文章讲述了企业进行个人信息合规处理的重要性,强调了在使用弹窗进行显著告知、权限获取时的用户同意机制、最小权限原则,以及第三方合作的责任划分。此外,还涵盖了隐私政策的自评估、App个人信息安全测评流程和方法,以及用户权利的保障。
声明
本文是学习360 企业个人信息合规思路与实践报告 2021. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
常见问题
弹窗
弹窗是比较显著的告知方式,不是所有情况都要弹窗,但要求弹窗的必须使用弹窗161,具体要求如下:
- 重要场景、环节应当弹窗告知并征得用户同意。
- 首次运行、注册、打开时,隐私政策应以弹窗等显著方式提示阅读;
- 收集敏感个人信息时,应弹窗等显著方式向用户明示收集、使用个人信息的目的、方式、范围;
- 收集处理个人敏感信息,即时提示(弹窗、浮窗、提示文等)162;
- 通过嵌入第三方代码、插件等方式将个人信息传输至第三方服务器通过弹窗提示等方式明确告知用户;
- 使用 cookies 等同类技术收集个人信息时,应向用户明示所收集的目的、类型(弹窗、浮窗,不可绕过);
- 使用个人信息的目的、对外提供个人信息、个人信息处理规则发生变化时,宜采用弹窗等显著方式进行告知。
权限问题
权限是监管重点164, 权限是操作系统内置的访问控制机制,安卓系统都有哪些权限呢?
安卓(Android)操作系统通过权限来控制 App 对系统资源和个人信息的访问使用。App 只有在系统层面获取了某项权限,才能执行与该权限有关的操作。例如,App 获取READ_CONTACTS(读通讯录)权限,就能读取手机的通讯录信息;获取 ACCESS_FINE_LOCATION(访问精准位置)权限, 就能得到手机的精确位置信息165。
(一 ) 权限的获取
告知同意的方式:弹窗提示、用途描述等显著、即时、同步的方式。同步告知目的,目的明确、易懂;同时应同步告知申请打开权限和要求提供个人敏感信息的目的166 。
App 申请打开权限时,应当说明该权限将收集个人信息的目的、如何关闭、关闭的后果等。
首次打开 App 时,仅申请保证 App 基本功能正常运行所必需的权限,在后续使用 App 功能时,根据业务功能需要逐步申请 所需权限。不应采用“一揽子打包”、“默认打开”、“强制捆绑”、“私自更改”、“频繁打扰”等方式。
未经用户同意,企业不应私自更改 用户设置的可收集个人信息权限和收集使用个人信息相关功能的状态。例如,未经用户同意,在更新升级后,将用户设置的可收集个人信息权限恢复到默认状态,或将用户已关闭的使用通讯录匹配好友等功能重新打开。167
权限的退出
企业应告知权限可以撤回,并实际提供方便的撤回权限的途径。
(三 ) 最小权限示例168
企业不得在产品更新时,修改用户的默认权限等设置。同时,企业不应在用户明确拒绝权限后,频繁询问是否打开该权限,也不应捆绑打开多个权限。
请注意,当该权限是用户所触发需使用功能在技术上所必须时,则可以在用户主动触发后再次申请。
告知同意的机制设计
企业可以依照最新《信息安全技术 个人信息告知同意指南(征求意见稿)》进行设计,在征得同意前不得收集任何个人信息,不能捆绑、一揽子同意、不应频繁征得同意等。隐私政策被认为更倾向于告知功能,用户使用到相应功能时才触发权限或个人信息的申请,并经用户明示同意,与此同时告知用户收集该类个人信息或权限的目的、范围等必要内容。
特殊类:个人生物识别信息需要单独告知,告知收集处理的目的、方式、
范围,涉及的个人信息类型、安全保护措施,可撤回同意,撤回同意的方式,撤回的后果等。要做到显著提示、明示同意、即时提示。涉及儿童的有专门的儿童个人信息保护规则,进行显著告知并征得监护人的同意,告知可以拒绝,拒绝的后果等。
第三方身份界定与责任划分
(一 ) 身份界定
- 控制者、处理者;
- 委托方、受托方;
- 共同控制者;
- 代表、代理;
- 第三方接入合作关系。
(二 ) 责任划分
原则上企业控制个人信息需要承担个人信息安全责任,也要求企业事先与
第三方通过书面合同事先约定好双方或多方的义务与责任。针对超范围处理个人信息的,则需要承担相应的个人信息安全责任。与第三方民事责任划分,企业需要参考最新《民法典》、《个人信息保护法》及相关解释进行规定。
不同业务个人信息的汇聚融合
