,例如日程规划、事件提醒等】目的”。B.通话记录:产品需要【请描述具体需要的权限名称,例如读取用户通话记录权限、写入用户通话记录权限、监听呼出电话权限】权限,访问【请描述可访问 186网络安全标准实践指南移动互联网应用程序(App)系统权限申请使用
298、指南。您需要连接到 Wi-Fi 请前往 Wi-Fi 设置,从 Wi-Fi 网络列表中选择“360 扫地机”然后返回“360 扫地机”App 继续设置 您需要连接到蓝牙 请前往蓝牙设置,添加“360 智能音箱”为使用 360 扫地机联机服务,您需要�����连接到 Wi-Fi,以确保我们能够访问您的网络连接状态 请前往 Wi-Fi 设置,从 Wi-Fi 网络列表中选择“360 扫地机”然后返回“360 扫地为连接 360 智能音箱,您需要开启您的蓝牙权限,以确保我们能够访问您的蓝牙连接状态 请前往蓝牙设置,添加“360 智能音箱”企业个人信息保护合规思路与实践报告 148/181 的信息类型,例如用户通话
299、记录、用户呼出的电话号码、呼叫状态等】信息,用于【请描述产品功能,例如控制儿童通话、查看联系人、查看通话状态、骚扰拦截等】目的。C.相机:产品需要拍摄权限,访问照片或视频信息,用于【请描述产品功能,例如验证账户信息、拍摄照�������片视频、扫描二维码/条形码、人脸识别等】目的。D.通讯录:产品需要【请描述具体需要的权限名称,例如读取通讯录、写入通讯录、获取 App 账户】权限,访问【请描述可访问的信息类型,例如联系人数据、用户服务中的 App 账户列表】信息,用于【请描������述产品功能,例如管理通讯录和联系人,例如添加联系人、账号登录】目的。E.地理位置信息:产品需要【请描述具体需要的权限名称,例如基于基站、
300、IP 等的粗略位置、基于 GPS 的精确位置或者实时移动位置地理位置信息实时移动位置地理位置信息】权限,访问【请描述可访问的信息类型,例如粗略地理位置信息、精确地理位置信息、实时地理位置信息、行��������踪轨行踪轨迹迹】信息,用于【请描述产品功能,例如定位当前位置、记录照片位置、社交分享位置、外卖、本地生活服务等分区信息推荐、地图导航、网络约车、运动健身等】目的。F.麦克风:产品需要录音权限,访问录音内容信息,用于【请描述产品功能,例如通话、语音识别、音视频录制、直播等】目的。G.电话:产品需要【请描述具体需要的权限名称,例如读取电话状态、读取本机电话号码、拨打电话、接听电话、添加语音邮件、使用网络电话
301、、继续进行来自其他 App 的通话】权限,访问【请描述可访问的信企业个人信息保护合规思路与实践报告 149/181 息类型,例如设备唯一标识(IMEI、设备序列号)、手机号码、实时通话行为、语音邮件内容、实时网络通话行为等】信息,用于【请描述产品功能,例如�������用于安全管理目的、检测 App 账户异常登录、关联用户行为、读取本机号码一键登录、使用 App 拨打和接听电话,包括实时网络通话】目的。H.短信:产品需要【请描述具体需要的权限名称,例如发送短信接收短信、读取文字讯息(短信或彩信)、接收 WAP 推送、接收彩信】权限,访问【请描述可访问的信息类型,例如短信、短信内容、WAP 推送消息、彩信】信
302、息,用于【请描述产������品功能,例如短信管理、短信备份恢复、手机号码注册或者登录时验证、SOS 紧急求助等】目的。I.存储:产品需要【请描述具体需要的权限名称,例如读取外置存储器、写入外置存储器、读取照片位置信息】权限,访问【请描述可访问的信息类型,例如外置存储器的个人数据、照片拍摄地点】信息,用于【请描述产品功能,例如文件管理、阅读器打开本地文件、存储拍摄的照片和视频、下载文件、下载游戏资源】目的。J.传感器:产品需要获取身体传感器信息权限,访问心心率等身体传感器信息率等身体传感器信息,用于【请描述产品功能,例如运动健身、健康类 App、可穿戴设备等】目的。K.身体活动:产品需要识别身体活动权限,
