數(shù)據(jù)中心
Data Center

國標(biāo)《信息安全技術(shù) 個人信息安全規(guī)范》全文


范圍

本標(biāo)準(zhǔn)規(guī)定了開展收集、存儲、使用、共享、轉(zhuǎn)讓、公開披露、刪除等個人信息處理活動應(yīng)遵循的原則和安全要求。

本標(biāo)準(zhǔn)適用于規(guī)范各類組織的個人信息處理活動,也適用于主管監(jiān)管部門、第三方評估機構(gòu)等組織對個人信息處理活動進行監(jiān)督、管理和評估。

規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T 25069—2010 信息安全技術(shù) 術(shù)語

術(shù)語和定義

GB/T 25069—2010界定的以及下列術(shù)語和定義適用于本文件。

3.1 個人信息 personal information

以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。

注1:個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

注2:關(guān)于個人信息的判定方法和類型參見附錄 A。

注3:個人信息控制者通過個人信息或其他信息加工處理后形成的信息,例如,用戶畫像或特征標(biāo)簽,能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的,屬于個人信息。

3.2 個人敏感信息 personal sensitive information

一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。

注1:個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬戶、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下(含)兒童的個人信息等。

注2:關(guān)于個人敏感信息的判定方法和類型參見附錄 B。

注3:個人信息控制者通過個人信息或其他信息加工處理后形成的信息,如一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的,屬于個人敏感信息。

3.3 個人信息主體 personal information subject

個人信息所標(biāo)識或者關(guān)聯(lián)的自然人。

3.4 個人信息控制者 personal information controller

有能力決定個人信息處理目的、方式等的組織或個人。

3.5 收集 collect

獲得個人信息的控制權(quán)的行為。

注1:包括由個人信息主體主動提供、通過與個人信息主體交互或記錄個人信息主體行為等自動采集行為,以及通過共享、轉(zhuǎn)讓、搜集公開信息等間接獲取個人信息等行為。

注2:如果產(chǎn)品或服務(wù)的提供者提供工具供個人信息主體使用,提供者不對個人信息進行訪問的,則不屬于本標(biāo)準(zhǔn)所稱的收集。例如,離線導(dǎo)航軟件在終端獲取個人信息主體位置信息后,如果不回傳至軟件提供者,則不屬于個人信息主體位置信息的收集。

3.6 明示同意 explicit consent

個人信息主體通過書面、口頭等方式主動作出紙質(zhì)或電子形式的聲明,或者自主作出肯定性動作,對其個人信息進行特定處理作出明確授權(quán)的行為。

注:肯定性動作包括個人信息主體主動勾選、主動點擊“同意”“注冊”“發(fā)送”“撥打”、主動填寫或提供等。

3.7 授權(quán)同意 consent

個人信息主體對其個人信息進行特定處理作出明確授權(quán)的行為。

注:包括通過積極的行為作出授權(quán)(即明示同意),或者通過消極的不作為而作出授權(quán)(如信息采集區(qū)域內(nèi)的個人信息主體在被告知信息收集行為后沒有離開該區(qū)域)。

3.8 用戶畫像 user profiling

通過收集、匯聚、分析個人信息,對某特定自然人個人特征,如職業(yè)、經(jīng)濟、健康、教育、個人喜好、信用、行為等方面作出分析或預(yù)測,形成其個人特征模型的過程。

注:直接使用特定自然人的個人信息,形成該自然人的特征模型,稱為直接用戶畫像。使用來源于特

定自然人以外的個人信息,如其所在群體的數(shù)據(jù),形成該自然人的特征模型,稱為間接用戶畫像。

3.9 個人信息安全影響評估 personal information security impact assessment

針對個人信息處理活動,檢驗其合法合規(guī)程度,判斷其對個人信息主體合法權(quán)益造

成損害的各種風(fēng)險,以及評估用于保護個人信息主體的各項措施有效性的過程。

3.10 刪除 delete

在實現(xiàn)日常業(yè)務(wù)功能所涉及的系統(tǒng)中去除個人信息的行為,使其保持不可被檢索、訪問的狀態(tài)。

3.11 公開披露 public disclosure

向社會或不特定人群發(fā)布信息的行為。

3.12 轉(zhuǎn)讓 transfer of control

將個人信息控制權(quán)由一個控制者向另一個控制者轉(zhuǎn)移的過程。

3.13 共享 sharing

個人信息控制者向其他控制者提供個人信息,且雙方分別對個人信息擁有獨立控制權(quán)的過程。

3.14 匿名化 anonymization

通過對個人信息的技術(shù)處理,使得個人信息主體無法被識別或者關(guān)聯(lián),且處理后的信息不能被復(fù)原的過程。

注:個人信息經(jīng)匿名化處理后所得的信息不屬于個人信息。

3.15 去標(biāo)識化 de-identification

通過對個人信息的技術(shù)處理,使其在不借助額外信息的情況下,無法識別或者關(guān)聯(lián)個人信息主體的過程。

注:去標(biāo)識化建立在個體基礎(chǔ)之上,保留了個體顆粒度,采用假名、加密、哈希函數(shù)等技術(shù)手段替代對個人信息的標(biāo)識。

3.16 個性化展示 personalized display

基于特定個人信息主體的網(wǎng)絡(luò)瀏覽歷史、興趣愛好、消費記錄和習(xí)慣等個人信息,向該個人信息主體展示信息內(nèi)容、提供商品或服務(wù)的搜索結(jié)果等活動。

3.17 業(yè)務(wù)功能 business function

滿足個人信息主體的具體使用需求的服務(wù)類型。

注:如地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時通訊、網(wǎng)絡(luò)社區(qū)、網(wǎng)絡(luò)支付、新聞資訊、網(wǎng)上購物、快遞配送、交通票務(wù)等。

4. 個人信息安全基本原則

個人信息控制者開展個人信息處理活動應(yīng)遵循合法、正當(dāng)、必要的原則,具體包括:

權(quán)責(zé)一致——采取技術(shù)和其他必要的措施保障個人信息的安全,對其個人信息處理活動對個人信息主體合法權(quán)益造成的損害承擔(dān)責(zé)任;

目的明確——具有明確、清晰、具體的個人信息處理目的;

選擇同意——向個人信息主體明示個人信息處理目的、方式、范圍等規(guī)則,征求其授權(quán)同意;

最小必要——只處理滿足個人信息主體授權(quán)同意的目的所需的最少個人信息類型和數(shù)量。目的達成后,應(yīng)及時刪除個人信息;

公開透明——以明確、易懂和合理的方式公開處理個人信息的范圍、目的、規(guī)則等,并接受外部監(jiān)督;

