《個(gè)人信息安全規(guī)范》下的網(wǎng)絡(luò)平臺(tái)合規(guī)建議
現(xiàn)在相關(guān)部門不僅加大數(shù)據(jù)的安全監(jiān)管����,對(duì)各類信息安全法規(guī)也在不斷完善����?!吨腥A人民共和國(guó)數(shù)據(jù)安全法》已正式于2021年9月1日頒布執(zhí)行����。而《個(gè)人信息保護(hù)法》也將于2021年11月1日起施行����。針對(duì)網(wǎng)絡(luò)平臺(tái)在個(gè)人信息安全規(guī)范合規(guī)的建議
1、合規(guī)建議 -------- 數(shù)據(jù)字典
差距分析網(wǎng)絡(luò)平臺(tái)在向第三方進(jìn)行共享轉(zhuǎn)讓����、提供數(shù)據(jù)接口的過程中,同樣需注意是否有部分?jǐn)?shù)據(jù)因其與個(gè)人的“關(guān)聯(lián)性”而落入廣義“個(gè)人信息”的范疇
2���、合規(guī)建議-------- 個(gè)人信息保護(hù)全流程
個(gè)人信息的處理包括個(gè)人信息的收集����、存儲(chǔ)�、使用、加工��、傳輸�、提供、公開�、刪除等�����。
3���、合規(guī)建議-------- 個(gè)人信息保護(hù)全流程
①禁止大數(shù)據(jù)殺熟。自動(dòng)化決策應(yīng)保證決策的透明度和結(jié)果公平��、公正�����,不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇�����。(第二十四條第一款)
②提供其他選項(xiàng)或拒絕方式�����。通過自動(dòng)化決策方式進(jìn)行信息推送�����、商業(yè)營(yíng)銷��,應(yīng)當(dāng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng),或者向個(gè)人提供便捷的拒絕方式����。
4、合規(guī)建議-------- 落實(shí)同意機(jī)制
①單獨(dú)同意機(jī)制:處理者向他人提供其處理的個(gè)人信息����、公開其處理的個(gè)人信息以及處理生物識(shí)別�����、醫(yī)療健康���、金融賬戶��、行蹤軌跡等敏感個(gè)人信息的��,應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意���。(嚴(yán)格保護(hù)、特別告知)
②重新同意機(jī)制:個(gè)人信息的處理目的��、處理方式和處理的個(gè)人信息種類發(fā)生變更的�,應(yīng)當(dāng)重新取得個(gè)人同意���。當(dāng)處理者因合并、分立�����、解散����、被宣告破產(chǎn)等原因而轉(zhuǎn)移個(gè)人信息,或向他人提供其處理的個(gè)人信息時(shí)前述事項(xiàng)發(fā)生變更的���,也應(yīng)重新取得個(gè)人同意�����。
③撤回同意機(jī)制:基于個(gè)人同意而進(jìn)行的個(gè)人信息處理活動(dòng)��,個(gè)人有權(quán)撤回其同意�����。
④個(gè)人信息處理者不得以個(gè)人不同意處理其個(gè)人信息或者撤回其對(duì)個(gè)人信息處理的同意為由�����,拒絕提供產(chǎn)品或者服務(wù)���,但“處理個(gè)人信息屬于提供產(chǎn)品或者服務(wù)所必需的“除外���。
5、合規(guī)建議-------- 收集階段
明示同意+肯定性動(dòng)作
(1)在法律法規(guī)有強(qiáng)制要求的情況(如14歲以下)一定要采用“明示同意”��;
(2)個(gè)人信息的采集和使用超出了用戶的合理預(yù)期��,建議也采用明示同意���;
(3)合理限定收集范圍,即收集內(nèi)容應(yīng)與產(chǎn)品或服務(wù)具有直接關(guān)聯(lián)����,且采集頻率、獲取數(shù)量控制在合理程度�。
知情權(quán),決定權(quán)�����,要求解釋說明權(quán)
6��、合規(guī)建議-------- 獲取
查閱、復(fù)制權(quán)
承繼行使權(quán)
可攜帶權(quán)(可轉(zhuǎn)移權(quán))
個(gè)人請(qǐng)求將個(gè)人信息轉(zhuǎn)移至其指定的個(gè)人信息處理者�,符合國(guó)家網(wǎng)信部門規(guī)定條件的,個(gè)人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑����。
7、合規(guī)建議-------- 保存階段
匿名化和去標(biāo)識(shí)化后的信息不僅不能識(shí)別出信息主體�,還不能關(guān)聯(lián)到信息主體,且不能復(fù)原�����。
匿名化的信息即不屬于個(gè)人信息
(1)在傳輸和存儲(chǔ)公民個(gè)人信息尤其是敏感信息時(shí)��,應(yīng)采用較為嚴(yán)格的加密措施���,并設(shè)置一定的訪問權(quán)限����;
(2)做好個(gè)人信息庫(kù)的維護(hù)工作����,對(duì)于有誤信息及時(shí)更正,對(duì)于用戶收回授權(quán)的信息及時(shí)刪除。
8�����、合規(guī)建議-------- 維護(hù)階段
要求更正����、補(bǔ)充權(quán)
對(duì)特定信息的刪除權(quán)
9、合規(guī)建議-------- 信息處理
①共同處理 兩個(gè)以上的個(gè)人信息處理者共同決定個(gè)人信息的處理目的和處理方式的�,應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)。個(gè)人信息處理者共同處理個(gè)人信息���,侵害個(gè)人信息權(quán)益造成損害的���,應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任���。(第二十條)
