企业个人信息合规思路与实践报告

360法律研究院简介律实践，围绕数字经济发展的前沿性问题，立足国家安全和行业发展，通过开放合作的研究平台，汇集各界智慧，协同解决互联声明1.本报告著作权归属360集团，谨为企业研究成果参考，不具备监管指导作用，依据本文件不代表完全符合最新执法监管要求。2.报告可供各类型企业建设完善自身个人信息保护制度体系、提升内部专业人员和部门团队能力建设水平，打造企业良好社会品牌与公众形象进行参考。3.本报告仅基于学术探讨目的使用，不代表所有贡献作者所在单位观点。第一章处理的个人信息类型与要求 8一.个人信息的概念、类型 8(一)个人信息(个人数据) 8(二)个人敏感信息 8二.个人敏感信息的保护要求 8(一)特殊标记 8(二)增强告知 8(三)强加密 9(四)单独存储 9(五)独立规则 9三.一般与敏感的判定标准 9第二章处理的原则要求 14一.合法、正当、必要 14二.原则拆解 14(一)权责一致 14(二)目的明确 14(三)公开透明 15(四)选择同意 15(五)最小必要 15(六)确保安全 15(七)主体参与 16第三章处理行为要求 17一.收集 17(一)收集的合法基础 17(二)收集的最小必要原则 21(三)禁止行为 21(四)我方身份 28(五)收集的数据类型 28(六)收集来源方式 28二.存储 30(一)存储的告知同意 30(二)存储地域范围 30(三)存储形式 31(四)敏感个人信息的存储 32(五)匿名化 33(六)去标识化 35(七)存储的期限要求 38(八)超期处理方式 40三.使用 40(一)告知同意 40(二)展示限制 41(三)目的限制 41(四)用户画像的使用限制 42(五)个性化展示的使用 43(六)基于不同业务目的所收集个人信息的汇聚融合 47(七)信息系统自动决策机制的使用 48四.共享、转让 49(一)原则不得共享、转让 49(二)合法依据、理由 49(三)非因收购、兼并、重组、破产原因的共享、转让 50(四)因收购、兼并、重组、破产原因的共享、转让 51(五)记录 51五.公开披露 51(一)原则不得公开披露 51(二)合法依据、理由 51(三)禁止行为 52(四)记录 52(五)担责 53六.委托处理 53(一)总体要求 53(二)我方委托第三方 53(三)我方作为受托方 55七.共同控制 57八.第三方接入(SDK) 58(一)控制者的一般要求 58(二)SDK的特别注意 60九.用户的权利 66(一)查询(访问)、获取副本、更正、删除、注销账号 66(二)撤回同意 69(三)响应 70(四)用户权利限制 70(五)投诉、举报、申诉 71十.跨境传输 72(一)合法依据 72(二)接收方的可靠性 74(三)各方责任、义务的划分 74(四)他国法律监管因素影响 74(五)记录全过程 75十一.未成年人与儿童保护 76(一)需要保护未成年人和儿童的产品或服务 76(二)未成年人与儿童的范围 76(三)儿童个人信息作为个人敏感信息加强保护 76十二.停止运营 81十三.记录 81第四章特殊场景下的个人信息 83一.物联网场景下个人信息 83(一)智能家居设备一般要求 83(二)智能音箱收集个人信息的告知同意 84(三)健康穿戴与管理 85二.公共场合场景下个人信息 86三.车载场景下个人信息 87四.个人金融信息 88(一)个人金融信息的主要类别 88(二)告知同意要求 90五.面部识别等生物特征识别信息 91第五章个人信息安全工程(隐私设计) 93第六章组织、制度、技术要求 98一.应设立专职个人信息保护负责人与机构 98二.应建立健全制度体系 99(一)应设置个人信息处理的管理、审批流程 99(二)应严格管理内外部人员 101(三)应严格管理第三方 102(四)应充分记录留痕 103(五)应重视隐私设计与规划 103(六)应进行事前风险评估 103(八)应开展个人信息安全影响评估 104(七)应建立个人信息应急机制和预案 107(八)应进行安全审计 108三.应有足以保护个人信息安全的技术措施 109第七章监管动向与法律后果 111一.监管动向 111二.法律后果 113(一)刑事责任 113(二)行政责任 115(三)民事责任 117三.典型案例 117常见问题 119一.弹窗 119二.权限问题 120(一)权限的获取 120(二)权限的退出 121(三)最小权限示例 121三.告知同意的机制设计 121四.第三方身份界定与责任划分 122(一)身份界定 122(二)责任划分 122五.不同业务个人信息的汇聚融合 123评估 124(一)基本内容 124(二)注意点 126七.App安全测评 127(一)App个人信息安全测评过程 128(二)App个人信息安全测评方法 128(三)结果判定 131QA 2考法规依据 135计实践参考 141第一部分概述 141第一章前言 141第二章确定App功能 142第三章确定所收集的个人信息种类 145第四章App中的SDK 156心的产品设计与开发 159第一章用户下载安装App 159第二章用户首次开启使用App 160第三章用户注册账户登录App 163第四章收集生物特征识别信息或者申请敏感权限 165第五章App运行和用户管理App 166第六章App变更和隐私政策修改 167第七章用户注销账户 169第三部分传输与存储 170第四部分产品个人信息合规评估清单 171第一章处理的个人信息类型与要求(一)个人信息(个人数据)息结合识别特定自然法提供或滥用可能危害人身和财产安全，极易导致个人名族、个人敏感信息的保护要求：产品或服务的功能强关联；在隐私政策中显著标记，如字体加斜体、特别颜色、标记星号等。