確保安全——具備與所面臨的安全風(fēng)險相匹配的安全能力,并采取足夠的管理措施和技術(shù)手段,保護個人信息的保密性、完整性、可用性;

主體參與——向個人信息主體提供能夠查詢、更正、刪除其個人信息,以及撤回授權(quán)同意、注銷賬戶、投訴等方法。

5. 個人信息的收集

5.1 收集個人信息的合法性

對個人信息控制者的要求包括:

不應(yīng)以欺詐、誘騙、誤導(dǎo)的方式收集個人信息;

不應(yīng)隱瞞產(chǎn)品或服務(wù)所具有的收集個人信息的功能;c) 不應(yīng)從非法渠道獲取個人信息。

5.2 收集個人信息的最小必要

對個人信息控制者的要求包括:

收集的個人信息的類型應(yīng)與實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián);直接關(guān)聯(lián)是指沒有上述個人信息的參與,產(chǎn)品或服務(wù)的功能無法實現(xiàn);

自動采集個人信息的頻率應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率;c) 間接獲取個人信息的數(shù)量應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量。

5.3 多項業(yè)務(wù)功能的自主選擇

當(dāng)產(chǎn)品或服務(wù)提供多項需收集個人信息的業(yè)務(wù)功能時,個人信息控制者不應(yīng)違背個人信息主體的自主意愿,強迫個人信息主體接受產(chǎn)品或服務(wù)所提供的業(yè)務(wù)功能及相應(yīng)的個人信息收集請求。對個人信息控制者的要求包括:

不應(yīng)通過捆綁產(chǎn)品或服務(wù)各項業(yè)務(wù)功能的方式,要求個人信息主體一次性接受并授權(quán)同意其未申請或使用的業(yè)務(wù)功能收集個人信息的請求;

應(yīng)把個人信息主體自主作出的肯定性動作,如主動點擊、勾選、填寫等,作為產(chǎn)品或服務(wù)的特定業(yè)務(wù)功能的開啟條件。個人信息控制者應(yīng)僅在個人信息主體開啟該業(yè)務(wù)功能后,開始收集個人信息;

關(guān)閉或退出業(yè)務(wù)功能的途徑或方式應(yīng)與個人信息主體選擇使用業(yè)務(wù)功能的途徑或方式同樣方便。個人信息主體選擇關(guān)閉或退出特定業(yè)務(wù)功能后,個人信息控制者應(yīng)停止該業(yè)務(wù)功能的個人信息收集活動;

個人信息主體不授權(quán)同意使用、關(guān)閉或退出特定業(yè)務(wù)功能的,不應(yīng)頻繁征求個人信息主體的授權(quán)同意;

個人信息主體不授權(quán)同意使用、關(guān)閉或退出特定業(yè)務(wù)功能的,不應(yīng)暫停個人信息主體自主選擇使用的其他業(yè)務(wù)功能,或降低其他業(yè)務(wù)功能的服務(wù)質(zhì)量;

不得僅以改善服務(wù)質(zhì)量、提升使用體驗、研發(fā)新產(chǎn)品、增強安全性等為由,強制要求個人信息主體同意收集個人信息。

5.4 收集個人信息時的授權(quán)同意

對個人信息控制者的要求包括:

收集個人信息,應(yīng)向個人信息主體告知收集、使用個人信息的目的、方式和范圍等規(guī)則,并獲得個人信息主體的授權(quán)同意;

注1:如產(chǎn)品或服務(wù)僅提供一項收集、使用個人信息的業(yè)務(wù)功能時,個人信息控制者可通過個人信息保護政策的形式,實現(xiàn)向個人信息主體的告知;產(chǎn)品或服務(wù)提供多項收集、使用個人信息的業(yè)務(wù)功能的,除個人信息保護政策外,個人信息控制者宜在實際開始收集特定個人信息時,向個人信息主體提供收集、使用該個人信息的目的、方式和范圍,以便個人信息主體在作出具體的授權(quán)同意前,能充分考慮對其的具體影響。

注2:符合5.3和 a)要求的實現(xiàn)方法,可參考附錄C。

收集個人敏感信息前,應(yīng)征得個人信息主體的明示同意,并應(yīng)確保個人信息主體的明示同意是其在完全知情的基礎(chǔ)上自主給出的、具體的、清晰明確的意愿表示;

收集個人生物識別信息前,應(yīng)單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍,以及存儲時間等規(guī)則,并征得個人信息主體的明示同意;

注:個人生物識別信息包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。

收集年滿14周歲未成年人的個人信息前,應(yīng)征得未成年人或其監(jiān)護人的明示同意;不滿14周歲的,應(yīng)征得其監(jiān)護人的明示同意;e) 間接獲取個人信息時:

應(yīng)要求個人信息提供方說明個人信息來源,并對其個人信息來源的合法性進行確認(rèn);

應(yīng)了解個人信息提供方已獲得的個人信息處理的授權(quán)同意范圍,包括使用目的,個人信息主體是否授權(quán)同意轉(zhuǎn)讓、共享、公開披露、刪除等;

如開展業(yè)務(wù)所需進行的個人信息處理活動超出已獲得的授權(quán)同意范圍的,應(yīng)在獲取個人信息后的合理期限內(nèi)或處理個人信息前,征得個人信息主體的明示同意,或通過個人信息提供方征得個人信息主體的明示同意。

5.5 個人信息保護政策

對個人信息控制者的要求包括:

應(yīng)制定個人信息保護政策,內(nèi)容應(yīng)包括但不限于:

個人信息控制者的基本情況,包括主體身份、聯(lián)系方式;

收集、使用個人信息的業(yè)務(wù)功能,以及各業(yè)務(wù)功能分別收集的個人信息類型。涉及個人敏感信息的,需明確標(biāo)識或突出顯示;

個人信息收集方式、存儲期限、涉及數(shù)據(jù)出境情況等個人信息處理規(guī)則;

對外共享、轉(zhuǎn)讓、公開披露個人信息的目的、涉及的個人信息類型、接收個人信息的第三方類型,以及各自的安全和法律責(zé)任;

個人信息主體的權(quán)利和實現(xiàn)機制,如查詢方法、更正方法、刪除方法、注銷賬戶的方法、撤回授權(quán)同意的方法、獲取個人信息副本的方法、對信息系統(tǒng)自動決策結(jié)果進行投訴的方法等;

提供個人信息后可能存在的安全風(fēng)險,及不提供個人信息可能產(chǎn)生的影響;

