《个人信息安全规范》下的网络平台合规建议
更新时间:2021-09-07 16:01:40
现在相关部门不仅加大数据的安全监管,对各类信息安全法规也在不断完善。《中华人民共和国数据安全法》已正式于2021年9月1日颁布执行。而《个人信息保护法》也将于2021年11月1日起施行。针对网络平台在个人信息安全规范合规的建议
1、合规建议 -------- 数据字典
差距分析网络平台在向第三方进行共享转让、提供数据接口的过程中,同样需注意是否有部分数据因其与个人的“关联性”而落入广义“个人信息”的范畴
2、合规建议-------- 个人信息保护全流程
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
3、合规建议-------- 个人信息保护全流程
①禁止大数据杀熟。自动化决策应保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。(第二十四条第一款)
②提供其他选项或拒绝方式。通过自动化决策方式进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
4、合规建议-------- 落实同意机制
①单独同意机制:处理者向他人提供其处理的个人信息、公开其处理的个人信息以及处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意。(严格保护、特别告知)
②重新同意机制:个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。当处理者因合并、分立、解散、被宣告破产等原因而转移个人信息,或向他人提供其处理的个人信息时前述事项发生变更的,也应重新取得个人同意。
③撤回同意机制:基于个人同意而进行的个人信息处理活动,个人有权撤回其同意。
④个人信息处理者不得以个人不同意处理其个人信息或者撤回其对个人信息处理的同意为由,拒绝提供产品或者服务,但“处理个人信息属于提供产品或者服务所必需的“除外。
5、合规建议-------- 收集阶段
明示同意+肯定性动作
(1)在法律法规有强制要求的情况(如14岁以下)一定要采用“明示同意”;
(2)个人信息的采集和使用超出了用户的合理预期,建议也采用明示同意;
(3)合理限定收集范围,即收集内容应与产品或服务具有直接关联,且采集频率、获取数量控制在合理程度。
知情权,决定权,要求解释说明权
6、合规建议-------- 获取
查阅、复制权
承继行使权
可携带权(可转移权)
个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
7、合规建议-------- 保存阶段
匿名化和去标识化后的信息不仅不能识别出信息主体,还不能关联到信息主体,且不能复原。
匿名化的信息即不属于个人信息
(1)在传输和存储公民个人信息尤其是敏感信息时,应采用较为严格的加密措施,并设置一定的访问权限;
(2)做好个人信息库的维护工作,对于有误信息及时更正,对于用户收回授权的信息及时删除。
8、合规建议-------- 维护阶段
要求更正、补充权
对特定信息的删除权
9、合规建议-------- 信息处理
①共同处理 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。(第二十条)
②委托处理个人信息 个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、双方的权利和义务等内容,并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息,并且未经同意不得转委托。(第二十一条)
③共享个人信息 个人信息处理者向其他个人信息处理者提供个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述范围内处理个人信息。(第二十三条)
④公开个人信息 除非取得个人单独同意,否则个人信息处理者不得公开其处理的个人信息(第二十五条)。除非个人明确拒绝,否则个人信息处理者可以免于取得同意、在合理的范围内处理个人自行公开的个人信息;但如果该等处理对个人权益有重大影响的,则需要取得个人同意。(第二十七条)
10、合规建议-------- 建立利用个人信息进行自动化决策的判断规则
APP过度收集个人信息、“大数据杀熟”
合规的建议还有一种情况不共享、不转让为原则,业务需求为例外方面的建议
(1)单独告知;
(2)告知目的、方式和范围,以及存储时间等规则;
(3)获得明示同意;
(4)网络平台对信息保护政策;
(5)弹窗告知并放置完整版保护政策的链接;
(6)手动点击确认或者“打勾”;
(7)将新增的安全影响评估标准及对安全保护责任履行的监督措施写入合同。
合规建议-------- 使用、披露阶段
(1)原则上不应当提供给第三方;
(2)强调第三方可能承担的违约责任;
(3)尽可能缩小可接触该类信息的人员范围,并采取多种手段规范员工行为,包括但不限于采用多重授权机制、定期培训、签署保密协议等;
(4)邮件外发的管控策略。
新规范增加了网络平台基于不同业务目的所收集的个人信息的汇聚融合时,个人信息跨境提供的规则、敏感个人信息的的规则这方面的合规建议
1、处理个人信息达到国家网信部门规定数量的个人信息处理者应指定个人信息保护负责人对其个人信息处理活动进行监督;
2、定期对其个人信息处理活动进行合规审计;
3、对处理敏感个人信息、自动化决策、向境外提供个人信息等高风险处理活动,应事前进行风险评估并对处理情况进行记录;
4、针对个人信息泄露等安全事件履行通知和补救义务等。
个人信息保护法也针对为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。网络平台针对这种情况下的合规建议
1.梳理个人信息收集、使用场景。
2.修改相应个人信息收集同意函及隐私政策。
3. 完善信息收集同意的流程,并增加单独同意机制。
4. 设置敏感信息、特殊收集情形保护的特别机制。
5. 防范信息传输及分享可能涉及多重的潜在法律风险。
6. 设计相应机制保证个人信息主体权利的行使。
7. 评估个人信息影响应成为网络平台决策重要维度。
8. 谨慎使用自动化决策工具用于信用评估、商业营销等活动。
9. 加强个人信息保护内控管理。
10. 完善修订员工信息收集的情形。
以上是我们针对网络平台的一些合规的建议,对于网络平台来说,更重要的是对于用户信息保护的落实和实践,我们都应该认真面对,共同努力。