303、访问特定身特定身体活动变化(如未移动体活动变化(如未移动、步行、跑步、骑车、坐车等)、步行、跑步、骑车、坐车等)信息信息,用于【请描述产品功能,例如追踪步数及卡路里消耗、对身体活动进行分类等】目的。企业个人信息保护合规思路与实践报告 150/181 (3)特殊敏感权限187(只有少数只有少数 AppApp 在少数场景才申请,在少数场景才申请,建议提供单独管理界面详细说明申请目的,并适当增建议提供单独管理界面详细说明申请目的,并适当增加障碍设计避免用户误操加障碍设计避免用户误操作作。)A.设备管理器:产品需要设�����备管理器权限,允许 App激活使用设备管理器,用于【需对设备进行设置才允许在设备上办公
304、的】目的。B.辅助模式(无障碍模式):产品需要辅助模式权,允许 App 通过屏幕取词、模拟用户点击等方式,方便用户操作,用于【无障碍人士使用】目的。C�������.监听通知栏:产品需要监听通知栏权限,允许 App监听其他 App 通知栏显示的内容,用于【需要将通知栏内容引导到其它设备】目的。D.悬浮窗:产品需要悬浮窗权限,允许 App 在其他App 上覆盖显示,用于【视频聊天、直播软件需要小窗体播放;录屏软件、音乐软件等需要悬浮或桌面上显示】目的。E.读取应用使用情况:产品需要读取应用使用情况权限,允许 App 获取其他 App 的使用统计数据,例如使用频率、使用时长、语言设置等使用记录,用于【应用商店、
305、安全管理等需要监控应用】目的。2.通过申请和使用手机 iOS 系统权限收集的信息示例:A.日历与提醒事项:产品需要日历与提醒事项权限,访问日历数据、提醒事项信息,用于【提醒您已设定好的行程】目的。B.相机与麦克风:产品需要相机�������������与麦克风权限,访问拍摄的照片与视频、语音数据信息,用于【扫码、拍摄、实景购物等】目的。187 同上。企业个人信息保护合规思路与实践报告 151/181 C.通讯录:产品需要通讯录权限,访问联系人数据信息,用于【获取您的联系人信息】目的。D.面容 ID:产品需要面容 ID 权限,访问面容 ID 信息,用于【用户登录产品时的验证】目的。E.健康:产品需要健康权限,访问临床健康
306、记录、读取和更新健康数据信息,用于【】目的。F.家居:产品需要家居权限,访问 HomeKit 配置数据信息,用于【远程控制您的家具】目的。G.定位服务:产品需要定位服务权限,访问位置信息信息,用于【提供精准导航服务】目的。H.媒体与 Apple Music:产品需要媒体与 Apple Music 权限,访问 Apple Music、音乐和视频活动以及媒体资料库信息,用于【推荐定制化歌单】目的。I.运动与健身:产品需要运动与健身权限,访问设备的加速度计,身体活动、步数统计、已爬楼层数等传感器数据信息,用于【为您提供定制化的健身建议�������】目的。J.照片:产品需要照片权限,访问照片库信息,用于【图片与视
307、频的获取与上传】目的。K.语音识别:产品需要语音识别权限,访问语音数据信息,用于【用户登录产品时的验�������证】目的。3.上述仅为示例,详见:网络安全标准实践指南移动互联网应用程序(App)系统权限申请使用指南(1)权限申请的原则和要求188 A.最小必要原则:仅申请App业务功能所必需的权限,不申请与 App 业务功能无关的权限。B.用户可知原则:申请的权限均应有明确、合理的使用 188 同上。企业个人信息保护合规思路与实践报告 152/181 场景,并告知用户权限申请目的。C.不强制不捆绑不频繁原则:不应强制申请系统权限(如不同意某一个权限导致整个产品不能用或导致其他无关该权限的部分功能不能使用)
