一、前言
近年来,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息。给人们生活带来便利的同时,也出现了对个人信息的 非法收集、滥用、泄露 等问题,个人信息安全面临严重威胁。
为了保护公民个人隐私数据不被肆意收集、滥用、泄漏甚至非法售卖,各国政府纷纷出台相关法律政策文件,对公民个人隐私数据做出法律上的保护与行为规范。
2018年5月25日起,欧盟正式施行新版数据安全保护条例《General Data Protection Regulation》,即《一般数据保护条例》,人们认为史上最严的GDPR条款会改变整个互联网现状。
而我国也于2017年12月29号,由中华人名共和国国家质量监督检验检疫总局与中国国家标准化管理委员会联合发布《个人信息安全规范标准》,并规定于2018年5月1号起开始实施。
以上标准皆针对个人信息面临的安全问题,规范个人信息控制者在 收集、保存、使用、共享、转让、公开披露 等信息处理环节中的相关行为。旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。
这些数据保护条例将会极大地影响大数据行业的从业者们,以往混乱的数据市场将会被极其严格的监管重新调整、洗牌,乱象消失之后,相信相关行业能够更加健康、稳健、安全地向前发展。
大数据行业的从业者们都应该了解并知晓相关基本的数据安全保护条例,健全自身数据安全意识,协助公司、行业一同完善数据安全管理体系。
本文以我国《个人信息安全规范标准》内容为主,参考部分欧盟《一般数据保护条例》,从 个人数据信息的收集、保存、使用、共享,到 个人数据信息的安全事件处置、组织的管理要求 等方面解读需要从业者们关注的条规。
二、适用范围
我国《个人信息安全规范标准》(下文简称本标准),规范了开展 收集、保存、使用、共享、转让、公开披露 等个人信息处理活动应遵循的 原则和安全要求。
覆盖了个人信息处理活动的 全生命周期,并对周期内各个阶段的活动内容定义了相应 需要遵守的原则、需要做到的安全要求。
适用于规范 各类组织的个人信息处理活动,也适用于 主管监管部门、第三方评估机构 等组织对个人信息处理活动进行 监督、管理和评估。
即所有涉及 个人信息处理活动的组织 都在本标准规定的范围中。且相关的监管机构在对组织进行评估时,本标准的内容将会是其参考依据。
三、术语与定义
本标准围绕着 个人信息处理活动 事件上定义了比较全面的基本术语与标准定义。这些术语定义将贯穿本标准全文,是理解本标准的基础元素。
个人信息
以电子或者其他方式记录的能够 单独或者与其他信息结合识别特定自然人身份、反映特定自然人活动情况 的各种信息。
如:姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
个人敏感信息
一旦泄露、非法提供或滥用可能 危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
如:身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童 的个人信息等。
个人信息主体
个人信息所标识的自然人,即 个人信息的拥有者。
个人信息控制者
有权决定 个人信息 处理目的、方式 等的组织或个人。
收集
获得对个人信息控制权 的行为,是个人信息控制者获取个人信息的方式,包括:
- 主动提供:由个人信息 主体主动提供
- 自动采集:通过与个人信息主体 交互或记录 个人信息主体行为等自动采集
- 间接获取:以及通过 共享、转让、搜集公开信息 等方式。
另外,如果服务商提供工具给个人信息主体使用,提供者 不对个人信息进行访问 则不属于本标准范围,比如工具软件不上传个人信息至提供者的情况。
明示同意
个人信息主体通过书面声明或 主动做出肯定性动作,对其个人信息进行特定处理做出 明确授权 的行为。
即个人信息主体 主动同意、主动授权 的行为,肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同 意”、“注册”、“发送”、“拨打”等。
用户画像
通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健 康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。
- 直接用户画像:直接使用特定自然人的个人信息,形成该自然人的特征模型。
- 间接用户画像:使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型。
个人信息安全影响评估
针对 个人信息处理活动,检验其合法合规程度,判断其 对个人信息主体合法权益造成损害 的各种风险,以及评估用于 保护个人信息主体的各项措施有效性 的过程。
评估关键点:
- 是否有损害个人信息主体权益的风险
- 是否有保护个人信息的安全措施
删除
在实现日常业务功能所涉及的系统中去除个人信息的行为,使其 保持不可被检索、 访问的状态。
公开披露
向社会或不特定人群发布信息的行为。
转让
将个人信息控制权由一个控制者向另一个控制者转移的过程。
共享
个人信息控制者向其他控制者提供个人信息,且 双方分别对个人信息拥有独立控制权 的过程。
去标识化
通过对个人信息的技术处理,使其在 不借助额外信息 的情况下,无法识别 个人信息主体的过程。
去标识化建立在个体基础之上,保留了个体颗粒度,采用 假名、加密、哈希函数 等技术手段替代对个人信息的标识。