、范围、安全保护措施；32同上以及《个人信息保护法(草案)》(二次审议稿)。尽可能弹窗或其他形式显著提示，征得用户明示同意，如用户自主点击同生物识别信息实现身份识别、认证等功能、或者在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能特征识别信息的，需要有专门的保护规则；儿童个人信息识别信息保护规则需要单独告知用户，可在首次下载运行时与隐私政策同下一层则是隐私政策或通过单独链接与隐私政策链接并列展示。般与敏感的判定标准举”加粗与说明部分。4《网络安全标准实践指南—移动互联网应用程序(App)违法违规收集使/upload/2020-07-儿童(14周岁(含)以下)个人信息和自然人隐私信息一般被认为是个护，应在隐私政策中通过加粗字体、颜色变化等形式展示。1本资料2份信息身份证、军官证、护照、驾驶证、工作3物识别信息膜、面部识别特征等4邮箱地址及与前述有关的密码、口令、5康生理信息个人生病医治等产生的相关记录，如病以及个人身体健康状况产生的相关信身高、肺活量等6育工作信息录、成绩单等7产信息银行账号、鉴别信息(口令)、存款信息 房拟交易、游戏类兑换码等虚拟财产信息8信信息通信记录和内容、短信、彩信、电子邮件，以及描述个人通信的数据(通常称为元数据)等9系人信息地址列表等网记录指通过日志储存的个人信息主体操作记收藏列表等用设备信息件列表、唯一设备识别码地址、软件列ID/IDFA/OpenUDID/GUID/SIM卡IMSI信息等)等在内的描述个人常用设备基的信息置信息公开的违法犯罪记录等Cookies所收集的信息是个人信息么？7答案是不一定的：并非所有Cookies收集的信息都是个人信息，具体判断该信息是否属于个人信息仍Cookies来单独判断。8Cookies,theGDPR,andtheePrivacyDirective,https://gdpr.eu/cookies/，最后内嵌Web链接等)收集个人信息时，简要说明相关机制，以及收集个人未征得用户同意前，不利用Cookie等同类技术或通过调用可收集用户个获取除本网站已获得用户授权的个人信息以外的其他信息。实操中可将Cookies进行分类：功能实现绝对必要类(如购物车，提供电全面告知：包括Cookies的用途、运行持续时间、数据保留期限(Cookies捆绑同意；•Cookies使用必需符合隐私政策所述之目的；•用户访问网站时，以CookieBanner等形式提示用户，并给予用户点同意”的选项；•保障用户根据自己的偏好管理或清除网站内保存的所有Cookies的权ies•提供“请勿追踪”功能；9《网络安全标准实践指南—移动互联网应用程序(App)违法违规收集使/upload/2020-07-••Cookie置nCommissionersOfficeICOCookieBannerCookie或者“不同意提供”选项。二章处理的原则要求、正当、必要T下：信息主体合法权益造成的损害承担责任。，避免功能调试超出原始目的，造成需要二次同意的局面，甚至被评定为未经集个人信息的后果。“第四十条网络运营者应当对其收集的用户信息严格保密，并建立健全用使用个人信息，应当遵循合法、正当、必规则，明示收集、使用信息的目的、方式和范围，并集、使用个人信息，并应当依照法律、行政法规和组织不得窃取或者以其他非法方式获取个人信。12参照最新《个人信息保护法(草案)》(二次审议稿))等法律法规及国范围、目的、规则等，并“例如”字样。需进一步咨询监管部门。型和数量，目的除。保护个人信息的保密性、完整性、可用性。开收集、使用规则，明示收集、使用信息的目知同意指南(征求意见稿)》)》知明确的目的，仅当用户等并明确同意后才可收集个人信息，当收集的目现产品或服务的业务功能有直接关联；直接关联是指没有上述C(七)主体参与权同在产章处理行为要求示同意(征得同意前不得收集个人信息或通过CookiGs等同类技术或通过用户主动点击、勾选、填写等作为功能开启的条件，确保功能开启后才可息16。规同意，并给予用户撤回同意的渠道的方法。户应说击或执行前述动作与同意隐私政策之间的关系。如点击即代表同意本紧密关注最新监管执法要求)动行为作为收集个人信息的前提。15网络安全标准实践指南—移动互联网应用程序(App)违法违规收集使用标准实践指南—移动互联网应用程序(App)违法违规收集使b/upload/2020-07-、同意方案物识别信息，收集前单独告知目的、方式、范围、存储时间等场景示例–一款行车记录仪如果需要后台持续获取地理信息(例如了“仅限本次”三个选项。的，只能监护人同意，且对监护人有适当的核验。•合规最低要求为对收集的个人信息至少在隐私政策中说明。独弹窗提示并让用户点击同意；如果无法由用户单独点击码等方式告知用户关于个人信息处理活动等方面的内容。