308、;不要求用户一次性授权同意打开多个系统权限;申请权限 48 小时内不应超过 1 次,但用户主动开启必须使用权限的功能时,可以在用户再次点击触发功能时申请,如用户再次点击上传图像功能,可申请必须的相册权限。D.动态申请原则:App 所需的权限应在对应业务功能执行时动态申请。在用户未触发相关业务功能时,不提前申请与当前业务功能无关的权限。(2)权限使用的原则和要求189 A.一致性原则:权限的使用应与权限申请时和隐私政策中所描述的目的用途、使用场景和规则����相一致。B.不扩散原则:App 通过系统权限获得的数据和能力,不应在用户未授权的情况下私自提供给小程序或终端上的其他 App 使用。C.访问显性化
309、原则:使用系统权限(例如相机、麦克风、位置)获取个人敏感信息时,应采用显性方式提示用户,避免以隐蔽方式收集用户个人信息。(二)(二)用户主动提供(例如姓名)或者生成的信息(例如点击记录)用户主动提供(例如姓名)或者生成的信息(例如点击记录)以及手机系统权限外的设备信息(������例如以及手机系统权限外的设备信息(例如 IMEIIMEI):):1.用户主动提供信息种类示例(其中加粗部分加粗部分为敏感信息,需在隐私政策中以加粗或不同大小、颜色、字体显著展示):189 同上。企业个人信息保护合规思路与实践报告 153/181 2.详见:信息安全技术 个人信息安全规范(三)(三)AppApp 连接硬件固件设备收
310、集信息示例:连接硬件固件设备收集信息示例:产品名称产品名称 手机系统权限手机系统权限 用户通过用户通过 AppApp 主主通过硬通过硬/固件设固件设硬件固件设备信息硬件固件设备信息 1 个人基本资料 姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等 2 个人身份信息个人身份信息 身份证、军官证、护照、驾驶证、工作证、身份证、军官证、护照、驾驶证、工作证、出入证、社����保卡、居住证社保卡、居住证等等 3 个人生物识别信息个人生物识别信息 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 4 网络身份标识信息 系统账
311、号、个人信息主体账号、IP 地址、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等 5 个人健������康生理信息个人健康生理信息 个人生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及个人生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等治情况、家族病史、现病史、传染病史等,以及个人身体健康状况产生的相关信息,及体重、身高、肺活量等 6 个人教育工作信息 职业、职位、工作单位、学
312、历、学位、教育经历、工作经历、培训记录、成绩单等 7 个人财产信息个人财产信息 银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、借贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、产信息、借贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑�����换码等虚拟财产信息虚拟交易、游戏类兑������换码等虚拟财产信息 8 个人通信信息个人通信信息 通信记录和内容、短信、彩信、电子邮件通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为以及描述个人通信的数据(通