遵循的個人信息安全基本原則,具備的數(shù)據(jù)安全能力,以及采取的個人信息安全保護措施,必要時可公開數(shù)據(jù)安全和個人信息保護相關(guān)的合規(guī)證明;

處理個人信息主體詢問、投訴的渠道和機制,以及外部糾紛解決機構(gòu)及聯(lián)絡(luò)方式。

個人信息保護政策所告知的信息應(yīng)真實、準(zhǔn)確、完整;

個人信息保護政策的內(nèi)容應(yīng)清晰易懂,符合通用的語言習(xí)慣,使用標(biāo)準(zhǔn)化的數(shù)字、圖示等,避免使用有歧義的語言;

個人信息保護政策應(yīng)公開發(fā)布且易于訪問,例如,在網(wǎng)站主頁、移動互聯(lián)網(wǎng)應(yīng)用程序安裝頁、附錄C中的交互界面或設(shè)計等顯著位置設(shè)置鏈接;

個人信息保護政策應(yīng)逐一送達個人信息主體。當(dāng)成本過高或有顯著困難時,可以公告的形式發(fā)布;

在a)所載事項發(fā)生變化時,應(yīng)及時更新個人信息保護政策并重新告知個人信息主體。

注1:組織會習(xí)慣性將個人信息保護政策命名為“隱私政策”或其他名稱,其內(nèi)容宜與個人信息保護政策內(nèi)容保持一致。

注2:個人信息保護政策的內(nèi)容可參考附錄D。

注3:在個人信息主體首次打開產(chǎn)品或服務(wù)、注冊賬戶等情形時,宜通過彈窗等形式主動向其展示個人信息保護政策的主要或核心內(nèi)容,幫助個人信息主體理解該產(chǎn)品或服務(wù)的個人信息處理范圍和規(guī)則,并決定是否繼續(xù)使用該產(chǎn)品或服務(wù)。

5.6 征得授權(quán)同意的例外

以下情形中,個人信息控制者收集、使用個人信息不必征得個人信息主體的授權(quán)同意:

與個人信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的;

與國家安全、國防安全直接相關(guān)的;

與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的;

與刑事偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的;

出于維護個人信息主體或其他個人的生命、財產(chǎn)等重大合法權(quán)益但又很難得到本人授權(quán)同意的;

所涉及的個人信息是個人信息主體自行向社會公眾公開的;g) 根據(jù)個人信息主體要求簽訂和履行合同所必需的;

注:個人信息保護政策的主要功能為公開個人信息控制者收集、使用個人信息范圍和規(guī)則,不宜將其視為合同。

從合法公開披露的信息中收集個人信息的,如合法的新聞報道、政府信息公開等渠道;

維護所提供產(chǎn)品或服務(wù)的安全穩(wěn)定運行所必需的,如發(fā)現(xiàn)、處置產(chǎn)品或服務(wù)的故障;

個人信息控制者為新聞單位,且其開展合法的新聞報道所必需的;

個人信息控制者為學(xué)術(shù)研究機構(gòu),出于公共利益開展統(tǒng)計或?qū)W術(shù)研究所必要,且其對外提供學(xué)術(shù)研究或描述的結(jié)果時,對結(jié)果中所包含的個人信息進行去標(biāo)識化處理的。

6. 個人信息的存儲

6.1 個人信息存儲時間最小化

對個人信息控制者的要求包括:

個人信息存儲期限應(yīng)為實現(xiàn)個人信息主體授權(quán)使用的目的所必需的最短時間,法律法規(guī)另有規(guī)定或者個人信息主體另行授權(quán)同意的除外;

超出上述個人信息存儲期限后,應(yīng)對個人信息進行刪除或匿名化處理。

6.2 去標(biāo)識化處理

收集個人信息后,個人信息控制者宜立即進行去標(biāo)識化處理,并采取技術(shù)和管理方面的措施,將可用于恢復(fù)識別個人的信息與去標(biāo)識化后的信息分開存儲并加強訪問和使用的權(quán)限管理。

6.3 個人敏感信息的傳輸和存儲

對個人信息控制者的要求包括:a) 傳輸和存儲個人敏感信息時,應(yīng)采用加密等安全措施;

注:采用密碼技術(shù)時宜遵循密碼管理相關(guān)國家標(biāo)準(zhǔn)。

個人生物識別信息應(yīng)與個人身份信息分開存儲;

原則上不應(yīng)存儲原始個人生物識別信息(如樣本、圖像等),可采取的措施包括但不限于:

僅存儲個人生物識別信息的摘要信息;

在采集終端中直接使用個人生物識別信息實現(xiàn)身份識別、認(rèn)證等功能;

在使用面部識別特征、指紋、掌紋、虹膜等實現(xiàn)識別身份、認(rèn)證等功能后刪除可提取個人生物識別信息的原始圖像。

注1:摘要信息通常具有不可逆特點,無法回溯到原始信息。

注2:個人信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的情形除外。

6.4 個人信息控制者停止運營

當(dāng)個人信息控制者停止運營其產(chǎn)品或服務(wù)時,應(yīng):

及時停止繼續(xù)收集個人信息;

將停止運營的通知以逐一送達或公告的形式通知個人信息主體;c) 對其所持有的個人信息進行刪除或匿名化處理。

7.個人信息的使用

7.1 個人信息訪問控制措施

對個人信息控制者的要求包括:

對被授權(quán)訪問個人信息的人員,應(yīng)建立最小授權(quán)的訪問控制策略,使其只能訪問職責(zé)所需的最小必要的個人信息,且僅具備完成職責(zé)所需的最少的數(shù)據(jù)操作權(quán)限;

對個人信息的重要操作設(shè)置內(nèi)部審批流程,如進行批量修改、拷貝、下載等重要操作;

對安全管理人員、數(shù)據(jù)操作人員、審計人員的角色進行分離設(shè)置;

確因工作需要,需授權(quán)特定人員超權(quán)限處理個人信息的,應(yīng)經(jīng)個人信息保護責(zé)任人或個人信息保護工作機構(gòu)進行審批,并記錄在冊;

注:個人信息保護責(zé)任人或個人信息保護工作機構(gòu)的確定見 11.1。

對個人敏感信息的訪問、修改等操作行為,宜在對角色權(quán)限控制的基礎(chǔ)上,按照業(yè)務(wù)流程的需求觸發(fā)操作授權(quán)。例如,當(dāng)收到客戶投訴,投訴處理人員才可訪問該個人信息主體的相關(guān)信息。