匿名化
通过对个人信息的技术处理,使得个人信息主体 无法被识别,且处理后的信息 不能被复原 的过程。
个人信息经 匿名化 处理后所得的信息 不属于个人信息。
匿名化是一种数据处理技术,可移除或修改个人身份信息,经过匿名化处理的数据 无法用来与任何个人关联到一起。
常用的匿名化技术:
- 对数据进行泛化处理,实现K匿名效果
- 使用差别隐私向数据中添加噪声
去标识化和匿名化的区别在于,信息一旦匿名化就再也无法与特定的人关联在一起且无法恢复,而去标识化后,借助一些辅助信息仍然可以判断信息所属的特定所有人。
四、个人信息安全基本原则
个人信息控制者开展个人信息处理活动,应遵循以下基本原则:
- 权责一致原则:对其个人信息处理活动对个人信息主体合法权益造成的损害 承担责任。
- 即如果个人信息处理过程中对,个人信息所有者造成损害的,需要承担相应责任。
- 目的明确原则:具有 合法、正当、必要、明确 的个人信息处理目的。
- 个人信息控制者对个人信息处理活动的目的,需要 合法合规。
- 选择同意原则:向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其 授权同意。
- 需要向个人信息所有者说明个人信息处理活动的详细内容,并向其征求同意后才可进行。
- 最少够用原则:除与个人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的 最少个人信息类型和数量。目的达成后,应及时 根据约定删除个人信息。
- 对于个人信息的处理活动,应该取涉及业务范围内的最小内容,满足业务需求即可。
- 业务目标完成后,如有约定应及时删除个人信息。
- 公开透明原则:以明确、易懂和合理的方式公开处理个人信息的 范围、目的、规则 等,并接受外部监督。
- 合理 地向外部披露个人信息处理活动的涉及范围、处理目的以及处理规则。
- 确保安全原则:具备与所面临的 安全风险相匹配的安全能力,并采取 足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
- 对个人信息的处理过程中,需要有 安全能力、管理措施和技术手段 保护个人信息 不泄露、不篡改、不缺失。
- 主体参与原则:向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。
- 个人信息主体可以要求个人信息控制者对其个人信息进行 增删改查操作,并可以 撤回此前的授权同意。
个人信息安全基本原则从个人信息处理活动的 事前、事中、事后 等各个方面为个人信息控制者规范了其 需要遵守的基本原则,进行个人信息处理活动的相关人员应以此原则为基础 规范及完善其处理行为。
以此原则为基础,5-10章将对个人信息处理活动中各个环节展开详细的要求与解释。
五、个人信息的收集
收集个人信息的合法性要求
- 不得欺诈、诱骗、强迫 个人信息主体提供其个人信息,必须为 主动同意;
- 不得隐瞒 产品或服务所具有的收集个人信息的功能,相关收集功能需 明确说明;
- 不得从 非法渠道 获取个人信息;
- 不得收集法律法规 明令禁止 收集的个人信息。
收集个人信息的最小化要求
- 收集的个人信息的类型 应与实现产品或服务的 业务功能有直接关联。直接关联是指没有该信息的参与,产品或服务的功能无法实现。与业务无关的信息不应收集;
- 自动采集个人信息的频率 应是实现产品或服务的业务功能所 必需的最低频率,以业务能够运行的最低频率收集;
- 自动采集时,不得妨碍相关网站正常运行。严重影响网站运行,如自动化访问收集流量超过网站日均流量三分之一,网站要求停止自动化访问收集时,应当停止。
- 间接获取 个人信息的数量 应是实现产品或服务的业务功能所 必需的最少数量,保持业务能够运行的数量后不应增加收集的数据量。
收集个人信息时的授权同意
- 收集个人信息前,应向个人信息主体 明确告知 所提供产品或服务的不同业务功 能分别收集的个人信息类型,以及收集、使用个人信息的规则,并获得个人信息主体的 授权同意;
- 例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等
- 间接获取个人信息时:
- 应要求个人信息提供方说明个人信息来源,并对其 个人信息来源的合法性 进行确认;
- 应了解个人信息提供方已获得的个人信息处理的 授权同意范围,包括使用目的,个人信息主体 是否授权同意转让、共享、公开披露 等。
- 如本组织开展业务需进行的个人信息处理活动 超出该授权同意范围,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。
征得授权同意的例外
以下情形中,个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意:
- 与国家安全、国防安全直接相关的;
- 与公共安全、公共卫生、重大公共利益直接相关的;
- 与犯罪侦查、起诉、审判和判决执行等直接相关的;
- 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
- 所收集的个人信息是个人信息主体自行向社会公众公开的;
- 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开 等渠道;
- 根据个人信息主体要求签订和履行合同所必需的;
