信息技术 个人信息安全规范

新旧征求意见稿比较

序号

条款位置

20190621稿

20191024稿

1

3.1 个人信息

注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。

2

3.2 个人敏感信息

注3:个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个名誉、身心健康受到损歧视性待遇等的,属于个人敏感信息。

3

3.6 明示同意

个人信息主体通过书面主动声明或自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。

注:肯定性动作包括个人信息主体主动作出声明(电子或纸质形式)、主动勾选、主动点击“同意”、 “注册”、“发送”、“拨打”、主动填写或提供等。

个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。

注:肯定性动作包括个人信息主体主动勾选、主动点击“同意”、 “注册”、“发送”、“拨打”、主动填写或提供等。

4

3.7 授权同意

个人信息主体对其个人信息进行特定处理作出明确授权的行为,包括通过积极的行为作出授权(即明示同意),或者通过消极的不作为而作出授权(例如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)。

5

4 个人信息安全基本原则

a) 权责一致原则——采取技术和其他必要的措施保障个人信息的安全,对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。

a) 权责一致——采取技术和其他必要的措施保障个人信息的安全,个人信息处理活动对个人信息主体合法权益造成损害时应承担责任。

6

b) 目的明确原则——具有合法、正当、必要、明确的个人信息处理目的。

b) 目的明确——具有明确、清晰、具体的个人信息处理目的。

7

d) 最少够用原则——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息。

d) 最小必要——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息。

8

5.3 不强迫接受多项业务功能

a) 不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求。

a) 不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。

9

b) 应把个人信息主体自主选择行为,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅个人信息主体开启该业务功能且符合本标准5.4相关要求后,开始收集个人信息;

b) 应把个人信息主体自主作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的特定业务功能的开启条件。个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息;

10

f) 不应以改善服务质量、提升个人信息主体体验、研发新产品、增强安全性等为由,强迫要求个人信息主体同意收集个人信息。

11

5.4 收集个人信息时的授权同意

b) 收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;

b) 收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在理解收集目的和相关处理规则的基础上自主给出的、具体的、清晰明确的意愿表示;

12

d)2) 应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。本组织开展业务所需进行的个人信息处理活动超出该授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。

d)2) 应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;

13

d)3) 如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。

14

7.5 个性化展示的使用

a) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:

1) 显著区分个性化推送服务,如标明“个性化展示”或“定推”等字样;

2) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项。

a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容;

注:显著区分的方式包括但不限于:标明”定推“等字样,或通过不同的栏目、版块、页面分别展示等。

15

b) 电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;

注:基于用户所选择的特定位置进行展示、搜索结果排序,且不因用户身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。

b) 在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;

注:基于个人信息主体所选择的特定位置进行展示、 搜索结果排序,且不因搜索结果排序、个人信息主体 身份不同展示一样的内容和搜索结果排序,则属于不针对其个人特征选项。

16

c) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜:

1) 建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力;

2) 当个人信息主体选择退出个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:

1) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;

2) 当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

17

d) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力。

18

7.12 个人信息主体注销账户

b) 宜直接设置便捷的注销功能交互式页面,及时响应个人信息主体注销请求;

19

c) 受理注销账号请求后,需要人工处理的,应在承诺时限内(原则上不超过十五天)完成核查和处理;

20

d) 注销过程进行身份核验需要个人信息主体重新提供的个人信息不应多于注册、使用等服务环节收集的个人信息;

21

e) 注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为必要注销条件等;

22

f) 注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等;

23

8.1 委托处理

f) 个人信息控制者得知或者发现受委托者未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的,应立即要求受托者停止相关行为,且采取或要求受委托者采取有效补救措施(例如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险。必要时个人信息控制者应终止与受委托者的业务关系,并要求受委托者及时删除从个人信息控制者获得的个人信息。

24

8.6 共同个人信息控制者

当个人信息控制者与第三方为共同个人信息控制者时(例如服务平台与平台上的签约商家),个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。

对个人信息控制者的要求包括:

a) 当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。

b) 如未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。

附全文:

《信息安全技术 个人信息安全规范 (草案) 》(2019.10.22稿)

《信息安全技术 个人信息安全规范 (草案) 》(2019.6.21稿)

《信息安全技术 个人信息安全规范 (草案) 》(2019.1.30稿)

声明:本文来自网络法实务圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。