7.2 個人信息的展示限制

涉及通過界面展示個人信息的(如顯示屏幕、紙面),個人信息控制者宜對需展示的個人信息采取去標(biāo)識化處理等措施,降低個人信息在展示環(huán)節(jié)的泄露風(fēng)險。例如,在個人信息展示時,防止內(nèi)部非授權(quán)人員及個人信息主體之外的其他人員未經(jīng)授權(quán)獲取個人信息。

7.3 個人信息使用的目的限制

對個人信息控制者的要求包括:

使用個人信息時,不應(yīng)超出與收集個人信息時所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍。因業(yè)務(wù)需要,確需超出上述范圍使用個人信息的,應(yīng)再次征得個人信息主體明示同意;

注:將所收集的個人信息用于學(xué)術(shù)研究或得出對自然、科學(xué)、社會、經(jīng)濟等現(xiàn)象總體狀態(tài)的描述,屬于與收集目的具有合理關(guān)聯(lián)的范圍之內(nèi)。但對外提供學(xué)術(shù)研究或描述的結(jié)果時,需對結(jié)果中所包含的個人信息進行去標(biāo)識化處理。

如所收集的個人信息進行加工處理而產(chǎn)生的信息,能夠單獨或與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的,應(yīng)將其認(rèn)定為個人信息。對其處理應(yīng)遵循收集個人信息時獲得的授權(quán)同意范圍。

注:加工處理而產(chǎn)生的個人信息屬于個人敏感信息的,對其處理需符合對個人敏感信息的要求。

7.4 用戶畫像的使用限制

對個人信息控制者的要求包括:

用戶畫像中對個人信息主體的特征描述,不應(yīng):

包含淫穢、色情、賭博、迷信、恐怖、暴力的內(nèi)容;

表達對民族、種族、宗教、殘疾、疾病歧視的內(nèi)容。

在業(yè)務(wù)運營或?qū)ν鈽I(yè)務(wù)合作中使用用戶畫像的,不應(yīng):

侵害公民、法人和其他組織的合法權(quán)益;

危害國家安全、榮譽和利益,煽動顛覆國家政權(quán)、推翻社會主義制度,煽動分裂國家、破壞國家統(tǒng)一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經(jīng)濟秩序和社會秩序。

除為實現(xiàn)個人信息主體授權(quán)同意的使用目的所必需外,使用個人信息時應(yīng)消除明確身份指向性,避免精確定位到特定個人。例如,為準(zhǔn)確評價個人信用狀況,可使用直接用戶畫像,而用于推送商業(yè)廣告目的時,則宜使用間接用戶畫像。

7.5 個性化展示的使用

對個人信息控制者的要求包括:

在向個人信息主體提供業(yè)務(wù)功能的過程中使用個性化展示的,應(yīng)顯著區(qū)分個性化展示的內(nèi)容和非個性化展示的內(nèi)容;

注:顯著區(qū)分的方式包括但不限于:標(biāo)明“定推”等字樣,或通過不同的欄目、版塊、頁面分別展示等。

在向個人信息主體提供電子商務(wù)服務(wù)的過程中,根據(jù)消費者的興趣愛好、消費習(xí)慣等特征向其提供商品或者服務(wù)搜索結(jié)果的個性化展示的,應(yīng)當(dāng)同時向該消費者提供不針對其個人特征的選項;

注:基于個人信息主體所選擇的特定地理位置進行展示、搜索結(jié)果排序,且不因個人信息主體身份不同展示不一樣的內(nèi)容和搜索結(jié)果排序,則屬于不針對其個人特征的選項。

在向個人信息主體推送新聞信息服務(wù)的過程中使用個性化展示的,應(yīng):

為個人信息主體提供簡單直觀的退出或關(guān)閉個性化展示模式的選項;

當(dāng)個人信息主體選擇退出或關(guān)閉個性化展示模式時,向個人信息主體提供刪除或匿名化定向推送活動所基于的個人信息的選項。

在向個人信息主體提供業(yè)務(wù)功能的過程中使用個性化展示的,宜建立個人信息主體對個性化展示所依賴的個人信息(如標(biāo)簽、畫像維度等)的自主控制機制,保障個人信息主體調(diào)控個性化展示相關(guān)性程度的能力。

7.6 基于不同業(yè)務(wù)目的所收集個人信息的匯聚融合

對個人信息控制者的要求包括:

應(yīng)遵守7.3的要求;

應(yīng)根據(jù)匯聚融合后個人信息所用于的目的,開展個人信息安全影響評估,采取有效的個人信息保護措施。

7.7 信息系統(tǒng)自動決策機制的使用

個人信息控制者業(yè)務(wù)運營所使用的信息系統(tǒng),具備自動決策機制且能對個人信息主體權(quán)益造成顯著影響的(例如,自動決定個人征信及貸款額度,或用于面試人員的自動化篩選等),應(yīng):

在規(guī)劃設(shè)計階段或首次使用前開展個人信息安全影響評估,并依評估結(jié)果采取有效的保護個人信息主體的措施;b) 在使用過程中定期(至少每年一次)開展個人信息安全影響評估,并依評估結(jié)果改進保護個人信息主體的措施;

向個人信息主體提供針對自動決策結(jié)果的投訴渠道,并支持對自動決策結(jié)果的人工復(fù)核。

8.個人信息主體的權(quán)利

8.1 個人信息查詢

個人信息控制者應(yīng)向個人信息主體提供查詢下列信息的方法:

其所持有的關(guān)于該主體的個人信息或個人信息的類型;

上述個人信息的來源、所用于的目的;

已經(jīng)獲得上述個人信息的第三方身份或類型。

注:個人信息主體提出查詢非其主動提供的個人信息時,個人信息控制者可在綜合考慮不響應(yīng)請求可能對個人信息主體合法權(quán)益帶來的風(fēng)險和損害,以及技術(shù)可行性、實現(xiàn)請求的成本等因素后,作出是否響應(yīng)的決定,并給出解釋說明。

8.2 個人信息更正

個人信息主體發(fā)現(xiàn)個人信息控制者所持有的該主體的個人信息有錯誤或不完整的,個人信息控制者應(yīng)為其提供請求更正或補充信息的方法。

8.3 個人信息刪除

對個人信息控制者的要求包括:

符合以下情形,個人信息主體要求刪除的,應(yīng)及時刪除個人信息:

個人信息控制者違反法律法規(guī)規(guī)定,收集、使用個人信息的;

個人信息控制者違反與個人信息主體的約定,收集、使用個人信息的。

個人信息控制者違反法律法規(guī)規(guī)定或違反與個人信息主體的約定向第三方共享、轉(zhuǎn)讓個人信息,且個人信息主體要求刪除的,個人信息控制者應(yīng)立即停止共享、轉(zhuǎn)讓的行為,并通知第三方及時刪除;