•所有行车记录仪、扫地机、儿童手表、路由器等物联网产品、固件，如果连接家庭类App，需在该等家庭类App个人信息保护政策中说场景示例1–一款智能家居产品(例如扫地机)可以通过手机App通过个人信息保护政策告知智能家居产品收集处理个人信息的目能家居产品的说明书中还可以附上个人信息保护政策全文或者摘场景示例2-一款智能家居产品(例如智能门锁)可以通过手机App需要启动指纹或者人脸识别开锁功能，应当单独弹窗提示用户是否的商品名称信息。”再次告知、征得同意则的方式，并通过推送消息、邮件、弹窗、着重提示等方式提醒用户阅读场景示例–一款社交App更新了隐私政策中的收集使用规则，在用并将严格按照《隐私政策》保护您的个人信息。本次更新调整了我们•为订立或者履行个人作为一方当事人的合同所必需；•为履行法定职责或者法定义务所必需；；的范围内处理已公开的个人信息；护法(草案)》(二次审议稿)。•法律、行政法规规定的其他情形。能有直接关联(直接关联是指没有上述个人信息，产品或服务的功能在技无法实现)；能所必需的最低3.获取个人信息数量应是实现产品或服务的功能所必需的最少数量；4.开启的权限数量应是实现产品或服务的业务功能所必需的最少数量。 (1)不能以欺骗、诱骗、误导的方式收集个人信息； 瞒收集个人信息的功能； 非法渠道获取个人信息； 教信仰等敏感个人信息； 息，避免收集原始数据。于个人信息保护的规定包括强制性法律规定和推荐性标准规定，在收集和处理个人信息时，如果违反法律强制性规定，将直接导致个人信息正，警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法人停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。场景示例1-利用爬虫技术等编写程序或者脚本以自动化方式抓取网页护边界侵入计算机信息系统，不Robots抓取不能抓取的信息。场景示例2–不能从来源不明的渠道、黑市购买通讯录、邮箱地址、信 (1)不应收集的个人信息类型或打开的可收集个人信息的权限与现有业务 (2)不应因用户不同意收集非必要个人信息或打开非必要权限拒绝提供业 (3)App新增业务功能申请收集的个人信息超出用户原有同意范围，若用 (5)不得以改善使用体验、提升服务质量，新产品研发、增强安全性等为强制捆绑部分有重合之处) (6)不得要求用户一次性同意打开多个可收集个人信息的权限，用户不同；23 (7)用户可以拒绝与功能相关但非必要的个人信息收集或权限的打开，如需要收集，应事先征得用户的自主选择同意； 场景示例-息权限(BODY_SENSORS)提供心率测量等功能的App外，其他21《网络安全标准实践指南—移动互联网应用程序(App)违法违规收集使/upload/2020-07-则，收集与其提供的服务无关的个人信息/2019-c8986455686625.htm。24《网络安全标准实践指南—移动互联网应用程序(App)违法违规收集使/upload/2020-07-保了我需要由用户自主选择开启或关闭。全或运营安全以外28(紧密关注《个人信息保护之前)申请相应权限或收集相应个人信息29。如连接设备等基本功能在技术上onp6为了网络运行安全、产品运维安全等目的，同时应参考最新法律法规和(征求意见稿)。 (1)不得以改善用户体验、提升服务质量，新产品研发等为由强迫用户同收集或权限的开启； (2)不能捆绑强迫用户接受某项或所有业务功能，不能一揽子征集所有授 所必要的； 4.禁止未公开收集使用规则305.禁止未明示收集使用个人信息的目的、方式和范围31用规则/2019-12/27/c_1578986455686625.htm；：BAppD.隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊用个人信息的目的、方式和范围/2019-c86455686625.htm；使用的目的、方式和范围：B.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知C.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账步告知用户其目的，或者目的不明确、难D.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用例-告知的目的需具体、明确用息”；6.禁止未经用户同意，私自收集使用个人信息32收集使用个人信息/2019-12/27/c_1578986455686625.htm；ie限等方式收集个人信息B.用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权；C范围；E状态，如App更新时自F定向推送信息，未提供非定向推送信息的选G以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个的；I.违反其所声明的收集使用规则，收集使用个人信息。7.