个人信息处理法律合规性评估指引
第2部分:合规框架
Guidelines for legal compliance assessment of processing of personal information— Part 2:Compliance framework
2021-04-28发布2021-06-06实施
中国科学技术法学会发布
目次
前言
个人信息处理法律合规性评估指引第2部分:合规框架
1范围
2规范性引用文件
3术语与定义
4概述
5通用要求
5.1通用要求概述
5.2合法维度
5.2.1合法维度概述
5.2.2合法性基础指标
5.2.3主体合法指标
5.2.4程序合法指标
5.2.5类型合法指标
5.2.6来源合法指标
5.3目的明确维度
5.3.1目的明确维度概述
5.3.2目的具体/特定指标
5.3.3目的明示指标
5.3.4目的合理指标
5.4目的限制维度
5.4.1目的限制维度概述
5.4.2最小必要指标
5.4.3目的兼容指标
5.5公开透明维度
5.5.1公开透明维度概述
5.5.2信息充分指标
5.5.3公开质量指标
5.5.4公开形式指标
5.6告知维度
5.6.1告知维度概述
5.6.2政策告知指标
5.6.3事件告知指标
5.6.4同步告知指标
5.7选择维度
5.7.1选择维度概述
5.7.2选择同意指标
5.7.3选择退出指标
5.8权益保障维度
5.8.1权益保障维度概述
5.8.2合法权益行使机制通用指标
5.8.3查询机制指标
5.8.4获取副本和转移机制指标
5.8.5更正机制指标
5.8.6删除机制指标
5.8.7投诉举报问询机制指标
5.9质量维度
5.9.1质量维度/指标
5.10安全保护维度
5.10.1安全保护维度概述
5.10.2安全保护能力指标
5.10.3事件管理指标
5.10.4数据最小化指标
5.11可问责性维度
5.11.1可问责性维度概述
5.11.2合规管理体系指标
5.11.3权责一致指标
5.11.4文件管理指标
5.11.5合规审计指标
5.11.6安全影响评估指标
6特定处理环节的扩展要求
6.1特定处理环节的扩展要求概述
6.2收集
6.2.1收集环节概述
6.2.2合法维度
6.2.3目的明确维度
6.2.4目的限制维度
6.2.5公开透明维度
6.2.6告知维度
6.2.7选择维度
6.2.8权益保障维度
6.2.9质量维度
6.2.10安全保护维度
6.2.11可问责性维度
6.3使用
6.3.1使用环节概述
6.3.2合法维度
6.3.3目的明确维度
6.3.4目的限制维度
6.3.5公开透明维度
6.3.6告知维度
6.3.7选择维度
6.3.8权益保障维度
6.3.9质量维度
6.3.10安全保护维度
6.3.11可问责性维度
6.4存储
6.4.1存储环节概述
6.4.2合法维度
6.4.3目的明确维度
6.4.4目的限制维度
6.4.5公开透明维度
6.4.6告知维度
6.4.7选择维度
6.4.8权益保障维度
6.4.9质量维度
6.4.10安全保护维度
6.4.11可问责性维度
6.5公开
6.5.1公开环节概述
6.5.2合法维度
6.5.3目的明确维度
6.5.4目的限制维度
6.5.5公开透明维度
6.5.6告知维度
6.5.7选择维度
6.5.8权益保护维度
6.5.9质量维度
6.5.10安全保护维度
6.5.11可问责性维度
6.6提供
6.6.1提供环节概述
6.6.2合法维度
6.6.3目的明确维度
6.6.4目的限制维度
6.6.5公开透明维度
6.6.6告知维度
6.6.7选择维度
6.6.8权益保障维度
6.6.9质量维度
6.6.10安全保护维度
6.6.11可问责性维度
6.7转移
6.7.1转移环节概述
6.7.2合法维度
6.7.3目的明确维度
6.7.4目的限制维度
6.7.5公开透明维度
6.7.6告知维度
6.7.7选择维度
6.7.8权益保障维度
6.7.9质量维度
6.7.10安全保护维度
6.7.11可问责性维度
7特殊的个人信息处理类型
7.1特殊的个人信息处理类型概述
7.2向境外提供
7.2.1向境外提供概述
7.2.2合法维度
7.2.3目的限制维度
7.2.4公开透明维度
7.2.5告知维度
7.2.6选择维度
7.2.7可问责性维度
7.3终止
7.3.1终止概述
7.3.2告知维度
7.3.3安全保护维度
7.3.4可问责性维度
附录A(资料性附录)合规框架
附录B(资料性附录)必要性、直接相关和合理关联性测试及示例
B.1法定义务必要处理中的必要性及其示例
B.1.1实名制服务义务
B.1.2反欺诈义务
B.1.3反洗钱义务
B.1.4税收征管义务
B.1.5社会保险费申报和缴纳义务
B.2公共利益必要处理中的必要性及其示例
B.2.1国家安全、国防安全、公共安全
B.2.2犯罪侦查、起诉、审判和执行判决
B.2.3公共卫生领域的公共利益
B.2.4其他重大公共利益
B.3最小必要指标中的直接相关测试与合同必要处理、人力资源管理必要处理中的必要性测试
B.4目的兼容指标中的合理关联测试
B.4.1形式测试方法
B.4.2多因素平衡测试方法
B.4.3示例
附录C(资料性附录)合法利益的多因素平衡测试方法及示例
C.1合法利益的识别
C.2合法利益的比较
附录D(资料性附录)比例性测试及示例
D.1合法性基础指标中的比例性测试
D.2告知与选择维度中的比例性测试
附录E(资料性附录)风险评估方法及示例
E.1风险管理维度的风险评估
E.2事件告知维度的风险评估
E.2.1后果的类型
E.2.2影响后果大小和可能性的因素
E.2.3后果评价
前言
本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国科学技术法学会提出并归口管理。
本文件主要起草单位:中国科学技术法学会、深圳市北鹏前沿科技法律研究院、中国法学交流基金会、中国法律咨询中心、北京大学法学院/知识产权学院、北京大学粤港澳大湾区知识产权发展研究院、平安科技(深圳)有限公司、上海携程商务有限公司、北京小桔科技有限公司、阿里巴巴(北京)软件服务有限公司、每日互动股份有限公司、深圳市和讯华谷信息技术有限公司、广东北源律师事务所、上海市锦天城律师事务所、北京市浩天信和律师事务所、北京市金杜律师事务所、中国信息通信研究院云计算与大数据研究所、北京北大英华科技有限公司、网易(杭州)网络有限公司、腾讯科技(深圳)有限公司、荣耀终端有限公司、华米科技、OPPO广东移动通信有限公司、比亚迪股份有限公司、广州小鹏汽车科技有限公司、深圳市大疆创新科技有限公司、深圳市地铁集团有限公司、上海游昆信息技术有限公司、广州多益网络股份有限公司、贝壳找房(北京)科技有限公司、深圳市迷你玩科技有限公司、百行征信有限公司、深圳依时货拉拉科技有限公司、广东小天才科技有限公司、安信证券股份有限公司、深圳市安证企业合规管理(集团)有限公司、杭州安信检测技术有限公司、杭州安恒信息技术股份有限公司、深圳市网安计算机安全检测技术有限公司。
本文件主要起草人:张平、毕马宁、南红玉、黄亚英、肖声高、徐美玲、时建中、李玉香、周辉、涂俊峰、谈建、周涛、任晓明、李伟民、崔亚冰、王心阳、赵怡冰、辜凌云、徐子淼、姬祥、牟晋军、周林、秦齐祺、张娜、徐彩曦、张铮、陈津来、陈光炎、植吕梅、梁艳芬、吴卫明、丁峰、田劼、冯红、吴涵、何为、李青、赵紫钰、包一明、石霖、何远琼、李川东、蒋仁熙、梁淳栋、孙海鸣、武杨、张辉、吴迪、王辉、彭星、高凤、杨小娟、林森才、许艳冰、林莹、彭伟、叶娟、白宝龙、陈远鸿、张朝、谢晓勇、罗经华、覃江林、白雷、周俊华、陈天伟、李维春、李旻瑞、李良、龙军、黄伟杰、江鑫、洪跃腾、王水兵、何冠辉、杜文琦、倪荣、刘志乐、吴俊雄。
本文件由中国科学技术法学会、深圳市北鹏前沿科技法律研究院负责解释。
个人信息处理法律合规性评估指引
第2部分:合规框架
1范围
本文件规定了组织的个人信息处理应遵循的合规要求,这些合规要求构成了在个人信息处理法律合规性评估中确定评估准则的合规框架。本文件也规定了评估员在法律合规性评估中对这些合规要求的符合性进行确定时应遵循的评估要求和指引。
本文件适用于各种类型的组织规范其个人信息处理活动,也适用于各类组织对其个人信息处理合规性进行的第一方评估和管理,个人信息处理的相关方为采购、监管等特定目的进行的第二方评估,以及独立的评估机构进行的第三方法律合规性评估和咨询。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
T/CLAST001.1-2021个人信息处理法律合规性评估指引概述和术语
T/CLAST001.3-2021个人信息处理法律合规性评估指引实施指南
GB/T25069—2010信息安全技术术语
GB/T35273—2020信息安全技术个人信息安全规范
GB/T39335—2020信息安全技术个人信息安全影响评估指南
GB/T22239—2019信息安全技术网络安全等级保护基本要求
3术语与定义
T/CLAST001.1-2021中界定的或规范性引用的术语和定义适用于本文件。
4概述
本文件给出了个人信息处理的合规框架。合规框架首先是对组织的合规要求,组织可以基于自愿遵守并使用本文件,以规范其个人信息处理活动。当与组织的其他合规要求相结合使用时,本文件通过“维度—指标”或“维度—指标—特性”建立的合规框架可以用来管理组织的各类合规要求,并确定组织应遵循的整体合规准则。
本文件也可以作为个人信息处理法律合规性评估中确定评估准则的基准。当本文件被用来进行法律合规性评估时,本文件中标明为“指标要求”或“特性要求”的内容作为法律合规性评估准则的基准,评估员可以根据适用于评估对象的其他合规义务和合规要求调整这些基准。本文件中标明为“评估要求”的内容是对评估员的要求,即评估员在确定指标要求或特性要求符合性时应遵循的规范。
本文件的结构如下:
第5章给出了个人信息处理和法律合规性评估的通用要求。第5章给出的通用要求采用了“维度—指标”或“维度—指标—特性”框架(见5.1)。
第6章按照不同个人信息处理环节给出了个人信息处理和法律合规性评估的扩展要求,这包括将第5章给出的维度、指标和特性适用到特定个人信息处理环节时所需要的具体化和变通。
附录A-E给出了使用本文件的资料性附录:附录A(合规框架)
附录B(必要性、直接相关和合理关联性测试方法及示例)附录C(合法利益的多因素平衡测试方法及示例)
附录D(比例性测试及示例)附录E(风险评估方法及示例)
5通用要求
5.1通用要求概述
第5章给出了个人信息处理和法律合规性评估的通用要求,包括维度和指标。维度是对指标的类型化概括,表明该维度中的多个指标具有共同的合规和合规评估关注要点。维度也是个人信息处理的基本原则的规则化,通常适用于个人信息处理的全过程,涵盖至少两个以上的个人信息处理环节,或者并非特定于某一个个人信息处理环节。
本章给出的每个维度的表述结构如下:
本章中每个一级条标题(如5.2或5.3)是维度的名称。
每个维度下第一个二级条标题(如5.2.1或5.3.1)给出了该维度的概述。概述说明了该维度中包含的指标数量,以及这些指标的共同关注要点。必要时,维度的概述部分还给出了更多指引,例如有助于理解该维度的其他信息,或者在法律合规性评估中发现评估对象与维度之间存在差距时,这些差距的适当调整或处置方法,以及这些差距的调整或处置如何影响法律合规性评估结论。
每个维度的第二个二级条标题(如5.2.2或5.3.2)开始,给出该维度中所包含的指标。一般情形下,指标是一个独立的要求,因此一个指标的表述结构一般是由“指标要求”、“评估要求”和“其他信息”组成的。
图1维度-指标框架图示
但也存在一些例外情形,即有些指标的确定可能依赖于多个特性,例如,公开形式指标(见5.5.4)是对有关个人信息处理政策和实践信息的公开形式方面的要求,其中包含4个特性的确定,例如,相对独立性(5.5.4.2)、易于访问性(5.5.4.3)、易于理解(5.5.4.4)及易于阅读性(5.5.4.5)。在一个指标包含多个必须被单独描述的特性时,本文件采用了三级条标题来表述这些特性。因此,在这种指标中,第一个三级条标题是概述,表明该指标的确定对象和确定内容,并给出“评估要求”和“其他信息”,第二个三级条标题开始是特性,给出了“特性要求”,也包括该特性要求的示例和注。确定对象与特性要求共同构成了一个完整的指标。
图2维度-指标-特性框架图示
5.2合法维度
5.2.1合法维度概述
合法维度中的指标共同关注的是:个人信息处理是否符合可适用的法的强制性规范。合法维度包含5个指标,即合法性基础指标、主体合法指标、程序合法指标、类型合法指标和来源合法指标,分别从个人信息处理的基础、主体、程序、对象类型与来源等方面,确定个人信息处理符合可适用的法的强制性规范。
合法维度中的指标都援引了可适用的法。这些指标在未充分识别评估对象的可适用的法的前提下是无法适用的,并且在可适用的法发生变化时,指标会受到该变化的影响。这要求组织持有一份合规义务清单以明确其可适用的法,并确保组织内存在一个管理机制使其能够持续更新合规义务清单。在法律合规性评估中,也要求评估员在评估期内采取审慎的步骤识别和确定评估对象的合规义务清单,并宜在评估法律意见书中将合规义务清单作为附件。评估员宜认识到该指标由于援引可适用的法而带来的固有的不确定性,并使法律合规性评估的所有相关方认识到这些指标的评估可能具有的局限性。
5.2.2合法性基础指标
指标要求:
个人信息处理者应在个人信息处理前明确识别可适用的合法性基础,并确保个人信息处理满足5.2.2.1-5.2.2.8的特性要求之一。
其他信息:
以下各条给出了8种可能的合法性基础及其特性要求。
在法律合规性评估中,由被评估方识别个人信息处理的合法性基础。评估员的任务是获取客观证据确定评估对象是否满足该合法性基础的特性要求。如被评估方识别的合法性基础经确定为不满足,评估员宜允许被评估方重新识别合法性基础,并再次确定评估对象是否满足重新识别的合法性基础。如果确定评估对象不满足任何一项合法性基础,或者未能确定评估对象满足任何一项合法性基础,该维度的评估结论为不符合。评估员宜审慎考虑这是否表明评估对象很可能已经不合法,并与评估委托方商定是否终止法律合规性评估。
5.2.2.1选择同意处理
特性要求:
个人信息处理是基于个人信息主体或其监护人的选择同意(见5.7.2)。
评估要求:
评估员应确认被评估方征求同意的具体场景,以确定被评估方在个人信息处理前已获得有效的选择同意(见5.7.2)。
其他信息:
参见《个人信息保护法》第13条第1款第1项。
本项可以采用抽样方法获取客观证据,评估员宜使法律合规性评估的所有相关方注意到采用抽样方法评估的局限性。
选择以本项作为合法性基础时,需与选择同意指标(见5.7.2)结合进行评估,个人信息处理符合选择同意指标(见5.7.2)是符合本合法性基础的必要条件。
5.2.2.2合同必要处理
特性要求:
个人信息处理应是:
a)为了履行个人信息主体作为一方的合同而必要的;或
b)为了应个人信息主体的请求与之订立合同而必要的;
注:“为了订立……合同”不宜被宽泛地理解为涵盖未经个人信息主体的请求而主动做出的要约邀请或要约等,虽然要约邀请或要约本身对于合同订立而言具有必要性,但为此进行的未经同意的个人信息处理,可能被有权机关认定为是未经同意的商业营销目的。
评估要求:
评估员应评审被评估方提供的合同、产品/服务说明、产品/服务协议等文件,确认个人信息处理就该合同履行、订立目的而言具有必要性。
其他信息:
参见《个人信息保护法》第13条第1款第2项前半句。合同必要处理的必要性确定方法及示例,见附录B.3。
本项可以采用抽样方法获取客观证据,评估员宜使法律合规性评估的所有相关方注意到采用抽样方法评估的局限性。
5.2.2.3人力资源管理必要处理
特性要求:
a)个人信息处理应是为了按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理而必要的;
b)如果可适用的法规定了所涉及的个人信息和个人信息处理的类型、所涉及的个人信息主体、处理目的、存储期限、可接收该个人信息的第三方的,援引本项作为合法性基础的个人信息处理不应超出可适用的法规定的范围。
注:人力资源管理通常涵盖入职、在职、离职等各环节,但宜留意劳动规章制度、集体合同以及可适用的法的适用范围,尤其是对非在职个人信息主体的适用性。
评估要求:
评估员应:
——评审被评估方的劳动规章制度和集体合同,确认个人信息处理者已明示涉及个人信息处理的具体人力资源管理目的、方式和范围;
——评审个人信息处理者明示的目的、方式和范围,确认个人信息处理的方式和范围就已经明示的具体目的而言是必要的;
——确认个人信息处理的具体目的、方式和范围符合被评估方的劳动规章制度和集体合同中已经明示的处理目的、方式和范围;
——评审被评估方的劳动规章制度和集体合同,确认其符合可适用的法的规定,尤其是符合可适用的法规定的有关个人信息处理的要求。
其他信息:
参见《个人信息保护法》第13条第1款第2项后半句。
用人单位与雇员、雇员候选人或前雇员之间为订立、履行合同而必要的处理,亦可能援引合同必要处理(5.2.2.2)作为合法性基础。
符合本合法性基础不意味着豁免个人信息处理者在合法维度的其他指标、目的明确、目的限定、告知等其他维度的合规要求。
5.2.2.4法定义务必要处理
特性要求:
a)个人信息处理应是为了履行个人信息处理者和/或个人信息处理受托人的法定义务而必要的;
b)应能够证明施加该义务的法定依据;
c)如果该法定依据规定了所涉及的个人信息和个人信息处理的类型、所涉及的个人信息主体、处理目的、持有期限、可接收该个人信息的第三方的,援引本项作为合法性基础的个人信息处理不应超出该法定依据规定的范围。
评估要求:
评估员应:
——评审被评估方提出的法定依据,确认个人信息处理就履行法定义务而言是必要的;
——验证个人信息处理所涉及的个人信息和个人信息处理类型、所涉及的个人信息主体、处理目的、持有期限、接收该个人信息的第三方,以确定满足该法定依据中规定的条件。
其他信息:
参见《个人信息保护法》第13条第1款第3项。
法定义务处理的必要性确定方法及示例,见附录B.1。
如经确认不满足法定依据规定的条件,如所涉及的个人信息、个人信息处理类型、个人信息主体、处理目的、持有期限、接收该个人信息的第三方超出了法定依据规定的范围,应确定为差距。该差距的调整或处置可参照适用目的限制维度中有关超范围处理的调整或处置
(见5.4.1)。
5.2.2.5公共利益必要处理
特性要求:
a)个人信息处理应是为了实现或维护以下公共利益而必要的:
1)国家安全、国防安全、公共安全;
2)犯罪侦查、起诉、审判和执行判决;
3)应对突发公共卫生事件;
4)其他公共利益。
b)应能够证明符合以下主体适格性要求之一:
1)被评估方根据可适用的法拥有进行该个人信息处理的职责或权限;
2)被评估方是在符合1)项要求的个人信息处理者的命令或委托之下进行该个人信息处理的。
c)可适用的法规定了为此目的进行个人信息处理所涉及的个人信息类型、个人信息处理类型、个人信息主体类型、处理目的、存储期限、可接收该个人信息的第三方的,援引本项作为合法性基础的个人信息处理不应超出该范围。
评估要求:
评估员应:
——评审被评估方提出的法定依据,以确认个人信息处理就实现或维护所识别的特定公共利益而言是必要的;
——评审被评估方的主体资格类或其他文件,以验证被评估方的主体适格性;
——验证个人信息处理所涉及的个人信息和个人信息处理类型、所涉及的个人信息主体、处理目的、持有期限、接收该个人信息的第三方,以确定满足该法定依据中规定的条件。
其他信息:
参见《个人信息保护法》第13条第1款第3项(履行法定职责)、第4项(应对突发公共卫生事件)、第7项(法律、行政法规规定的其他情形)和第26条。
公共利益处理的必要性确定方法及示例,见附录B.2。
如经确认不满足法定依据规定的条件,如所涉及的个人信息、个人信息处理类型、个人信息主体、处理目的、持有期限、接收该个人信息的第三方超过法定依据规定的范围,应确定为差距。该差距的调整或处置可参照适用目的限制维度中有关超范围处理的调整或处置
(见5.4.1)。
5.2.2.6公共信息公平处理
特性要求:
a)应能够证明个人信息处理所涉及的个人信息是从公开信息中收集的,包括:
1)个人信息主体自行公开的信息;
2)从其他合法公开的信息中收集的,如合法的新闻报道、出版物或政府信息公开、政府数据共享等渠道。
b)个人信息主体未事先明确声明拒绝该个人信息处理,并且拥有有效的选择退出机制(见5.7.3);
c)援引本项作为合法性基础的个人信息处理,在其具体场景中不应是对个人信息主体的合法权益有重大影响的个人信息处理;
d)援引本项作为合法性基础的个人信息处理,在其具体场景中不应超出可适用的法所允许的合理范围;
e)个人信息处理符合来源合法指标(见5.2.6)及其收集环节扩展要求(见6.2.2.2)。
注:除个人信息主体的合法权益之外,在具体场景中个人信息处理可能为其他组织或个人的合法权益带来损害,如违反ROBOTS协议的爬虫、违反第三方API协议的数据获取等,有可能损害其他组织或个人对其数据享有的合法权益,从而面临《反不正当竞争法》《刑法》项下的责任,这些要求见来源合法指标收集环节扩展要求(见6.2.2.2)。