根据汇聚融合后个人信息所用于的目的,企业应当开展个人信息安全影响评估,并采取有效的个人信息保护措施169;如果超出收集时的目的、范围,则应另外征得用户的明示同意。如果形成新数据为个人信息的,则需要按照个人信息处理要求进行保护。
隐私政策自评估
(一 ) 基本内容
企业在开展隐私政策自评估时,首先应当评估以下基本内容,同时确保做到符合法律法规的相关要求:
-
表明身份:包括主体身份+联系方式+个人信息保护负责人联系方式, 主体:组织或公司的170名称、注册地址或常用办公地址、个人信息保护机构或相关负责人联系方式;
-
逐一列出 产品或服务的基本业务功能与扩展业务功能(包括委托的第三方或嵌入的第三方代码、插件),并列出各业务功能收集使用个人信息的类型、**目的、方式、范围、**存储期限、是否出境等; 且功能与收集的个人信息类型一一对应,具有较强关联性(无该个人信息,功能无法实现);
-
显著标识个人敏感信息;如字体、字号、颜色突出等;
-
说明是否需要对外委托第三方处理、共享、转让以及目的、涉及个人信息的类型、接收个人信息的第三方类型或身份、接收方使用的目的、个人信息共享、转让过程中的安全措施、共享、转让个人信息是否对个人信息主体带来高危风险以及各自的安全和法律责任171;
-
说明是否需要公开披露个人信息,并详细描述需要公开披露的个人信息类型、原因、是否对个人信息主体带来高危风险172;
-
说明何种情况下个人信息控制者会不经过个人信息主体同意,共享、转让和公开披露数据,如响应执法机关和政府机构的要求、进行个人信息安全审计、保护个人信息主体避免遭受欺诈和严重人身伤害等173;
-
对个人信息存放地域(境内、境外哪个国家或地区)、存储期限(法律规定范围内最短期限或明确的期限)、超期处理方式明确说明;
-
如果将个人信息用于用户画像、个性化展示等,说明其应用场景和可能对用户权益产生的影响;如部分业务功能不涉及用户画像,个性化展示,可在规则中明确说明;174
-
是否跨境、跨境传输的目的、处理规则(跨境传输遵守的标准、协议和法律机制)、说明出境个人信息类型并显著标识;
-
个人信息主体的权利和实现机制,包括访问(查询)、获取副本、更正、删除、注销、撤回同意、退出定向推送、拒绝自动化决策175、 投诉(如对系统自动决策结果投诉)的方法;
-
用户提供个人信息的可能安全风险;不提供个人信息的可能影响;表明在发生个人信息安全事件后,个人信息控制者将承担法律责任并将及时告知个人信息主体176;
-
对个人信息保护方面采取的措施和具备的能力进行说明—遵循个人信息安全基本原则,具备数据安全能力、采取的个人信息安全保护措施
(如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等);必要时可公开数据安全和个人信息保护相关合规证明177;
-
说明目前遵循的个人信息安全协议和取得的认证178。
-
处理个人信息主体询问、投诉、申诉、举报的渠道和机制(电子邮件、
电话、在线客服、在线表单、即时通信账号其中之一即可 ),以及外部纠纷解决机构及联络方式; -
隐私政策的发布、生效或更新日期。
(二 ) 注意点
除以上基本内容以外,企业应当额外关注以下方面是否做到合规:
- 个人生物识别信息单独告知,有单独的规则;
- 涉及儿童的有专门的儿童个人信息保护规则,进行显著告知并征得监护人的同意;
- 隐私政策所告知的信息真实、完整、准确179;
- 清晰易懂,符合语言习惯、使用标准化数字、图示、避免歧义;
- 公开发布、且易于访问(在 App 主界面,通过 4 次以内点击、滑动可阅读到);
- 隐私政策单独成文;
- 首次运行时 (首次打开、注册账号时)**,**弹窗显著显示并提示阅读,用户主动选择同意;
- 首次展示隐私政策时,告知查找的方法,宜放在较为固定的界面,如在网站主页、移动互联网应用程序安装页、交互式功能界面或设计等显著位置设置链接,且链接突出无遮挡;
- 隐私政策应逐一送达,成本过高或有显著困难方可公告形式;
- 所载事项发生变化,应及时更新隐私政策并重新告知个人信息主体; 目的、范围等关键内容发生变化的需重新征得同意;
179 同上。
- 用户权利和投诉应在 15 个工作日内响应并处理;
- 不能有“等”、“例如” 字样;
- 产品的使用过程与隐私政策描述保持一致,不应在用户明示同意前收集个人信息,不应在用户用到相应功能前操作申请用户权限;
不应超出隐私政策所述范围收集个人信息;