- 用于维护所提供的产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
- 个人信息控制者为新闻单位且其在开展合法的新闻报道所必需的;
- 个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的;
- 法律法规规定的其他情形。
收集个人敏感信息时的明示同意
- 收集个人敏感信息时,应取得个人信息主体的明示同意。应确保个人信息主体的明示同意是其 在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示;
- 通过主动提供或自动采集方式收集个人敏感信息前:
- 对于核心业务功能:应向个人信息主体告知所提供产品或服务 核心业务功能及所必需收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将 带来的影响。应允许个 人信息主体选择是否提供或同意自动采集;
- 对于附加产品功能:需要收集个人敏感信息时,收集前应向个人信息主体 逐一说明 个人敏感信息为完成何种附加功能所必需,并允许个人信息主体 逐项选择是否提供或同意 自动采集个人敏感信息。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由 停止提供核心业务功能,并应保障相应的服务质量。
- 收集 年满14的未成年人 的个人信息前,应征得 未成年人或其监护人的明示同意; 不满14周岁 的,应征得其 监护人的明示同意。
隐私政策的内容和发布
- 个人信息控制者应制定隐私政策,内容应包括但不限于:
- 个人信息控制者的 基本情况,包括注册名称、注册地址、常用办公地点和 相关负责人的联系方式等;
- 收集、使用个人信息的目的,以及目的所涵盖的 各个业务功能,例如将个人信息用于推送商业广告,将个人信息用于形成直接用户画像及其用途等;
- 各业务功能分别收集的个人信息,以及收集方式和频率、存放地域、存储 期限等个人信息处理规则和实际收集的个人信息范围;
- 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的 第三方类型,以及所承担的相应法律责任;
- 遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施;个人信息主体的权利和实现机制,如访问方法、更正方法、删除方法、注销账户的方法、撤回同意的方法、获取个人信息副本的方法、约束信息系 统自动决策的方法等;
- 提供个人信息后 可能存在的安全风险,及不提供个人信息 可能产生的影响;
- 处理个人信息主体 询问、投诉的渠道和机制,以及 外部纠纷解决机构及联络方式。
- 隐私政策所告知的信息应 真实、准确、完整;
- 隐私政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言,并在起始部分提供摘要,简述告知内容的重点;
- 隐私政策应 公开发布且易于访问,例如,在网站主页、移动应用程序安装页、社交媒体首页等显著位置设置链接;
- 隐私政策应 逐一送达个人信息主体。当成本过高或有显著困难时,可以公告的形式发布;
- 在第一条所载事项发生变化时,应 及时更新隐私政策 并重新告知个人信息主体。
六、个人信息的保存
个人信息保存时间最小化
- 个人信息保存期限应为实现目的所必需的 最短时间;
- 超出上述个人信息保存期限后,应对个人信息进行 删除或匿名化处理。
去标识化处理
收集个人信息后,个人信息控制者宜 立即进行去标识化处理,并采取技术和管理方面的措施,将 去标识化后的数据与可用于恢复识别个人的信息分开存储,并确保在后续 的个人信息处理中 不重新识别个人。
个人敏感信息的传输和存储
- 传输和存储个人敏感信息时,应采用 加密等安全措施;
- 存储 个人生物识别信息 时,应采用技术措施处理后再进行存储,例如仅存储个人生物识别信息的 摘要
个人信息控制者停止运营
当个人信息控制者停止运营其产品或服务时,应:
- 及时 停止 继续收集个人信息的活动;
- 将停止运营的通知以逐一送达或公告的形式 通知个人信息主体;
- 对其所持有的个人信息进行 删除或匿名化处理。
七、个人信息的使用
个人信息访问控制措施
- 对被授权访问个人信息的内部数据操作人员,应按照 最小授权的原则,使其只能访问职责所需的最少够用的个人信息,且仅具备完成职责所需的 最少的数据操作权限;
- 宜对个人信息的重要操作应设置 内部审批流程,如批量修改、拷贝、下载等;
- 应对安全管理人员、数据操作人员、审计人员的 角色进行分离设置;
- 如确因工作需要,需授权特定人员超权限处理个人信息的,应由个人信息保护责任人或个人信息保护工作机构进行 审批,并记录在册;
- 对个人敏感信息的访问、修改等行为,宜在对角色的权限控制的基础上,根据业务流程的需求触发操作授权。例如,因收到客户投诉,投诉处理人员才可访问该用户的相关信息。
个人信息的展示限制
涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个人信息采取 去标识化处理 等措施,降低个人信息在展示环节的泄露风险。例如,在 个人信息展示时,防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。
个人信息的使用限制
- 除目的所必需外,使用个人信息时应消 除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像;