②委托處理個(gè)人信息 個(gè)人信息處理者委托處理個(gè)人信息的�����,應(yīng)當(dāng)與受托人約定委托處理的目的�����、期限���、雙方的權(quán)利和義務(wù)等內(nèi)容���,并對(duì)受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督。受托人應(yīng)當(dāng)按照約定處理個(gè)人信息����,并且未經(jīng)同意不得轉(zhuǎn)委托。(第二十一條)
③共享個(gè)人信息 個(gè)人信息處理者向其他個(gè)人信息處理者提供個(gè)人信息的���,應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名���、聯(lián)系方式、處理目的�、處理方式和個(gè)人信息的種類,并取得個(gè)人的單獨(dú)同意�。接收方應(yīng)當(dāng)在上述范圍內(nèi)處理個(gè)人信息。(第二十三條)
④公開個(gè)人信息 除非取得個(gè)人單獨(dú)同意�,否則個(gè)人信息處理者不得公開其處理的個(gè)人信息(第二十五條)。除非個(gè)人明確拒絕��,否則個(gè)人信息處理者可以免于取得同意����、在合理的范圍內(nèi)處理個(gè)人自行公開的個(gè)人信息����;但如果該等處理對(duì)個(gè)人權(quán)益有重大影響的���,則需要取得個(gè)人同意��。(第二十七條)
10�����、合規(guī)建議-------- 建立利用個(gè)人信息進(jìn)行自動(dòng)化決策的判斷規(guī)則
APP過度收集個(gè)人信息����、“大數(shù)據(jù)殺熟”
合規(guī)的建議還有一種情況不共享�����、不轉(zhuǎn)讓為原則����,業(yè)務(wù)需求為例外方面的建議
(1)單獨(dú)告知�;
(2)告知目的、方式和范圍,以及存儲(chǔ)時(shí)間等規(guī)則�����;
(3)獲得明示同意���;
(4)網(wǎng)絡(luò)平臺(tái)對(duì)信息保護(hù)政策�����;
(5)彈窗告知并放置完整版保護(hù)政策的鏈接��;
(6)手動(dòng)點(diǎn)擊確認(rèn)或者“打勾”���;
(7)將新增的安全影響評(píng)估標(biāo)準(zhǔn)及對(duì)安全保護(hù)責(zé)任履行的監(jiān)督措施寫入合同。
合規(guī)建議-------- 使用����、披露階段
(1)原則上不應(yīng)當(dāng)提供給第三方;
(2)強(qiáng)調(diào)第三方可能承擔(dān)的違約責(zé)任�����;
(3)盡可能縮小可接觸該類信息的人員范圍�����,并采取多種手段規(guī)范員工行為,包括但不限于采用多重授權(quán)機(jī)制���、定期培訓(xùn)���、簽署保密協(xié)議等;
(4)郵件外發(fā)的管控策略����。
新規(guī)范增加了網(wǎng)絡(luò)平臺(tái)基于不同業(yè)務(wù)目的所收集的個(gè)人信息的匯聚融合時(shí),個(gè)人信息跨境提供的規(guī)則�����、敏感個(gè)人信息的的規(guī)則這方面的合規(guī)建議
1����、處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者應(yīng)指定個(gè)人信息保護(hù)負(fù)責(zé)人對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督;
2��、定期對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)����;
3、對(duì)處理敏感個(gè)人信息����、自動(dòng)化決策、向境外提供個(gè)人信息等高風(fēng)險(xiǎn)處理活動(dòng)���,應(yīng)事前進(jìn)行風(fēng)險(xiǎn)評(píng)估并對(duì)處理情況進(jìn)行記錄���;
4、針對(duì)個(gè)人信息泄露等安全事件履行通知和補(bǔ)救義務(wù)等���。
個(gè)人信息保護(hù)法也針對(duì)為了保護(hù)個(gè)人信息權(quán)益�����,規(guī)范個(gè)人信息處理活動(dòng)�,促進(jìn)個(gè)人信息合理利用��,根據(jù)憲法�,制定本法。網(wǎng)絡(luò)平臺(tái)針對(duì)這種情況下的合規(guī)建議
1.梳理個(gè)人信息收集�、使用場(chǎng)景。
2.修改相應(yīng)個(gè)人信息收集同意函及隱私政策�。
3. 完善信息收集同意的流程��,并增加單獨(dú)同意機(jī)制���。
4. 設(shè)置敏感信息、特殊收集情形保護(hù)的特別機(jī)制����。
5. 防范信息傳輸及分享可能涉及多重的潛在法律風(fēng)險(xiǎn)。
6. 設(shè)計(jì)相應(yīng)機(jī)制保證個(gè)人信息主體權(quán)利的行使�。
7. 評(píng)估個(gè)人信息影響應(yīng)成為網(wǎng)絡(luò)平臺(tái)決策重要維度。
8. 謹(jǐn)慎使用自動(dòng)化決策工具用于信用評(píng)估��、商業(yè)營(yíng)銷等活動(dòng)�。
9. 加強(qiáng)個(gè)人信息保護(hù)內(nèi)控管理。
10. 完善修訂員工信息收集的情形���。
以上是我們針對(duì)網(wǎng)絡(luò)平臺(tái)的一些合規(guī)的建議���,對(duì)于網(wǎng)絡(luò)平臺(tái)來說,更重要的是對(duì)于用戶信息保護(hù)的落實(shí)和實(shí)踐�����,我們都應(yīng)該認(rèn)真面對(duì)����,共同努力�����。
蘇公網(wǎng)安備 32010502010503號(hào)