评估要求:
评估员应:
——评审有关个人信息来源或渠道的证明,以确认这些来源符合来源合法指标的要求;
——确认被评估方在实际开展大规模的公开信息收集活动前,是否通过个人信息安全影响评估或其他组织流程,审慎地评估所要收集的公开信息渠道、收集的合理限度,以及所计划的收集目的和后续使用目的可能对个人信息主体合法权益带来的影响,并根据评估结果采取适当的控制措施;
——确认选择退出机制的存在及其有效性。
其他信息:
参见《个人信息保护法》第13条第1款第6项和第27条。
个人信息被自行或合法公开的事实本身并不会改变个人信息的性质,也不会排除个人信息保护的相关义务与责任。对公开信息的收集可能豁免告知维度中的部分指标或特性要求[如政策告知指标和事件告知指标中的送达方式特性要求(见5.6.2.4和5.6.3.4),同步告知指标要求(见5.6.4.6)和选择同意指标要求(见5.7.2)],但这取决于这些特定指标或特性要求中的具体条件的满足,同时,对这些从公开信息中获得的个人信息进行后续处理时,需要重新考虑这些要求是否仍然被满足。
评估员宜留意在法律合规性评估中,公开信息公平处理本身是一种要求利益平衡的评估,其中包含的“对个人信息主体的合法权益有重大影响”以及“合理范围”等条件是该合法性基础成立的必要条件,但其本身因采用了开放性、不确定性概念而保留了裁量空间。评估员宜使法律合规性评估的所有相关方认识到,该项合法性基础及其评估的固有局限性。例如,只能确定被评估方对于这些公开信息公平处理进行了审慎尽职的利益平衡,从而在必要时帮助被评估方证明其尽到了合理的注意义务,遵循了正当原则和可问责原则。评估员仅被要求验证和证明此种事实的存在,并根据可适用的法以及评估员的知识和经验,确认在此种审慎尽职的利益平衡中不存在明显不合理的情形。
5.2.2.7紧急必要处理
特性要求:
a)应能够证明在个人信息处理的具体场景中,个人信息主体或其他个人的生命、健康和财产安全面临现实和即刻的危险;
b)所进行的个人信息处理应是为保护个人信息主体或其他个人的生命、健康和财产安全等重大合法权益而必要的;
c)应能够证明在当时的具体场景中,难以事先获得个人信息主体的选择同意;
d)该个人信息处理不应对个人信息主体的合法权益带来不成比例的损害。
评估要求:
评估员应:
——验证评估对象中个人信息处理的具体场景,如重大合法权益的具体内容、是否面临现实和即刻的危险,以确定个人信息处理就保护个人信息主体、其他个人的重大合法权益而言具有必要性和紧急性;
——验证评估对象中个人信息处理的具体场景,以确定在该具体场景中难以事先获得个人信息主体的选择同意;
——验证评估对象中个人信息处理的具体场景,以确定该个人信息处理不会对个人信息主体的合法权益带来不成比例的损害。
其他信息:
参见《个人信息保护法》第13条第1款第4项后半句。比例性确定方法及示例,见附录D。
评估员宜留意在法律合规性评估中紧急必要处理所包含的比例性确定方法存在固有的局限性。例如,比例性确定在本质上是具体场景下的利益平衡,法律合规性评估只能确定被评估方对于这些紧急必要处理进行了审慎尽职的利益平衡,从而在必要时帮助被评估方证明其尽到了合理的注意义务,遵循了正当原则和可问责原则。这些利益平衡可能事后被有权机关认定为是不适当的,评估员宜使法律合规性评估的所有相关方认识到这些方法固有的局限性。
5.2.2.8合法利益公平处理
特性要求:
a)个人信息处理是为了实现个人信息处理者所追求的合法利益而必要的;
b)应具体识别其个人信息处理所追求的现实的和当下的合法利益;
注1:个人信息处理者所追求的合法利益的例子,诸如,行使个人信息处理者的合法权利,如知识产权、保护商业秘密、债权等,或者防止对产品或服务的欺诈、滥用,保护其信息系统、网络和信息安全,维护客户关系或商誉,营销、广告宣传或维护公共关系,更好地了解客户偏好和需求,研发新产品或服务或改进现有产品或服务,改进组织管理等,遵守监管部门的要求或控制合规风险等。
注2:个人信息处理所追求的合法利益也可能是属于第三方、公众或社会的合法利益,诸如,通过使用其持有的个人信息提供反欺诈核验服务,以协助第三方履行其反欺诈的法定义务;个人信息处理者通过对其持有的个人信息进行统计、分析和研究,发布诸如流行病预测、电信诈骗趋势报告等,可能使公众或社会因统计、分析和研究结果获得与主题有关的信息和知识;个人信息处理者为公共利益实施新闻报道、舆论监督等行为而进行个人信息处理。
c)应能够有说服力地论证,为该合法利益所进行的个人信息处理,未超出可适用的法通常所允许的合理范围;
d)应能够有说服力地论证在该个人信息处理的具体场景下,要求其事先获得选择同意将使其追求的合法利益无法实现或要求付出与收益不成比例的成本;
e)应能够有说服力地论证(如通过个人信息保护影响评估等),在具体场景中,已采取有效的控制措施,足以确保该个人信息处理不会对个人信息主体的合法利益造成不成比例的损害;
f)至少为个人信息主体提供行选择退出机制(见5.7.3),且个人信息主体未明确拒绝或选择退出。
评估要求:
评估员应:
——验证评估对象中个人信息处理的具体场景,以确定个人信息处理者所追求的是否是现实的和当下的合法利益,且个人信息处理是否是为了实现该合法利益而必要的;
——验证评估对象中个人信息处理的具体场景,以确定被评估方有关选择同意的成本—收益比例性论证和利益—损害比例性论证是适当和充分的;
——验证评估对象中个人信息处理的具体场景,以确定个人信息处理未超出可适用的法允许的合理范围,以及被评估方的论证是适当和充分的;
——确认至少存在选择退出机制,并且个人信息主体的选择退出(见5.7.3)得到执行。
其他信息:
参见《个人信息保护法》第13条第1款第5项、第7项、第34条。合法利益公平处理的必要性,见附录C。
比例性测试及示例,见附录D。
评估员宜留意在法律合规性评估中合法利益公平处理包含的比例性确定和合理范围的确定存在其固有的局限性。比例性确定和合理范围的确定本质上是具体场景下的利益平衡,法律合规性评估只能确定被评估方对于这些合法利益公平处理进行了审慎尽职的利益平衡,从而在必要时帮助被评估方证明其尽到了合理注意,遵循了正当原则和可问责原则。这些利益平衡可能事后被有权机关认定为是不适当的,评估员宜使法律合规性评估的所有相关方认识到这些方法固有的局限性。
5.2.3主体合法指标
指标要求:
可适用的法对所涉及的个人信息处理要求行政许可等主体资格的,应符合这些主体资格要求。
示例:可适用的法设定主体资格准入要求的例子,如设立经营个人征信业务的征信机构,须经国务院征信业监督管理部门批准。个人征信业务,即对个人的信用信息进行采集、整理、保存、加工并向信息使用者提供的活动;征信机构是指依法设立,主要经营征信业务的机构。参见《征信业管理条例》第2条、第5条和第6条。
评估要求:
评估员应在确定合规义务清单的基础上,评审被评估方的主体资格类文件,以确认被评估方具备所要求的主体资格。
其他信息:
参见《个人信息保护法》第5条(合法原则)。
5.2.4程序合法指标
指标要求:
可适用的法要求就所涉及的个人信息处理履行行政审批等特定程序要求的,应符合这些程序要求。
示例:可适用的法要求审批程序的例子,如《中华人民共和国人类遗传资源管理条例》虽未禁止外国组织、个人及其设立或者实际控制的机构利用我国人类遗传资源(包括人类遗传资源信息和人类遗传资源材料)开展科学研究活动,但第21-22条要求应采取与我国科研机构、高等学校、医疗机构、企业合作的方式,并经国务院科学技术行政部门批准。
评估要求:
评估员应在确定合规义务清单的基础上,评审被评估方提供的行政审批等文件,以确认评估对象履行了这些程序要求。
其他信息:
参见《个人信息保护法》第5条(合法原则)。
5.2.5类型合法指标
指标要求:
不应对可适用的法禁止处理的个人信息类型进行处理。
示例:如《非银行支付机构网络支付业务管理办法》(中国人民银行公告(2015)第43号)第20条禁止非银行支付机构存储客户银行卡的磁道信息或芯片信息、验证码、密码等敏感信息。
评估要求:
评估员应:
——确定评估对象中包含的所有个人信息类型,包括评估对象中每一个个人信息处理过程输入和输出的个人信息类型,见T/CLAST001.3—2021,8.2.1a)3);
——在确定合规义务清单和其中包含的对个人信息类型的禁止性规定的基础上,验证评估对象是否对可适用的法禁止处理的个人信息类型进行处理。
其他信息:
参见《个人信息保护法》第5条(合法原则)。
5.2.6来源合法指标
指标要求:
所处理的个人信息应具有可被证明的合法收集来源,该合法收集来源满足收集环节的扩展要求(见6.2.2.2)。
评估要求:
评估员应:
——确定评估对象中包含的所有个人信息类型及其来源,包括评估对象中每一个个人信息处理过程输入和输出的个人信息类型,见T/CLAST001.3—2021,8.2.1a)3);
——确定评估对象中的所有个人信息类型均具有明确的收集来源;
——确定这些来源是否符合来源合法指标收集环节扩展要求(见6.2.2.2)。
其他信息:
参见《个人信息保护法》第5条(合法原则)。
通常评估对象中必须包含个人信息收集,但本指标并不仅仅适用于收集环节。宜留意在评估对象中可能包含多个个人信息处理环节,而在收集以外的个人信息处理中可能有额外的个人信息类型作为输入,此时对于新增输入还需确定其具有合法收集来源。因此本指标所涵盖的范围要大于收集环节对来源合法指标的扩展要求。
5.3目的明确维度
5.3.1目的明确维度概述
目的明确维度中的指标共同关注的是:个人信息处理是否具有具体/特定的、明示的、合理的处理目的。处理目的表明一个或一组相互关联或相互作用的个人信息处理过程所要实现的预期结果或目标。处理目的是个人信息处理合规的起点,用以确定个人信息处理是否具有适当的合法性基础以及需采取何种控制措施。目的明确维度也是适用目的限制维度、质量维度的前提条件。
目的明确维度包含3个指标,即目的具体/特定指标、目的明示指标和目的合理指标。如果法律合规性评估中发现评估对象与目的明确维度中的要求之间存在差距,例如,未识别或未明示处理目的,或者明示的处理目的不够具体、过于模糊抽象,或者处理目的之间不一致、有歧义,或者明示的处理目的具有误导性,需进行调整以消除差距。这些差距并不必然导致不合规(例如隐瞒处理目的、掩盖真实处理目的,窃取或者以欺诈、诱骗或误导方式处理个人信息等)。不合规的判定还需考虑所有相关事实,尤其是差距本身的严重程度、所导致的结果,以及个人信息处理者是否具有隐瞒或掩盖的行为和对后果具有主观故意或严重疏忽。但当这些差距被发现时,评估员宜如实记录发现的情况,同时与评估委托方商榷处置方案,包括是否可接受被评估方在法律合规性评估期间及时调整差距,或在评估法律意见书揭示已经存在的风险,由被评估方选择进行风险接受或进行其他合理处置。
5.3.2目的具体/特定指标
指标要求:
所识别的个人信息处理目的,就所要处理的个人信息类型而言,应足够具体和/或特定。
示例:处理目的过于模糊抽象而不够具体的例子,如“提升服务质量”、“改善用户体验”、“加强安全性”或“研发新产品或服务”,又如“为了履行法定义务”。
注1:处理目的是否足够具体宜在场景中确定,如在个人信息保护政策或者在征求同意前的同步告知中,接收到该信息的一般受众能否根据所告知的处理目的合理确定个人信息将被用于哪些个人信息处理或哪些应用,或者是为了履行哪些法定义务。如被评估方进行多个相互关联的个人信息处理操作或行为,宜识别个人信息处理过程的总体目的,并适当列出该总体处理目的之下所包含的多个处理操作或行为。
注2:对于敏感个人信息而言,处理目的不仅需足够具体,还需足够特定。处理目的特定是关于处理目的个别化(或单独性)方面的要求,即在个人信息保护政策或者在征求同意前的同步告知场景中,接收到该信息的一般受众能否根据所告知的处理目的,合理确定敏感个人信息将被用于哪一个个人信息处理目的。一个敏感个人信息的处理目的可能包含多个服务于该处理目的的个人信息处理操作,应确保这些处理操作中的每一步对于处理目的而言都是必不可少的。
评估要求:
评估员应评审个人信息保护政策、产品/服务说明或协议、产品/服务设计文档、与个人信息处理相关方之间的合同等文件,以确定处理目的具体和特定程度。
其他信息:
参见《个人信息保护法》第6条第1款前半句和第28条第2款。
公开形式指标中的易于理解性特性要求(见5.5.4.4)和同步告知指标的形式适当性特性要求(见5.6.4.4),均包含向个人信息主体沟通处理目的时的具体和特定程度方面的要求。评估员在法律合规性评估过程中可以一并评估这些要求。但评估员宜留意目的具体/特定指标中,处理目的信息的受众也可能不仅限于个人信息主体,还包含其他个人信息相关方,例如,被评估方的员工或个人信息处理受托人。
5.3.3目的明示指标
指标要求:
处理目的应充分明示,即以清晰和明显的方式予以披露、解释或表达,以使个人信息处理者及其人员、个人信息处理受托人、个人信息主体、监管部门等所有个人信息处理相关方能够对处理目的获得确定性的预期和共识。
注:明示处理目的的方式并不限于向个人信息主体进行的政策告知和同步告知,还可以包括向个人信息处理受托人沟通的有关处理目的的要求或合同条款,向监管部门提交的书面申请或其他书面声明等。
评估要求:
评估员应评审个人信息保护政策、产品/服务说明或协议、产品/服务设计文档、与个人信息处理相关方之间的合同等文件,以确定处理目的的明示方式和明示程度。
其他信息:
参见《个人信息保护法》第7条。
处理目的之间不一致或有歧义(如政策中公开的或向个人信息主体同步告知的处理目的、向组织的员工或个人信息处理受托人披露的处理目的,以及向监管部门报告的处理目的之间),或者处理目的的表达方式可能具有误导性(如明示的处理目的与实际处理实践不符),宜将这些情形确定为差距,调整或处置的方法见5.3.1。
5.3.4目的合理指标
指标要求:
个人信息处理目的应具有合理性。
注1:个人信息处理具有合法性基础(见5.2.2)并不必然等同于处理目的具有合理性并不必然等同于个人信息处理的合法性基础。前者是指个人信息处理具有可获得承认的合法基础,如具有权利、特许或自由、义务、授权、权力、职责等;而目的合理是指处理目的在更宽泛的意义上符合所有可适用的法所承认的价值,如非歧视、尊重人格尊严、生命、健康等,从而具有实质正当性。表明合法与合理之间的差异的示例,如为了防止保险欺诈行为收集既往病史,可能是基于防止保险欺诈的法定义务或者个人信息处理者的合法利益,从而具有合法性基础。但如果在具体场景中所涉及的是为相同目的收集遗传信息、基因检测资料,则隐含地存在基因歧视等不公平因素,从而在这一具体场景中不具有合理性。又如,为了建立员工名录、考察员工的岗位适格性等人力资源管理目的进行必要的个人信息处理,通常具备合法性基础,但为评估岗位适格性的目的收集婚姻、生育、乙肝病原携带情况的信息,通常需要特别考虑处理目的的合理性,例如是否涉及特殊工种或特殊工作环境等。
注2:可能引发合理性质疑的常见情形,如歧视性的用户画像标签、算法歧视、操纵价格或滥用市场支配地位、就业歧视等。
评估要求:
评估员应结合个人信息处理的具体场景,评审确定处理目的不具有明显违反被可适用的法所承认的价值的因素。
其他信息:
参见《个人信息保护法》第5条(正当原则)、第6条前半句(合理的目的)、第24条第1款。
当法律合规性评估中发现评估对象的处理目的与目的合理指标的要求之间存在差距时,评估员宜如实记录发现的事实,并与评估委托方商榷处置方案,包括是否建议被评估方尽可能在评估期间调整这些差距或在评估法律意见书中如实揭示这些风险,并由评估委托方进行风险接受或进行其他合理处置。
评估员宜留意在法律合规性评估中目的合理指标的确定存在其固有的局限性。目的合理性的确定本质上是在具体场景下对处理目的与可适用的法所承认的价值之间的一致性进行的判断。法律合规性评估中,评估员只能根据可适用的法所承认的价值以及评估员对可适用的法的知识和经验,确认处理目的不存在明显不合理的情形。因此,评估员宜通过评估团队集体评审、与评估委托方和被评估方的充分沟通,以及必要时引入问卷调查等客观证据的方式,尽可能保障本指标评估的客观性。同时,法律合规性评估过程和结论本身,以及有效的权益行使机制,将有助于帮助被评估方证明其在处理目的的合理性方面进行了审慎尽职的评估。这些评估结论可能事后被有权机关认定为是不适当的,或者由于环境的变化而不再适当,评估员宜使法律合规性评估的所有相关方认识到这些方法固有的局限性。
5.4目的限制维度
5.4.1目的限制维度概述
目的限制维度中的指标共同关注的是:在实际收集个人信息时,以及在所有后续个人信息处理过程中,个人信息处理者是否以明示的目的为限制进行个人信息处理。
目的限制维度包含2个指标,包括最小必要指标和目的兼容指标。
5.4.2最小必要指标
指标要求:
个人信息处理应:
a)与明示的处理目的直接相关;
b)采取对个人信息权益影响最小的方式;
c)限于实现明示的处理目的所需的最小必要范围。评估要求:
评估员应:
——确认评估对象的个人信息处理是否都与明示的处理目的直接相关;
——根据评估对象的流程、规程,确定个人信息处理的范围未明显超出实现处理目的所需的最小必要范围,尤其是个人信息处理的类型、数量、频度等;
——确定评估对象中的个人信息处理所选择的方式,尤其是其技术特点,是否是在若干能够实现收集目的的可比较方式中选择对个人信息主体的权益影响最小的方式;
其他信息:
《个人信息保护法》第5条(必要原则)、第6条。
本指标通用于各种个人信息处理环节,但在收集、持有环节有扩展要求。个人信息处理与处理目的之间的直接相关测试方法及示例,见附录B.3。
可比较方式中对个人权益影响最小的方式,往往取决于成本约束条件以及其他具体场景的考量,在法律合规性评估中评估员宜允许被评估方对该要求作出充分的解释,并在此基础上得出独立的评估发现。
最小必要处理是可适用的法(如《个人信息保护法》第6条)和现有标准(如GB/T35273—2020)中常见的要素,这使得最小必要指标中出现的差距很可能表明较高的风险程度。对于已超范围处理个人信息的事实,评估员宜如实记录所发现的事实并揭示风险,并与评估委托方商榷处置方案,包括是否建议被评估方在评估期间调整这些差距,或在后续的评估法律意见书中如实披露相关的风险,由评估委托方进行风险接受或进行其他额外处置。
5.4.3目的兼容指标
指标要求:
收集个人信息后的任何后续处理目的,应与所明示的收集目的具有合理关联(兼容性)。
注1:如果所计划的后续处理目的与收集目的不具有合理关联(兼容性),在明示收集目的时应单独列出与收集目的不具有合理关联(兼容性)的后续处理目的,并分别就收集目的(包含与收集目的具有合理关联的后续处理目的)和非合理关联后续处理目的识别合法性基础。
注2:在收集以后,拟进行的后续处理目的与收集目的不具有合理关联(兼容性)的,视为处理目的变更。个人信息处理者应:
——识别可适用于后续处理目的的合法性基础,在必要时进行同步告知并重新获得选择同意;
——在以新的处理目的进行个人信息处理前更新个人信息保护政策并进行政策告知。
注3:与最初的收集目的不具有合理关联的后续处理目的是否需要同步告知并重新获得选择同意,取决于对后续处理目的可援引的合法性基础。例如,无论最初的收集目的所援引的合法性基础,当后续处理目的可援引的合法性基础为合同必要处理(5.2.2.2)、人力资源管理必要处理(5.2.2.3)、法定义务必要处理(5.2.2.4)、公共利益必要处理(5.2.2.5)、公开信息公平处理(5.2.2.6错误!未找到引用源。)、紧急必要处理(5.2.2.7)时,个人信息处理的合法性并不取决于选择同意,这些情形(取决于具体分析)通常也可能符合免于同步告知的情形;当后续处理目的可适用的合法性基础为合法利益公平处理(5.2.2.8)时,该合法性基础的适用本身以证明难以获得事先选择同意为前提,同时也可能符合免于同步告知的情形。个人信息处理者也可以直接选择对后续个人信息处理援引选择同意处理(5.2.2.1)作为合法性基础。
评估要求:
评估员应:
——确认后续处理目的与收集目的具有合理关联(兼容性);
——如果不具有合理关联,通过抽样方法选择与最初收集目的不兼容的后续处理,并确认在该次目的转用时是否存在相应的个人信息保护政策更新和告知;
——评审被评估方对于后续处理目的识别的合法性基础,并按照相应的合法性基础确认符合性;
——如被评估方直接以选择同意处理(5.2.2.1)作为合法性基础,应通过抽样方法验证在每一种与最初收集目的不兼容的后续处理前,是否存在同步告知和选择同意步骤。
其他信息:
《个人信息保护法》第6条、第14条、第17条。
合理关联(兼容性)确定方法及示例,见附录B.4。
除评估要求所规定的对被评估方实际做法的抽样确认之外,评估员宜评审被评估方的流程是否有助于确保:在以任何新的处理目的进行个人信息处理前,经过合规部门的评审以确认合理关联(兼容性),并决定是否同步地更新个人信息保护政策和进行告知。这一流程的存在将影响所需抽样的数量。
对于明显超范围使用个人信息(或称目的转用)的行为及可能带来的违法违规风险,评估员宜如实记录所发现的事实并揭示风险,并与评估委托方商榷进一步的处置方案。