個人信息控制者違反法律法規(guī)規(guī)定或違反與個人信息主體的約定,公開披露個人信息,且個人信息主體要求刪除的,個人信息控制者應(yīng)立即停止公開披露的行為,并發(fā)布通知要求相關(guān)接收方刪除相應(yīng)的信息。

8.4 個人信息主體撤回授權(quán)同意

對個人信息控制者的要求包括:

應(yīng)向個人信息主體提供撤回收集、使用其個人信息的授權(quán)同意的方法。撤回授權(quán)同意后,個人信息控制者后續(xù)不應(yīng)再處理相應(yīng)的個人信息;

應(yīng)保障個人信息主體拒絕接收基于其個人信息推送商業(yè)廣告的權(quán)利。對外共享、轉(zhuǎn)讓、公開披露個人信息,應(yīng)向個人信息主體提供撤回授權(quán)同意的方法。

注:撤回授權(quán)同意不影響撤回前基于授權(quán)同意的個人信息處理。

8.5 個人信息主體注銷賬戶

對個人信息控制者的要求包括:

通過注冊賬戶提供產(chǎn)品或服務(wù)的個人信息控制者,應(yīng)向個人信息主體提供注銷賬戶的方法,且方法簡便易操作;

受理注銷賬戶請求后,需要人工處理的,應(yīng)在承諾時限內(nèi)(不超過15個工作日)完成核查和處理;

注銷過程如需進行身份核驗,要求個人信息主體再次提供的個人信息類型不應(yīng)多于注冊、使用等服務(wù)環(huán)節(jié)收集的個人信息類型;

注銷過程不應(yīng)設(shè)置不合理的條件或提出額外要求增加個人信息主體義務(wù),如注銷單個賬戶視同注銷多個產(chǎn)品或服務(wù),要求個人信息主體填寫精確的歷史操作記錄作為注銷的必要條件等;

注1:多個產(chǎn)品或服務(wù)之間存在必要業(yè)務(wù)關(guān)聯(lián)關(guān)系的,例如,一旦注銷某個產(chǎn)品或服務(wù)的賬戶,將會導(dǎo)致其他產(chǎn)品或服務(wù)的必要業(yè)務(wù)功能無法實現(xiàn)或者服務(wù)質(zhì)量明顯下降的,需向個人信息主體進行詳細說明。

注2:產(chǎn)品或服務(wù)沒有獨立的賬戶體系的,可采取對該產(chǎn)品或服務(wù)賬號以外其他個人信息進行刪除,并切斷賬戶體系與產(chǎn)品或服務(wù)的關(guān)聯(lián)等措施實現(xiàn)注銷。

注銷賬戶的過程需收集個人敏感信息核驗身份時,應(yīng)明確對收集個人敏感信息后的處理措施,如達成目的后立即刪除或匿名化處理等;

個人信息主體注銷賬戶后,應(yīng)及時刪除其個人信息或匿名化處理。因法律規(guī)規(guī)定需要留存?zhèn)€人信息的,不能再次將其用于日常業(yè)務(wù)活動中。

8.6 個人信息主體獲取個人信息副本

根據(jù)個人信息主體的請求,個人信息控制者宜為個人信息主體提供獲取以下類型個人信息副本的方法,或在技術(shù)可行的前提下直接將以下類型個人信息的副本傳輸給個人信息主體指定的第三方:

本人的基本資料、身份信息;

本人的健康生理信息、教育工作信息。

8.7 響應(yīng)個人信息主體的請求

對個人信息控制者的要求包括:

在驗證個人信息主體身份后,應(yīng)及時響應(yīng)個人信息主體基于8.1~8.6提出的請求,應(yīng)在三十天內(nèi)或法律法規(guī)規(guī)定的期限內(nèi)作出答復(fù)及合理解釋,并告知個人信息主體外部糾紛解決途徑;

采用交互式頁面(如網(wǎng)站、移動互聯(lián)網(wǎng)應(yīng)用程序、客戶端軟件等)提供產(chǎn)品或服務(wù)的,宜直接設(shè)置便捷的交互式頁面提供功能或選項,便于個人信息主體在線行使其訪問、更正、刪除、撤回授權(quán)同意、注銷賬戶等權(quán)利;

對合理的請求原則上不收取費用,但對一定時期內(nèi)多次重復(fù)的請求,可視情收取一定成本費用;

直接實現(xiàn)個人信息主體的請求需要付出高額成本或存在其他顯著困難的,個人信息控制者應(yīng)向個人信息主體提供替代方法,以保障個人信息主體的合法權(quán)益;

以下情行可不響應(yīng)個人信息主體基于8.1~8.6提出的請求,包括:

與個人信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的;

與國家安全、國防安全直接相關(guān)的;

與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的;

與刑事偵查、起訴、審判和執(zhí)行判決等直接相關(guān)的;

個人信息控制者有充分證據(jù)表明個人信息主體存在主觀惡意或濫用權(quán)利的;

出于維護個人信息主體或其他個人的生命、財產(chǎn)等重大合法權(quán)益但又很難得到本人授權(quán)同意的;

響應(yīng)個人信息主體的請求將導(dǎo)致個人信息主體或其他個人、組織的合法權(quán)益受到嚴(yán)重?fù)p害的;

涉及商業(yè)秘密的。

如決定不響應(yīng)個人信息主體的請求,應(yīng)向個人信息主體告知該決定的理由,并向個人信息主體提供投訴的途徑。

8.8 投訴管理

個人信息控制者應(yīng)建立投訴管理機制和投訴跟蹤流程,并在合理的時間內(nèi)對投訴進行響應(yīng)。

9.個人信息的委托處理、共享、轉(zhuǎn)讓、公開披露

9.1 委托處理

個人信息控制者委托第三方處理個人信息時,應(yīng)符合以下要求:

個人信息控制者作出委托行為,不應(yīng)超出已征得個人信息主體授權(quán)同意的范圍或應(yīng)遵守5.6所列情形;

個人信息控制者應(yīng)對委托行為進行個人信息安全影響評估,確保受委托者達到

11.5的數(shù)據(jù)安全能力要求;c) 受委托者應(yīng):

嚴(yán)格按照個人信息控制者的要求處理個人信息。受委托者因特殊原因未按照個人信息控制者的要求處理個人信息的,應(yīng)及時向個人信息控制者反饋;

受委托者確需再次委托時,應(yīng)事先征得個人信息控制者的授權(quán);

協(xié)助個人信息控制者響應(yīng)個人信息主體基于8.1~8.6提出的請求;

