《個人信息安全規(guī)范》下的網(wǎng)絡(luò)平臺合規(guī)建議
現(xiàn)在相關(guān)部門不僅加大數(shù)據(jù)的安全監(jiān)管,對各類信息安全法規(guī)也在不斷完善�。《中華人民共和國數(shù)據(jù)安全法》已正式于2021年9月1日頒布執(zhí)行�。而《個人信息保護(hù)法》也將于2021年11月1日起施行。針對網(wǎng)絡(luò)平臺在個人信息安全規(guī)范合規(guī)的建議
1、合規(guī)建議 -------- 數(shù)據(jù)字典
差距分析網(wǎng)絡(luò)平臺在向第三方進(jìn)行共享轉(zhuǎn)讓��、提供數(shù)據(jù)接口的過程中�,同樣需注意是否有部分?jǐn)?shù)據(jù)因其與個人的“關(guān)聯(lián)性”而落入廣義“個人信息”的范疇
2、合規(guī)建議-------- 個人信息保護(hù)全流程
個人信息的處理包括個人信息的收集�����、存儲����、使用、加工��、傳輸���、提供�、公開�����、刪除等���。
3、合規(guī)建議-------- 個人信息保護(hù)全流程
①禁止大數(shù)據(jù)殺熟。自動化決策應(yīng)保證決策的透明度和結(jié)果公平��、公正�,不得對個人在交易價格等交易條件上實行不合理的差別待遇。(第二十四條第一款)
②提供其他選項或拒絕方式���。通過自動化決策方式進(jìn)行信息推送����、商業(yè)營銷����,應(yīng)當(dāng)同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式���。
4�、合規(guī)建議-------- 落實同意機(jī)制
①單獨同意機(jī)制:處理者向他人提供其處理的個人信息�、公開其處理的個人信息以及處理生物識別、醫(yī)療健康���、金融賬戶����、行蹤軌跡等敏感個人信息的,應(yīng)當(dāng)取得個人的單獨同意�����。(嚴(yán)格保護(hù)�����、特別告知)
②重新同意機(jī)制:個人信息的處理目的��、處理方式和處理的個人信息種類發(fā)生變更的����,應(yīng)當(dāng)重新取得個人同意。當(dāng)處理者因合并���、分立�、解散�、被宣告破產(chǎn)等原因而轉(zhuǎn)移個人信息,或向他人提供其處理的個人信息時前述事項發(fā)生變更的�����,也應(yīng)重新取得個人同意�。
③撤回同意機(jī)制:基于個人同意而進(jìn)行的個人信息處理活動,個人有權(quán)撤回其同意�。
④個人信息處理者不得以個人不同意處理其個人信息或者撤回其對個人信息處理的同意為由,拒絕提供產(chǎn)品或者服務(wù)���,但“處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需的“除外�。
5�����、合規(guī)建議-------- 收集階段
明示同意+肯定性動作
(1)在法律法規(guī)有強(qiáng)制要求的情況(如14歲以下)一定要采用“明示同意”��;
(2)個人信息的采集和使用超出了用戶的合理預(yù)期�,建議也采用明示同意����;
(3)合理限定收集范圍,即收集內(nèi)容應(yīng)與產(chǎn)品或服務(wù)具有直接關(guān)聯(lián)��,且采集頻率、獲取數(shù)量控制在合理程度��。
知情權(quán)�����,決定權(quán)�����,要求解釋說明權(quán)
6���、合規(guī)建議-------- 獲取
查閱����、復(fù)制權(quán)
承繼行使權(quán)
可攜帶權(quán)(可轉(zhuǎn)移權(quán))
個人請求將個人信息轉(zhuǎn)移至其指定的個人信息處理者���,符合國家網(wǎng)信部門規(guī)定條件的���,個人信息處理者應(yīng)當(dāng)提供轉(zhuǎn)移的途徑。
7���、合規(guī)建議-------- 保存階段
匿名化和去標(biāo)識化后的信息不僅不能識別出信息主體���,還不能關(guān)聯(lián)到信息主體����,且不能復(fù)原���。
匿名化的信息即不屬于個人信息
(1)在傳輸和存儲公民個人信息尤其是敏感信息時,應(yīng)采用較為嚴(yán)格的加密措施����,并設(shè)置一定的訪問權(quán)限;
(2)做好個人信息庫的維護(hù)工作��,對于有誤信息及時更正����,對于用戶收回授權(quán)的信息及時刪除。
8�、合規(guī)建議-------- 維護(hù)階段
要求更正、補(bǔ)充權(quán)
對特定信息的刪除權(quán)
9����、合規(guī)建議-------- 信息處理
①共同處理 兩個以上的個人信息處理者共同決定個人信息的處理目的和處理方式的,應(yīng)當(dāng)約定各自的權(quán)利和義務(wù)���。個人信息處理者共同處理個人信息,侵害個人信息權(quán)益造成損害的���,應(yīng)當(dāng)依法承擔(dān)連帶責(zé)任��。(第二十條)