313、常称为元数据)等元数据)等 9 联系人信息联系人信息 通讯录、好友列表、群�������列表、电子邮件地址列表等通讯录、好友列表、群列表、电子邮件地址列表等 10 个人上网记录个人上网记录 指通过日志储存的个人信息主体操作记录,包括包括网站(网页网站(网页)浏览记录浏览记录、软件使用记录、点击记录、收藏列表等 11 个人常用设备信息 指包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码地址、软件列表、唯一设备识别码(如 IMEI/Android ID/IDFA/OpenUDID/GUID/SIM 卡 IMSI 信息等)等在内的描述个人常用设备基本情况的信息 12 个人位置信息个人位置信息 行踪轨迹
314、、精准定位信息、住宿信息行踪轨迹、精准定位信息、住宿信息、经纬度等 13 其他个人信息其他个人信息 婚史、宗教信仰、性取向、未公开的违法犯罪记录等婚史、宗教信仰、性取向、未公开的违法犯罪记录等 企业个人信息保护合规思路与实践报告 154/181 动提供动提供/生成的信生成的信息息 备收集的信息备收集的信息 儿童电子产品示例 位置位置:查看家长自己的位置、查看儿童位置、设定安全区域 麦克风:麦克风:通话聊天功能、音���频类征集活动 相机:相机:评论、上传头像、拍摄照片、视频通话、视频监护 相册:相册:评论、上传头像、聊天、视频通话、视频监护 通讯录:通讯录:添加/修改手表联系人 存储:存储:图片缓存
315、、发送图片、保存图片,上传音视频 孩子昵称 孩子生日 孩子性别 孩子头像 家长称呼 家长头像 手表通讯录联手表通讯录联系人系人 图片(手表端远程拍照)聊天时间 手表版本号 手表卡号变更 手表应用安装情况 宝贝动态服务号(计步目标设置情况)宝贝动态服务号(计步信息是否达标)安全守护服务号(SOS 定位信息)安全守护服务号(安全区域进入或离开定位信息)1.个别信息可能既可以通过手机 �������App 收集,又可以通过硬件固件设备收集,例如通话记录。2.上述分类示例如与实际情况不符,按照实际情况调整。3.硬件固件设备信息中无法识别个人的信息不是个人信企业个人信息保护合规思路与实践报告 155/181 息,例如
316、手表电量。4.加粗显示的为敏感信息。(四)实现业务功能所需要的最少信息190详见:信息安全技术 移动互联网应用程序(App)收集个人信息���基本规范(征求意见稿)和常见类型移动互联网应用程序必要个人信息范围规定的通知。三、三、说明:说明:(一一)请调查和记录需要收集的信息(数据清单),以备执法检查。请调查和记录需要收集的信息(数据清单)�������,以备执法检查。可使用分则可使用分则产品个人信息合规评估清单产品个人信息合规评估清单,仅填写“功能与,仅填写“功能与对应个人信息”部分,作为数据清单的记录;对应个人信息”部分,作为数据清单的记录;(二二)请调查并记录是否需要从第三方间接收集信息以及是否需要请调查并记
317、录是否需要从第三方间接收集信息以及是否需要向第三方提供信息,可使用分则向第三方提供信息,可使用分则产品个人信息合规评估清产品个人信息合规评估清单单第五部分���,“五第五部分,“五.个人信息的共享个人信息的共享/转让转让/公开披露(含委托公开披露(含委托处理与第三方接入)处理与第三方接入)”;”;(三)如果无法归入任何一类可以作为特殊类型列举,例如主要由用户浏览网页产生的 Cookie 信息,SDK 信息,网络日志等;(四)上述分类可能出现部分重合,例如人脸识别信息可由用户主动向手机 App 提供(属于用户主动提供信息),也可能通过摄像头收集(属于用户通过设备固件收集信息);190 有的为法律要求必
318、需收集的信息,有的为实现业务功能所必需收集的信息,为实现业务功能所必需收集的信息常见类型移动互联网应用程序必要个人信息范围���规定比信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(征求意见稿)范围������窄,需要以后者正式公布的文本为准。企业个人信息保护合规思路与实践报告 156/181 (五)SDK 信息请参见下述专章。图示:以 360 旗下 App 为例说明确定收集个人信息类型的过程 第四章第四章 AppApp 中的中的 S SDKDK 一、一、综述:对综述:对 AppApp 中使用的中使用的 SDKSDK 进行统计进行统计 常见的 SDK 有框架类、广告类、推送类、统计类、地图类、第