受委托者在處理個人信息過程中無法提供足夠的安全保護水平或發(fā)生了安全事件的,應(yīng)及時向個人信息控制者反饋;

在委托關(guān)系解除時不再存儲相關(guān)個人信息。

個人信息控制者應(yīng)對受委托者進行監(jiān)督,方式包括但不限于:

通過合同等方式規(guī)定受委托者的責(zé)任和義務(wù);

對受委托者進行審計。

個人信息控制者應(yīng)準(zhǔn)確記錄和存儲委托處理個人信息的情況;

個人信息控制者得知或者發(fā)現(xiàn)受委托者未按照委托要求處理個人信息,或未能有效履行個人信息安全保護責(zé)任的,應(yīng)立即要求受托者停止相關(guān)行為,且采取或要求受委托者采取有效補救措施(如更改口令、回收權(quán)限、斷開網(wǎng)絡(luò)連接等)控制或消除個人信息面臨的安全風(fēng)險。必要時個人信息控制者應(yīng)終止與受委托

者的業(yè)務(wù)關(guān)系,并要求受委托者及時刪除從個人信息控制者獲得的個人信息。

9.2 個人信息共享、轉(zhuǎn)讓

個人信息控制者共享、轉(zhuǎn)讓個人信息時,應(yīng)充分重視風(fēng)險。共享、轉(zhuǎn)讓個人信息,非因收購、兼并、重組、破產(chǎn)原因的,應(yīng)符合以下要求:

事先開展個人信息安全影響評估,并依評估結(jié)果采取有效的保護個人信息主體的措施;

向個人信息主體告知共享、轉(zhuǎn)讓個人信息的目的、數(shù)據(jù)接收方的類型以及可能產(chǎn)生的后果,并事先征得個人信息主體的授權(quán)同意。共享、轉(zhuǎn)讓經(jīng)去標(biāo)識化處理的個人信息,且確保數(shù)據(jù)接收方無法重新識別或者關(guān)聯(lián)個人信息主體的除外;

共享、轉(zhuǎn)讓個人敏感信息前,除 b)中告知的內(nèi)容外,還應(yīng)向個人信息主體告知涉及的個人敏感信息類型、數(shù)據(jù)接收方的身份和數(shù)據(jù)安全能力,并事先征得個人信息主體的明示同意;

通過合同等方式規(guī)定數(shù)據(jù)接收方的責(zé)任和義務(wù);

準(zhǔn)確記錄和存儲個人信息的共享、轉(zhuǎn)讓情況,包括共享、轉(zhuǎn)讓的日期、規(guī)模、目的,以及數(shù)據(jù)接收方基本情況等;

個人信息控制者發(fā)現(xiàn)數(shù)據(jù)接收方違反法律法規(guī)要求或雙方約定處理個人信息的,應(yīng)立即要求數(shù)據(jù)接收方停止相關(guān)行為,且采取或要求數(shù)據(jù)接收方采取有效補救措施(如更改口令、回收權(quán)限、斷開網(wǎng)絡(luò)連接等)控制或消除個人信息面臨的安全風(fēng)險;必要時個人信息控制者應(yīng)解除與數(shù)據(jù)接收方的業(yè)務(wù)關(guān)系,并要求數(shù)據(jù)接收方及時刪除從個人信息控制者獲得的個人信息;

因共享、轉(zhuǎn)讓個人信息發(fā)生安全事件而對個人信息主體合法權(quán)益造成損害的,個人信息控制者應(yīng)承擔(dān)相應(yīng)的責(zé)任;

幫助個人信息主體了解數(shù)據(jù)接收方對個人信息的存儲、使用等情況,以及個人信息主體的權(quán)利,例如,訪問、更正、刪除、注銷賬戶等;

個人生物識別信息原則上不應(yīng)共享、轉(zhuǎn)讓。因業(yè)務(wù)需要,確需共享、轉(zhuǎn)讓的,應(yīng)單獨向個人信息主體告知目的、涉及的個人生物識別信息類型、數(shù)據(jù)接收方的具體身份和數(shù)據(jù)安全能力等,并征得個人信息主體的明示同意。

9.3 收購、兼并、重組、破產(chǎn)時的個人信息轉(zhuǎn)讓

當(dāng)個人信息控制者發(fā)生收購、兼并、重組、破產(chǎn)等變更時,對個人信息控制者的要求包括:

向個人信息主體告知有關(guān)情況;

變更后的個人信息控制者應(yīng)繼續(xù)履行原個人信息控制者的責(zé)任和義務(wù),如變更個人信息使用目的時,應(yīng)重新取得個人信息主體的明示同意;c) 如破產(chǎn)且無承接方的,對數(shù)據(jù)做刪除處理。

9.4 個人信息公開披露

個人信息原則上不應(yīng)公開披露。個人信息控制者經(jīng)法律授權(quán)或具備合理事由確需公開披露時,應(yīng)符合以下要求:

事先開展個人信息安全影響評估,并依評估結(jié)果采取有效的保護個人信息主體的措施;

向個人信息主體告知公開披露個人信息的目的、類型,并事先征得個人信息主體明示同意;

公開披露個人敏感信息前,除 b)中告知的內(nèi)容外,還應(yīng)向個人信息主體告知涉及的個人敏感信息的內(nèi)容;

準(zhǔn)確記錄和存儲個人信息的公開披露的情況,包括公開披露的日期、規(guī)模、目的、公開范圍等;

承擔(dān)因公開披露個人信息對個人信息主體合法權(quán)益造成損害的相應(yīng)責(zé)任;

不應(yīng)公開披露個人生物識別信息;

不應(yīng)公開披露我國公民的種族、民族、政治觀點、宗教信仰等個人敏感數(shù)據(jù)的分析結(jié)果。

9.5 共享、轉(zhuǎn)讓、公開披露個人信息時事先征得授權(quán)同意的例外

以下情形中,個人信息控制者共享、轉(zhuǎn)讓、公開披露個人信息不必事先征得個人信息主體的授權(quán)同意:

與個人信息控制者履行法律法規(guī)規(guī)定的義務(wù)相關(guān)的;

與國家安全、國防安全直接相關(guān)的;

與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的;

與刑事偵查、起訴、審判和判決執(zhí)行等直接相關(guān)的;

出于維護個人信息主體或其他個人的生命、財產(chǎn)等重大合法權(quán)益但又很難得到本人授權(quán)同意的;

個人信息主體自行向社會公眾公開的個人信息;

