第六章 个人信息保护制度(中) ——《网络安全法合规讲义》连载8
【编者按】本讲义由上海国瓴律师事务所名誉主任、上海交通大学信息内容分析技术国家工程研究中心网络空间治理研究中心主任、中国科学技术大学知识产权研究院人工智能与网络空间治理研究中心主任寿步教授撰写,是在寿步主编《网络安全法实用教程》(上海交通大学出版社2019年12月版)的基础上,全面收集整理2016年11月网络安全法发布至2024年6月期间的网络安全相关规范性文件,按照网络安全法制度设计的内在结构进行章节划分而编撰的。本讲义分为十章,同时收录2020年以来涉及网络运行安全和网络信息安全的52个案例。本讲义的内容取材于规范性文件或官方媒体,权威性高,实用性强,可供关心网络安全法律问题的读者阅读。连载共13篇。
连载目录
连载目录
5第四章 网络运行安全制度一般规定(下)
6第五章 关键信息基础设施运行安全制度
7第六章 个人信息保护制度(上)
8第六章 个人信息保护制度(中)
9第六章 个人信息保护制度(下)
10第七章 违法信息监管制度
11第八章 数据出境安全管理制度
12第九章 网络安全监测预警与应急处置制度
13第十章 网络安全法律责任制度
第六章 个人信息保护制度(中)
第三节 个人信息保护法概述
下面选取个人信息保护法的重点内容进行介绍。
一、关于制定本法的必要性
第一,制定个人信息保护法是进一步加强个人信息保护法制保障的客观要求。党的十八大以来,全国人大及其常委会在制定关于加强网络信息保护的决定、网络安全法、电子商务法、修改消费者权益保护法等立法工作中,确立了个人信息保护的主要规则;在修改刑法中,完善了惩治侵害个人信息犯罪的法律制度;在编纂民法典中,将个人信息受法律保护作为一项重要民事权利作出规定。我国个人信息保护法律制度逐步建立,但仍难以适应信息化快速发展的现实情况和人民日益增长的美好生活需要。因此,应当在现行法律基础上制定出台专门法律,增强法律规范的系统性、针对性和可操作性,在个人信息保护方面形成更加完备的制度、提供更加有力的法律保障。
第二,制定个人信息保护法是维护网络空间良好生态的现实需要。网络空间是亿万民众共同的家园,必须在法治轨道上运行。违法收集、使用个人信息等行为不仅损害人民群众的切身利益,而且危害交易安全,扰乱市场竞争,破坏网络空间秩序。因此,应当制定出台专门法律,以严密的制度、严格的标准、严厉的责任,规范个人信息处理活动,落实企业、机构等个人信息处理者的法律义务和责任,维护网络空间良好生态。
第三,制定个人信息保护法是促进数字经济健康发展的重要举措。以数据为新生产要素的数字经济蓬勃发展,数据的竞争已成为国际竞争的重要领域,而个人信息数据是大数据的核心和基础。党的十九大报告提出了建设网络强国、数字中国、智慧社会的任务要求。按照这一要求,应当统筹个人信息保护与利用,通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,促进信息数据依法合理有效利用,推动数字经济持续健康发展。
二、关于起草工作和把握的几点
制定个人信息保护法列入了十三届全国人大常委会立法规划和年度立法工作计划。
起草工作注意把握以下几点:一是,坚持立足国情与借鉴国际经验相结合。从我国实际出发,深入总结网络安全法等法律、法规、标准的实施经验,将行之有效的做法和措施上升为法律规范。从上世纪70年代开始,经济合作与发展组织、亚太经济合作组织和欧盟等先后出台了个人信息保护相关准则、指导原则和法规,有140多个国家和地区制定了个人信息保护方面的法律。草案充分借鉴有关国际组织和国家、地区的有益做法,建立健全适应我国个人信息保护和数字经济发展需要的法律制度。二是,坚持问题导向和立法前瞻性相结合。既立足于个人信息保护领域存在的突出问题和人民群众的重大关切,建立完善可行的制度规范。同时,对一些尚存争议的理论问题,在本法中留下必要空间,对新技术新应用带来的新问题,在充分研究论证的基础上作出必要规定,体现法律的包容性、前瞻性。三是,处理好与有关法律的关系。把握权益保护的立法定位,与民法典等有关法律规定相衔接,细化、充实个人信息保护制度规则。同时,与网络安全法和已提请全国人大常委会审议的数据安全法草案相衔接,对于网络安全法、数据安全法草案确立的网络和数据安全监管相关制度措施,本法不再作规定。
三、关于个人信息保护法的主要内容
个人信息保护法共八章七十四条,主要内容包括:
(一)明确本法适用范围
一是,对本法相关用语作出界定,规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。(第四条)
二是,明确在我国境内处理个人信息的活动适用本法的同时,借鉴有关国家和地区的做法,赋予本法必要的域外适用效力,以充分保护我国境内个人的权益,规定:以向境内自然人提供产品或者服务为目的,或者为分析、评估境内自然人的行为以及法律、行政法规规定的其他情形等发生在我国境外的个人信息处理活动,也适用本法;并要求境外的个人信息处理者在境内设立专门机构或者指定代表,负责个人信息保护相关事务。(第三条、第五十三条)
(二)健全个人信息处理规则
一是,确立个人信息处理应遵循的原则,强调处理个人信息应当遵循合法、正当、必要和诚信原则,具有明确、合理的目的,限于实现处理目的的最小范围,遵循公开、透明原则,公开处理规则,保证个人信息质量,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。(第五条至第九条)
二是,确立以“告知-同意”为核心的个人信息处理一系列规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。考虑到经济社会生活的复杂性和个人信息处理的不同情况,立法还对基于个人同意以外合法处理个人信息的情形作了规定。(第十三条至第十八条)
三是,根据个人信息处理的不同环节、不同个人信息种类,对个人信息的共同处理、委托处理、向其他个人信息处理者提供、公开、用于自动化决策、处理已公开的个人信息等提出有针对性的要求。(第二十条至第二十七条)
四是,设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。(第二十八条至第三十二条)
五是,设专节规定国家机关处理个人信息的规则,在保障国家机关依法履行职责的同时,要求国家机关处理个人信息应当依照法律、行政法规规定的权限和程序进行。(第三十三条至第三十七条)
在应对新冠肺炎疫情中,大数据应用为联防联控和复工复产提供了有力支持。为此,立法将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法情形之一。需要强调的是,在上述情形下处理个人信息,也必须严格遵守本法规定的处理规则,履行个人信息保护义务。
(三)完善个人信息跨境提供规则
一是,明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,确需向境外提供个人信息的,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证、订立标准合同等途径。(第三十八条、第四十条)