- 对所收集的个人信息进行 加工处理而产生的信息,能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获得的 授权同意范围;
- 使用个人信息时,不得超出 与收集个人信息时所声称的目的具有直接或 合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应 再次征得个人信息主体明示同意。
- 网络运营者利用用户数据和算法推送新闻信息、商业广告等,应当 以明显方式标明“定推”字样,并为用户 提供停止接收定向推送信息 的功能;停止推送后应一并 删除已经收集的设备识别码等用户数据和个人信息。
- 网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息,应 以明显方式标明“合成”字样;不得以谋取利益或损害他人利益为目的自动合成信息。
个人信息访问
个人信息控制者应向个人信息主体提供访问下列信息的方法:
- 其所持有的关于该主体的个人信息或类型;
- 上述个人信息的来源、所用于的目的;
- 已经获得上述个人信息的第三方身份或类型。
个人信息更正
个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者应为其提供请求更正或补充信息的方法。
个人信息删除
符合以下情形的,个人信息主体要求删除的,应及时删除个人信息:
- 个人信息控制者 违反法律法规规定,收集、使用个人信息的;
- 个人信息控制者 违反了与个人信息主体的约定,收集、使用个人信息的。
- 个人信息控制者 违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并 通知第三方及时删除;
- 个人信息控制者 违反法律法规规定或与个人信息主体的约定,公开披露个人信息,且个人信息主体要求删除的,个人信息控制者应 立即停止公开披露 的行为, 并发布通知 要求相关接收方删除相应的信息。
个人信息主体撤回同意
- 应向个人信息主体提供方法撤回收集、使用其个人信息的同意授权。撤回同意后,个人信息控制者 后续不得再处理 相应的个人信息;
- 应保障个人信息主体 拒绝接收 基于其个人信息推送的商业广告的权利。对外共享、转让、公开披露个人信息,应向个人信息主体提供撤回同意的方法。
个人信息主体注销账户
- 通过注册账户提供服务的个人信息控制者,应向个人信息主体 提供注销账户的方法,且该方法应简便易操作;
- 个人信息主体注销账户后,应 删除其个人信息或做匿名化处理。
个人信息主体获取个人信息副本
根据个人信息主体的请求,个人信息控制者应为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将以下个人信息的副本传输给第三方:
- 个人基本资料、个人身份信息;
- 个人健康生理信息、个人教育工作信息。
响应个人信息主体的请求
- 在验证个人信息主体身份后,应及时响应个人信息主体基于本标准提出的请求,应在 三十天内或法律法规规定的期限内做出答复及合理解释,并告知个人信息主体向外部提出纠纷解决的途径;
- 对合理的请求原则上 不收取费用,但对一定时期内多次重复的请求,可视情收取一定成本费用;
- 如直接实现个人信息主体的请求需要付出高额的成本或存在其他显著的困难,个人信息控制者应向个人信息主体 提供其他替代性方法,以保护个人信息主体的合法权益;
- 以下情况可不响应个人信息主体基于本标准提出的请求,包括但不限于:
- 与国家安全、国防安全直接相关的;
- 与公共安全、公共卫生、重大公共利益直接相关的;
- 与犯罪侦查、起诉、审判和执行判决等直接相关的;
- 个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的;
- 响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的;
- 涉及商业秘密的。
申诉管理
个人信息控制者应建立申诉管理机制,包括跟踪流程,并在合理的时间内,对申诉进行响应。
八、个人信息的委托处理、共享、转让、公开披露
委托处理
- 个人信息控制者作出委托行为,不得超出已征得个人信息主体授权同意的范围 或遵守本标准5.4规定的情形;
- 个人信息控制者应对委托行为进行 个人信息安全影响评估,确保 受委托者具备足够的数据安全能力,提供了足够的安全保护水平;
- 受委托者应:
- 严格 按照个人信息控制者的要求 处理个人信息。如受委托者因特殊原因未按照个人信息控制者的要求处理个人信息,应及时 向个人信息控制者反馈;
- 如受委托者确需再次委托时,应 事先征得个人信息控制者的授权;
- 协助个人信息控制者响应个人信息主体基于本标准7.4至7.10提出的请求;
- 如受委托者在处理个人信息过程中 无法提供足够的安全保护水平或发生了安全事件,应及时 向个人信息控制者反馈;
- 在委托关系 解除时不再保存个人信息。
- 个人信息控制者应对受委托者进行监督,方式包括但不限于:
- 通过合同等方式规定受委托者的责任和义务;
- 对受委托者进行审计。
- 个人信息控制者应准确 记录和保存委托处理个人信息的情况。
个人信息共享、转让
个人信息原则上 不得共享、转让。
个人信息控制者确需共享、转让时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组原因的,应遵守以下要求:
- 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
- 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的 授权同意。共享、转让经去标识化处理的个人信息,且确 保数据接收方无法重新识别个人信息主体的除外;
- 共享、转让个人敏感信息前,除8.2中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
- 准确记录和 保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;
- 承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任;
- 帮助个人信息主体 了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等。
收购、兼并、重组时的个人信息转让
当个人信息控制者发生收购、兼并、重组等变更时,个人信息控制者应:
- 向个人信息主体告知有关情况;
- 变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。
个人信息公开披露
个人信息原则上 不得公开披露。
个人信息控制者经法律授权或具备合理事由确需公开披露时,应充分重视风险,遵守以下要求:
- 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
- 向个人信息主体 告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意;
- 公开披露个人敏感信息前,除8.4中告知的内容外,还应向个人信息主体 告知涉及的个人敏感信息的内容;
- 准确 记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;
- 承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;
- 不得公开披露个人生物识别信息。
共享、转让、公开披露个人信息时事先征得授权同意的例外
以下情形中,个人信息控制者共享、转让、公开披露个人信息无需事先征得个人信息主体的授权同意:
- 与国家安全、国防安全直接相关的;
- 与公共安全、公共卫生、重大公共利益直接相关的;
- 与犯罪侦查、起诉、审判和判决执行等直接相关的;
- 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
- 个人信息主体自行向社会公众公开的个人信息;
- 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
共同个人信息控制者
当个人信息控制者与第三方为共同个人信息控制者时(例如服务平台与平台上的签约商家),个人信息控制者应通过合同等形式与第三方共同 确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。
个人信息控制者在提供产品或服务的过程中 部署了收集个人信息的第三方插件(例如网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包SDK、调用地图API接口),且 该第三方并未单独向个人信息主体征得收集、使用个人信息的授权同意,则个人信息控制者与该第三方为 共同个人信息控制者。
个人信息跨境传输要求
在中华人民共和国 境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应当 按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估,并符合其要求。
九、个人信息安全事件处置
安全事件应急处置和报告
- 应制定个人信息 安全事件应急预案;
- 应 定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;
- 发生个人信息安全事件后,个人信息控制者应根据应急响应预案进行以下处置:
- 记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
- 评估事件可能造成的影响,并采取必要措施控制事态,消除隐患
- 按《国家网络安全事件应急预案》的有关规定 及时上报,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联 系方式;
- 按照本标准9.2的要求实施安全事件的告知。
- 根据相关法律法规变化情况,以及事件处置情况,及时更新应急预案。
安全事件告知
- 应及时将事件相关情况以邮件、信函、电话、推送通知等方式 告知受影响的个人信息主体。难以逐一告知个人信息主体时,应采取合理、有效的方式发布与公众有关的警示信息;
- 告知内容应包括但不限于:
- 安全事件的内容和影响;
- 已采取或将要采取的处置措施;
- 个人信息主体自主防范和降低风险的建议;
- 针对个人信息主体提供的补救措施;
- 个人信息保护负责人和个人信息保护工作机构的联系方式。
十、组织的管理要求
明确责任部门与人员
- 应明确其法定代表人或主要负责人 对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等;