禁止频繁征得同意不得在用户明确拒绝使用某类服务后，频繁(每48小时超过1次)要求关联启动体现为打开手机安装的某一个App软件，其他App软件同时被DKSDKApp程，以保证所有App消息推送的送达率；用户长久不使用的App，无法显示服务进程，一旦用户选2017年，由工信部指导成立的包含了主流手机厂商和用户基数大的App，各应用无需自己考虑消息推送的问题，把这在用户实际使用相应功能前，不得收集相应的个人信息，申请相应的权点(征求意见稿))。34《网络安全标准实践指南—移动互联网应用程序(App)违法违规收集使场景示例-择(即“xxx公司”)会和用户协议保持一致。性取疾病信息等。来源合法(见收集部分的“禁止行为”) (1)通过产品或服务直接获取。不得私自收集(一般指未经用户的明示同 的，不回传。 (3)抓取。注意要点：A.限于合法公开渠道可获取的，且避免敏感个人信息；考虑公开渠道的全性；诺书、授权书、邮件往来、产品日志等；被抓对象事前的、书面、明确的同意。2.间接收集(从第三方获取)36 要求第三方说明其数据来源，并对其合法性进行确认； 除等； (3)超出原授权范围的，在获取个人信息后合理期限(越早越好)内或处人信息前征得个人信息主体的同意，或通过第三方征得个人信息《信2.关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储403.特殊领域的信息乃至所涉个人信息应存储在境内，出境需主管部门评估场景示例-。人存储在境内。加密存储例-统一账号体系下的存储与注销号”。43《外商投资准入特别管理措施(负面清单)(2020年版)》。。企业应当提供本地数据备份功能，同时将备份介质进行场外存放，并具有不少于一种方式54： (1)应提供个人信息的本地数据备份与恢复功能，定期对备份数据进行恢据可用性； (2)应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份 1.企业应当做到对传输、存储阶段进行加密；原则上企业不应存储原始个人生物识别信息(如样本、图像等)，可采取的 (1)仅存储个人生物识别信息的摘要信息； 份识别、认证等 (3)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等图像。BT法律法规规定的义务相关的情形除外。根据《个人信息保护法(草案)》(二次审议稿)以及《信息安全技术个人息和非匿名化信息分开存储，防止重标识。6.3条，经过匿名化或脱敏的方标相关使用协议和约定，但应提供适当的保护措施进行保护；下对匿名化要求的程度并不制、事后审计。个人且不能复原的除外。四十二条网络运营者不得泄露、篡改、毁损其收集的个向他人提供个人信息。但是，经过处理无法识T2008年国际标准化组织(ISO)发布了健康信息假名化技术规范ISO/TSE直接标识符，实私敏感信息的脱敏。2018年ISO和国际电工委员会(IEC)发布了ISO/IEC20889，规定了去术、假名化技术、泛化技术、随2014年4月，欧盟“第29条工作小组”(Article29WorkingParty)通过了《第05/2014号意见：匿名化技术》(Opinion05/2014on对性地提出了建议。在该意见中，匿名化技术主要包括随机化和泛化，包括加噪(noiset风险、链接攻击风险和推理攻击风险。方法描述举例屏蔽对标识符数据项进行抑制处理，对其进行删除或者隐藏。屏蔽可以针对整个数据项进行，也可以选择对数据项的一部分进行屏蔽身份证号——时，可选择直接删除，也可使用“440524********0014”代替随机使用随机产生或分配的数据代替原来的数据项，随机方法可以包括噪声添加、完全随机产生、数据项重排置换等中文姓名使用随机生成的姓和汉字表示，如使用随机生成的“辰筹猎”代替“张三丰”泛化的办法表示原有的数据项。对于数值等方法对数据进行泛化如实数数据“1.732”可以泛化为“1”；如“张三”可泛化为“张某”加密凑运算等。如果需要保留原有数据项的某些特性，还可以使用保序加密或保留格式加密等算法如身高“1.73”可以加密为“1.46”中国关于匿名化标准见：《信息安全技术个人信息去标识化指南(征求取技术措施防止人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的复原的过程。经过匿名化的个人信息无法再识别到个人，但是去标识化后的个人信息在需要满足商业上的要求；而去标识化是个人信息处理者内部对个人信息安知 一种对数据集进行去标识化或提升去标识化技术有效性 屏录抑制。 (4)假名化技术，是一种使用假名替换直接标识(或其他准标识符)的去标识化技术，包括独立于标识符的假名创建和基于密码技术的标识符派生 ，是指一种降低数据集中所选属性颗粒度的去标识化技术，(二次审议稿)。据进行更概括、抽象的描述，包括取整、顶层与底层编码。 类至少包含K个记录，使 数据集中任何特定个人的存在与否无法从去标识化数据集或息《信息安全技术个人信息去标识化指南(征求意见稿)》就如何去除个人标识化效果分级评估规范(征求意见稿)》基于标识个人身份程度给出一种个人信息分级划分，用于去标识化效果评价，也可用于进一步落实个人信和《信息安全技术个人信息去标识化指南(征求意见稿)》形成了辅助作别个人的信息与去标识化后的信息分开存储并加强访问和使用场景示例-种方法为用户主动输入手机号码，一种方法为系统自动识别出手机号-40岁。