????《個(gè)人信息安全規(guī)范》在數(shù)據(jù)生命周期第一步個(gè)人信息收集環(huán)節(jié)贵白,嚴(yán)格界定了個(gè)人信息控制者的權(quán)利和義務(wù)百拓,規(guī)定在收集個(gè)人信息前渠鸽,應(yīng)當(dāng)向信息主體明示相關(guān)內(nèi)容并取得同意羔味;涉及間接方式獲取個(gè)人信息時(shí),應(yīng)要求個(gè)人信息提供方說明來源蛆橡,并確認(rèn)合法性舌界。
《個(gè)人信息安全規(guī)范》對(duì)個(gè)人信息控制者的要求提出了以下三點(diǎn):
(1)合法性,要求個(gè)人信息控制者在法律法規(guī)規(guī)定的范圍內(nèi)采用合法的手段和獲取信息的渠道泰演,在征得個(gè)人信息主體同意的前提下收集個(gè)人信息或要求信息主體提供個(gè)人信息呻拌。
a) 不得欺詐、誘騙睦焕、強(qiáng)迫個(gè)人信息主體提供其個(gè)人信息;
b) 不得隱瞞產(chǎn)品或服務(wù)所具有的收集個(gè)人信息的功能;
c) 不得從非法渠道獲取個(gè)人信息;
d) 不得收集法律法規(guī)明令禁止收集的個(gè)人信息藐握。
(2)最小化,要求個(gè)人信息的收集類型垃喊、頻率和數(shù)量應(yīng)在必要性的最小要求之內(nèi)猾普,即符合最少夠用原則。在能達(dá)到所需目的條件下本谜,只處理最少的個(gè)人信息類型和數(shù)量初家。
a) ?收集的個(gè)人信息的類型應(yīng)與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)。直接關(guān)聯(lián)是指沒有該信息的參與乌助,產(chǎn)品或服務(wù)的功能無法實(shí)現(xiàn);
b) ?自動(dòng)采集個(gè)人信息的頻率應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率;
c) ?間接獲取個(gè)人信息的數(shù)量應(yīng)是實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量溜在。
(3)授權(quán)同意,要求個(gè)人信息控制者處理個(gè)人信息時(shí)的目的他托、方式掖肋、范圍以及相關(guān)規(guī)則,均要經(jīng)過個(gè)人信息主體的授權(quán)同意赏参。
a) ?收集個(gè)人信息前志笼,應(yīng)向個(gè)人信息主體明確告知所提供產(chǎn)品或服務(wù)的不同業(yè)務(wù)功能分別收集的個(gè)人信息類型,以及收集把篓、使用個(gè)人信息的規(guī)則(例如收集和使用個(gè)人信息的目的纫溃、收集方式和頻率、存放地域纸俭、存儲(chǔ)期限皇耗、自身的數(shù)據(jù)安全能力、對(duì)外共享揍很、轉(zhuǎn)讓郎楼、公開披露的有關(guān)情況等),并獲得個(gè)人信息主體的授權(quán)同意;
b) ?間接獲取個(gè)人信息時(shí):
? ??1) ?應(yīng)要求個(gè)人信息提供方說明個(gè)人信息來源窒悔,并對(duì)其個(gè)人信息來源的合法性進(jìn)行確認(rèn);
? ??2) ?應(yīng)了解個(gè)人信息提供方已獲得的個(gè)人信息處理的授權(quán)同意范圍呜袁,包括使用目的,個(gè)人信息主體是否授權(quán)同意轉(zhuǎn)讓简珠、共享阶界、公開披露等虹钮。如本組織開展業(yè)務(wù)需進(jìn)行的個(gè)人信息處理活動(dòng)超出該授權(quán)同意范圍,應(yīng)在獲取個(gè)人信息后的合理期限內(nèi)或處理個(gè)人信息前膘融,征得個(gè)人信息主體的明示同意芙粱。
《個(gè)人信息安全規(guī)范》還指出了在以下幾方面無需個(gè)人信息主體的授權(quán)同意:
a) ?與國(guó)家安全、國(guó)防安全直接相關(guān)的;
b) ?與公共安全氧映、公共衛(wèi)生春畔、重大公共利益直接相關(guān)的;
c) ?與犯罪偵查、起訴岛都、審判和判決執(zhí)行等直接相關(guān)的;