從合法公開披露的信息中收集個人信息的,如合法的新聞報道、政府信息公開等渠道。

9.6 共同個人信息控制者

對個人信息控制者的要求包括:

當(dāng)個人信息控制者與第三方為共同個人信息控制者時,個人信息控制者應(yīng)通過合同等形式與第三方共同確定應(yīng)滿足的個人信息安全要求,以及在個人信息安全方面自身和第三方應(yīng)分別承擔(dān)的責(zé)任和義務(wù),并向個人信息主體明確告知;b)如未向個人信息主體明確告知第三方身份,以及在個人信息安全方面自身和第三方應(yīng)分別承擔(dān)的責(zé)任和義務(wù),個人信息控制者應(yīng)承擔(dān)因第三方引起的個人信息安全責(zé)任。

注:如個人信息控制者在提供產(chǎn)品或服務(wù)的過程中部署了收集個人信息的第三方插件(例如,網(wǎng)站經(jīng)營者與在其網(wǎng)頁或應(yīng)用程序中部署統(tǒng)計分析工具、軟件開發(fā)工具包SDK、調(diào)用地圖API接口),且該第三方并未單獨向個人信息主體征得收集個人信息的授權(quán)同意,則個人信息控制者與該第三方在個人信息收集階段為共同個人信息控制者。

9.7 第三方接入管理

當(dāng)個人信息控制者在其產(chǎn)品或服務(wù)中接入具備收集個人信息功能的第三方產(chǎn)品或服務(wù)且不適用9.1和9.6時,對個人信息控制者的要求包括:

建立第三方產(chǎn)品或服務(wù)接入管理機制和工作流程,必要時應(yīng)建立安全評估等機制設(shè)置接入條件;

應(yīng)與第三方產(chǎn)品或服務(wù)提供者通過合同等形式明確雙方的安全責(zé)任及應(yīng)實施的個人信息安全措施;

應(yīng)向個人信息主體明確標(biāo)識產(chǎn)品或服務(wù)由第三方提供;

應(yīng)妥善留存平臺第三方接入有關(guān)合同和管理記錄,確??晒┫嚓P(guān)方查閱;

應(yīng)要求第三方根據(jù)本標(biāo)準(zhǔn)相關(guān)要求向個人信息主體征得收集個人信息的授權(quán)同意,必要時核驗其實現(xiàn)的方式;

應(yīng)要求第三方產(chǎn)品或服務(wù)建立響應(yīng)個人信息主體請求和投訴等的機制,以供個人信息主體查詢、使用;

應(yīng)監(jiān)督第三方產(chǎn)品或服務(wù)提供者加強個人信息安全管理,發(fā)現(xiàn)第三方產(chǎn)品或服務(wù)沒有落實安全管理要求和責(zé)任的,應(yīng)及時督促整改,必要時停止接入;

產(chǎn)品或服務(wù)嵌入或接入第三方自動化工具(如代碼、腳本、接口、算法模型、軟件開發(fā)工具包、小程序等)的,宜采取以下措施:

開展技術(shù)檢測確保其個人信息收集、使用行為符合約定要求;

對第三方嵌入或接入的自動化工具收集個人信息的行為進行審計,發(fā)現(xiàn)超出約定的行為,及時切斷接入。

9.8 個人信息跨境傳輸

在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息向境外提供的,個人信息控制者應(yīng)遵循國家相關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)的要求。

10.個人信息安全事件處置

10.1 個人信息安全事件應(yīng)急處置和報告

對個人信息控制者的要求包括:

應(yīng)制定個人信息安全事件應(yīng)急預(yù)案;

應(yīng)定期(至少每年一次)組織內(nèi)部相關(guān)人員進行應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練,使其掌握崗位職責(zé)和應(yīng)急處置策略和規(guī)程;

發(fā)生個人信息安全事件后,個人信息控制者應(yīng)根據(jù)應(yīng)急響應(yīng)預(yù)案進行以下處置:

記錄事件內(nèi)容,包括但不限于:發(fā)現(xiàn)事件的人員、時間、地點,涉及的個人信息及人數(shù),發(fā)生事件的系統(tǒng)名稱,對其他互聯(lián)系統(tǒng)的影響,是否已聯(lián)系執(zhí)法機關(guān)或有關(guān)部門;

評估事件可能造成的影響,并采取必要措施控制事態(tài),消除隱患;

按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等有關(guān)規(guī)定及時上報,報告內(nèi)容包括但不限于:涉及個人信息主體的類型、數(shù)量、內(nèi)容、性質(zhì)等總體情況,事件可能造成的影響,已采取或?qū)⒁扇〉奶幹么胧?,事件處置相關(guān)人員的聯(lián)系方式;

個人信息泄露事件可能會給個人信息主體的合法權(quán)益造成嚴(yán)重危害的,如個人敏感信息的泄露,按照10.2的要求實施安全事件的告知。

根據(jù)相關(guān)法律法規(guī)變化情況,以及事件處置情況,及時更新應(yīng)急預(yù)案。

10.2 安全事件告知

對個人信息控制者的要求包括:

應(yīng)及時將事件相關(guān)情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。難以逐一告知個人信息主體時,應(yīng)采取合理、有效的方式發(fā)布與公眾有關(guān)的警示信息;

告知內(nèi)容應(yīng)包括但不限于:

安全事件的內(nèi)容和影響;

已采取或?qū)⒁扇〉奶幹么胧?/p>

個人信息主體自主防范和降低風(fēng)險的建議;

針對個人信息主體提供的補救措施;

個人信息保護負(fù)責(zé)人和個人信息保護工作機構(gòu)的聯(lián)系方式。

11.組織的個人信息安全管理要求

11.1 明確責(zé)任部門與人員

對個人信息控制者的要求包括:

應(yīng)明確其法定代表人或主要負(fù)責(zé)人對個人信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任,包括為個人信息安全工作提供人力、財力、物力保障等;

應(yīng)任命個人信息保護負(fù)責(zé)人和個人信息保護工作機構(gòu),個人信息保護負(fù)責(zé)人應(yīng)由具有相關(guān)管理工作經(jīng)歷和個人信息保護專業(yè)知識的人員擔(dān)任,參與有關(guān)個人信息處理活動的重要決策直接向組織主要負(fù)責(zé)人報告工作;

滿足以下條件之一的組織,應(yīng)設(shè)立專職的個人信息保護負(fù)責(zé)人和個人信息保護工作機構(gòu),負(fù)責(zé)個人信息安全工作:

主要業(yè)務(wù)涉及個人信息處理,且從業(yè)人員規(guī)模大于200人;

處理超過100萬人的個人信息,或預(yù)計在12個月內(nèi)處理超過100萬人的個人信息;