存储期限应为实现个人信息主体授权使用的目的所必需的最短时间，法律定或者个人信息主体另行授权同意的除外。除个人信息；如果用户注销账号，可以在合理时间(例如存留30-60日，给用户留充足的下载转存时间，并明确告知用户。最短期限/明确说明具体时间长度。场景示例-另有规定的，应当遵守：•自动驾驶路测车辆事故或失效状况发生前至少90秒的数据存储时映测试控情况等信息。向自动电子商务平台应当记录、保存平台上发布的商品和服务信息、交易•网络直播服务提供者对网络交易活动的直播视频保存时间自直播•互联网服务提供者(如互联网网络接入、互联网信息服务、域名注册和解析等服务提供者)对用户的真实身份信息应当在提供服务期务管理办法(修订草案征求意见稿)》)；面向中小学生、利用互联网技术实施的学科类校外线上培训的培训•Facebook与美国联邦贸易委员会在“剑桥分析”案最终达成的和解协议中，关于个人信息删除的约定如下：(1)最长在用户终止、删k的信息(但是第三方从其他途径访问到的信息不受此限制)，并且要欺诈和反非法活动留存除外；(2)最可行除外；(3)如果用户仅删除部分信息而不是终止账户使用，可原数据。企业应当做到当超期时对个人信息进行删除或匿名化处理。64此处匿名化5措施企业应当做到安全管理人员、数据操作人员、审计人员角色分离设置；围内最小、必要的个人信息，仅具备完成职责所需的最少权限；确需超权的，应经个人信息保护责任人或个人信息保护工作BT场景示例-替代遮挡，防止无权限人员查看。型围示前6位+*(实际位数)+后4位，*1496息码、护照号码期，身份证号码屏蔽后6位名手机号码4)固定电话后2位电子邮箱的个人信息，能够单独或与其他信息结合识别特定自然人定自然人活动情况的仍为个人信息，应遵守收集时的授权原始目的范围，需要明确、具体、清晰，增加功能不一定超出原始目场景示例-务)。以未成年；成年人在线教育网络产品和服务以及非在线教育网络产品和服务，可以插入广告或者游戏链接。合法权应危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会信息扰乱经济秩序和社会秩序；接画像；场景示例-启定向推送功能，用户可选择再次关闭(与最新监管要求保持一致)。用户关闭定向推送后，不能基于直接画像(针对用户个人)和间接画像(针对与用户及模糊相似群体，例如均为女性)推送广告，告，例如可以基于粗略地理位置向该区域所有人推送“周边的服务”，或者分时间段推送某一类型广告(例如国庆节前后推送酒店广告)。通过自动化决策方式作出对用户个人权益有重大影响的决定时，用说明，并有权拒绝个人信息处理者1.企业应当显著区分个性化展示和非个性化展示部分，包括但不限于标(二次审议稿)。企业应向用户提供不针对个人特征的选项，并允许用户自行退出；722.企业向用户提供电商服务，并根据用户兴趣爱好、消费习惯等提供商3.企业向用户提供推送新闻信息服务的，应提供直观的退出或关闭个性人信息(如标签、画像维度等)制，保障用户调控个性化展示相关程度的能力；即用户基于其哪些个人信息进行定向推送；用户可在“个性化广告”设置中直接查看Google基于用户的网络浏览历标签。调控个性化展示相关程度的能力。71对比最新《信息安全技术个人信息告知同意指南(征求意见稿)》的要(二)条第4款。展示不一样的内容和搜索结果排序，则属于不针对“你的资料”等类别，选择关闭或开启与其相关的个性化广告推送。用户还能在设置页面中，了解到广告主的目标受众与被投放广告的用户间有怎样的联系。5.从执法层面来看，2020年至今工信部的12次关于违法违规App的子邮件地址属于保密信息。用户主动向公司提供的电子邮件地址；能将采用在线自动收集、字母或者数字任意组合等手段获得的他获得的电子邮件地址发送互联网电子邮件；•不能故意隐匿或者伪造互联网电子邮件信封信息；系绝接收广告，除公司和用户另有约定，不应再发送广告 (不得更换名义后再次发送)76；0日内有效；•发送广告需要在邮件标题信息前部注明“广告”或者海外的注明“AD”字样；•如果用户向电子邮件服务提供者投诉，企业应当及时响应投诉；意或者请求，或者消费者明确表示拒绝的，不得向其发送商业。•企业应当记录电子邮件的发送或者接收时间、发送者和接收者的查询。话或者短信发送广告需要用户明确同意，并且提供拒绝选项；如广告。发送广告之外的业务管和服务类短信息不受此限制；短信中写明公司名称、联系电话，提供便捷和有效的拒绝接收方式建议按一般民事诉讼时效时长留3年)企业应当遵循目的限制要求，就汇聚融合后的目的，开展个人信息安全影意等。同场景下的汇聚融合方案需要具体分析，仔细设计哪些信息可以汇聚融77《通信短信息和语音呼叫服务管理规定(征求意见稿)》。汇聚融合。面在规划设计阶段或首次使用前开展个人信息安全影响评估；在使用过程中息安全影响评估；依据结果采取或改进有效保施；应提供投诉渠道，支持人工复核。人信息处理者予以说明，并有权拒绝个人信息处理者仅通过自动化决场景示例-自动化决策。自动化决策行为。策，需要向受影响的个异议并请求采取更正、删除等必要措施，公实的，应当及时采取必要措施，可通过提供用户申诉机会。次审议稿)展个人信息安全影响评估的保护个人信息的措施。