d) ?出于維護(hù)個(gè)人信息主體或其他個(gè)人的生命律姨、財(cái)產(chǎn)等重大合法權(quán)益但又很難得到本人同意的;
e) ?所收集的個(gè)人信息是個(gè)人信息主體自行向社會(huì)公眾公開的;
f) ?從合法公開披露的信息中收集個(gè)人信息的,如合法的新聞報(bào)道臼疫、政府信息公開等渠道;
g) ?根據(jù)個(gè)人信息主體要求簽訂和履行合同所必需的;
h) ?用于維護(hù)所提供的產(chǎn)品或服務(wù)的安全穩(wěn)定運(yùn)行所必需的择份,例如發(fā)現(xiàn)、處置產(chǎn)品或服務(wù)的故障;
i) ?個(gè)人信息控制者為新聞單位且其在開展合法的新聞報(bào)道所必需的;
j) ?個(gè)人信息控制者為學(xué)術(shù)研究機(jī)構(gòu)烫堤,出于公共利益開展統(tǒng)計(jì)或?qū)W術(shù)研究所必要荣赶,且其對(duì)外提供學(xué)術(shù)研究或描述的結(jié)果時(shí),對(duì)結(jié)果中所包含的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理的;
k) ?法律法規(guī)規(guī)定的其他情形鸽斟。
《個(gè)人信息安全規(guī)范》針對(duì)個(gè)人敏感信息的收集提出了額外的要求讯壶,考慮到敏感度較高的個(gè)人信息收集與提供對(duì)個(gè)人信息主體帶來的不同范圍的利害影響,要求個(gè)人信息控制者要在個(gè)人信息主體完全知情的基礎(chǔ)上給出自愿的湾盗、具體的、清晰明確的同意表示立轧。針對(duì)個(gè)人敏感信息在收集時(shí)格粪,個(gè)人信息主體應(yīng)逐項(xiàng)明確其針對(duì)功能的必需性,并且可逐項(xiàng)進(jìn)行同意或者拒絕氛改。對(duì)未滿14周歲的未成年人在收集時(shí)提出了額外監(jiān)護(hù)人授權(quán)同意的要求帐萎。
a) ?收集個(gè)人敏感信息時(shí),應(yīng)取得個(gè)人信息主體的明示同意胜卤。應(yīng)確保個(gè)人信息主體的明示同意是其在完全知情的基礎(chǔ)上自愿給出的疆导、具體的、清晰明確的愿望表示;
b) ?通過主動(dòng)提供或自動(dòng)采集方式收集個(gè)人敏感信息前葛躏,應(yīng):
? ??1) ?向個(gè)人信息主體告知所提供產(chǎn)品或服務(wù)的核心業(yè)務(wù)功能及所必需收集的個(gè)人敏感信息澈段,并明確告知拒絕提供或拒絕同意將帶來的影響。應(yīng)允許個(gè)人信息主體選擇是否提供或同意自動(dòng)采集;
? ??2) ?產(chǎn)品或服務(wù)如提供其他附加功能舰攒,需要收集個(gè)人敏感信息時(shí)败富,收集前應(yīng)向個(gè)人信息主體逐一說明個(gè)人敏感信息為完成何種附加功能所必需,并允許個(gè)人信息主體逐項(xiàng)選擇是否提供或同意自動(dòng)采集個(gè)人敏感信息摩窃。當(dāng)個(gè)人信息主體拒絕時(shí)兽叮,可不提供相應(yīng)的附加功能,但不應(yīng)以此為理由停止提供核心業(yè)務(wù)功能,并應(yīng)保障相應(yīng)的服務(wù)質(zhì)量鹦聪。
c) 收集年滿14的未成年人的個(gè)人信息前账阻,應(yīng)征得未成年人或其監(jiān)護(hù)人的明示同意;不滿14周歲的,應(yīng)征得其監(jiān)護(hù)人的明示同意泽本。
個(gè)人敏感信息收集示例:
《個(gè)人信息安全規(guī)范》還要求個(gè)人信息控制者制定相關(guān)的隱私政策:說明其自身的基本情況淘太、收集行為的目的和業(yè)務(wù)范圍、收集的方式和頻率观挎、存儲(chǔ)的地域和期限琴儿、后續(xù)共享、轉(zhuǎn)讓嘁捷、公開披露的目的造成,、第三方接收者的類型雄嚣、數(shù)據(jù)安全防護(hù)的能力晒屎、個(gè)人信息主體的權(quán)利和實(shí)現(xiàn)機(jī)制、可能存在的風(fēng)險(xiǎn)以及投訴詢問的方式等缓升。隱私政策的發(fā)布方式要以最基本的法律法規(guī)以及相關(guān)規(guī)范作為基準(zhǔn)鼓鲁,以真實(shí)易懂的信息內(nèi)容,采取公開發(fā)布或易于訪問的方式逐一送達(dá)或公告送達(dá)相關(guān)個(gè)人信息主體港谊。