如果法律合规性评估中发现评估对象以与明示的收集目的不具有兼容性的目的进行后续个人信息处理,而在这些差距发生前,被评估方未识别可适用的合法性基础,首先宜验证在这种差距发生前,被评估方是否更新了个人信息保护政策或与个人信息收集使用有关的规则并进行有效告知,如果也未更新和告知,则此种差距很可能已经构成超范围使用(或称目的转用)。
如果已经进行个人信息政策更新和告知,宜进一步进行合法性基础的识别,并根据具体情形决定调整或处置方式:
——如果超出明示收集目的的后续个人信息处理经识别符合不需要获得选择同意的合法性基础,包括合同必要处理(5.2.2.2)、人力资源管理必要处理(5.2.2.3)、法定义务必要处理(5.2.2.4)、公共利益必要处理(5.2.2.5)、公开信息公平处理(5.2.2.6)、紧急必要处理(5.2.2.7)或合法利益公平处理(5.2.2.8),需进一步评估是否需要就后续个人信息处理目的变更进行同步告知(5.6.4),如果需要同步告知而未告知的,则此种差距很可能已经构成超范围使用;
——后续个人信息处理可适用的合法性基础为选择同意处理(5.7.2),此种差距很可能已经构成超范围使用。
对于上述差距,被评估方宜通过更新个人信息保护政策和进行政策告知、同步告知和选择同意等方式调整,以消除差距。差距很可能已经构成超范围使用从而产生被识别的风险,即“违反法律、行政法规的规定和双方的约定”使用个人信息可能导致的行政责任风险;如果后续个人信息处理是将个人信息披露、转移或提供给第三方或公开,根据具体情形还可能导致刑事责任。因此事后更新个人信息保护政策、政策告知、同步告知和选择同意,难以将已经发生的违规予以合法化从而彻底消除风险,否则将使目的明确维度与目的限制维度丧失意义。此时宜进行的额外处置,包括由评估委托方进行风险接受,或者由被评估方向监管部门咨询确定可能的处置方案,例如,主动向监管部门进行报告后作出整改承诺,必要时向受影响的个人信息主体进行事件告知和进行适当补偿等。
5.5公开透明维度
5.5.1公开透明维度概述
公开透明维度中的指标共同关注的是:有关个人信息处理政策与实践的信息是否以符合透明度原则的方式被公开并提供给个人信息主体,以保障个人信息主体的知情权和其他合法权益的行使。
公开透明维度包含3个指标,包括信息充分指标、公开质量指标、公开形式指标,分别关注有关个人信息处理政策与实践的信息公开是否满足充分、真实、准确、完整、及时、相对独立、易于访问、易于理解、易于阅读等特性。
通常宜将公开透明维度的所有指标作为整体进行法律合规性评估,这些指标所评估的对象,通常是对于所有个人信息相关方可见的信息,当评估对象与这些指标之间存在差距,是容易被感知并带来实质性风险的。这些差距通常可以并且宜在法律合规性评估期内得到调整。
评估员在法律合规性评估的过程中有可能感知到或发现在评估对象之外存在的差距,对于这些差距视而不见很可能削弱法律合规性评估结论的可信度。评估员宜在发现差距时及时与评估委托方沟通,若评估委托方同意将该差距及时披露给被评估方,则评估员宜使被评估方认识到这些差距的存在并进行调整,但评估员宜使法律合规性评估的所有相关方认识到对于评估对象的范围和边界外的差距识别和风险提示并非法律合规性评估的范围。
5.5.2信息充分指标
指标要求:
个人信息处理者应公开与其个人信息处理政策与实践有关的充分的信息,包括:
a)所公开的信息的适用范围,例如,适用于哪些产品、服务、组织等;
b)个人信息处理者的身份,包括公司名称和具体联系方式;
1)如果有个人信息共同处理者,应包含个人信息共同处理者的身份,以及在个人信息安全方面自身和其他个人信息共同处理者分别承担的责任和义务;
2)如果有个人信息处理受托人,应包含个人信息处理受托人的身份或类型;
c)收集个人信息的目的、方式、范围和相关处理规则;
注:具体见信息充分指标收集环节扩展要求(见6.2.5)。
d)所收集的个人信息的后续处理目的、方式、范围和相关处理规则:
注1:后续处理目的宜包含收集个人信息后预计进行的所有后续处理,对于与收集目的具有合理关联(兼容性)的后续处理目的,通常可以通过“总体目的+该总体目的之下的后续个人信息处理环节”的方式给出;对于与收集目的可能不具有合理关联的后续处理目的,应单独明示后续处理目的、方式和范围以及该后续处理目的之下将包含的个人信息处理环节。
注2:收集目的和后续处理目的以满足目的具体/特定指标(见错误!未找到引用源。)和目的明示指标(见5.3.3)的方式得到描述和明示后,通常可以识别该目的中是否会包含提供、公开、转移、向境外提供等对个人信息的保密性产生重要影响的个人信息处理环节。如果预期普通受众可能很难从收集目的和后续处理目的的表达中合理确信其个人信息将被提供、公开、转移或向境外提供,宜具体和明确地指出这些内容,具体见信息充分指标在特定环节的扩展要求。
e)个人信息的存储地域、存储期限以及存储期限届满时的处理方式;
f)个人信息主体合法权益的行使方式、条件或程序,如查询、更正、删除、获取个人信息副本、对自动决策结果进行投诉的方法等,以及选择退出机制;
g)个人信息主体询问或投诉的渠道(如电子邮件、电话、在线表单、在线客服等)、具体联系方式和处理机制(如处理时限);
h)提供个人信息后可能存在的安全风险,发生个人信息安全事件时的处置或补救措施,以及事件告知方式;
i)个人信息处理者所遵循的个人信息安全原则或法律、法规、标准、协议等,具备的信息安全能力,以及采取的个人信息安全保护措施;
注1:个人信息安全保护措施可包括,诸如身份鉴别、数据加密、访问控制、恶意代码防范、安全审计等;
注2:必要时可公开信息安全和个人信息保护相关的认证证明或评估报告等,以说明个人信息处理者所具备的信息安全能力。
j)外部纠纷解决机构及联络方式;
k)发布或生效日期和更新规则。
注:“更新规则”应界定必须更新的重大变更事项的范围,应纳入对个人信息处理的范围(如主体、对象、目的和方式)或个人信息主体合法权益行使能力与方式产生实质影响的事项,至少应包括b)-h)。
评估要求:
评估员应评审个人信息处理者所公开的有关个人信息处理政策与实践的信息,以确认其提供的信息具有充分性。
其他信息:
参见《个人信息保护法》第7条、第17条,以及其他标准,如GB/T35273—2020,5.5。
5.5.3公开质量指标
指标要求:
个人信息处理者应确保信息充分指标(见5.5.2)所记载的信息真实、准确和完整地体现了组织的个人信息处理政策与实践,并在发生重大变更时及时更新信息。
注1:重大变更的范围由个人信息处理者在其公开的信息中自行界定(见5.5.2l)及其注),但无论是否以及如何界定,在发生个人信息处理范围(如主体、对象、目的和方式)的实质变更或者对个人信息主体合法权益行使能力与方式产生实质影响的变更时,应及时更新信息以使其保持真实、准确和完整。
注2:变更涉及须获得个人信息主体选择同意的事项时,宜在实际变更发生前且就该事项征求同意前更新;不涉及须获得个人信息主体选择同意的事项时,宜不晚于变更事项实际发生或生效后的一个月。
评估要求:
评估员应:
——在法律合规性评估的过程中比较评估对象与本指标的符合性,并在法律合规性评估结论前,整体评审确定本指标的符合性。
——当确定评估对象与本指标之间存在差距时,进一步评审该差距的重要性,是否可能导致评估对象中的个人信息处理在具有误导性或欺诈性的信息公开基础上进行的。
其他信息:
参见《个人信息保护法》第5条(正当原则、诚信原则和该条后半句)和第17条。
公开质量指标关注的是被评估方实际发生的个人信息处理政策和实践,与被评估方对外公开的信息之间是否一致,这种一致性需要在整个法律合规性评估过程中得到反复评估和确认。当评估对象中的个人信息处理政策和实践与公开的信息之间存在不一致时,这种差距并不必然表明被评估方存在误导、欺诈、隐瞒等违规甚至违法。但这些差距的存在已经表明风险被识别。评估员宜进一步评审确定差距的重要性是否很可能导致:评估对象中的个人信息处理是在具有误导性或欺诈性的信息公开基础上进行的。评估员宜在发现差距时及时与评估委托方沟通,并将这些差距的调整作为出具评估法律意见书的前提,并且明确提示差距调整前已经存在的风险,由评估委托方考虑进行风险接受或其他处置。
目的明确维度和目的限制维度中的差距,很可能同时导致在本指标项下的差距。在其他维度或指标项下的差距需要通过修改或更新个人信息保护政策予以调整时,宜按照特定维度或指标项下给出的调整指引进行。
5.5.4公开形式指标
5.5.4.1公开形式指标概述
公开形式指标关注的是:个人信息处理政策与实践的信息是否以有助于透明度和公正性的形式进行公开。
公开形式指标包含个人信息处理政策与实践信息的4个特性的确定,即相对独立性、易于访问性、易于理解性和易于阅读性。以下各条给出了4个特性的具体要求、示例和注。
评估要求:
评估员应评审个人信息处理保护政策,以验证个人信息保护政策满足相对独立性、易于访问性、易于理解性和易于阅读性的特性要求。
其他信息:
参见《个人信息保护法》第17条,以及其他标准,如GB/T35273—2020,5.5。
5.5.4.2相对独立性
特性要求:
应通过制定相对独立的文件提供信息充分指标(见5.5.2)所述信息,其呈现形式应:
a)能够明显区分于用户注册与使用协议、服务协议等并非聚焦于个人信息处理的文件;
b)能够明显区分同一组织提供的不同产品或服务;
c)能够明显区分适用于不满十四周岁未成年人个人信息的处理规则。
注1:此类文件的常用名称,如个人信息保护政策、隐私政策、个人信息收集使用规则、隐私声明、隐私通知、常见问答等。无论文件采用何种名称,须综合性地体现并且相对独立地存在。在本文件中统称为个人信息保护政策。
注2:为符合公开透明维度而提供的有关个人信息处理政策与实践的文件(如个人信息保护政策)与约定权利义务的用户协议或服务协议具有不同的目的与效力,后者可能被可适用的法或有权机关认定为格式合同;而个人信息处理的合法性基础并非仅限于个人信息主体的选择同意或与个人信息主体之间的合同,个人信息的收集方式亦涵盖间接获取的情形,在此情形下个人信息主体不受用户协议或服务协议的约束,因此个人信息保护政策需要涵盖用户以外的更大范围的群体。
注3:宜就同一组织提供的不同产品或服务,如多款移动应用程序分别制定单独的文件,而不是仅制定一份适用于组织全部产品或服务的一般性文本,以确保所提供的信息(尤其是个人信息处理目的、方式、范围、和规则等信息)足够具体/特定。如同一组织提供的产品或服务数量相对有限,或个人信息处理的目的、方式、范围和规则同质性程度较高,使得不必制定单独的文件就能够实现足够具体的信息提供,宜在文本中视必要性和适当性明显区分不同产品或服务。
5.5.4.3易于访问性
特性要求:
个人信息保护政策应公开发布且易于访问。具体而言:
a)任何拥有网站的组织均应在其产品或服务网站主页醒目位置用常用名称(如个人信息保护政策或隐私政策等)设置可直接访问个人信息保护政策的链接;
b)移动应用程序等软件,应在下载界面(如官方下载网页、应用商城等)、安装界面以及安装后的移动应用程序用户界面的醒目位置(如菜单栏、设置菜单等)提供文件或直接访问个人信息保护政策的链接;
c)带有屏幕的硬件产品,如物联网设备、移动智能终端设备等,应在产品首次注册或开启界面和用户界面(如菜单栏、设置菜单等)的醒目位置展示个人信息保护政策或直接访问个人信息保护政策的链接;
d)不带有屏幕的硬件产品,可以在产品在线销售界面提供个人信息保护政策或直接访问个人信息保护政策的链接,并应在产品包装或说明书中提供个人信息保护政策全文或提供可访问个人信息保护政策全文的二维码或个人信息保护政策所在网页的链接地址。
注1:易于访问是指结合产品或服务的具体使用场景和行业内的通用实践,个人信息主体在需要查阅时无需进行繁琐的搜索和跳转等动作,即可在产品或服务有关的直观和醒目位置访问个人信息保护政策。
注2:可适用的法可能规定了适用于特定产品或服务的底线要求,如《APP违法违规收集使用个人信息行为认定办法》规定“如进入App主界面后,需多于4次点击等操作才能访问到”为难以访问。
5.5.4.4易于理解性
特性要求:
个人信息保护政策应采用具体、清晰和易于理解的语言。具体而言:
a)应避免使用过于笼统抽象的语言从而无法提供有关个人信息处理的有意义的信息,以及避免采用模棱两可从而容易产生歧义的语言;
b)应符合通用的语言习惯,使用标准化的数字或图示等;
c)应采用平实的语言,避免晦涩难懂的语言,如使用大量专业术语。
示例:笼统抽象和模棱两可的例子,如“为了更好地提供服务和升级产品,我们可能会将您的某些个人信息提供给合作伙伴用于统计分析”,“我们采用行业通行的安全技术和严格的管理制度来保护您的个人信息安全”的表述,过于笼统抽象,从而未能提供有关个人信息处理的有意义的信息;而“合作伙伴”的术语在未经定义的前提下,难以确定是指委托的个人信息处理受托人还是向第三方提供或转移;“我们可能会收集……”等模棱两可的表达难以确定是否收集。
5.5.4.5易于阅读性
特性要求:
个人信息保护政策应易于阅读,并对其中的重要信息采用突出显示。
注1:易于阅读宜关注呈现格式、形式或语言等方面,如字号、颜色、行间距等排版格式不会造成阅读困难,文件过长时宜提供目录、摘要或超链接等以便查找和定位。呈现格式、形式或语言等方面,宜充分考虑受众特点、呈现场景等因素的影响,如产品或服务的计划受众主要是儿童、视觉障碍人士或老年群体时,适应受众特点选择呈现格式或提供音视频等多媒体形式。
注2:突出显示宜关注突出显示的信息与非突出显示的信息的区分程度,如采用字体加粗、标星号、下划线、斜体、颜色或表格中的单独一列等。
注3:需突出显示的信息取决于可适用的法的规定,通常包括敏感个人信息、涉及出境的个人信息类型等。
5.6告知维度
5.6.1告知维度概述
告知维度关注的是:个人信息处理者在个人信息处理的过程中,是否不仅仅是通过个人信息保护政策公开信息,还通过与个人信息主体的适时沟通与互动,将信息主动提供给个人信息主体,使个人信息处理的规则、事件、变化对个人信息主体而言具有适当透明度。适当的告知,将促进个人信息主体知情权、决定权的实现,并有助于增进个人信息主体对个人信息处理者尽责性的理解。
告知维度与公开透明维度、选择维度具有密切的联系,有时告知维度和选择维度被统称为告知同意。但告知并不仅仅是在征求同意的语境下才需要的,尤其在不以选择同意作为合法性基础的个人信息处理中,以及在采取选择退出机制的场景中,将不同的告知与选择同意的场景区别开来加以规划和评估,将有助于避免在个人信息主体突然发现其个人信息被处理时可能引发的对处理合规性的质疑和争端。
告知维度包含3个指标,涵盖3种不同类型的告知,即政策告知、事件告知以及同步告知。法律合规性评估中发现被评估方实际进行的告知与本维度中的指标之间存在差距的,并不必然表明个人信息处理不合法,但在差距较为重大时可能表明个人信息处理有违合法性原则或正当性原则,并容易因此引发与个人信息主体之间的纠纷以及其他行政责任。评估员宜将这些差距及其可能的风险充分揭示给评估委托方,由评估委托方考虑进行风险接受或处置。在法律合规性评估中宜允许被评估方对微小的差距进行及时的调整。
5.6.2政策告知指标
5.6.2.1政策告知指标概述
政策告知指标关注的是:在公开透明维度的基础上,个人信息处理者是否还采取积极的步骤将个人信息保护政策有效地提供给个人信息主体,包括主动引导个人信息主体访问,以促进个人信息主体的理解和知情的选择同意。
政策告知指标包含3个特性的确定,即政策告知的时机、形式和送达方式的适当性。以下各条给出了3个特性的具体要求、示例和注。
评估要求:
评估员应:
——在评估对象的实际安装、使用场景中,验证首次政策告知的时机与本指标的符合性;
——评审被评估方间接获取个人信息时进行政策告知的方式和时机,验证政策告知是在后续个人信息处理前或间接获取个人信息后的合理期限中较早截至的时机前进行的;
——采用抽样方法验证个人信息处理者在个人信息保护政策文件更新时已进行重新告知;
——评审个人信息处理者的规章制度、操作规程和配套的报告记录模板,确认个人信息处理者所建立的制度、规程和业务流程能够确保个人信息保护政策更新时重新进行政策告知。
其他信息:
参见《个人信息保护法》第17条,以及其他标准,如GB/T35273—2020,5.5。
政策告知与本指标中的特性要求存在差距的,个人信息处理者应通过修改消除差距。未进行政策的首次告知和重新告知的,需对调整前的风险进行揭示,由评估委托方进行风险接受。
5.6.2.2时机适当性
特性要求:
a)首次政策告知时机应不晚于首次打开产品、首次使用服务、安装软件或移动应用程序、注册账号时;
b)间接获取个人信息的,应在进行任何后续个人信息处理前或者间接获取个人信息后的合理期限内尽早进行首次政策告知;
示例:间接获取后进行的后续个人信息处理的示例,如利用间接获取的个人信息与个人信息主体进行首次通信,将间接获取的个人信息与个人信息处理者已经持有的个人信息进行汇聚融合,存储至可以访问间接获取的个人信息以进行用户画像、个性化展示、自动决策等的业务系统中,以及委托处理、向第三方提供、转移、公开间接获取的个人信息等。
注1:不应等到间接获取的个人信息后续处理即将要超出间接获取时已获得的选择同意范围,从而需要重新征求个人信息主体选择同意时,才进行首次政策告知。首次政策告知与选择同意并不具有必然关联。但如果在间接获取时或在间接获取之前,个人信息主体已经获得政策告知并且其中已经包含与间接获取的个人信息的处理范围和个人信息主体合法权益的行使有关的信息,则不必再次告知。
注2:合理期限宜不晚于间接获取个人信息后的一个月。
c)个人信息保护政策文件更新时,应重新进行政策告知。
5.6.2.3内容适当性
特性要求:
政策告知应:
a)采用明显方式提醒阅读,并附个人信息保护政策的全文或链接;
注:可供选择的明显方式包括弹窗、显著标识(如字体加粗、标星号、下划线、斜体、颜色等)的文字说明、勾选框、填写框、提示条、提示音等。
b)个人信息保护政策因以下重大变更而更新时,除附个人信息保护政策的全文或链接外,政策告知应采用明显方式提示发生变更的内容:
1)个人信息处理范围(如主体、对象、目的和方式)发生实质变更;
2)对个人信息主体合法权益行使能力与方式产生实质影响的变更;
3)个人信息处理者所公开的信息中自行界定的其他重大变更。
注1:重大变更的范围见5.5.2l)及其注。
注2:在政策告知中提示变更内容的明显方式,如在政策告知中包含变更内容摘要,或者在所附个人信息保护政策全文中突出显示变更内容。
5.6.2.4送达方式适当性
特性要求:
个人信息保护政策的首次告知和重新告知应逐一送达个人信息主体;当成本过高或有显著困难时,可以公告形式发布。
注1:逐一送达方式,如弹窗、电子邮件、信函、电话、推送通知等方式。
注2:逐一送达成本过高或有显著困难的例子,如在非在线交互环境下面向非特定的个人信息主体自动采集个人信息,难以获得个人信息处理者的联系方式,或缺乏与个人信息主体建立联系的机制等。
5.6.3事件告知指标
5.6.3.1事件告知指标概述
事件告知指标关注的是:当发生可能给个人信息主体的合法权益造成严重危害的个人信息安全事件或其他个人信息处理违规行为后,是否通过及时、透明与尽责的事件告知,为个人信息主体提供警示、建议和补救。
评估要求:
评估员应:
——通过评审个人信息安全事件记录,确定评估对象是否发生过可能给个人信息主体的合法权益造成严重危害的个人信息安全事件或其他个人信息处理违规行为;
——通过抽样方式确定在这些事件发生后,被评估方是否及时进行适当事件告知;
——评审个人信息处理者的规章制度、操作规程和配套的报告记录模板,确认适用于评估对象的制度、规程和业务流程界定了进行事件告知的条件,这些条件能确保在其得到遵守时被评估方满足本指标。
其他信息:
参见《个人信息保护法》第57条第2款,以及其他标准,如GB/T35273—2020,10.2。评估对象与本指标中的特性要求存在差距的,宜要求调整消除差距。对调整前的风险,
宜向评估委托方进行揭示由其进行风险接受或其他处置,例如由被评估方向监管部门咨询确定可能的补救方案。
5.6.3.2时机适当性
特性要求:
个人信息安全事件或其他个人信息处理违规行为可能给个人信息主体的合法权益造成严重危害的,如敏感个人信息的泄露,应尽快向个人信息主体进行事件告知。
注1:有些个人信息处理违规行为,如违反最小必要指标(见5.4.2)或目的兼容指标(见5.4.3)从而超范围进行的个人信息收集或后续个人信息处理,有可能会导致未经个人信息主体授权的个人信息泄露,但这一泄露并不是未经个人信息处理者授权的泄露,因此不属于信息安全事件。当个人信息安全事件以外的其他个人信息处理违规行为可能给个人信息主体的合法权益造成严重危害的,也应进行事件告知。
注2:事件告知的时机不应有不合理的拖延,在发现或合理地确信个人信息安全事件或其他个人信息处理违规行为很可能已经发生后,如果可行,宜在72小时内。
5.6.3.3内容适当性
特性要求:
事件告知内容应包括:
a)个人信息安全事件或其他个人信息处理违规行为的内容和对个人信息主体的影响;
b)已采取或将要采取的处置措施;