- 应任命个人信息保护负责人和个人信息保护工作机构;
- 满足以下条件之一的组织,应设立专职的个人信息保护负责人和个人信息保护工作机构,负责个人信息安全工作:
- 主要业务涉及个人信息处理,且从业人员规模大于200人;
- 处理超过50万人的个人信息,或在12个月内预计处理超过50万人的个人信息。
- 个人信息保护负责人和个人信息保护工作机构应履行的职责包括但不限于:
- 全面统筹实施组织内部的个人信息安全工作,对个人信息安全负直接责任;
- 制定、签发、实施、定期更新隐私政策和相关规程;
- 应建立、维护和更新组织所持有的个人信息清单(包括个人信息的类型、数量、来源、接收方等)和授权访问策略;
- 开展个人信息安全影响评估;
- 组织开展个人信息安全培训;
- 在产品或服务上线发布前进行检测,避免未知的个人信息收集、使用、共享等处理行为;
- 进行安全审计。
开展个人信息安全影响评估
- 建立个人信息安全影响评估制度,定期(至少每年一次)开展个人信息安全影响评估;
- 个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:
- 个人信息收集环节 是否遵循目的明确、选择同意、最少够用等原则;
- 个人信息处理是否可能对个人信息主体合法权益 造成不利影,包括处理是否会危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等;
- 个人信息 安全措施的有效性;
- 匿名化或去标识化处理后的数据集 重新识别出个人信息主体的风险;
- 共享、转让、公开披露个人信息对个人信息主体合法权益 可能产生的不利影响;
- 如发生安全事件,对个人信息主体合法权益 可能产生的不利影响。
- 在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应重新进行个人信息安全影响评估;
- 形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;
- 妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
数据安全能力
个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失。
人员管理与培训
- 应与从事个人信息处理岗位上的相关人员签署保密协议,对大量接触个人敏感信息的人员进行背景审查;
- 应明确内部涉及个人信息处理不同岗位的安全职责,以及发生安全事件的处罚机制;
- 应要求个人信息处理岗位上的相关人员在调离岗位或终止劳动合同时,继续履行保密义务;
- 应明确可能访问个人信息的外部服务人员应遵守的个人信息安全要求,与其签署保密协议,并进行监督;
- 应定期(至少每年一次)或在隐私政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握隐私政策和相关规程。
安全审计
- 应对隐私政策和相关规程,以及安全措施的有效性进行审计;
- 应建立自动化审计系统,监测记录个人信息处理活动;
- 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;
- 应防止非授权访问、篡改或删除审计记录;
- 应及时处理审计过程中发现的个人信息违规使用、滥用等情况。
十一、相关法律法规
2018年5月9日:最高人民法院、最高人民检察院联合发布《关于办理侵犯公民个人信息形式案件适用法律若干问题的解释》。
解释中说明,非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的 “情节严重”:
- 出售或者提供 行踪轨迹信息,被他人用于犯罪的;
- 知道或者应当知道 他人利用公民个人信息实施犯罪,向其出售或者提供的;
- 非法获取、出售或者提供 行踪轨迹信息、通信内容、征信信息、财产信息 五十条以上 的;
- 非法获取、出售或者提供 住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息 五百条以上 的;
- 非法获取、出售或者提供 第三项、第四项规定以外的公民个人信息 五千条 以上的;
- 数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
- 违法所得 五千元以上 的;
- 将在履行职责或者提供服务过程中获得的公民个人信息 出售或者提供给他人,数量或者数额达到第三项至第七项规定 标准一半以上 的;
- 曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
- 其他情节严重的情形。
实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的 “情节特别严重”:
- 造成被害人 死亡、重伤、精神失常或者被绑架等严重后果 的;
- 造成 重大经济损失或者恶劣社会影响 的;
- 数量或者数额达到前款第三项至第八项规定 标准十倍以上 的;
- 其他情节特别严重的情形。
2019年5月28日 国家互联网办公室发布《数据安全管理办法(征求意见稿)》,明确说明:网络运营者违反该办法规定的,由有关部门依照相关法律、行政法规的规定, 根据情节 给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚,构成犯罪的,依法追究刑事责任。