a) 個(gè)人信息控制者應(yīng)制定隱私政策骇吭,內(nèi)容應(yīng)包括但不限于:
????1) ?個(gè)人信息控制者的基本情況,包括注冊(cè)名稱歧寺、注冊(cè)地址燥狰、常用辦公地點(diǎn)和相關(guān)負(fù)責(zé)人的聯(lián)系方式等;
????2) ?收集、使用個(gè)人信息的目的斜筐,以及目的所涵蓋的各個(gè)業(yè)務(wù)功能龙致,例如將個(gè)人信息用于推送商業(yè)廣告,將個(gè)人信息用于形成直接用戶畫像及其用途等;
????3) ?各業(yè)務(wù)功能分別收集的個(gè)人信息顷链,以及收集方式和頻率目代、存放地域、存儲(chǔ)期限等個(gè)人信息處理規(guī)則和實(shí)際收集的個(gè)人信息范圍;
????4) ?對(duì)外共享嗤练、轉(zhuǎn)讓榛了、公開披露個(gè)人信息的目的、涉及的個(gè)人信息類型潭苞、接收個(gè)人信息的第三方類型忽冻,以及所承擔(dān)的相應(yīng)法律責(zé)任;
????5) ?遵循的個(gè)人信息安全基本原則,具備的數(shù)據(jù)安全能力此疹,以及采取的個(gè)人信息安全保護(hù)措施;
????6) ?個(gè)人信息主體的權(quán)利和實(shí)現(xiàn)機(jī)制僧诚,如訪問方法遮婶、更正方法、刪除方法湖笨、注銷賬戶的方法旗扑、撤回同意的方法、獲取個(gè)人信息副本的方法慈省、約束信息系統(tǒng)自動(dòng)決策的方法等;
????7) ?提供個(gè)人信息后可能存在的安全風(fēng)險(xiǎn)臀防,及不提供個(gè)人信息可能產(chǎn)生的影響;
????8) ?處理個(gè)人信息主體詢問、投訴的渠道和機(jī)制边败,以及外部糾紛解決機(jī)構(gòu)及聯(lián)絡(luò)方式袱衷。
b) ?隱私政策所告知的信息應(yīng)真實(shí)、準(zhǔn)確笑窜、完整;
c) ?隱私政策的內(nèi)容應(yīng)清晰易懂致燥,符合通用的語言習(xí)慣,使用標(biāo)準(zhǔn)化的數(shù)字排截、圖示等嫌蚤,避免使用有歧義的語言,并在起始部分提供摘要断傲,簡(jiǎn)述告知內(nèi)容的重點(diǎn);
d) ?隱私政策應(yīng)公開發(fā)布且易于訪問脱吱,例如,在網(wǎng)站主頁认罩、移動(dòng)應(yīng)用程序安裝頁箱蝠、社交媒體首頁等顯著位置設(shè)置鏈接;
e) ?隱私政策應(yīng)逐一送達(dá)個(gè)人信息主體。當(dāng)成本過高或有顯著困難時(shí)垦垂,可以公告的形式發(fā)布;
f) ?在本條a)所載事項(xiàng)發(fā)生變化時(shí)抡锈,應(yīng)及時(shí)更新隱私政策并重新告知個(gè)人信息主體。
《個(gè)人信息安全規(guī)范》加強(qiáng)了個(gè)人信息主體對(duì)其個(gè)人信息的控制權(quán)乔外,在個(gè)人信息主體明示同意的前提下,才可以進(jìn)行相關(guān)的個(gè)人信息收集一罩,并要求個(gè)人信息控制者應(yīng)當(dāng)對(duì)其收集的用戶信息建立健全個(gè)人信息保護(hù)技術(shù)措施和管理制度杨幼,且應(yīng)當(dāng)遵循合法、正當(dāng)聂渊、必要的原則差购,公開使用信息的目的、方式和范圍汉嗽,并經(jīng)被收集者同意欲逃。
個(gè)人信息安全規(guī)范(二):數(shù)據(jù)生命周期--個(gè)人信息收集
個(gè)人信息安全規(guī)范(三):數(shù)據(jù)生命周期--個(gè)人信息存儲(chǔ)
個(gè)人信息安全規(guī)范(四):數(shù)據(jù)生命周期--個(gè)人信息使用
個(gè)人信息安全規(guī)范(五):數(shù)據(jù)生命周期--個(gè)人信息對(duì)外提供