二是,对跨境提供个人信息的“告知-同意”作出更严格的要求。(第三十九条)
三是,对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,要求依法申请有关主管部门批准。(第四十一条)
四是,对从事侵害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,规定了可以对等采取措施。(第四十二条、第四十三条)
(四)明确个人信息处理活动中个人的权利和处理者义务
一是,与民法典的有关规定相衔接,明确在个人信息处理活动中个人的各项权利,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。(第四十四条至第五十条)
二是,明确个人信息处理者的合规管理和保障个人信息安全等义务,要求其按照规定制定内部管理制度和操作规程,采取相应的安全技术措施,并指定负责人对其个人信息处理活动进行监督;定期对其个人信息活动进行合规审计;对处理敏感个人信息、向境外提供个人信息等高风险处理活动,事前进行风险评估;履行个人信息泄露通知和补救义务等。(第五十一条、第五十二条、第五十四条至第五十七条)
(五)关于履行个人信息保护职责的部门
个人信息保护涉及各个领域和多个部门的职责。立法根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用;同时规定:国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。(第六十条)
此外,违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等亦有规定。
四、个人信息保护法确立的个人信息处理原则
【个人信息处理原则】第五条 处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
【必要性原则/目的限制原则】第六条 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。
【透明原则】第七条 处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
【准确原则】第八条 处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
【负责和安全原则】第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
【存储期限必要原则】第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。
五、个人信息保护法确立的个人信息处理规则
(一)一般规定
【个人信息处理合法性基础】第十三条 符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立或者履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
【同意条件、重新取得个人同意】第十四条 基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
【同意撤回】第十五条 基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
【撤回后果】第十六条 个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。
【告知要件】第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。
【告知的法定例外】第十八条 个人信息处理者处理个人信息,有法律、行政法规规定应当保密或者不需要告知的情形的,可以不向个人告知前条第一款规定的事项。
紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的,个人信息处理者应当在紧急情况消除后予以告知。
【共同处理决定】第二十条 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。
个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。
【委托处理关系】第二十一条 个人信息处理者委托处理个人信息的,应当与受托方约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托方的个人信息处理活动进行监督。
受托方应当按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息,委托合同不生效、无效、被撤销或者终止的,受托方应当将个人信息返还个人信息处理者或者予以删除,不得保留。
未经个人信息处理者同意,受托方不得转委托他人处理个人信息。
【合并分立解散破产】第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
【向其他个人信息处理者提供】第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
【自动化决策】第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果的公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
【不得公开处理的信息】 第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
【公共场所信息采集提示】 第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
【公开个人信息处理原则】 第二十七条 个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意 。
(二)敏感个人信息的处理规则
【目的特定和必要,敏感信息定义】第二十八条 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
【敏感信息处理,单独同意原则】第二十九条 处理敏感个人信息应当取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
【特殊告知义务】第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。
第三十一条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则。
【法定行政许可】第三十二条 法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者作出其他限制的,从其规定。
(三)国家机关处理个人信息的特别规定