319、三方登录、社交类、支付类、客服类、测试类、安全风控类、Crash监控类、人脸识别类、语音识别类、短信验证类、基础功能类��������等。二、二、示例与参考依据示例与参考依据 (一)SDK 收集个人信息情况示例 对对 SDKSDK 使用�����情况进行调查:使用情况进行调查:将前将前 1010 点放进隐私政策中进行说明点放进隐私政策中进行说明(仅列第三方 SDK,内部SDK 在相应功能、权限等部分说明即可,无需单独提 SDK 形式,也无需罗列)企业个人信息保护合规思路与实践报告 157/181 1.SDK 种类:例如支付类 2.所属系统:Android 3.SDK 名称:例如 Alipay 某宝 SDK 4.公司名称
320、:例如某宝(杭州)信息技术有限公司 5.SDK的隐私政策链接:例如https:/ 6.收集使用目的:例如移动支付 ���7.收集个人信息类型/范围:例如设备标识信息 上述所有个人信息类型是否对实现 SDK 功能均十分必要:是 ;否 【请 列 举 收 集 的 非 必 要 信 息 种类:】是否收集其他个人信息(例如文字、图像、视频、个人相关信息、通讯信息、上网记录、财产等):是;否【请列举收集的其他信息种类:】8.收集个人信息的方式 9.App 从第三方 SDK 获取的个人信息:设备标识信息 10.是否控制所收集的信息、留存信息或者所收集信息是否被用于为公司提供服务以外的目的:否;是【请列举用于为公司提
321、供服务以外的其他目的或者说明其他情况:】(二)详见:网络������安全标准实践指南 移动互联网应用������程序(App)中的第三方软件开发工具包(SDK)安全指引 三、三、说明:说明:(一)在个人信息保护政策的正文里,一并说明包括 SDK 在内需要企业个人信息保护合规思路与实践报告 158/181 的系统权限(但不需要说明哪些是 SDK 单独需要的系统权限),并且在实际需要使用时才申请系统权限(即集中列表说明权限情况,包括权限名称、收集使用的目的、涉及的个人信息等);在单独弹窗申请系统权限时,可以说明也可以不说明该特定权限由 SDK 收集;但是需要单独的 SDK 列表,对 SDK 收集的个人信息进行说明,包括
322、SDK 需要使用的系统权限。(二)如果企业向其他 App 提供 SDK 或者通过 SDK 从其他 App收集信息,参照上述说明进行调查统计并记录。(三)在隐私政策中直接展示 SDK 或者添加外部链接展示 SDK 种类等。图示:以 360 旗下 App 为例说明 App 中的 SDK 企业个人信息保护合规思路与实践报告 159/181 第二部分第二部分 以用户为中心的产品设计与开发以用户为中�����心的产品设计与开发 第一章第一章 用户下载安装用户下载安装 AppApp 一、苹果应用商店要求自 2020 年 12 月 8 日起 App 在用户下载前公示所收集的个人信息,包括 App 收集的和第三方(例如
323、 SDK)通过 App 收集的信息。(一)可以不公示的信息(满足所有条件才可以不公示满足所有条件才可以不公示):1.不用于追踪 2.不用于第三方广告 3.非主要功能且不常用信息 4.在 App 界面显示的明显会收集的且需用户主动提供的信息(二)公示信息的类����型详见:https:/ how to enter their responses()二、用户可下载安装的 App 必需有一份针对该 App 的隐私保护政策(一)App 上架前请逐项检查下列对隐私政策的最基本要求:1.隐私政策是独立于用户协议的文本;2.隐私政策文本链接有效,文本可正常显示;3.�����国内产品隐私政策为简体中文;4.隐私政策文本文字显