c)个人信息主体自主防范和降低风险的建议;
d)针对个人信息主体提供的补救措施;
e)组织中被指定的个人信息保护负责人和个人信息保护工作机构的联系方式。
5.6.3.4送达方式适当性
特性要求:
事件告知应逐一送达受影响的个人信息主体;当逐一送达有显著困难,应采取合理、有效的方式发布必要的警示信息。
注:逐一送达方式,如包括弹窗、电子邮件、信函、电话、推送通知等方式。
5.6.4同步告知指标
5.6.4.1同步告知指标概述
同步告知指标关注的是:个人信息处理者是否根据个人信息处理环节或征求个人信息主体同意的进程,分阶段、即时同步地向个人信息主体告知与个人信息处理最密切相关的信息,以促进知情或知情同意。
同步告知指标包含4个特性要求,涵盖同步告知的时机、内容、形式和送达方式的适当性,另外,5.6.4.6给出了免于同步告知的情形。
同步告知指标在收集、使用、存储、公开、提供、转移等环节,以及在向境外提供、共同处理、委托处理、第三方管理等特殊个人信息处理类别中均有扩展要求。这些扩展要求主要给出了同步告知的适当时机与适当内容。
评估要求:
评估员应:
——在评估对象的具体运行环境中,验证在5.6.4.2所规定的时机将出现同步告知;
——在评估对象的具体运行环境中,确认同步告知内容、形式和送达方式的适当性特性要求得到满足。
其他信息:
参见《个人信息保护法》第17条、第18条、第22条、第23条、第30条、第35条、第39条。
5.6.4.2时机适当性
特性要求:
同步告知至少应在以下适当时机出现:
a)同步告知的扩展要求列出的时机;
b)可适用的法要求单独告知的时机;
c)个人信息处理者征求单独同意或书面同意时。
5.6.4.3内容适当性
特性要求:
同步告知应提供与触发本次同步告知的个人信息处理最密切相关的信息。
注:最密切相关信息一般包含触发本次同步告知的个人信息处理的目的、方式、所涉及的个人信息类型和个人信息处理者的身份。在根据同步告知的场景可以明确知晓个人信息处理者身份的,可以省略该信息。在涉及个人信息处理者之外的其他个人信息相关方时,最密切相关信息还包括该个人信息相关方的身份(如姓名或名称),必要且适当时可包括该相关方的联系方式。
5.6.4.4形式适当性
特性要求:
同步告知在形式上应:
a)采用简洁、清晰和平实的语言或通用图标;
b)单独呈现最密切相关的信息;并且
c)附带进一步访问详细信息的便捷方式。
注1:仅提供个人信息保护政策,未单独呈现最密切相关信息的,不是同步告知。
注2:允许个人信息主体进一步访问详细信息的便捷方式,如:
-链接—跳转/下载:在同步告知中设置一个或多个链接,允许个人信息主体通过点击链接直接跳转至或者下载更详细的信息,如更详细的说明或个人信息保护政策。采用链接—跳转方式的,宜跳转至对应条款或段落;
-分层展示:在同步告知中设置一个或多个按钮,个人信息主体点击按钮时展开或弹出更详细的信息;
-分区展示:在同步告知中或者在同步告知的同时,用单独区域(如文本框或网页界面)直接展示更详细的信息,如更详细的说明或个人信息保护政策;
-扫码获取:在同步告知中附带二维码,个人信息主体扫描二维码时展示更详细的信息;宜仅适用于非在线交互环境中或者展示空间受限的同步告知。
-在非在线交互的环境中播放预录制音频或视频、提供纸质文件、提供访问地址等方式。
5.6.4.5送达方式适当性
特性要求:
同步告知应是以逐一送达至个人信息主体的方式提供的。具体而言:
a)在移动应用程序、软件和移动智能终端等允许在线交互的环境中应是推送方式;
注:推送方式如弹窗、文本框、站内消息、预录音频或视频等。弹出或跳转至权限管理界面、隐私仪表盘、隐私菜单等交互界面,宜视为是推送方式。
b)在非在线交互的环境中,可以是纸质文件、电子邮件、电话、短信、信件、警示牌、标准化图标、二维码、预录音频或视频等。
5.6.4.6免于同步告知的情形
特性要求:
a)个人信息主体已经就相同的个人信息类型、处理目的、个人信息处理和所涉及的第三方获得至少一次同步告知,并且未发生需要重新获得同意的变化;
b)个人信息处理者能够证明:
1)可适用的法规定不需要向个人告知,
2)可适用的法或有权机关要求保密,或者
3)同步告知将导致特定合法性基础所追求的合法利益无法实现或严重受损。
c)特定个人信息信息处理的合法性基础是紧急必要处理(5.2.2.7),并且个人信息处理者能够证明:
1)在该具体场景中因情况紧急无法及时向个人信息主体进行同步告知;
2)该无法及时告知的情况尚未消除。
d)个人信息是间接获取的,并且个人信息处理者能够证明:
1)提供同步告知不可能实现,或者
2)相比于该特定个人信息处理对个人信息主体的影响而言,同步告知将要求不成比例的成本。
注:不可能实现既包括同步告知在客观上不可能实现,也包括如果要求提供同步告知将使个人信息所追求的合法利益无法实现;为了统计和研究目的处理个人信息,例如在个人信息处理者组织范围内进行并且在发布成果时已经进行适当去标识化处理的统计研究,公开信息公平处理(见5.2.2.6)通常涉及众多与个人信息处理者不具有直接联系的个人信息主体,这些情形宜推定为要求个人信息处理者提供同步告知很可能要求不成比例的成本;但如果间接获取的个人信息被用来与个人信息主体进行直接联系时,不宜再推定要求不成比例的成本。
5.7选择维度
5.7.1选择维度概述
选择维度关注的是:除可适用的法或所援引的合法性基础不允许个人信息主体行使选择的情形外,个人信息处理者是否通过易于理解和易于访问的机制,使个人信息主体能够行使有关其个人信息处理的决定权。
选择维度包含2个指标,即选择同意指标和选择退出指标。宜留意两个指标并不必然是二选一的,在选择同意指标中自由度特性在考虑个人信息主体是否拥有真实的选择自由时,可以将选择退出机制的存在作为考量因素之一,因此两个指标可以并用,此时选择退出机制也被称为撤回同意。在某些不以选择同意作为条件的合法性基础中,例如,公开信息公平处理(见5.2.2.6)、合法利益公平处理(见5.2.2.8),选择退出机制的存在则是必要条件,而选择同意指标则不是必要的。
5.7.2选择同意指标
5.7.2.1选择同意指标概述
选择同意指标关注的是:个人信息处理者是否在必要时以及适当且可行时获得有效的同意。
选择同意指标包含4个特性要求,涵盖同意的自由度、具体性、知情度、明确性等特性要求。
选择同意指标在收集、使用、存储、公开、提供、转移等环节,以及在向境外提供、共同处理、委托处理、第三方管理等特殊个人信息处理类别中均有扩展要求。这些扩展要求主要给出了获得同意的具体性(如是否应是单独同意)、明确性(如是否应是明示同意,以及如采用明示同意,是否应是书面同意)等方面的特殊要求。
评估要求:
评估员应:
——在评估对象征求同意的具体场景中确定个人信息主体给出的选择同意满足4个特性要求,即自由度、具体性、知情度和明确性。
其他信息:
参见《个人信息保护法》第5条(合法原则和正当原则,不得“胁迫”)、第14条、第15条、第16条、第22条、第23条、第25条、第26条、第27条、第29条、第31条、第39条和第44条(决定权)。
4个特性要求给出了对这些特性的具体解释和示例,评估员宜留意除非评估对象的可适用的法存在具体的强制性规范,单独符合或不符合其中某一个示例并不必然意味着评估对象构成违法或违规,但被发现的差距宜充分记录并提示给被评估方以供调整。评估员宜在充分考虑4个特性的前提下,综合评定这些差距是否会使得被评估方按照现状获得的同意被认定为无效。
当评估对象的范围和边界包含多个产品或服务等情形时,评估员可以采用抽样方式进行确定,但宜使法律合规性评估的所有相关方认识到抽样方法带来的局限性。如果可行,抽样应涵盖收集、目的转用、公开、提供、转移、向境外提供等关键环节。
5.7.2.2自由度
特性要求:
选择同意应是在个人信息主体有真实的选择和自由的基础上给出的。这意味着:
a)在征求同意的具体场景中,不应存在强迫个人信息主体给出同意的设定;
b)在征求同意的具体场景中,不应存在欺诈、误导、夸大不利影响的陈述或表示。
注1:是否存在强迫个人信息主体给出同意的设定需在具体场景中确定,通常宜考虑以下因素:
-合同的签订、履行或者提供产品或服务基本业务功能,是否以个人信息主体对非最小必要的个人信息处理给出同意为条件;
-是否将基本业务功能和扩展业务功能捆绑在一起征求同意,并且未对扩展业务功能提供拒绝同意的选项;
-是否不适当地合并或捆绑多个处理目的一并征求同意;
-是否不适当地合并或捆绑多个个人信息处理操作一并征求同意;
-拒绝同意、关闭或退出特定业务功能后,是否除了使个人信息主体不再获得该特定业务功能之外,还受到其他不利影响,如暂停个人信息主体自主选择和保留的其他业务功能,降低其他业务功能的服务质量,在同意之前无法访问任何的公开信息或业务功能;
-拒绝同意、关闭或退出特定业务功能后,是否频繁地征求个人信息主体的同意,以至于对其他被自主选择或保留的业务功能使用造成干扰;
-是否仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求个人信息主体同意。
注2:欺诈、误导、夸大不利影响均需具体场景中存在具有虚假性的陈述或表示,并因此导致个人信息主体很可能基于错误认识、混淆或无意识前提下做出同意的动作。
5.7.2.3具体性
特性要求:
选择同意应足够具体。这意味着:
a)应适当区分不同处理目的和不同处理环节,以就具体处理目的和处理环节逐步征求个人信息主体的同意。
b)可适用的法要求获得单独同意的,所获得的同意应是针对特定处理目的、特定处理环节和/或特定个人信息类型等特定内容所作出的。
注1:单独同意是对同意的意思表示所针对的对象或内容的个别化要求。同意的意思表示应针对特定处理目的、特定处理环节和/或特定个人信息类型或其他特定内容作出,取决于可适用的法在规定单独同意时设定的条件。
示例:例如,可适用的法要求公开获得单独同意是针对公开这一特定处理环节而言,但由于可适用的法也要求在征求同意的场景中明示处理目的,因此单独同意应是针对“特定处理环节+具体处理目的”作出的。又如,可适用的法要求向境外提供获得单独同意也是针对向境外提供这一特定处理环节而言,但可适用的法也要求在征求同意的场景中向个人告知境外接受方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人想境外接收方行使权利的方式和程序等事项,因此单独同意应是针对“特定处理环节+特定境外接收方+具体处理目的+具体个人信息类型”作出的。再如,可适用的法要求处理敏感个人信息获得单独同意是针对特定敏感个人信息而言,同时可适用的法要求处理敏感个人信息应具有特定的目的,因此在此情形下的最低要求应是“特定敏感个人信息+特定处理目的”,但当所涉及的个人信息处理环节要求获得单独同意,需根据可适用的法所设定的条件增加“特定处理环节”“特定接收方”等条件。
注2:具体性特性要求宜在根据可适用的法和本文件确定合规准则的前提下,结合同步告知指标,在征求同意的具体场景中加以评估。
5.7.2.4知情度
特性要求:
选择同意应是在知情前提下给出的。这意味着:
a)个人信息主体在被征求同意时能够获得同步告知;
b)只要可行,在征求同意时应向个人信息主体提供:
1)同步告知指标(见5.6.4.2)所要求的最密切相关信息;
1)有关其合法权益及其保障的信息;
2)有关同意或拒绝同意的影响或后果的信息。
注:知情度特性要求宜在根据可适用的法和本文件确定合规准则的前提下,结合同步告知指标,在征求同意的具体场景中加以评估。
5.7.2.5明确性
特性要求:
选择同意应是明确的意思表示。这意味着:
a)只要可行,征求同意的场景设计应要求或引导个人信息主体做出明示同意,包括:
1)主动作出积极行为,如通过书面、口头等方式主动做出纸质或电子形式的声明。其中:
——可适用的法明确要求书面同意的,应获得个人信息主体以纸质或者电子形式签字以表示同意的文件。
2)自主做出肯定性动作,如主动勾选、主动点击、主动填写或提供等积极行为。
b)只要可行,应避免需要将消极行为推定为默示同意的场景设计;
c)处理不满十四周岁未成年人的个人信息,应由未成年人的父母或者其他监护人作出上述明确的意思表示。
注1:默认勾选的对话框或默认开启的权限不应被视为是明确的意思表示。
注2:通常沉默只有在有法律规定、当事人约定或者符合当事人之间的交易习惯时,才可以被视为是意思表示。不宜将默示同意作为同意的一般原则或默认设定。
注3:明确性特性要求宜在根据可适用的法和本文件确定合规准则的前提下,在征求同意的具体场景中加以评估。
5.7.3选择退出指标
选择退出指标关注的是:除可适用的法不允许个人信息主体行使选择的情形外,个人信息处理者是否为个人信息主体提供有效的选择退出机制,即通过便捷的机制受理和及时响应个人信息主体以积极行为做出的希望不再进行特定个人信息处理的意思表示,从而保障个人信息主体的决定权。选择退出指标包含3个特性要求,涵盖选择退出的便捷性、自由度和及时响应性等特性要求。
选择退出指标在存储、公开、提供、转移、向境外提供等环节/类别均有扩展要求。这些扩展要求主要给出了在具体环节或特殊类别中选择退出机制的具体表现形式以及执行选择退出的具体要求。这些扩展要求主要是对便捷性和及时响应性特性的扩展。
评估要求:
评估员应:
——在评估对象选择退出的具体场景中确定选择退出机制满足3个特性要求,即便捷性、自由度和及时回应性。
其他信息:
参见《个人信息保护法》第15条、第44条和第47条。
5.7.3.1便捷性
特性要求:
选择退出机制应具有便捷性。这意味着:
a)选择退出机制应与选择同意一样易于理解;
b)选择退出机制应与选择同意一样易于访问;
c)个人信息处理的合法性基础为的选择同意处理的,应提供撤回同意形式的选择退出机制。
注1:选择退出的具体表现形式可以是撤回同意、关闭或退出特定业务功能、注销账户、向指定途径发送停止个人信息处理的请求等,以积极行为做出的希望不再进行特定个人信息处理的意思表示。
注2:选择退出与选择同意宜具有合理可比性,例如,在同时存在选择同意与选择退出机制(如撤回同意)的场景下,选择同意为即刻执行,选择退出的执行机制为人工处理时,通常需要合理的理由。
注3:权限的含义得到清楚易理解的表示、权限得到适当设置、个人信息主体可以自主选择开启或关闭权限且指令自动得到执行的交互式隐私面板,可能同时符合选择同意和选择退出指标。
5.7.3.2自由度
特性要求:
选择退出机制应具有自由度。这意味着:
a)选择退出机制不应设置不合理条件或其他障碍,增加选择退出的难度或阻碍个人信息主体自由的选择退出;
b)选择退出机制应验证个人信息主体的身份,验证所要求提交的身份鉴别信息应以实现身份验证目的的最小必要为限。
c)在选择退出的具体场景中,不应存在欺诈、误导、夸大不利影响的陈述或表示。
注1:选择退出的自由度特性可以参考选择同意的自由度特性要求。通常可能被视为不具有自由度的选择退出机制,如将多个不具有必要关联的产品或服务绑定在一起,一旦选择退出其中一个产品或服务将导致其他不具有必要关联的产品或服务无法使用、服务质量明显下降或受到其他不利影响,或者在选择退出的场景中存在欺诈、误导、夸大不利影响的陈述或表示。
注2:在撤回同意或注销账户的场景下,如果多个产品或服务之间存在必要关联,例如,一旦注销某个产品或服务的账户或者停止某项个人信息处理,将导致其他产品或服务的基本业务功能无法实现或者服务质量明显下降的,宜具体和客观地向个人信息主体进行说明。
5.7.3.3及时响应性
特性要求:
选择退出的机制应具有及时响应性。这意味着:
a)应建立相应程序确保在以下时限内及时响应或执行个人信息主体的选择退出:
——个人信息处理者承诺的时限;
——可适用的法规定的时限;
——经协商,个人信息主体同意延长的时限。
注:个人信息处理者承诺的时限应不晚于可适用的法规定的时限,但同时需考虑选择退出与选择同意的合理可比较性。例如,在同时存在选择同意与选择退出机制(如撤回同意)的场景下,选择同意为即刻执行,选择退出的执行机制为人工处理时,通常需要合理的理由。如人工处理选择退出的请求,宜在合理期限内得到响应和执行。
b)个人信息主体通过身份验证的,只要可适用的法没有限制个人信息主体行使选择,应执行选择退出的请求;
c)个人信息处理者无法执行或决定不执行个人信息主体的请求的,应向个人信息主体告知理由,并提供投诉的途径;
d)收到选择退出的请求或指令后至执行选择退出请求前,除为了执行选择退出所必要的处理、在人工处理选择退出请求期间按照原定个人信息处理过程不可避免地自动执行和履行法定义务外,不应再对选择退出的个人信息进行继续处理或额外处理;
e)执行选择退出的请求或指令后,应停止对该个人信息主体进行被选择退出的个人信息处理;
f)对于在执行选择退出的请求或指令前已经处理的个人信息:
1)应及时进行删除或匿名化;
2)可适用的法规定的存储期限尚未届满或者删除在技术上难以实现的,应停止除存储和采取必要的安全保护措施(如匿名化)之外的处理。
注:个人信息主体的选择退出(如撤回同意),可能伴随删除机制下的删除请求(见5.8.6),或可能导致个人信息处理者终止对这些个人信息的处理(见7.3)。在必要且适当时,个人信息处理者需同时考虑选择退出与其他合规要求之间的衔接。
5.8权益保障维度
5.8.1权益保障维度概述
权益保障维度也是体现个人信息主体参与的一个维度,关注的是:个人信息处理者是否向个人信息主体提供能够询问、参与和沟通有关个人信息处理的政策与实践的有效机制,并确保这些机制能够在适当和必要时对个人信息主体的请求进行适时回应。这些机制包括保障个人信息主体行使其查询、获取副本和转移、更正、删除等合法权益的机制,以及接收一般性的询问、投诉和举报的渠道。
权益保护维度包含6个指标,其中第1个指标是通用指标,描述了有效的权益保障机制应具备的特性。随后的4个指标是适用于查询、获取副本和转移、更正、删除等个人信息合法权益行使机制的指标要求,尤其是关于响应和执行条件的要求,这些个人信息合法权益行使机制通常是合规义务的一部分。第6个指标是关于一般性的投诉举报问询机制的指标要求。
评估要求:
评估员应:
——验证5种合法权益保障机制的存在和满足通用指标的要求;
——验证5种机制在法律合规性评估期内是否得到响应;
——确认这些机制的提供方式,如自动化或人工,以及响应程度。
5.8.2合法权益行使机制通用指标
指标要求:
a)个人信息处理者提供的行使其合法权益的机制:
1)应易于理解、易于访问和有效响应;
注:采用交互式页面(如网站、移动互联网应用程序、客户端软件等)提供产品或服务的,宜直接设置便捷的交互式页面提供功能或选项,便于个人信息主体在线行使其合法权益。
2)应建立相应程序确保在以下时限内及时响应或执行个人信息主体提出的请求:
——个人信息处理者承诺的时限;
——可适用的法规定的时限;
——经协商,个人信息主体同意延长的时限。
注:个人信息处理者承诺的时限应不晚于可适用的法规定的时限,不宜超过15个工作日。在难以在承诺时限或可适用的法规定的时限内及时响应时,可经协商后延长时限。
3)不应收取费用,但对一定期间内多次重复的请求,可视情况收取一定成本费用;
4)应建立相应程序验证个人信息主体的身份,所要求的个人信息不应超过注册和使用环节收集的个人信息;
注:为响应或执行个人信息主体行使合法权益的请求而采取的身份验证所需信息,宜以实现身份验证目的最小必要信息为限。
5)应公布已经死亡的个人信息主体的近亲属、继承人或遗嘱执行人等,对该个人信息主体的个人信息行使查询、获取副本、更正、删除等权利的条件、规则和程序。
6)应避免设置不必要或不合理的程序,以阻碍个人信息主体合法权益的行使。
b)对于个人信息主体提出的查询、获取副本和转移、更正、删除等请求,存在以下情形时可以不执行请求:
1)个人信息处理者进行个人信息处理的合法性基础属于法定义务必要处理(见5.2.2.3)或公共利益必要处理(见5.2.2.5),并且依据该合法性基础的性质,个人信息处理者不能执行个人信息主体的具体请求,或执行个人信息主体的具体请求将导致难以实现该合法性基础所追求的目标;
2)执行个人信息主体的请求将导致个人信息处理者违反可适用的法施加的义务,或将导致个人信息处理者承担法律责任;
3)执行个人信息主体的请求将导致泄露个人信息处理者的商业秘密;
4)执行个人信息主体的请求将直接导致其他个人或组织的合法权益受到损害;
5)个人信息处理者有充分证据表明个人信息主体存在主观恶意或滥用权利。
c)个人信息处理者决定不执行个人信息主体的请求的,应向个人信息主体告知该决定的理由,并提供投诉的途径;
d)直接执行个人信息主体的请求需要个人信息处理者付出高额成本或存在其他显著困难的,个人信息处理者应向个人信息主体提供替代方法以保障个人信息主体的合法权益。
5.8.3查询机制指标
指标要求:
a)个人信息处理者应向个人信息主体提供查询其个人信息的方法;
b)除非具有以下情形之一,个人信息处理者应向个人信息主体反馈查询结果:
1)向个人信息主体反馈查询结果将导致个人信息处理者违反可适用的法施加的义务(包括保密义务),或将导致个人信息处理者承担法律责任;
2)个人信息处理的合法性基础为法定义务必要处理,且向个人信息主体反馈查询结果将妨碍国家机关履行法定职责;