②委托處理個人信息 個人信息處理者委托處理個人信息的�,應(yīng)當(dāng)與受托人約定委托處理的目的�、期限、雙方的權(quán)利和義務(wù)等內(nèi)容���,并對受托人的個人信息處理活動進(jìn)行監(jiān)督�。受托人應(yīng)當(dāng)按照約定處理個人信息,并且未經(jīng)同意不得轉(zhuǎn)委托��。(第二十一條)
③共享個人信息 個人信息處理者向其他個人信息處理者提供個人信息的����,應(yīng)當(dāng)向個人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的�、處理方式和個人信息的種類,并取得個人的單獨同意���。接收方應(yīng)當(dāng)在上述范圍內(nèi)處理個人信息��。(第二十三條)
④公開個人信息 除非取得個人單獨同意�,否則個人信息處理者不得公開其處理的個人信息(第二十五條)���。除非個人明確拒絕���,否則個人信息處理者可以免于取得同意�、在合理的范圍內(nèi)處理個人自行公開的個人信息���;但如果該等處理對個人權(quán)益有重大影響的���,則需要取得個人同意����。(第二十七條)
10��、合規(guī)建議-------- 建立利用個人信息進(jìn)行自動化決策的判斷規(guī)則
APP過度收集個人信息�����、“大數(shù)據(jù)殺熟”
合規(guī)的建議還有一種情況不共享���、不轉(zhuǎn)讓為原則,業(yè)務(wù)需求為例外方面的建議
(1)單獨告知�����;
(2)告知目的�����、方式和范圍,以及存儲時間等規(guī)則�;
(3)獲得明示同意;
(4)網(wǎng)絡(luò)平臺對信息保護(hù)政策��;
(5)彈窗告知并放置完整版保護(hù)政策的鏈接��;
(6)手動點擊確認(rèn)或者“打勾”����;
(7)將新增的安全影響評估標(biāo)準(zhǔn)及對安全保護(hù)責(zé)任履行的監(jiān)督措施寫入合同。
合規(guī)建議-------- 使用�、披露階段
(1)原則上不應(yīng)當(dāng)提供給第三方;
(2)強(qiáng)調(diào)第三方可能承擔(dān)的違約責(zé)任����;
(3)盡可能縮小可接觸該類信息的人員范圍,并采取多種手段規(guī)范員工行為�,包括但不限于采用多重授權(quán)機(jī)制、定期培訓(xùn)��、簽署保密協(xié)議等��;
(4)郵件外發(fā)的管控策略��。
新規(guī)范增加了網(wǎng)絡(luò)平臺基于不同業(yè)務(wù)目的所收集的個人信息的匯聚融合時����,個人信息跨境提供的規(guī)則�����、敏感個人信息的的規(guī)則這方面的合規(guī)建議
1�、處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)指定個人信息保護(hù)負(fù)責(zé)人對其個人信息處理活動進(jìn)行監(jiān)督�����;
2�����、定期對其個人信息處理活動進(jìn)行合規(guī)審計��;
3��、對處理敏感個人信息��、自動化決策��、向境外提供個人信息等高風(fēng)險處理活動��,應(yīng)事前進(jìn)行風(fēng)險評估并對處理情況進(jìn)行記錄�����;
4�、針對個人信息泄露等安全事件履行通知和補(bǔ)救義務(wù)等。
個人信息保護(hù)法也針對為了保護(hù)個人信息權(quán)益���,規(guī)范個人信息處理活動�����,促進(jìn)個人信息合理利用���,根據(jù)憲法,制定本法�。網(wǎng)絡(luò)平臺針對這種情況下的合規(guī)建議
1.梳理個人信息收集、使用場景�。
2.修改相應(yīng)個人信息收集同意函及隱私政策。
3. 完善信息收集同意的流程�����,并增加單獨同意機(jī)制���。
4. 設(shè)置敏感信息�、特殊收集情形保護(hù)的特別機(jī)制。
5. 防范信息傳輸及分享可能涉及多重的潛在法律風(fēng)險�。
6. 設(shè)計相應(yīng)機(jī)制保證個人信息主體權(quán)利的行使。
7. 評估個人信息影響應(yīng)成為網(wǎng)絡(luò)平臺決策重要維度��。
8. 謹(jǐn)慎使用自動化決策工具用于信用評估����、商業(yè)營銷等活動。
9. 加強(qiáng)個人信息保護(hù)內(nèi)控管理�����。
10. 完善修訂員工信息收集的情形����。
以上是我們針對網(wǎng)絡(luò)平臺的一些合規(guī)的建議,對于網(wǎng)絡(luò)平臺來說���,更重要的是對于用戶信息保護(hù)的落實和實踐�,我們都應(yīng)該認(rèn)真面對����,共同努力�����。
蘇公網(wǎng)安備 32010502010503號