【国家机关例外规定】第三十三条 国家机关处理个人信息的活动,适用本法;本节有特别规定的,适用本节规定。
【职责必要原则】第三十四条 国家机关为履行法定职责处理个人信息,应当依照法律、行政法规规定的权限、程序进行,不得超出履行法定职责所必需的范围和限度。
【告知义务及其例外】第三十五条 国家机关为履行法定职责处理个人信息,应当依照本法规定向个人告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。
【境内存储,境外提供安全评估】第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储;确需向境外提供的,应当进行安全评估。安全评估可以要求有关部门提供支持与协助。
第四节 个人信息的收集、使用规则
一、相关规定
关于网络运营者收集使用个人信息的规则,网络安全法第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
民法典第一千零三十五条规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;
(四)不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
第一千零三十六条规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:
(一)在该自然人或者其监护人同意的范围内合理实施的行为;
(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;
(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。”
二、个人信息的收集
个人信息安全规范的“5 个人信息的收集”部分有如下规定:
“5.1 收集个人信息的合法性
对个人信息控制者的要求包括:
a) 不应以欺诈、诱骗、误导的方式收集个人信息;
b) 不应隐瞒产品或服务所具有的收集个人信息的功能;
c) 不应从非法渠道获取个人信息。
5.2收集个人信息的最小必要
对个人信息控制者的要求包括:
a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;
b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数据。
5.3 多项业务功能的自主选择
当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。对个人信息控制者的要求包括:
a) 不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的各项业务功能收集个人信息的请求。
b) 应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息;
c) 关闭或退出业务功能的途径或方法应与个人信息主体选择使用业务功能的途径或方法同样方便。个人信息主体选择关闭或退出特定业务功能后,个人信息控制者应停止该业务功能的个人信息收集活动;
d) 个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意;
e) 个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低其他业务功能的服务质量;
f) 不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意收集个人信息。
5.4 收集个人信息时的授权同意
对个人信息控制者的要求包括:
a)收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息护体的授权同意;
注1:如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过个人信息保护政策的形式,实现向个人信息主体的告知;产品或服务提供多项收集、使用个人信息的业务功能的,除个人信息保护政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、范式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响。
注2:符合5.3和a) 要求的实现方法,可参考附录C。
b) 收集敏感个人信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;
c) 收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;
注:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。
d) 收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意;
e) 间接获取个人信息时:
1) 应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;
2) 应了解个人信息提供方已获取的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;
3) 如开展业务所需进行的个人信息处理活动超出已获取的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。
5.5 征得授权同意的例外
以下情形中,个人信息控制者收集、使用个人信息不必征得个人信息主体的授权同意:
a) 与个人信息控制者履行法律法规规定的义务相关的;
b) 与国家安全、国防安全直接相关的;
c) 与公共安全、公共卫生、重大公共利益直接相关的;
d) 与刑事侦查、起诉、审判和判决执行等直接相关的;
e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
f) 所涉及的个人信息是个人信息主体自行向社会公开的;
g) 根据个人信息主体要求签订和履行合同所必需的;
注:个人信息保护政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不宜将其视为合同。
h) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
i)维护所提供服务或产品的安全稳定运行所必需的,如发现、处置产品或服务的故障;
j) 个人信息控制者为新闻单位,且其开展合法的新闻报道所必需的;
k) 个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。
5.6 个人信息保护政策
对个人信息控制者的要求包括:
a) 应制定个人信息保护政策,内容应包括但不限于:
1)个人信息控制者的基本情况,包括主体身份、联系方式;
2)收集、使用个人信息的业务功能,以及各业务功能分别收集的个人信息类型。涉及敏感个人信息的,需明确标识或突出显示;