类型、范围、接收方的类型、身份等信息；告知不同意的后果；与第三方签订书面合同，审核并确保安全，明确的权利、义务、责任划分；设置有内部与场景示例-让数据，需要在隐私政策中进行说明；链接或者信息由第三方收集，除了”；转让因收购、兼并、重组、破产原因导致的共享、转让行为，企业1.事先开展个人信息安全影响评估+相应安全保护措施；2.事先告知+征得授权同意；经去标识化处理且确保数据接收方无法重人信息主体的除外81； ； 身数据安全能力+明示同意； 人生物识别信息的类型、接收方的具体身份和数据安全能力意。合同约定接收方的责任和义务；BT授权同意，一般情况下就是明示同意。具体告知要点遵从《个人信息保)的要求。83注意参考《个人信息保护法(草案)》(二次审议稿)等法律法规及国家。A.应事先告知；85B.变更后的个人信息控制者履行原责任和义务；C明示同意；D。企业应当记录共享、转让的内容、日期、数据量、目的、数据接收方的基况等信息，留存合同文本及告知同意证据。1.必须有较强的必要性；84根据《个人信息保护法(草案)》(二次审议稿)第六十八条，个人信息BT，未要求此时征得同意；告知即可；除非目的先开展个人信息安全影响评估，并采取有效保护措施；3.事先经过明示同意，告知目的、类型，涉及个人敏感信息的还应告知具体内容。有例外86(注意参考最新个人信息保护法)，即与个人信息产等重大合法权益但又很难得到本人授权同意的、用户自行向社会情形场景示例-公民种族、民族、政治观点、宗教信仰等个人敏感信息的分析结果。》(GB/T35273-2020)。企业需要承担因公开披露造成损害的责任。必要性，但是经过处理无法识别特定个人且不能复原的禁止未经同意向他人提供个人信息，经过处理无法识别特定个人且不能复除外89息给被委托方，应对第三方进行监督，包括2.不应超出我方征得用户授权同意的范围；个人且不能复原的除外。及的个人信息类型、传输方式等。涉及嵌入或接入第三方插件(例如SDK、API等)的应当一并按上述维度进行梳理。实必要的管理和技术措施，防止个人信息的泄漏、损毁、丢失、篡5.应签订关于个人信息保护的书面合同，约定我方和受托方的权利、义对受托第三方进行审计；7.要求受托方严格按照我方的授权处理的目的、范围、方式等进行个人8.如我方改变目的、范围、方式等超出原始授权范围的，需要更新隐私10.受托方对个人信息的相关数据进行处理完成之后，应对存储的个人信11.准确记录和存储委托处理个人信息的各种情况；12.得知或发现第三方未按要求处理或未有效履行个人信息安全保护责任，91根据《个人信息保护法(草案)》(二次审议稿)第五十五条，评估内容包响及护措施是否合法、有效并与风险程度相适应；所采取并与风险程度相适应。理和技术措施，防止个人信补救措施控制或消除安全风险。必要时，应终止委托，并要求第三方及时删除所获的的个人信息。(合同中可事先约定终止协议的条件)。场景示例-三方进行数据训练、数据存储于第三方期审计等。步改变目的、范围；如有特殊原因无法做到，应及时向委托方4.如我方改变目的、范围，再次委托等超出合同或其他书面文件授权范5.协助配合个人信息主体所行使权利的实现；6.如无法提供足够的安全保护水平或发生安全事件，应及时告知第三方7.委托结束后，及时删除存储的个人信息。为是否需要再经过用户明示同意的问题：首先，从控制者、处案例看，有三重授权的规则要求，即用户授权委托方收集使用，委托方授OEM工规定的目的和方式处理数据，超出约。据处理做出约定，除了运维外不应为境传输责任，整个过程需经过严格依号条例将个人数据传输给第三国处理者的标准合同条款(可随时参考最新文共同控制应满足的个人信息安全要求及各方的责任与义务，并明确告知用户；应承担的如未告知第三方身份及各方应承担的责任与义务，应承担第三方引起信息安全责任。93SDK形，p名化处理的除外。94例-摄像头与物业用安装在小区的视频监控收集到的数据用作分析改进产品性能或者做有责任，但可以在双方合同约定权利义务和责分担。93注意遵从《个人信息保护法(草案)》(二次审议稿)要求。94网络安全标准实践指南—移动互联网应用程序(App)违法违规收集使用属于委托处理或共同控制的情况。；再向第三方应用提供个人信息；当用户获知应用为第三方提供3.App运营者宜对于接入的第三方应用收集个人信息的合法、正当、必方应用收集使用个人信息的规则；974.说明第三方代码、插件的类型或名称，及收集个人信息的目的、类制设置接入条件；6.应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及7.应向用户明确标识产品或服务由第三方提供；8.应妥善留存平台第三方接入有关合同和管理的记录，确保可供后续查96网络安全标准实践指南—移动互联网应用程序(App)违法违规收集使用97网络安全标准实践指南—移动互联网应用程序(App)违法违规收集使用9.应要求第三方向用户征得收集其个人信息的授权同意，必要时核验其10.应要求第三方建立响应用户权利请求和投诉等的机制；方 第三方被监管部门通报下架时)12.产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的，宜采取以下措施： 合约定 (2)对第三方嵌入/接入的自动化工具收集个人信息的行为进行 (3)发现超出约定的行为，及时切断接入。