3)可适用的法规定不需要告知。
c)个人信息主体请求查询其个人信息并通过身份验证的,向个人信息主体提供的查询结果应包含以下信息:
1)其所持有的关于该个人信息主体的个人信息或个人信息的类型;
2)上述个人信息的来源、处理目的和合法性基础;
3)已经获得上述个人信息的第三方身份或类型。
d)个人信息主体请求查询非其主动提供的个人信息时,个人信息处理者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,做出是否响应的决定。
注:通过用户信息管理、隐私管理或授权管理等交互界面提供自主查询时,在交互界面已经提供查询的范围内不必人工响应个人信息主体的查询请求,宜通过个人信息保护政策、查询界面自动回复等方式告知查询方法。
其他信息:
参见《个人信息保护法》第45条第1款和第2款。
5.8.4获取副本和转移机制指标
指标要求:
根据个人信息主体的请求,个人信息处理者应为个人信息主体提供获取个人信息副本的方法,或在符合可适用的法规定条件的前提下直接将个人信息转移至个人信息主体指定的第三方。
其他信息:
参见《个人信息保护法》第45条。
5.8.5更正机制指标
指标要求:
a)个人信息处理者应向个人信息主体提供更正其个人信息的方法;
b)个人信息主体通过身份验证,并且符合以下条件时,应执行更正请求:
1)个人信息主体能够合理地证明个人信息确有错误;
2)个人信息主体合理地主张个人信息不完整;
3)个人信息主体的更正请求符合可适用的法规定的其他条件,包括但不限于:
——个人信息处理者有侵犯个人信息主体合法权益的其他行为;
——个人信息处理者根据可适用的法有义务采取更正措施的。
示例1:如《民法典》第1028条规定了民事主体有证据证明报刊、网络等媒体报道的内容失实,侵害其名誉权的,有权请求该媒体及时采取更正、删除等必要措施。
示例2:如《民法典》第1029条规定了民事主体发现信用评价不当的,有权提出异议并请求采取更正、删除等必要措施。信用评价人应当及时核查,经核查属实的,应当及时采取必要措施。
c)个人信息处理者已经向个人信息共同处理者、个人信息处理受托人或其他第三方提供个人信息的,应在执行更正请求时向上述各方发送更正通知,或在与个人信息共同处理者或个人信息处理受托人共同使用的数据库中进行一并更正。但以下情形除外:
1)个人信息主体明示豁免的;
2)个人信息处理者在综合考虑不发送更正通知或一并更正可能对个人信息主体合法权益带来的风险和损害,以及技术可行性、实现成本等因素后,决定不发送更正通知或一并更正的,应向个人信息主体给出解释说明和已经通过个人信息处理者获得上述个人信息的第三方身份和联系方式。
其他信息:
参见《个人信息保护法》第45条。
5.8.6删除机制指标
指标要求:
a)个人信息处理者应向个人信息主体提供删除其个人信息的方法;
b)符合以下条件时,个人信息处理者应执行删除请求:
1)个人信息处理违反可适用的法;
2)个人信息处理违反个人信息主体与个人信息处理者之间的约定;
示例:如违反最小必要指标(见错误!未找到引用源。)、目的兼容指标(见5.4.3)。
3)个人信息处理目的已经实现或者无法实现;
4)就个人信息处理者明示的处理目的而言,该个人信息已不再必要;
5)个人信息处理者停止提供产品或者服务;
6)个人信息的存储期限已经届满;
7)个人信息主体已经注销账户或撤回同意;
8)个人信息主体的删除请求符合可适用的法规定的其他条件,包括但不限于:
——个人信息处理者有侵犯个人信息主体合法权益的其他行为;
——个人信息处理者根据可适用的法有义务采取删除措施的。
示例1:如《民法典》第1195条规定,网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息。
示例2:见5.8.5b)3)的示例1和示例2。
c)个人信息处理者已经向个人信息共同处理者、个人信息处理受托人或其他第三方提供个人信息的,应在执行更正请求时向上述第三方发送删除通知,或在与个人信息处理者或个人信息处理受托人共同使用的数据库中进行一并删除。但以下情形除外:
1)个人信息主体明示豁免的;、
2)个人信息处理者在综合考虑不发送删除通知或一并删除可能对个人信息主体合法权益带来的风险和损害,以及技术和业务可行性、实现成本等因素后,决定不发送删除通知或一并删除的,应向个人信息主体给出解释说明和已经通过个人信息处理者获得上述个人信息的第三方身份和联系方式。
其他信息:
参见《个人信息保护法》第47条。
5.8.7投诉举报问询机制指标
指标要求:
a)个人信息处理者应建立并公布:
1)个人信息投诉举报渠道,以便通过个人信息主体的参与及时发现其个人信息处理中的个人信息安全事件、违法或违规等事项并采取必要措施和改进;
2)个人信息处理规则问询渠道,以便受理个人信息主体对其个人信息处理规则的问询并及时对其个人信息处理规则进行解释说明。
b)个人信息处理者应建立处理投诉、举报、问询的程序,例如在组织内分配处理人员、职责、流程与时限等,以确保投诉、举报、问询能够得到及时的处理,并在可行时能够适当地与个人信息主体沟通或反馈处理过程或结果。
其他信息:
参见《个人信息保护法》第48条。
5.9质量维度
5.9.1质量维度/指标
质量维度仅包含一个同名指标。在个人信息保护语境下,质量维度/指标关注的是:个人信息处理者是否采取适当的技术、管理或必要措施,确保所处理的个人信息就其处理目的而言足够准确、完整和必要时保持最新,从而降低因个人信息不够准确、完整或及时给个人信息主体合法权益带来负面影响。
指标要求:
a)应在个人信息处理过程中采取适当的技术和管理措施,以确保所处理的个人信息就其处理目的而言是准确、完整的,并在必要时保持最新;
注1:处理目的中包含可能直接对个人信息主体的合法利益带来显著影响的个人信息处理,例如,全部或部分自动化决策、用户画像,宜在规划设计阶段或首次投入使用前,评估处理目的对数据质量的需求并采取相适应的质量控制措施。事前开展的个人信息安全影响评估以及根据评估结果采取适当的控制措施,可视为此类处理目的的一项必要措施。允许对自动化决策的结果进行人工复核,通过5.8.5的更正机制或一般性的投诉举报机制接受个人信息主体对决策结果的质疑,也可以视为一项必要措施。
注2:在其他处理目的中,允许个人信息主体对自动采集的个人信息进行确认、复核或修改,在组织中明确指定人员定期检查或维护信息质量等,均可以是必要措施之一。
b)应在持续的管理过程中定期检查和维护信息质量,及时删除或更正不准确、不完整或失去时效性的信息。
评估要求:
评估员应:
——确认必要措施、定期检查维护的存在及其类型,综合评审以确定这些措施对于确保就处理目的而言的准确、完整和及时性具有充分性。
其他信息:
参见《个人信息保护法》第8条。
对于质量维度/指标尚不存在统一标准,对于个人信息处理而言,质量维度/指标并非对质量结果的保证。评估对象与质量维度/指标存在差距的,评估员宜在评估法律意见书中指出这些差距。
5.10安全保护维度
5.10.1安全保护维度概述
安全保护维度关注的是:组织的个人信息处理是否采取适当的技术、管理或其他必要措施,以确保对个人信息完整性、保密性和可用性的适当水平的保护,防止违法的个人信息处理以及未经授权的和意外的篡改、毁损、丢失、访问、泄露。
安全保护维度包含3个指标,即安全保护能力指标、事件管理指标和数据最小化指标。评估员宜留意,安全保护维度并非旨在建立不同于现有网络安全和信息安全标准的安全要求,安全保护维度的法律合规性评估目的在于确认组织的网络安全和信息安全保护措施被适当地运用到个人信息处理当中,并考虑到个人信息处理的特殊需求进行了适当的调整和适应。
5.10.2安全保护能力指标
指标要求:
a)个人信息处理信息系统应满足其信息安全保护等级所对应的管理规范和技术标准要求;
b)应在个人信息处理的各环节中采用适当的技术、管理或其他必要措施,以确保个人信息保密性、完整性和可用性。这些技术、管理或其他必要措施应与个人信息处理中的安全风险相匹配。其中:
1)在传输环节应采取以下安全控制措施:
——安全控制措施可包括采用安全传输通道、数据加密等措施;
——通过公共网络传输敏感个人信息,应采用加密通道或数据加密;
——在传输或接受传输前,应对通信双方进行身份鉴别和认证;
——应采用校验技术或密码技术确保在传输过程中的完整性,传输的接收方在接收个人信息后,应进行完整性校验;
——采用程序编程接口传输个人信息时,应采取措施防止未经授权的应用程序编程接口访问和使用。
注:传输通常是其他个人信息处理环节(如收集、使用、公开、提供、转移等)附带的一项个人信息处理操作。从法律合规性评估的角度而言,对传输环节的关注要点仅在于安全保护。
c)应通过持续的信息安全风险管理,定期评审和重新评估所采取的技术、管理或其他
必要措施的有效性,并解决已被识别的安全缺陷、漏洞、网络侵入、病毒等风险和脆弱性。
评估要求:
评估员应:
——确认评估对象范围和边界内的个人信息处理信息系统已经完成等级保护测评工作;
——确认在各环节中所采用的技术、管理或其他必要措施的内容,及其是否与该特定环节中的安全风险相匹配。
其他信息:
参见《个人信息保护法》第9条、第51条和第59条。
信息安全管理体系评审或等级保护测评的结果,对于法律合规性评估的目的而言都是可接受的客观证据,只要能够适当确认这些评审或测评的范围已经涵盖评估对象范围和边界中的个人信息处理设施或信息系统。在接受这些已经存在的评审或测评结果时,评估员宜留意评估对象范围和边界的重合性,以及已经进行的评审或测评的时效性,宜充分听取技术专家的意见以及被评估方的解释。如果评审或测评的范围没有完全覆盖到评估范围内的个人信息处理活动,这些被遗漏的部分需要技术专家重新进行信息安全风险评估。
5.10.3事件管理指标
指标要求:
a)信息安全事件应急预案中所界定的信息安全事件范围应能够涵盖个人信息安全事件(见T/CLAST001.1—2021,定义3.6.9),应急预案内容应有明确的处置流程和岗位职责,该处置流程和岗位职责应能够确保在发生个人信息安全事件后,合规团队可以及时获知并有机会就事件对个人信息主体的影响、处置和事件告知给出建议;
b)应定期组织内部相关人员开展应急预案相关培训和应急演练;
c)在发生个人信息安全事件后,应根据应急响应预案采取包括但不限于以下处置措施:
1)记录事件内容,包括但不限于发生事件的时间、地点和人员,所涉及的个人信息及人数,发生事件的信息系统名称,对其他互联系统的影响,以及是否联系相关执法或监管部门;
2)评估事件可能造成的影响,应包括对个人信息主体的影响,如是否会导致或已经导致身份盗用、电信欺诈等,并采取必要措施控制事态和消除隐患;
3)根据可适用的法的有关规定及时报告,报告事项包括但不限于个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,以及已经采取的或即将采取的处置措施,事件处置相关人员联系方式;
4)经合规团队评估认为必要时,应进行事件告知。
评估要求:
评估员应:
——评审信息安全事件应急预案,以确认应急预案适当地涵盖个人信息安全事件;
——评审培训记录和演练记录等,以验证存在定期培训和演练;
——评审事件记录,以确认是否满足处置措施的要求。
其他信息:
参见《个人信息保护法》第51条第5项、第57条,以及其他标准,如GB/T35273—2020,10.1。
5.10.4数据最小化指标
5.10.4.1数据最小化指标概述
数据最小化指标与目的明确维度(见5.3)和目的限制维度(见5.4)都密切相关,但更进一步地关注组织是否通过产品、服务的流程和信息系统的设计或默认设置,将个人信息处理所涉及的数据最小化,从而降低对个人信息安全性的风险和影响。
数据最小化指标包含2个特性要求,即最小化技术和最小化访问控制。
5.10.4.2数据最小化技术
特性要求:
a)应适当采用有助于数据最小化的技术,如匿名化、去标识化等,以确保以可识别个人信息主体的形式进行的个人信息处理被最小化;
b)宜制定相关安全策略和数据分类分级标识管理制度,并根据相关安全策略和数据分类分级标识管理制度,对个人信息进行匿名化、去标识化处理。
评估要求:
评估员应:
——评审评估对象的匿名化、去标识化等规程,以确定被评估方是否要求对评估对象中的个人信息处理采用匿名化、去标识化等技术;
——确定评估对象所采用的匿名化、去标识化的方法及其所涉及的个人信息处理环节;
——确认被评估方所采用的匿名化、去标识化等技术是否与其处理的个人信息类型、个人信息处理环节的风险程度相匹配,从而具有适当性;
——通过抽样方法检测匿名化、去标识化在评估对象中按照规程得到实施。
其他信息:
参见《个人信息保护法》第51条。
常见的去标识化技术及其优缺点,见GB/T37964—2019。
关于匿名化、去标识化等最小化技术适当性的确定,宜充分听取技术专家的建议。此外,评估对象的流程与规程中存在定期评审重标识风险的要求等持续型的风险管理机制,可以作为确定最小化技术适当性的积极考量因素。
5.10.4.3访问最小化控制
特性要求:
a)个人信息处理过程应采取适当的访问权限控制措施,最小化被赋予个人信息访问权限的人员和相关方数量;
b)拥有访问权限的人员和相关方被赋予的权限,应仅为履行其被赋予的职责或者履行合同约定的处理目的所必要的最小权限。
评估要求:
评估员应:
——评审评估对象的访问权限控制规程,以确定被评估方是否对评估对象中的个人信息处理采用访问权限控制;
——评审访问权限控制策略是否符合访问权限最小化访问的目标,以及是否与被评估方确定的个人信息分类分级相适应;
——确认访问权限控制策略是否得到定期的评审,批量修改、下载、复制、对外提供等敏感权限是否得到特别控制;
——通过抽样方法检测访问权限控制策略在评估对象中按照规程得到的实施,是否存在未被清理的冗余权限,被赋予的访问权限明显超出职责所必要的最小权限等情况。
其他信息:
参见《个人信息保护法》第51条。
关于访问权限控制措施的适当性的确定,宜充分听取技术专家的建议。此外,当评估对象已经完成信息安全管理体系审核、等级保护测评时,在能确定这些审核或测评范围已经覆盖到评估对象、在法律合规性评估期内得到执行的前提下,评估员可以根据技术专家的建议考虑避免全部或部分重复性的确定活动,但宜考虑这些控制措施在个人信息处理具体场景中的适当性,尤其是个人信息访问权限的控制水平通常宜不低于组织界定的重要数据的访问权限控制水平。在个人信息处理具体场景中的访问控制措施要求,见GB/T35273—2020,7.1。
5.11可问责性维度
5.11.1可问责性维度概述
可问责性维度关注的是:个人信息处理者是否以负责任的方式进行个人信息处理并能够证明其尽责程度。可问责性是个人信息处理者的态度、行动与能力的综合体现,包括:是否明确界定并履行与其所享有的权利(或权限)相一致的个人信息保护的义务与责任;是否通过适当的文件和日志记录等管理措施,确保个人信息处理者有能力证明其个人信息处理的合规性;以及在进行个人信息处理的过程中尽职、审慎地评估和管理风险,并通过持续的改进来完善其合规体系。
可问责性维度包含5个指标,包括合规管理体系指标、权责一致指标、文件管理指标、合规审计指标和安全影响评估指标。
5.11.2合规管理体系指标
5.11.2.1合规管理体系指标概述
合规管理体系指标的关注点在于:合规是否作为组织的一项目标被嵌入到有关个人信息处理和信息安全的管理体系当中。
合规管理体系指标包含了3个特性要求,包括管理架构、方针与制度、意识与培训。合规管理体系指标并不要求组织在现有的个人信息保护机构或信息安全管理体系之外建立全新的架构和体系,与个人信息处理合规相关的这些特性要求完全可以通过改进现有体系来实现。对于法律合规性评估而言,重要的是评估组织内与个人信息处理有关的管理体系是否有能力保障组织持续地实现和改进个人信息处理的合规状态与目标。如果在法律合规性评估中发现被评估方现有的个人信息处理的管理未充分关注和体现合规目标,宜在评估法律意见书中予以提示由法律合规性评估的委托方予以考虑。
其他信息:
参见《个人信息保护法》第51条、第52条、第58条。
5.11.2.2管理架构
特性要求:
个人信息处理者应建立旨在促进个人信息处理合规的管理架构,并具备以下要素:
a)合规管理机构及其职责:在组织的最高管理层中指定一名或多名人员组成个人信息处理合规管理机构,领导组织个人信息处理活动的合规管理工作。该合规管理机构的职责中应至少包含以下事项:
1)批准建立并持续监督旨在保障其个人信息处理合规的管理体系;
2)任命或提名对个人信息处理合规负有职责的团队,并为合规团队提供充分的人力、财力、物理资源与工作支持;
3)及时审议合规团队的意见和建议,并对个人信息处理中的不合规实践进行制止和采取必要的纠正措施;
4)通过明确的承诺和持续的管理过程支持在组织内建立旨在保障组织个人信息处理合规的制度与文化,并鼓励员工遵守这些合规制度与文化;
5)支持合规团队将合规绩效纳入组织的现有业务实践和程序,以及将合规绩效纳入个人信息处理相关部门与人员的绩效考核范围。
b)识别相关部门与人员:该管理架构应明确识别组织内与个人信息处理合规工作密切相关的部门与人员,包括法务、信息安全、开发与销售等,并确保合规管理机构被赋予充分的职责与权限协调组织内个人信息处理合规工作相关部门与相关人员;
c)合规团队及其职责:应组建或明确指定对个人信息处理的合规工作负有职责的团队及其负责人,其职责至少涵盖:
1)协助合规管理机构制定并统筹实施旨在保障其个人信息处理合规的管理体系;
2)负责建立、维护、定期评审和更新组织在个人信息处理方面的合规义务与合规要求清单,定期对组织个人信息处理的合规绩效进行评估或审计;
3)通过制定、组织实施、定期评审和更新个人信息保护政策、相关规章制度与操作规程,将所识别的合规义务与合规要求转化为组织内可执行的制度、程序和过程;
4)为员工提供或组织实施个人信息处理合规方面的培训;
5)通过组织内的咨询热线、举报系统或其他适当机制,为组织内的相关人员提供个人信息处理合规相关的资料、规章制度和意见,调查处理被举报或被识别的个人信息处理不合规实践;
6)识别来自组织内的和个人信息相关方的合规风险,并及时向相关人员进行警示,在必要时向合规管理机构报告并建议采取制止或纠正措施。
d)应通过组织流程确保合规团队及其负责人在以下有关个人信息处理的重要事项前能够获得报告,并有机会就这些重要事项的决策提供有关合规方面的意见与建议:
1)组织内涉及个人信息处理的新产品、服务的上线,以及新的个人信息处理过程的上线,如个人信息的提供、转移、委托处理、跨境转移、公开等;
2)现有产品与服务中涉及个人信息处理的重大决策及其重大变更,如个人信息处理者、个人信息处理受托人、处理目的、方式(如对象、手段与来源)与范围、信息安全能力和信息安全控制措施;
3)个人信息安全影响评估的开展、过程及其结果;
4)个人信息安全事件与违规的处置。
e)应建立合规团队与组织内个人信息处理合规的其他相关部门之间的信息通报与沟通流程,例如,通过组织流程确保在个人信息处理事项上,合规团队能够获得同步或定期的信息通报,并且在合规工作需要时有权限接触完整的信息;
注:组织可以将合规团队的职责与权限分配给组织内的现有部门和人员兼任,但需确保承担组织合规团队职责与权限的部门和人员在履行其职责方面具有充分的专业性和独立性,以避免潜在的利益冲突影响组织合规管理体系的有效性,合规管理机构宜为合规团队提供充分支持。
f)提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应存在主要由外部成员组成的独立机构对个人信息保护情况进行监督。
评估要求:
评估员应:
——评审组织内存在明确的个人信息处理的管理架构,确认在这一管理架构中指定和分配了合规相关的角色与职责、建立了适当的组织流程,这些流程在组织运行中得到遵守。
5.11.2.3方针与制度
特性要求:
个人信息处理者的组织应建立旨在促进个人信息处理合规的管理方针和制度体系,并具备以下要素:
a)组织内应有明确表达的持续改善个人信息处理合规状态与能力的目标和管理层承诺;
b)组织内应具备个人信息处理的制度体系,这些管理制度体系应适应组织的合规目标,并至少涵盖以下主题:
1)个人信息处理合规的原则与目标(或称为方针);
2)个人信息处理合规管理架构、人员及其职责、权限等;
3)旨在促进和实现个人信息处理合规的规章制度、操作规程和配套的报告记录模板,至少应涵盖以下主题:
——个人信息分级分类;
——个人信息处理合法/合规管理;
——个人信息保密管理;
——访问控制、密码管理;
——备份与恢复;
——物理环境安全;
——安全存储和存储介质管理;
——安全传输、通信安全、网络使用;
——安全投诉与举报管理;
——个人信息合法权益行使请求的处理;
——个人信息安全事件管理与预案;
——匿名化、去标识化等技术措施。
c)提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,其个人信息处理合规制度体系还应满足可适用的法的要求(如有),例如,关于规范平台内产品或服务提供者的个人信息处理活动及其合规性的制度或平台规则。
5.11.2.4意识与培训