324、示方式合理,避免文本字号过小、颜色与背景色相近、行间距过密、字迹�����模糊、列宽大于手机屏幕无法缩放等易造成阅读困难;5.用户进入主功能界面后,通过 4 次(含)以内的点击等操作,能够访问到隐私政策;6.在界面的固定路径展示隐私政策(或其链接),以便用户随时访问和获取,避免仅在注册/登录界面展示隐私政策链接,或只能以咨询客服等方式查找隐私政策等情形。例如通过企业个人信息保护合规思路与实践报告 160/181 “我-设置-关于”或者“我的-设置-隐私”等用户熟悉路径展示隐私政策,不频繁变更展示隐私政策的路径;7.隐私政策中个人敏感信息需要加粗显示;8.隐私政策中有第三方 SDK 列表、有集中的权限列表
325、;9.隐私政策中列举收集的个人信息种类,并说明了收集处理个人信息目的、方式、范围;10.目的所涵盖的各个业务功能,例如将个人信息用于推送商业广告,将个人信息用于 形成直接用户画像及其用途等。针对用户画像、广告目的应与其他目的,区分进行告知;11���.不同信息有不同目的时,分别进行详细说明;同一信息有多个目的,按照信息对用户的影响程度排序,对用户影响最严重的优先进行说明;12.隐私政策对向第三方提供个人信息情况进行了说明;13.隐私政�����策对存储地点、是否跨境传输进行了说明;14.隐私政策说明了用户享有的查询、复制、修改、请求删除、撤回同意等权利;15.采取的各种存储安全技术措施,例如身份验证、访问控制
326、、完整性保护、加密、病毒防护等;16.隐私政策提供投诉、申诉、举报、建议联系方式。(二)实际收集处理的个人信息与隐私政策说明一致,不存在增加或减少的情况 如发现不一致,须按照分则产品个人信息合规评估清单产品个人信息合规评估清单进进行补足完善,并按照“变动标识”行补足完善,并按照“变动标识”列标记的“增加”或“减少”,将隐私政策进行及时的修正。第二章第二章 用户首次开启使用用户首次开启使用 AppApp 一、用户开启 App 浏览或者注册账户前,不收集个人信息和不申请系统权限,不利用 Cook������ie 等同类技术或通过调用可收集用户个人信息的权限、接口等方式收集个人信息 企业个人信息保护合规思路与实
327、践报告 161/181 xx 功能需要获取您的接听电话权限,以接听拨入的电话。请您知悉,如您不点击“同意”不影响使用其他功能。同意 Xx 功能需要获取您的麦克风权限以进行语音识别,请您知悉,如您拒绝点击“同意”或关闭此弹窗不影响使用其他同意 二、用户开启 App 浏览或者注册账户前,App 如果需要申请和使用手机系统权限,需要单独弹窗提�������示,进行简短告知,并且给予用户同意或者不同意选项 注:注:目前至少要在用户同意隐私政策之后,再根据用户触发功能情况目前至少要在用户同意隐私政策之后,再根据用户触发功能情况申�����请权限或收集个人信息,无论内部申请权限或收集个人信息,无论内部S SDKDK还是接外部还是
328、接外部S SDKDK均应遵守。均应遵守。业务应明确了解内部 SDK 收集个人信息或权限的内容及收集个人信息或申请权限的时机,把控其是否由功能触发。对外部 SDK 应做好监督监控,一旦发现申请权限或收集个人信息的时机不对,应立即采取措施或停止接入该 SDK。三、用户可以拒绝收集认为“非必要”的个人信息或“非必要”权限 同意一次 不同意 XX 功能需要获取您的 IP 位置信息,以向您推送附近的购物咨询,请您知悉,我们不会收集您的精确位置信息。�������始终同意 同意 不同意 xx 功能需要获取您的国际移动设备识别码(即IMEI)信息,以用于安全监控目的。企业个人信息保护合规思路与实践报告 162/181 收