App方为控制者，也有第三方自主控制或共同控制的情况，需要具体分析，并以各方责任身份来制定告知同意的具体方案。应当审查外部支付机构的牌照是否合付机构收集个人信息的情况(例如，公司需要向第三方机构提供流水订三方支付机构提供与实现支付功能无关的信息(例如，第三方支付机构支付机构从其他渠道可以获得的按照反洗钱法要求必需提供的信息(例证号码、手机号码信息)。私政策中对接入的链接进行说明，要求第三方链接公布隐私政策。软件开发工具包(SoftwareDevelopmentKit，简称SDK)是指辅助开发的通用功能模块。常见的第三方SDK有框架短信验证类、基础功能类等。 (2)告知同意机制：⚫在个人信息保护政策中“间接收集个人信息的方式”部分,对使用第三方序(App)使用软件开发工具包(SDK)安全指引》，httpswwwtcorgcn/upload/2020-11-27/1606438309423027911.pdf。⚫在个人信息保护政策中“我们如何共享、转让、公开披露您的个人信明所有嵌入的第三方SDK名称及类型、第三方SDK明所有嵌入的第三方名称及类型、第三方主要实现的户个人信息的内容、目的和方式、SDK提供的用户权利以及对第三方SDK的安全管理措施。也可以在KApp隐私政策的情况下，我集信息；而当第三方SDK作为共同数据控制者，并且用户是“有感知”的情况下(如地图类SDK、登录类SDK、支付类SDK等)，我方AppSDK获取用户同意。场景示例-第三方K提供者 )在集成第三方SDK前宜对第三方SDK进行安全性评估，包括对SDK方基本信息等来源评估，对恶意代码、安全漏洞等进行代码安全估，对调用的敏感权限等进行行为安全性评估。安全评估应当定 (4)使用提供者基本信息明确、沟通反馈渠道有效的SDK； (5)对于使用的具有热更新功能的第三方SDK，宜对第三方SDK的热更阻断，对于发现问题的热更新内容应及时停用； (6)对集成后的SDK进行持续动态监测或定期进行安全评估； (7)通过接口调用第三方SDK功能的，对接口增加鉴权机制； 保存期限、超期处理方式，各自应采取的安全措施，承担的责任义务 SDKApp个人信息的，应SDKApp共享或收集的息或做匿名化处理。SDK (1)收集使用个人信息和申请敏感权限应遵循合理、最小、必要原则； App提供者按需进行选择使用或开启关闭，不应强制捆绑无关功能并以此为由申请无关权限或收集无关的个人信息； (3)告知App提供者充分的信息，基本信息、沟通反馈渠道(需核实有目的，建立的个人信息主体权利响应的机制，热更新机制及开关方的界面、是否嵌入其他SDK，是 有充足的安全技术措施； (5)作为个人信息共同控制者或独立控制者收集使用用户个人信息的DK (7)如必要，建立选择退出机制“Opt-out”，用户可选择不使用SDK，在； 传输数据是否加密；是否存在单独收集用户个人信息的界面；在后台自启动和关联启动后收集个人信息的行为等。•代码安全：计、代码混淆等方式，增强自身安全性。在发布上线调频率检测、收集个人信息的类型和频率检测、后台自启动和关并收集个人信息行为的检测；功能的第三方SDK，对接口增加鉴权机•行为安全：情况下进行更新升级；无相关业务场景或无用户授权情况下不能主动进行后台唤醒；API台其他敏感行为，应留存日志记经应用允许的情况下进行热修复或者动态加载组件。•存储安全：•传输安全：HTTPS书校验、证书绑定等安应在传输过程中对用户个人敏感数据字段单独进行加密；日志记录包含输出日志记录包含用户个人敏感信息的，对个信息单独进行加密。类、人脸识别类、语音识别类、短信验证类、基础功能类等)5.SDK的个人信息保护政策链接：WLAN态和身份、写入外部存储卡DK 、上网记录、财产等)：列举收集的其他信息种类： 8.收集个人信息的方式9.App从第三方SDK获取的个人信息10.是否控制所收集的信息、留存信息或者所收集信息是否被用于为公 】本、更正、删除、注销账号必须告知并提供访问(副本)、更正、删除、注销账号的有效功能、方便的cn查询(访问)包括查询用户个人信息；该个人信息的来源、使用目的；查询第三方接收者的信息(身份或类型)；是否必须实时查询，需要参考最新法规要求(30日以内或法律法规规定的期限内101)。尽可能在产品界面实质打印副本的成本价并未禁止。除，及时响应，包括经用户申请和自主维护，失去存储必要性时当主动删除个人信息的情形103：个人撤回同意；人信息；人有权请求删除。)》(GB/T35273-2020)8.7响应个人信息主体情况。》与《信息安全技术个人信息安全规范》(GB/T35273-2020)8.3。应用户请求，公司应当提供给用户访问个人信息和复制个人信息的权制规定用户可请求将信息以给第三方。如果用户要求搜索产品删除可以被用来检索到自身的关键词或者要求•该信息是否真实准确，信息内容是否合法；•该信息来源是否合法；•该信息是否是合法公开的信息或者用户主动公开的信息；•该信息是否和新闻公众事件或者公众人物关联不大。如果满足上述条件，均为“是”，搜索产品可以拒绝删除；如果不满足上条件，搜索产品应当满足用户删除请求。