整理人:贝塔斯曼欧唯特合规部

2019年5月至6月,标准工作组召开多次工作组内会议,对信安标委宁波会议周期间的意见进行讨论,同时结合App违法违规收集使用个人信息专项治理工作的实践和个人信息相关法规政策文件要求,对标准内容进一步优化。

以下是6-21征求意见稿1-30草案的对比:

变更位置2019-6-21征求意见稿2019-1-30草案
目录7.3 个人信息使用的目的限制7.3 个人信息的使用限制
目录新增 7.4 用户画像的使用限制
目录更改 7.7 信息系统自动决策机制的使用(同时顺序变更)7.12 约束信息系统自动决策
目录7.11 个人信息主体撤回授权同意7.9 个人信息主体撤回同意
目录新增 10.2 个人信息安全工程
目录附录C 实现个人信息主体自主意愿的方法附录C 保障个人信息主体选择同意权的方法
3 术语和定义新增 3.16 业务功能 business function
5.3 不强迫接受多项业务功能新增e)项 拒绝特定业务授权不影响其他业务功能或降低服务质量
5.4 收集个人信息时的授权同意a)项 更改并新增 收集个人信息告知义务添加注解原5.5 收集个人敏感信息时的明示同意 被整合进 新版5.4收集个人信息时的授权同意
b)项 新增收集敏感信息的要求
c)项 新增收集未成年人信息要求
5.5 隐私政策新增 4) 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任;原5.6 隐私政策的要求 a)项 下列 1-9细化要求 调整至1-8 要求内容发生变化
新增 5) 个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行申诉的方法等;
7.3 个人信息使用的目的限制新增a)项 不得超采、超限使用;超限使用后再次征求明示同意原7.3 个人信息的使用限制 删除a项 间接画像
变更b)项 加工信息可识别自然人等同于PII采集需要授权同意的注解
7.4 用户画像的使用限制新增三项要求,要求"消除明确身份指向性,避免精确定位到特定个人"
7.7 信息系统自动决策机制的使用新增三项要,要求"每年开展一次人信息安全影响评估"调整7.12 约束信息系统自动决策的顺序和要求
9.1 个人信息安全事件应急处置和报告删除d)项发生超过100万人个人信息或者关系国计民生、公共利益的个人敏感信息(例如基因、生物特征信息、疾病等个人敏感信息)泄露、毁损、丢失的安全事件,应按照本条c)的要求将有关情况报网信部门;
附录C 实现个人信息主体自主意愿的方法新增 段落开场白保障个人信息主体自主意愿包括两个方面:一是不强迫个人信息主体接受多项业务功能;二是保障用户对个人信息收集、使用的知情权和授权同意的权利。个人信息控制者,尤其是移动应用程序运营者,可通过以下方式实现:
附录D 隐私政策模板隐私政策模板调整

声明:本文来自数据法盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。