處理超過10萬人的個人敏感信息的。

個人信息保護負(fù)責(zé)人和個人信息保護工作機構(gòu)的職責(zé)應(yīng)包括但不限于:

全面統(tǒng)籌實施組織內(nèi)部的個人信息安全工作,對個人信息安全負(fù)直接責(zé)任;

組織制定個人信息保護工作計劃并督促落實;

制定、簽發(fā)、實施、定期更新個人信息保護政策和相關(guān)規(guī)程;

建立、維護和更新組織所持有的個人信息清單(包括個人信息的類型、數(shù)量、來源、接收方等)和授權(quán)訪問策略;

開展個人信息安全影響評估,提出個人信息保護的對策建議,督促整改安全隱患;

組織開展個人信息安全培訓(xùn);

在產(chǎn)品或服務(wù)上線發(fā)布前進行檢測,避免未知的個人信息收集、使用、共享等處理行為;

公布投訴、舉報方式等信息并及時受理投訴舉報;

進行安全審計;

與監(jiān)督、管理部門保持溝通,通報或報告?zhèn)€人信息保護和事件處置等情況。

應(yīng)為個人信息保護負(fù)責(zé)人和個人信息保護工作機構(gòu)提供必要的資源,保障其獨立履行職責(zé)。

11.2 個人信息安全工程

開發(fā)具有處理個人信息功能的產(chǎn)品或服務(wù)時,個人信息控制者宜根據(jù)國家有關(guān)標(biāo)準(zhǔn)在需求、設(shè)計、開發(fā)、測試、發(fā)布等系統(tǒng)工程階段考慮個人信息保護要求,保證在系統(tǒng)建設(shè)時對個人信息保護措施同步規(guī)劃、同步建設(shè)和同步使用。

11.3 個人信息處理活動記錄

個人信息控制者宜建立、維護和更新所收集、使用的個人信息處理活動記錄,記錄的內(nèi)容可包括:

所涉及個人信息的類型、數(shù)量、來源(如從個人信息主體直接收集或通過間接獲取方式獲得);

根據(jù)業(yè)務(wù)功能和授權(quán)情況區(qū)分個人信息的處理目的、使用場景,以及委托處理、共享、轉(zhuǎn)讓、公開披露、是否涉及出境等情況;

與個人信息處理活動各環(huán)節(jié)相關(guān)的信息系統(tǒng)、組織或人員。

11.4 開展個人信息安全影響評估

對個人信息控制者的要求包括:

應(yīng)建立個人信息安全影響評估制度,評估并處置個人信息處理活動存在的安全風(fēng)險;

個人信息安全影響評估應(yīng)主要評估處理活動遵循個人信息安全基本原則的情況,以及個人信息處理活動對個人信息主體合法權(quán)益的影響,內(nèi)容包括但不限于:

個人信息收集環(huán)節(jié)是否遵循目的明確、選擇同意、最小必要等原則;

個人信息處理是否可能對個人信息主體合法權(quán)益造成不利影響,包括是否

會危害人身和財產(chǎn)安全、損害個人名譽和身心健康、導(dǎo)致差別性待遇等;

個人信息安全措施的有效性;

匿名化或去標(biāo)識化處理后的數(shù)據(jù)集重新識別出個人信息主體或與其他數(shù)據(jù)集匯聚后重新識別出個人信息主體的風(fēng)險;

共享、轉(zhuǎn)讓、公開披露個人信息對個人信息主體合法權(quán)益可能產(chǎn)生的不利影響;

發(fā)生安全事件時,對個人信息主體合法權(quán)益可能產(chǎn)生的不利影響。

在產(chǎn)品或服務(wù)發(fā)布前,或業(yè)務(wù)功能發(fā)生重大變化時,應(yīng)進行個人信息安全影響評估;

在法律法規(guī)有新的要求時,或在業(yè)務(wù)模式、信息系統(tǒng)、運行環(huán)境發(fā)生重大變更時,或發(fā)生重大個人信息安全事件時,應(yīng)進行個人信息安全影響評估;

形成個人信息安全影響評估報告,并以此采取保護個人信息主體的措施,使風(fēng)險降低到可接受的水平;

妥善留存?zhèn)€人信息安全影響評估報告,確??晒┫嚓P(guān)方查閱,并以適宜的形式對外公開。

11.5 數(shù)據(jù)安全能力

個人信息控制者應(yīng)根據(jù)有關(guān)國家標(biāo)準(zhǔn)的要求,建立適當(dāng)?shù)臄?shù)據(jù)安全能力,落實必要的管理和技術(shù)措施,防止個人信息的泄漏、損毀、丟失、篡改。

11.6 人員管理與培訓(xùn)

對個人信息控制者的要求包括:

應(yīng)與從事個人信息處理崗位上的相關(guān)人員簽署保密協(xié)議,對大量接觸個人敏感信息的人員進行背景審查,以了解其犯罪記錄、誠信狀況等;

應(yīng)明確內(nèi)部涉及個人信息處理不同崗位的安全職責(zé),建立發(fā)生安全事件的處罰機制;

應(yīng)要求個人信息處理崗位上的相關(guān)人員在調(diào)離崗位或終止勞動合同時,繼續(xù)履行保密義務(wù);

應(yīng)明確可能訪問個人信息的外部服務(wù)人員應(yīng)遵守的個人信息安全要求,與其簽署保密協(xié)議,并進行監(jiān)督;

應(yīng)建立相應(yīng)的內(nèi)部制度和政策對員工提出個人信息保護的指引和要求;

應(yīng)定期(至少每年一次)或在個人信息保護政策發(fā)生重大變化時,對個人信息處理崗位上的相關(guān)人員開展個人信息安全專業(yè)化培訓(xùn)和考核,確保相關(guān)人員熟練掌握個人信息保護政策和相關(guān)規(guī)程。

11.7 安全審計

對個人信息控制者的要求包括:

應(yīng)對個人信息保護政策、相關(guān)規(guī)程和安全措施的有效性進行審計;

應(yīng)建立自動化審計系統(tǒng),監(jiān)測記錄個人信息處理活動;

審計過程形成的記錄應(yīng)能對安全事件的處置、應(yīng)急響應(yīng)和事后調(diào)查提供支撐;

應(yīng)防止非授權(quán)訪問、篡改或刪除審計記錄;

應(yīng)及時處理審計過程中發(fā)現(xiàn)的個人信息違規(guī)使用、濫用等情況;

審計記錄和留存時間應(yīng)符合法律法規(guī)的要求。

來源:網(wǎng)絡(luò)