- 不能一揽子要求用户同意所有个人信息的收集,用户不提供某项个人信息,不影响其他个人信息的使用。
App 安全测评
以四部委 App 违法违规收集使用个人信息专项治理行动为开端,从 2019 年初至今,工信部、网信办、公安部等国家监管部门相继开展了多项 App 个人信息安全监管行动,发布了多个监管文件或指导文件,监管过程涵盖对 App 的个人信息安全测评,如《App 违法违规收集使用个人信息行为认定方法》、《App 违法违规收集使用个人信息自评估指南》、《常见类型移动互联网应用程序必要个人信息范围规定》等,企业在运营 App 的过程中, 应当注意及时对 App 的个人信息安全进行测评,通过科学的技术手段完善App 对个人信息的保护,避免承担不必要的违规风险。
(一 ) App 个人信息安全测评过程
App 个人信息安全测评主要针对 App、App 服务端和相关文档资料开展, 测评过程包含测评准备阶段、测评实施阶段、测评结果判定阶段和测评报告编写阶段180,如下图所示:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3Ijgoqnv-1672487984995)(media/6bec96334dc68ffd2836040f48e3dac4.jpeg)]
(二 ) App 个人信息安全测评方法
针对个人信息的收集、存储、使用、个人信息主体权利、个人信息的委托处理、共享、转让、公开披露、个人信息安全事件的处置以及组织的个人信息安全管理要求,每一单元均有不同的测评项181,具体如下:
1. 个人信息的收集:
- 收集个人信息的合法性
- 收集个人信息的最小必要
- 多项业务功能的自主选择
- 收集个人信息时的授权同意
| • | 个人信息保护政策 |
|---|---|
| • | 征得授权同意的例外 |
| 2. | 个人信息的存储: |
| • | 个人信息存储时间最小化 |
| • | 去标识化处理 |
| • | 个人敏感信息的传输与存储 |
| • | 个人信息控制者停止运营 |
| 3. | 个人信息的使用: |
| • | 个人信息访问控制措施 |
| • | 个人信息的展示限制 |
| • | 个人信息使用的目的限制 |
| • | 用户画像的使用规则 |
| • | 个人性展示的使用 |
| • | 基于不同业务目的所收集的个人信息的汇聚融合 |
| • | 信息系统自动化决策机制的使用 |
| 4. | 个人信息主体的权利 |
| • | 查询权 |
| • | 更正权 |
| • | 删除权 |
| • | 撤回授权同意 |
| • | 注销账户 |
| • | 获取个人信息副本 |
|---|---|
| • | 响应个人信息主体的请求 |
| • | 投诉管理 |
| 5. | 个人信息的委托处理、共享、转让、公开披露 |
| • | 委托处理 |
| • | 个人信息共享、转让 |
| • | 收购、兼并、重组、破产时的个人信息转让 |
| • | 个人信息公开披露 |
| • | 共享、转让、公开披露个人信息时事先征得授权同意的例外 |
| • | 共同个人信息控制者 |
| • | 第三方介入管理 |
| • | 个人信息跨境传输 |
| 6. | 个人信息安全事件处置 |
| • | 个人信息安全事件应急处置与报告 |
| • | 安全事件告知 |
| 7. | 组织的个人信息安全管理要求 |
| • | 明确责任部门与人员 |
| • | 个人信息安全工程 |
| • | 个人信息处理活动记录 |
| • | 开展个人信息安全影响评估 |
| • | 数据安全能力 |
- 人员管理与培训
- 安全审计
(三 ) 结果判定
进行 App 个人信息安全整体测评结果判定时,应首先给出每一个测评单元的判定结果。在进行每个单元的结果判定时,不同测评方式的采取顺序按照:技术检测、功能验证、服务端核查、文档审查、人员访谈的顺序排列, 仅当每一个测评项下的测评单元全部符合时,判定该测评项为符合。当所有测评项的结果均为符合时,App 个人信息安全测评的结论为符合。
延伸阅读
更多内容 可以 360 企业个人信息合规思路与实践报告 2021. 进一步学习
扫一扫
2529
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