特性要求:
a)个人信息处理者的合规管理机构、合规团队和合规工作相关的部门及其相关人员,均应具备适当的个人信息处理合规意识与能力。组织应确保定期向所有相关部门及其相关人员提供合规意识和知识培训,并将合规意识、知识、技能与行为纳入这些相关部门与人员的绩效考核当中;
注:合规意识与能力可以通过教育、培训或工作经历等方式获得和证明。
b)对于组织内的其他员工,组织应确保在其任职时以及在任职期间,通过培训、会议和员工守则等被适时和充分地强调和告知在工作中遵守组织的个人信息处理合规制度和文化的重要性,尤其是对用户个人信息的严格保密与安全保护。
评估要求:
评估员应评审相关的部门与人员的人事资料、培训记录、考核表、员工手册等记录,以及采取抽样访谈等形式,确认与个人信息处理合规工作相关的部门、岗位人员具备相应的合规意识和能力。
5.11.3权责一致指标
5.11.3.1权责一致指标概述
权责一致指标的关注点在于:个人信息处理者是否根据其个人信息处理的规模、业务类型和对社会的重要性,适当履行与其权利与权力相适应的责任。
权责一致指标包含了3个特性要求,包括共同处理、委托处理、平台/第三方管理。
通常而言,在没有采取共同处理、委托处理、平台/第三方接入等方式时,个人信息处理者满足可问责性维度的其他指标即可视为尽到了与其权利与权力相适应的责任。当个人信息处理者采取共同处理、委托处理、平台/第三方接入等方式时,除其他指标外,个人信息处理者还应满足共同处理指标、委托处理指标和平台/第三方管理指标的要求。
5.11.3.2共同处理
特性要求:
当存在个人信息共同处理者时:
a)个人信息共同处理者之间应通过合同等成文信息形式确定个人信息处理的目的、方式和合法性基础,共同确定个人信息处理应满足的合规要求,以及各自在合规方面承担的义务和责任;
b)应分别或者由至少一个个人信息共同处理者通过个人信息保护政策等方式向个人信息主体明确告知个人信息共同处理者的存在、身份、各自的义务和责任,尤其是个人信息主体行使合法权益的方式。
评估要求:
评估员应:
——评审个人信息共同处理者之间的合同,以确认个人信息共同处理者之间通过合同等成文信息形式确定了合规要求、各自的义务和责任;
——评审个人信息保护政策,确认已进行明确告知。
5.11.3.3委托处理
特性要求:
个人信息处理者应:
a)在委托处理前进行个人信息安全影响评估,确保个人信息处理受托人具备就委托的个人信息处理而言充分的数据安全能力,能够提供充分的安全保护水平;
b)与个人信息处理受托人签订委托协议,明确规定双方的责任与义务。委托协议应能够涵盖以下事项:
1)明确约定委托处理的范围,包括委托处理的个人信息的类型。委托处理范围不应超出个人信息处理者有权进行的个人信息处理范围;
2)明确规定委托的个人信息处理目的以及遵守该处理目的的要求;
3)委托处理的方式以及期限,以及提前终止委托或委托期限届满时个人信息的处理方式,如返还或删除等;
4)个人信息处理者的控制和监督权利与方式,应能够确保个人信息处理者有权对委托的个人信息处理进行审计和定期评估委托处理的风险;
5)转委托时事先征求委托方同意的要求,以及对儿童个人信息的转委托进行限制;
6)明确要求受托人按照法律、行政法规的规定和个人信息处理者的要求处理个人信息,协助个人信息处理者履行其合规义务;
7)约定在个人信息处理者要求时协助个人信息处理者响应个人信息主体请求的约定;
8)约定采取措施保障信息安全的义务和具体要求;
9)约定发生个人信息安全事件时及时向个人信息处理者报告的义务;
c)向受托人明示委托的处理目的、合法性基础及其要求以及个人信息控制者的合规义务清单,以明确合规要求,避免因受托人的行为导致个人信息处理者违反其自身的合规义务;
d)在委托处理的过程中定期对委托的个人信息处理进行审计,定期评估委托处理的风险与合规性;
e)在发现个人信息处理受托人未按照委托协议的约定处理个人信息,或可能导致个人信息处理者违反合规义务的情形,采取必要措施予以制止、要求纠正或采取补救措施;
f)在委托处理终止时,确保个人信息处理者及时返还或删除从个人信息处理者处获得的个人信息;
g)保留一份完整和最新的个人信息处理受托人清单,包含个人信息处理受托人的身份和委托事项,并确保个人信息保护政策中公开的信息保持最新。
评估要求:
评估员应:
——评审个人信息安全影响评估报告和委托协议,以确认被评估方在委托处理前进行了审慎的安全影响评估,并且其委托协议已经对影响其自身合规状态或能力的重要事项进行约定,从而使被评估方在发现不合规时有能力进行制止和干预;
——确认影响个人信息处理者自身合规的重要事项,如处理目的、方式、合法性基础、合规义务等已向个人信息处理受托人明示;
——确认在委托处理的过程中个人信息处理者存在定期的审计和评估活动,并及时制止可能使其自身不合规的违约或其他违规行为;
——(如适用)确认个人信息处理者在委托处理终止时要求返还或删除;
——确认个人信息处理者清单与个人信息保护政策的一致性。
5.11.3.4平台/第三方管理
特性要求:
个人信息处理者提供重要互联网平台服务,应制定公开、公平、公正的平台规则,以及产品、服务、插件接入机制和工作流程。该规则、机制和工作流程应能够确保:
a)在提供重要互联网平台服务或接入产品、服务、插件之前进行安全影响评估,并采取适当的控制措施;
b)在必要时要求接入的平台的产品、服务、插件提供者进行事前合规检测、评估、审计,或安全影响评估;
c)通过用户协议和平台规则或者其他合同等形式,明确各自的合规义务与责任边界;
d)明确平台内产品、服务、插件提供者的个人信息处理合规要求,例如,向个人信息主体进行政策告知、同步告知和获得选择同意等要求,并定期进行合规检测、评估或审计;
e)明确自身向个人信息主体公开平台内产品、服务、插件提供者身份或类型,以及各自的安全义务与责任的规程;
f)发现平台内的产品、服务或插件提供者违反用户协议、平台规则、合同约定或存在其他个人信息处理违规行为,或者多次收到个人信息主体的投诉表明其存在违规行为的,立即要求该平台内产品、服务、插件提供者停止相关行为,自行采取或要求平台内产品、服务、插件提供者采取有效补救措施(如更改口令、回收权限、断开网络连接等);
g)对严重违反可适用的法进行个人信息处理的平台内产品、服务、插件提供者,在必要时停止向该平台内产品、服务、插件提供者提供服务,并要求其及时删除从个人信息处理者处获得的个人信息。
评估要求:
评估员应:
——评审被评估方的用户协议、平台规则和合同,确认其中已明确:各自的合规义务与责任边界;平台内产品、服务、插件提供者的合规要求;个人信息处理者在发现违约或违规行为时的处置方式,这些处置方式足以确保个人信息处理者有权利、权力和能力采取特性要求中涉及的处置行为;
——评审个人信息处理者的平台规则、接入机制和工作流程,确认这些规则、机制和流程足以确保:个人信息处理者在提供重要互联网平台服务或接入产品、服务、插件之前进行安全影响评估并采取适当的控制措施;在必要时要求平台内产品、服务、插件提供者进行事前合规检测、评估、审计或安全影响评估。
——采用抽样方法验证这些规则、机制和工作流程被有效执行。
5.11.4文件管理指标
指标要求:
个人信息处理者应建立并持续维护与个人信息处理有关的活动记录和文件,以便在必要时能够及时举证以证明其合规性。
注:与个人信息处理有关的活动记录和文件包括但不限于:
(1)有关其个人信息处理合法性基础的成文信息;
(2)有关其个人信息处理目的的成文信息;
(3)个人信息保护政策的历次版本,以及在版本更新时进行政策告知的适当证明;
(4)有关其个人信息处理过程和程序的成文信息;
(5)所处理的个人信息的信息资产清单;
(6)个人信息处理设施和信息系统清单;
(7)合规义务与合规要求清单;
(8)能够证明其个人信息来源与流向的记录以及所涉及的第三方清单;
(9)有关其为保护个人信息而采取的技术措施、管理措施和其他必要措施的成文信息;
(10)所进行的个人信息安全影响评估的记录和报告;
(11)有关个人信息处理合规的管理制度与规程;
(12)获得个人信息主体同意的流程及其适当的证明;
(13)与个人信息相关方之间的合同。
评估要求:
评估员应:
——在法律合规性评估的整个过程中确认被评估方的文件管理能够确保在其必要时可以及时提出证明其合规性的证据。
其他信息:
参见《个人信息保护法》第55条、第56条第2款、第63条和第69条第1款。
在首次法律合规性评估后所形成的文件清单、被采纳的客观证据清单等文件,通常已经能够表明组织为证明其个人信息处理的合规性所需要保留和维护的文件和证据。组织可以通过持续地更新和维护这些客观证据库以证明满足本指标的要求。
5.11.5合规审计指标
指标要求:
a)个人信息处理的信息系统应启用日志功能,以确保能够对个人信息处理活动进行监测、记录和合规审计;
注:个人信息处理的信息系统,宜包括网络边界、重要网络节点、服务器和终端设备等设备资产以及业务应用系统。
b)日志所记录的事件类型应覆盖个人信息的全部处理过程;
c)日志应能够记录个人信息的来源(包括第三方提供)和流向(包括向第三方提供),包括所涉及的个人信息主体和/或其个人信息类型、第三方身份、授权或操作用户、时间;如果日志功能难以完全自动记录本项的,应采用人工记录予以补充;
d)日志或记录应涵盖每个信息系统用户,记录事件所涉及的个人信息主体和/或其个人信息类型、日期和时间、用户、事件类型、事件是否成功以及其他与合规审计相关的信息;
e)应为日志配置保存期限,配置的保存期限应与个人信息处理者的合规方针相符,并至少配置为六个月或者可适用的法规定的期限;
f)为日志配置的保存期限届满后应予以删除,该操作宜通过配置自动进行;
g)应对日志或记录采取与其他个人信息相同的安全保护措施,定期备份,避免日志或记录受到未预期的泄露、篡改或覆盖、毁损或丢失;
h)应对日志进程进行保护以避免未经授权的中断,应在组织内部明确分配锁定或关闭日志事件的权限,锁定或关闭日志事件应被记录;
i)应在组织内指定审计管理员在合规团队指导下定期对日志或记录进行合规审计;
j)应跟踪和记录个人信息的加工处理、分析、挖掘等处理过程,建立适当的溯源机制,确保能够重现相应处理过程以支持合规审计要求。
评估要求:
评估员应:
——确认评估对象范围和边界内的信息系统启用了日志功能并可供持续地监测、记录和进行合规审计;
——确认所采用的日志记录配置满足上述记录要求;
——确认日志或记录得到被采取适当的安全保护措施和管理,能够避免因日志或记录管理不当导致的个人信息泄露、篡改、毁损、丢失等不利后果;
——确认被评估方定期对日志或记录进行合规审计,并及时对可疑或违规事件进行处置。
其他信息:
参见《个人信息保护法》第54条、第64条。
5.11.6安全影响评估指标
指标要求:
a)个人信息处理者应建立个人信息安全影响评估的制度或流程,以确保在发生以下情形前,能够进行个人信息安全影响评估并依据评估结果采取适当的控制措施:
1)处理敏感个人信息;
2)利用个人信息进行自动化决策;
3)委托处理个人信息;
4)向其他个人信息处理者提供个人信息;
5)公开个人信息;
6)其他对个人权益有重大影响的个人信息处理活动。
注:本指标在公开、共享提供、转移环节以及向境外提供时有扩展要求,这些扩展要求给出了需要进行个人信息安全影响评估的具体情形。
b)应定期地以及在现有的个人信息处理环境及其风险发生重大变化时,重新评审或再评估以持续改进控制措施。
注:个人信息处理环境极其风险发生重大变化的情形宜包括:
(1)产品或服务的业务功能发生重大变化;
(2)业务模式、信息系统或运行环境发生重大变化;
(3)法律法规发生重大变化。
评估要求:
评估员应:
——确认被评估方是否存在个人信息安全影响评估的制度或流程;
——这些制度或流程是否能够确保被评估方可以根据个人信息处理所涉及的风险的变化,持续地改进对个人信息主体的风险以及合规风险的控制;
——这些制度或流程是否被定期评审和再评估。
其他信息:
参见《个人信息保护法》第55条和第56条。
个人信息安全影响评估的内容、方法和实施流程,见GB/T39335—2020。
6特定处理环节的扩展要求
6.1特定处理环节的扩展要求概述
在个人信息处理的不同环节,个人信息主体的合法权益和个人信息安全主要面临的风险类型及其程度不尽相同。第5章确立的通用要求可能在某些特定的个人信息处理环节并不适用,或在适用时有必要具体化或变通适用。
第5章给出的通用要求均是在假定被评估方为个人信息处理者的前提下给出的。个人信息处理受托人可能仅提供单个环节或若干环节的个人信息处理服务,在个人信息处理者委托处理语境下,个人信息处理受托人应满足的合规要求将取决于两个因素:一是受委托的个人信息处理环节以及来自可适用的法对该特定个人信息处理环节的合规义务;二是委托模式和个人信息处理者的合规要求。例如,个人信息处理者可能委托个人信息处理受托人代为进行政策告知、同步告知、事件告知等事项。在个人信息处理受托人未履行这些合规要求时,最终可能由个人信息处理者承担法律责任,因此个人信息处理者的权责一致指标委托处理特性中包含了向个人信息处理受托人提供合规义务清单并明确其合规要求的内容(见5.11.3.3)。在此情形下,个人信息处理者可以通过在委托协议中引用本文件的维度、指标、特性名称或编号的形式,向个人信息处理受托人明示合规要求。在法律合规性评估中评估对象为个人信息处理受托人时,考虑上述因素并且明确识别合规义务清单和合规要求清单以确定适用的法律合规性评估准则至关重要。
在本章中给出了第5章规定的通用要求在适用于特定个人信息处理环节时的扩展要求。这些扩展要求包括指标在特定处理环节的具体化和必要变通,以及特定个人信息环节的被评估方为个人信息处理受托人时必要的变通要求。这些扩展要求并不构成一个新的指标,而应视为第5章指标的一部分。
本章的结构安排如下:
本章的每个一级条标题区分了个人信息处理的不同环节,如“6.2收集”、“6.3使用”。
每个一级条标题项下的第一个二级条标题(如6.2.1和6.3.1)是概述,给出了第5章的维度在该特定个人信息处理环节中的适用情况等信息。
第二个二级条标题(如6.2.2和6.3.2)开始按第5章给出的维度名称命名,表明该二级条标题所属的维度。在该维度中的指标有扩展要求时,设置三级条标题。其他特殊情形的区分,如对特定个人信息类型、特定个人信息处理设施或信息系统、个人信息处理者或个人信息处理受托人等,不再额外设置条标题。
注1:对于特定的个人信息处理环节,第5章给出的维度不适用或者无扩展要求时,仍然保留对应该维度的二级条标题,并在二级条标题项下的段中给出明确说明。
注2:评估对象中不包含特定个人信息处理环节时,无需将本章中该特定个人信息处理环节的扩展要求纳入评估范围。
6.2收集
6.2.1收集环节概述
有关个人信息处理的合规义务多数是对个人信息收集环节的要求。在第5章给出的通用要求中,所有维度和指标均适用于收集环节。
在法律合规性评估中,收集环节是评估对象范围和边界中必不可少的个人信息处理环节,否则将导致个人信息处理法律合规性评估的结论难以可靠地说明个人信息处理的合规性。
6.2.2合法维度
6.2.2.1合法性基础指标(5.2.1)收集环节扩展要求
扩展要求:
a)收集个人信息前,个人信息处理者应明确识别可适用的合法性基础并确认是否满足合法性基础的要求;
b)个人信息处理者应将所识别的合法性基础转化为成文信息,并提供给个人信息处理受托人;
c)个人信息处理受托人接受委托为个人信息处理者收集个人信息的,应要求个人信息处理者提供收集个人信息的合法性基础文件;
d)个人信息处理受托人应审查个人信息处理者提供的合法性基础文件,以确保合法性基础的要求至少在形式上均已具备,文件中不存在明显欠缺合法性基础要求的情形。
6.2.2.2来源合法指标收集环节扩展要求
扩展要求:
个人信息处理者应从合法来源收集个人信息,包括但不限于:
a)个人信息主体主动提供的,应确保在要求个人信息主体主动提供的具体场景中,至少已明示个人信息的收集目的,且不存在明显的欺诈、诱骗个人信息主体主动提供的虚假陈述或表示;
b)从个人信息主体自动采集个人信息时,应确保在自动采集的具体场景中,至少已明示正在自动采集的事实;在开启自动采集的权限或功能的具体场景中,不存在明显的欺诈、诱骗个人信息主体开启自动采集权限或功能的虚假陈述或表示;
c)搜集公开信息的,应能够证明确定的搜集来源,且在搜集公开信息的具体场景中,不存在违反ROBOTS协议爬取、违反API使用协议调取或其他技术手段绕开或破解搜集来源信息系统授权访问机制的情形;
d)通过第三方的提供、转移间接获取的,应要求该第三方提供个人信息的合法来源并对合法来源进行确认,应确认第三方能够提供个人信息主体对提供、转移的选择同意,以及第三方收集个人信息具有合法来源。
6.2.3目的明确维度
6.2.3.1目的明示指标(5.3.3)收集环节扩展要求
扩展要求:
a)收集个人信息前,个人信息处理者应明确收集目的,并单独明示可能与收集目的不具有合理关联(兼容性)的后续处理目的;
b)个人信息处理者应将其收集和后续处理目的转化为成文信息,以在必要时提供给个人信息处理受托人等个人信息处理相关方;
c)个人信息处理受托人接受委托为个人信息处理者收集个人信息时,应要求个人信息处理者提供处理目的文件,并按照个人信息处理者明示的处理目的进行收集。
6.2.4目的限制维度
6.2.4.1最小必要指标(5.4.2)收集环节扩展要求
扩展要求:
a)实际收集的个人信息类型应与实现产品或服务的业务功能直接相关;
b)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
c)间接获取个人信息的数量应是实现产品或服务的业务功能所需的最少数量;
d)实际收集个人信息的方式,应是能够实现收集目的的若干可行收集方式中对个人信息主体权益影响最小的方式。
其他信息:
被评估方在收集环节出现与扩展要求a)-c)的差距,表明有超范围收集(过度收集)的违规风险。如果实际收集的个人信息类型与明示的收集目的之间被确定为没有直接相关,宜考虑删除或匿名化超范围收集的个人信息,并调整评估对象收集个人信息的类型、数量、频度和方式等设置,以消除这些差距。如果被评估方认为仍需保留这些已收集的个人信息或保留评估对象的原有设置,则需要调整其明示的收集目的,并重新征求个人信息主体的选择同意。但对于已经超范围收集个人信息的事实及其可能的行政责任等风险,评估员宜如实记录其发现并揭示这些风险,并与评估委托方商榷处置方案,包括是否建议被评估方尽可能调整这些差距,或者在评估法律意见书中如实披露相关的风险,由评估委托方是进行风险接受或进行其他合理处置,如要求被评估方向监管部门进行咨询以确定补救方法。
6.2.5公开透明维度
6.2.5.1信息充分指标(5.5.2)收集环节扩展要求
扩展要求:
a)个人信息的收集目的应包括收集个人信息的具体业务功能以及该业务功能中包含的主要个人信息处理环节;
b)应根据合法性基础或收集目的分别列举所收集的个人信息类型和方式;
c)收集敏感个人信息的,应明确标识或突出显示;
d)对于收集目的而言并非最小必要的个人信息类型、范围,以及与收集目的不具有合理关联的后续处理目的,应明确标识或突出显示;
e)应根据合法性基础或收集目的,告知拒绝特定个人信息的收集可能产生的影响;
f)收集方式应具体,如主动填写、自动采集或间接获取,如涉及自动采集应包含采集的方式和频率;
g)应包含个人信息主体可以选择退出的方式和规则。
6.2.6告知维度
6.2.6.1同步告知指标(5.6.4)收集环节扩展要求
扩展要求:
a)个人信息处理者关于收集的同步告知应包括以下最密切相关的信息:
1)收集个人信息的目的、方式和类型;
2)个人信息的存储时间;
3)拟对个人信息进行的非合理关联后续处理目的。
b)收集敏感个人信息的,最密切相关信息除a)项之外,还应包括:
1)处理敏感个人信息的必要性;
2)对个人权益的影响。
c)在收集环节向个人信息主体同步告知(见5.6.4)的时机:
1)应是在请求个人信息主体主动提供个人信息的同时;
注:如在请求个人信息主体提供电话号码、住址等个人信息的交互界面或纸质表单中,用文字说明、图示、图标等进行告知;在人与人通过面对面、电话或在线互动的环境中,请求个人信息主体口头提供个人信息的,可以进行口头告知、文字说明或播放提前录制的告知。
2)一次性自动采集个人信息的,应在实施自动采集前;
3)间隔性或持续性自动采集个人信息的,应在请求或实际开启可自动采集个人信息的权限或实施首次自动采集前;
4)因个人信息主体进入自动采集的物理空间而自动采集个人信息的,应在个人信息主体进入该自动采集区域前。
注:通常在线交互环境中宜通过弹窗、文字说明、推送通知等交互界面完成同步告知;无屏幕的智能终端或物联网设备,可在产品配置说明或在配置界面(如配套使用的移动应用程序等)中提供同步告知,或者通过提示音、图标等方式提供同步告知;在进入自动采集空间入口,用显著的文字说明、图示、图标等方式进行告知。
d)通过在公共场所安装的图像采集、个人身份识别设备,采集为维护公共安全所必需的图像、身份识别信息的,同步告知:
1)应采用能够表明以下最密切相关信息的提示标识:
——该设备所采集的个人信息类型;