3)个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则;
4) 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任;
5)个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等;
6)提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;
7)遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施,必要时可公开数据安全和个人信息保护相关的合规证明;
8)处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
b) 个人信息保护政策所告知的信息应真实、准确、完整;
c) 个人信息保护政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言。
d) 个人信息保护政策应公开发布且易于访问,例如,在网站主页、移动互联网应用程序安装页、附录C中的交互界面或设计等显著位置设置链接;
e) 个人信息保护政策应逐一送达个人信息主体。当成本过高或显著困难时,可以公告的形式发布;
f)在a)所载事项发生变化时,应及时更新个人信息保护政策并重新告知个人信息主体。
注1:组织会习惯性将个人信息保护政策命名为“隐私政策”或其他名称,其内容宜与个人信息保护政策内容保持一致。
注2:个人信息保护政策的内容可参考附录D。
注3:在个人信息主体首次打开产品或服务、注册账户等情形时,宜通过弹窗等形式主动向其展示个人信息保护政策的主要或核心内容,帮助个人信息主体理解该产品或服务的个人信息处理范围和规则,并决定是否继续使用该产品或服务。
三、个人信息的使用
个人信息安全规范的“7 个人信息的使用”部分有如下规定:
“7.1 个人信息访问控制措施
对个人信息控制者的要求包括:
a) 对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;
b) 对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作;
c) 对安全管理人员、数据操作人员、审计人员的角色进行分离设置;
d) 确因工作需要,需授权特定人员超权限处理个人信息的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;
注:个人信息保护责任人或个人信息保护工作机构的确定见11.1。
e) 对敏感个人信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按照业务流程的需要触发操作授权。例如,当收到客户投诉,投诉处理人才访问该个人信息主体的相关信息。
7.2 个人信息的展示限制
涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。例如,在个人信息展示时,防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。
7.3 个人信息使用的目的限制
对个人信息控制者的要求包括:
a)使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意;
注:将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状况的描述,属于与收集目的具有合理关联的范围之内。但对外提供学术研究或描述的结果时,需对结果中所包含的个人信息进行去标识化处理。
b) 如所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别特定自然人身份或反映特定自然人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获取的授权同意范围。
注:加工处理而产生的个人信息属于敏感个人信息的,对其处理需符合对敏感个人信息的要求。
7.4 用户画像的使用限制
对个人信息控制者的要求包括:
a)用户画像中对个人信息主体的特征描述,不应:
1)包含淫秽、色情、赌博、迷信、恐怖、暴力的内容;
2)表达对民族、种族、宗教、残疾、疾病歧视的内容。
b)在业务运营或对外合作中使用用户画像的,不应:
1) 侵害公民、法人和其他组织的合法权益;
2)危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。
c) 除为实现个人信息主体授权同意的使用目的所必需外,使用个人信息应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。
7.5 个性化展示的使用
对个人信息控制者的要求包括:
a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容;
注:显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。
b)在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;
注:基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。
c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:
1)为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;
2) 当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
d) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。
7.6 基于不同业务目的所收集个人信息的汇聚融合
对个人信息控制者的要求包括:
a) 应遵守7.3的要求;
b) 应根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效地个人信息保护措施。
7.7 信息系统自动决策机制的使用
个人信息控制者业务运营所使用的信息系统,具备自动决策机制且能对个人信息主体权益造成显著影响的(例如,自动决定个人征信及贷款额度,或用于面试人员的自动化筛选等),应:
a)在规划设计阶段或首次使用前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b)在使用过程中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果改进保护个人信息主体的措施;
c)向个人信息主体提供对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核。