体从服务器的删除时间需要依据法律法规户104企业通过注册账户提供产品或服务的，应提供注销账户的方法，且方法需简单易于操作；注销账户过程需要身份核验所需个人信息主体提供的个人在15个工作日内完成核实和处理；注销过程需要敏感个人信息进行核验：1.未提供有效的更正、删除个人信息及注销用户账号的功能；2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件,增加个人信息主体的义务(如注销单个产品或服务，视同注销多个产品或服务。此处对同一账户问题提出更高的要求，没有独立的账户体105)；3.虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内(承诺时限不得超过4.注销用户账号等用户操作已执行完毕，但App后台并未完成。企业不应因用户撤回同意而拒绝提供所有服务，除撤回同意无法提供强关。企业应保障用户拒绝接收基于其个人信息推送商业广告的权利，如设置退。(三)响应天内或法律法规规定期限内作出答复及合理解释，并告知个人信息主体外部纠p产品界面实现的尽量在界面实现。息保护法律法规和国家标准。vcn示例-为订立合同或履行个人作一方当事人的合同所必需109，这也意在技术上实现。弹窗并说明理由--例如“您使用xxx购买商品必须依赖您的收货地址信浏览的服务。被收集信息的用户必需是合同一方，而不能仅仅是使用服务的其他用际使用服务，在车内应当语音或者图标提示摄像头的存在。隐私政策中至少提供以下一种投诉渠道111：在线客服在线表格十.跨境传输112循最新相关法规依据。法评估产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的全管理办法，由国家网信部门会同国务院有关部门制定，企业应时刻关注关的立法动态。《个人信息保护法(草案)》(二次审议稿)提出，个人信息处理者因业务，确需向境外提供个人信息的，应当至少具备下列一项条件： (一)通过国家网信部门组织的安全评估； (二)按照国家网信部门的规定经专业机构进行个人信息保护认证； (三)按照国家网信部门制定的标准合同与境外接收方订立合同，约 (四)法律、行政法规或者国家网信部门规定的其他条件。.告知同意境个人信息类型。息保护法(草例外情况，需要参考不同国家最新的法律法规要求。手机号码注册的苹果商店用户才可以下载。为不能使用国内手机号码注册账号或者同时要求苹果商店不提供国内3.传输的数据类型合法类型的数据需要特别注意，如民族、宗教信仰、政治观点，生基因信息等。4.不应突破本地化要求考虑到目前尚未看到“经明示同意”可以突破本地化的要求，收集和产生的个人信息与重要数据113因此关键信息基础设施收集和产生的个人信息与重时针对特殊领域则需按照法律法规要求做到本地化存储(详见存储部分)。，传输方/接收方模式，抑或是控制者/处理者模式。但必须有书他国法律监管情况，对现实和潜在风险进行把控。目前全球有超过60个国家做出不同程度数据本地化存储的要求，对本均应在俄境内建服务器)、印尼(应在境内建立数据灾备中心)、尼日利要求的有澳大利亚(个人健康记录要存在其境内)、加拿大、新西兰、中国台湾、土耳其、维瑞内拉。度与业务实际判断是否需要建服务器，同时可EP议稿)。议稿)。在海外销售的智能硬件数据回传中国处理需要根据当地跨境传输的规5章有特殊要求，仅在满足该等特殊要求的情形下，才可以将欧盟用户可的提供充足保护的名单中(除去美国，目前仅12个国家或地区。韩(列举了6种保障措施，包括由双方签署标准合同条款、采用有约救济措施；4.特殊情形下的克减(包括个人明知仍同意、履行合同所必有很多限制性措施无法成为企业应当详细记录跨境的全过程，包括从评估到最后执行，书面文件、技十一.未成年人与儿童保护115务1.主要针对未成年人、儿童的产品、服务：2.被视为针对未成年人、儿童的产品、服务：现儿童偶像、或吸引儿童的名人，网站或服务上有针对儿童的息，如收集的儿童身份信息的情况。围保护例-某产品是否需要专门的儿童隐私规则(征求意见稿)》等最新法律法规和文件。n儿童个人信息保护政策，儿童为非主在隐私政策中说明不收集儿童信息。儿童为主要受众的产品(例如游戏、社交以及教育产品)在用户登录注方式进行核验身份，例如要求用户输入生日但上述措施不应超过必要限度(例如不应要求未成年人上传其手持身份以进行注册119。2.儿童个人信息保护负责人已经设立数据保护官，可以由数据保护官兼任儿童信息保护工作；如.告知同意告知儿童监护人，并应当征得儿童监护人的同意。除了要求更正和删除的止运营时必须删除并将情况告知监护人。征得同意时，应同时提供拒绝选项，并明确告知以下内容： )儿童个人信息存储的地点、期限和到期后的处理方式；n121遵从最新《个人信息保护法(草案)》(二次审议稿))的定义。 3)针对儿童个人信息的敏感性采取的特别安全保障措施； (4)拒绝的后果； (5)投诉、举报的渠道和方式； )更正、删除儿童个人信息的途径和方法； (7)儿童个人信息的敏感性与注意事项； (8)监护人正确履行监护职责，教育引导儿童增强个人信息保护意识和能 (9)其他应当告知的事项。。围使用的，应再次征得儿童监护人4.儿童个人信息存储要求 (1)加密存储和传输儿童信息； 特定第三方披露儿童信息； 正和删除途径； 5.访