——采集是为维护公共安全所必需的事实;
——采集方式。
2)该提示标识应采用显著的形式;
3)该提示标识应出现在个人信息主体进入采集区域前。
注1:采集的目的或范围并非为维护公共安全所必需、将采集到的维护公共安全所必需的个人信息用于其他目的,根据《个人信息保护法》第26条,应取得个人信息主体的单独同意。此种情形应采用与上述提示标识相独立的、满足a)-c)项的同步告知。
注2:采集方式和个人信息类型的简洁表示方式,如“拍照”、“实时录像”、“刷脸”、“刷身份证”、“扫码”、“采集(按)指纹”等文字或相应的图。
注3:提示标识可采用浅显易懂的图标、图示、文字、音频或视频等形式。宜根据受众类型选择具体形式或组合多种形式,宜通过调整提示标识的大小、颜色、音量等,使提示标识对其主要受众的认知能力而言具备显著性。例如,预计主要受众为视觉障碍者的,宜采取或组合可通过听觉感知的提示标识。
6.2.7选择维度
6.2.7.1选择同意指标(5.7.2)收集环节扩展要求
扩展要求:
a)当适用于个人信息收集的合法性基础要求获得同意,个人信息处理者应:
1)在收集一般个人信息前,获得个人信息主体的选择同意;
2)在收集敏感个人信息前,获得个人信息主体以单独和明示方式作出的选择同意;
3)在收集个人生物识别信息前,获得个人信息主体以单独和明示方式作出的选择同意;
4)在收集儿童个人信息应获得监护人以明示方式作出的选择同意,收集年满14周岁的未成年人个人信息前,获得未成年人或其监护人以明示明示方式作出的同意;
b)所获得的同意应满足选择同意指标的特性要求。
6.2.8权益保障维度
权益保障维度(见5.8)并非特定于单个处理环节,在收集环节适用但无扩展要求。
6.2.9质量维度
质量维度/指标(见5.9.1)适用于收集环节,但无扩展要求。
6.2.10安全保护维度
6.2.10.1安全保护能力指标(5.10.2)收集环节扩展要求
扩展要求:
a)个人信息为主动提供、自动采集的,应制定平台规范制度或接口规范制度,并对个人信息的数据字段格式进行定义;
b)个人信息为主动提供、自动采集的,输入个人信息或通过通信接口输入个人信息的数据格式或长度应符合系统设定要求,并能够实现对恶意数据的过滤;
c)间接获取个人信息的,应对获取个人信息的平台或接口进行全过程控制。
6.2.11可问责性维度
6.2.11.1合规管理体系指标(5.11.2)收集环节扩展要求
扩展要求:
应有明确的制度、规章或组织流程要求相关部门或人员在以新的目的收集个人信息前,以及实质性改变现有个人信息收集范围(如收集的个人信息类型、频率、数量)或收集方式前,向合规团队咨询:
a)新的收集目的是否具有合法性基础;
b)是否需要采取额外的政策告知、同步告知或选择同意等措施;
c)实质性变更后的个人信息收集范围是否仍然满足最小必要指标的要求。
6.2.11.2文件管理指标(5.11.4)收集环节扩展要求
扩展要求:
收集环节应保留的证明合规性的文件包括但不限于:
a)有关收集环节合法性基础的成文文件;
b)有关收集目的的成文文件;
c)收集环节政策告知的记录或适当证明;
d)收集环节同步告知和选择同意的记录或适当证明;
e)委托处理收集的,包括委托协议;
f)有关收集合法来源的成文文件以及相应的证明;
g)收集环节的日志记录。
6.3使用
6.3.1使用环节概述
个人信息的使用环节包含了多种多样的使用目的,在第5章给出的通用要求中所有维度和指标均适用于使用环节。
通常,在使用目的与收集目的具有合理关联(兼容性)时,使用环节法律合规性评估的核心关注点在于合法维度、目的合理维度、目的限制维度、公开透明维度、权益保护维度、安全保护维度和可问责性维度。但当个人信息的使用目的与收集目的不具有合理关联时,还会触发有关新的使用目的的合法维度、公开透明维度、告知维度、选择维度和可问责性维度等的关注。
6.3.2合法维度
6.3.2.1合法性基础指标(5.2.1)使用环节扩展要求
扩展要求:
在以与收集目的不具有合理关联的新的目的使用个人信息前,应再次识别合法性基础并确定满足相应合法性基础的要求。
6.3.2.2来源合法指标(5.2.6)使用环节扩展要求:
扩展要求:
在业务活动中所使用的个人信息应具有合法的收集来源。
注:宜留意在个人信息使用环节中作为输入的个人信息类型及其来源的合法性。
6.3.3目的明确维度
6.3.3.1目的合理指标(5.3.4)使用环节扩展要求:
扩展要求:
a)以用户画像目的使用个人信息时,应遵守GB/T35273—2020,7.4a)-c)的要求。
b)使用个人信息进行自动化决策,应保证决策的透明度和结果公平、公正性,不应对个人在交易上实行不合理的差别待遇。
6.3.4目的限制维度
6.3.4.1目的兼容指标(5.4.3)使用环节扩展要求:
扩展要求:
个人信息的使用目的应与收集目的具有合理关联。
6.3.5公开透明维度
6.3.5.1信息充分指标(5.5.2)使用环节扩展要求
扩展要求:
a)个人信息保护政策中列出的后续处理目的应包括任何与收集目的不具有合理关联的使用目的,以及该使用目的项下包含的主要个人信息处理环节;
b)对于与收集目的不具有合理关联的使用目的,应根据合法性基础或使用目的分别列举所使用的个人信息类型和方式;
c)以与收集目的不具有合理关联的目的使用敏感个人信息的,应明确标识或突出显示;
d)应根据合法性基础或收集目的,告知拒绝特定个人信息的使用可能产生的影响;
e)应包含个人信息主体可以选择退出的途径和规则。
6.3.6告知维度
6.3.6.1同步告知指标(5.6.4)使用环节扩展要求
扩展要求:
个人信息处理者变更已收集的个人信息使用目的的同步告知:
a)应在变更使用目前的合理期限内作出;
b)应包含以下最密切相关信息:
1)新的使用目的、方式、个人信息种类和范围;
2)选择退出机制。
6.3.7选择维度
6.3.7.1选择同意指标(5.7.2)使用环节扩展要求
扩展要求:
a)基于选择同意处理个人信息的,在使用目的、方式和个人信息种类发生变更前,应重新获得个人信息主体的选择同意;
c)除可适用的法或所识别的合法性基础不允许个人信息主体行使选择的情形外,以与收集目的不具有合理关联的目的使用个人信息前,应获得个人信息主体的选择同意。其中,以下使用应获得单独同意:
1)将在公共场所安装的图像采集、个人身份识别设备所采集的图像、身份识别信息,用于维护公共安全以外的其他目的;
2)使用已公开个人信息且使用方式对个体权益有重大影响。
3)使用敏感个人信息,其中可适用的法明确要求获得书面同意的,应获得书面同意。
b)个人信息处理者在进行以下使用前,应获得个人信息主体的单独同意:
1)将在公共场所安装的图像采集、个人身份识别设备所采集的图像、身份识别信息,用于维护公共安全以外的其他目的;
2)使用已公开个人信息的方式对个体权益有重大影响。
c)可适用的法明确要求获得同意的使用,应获得个人信息主体的选择同意。
注:通常在收集时的选择同意已经能够涵盖与收集目的具有合理关联的使用,但在目的转用时以及某些可适用的法要求选择同意的特殊类型使用,需要额外考虑选择同意指标(见5.7.2错误!未找到引用源。)。
6.3.7.2选择退出指标(错误!未找到引用源。)使用环节扩展要求
扩展要求:
a)基于选择同意处理合法性基础使用个人信息的,个人信息处理者应至少提供撤回同意方式的选择退出机制。
b)使用个人信息以自动化决策方式提供信息推送、商业营销的,个人信息处理者应提供选择退出机制;
注:在通过自动化决策方式提供信息推送、商业营销的具体场景中,选择退出宜单独或结合采用以下便捷方式:
-显著区分:向个人信息主体提供商品或搜索结果的个性化展示的,同时提供非个性化展示的内容,显著区分以自动化决策方式提供的个性化展示内容与非个性化展示内容,如通过不同栏目、板块、页面的分置进行区分;
-退订:在信息推送、商业营销信息的同时附带退订按钮或链接,或者提供推定方法的说明;关闭权限:通过隐私设置、权限管理、隐私仪表盘、隐私菜单等交互界面,提供关闭、停用个性化信息推送、商业营销信息发送的选项;
c)可适用的法明确要求提供选择退出机制的,个人信息处理者应提供选择退出机制。
注:宜留意可适用的法可能对某些特殊类型的使用要求提供选择退出机制。
6.3.8权益保障维度
6.3.8.1投诉举报机制指标(5.8.7)使用环节扩展要求
扩展要求:
业务运营所使用的信息系统具备自动决策机制,并且该自动化决策可能对个人信息主体的合法权益带来重大影响的:应向个人信息主体提供对自动决策结果的投诉举报问询机制,向个人信息主体提供关于该自动决策过程和结果的公平公正性、目的合理性的解释说明,并支持对自动决策结果的人工复核。
注:对个人信息主体的合法权益有重大影响的决定,如自动决定个人征信和贷款额度,用于面试人员的自动筛选等。
6.3.9质量维度
6.3.9.1质量指标(5.9.1)使用环节扩展要求
扩展要求:
在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。
6.3.10安全保护维度
6.3.10.1数据最小化指标(5.10.4)使用环节扩展要求
扩展要求:
a)涉及通过界面展示个人信息的,个人信息处理者应采用适当的去标识化或匿名化技术措施,避免直接显示个人信息,降低个人信息的泄露风险;仅在被授权或经过身份验证的前提下展示全文。
b)将为不同目的收集的个人信息汇聚融合存储的,应确保存储汇聚融合后的个人信息的数据库系统与具体进行个人信息使用的业务信息系统的分离,以及不同业务信息系统之间的适当分离,并对汇聚融合的个人信息转移至使用个人信息的业务信息系统设置严格的访问控制措施。
注:在首次将汇聚融合的个人信息转移至新的使用个人信息的业务信息系统之前,需进行个人信息安全影响评估,见6.3.11.3。
c)对个人信息存储介质(如磁盘、磁带、固态硬盘等)采取访问控制措施并留存访问记录。
6.3.11可问责性维度
6.3.11.1合规管理体系指标(5.11.2)使用环节扩展要求
扩展要求:
应有明确的制度、规章或组织流程要求相关部门或人员在以新的目的使用个人信息前,以及实质性改变现有个人信息使用范围(如使用的个人信息类型、频率、数量)或使用方式前,向合规团队咨询:
a)新的使用目的是否与收集目的具有合理关联;
b)新的使用目的是否具有合法性基础;
c)是否需要采取额外的政策告知、同步告知或选择同意等措施;
d)实质变更后的个人信息使用范围是否仍然满足最小必要指标的要求。
6.3.11.2文件管理指标(5.11.4)使用环节扩展要求
扩展要求:
使用环节应保留的证明合规性的文件包括但不限于:
a)有关使用环节合法性基础的成文文件;
b)有关使用目的的成文文件;
c)有关使用环节变更事项的政策告知记录或适当证明;
d)使用环节要求同步告知和选择同意的,相关记录或适当证明;
e)使用环节所包含的个人信息处理过程被委托处理的,包括委托协议;
f)有关使用的个人信息合法收集来源的成文文件以及相应的证明;
g)使用环节的日志记录。
6.3.11.3安全影响评估指标(5.11.6)使用环节扩展要求
扩展要求:
a)业务运营所使用的信息系统具备自动化决策机制,并且该自动化决策可能对个人信息主体的合法利益带来直接影响的,应在信息系统规划阶段或首次使用前以及投入使用后定期(至少每年一次)开展个人信息安全影响评估,并依据评估结果采取并持续改进有效的保护个人信息主体的措施。
b)在对汇聚融合后的个人信息首次转移至使用目的与收集目的不具有合理关联的业务系统之前,以及投入使用后定期(至少每年一次)开展个人信息安全影响评估,并依据评估结果采取并持续改进有效的保护个人信息主体的措施。
6.4存储
6.4.1存储环节概述
在第5章给出的通用要求中所有维度和指标在个人信息存储环节均可以适用。
但除非评估对象是以个人信息的存储作为核心的产品、服务或过程,存储环节法律合规性评估的主要关注点可以聚焦于存储期限、存储期限届满时的处理,以及特殊的个人信息类型,如人类遗传资源、
银行卡磁道信息或芯片信息、验证码、密码等敏感信息,或者个人生物识别信息的存储合法性、必要性和安全性等方面。
6.4.2合法维度
6.4.2.1合法性基础指标(5.2.1)存储环节扩展要求
扩展要求:
在存储对于收集使用目的而言已不再必要或者超出个人信息保护政策声明的存储期限的前提下继续存储个人信息,又不进行匿名化或删除操作的,应再次识别合法性基础并确定满足相应合法性基础的要求。
6.4.2.2主体合法指标(5.2.3)存储环节扩展要求
扩展要求:
a)可适用的法对个人信息存储设定了主体资格要求的,应符合主体资格要求。
注:在存储环节,主体合法指标与类型合法指标有可能是重叠的,因为可适用的法通常只会对特定类型的个人信息存储设定主体资格要求。例如,《人类遗传资源管理条例》第7条禁止外国组织、个人及其设立的或者实际控制的机构在我国境内采集、保藏人类遗传资源(包括人类遗传资源材料和人类遗传资源信息)。又如,《非银行支付机构网络支付业务管理办法》第20条禁止非银行支付机构存储客户银行卡的磁道信息或芯片信息、验证码、密码等敏感信息。这些特定类型的个人信息存储是以具备一定的主体资格为条件。
b)可适用的法对特定个人信息处理者设定了境内存储要求的,符合该主体资格条件的个人信息处理者应在中华人民共和国境内存储个人信息。
注:在存储环节,主体合法指标包含对可适用的法境内存储要求的满足。例如,《个人信息保护法》第36条对国家机关处理的个人信息规定了境内存储的要求。个人信息处理者是国家机关或者为国家机关处理的个人信息提供存储的,需在境内存储。又如,根据《个人信息保护法》第40条,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,需将境内收集和产生的个人信息存储在境内。这些境内存储要求均是以具备一定的主体资格为条件。
6.4.2.3类型合法指标(5.2.5)存储环节扩展要求
扩展要求:
a)个人信息处理者不应对可适用的法禁止存储的个人信息类型进行存储。
注:在可适用的法并非以主体资格作为存储特定类型个人信息的条件,而是在一般情形下禁止所有类型的个人信息处理者存储特定类型的个人信息时,宜适用类型合法指标。在一般性禁止和例外允许存储的情形下,宜确认被评估方符合例外的情形。
b)可适用的法对特定个人信息类型设定了境内存储要求的,个人信息处理者应将该个人信息类型存储在境内。
6.4.3目的明确维度
目的明确维度(见5.3)适用于存储环节。通常而言,个人信息的存储目的是由个人信息的收集目的所决定的,或者是由可适用的法所决定的,当个人信息的存储期限超出收集目的的最小必要时,则需要具体、明示和合理的存储目的。
6.4.4目的限制维度
6.4.4.1最小必要指标(5.4.2)存储环节扩展要求
扩展要求:
a)个人信息的存储期限应为实现明示的收集目的所必需的最短时间,可适用的法另有规定或个人信息主体另行选择同意时除外;
b)在个人信息保护政策中规定的最小必要持有期限届满时应安全地删除或匿名化;
c)当可适用的法要求继续存储该个人信息而没有个人信息主体的选择同意时,应锁定或将个人信息存入存档系统,以使个人信息免于除存储以外的进一步的处理。
6.4.5公开透明维度
公开透明维度(5.5)适用于存储环节,但在存储环节无扩展要求。
6.4.6告知维度
6.4.6.1事件告知指标(5.6.3)存储环节扩展要求
扩展要求:
所存储的个人生物识别信息发生泄漏的,个人信息处理者应进行事件告知。
6.4.6.2同步告知指标(5.6.4)存储环节扩展要求
扩展要求:
延长个人生物识别信息的存储期限或改变存储期限届满时的处理方式,应向个人信息主体进行同步告知。
注:根据GB/T35273—2020,5.4c)的要求,在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。该要求已经被本文件6.2.6.1a)和b)所涵盖。
6.4.7选择维度
6.4.7.1选择同意指标(5.7.2)存储环节扩展要求
扩展要求:
a)除非可适用的法要求继续存储,个人信息处理者在个人信息的存储期限届满而不进行删除或匿名化,或者延长存储期限的,应获得个人信息主体的选择同意;
b)延长个人生物识别信息的存储期限或改变存储期限届满时的处理方式前,应获得个人信息主体以明示方式作出的选择同意。
6.4.7.2选择退出指标(5.7.3)存储环节扩展要求
扩展要求:
除非可适用的法明确要求保留个人生物识别信息,个人信息处理者对于所存储的个人生物识别信息应提供选择退出机制,并在选择退出时进行删除。
6.4.8权益保障维度
权益保障维度(见5.8)适用于存储环节,但在存储环节无扩展要求。
6.4.9质量维度
质量维度(见5.9)适用于存储环节,但在存储环节无扩展要求。
6.4.10安全保护维度
6.4.10.1安全保护能力指标(5.10.2)存储环节扩展要求
扩展要求:
a)应将去标识化后的信息与可用于重标识的标识符分别存储,并加强对标识符的访问和使用权限管理;
b)应将个人生物识别信息与一般个人信息分别存储,并加强对生物识别信息的访问和使用权限管理;
c)除非有可适用的法定义务要求存储原始个人生物识别信息(如图像或样本),否则不应存储原始个人生物识别信息(如图像或样本),只存储个人生物识别信息的摘要信息;
注:其他可被采用的措施也可包括在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能,或者在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。见GB/T35273—2020,6.3c)。
d)敏感个人信息应加密存储;
注:密码技术应符合适用的密码管理相关国家标准。
e)应建立异地个人信息(或其数据)备份措施,并根据业务应用场景需求及时进行备份;
f)备份存储安全保护措施应与业务应用系统存储保护措施一致;
g)备份过程中应保障备份数据的完整性、保密性;
h)应定期对备份数据进行恢复测试,以确保备份数据的可用性。
6.4.11可问责性维度
6.4.11.1文件管理指标(5.11.4)存储环节扩展要求
扩展要求:
存储环节应保留的证明合规性的文件包括但不限于:
a)有关存储环节的合法性基础的成文文件;
b)(如适用)有关存储目的的成文文件;
c)存储期限或存储期限届满时处理方式变更的同步告知和选择同意等的记录或适当证明;
d)将存储环节委托处理的,包括委托协议;
e)存储环节的日志记录。
6.5公开
6.5.1公开环节概述
第5章给出的通用要求中的所有维度和指标在个人信息公开环节均可以适用。
个人信息的公开往往涉及个人信息保密性的较高程度的侵入,尤其当所公开的个人信息为隐私权所保护的私密信息,或者敏感个人信息时,公开将伴随着更高的违规风险。鉴于个人信息公开的敏感性和高风险,除选择同意处理(5.2.2.1)以外,可适用的法较少能够为公开提供合法性基础,甚至在某些情形下可能明确禁止公开。因此,对公开环节的法律合规性评估宜更加聚焦于合法维度、选择维度,以及与个人信息主体行使选择有关的公开透明维度和告知维度。
其他信息:
参见《个人信息保护法》第25条、第27条、第55条第3项。
6.5.2合法维度
6.5.2.1合法性基础指标(5.2.1)公开环节扩展要求
扩展要求:
在进行一项新的公开前,个人信息处理者应明确识别合法性基础并确定满足相应合法性基础的要求。
注:除选择同意处理之外,其他合法性基础可能包含公开,但宜根据公开的具体目的、个人信息类型、具体场景等进行个案综合判断。例如,为公共利益实施新闻报道、舆论监督等行为通常包含对个人信息的一定程度的公开。但该情形下公开是否属于在合理范围内的个人信息处理,则高度依赖于可适用的法。例如,在实施新闻报道、舆论监督的过程中公开刑事案件证人、鉴定人、被害人等的真实姓名、住址和工作单位、外貌、真实声音等,很可能给个人信息主体的人身安全带来较高程度的风险。又如,公开信息公平处理中所涉及的个人信息本身已经是公开信息,但该公开信息的再公开或经加工后的公开,仍然可能因具体目的、个人信息类型、具体场景等因素的影响,而对个人信息主体的合法权益有重大影响。因此,凡是涉及个人信息的新的公开,仍需要重新明确识别合法性基础并确定满足。
6.5.2.2类型合法指标(错误!未找到引用源。)公开环节扩展要求
扩展要求:
a)不应公开个人生物识别信息;
b)不应公开我国公民的种族、民族、政治观点、宗教信仰等敏感个人信息的分析结果。
6.5.3目的明确维度
6.5.3.1目的具体/特定指标()公开环节扩展要求
扩展要求:
在公开个人信息前,应识别明确的公开目的:
a)公开目的应具体到产品或服务中涉及公开的具体业务功能,并区分基本业务功能和扩展业务功能;
b)所识别的公开目的应形成成文信息并可用。
6.5.4目的限制维度
目的限制维度(见5.4)适用于公开环节,但在公开环节无扩展要求。
6.5.5公开透明维度
6.5.5.1信息充分指标(5.5.2)公开环节扩展要求
扩展要求:
个人信息处理者所公开的与其个人信息处理政策与实践有关的充分信息,应包括:
a)是否会公开个人信息的说明;
b)公开个人信息的目的、方式、类型和范围。