329、集与业务功能相关但非必要的个人信息或申请打开相关但非必要的收集个人信息权限时,需由用户自主选择同意,如用户不同意,不影响其使用现有业务功能或相关服务。如用户不同意位置信息,产品还应当可以继续使用。不提前申请权限,仅在需要使用权限时,才申请权限。四、物联网固件可通过特殊方式告知用户所收集的个人信息(一)语音:例如在首次使用智能门铃时,通过语音简短地告知关键信息“感谢使用 360智能门铃,360 将收集您的指纹信息,您的指纹信息仅存储在智能门铃的芯片中,不会上传服������务器”;(二)视频:例如在儿童机器人屏幕界面利用动画形式告知将收集儿童面部信息、语音信息等;(三)扫码:在物联网固件设备外印刷二维码,可
330、供用户扫码查看;(四)说明书:在产品包装内提供纸质说明说,说明收集处理信息情况,并提供二维码或者链接,可供用户查看详情。注:通过上述方式收集的个人信息均需在个人信息保护政策注:通过上述方式收集的个人信息均需在������个人信息保护政策中整体说明。中整体说明。根据法律规定,当您注册并使用“云盘”服务时,您需要向我们提供您的移动电话号码,否则您无法使用“云盘服务”。了解,并继续 同意 不同意 xx 功能需要获取您的地理位置权限以定位车辆位置,如您点击“不同意”无法使用导航功能,但不影响使用录制等其他功能。xx 产品需要推送通知来通知您实时路况,您可以������在“通知管理”中自定义或者关闭通知。如您选择不同意将无法接
331、收通知但不影响使用其他功能。同意 不同意 企业个人信息保护合规思路与实践报告 163/181 五、如用户拒绝或者未做出选择,不要频繁询问用户是否同意,例如48 小时内不能超过 1 次 第三章第三章 用户注册用户注册账户账户登录登录 AppApp 一、区分提供浏览功能 App 和不提供浏览功能 App(一)提供浏览功能的 ����App 不能因为用户点击“不同意”弹窗收集个人信息请求或者不同意隐私政策而不提供浏������览功能或者闪退191。如果用户拒绝同意,在 48 小时内不应再次弹出询问是否同意。提供浏览模式的 App 不需要收集任何信息或者申请任何收集系统权限,如果确实需要收集(例如确有必要收集粗略 IP
332、地址、确有必要因安全目的收集 IMEI 号),可以增加弹窗单独询问是否同意;(二)不提供浏览功能、必需注册后才可以访问页面的 App 应当要求用户同意隐私政策后才进行注册;(三)在在 AppApp 首次运行或用户注册时首次运行或用户注册时应应主动提示用户阅读隐私政主动提示����用户阅读隐私政策策(目前监管要求用户同意隐私政策前不应申请任何权限或(目前监管要求用户同意隐私政策前不应申请任何权限或收集个人信息)收集个人信息),可采用通过弹窗、突出链接等主动方式提示用户阅读隐私政策,并且给予用户“同意”或者“不同意”的选项;如果设置勾选框,不要预先勾选,由用户主动勾选。注意根据最新监管要求及������时调整。191
333、 实践中为满足“告知-同意”要求,有的 App 将功能设计为“不同������意隐私政策无法浏览”模式。我们理解,该模式并非最为合规的实践做法,因为浏览模式下并不需要收集任何个人信息即可提供浏览服务。企业个人信息保护合规思路与实践报告 164/181 二、账户内信息(一)用户注册账号时仅收集必要信息 1.通过手机号码注册账号仅收集手机号码;2.通过 360 账号、微信、微博账号注册仅收集账号、昵称、头像信息。(二)用户注册账户后仅对外展示头像和昵称(三)用户账户内其他信息由用户自愿选择填写(四)任何情况下不要求填写民族、种族、宗教信仰、婚姻状态、性取向、基因信息。三、不以捆绑方式强制要求用户一次性同意打开多个可收集个人信息权限 例如不应将安卓版 App 的 targetSdkVersion 值设置低于 23,通过声明机制,在安装 App 时要求用户一次性同意打开多个可收集个人信息权限属于捆绑方式�������。由中
sgpjbg002
工作日 8:30 - 17:30
报告分类