注1:公开目的的具体程度宜参考目的具体指标公开环节扩展要求(6.5.3.1)。公开个人信息的方式宜结合已识别的合法性基础加以说明,例如表明将在何种条件下公开个人信息以及个人是否享有选择同意或选择退出机制。公开的个人信息类型的具体程度宜考虑是否为敏感个人信息,如为敏感个人信息,宜尽可能逐项列出。公开个人信息的范围宜考虑可访问被公开个人信息的受众范围,例如是否仅注册用户或好友可访问,抑或全网可访问等。
注2:信息的充分性可根据个人信息主体的选择权以及在具体场景中的合理期待加以调整,例如,在社交应用程序等场景中,公开一定程度的个人信息符合个人信息主体的合理期待,尤其是当个人信息主体可以自行选择公开哪些个人信息以及公开范围时,在信息充分指标中的信息可适当简略。
6.5.6告知维度
6.5.6.1同步告知指标(5.6.4)公开环节扩展要求
扩展要求:
个人信息处理者公开个人信息的同步告知:
a)应在就公开向个人信息主体征求选择同意时作出;
b)应包含以下最密切相关的信息:
1)将公开个人信息的事实;
2)公开个人信息的目的和个人信息类型。
注:根据《个人信息保护法》第25条和第55条,公开个人信息应获得单独同意并在事前进行个人信息保护影响评估。在公开个人信息前的同步告知中,宜尽可能包含为确保个人信息主体知情同意所需的其他相关信息,例如,公开可能对个人信息主体权益带来的影响,拒绝公开的影响、选择退出(包括撤回同意)的方式以及个人信息主体合法权益的行使方式等。
6.5.7选择维度
6.5.7.1选择同意指标(5.7.2)公开环节扩展要求
扩展要求:
个人信息处理者在公开个人信息前,应获得个人信息主体以单独且明示的方式作出的选择同意。
6.5.7.2选择退出指标(5.7.3)公开环节扩展要求
扩展要求:
a)基于选择同意公开个人信息的,个人信息处理者应为个人信息主体提供至少包含撤回同意在内的选择退出机制:
1)个人信息主体撤回同意的,应停止对该个人信息主体个人信息的公开。
b)公开个人信息的合法性基础并非选择同意处理的,除非该合法性基础不允许个人信息主体行使选择,个人信息处理者应:
1)提供选择退出机制。
2)有效的删除机制可视为存在选择退出机制;
3)个人信息主体选择退出的,应停止对该个人信息主体个人信息的公开。
6.5.8权益保护维度
6.5.8.1删除机制指标(5.8.6)公开环节扩展要求
扩展要求:
个人信息处理者违反可适用的法的规定或违反与个人信息主体的约定公开个人信息,或者依据可适用的法产生删除义务的其他情形,个人信息主体要求删除的,个人信息处理者应立即停止公开、自行删除,并发送通知要求个人信息处理相关方删除相应信息。
注:宜留意即使并非个人信息处理者直接违反可适用的法的规定或个人信息主体的约定,在某些特定情形下也可能基于“通知—删除”规则等导致需删除个人信息的情形。例如,《民法典》第1195条规定,网络用户利用网络服务实施侵权行为的,权利人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。通知应当包括构成侵权的初步证据及权利人的真实身份信息。
6.5.9质量维度
6.5.9.1质量维度/指标(5.9.1)公开环节扩展要求
扩展要求:
在公开个人信息前,宜根据公开的目的进行必要的个人信息准确性、完整性和及时性的确认,以避免因公开的个人信息就公开的目的而言不够准确、完整和及时而可能导致的索赔。
6.5.10安全保护维度
6.5.10.1安全保护能力指标(5.10.2)公开环节扩展要求
扩展要求:
公开个人信息的,应采用完整性校验等技术措施确保个人信息传输的完整性。
6.5.11可问责性维度
6.5.11.1合规管理体系指标(5.11.2)公开环节扩展要求
扩展要求:
个人信息处理者应有明确的制度、规章或组织流程要求相关部门或人员在以新的目的公开个人信息,以及实质性改变现有个人信息公开范围(如个人信息类型、数量等)、公开方式前,向合规团队咨询:
a)新的公开是否具有合法性基础;
b)是否需要采取额外的政策告知、同步告知或选择同意等措施;
c)实质变更后的个人信息公开范围是否仍然满足最小必要指标的要求。
6.5.11.2文件管理指标(5.11.4)公开环节扩展要求
扩展要求:
个人信息处理者关于公开环节应保留的证明合规性的文件包括但不限于:
a)有关公开环节的合法性基础的成文文件;
b)(如适用)有关公开目的的成文文件;
c)有关公开披露的个人信息保护政策历次版本、同步告知和选择同意等的记录或适当证明;
d)为公开所进行的个人信息安全影响评估文件;
e)个人信息的公开情况的准确记录,包括公开的日期、规模、目的和公开范围等。
6.5.11.3安全影响评估指标(5.11.6)公开环节扩展要求
扩展要求:
个人信息处理者在公开前应事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施。
6.6提供
6.6.1提供环节概述
第5章给出的维度在个人信息提供环节均可以适用。
个人信息提供往往并不像公开一样直接导致个人信息保密性的丧失,但提供通常使得个人信息的接收者获得对个人信息的独立的控制权,其结果也必然包含对个人信息享有访问权限的组织或个人的范围扩大,从而对个人信息的保密性带来风险。相比于公开,个人信息提供可能适用的合法性基础涵盖较广,并且以具体、明示、合理的目的提供的个人信息在某些情形下可能服务于个人信息处理者合法利益的同时,为个人信息主体带来便利。但缺乏透明度、选择与可问责性的个人信息提供,容易导致个人信息主体丧失对其个人信息的控制,从而引发更多的担忧,并且在违规提供时很可能导致严格的行政责任甚至刑事责任。考虑到提供环节的上述特性,所有法维度和指标在提供环节的法律合规性评估中都是相关且重要的,但尤其需要关注合法性基础、目的限制、公开透明、选择和和可问责性维度。
6.6.2合法维度
6.6.2.1合法性基础指标(5.2.1)提供环节扩展要求
扩展要求:
在进行一项新的个人信息提供之前,应明确识别合法性基础并确定满足相应合法性基础的要求。
6.6.3目的明确维度
目的明确维度(见5.3)适用于提供环节,但在提供环节无扩展要求。
6.6.4目的限制维度
目的限制维度(见5.4.1)适用于提供环节,但在提供环节无扩展要求。
6.6.5公开透明维度
6.6.5.1信息充分指标(5.5.2)提供环节扩展要求
扩展要求:
a)产品或服务中接入收集个人信息的第三方产品、服务或插件,并且该第三方直接向个人信息主体收集个人信息并获取选择同意的,个人信息处理者所公开的与其个人信息处理政策与实践有关的充分信息,应包括:
1)涉及此类第三方的业务功能;
2)第三方类型以及各自的安全和法律责任,包括个人信息处理者所采取的第三方接入管理流程或安全保护措施。
注:应在进入此类产品或服务前设置同步告知或明确的警示标志。
b)产品或服务中接入或嵌入的第三方产品、服务或插件通过个人信息处理者间接获取个人信息,并且:
1)个人信息处理者与该第三方将分别对个人信息享有控制并各自承担责任的,个人信息处理者所公开的与其个人信息处理政策与实践有关的充分信息,应包括:
——涉及此类第三方的业务功能和提供目的;
——第三方类型以及各自的安全和法律责任,包括个人信息处理者所采取的第三方接入管理流程或安全保护措施;
注:个人信息处理者应通过查询机制提供通过个人信息处理者获得个人信息的第三方身份和个人信息类型(见6.6.8.1);在提供前应进行同步告知(见6.6.6.1b)),并获得个人信息主体对提供的单独同意(见6.6.7.1)。个人信息处理者应满足权责一致指标平台/第三方管理特性要求(见5.11.3.4)。
2)如第三方不单独向个人信息主体征求同意的,在个人信息处理者的提供与第三方的收集环节为个人信息共同处理者,个人信息处理者所公开的与其个人信息处理政策与实践有关的充分信息,应包括:
——此类第三方的名称或姓名和联系方式;
——该第三方的收集目的和后续处理目的;
——该第三方的处理方式和个人信息类型;
——各自的安全和法律责任。
注:此种情形的示例,如产品或服务的过程中部署的收集个人信息的第三方插件,例如统计分析工具、软件开发工具包SDK、调用地图API接口。如果个人信息处理者没有充分公开有关此类第三方的信息,很可能导致个人信息处理者承担非法提供的法律责任,并可能因该第三方的个人信息处理不合规而共同承担或替代承担法律责任。
6.6.6告知维度
6.6.6.1同步告知指标(5.6.4)提供环节扩展要求
扩展要求:
a)对于产品或服务中接入的直接向个人信息主体收集个人信息的第三方产品或服务,应在个人信息主体通过个人信息处理者的产品或服务进入到第三方产品或服务时,同步告知或设置明显标识提示正在进入第三方产品或服务的事实;
b)接入通过个人信息处理者间接获取个人信息的第三方产品、服务或插件,或者以其他方式向第三方提供个人信息的,应在提供前同步告知:
1)第三方的名称或者姓名、联系方式;
2)提供目的、方式和个人信息的类型;
3)可适用的法有明确要求的,还包括提供可能产生的后果、拒绝提供的影响、选择退出方式、第三方的数据安全能力等。
注:根据《个人信息保护法》第23条和第55条,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应取得单独同意并在事前进行个人信息保护影响评估。在提供个人信息前的同步告知中,无论可适用的法是否有明确要求,宜尽可能包含为确保个人信息主体知情同意所需的所有相关信息,例如,提供可能对个人信息主体权益带来的后果,拒绝提供的影响,选择退出方式,第三方的数据安全能力,以及个人信息主体合法权益的行使方式等。
c)向第三方提供敏感个人信息,向个人信息主体作出的同步告知应:
1)单独列出敏感个人信息类型;
2)包含特定的提供目的;
3)包含提供敏感个人信息的充分必要性;
4)包含提供对个人权益的影响。
6.6.7选择维度
6.6.7.1选择同意指标(5.7.2)提供环节扩展要求
扩展要求:
a)个人信息处理者向第三方提供个人信息前,应获得个人信息主体的单独和明示方式作出的选择同意;
b)个人信息处理者向第三方提供敏感个人信息前,应获得个人信息主体的以单独和明示的方式作出的选择同意。
6.6.7.2选择退出指标(5.7.3)提供环节扩展要求
扩展要求:
个人信息处理者向第三方提供个人信息的,应:
a)向个人信息主体提供选择退出机制,如撤回同意;
b)个人信息主体选择退出(如撤回同意)的,个人信息处理者应停止向第三方提供,并向第三方发送通知要求告知选择退出的事实,要求第三方停止已经被选择退出的个人信息处理。
注:个人信息主体的选择退出(如撤回同意),可能伴随删除机制下的删除请求(见5.8.6和6.6.8.2),或可能导致个人信息处理者终止对这些个人信息的处理(7.3)。在必要且适当时,个人信息处理者需同时考虑选择退出与其他合规要求之间的衔接。
6.6.8权益保障维度
6.6.8.1查询机制指标(5.8.3)提供环节扩展要求
扩展要求:
向第三方提供个人信息的,应提供查询机制以允许个人信息主体查询通过个人信息处理者提供获取个人信息的第三方身份、个人信息类型。
6.6.8.2删除机制指标(5.8.6)提供环节扩展要求
扩展要求:
个人信息处理者违反法律法规规定或违反与个人信息主体的约定向第三方提供个人信息,个人信息主体要求删除的,应及时停止提供并通知第三方删除。
6.6.9质量维度
质量维度/指标(见5.9.1)适用于提供环节,但在提供环节无扩展要求。
6.6.10安全保护维度
安全保护维度(见5.10)适用于提供环节,但在提供环节无扩展要求。
6.6.11可问责性维度
6.6.11.1权责一致指标(5.11.3.4)提供环节扩展要求
扩展要求:
个人信息处理者的产品或服务中接入第三方产品、服务、插件的,应建立第三方产品、服务、插件接入管理机制和工作流程,该机制和工作流程应满足平台/第三方管理特性要求(5.11.3.4)。
6.6.11.2文件管理指标(5.11.4)提供环节扩展要求
扩展要求:
提供环节应保留的证明合规性的文件包括但不限于:
a)有关提供环节的合法性基础的成文文件;
b)有关提供目的的成文文件;
c)有关提供的个人信息保护政策历次版本、同步告知和选择同意等的记录或适当证明;
d)为提供所进行的个人信息安全影响评估文件;
e)第三方接入有关的合同、第三方接入清单和相关日志或记录;
f)第三方管理指标所要求的管理机制和工作流程等文件。
6.6.11.3合规审计指标(5.11.5)提供环节扩展要求
扩展要求:
个人信息处理者应在其产品或服务与第三方的产品或服务的边界启用日志记录功能,持续记录和定期审计第三方接口和数据使用情况,必要时设置自动警报机制,以便及时发现通过接口违规获取数据的行为。
6.6.11.4安全影响评估指标(5.11.6)提供环节扩展要求
扩展要求:
计划通过公开开放或协议开放API接口等方式允许个人信息共同处理者、个人信息处理受托人以外的第三方通过接入其产品、服务直接向个人信息处理者收集个人信息,或者通过其产品或服务间接获取个人信息的,应在首次开放前以及在此后定期进行个人信息安全影响评估。
6.7转移
6.7.1转移环节概述
第5章给出的通用要求中所有维度和指标在个人信息转移环节均可以适用。
由于个人信息的无形性、易复制特征,绝大多数个人信息控制权变动是通过提供实现的,即在向第三方提供个人信息后,提供方与接收方共同或分别享有个人信息控制权。提供方将个人信息控制权转移给第三方的同时使自身丧失该个人信息控制权的情形较为有限。转移通常是伴随着作为个人信息处理者的合并、分立、解散、被申请破产或申请破产重整等组织变更一并发生的,否则除选择同意处理和合法利益公平处理之外也较少有合法性基础能够为个人信息的转移赋予确定性的合法性基础。转移对个人信息保密性的风险程度与提供环节类似,转移的合规要求通常与提供环节一并得到规定。但宜特别留意脱离具体、明示、合理目的(例如脱离产品或服务的业务功能场景),而仅将个人信息交易作为转移目的往往更容易产生行政责任甚至刑事责任的风险。鉴于转移环节的上述特性,在转移环节尤其具有相关性和重要性的是合法维度、目的明确维度、选择维度和可问责性维度。
6.7.2合法维度
6.7.2.1合法性基础指标(5.2.1)转移环节扩展要求
扩展要求:
除非已识别的合法性基础或者已经明示的处理目的中已包含转移,在进行一项新的个人信息转移之前,应明确识别合法性基础并确定满足相应合法性基础的要求。
注:极少有可适用的法直接为个人信息的转移赋予合法性基础,基于选择同意处理、合同必要处理和合法利益公平处理可能是最为相关的。其中,合并、分立、解散、被申请破产或申请破产重整等组织变更所导致的个人信息转移,通常可以视为是为实现个人信息处理者的合法利益而必要的,并且要求选择同意容易导致合并、分立、解散、被申请破产或申请破产重整等组织变更遇到难以确定估值和难以交割等障碍,提供选择退出机制并且确保后续的个人信息处理者按照原定方式履行原个人信息处理者的义务和责任、在破产无承接方时妥善安全删除,通常可以有效降低转移对个人信息主体的合法利益的影响。
6.7.3目的明确维度
目的明确维度(见5.3)适用于转移环节,但在转移环节无扩展要求。
6.7.4目的限制维度
目的限制维度(见5.4)适用于转移环节,但在转移环节无扩展要求。
6.7.5公开透明维度
6.7.5.1信息充分指标(5.5.2)转移环节扩展要求
扩展要求:
个人信息处理者所公开的与其个人信息处理政策与实践有关的充分信息,应包括:
a)是否进行个人信息转移;
b)转移目的;
c)涉及的个人信息类型;
d)接收方的名称或姓名和联系方式;
e)各自的安全和法律责任等信息。
6.7.6告知维度
6.7.6.1政策告知指标(5.6.2)转移环节扩展要求
扩展要求:
因合并、分立、解散、被申请破产或申请破产重整等导致个人信息处理者发生增加、减少或变更,和/或导致个人信息主体行使其合法权益的方式发生变更的,应在完成合并、分立、解散、被申请破产或申请破产重整的合理期限内及时更新个人信息保护政策并进行政策更新告知。
6.7.6.2同步告知指标(5.6.4)转移环节扩展要求
扩展要求:
a)个人信息处理者因合并、分立、解散、被申请破产或申请破产重整等原因需要进行个人信息转移的,同步告知:
1)应在实际转移前的合理期限内一次性或分阶段作出;
2)应包含以下最密切相关信息:
——因合并、分立、解散等原因将转移个人信息的事实;
——接受方的名称或者姓名和联系方式;
——接收方将继续履行个人信息处理者义务的事实。
注1:同步告知的时机宜同时考虑可行性与合理性。通常在做出合并、分立、解散的决议时,接收方及其他最密切相关信息均已确定,个人信息处理者宜在做出决议后尽早进行同步告知。个人信息处理者被宣告破产的,通常在破产财产变价经债权人会议通过或经法院裁定后才可能确定接收方,个人信息处理者宜在接收方确定后尽早进行同步告知。同步告知宜适当早于实际转移,以便个人信息主体在实际转移前有合理的时间对将要发生个人信息处理者或其他重大变更做出反应。
注2:个人信息处理者解散或破产清算且无个人信息接收方的,应对个人信息进行删除,在完成删除后应通过同步告知或公告向个人信息主体告知该事实。
b)非因合并、分立、解散、被申请破产或申请破产重整破产等原因需要进行个人信息转移的,同步告知:
1)应在转移前的合理期限内一次性或分阶段作出:
2)应包含以下最密切相关信息:
——转移个人信息的目的;
——接收方的名称或者姓名和联系方式;
——转移方式和个人信息的种类。
注:在转移个人信息前的同步告知中,无论可适用的法是否有明确要求,宜尽可能包含为确保个人信息主体知情同意所需的所有相关信息,例如,提供可能对个人信息主体权益带来的后果,拒绝提供的影响,选择退出方式,第三方的数据安全能力,以及个人信息主体合法权益的行使方式等。
c)无论因何种原因转移敏感个人信息的,同步告知中应:
1)单独列出涉及转移的敏感个人信息类型;
2)包含特定的转移目的并说明转移敏感个人信息的充分必要性;
3)说明转移敏感个人信息对个人权益的影响;
4)可适用的法有明确要求的,还包括提供可能产生的后果、拒绝提供的影响、选择退出方式、接收方的数据安全能力等。
d)无论因何种原因转移个人信息的,应单独列出或另行同步告知:
1)将在实际转移前发生的处理目的、处理方式变更,以及与需获得选择同意的其他重大变更最密切相关的信息;
2)(如适用)将在实际转移时发生的处理目的、处理方式变更,以及其他需获得选择同意的重大变更最密切相关的信息;
注:重大变更的范围见5.5.2k)及其注。在实际转移前发生处理目的变更,或其他需要获得个人信息主体选择同意的重大变更,原个人信息处理者仍需履行相应义务。根据《个人信息保护法》第22条和第23条,接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。但接收方在实际转移同时变更处理目的、处理方式的,在实际转移前接收方很可能不具有自行同步告知并获得选择同意的可行性。单独列出或另行同步告知宜与征求选择同意相结合,以便获得适格的选择同意。
6.7.7选择维度
6.7.7.1选择同意指标(5.7.2)转移环节扩展要求
扩展要求:
a)非因合并、分立、解散、被申请破产或申请破产重整等原因转移个人信息的,应获得个人信息主体以单独且明示的方式作出的选择同意;
b)在实际转移前发生处理目的、处理方式变更以及需获得选择同意的其他重大变更的,应获得个人信息主体的选择同意;
c)在实际转移的同时发生处理目的、处理方式变更以及需获得选择同意的其他重大变更,且接收方在该实际变更前无法获得个人信息主体选择同意的,个人信息处理者应获得选择同意;
d)涉及敏感个人信息转移的,应获得个人信息主体以单独且明示的方式作出的选择同意。
6.7.7.2选择退出指标(错误!未找到引用源。)转移环节扩展要求
扩展要求:
在向个人信息主体告知将要转移个人信息的事实起至完成转移期间,应确保选择退出机制保持有效运行,并及时响应个人信息主体选择退出的请求。
6.7.8权益保障维度
6.7.8.1合法权益行使机制通用指标(5.8.2)转移环节扩展要求
扩展要求:
在向个人信息主体告知将要转移个人信息的事实起至完成转移期间,应确保个人信息主体行使其合法权益的方法有效运行,并及时响应个人信息主体行使其合法权益的请求。
6.7.8.2删除机制指标(5.8.6)转移环节扩展要求:
扩展要求:
个人信息处理者违反法律法规规定或违反与个人信息主体的约定向第三方转移个人信息,个人信息主体要求删除的,应立即停止转移并通知第三方及时删除。
6.7.9质量维度
质量维度/指标(见5.9.1)适用于转移环节,但在转移环节无扩展要求。
6.7.10安全保护维度
6.7.10.1安全保护能力指标(5.10.2)转移环节扩展要求
扩展要求:
数据整体迁移的过程中,应采取措施防止数据残留。
6.7.11可问责性维度
6.7.11.1合规管理体系指标(5.11.2)转移环节扩展要求
扩展要求:
应有明确的制度、规章或组织流程要求相关部门或人员在个人信息转移前,向合规团队咨询:
a)所涉及的转移是否具有合法性基础;
b)是否需要采取额外的政策告知、同步告知或选择同意等措施。
6.7.11.2文件管理指标(5.11.4)转移环节扩展要求
扩展要求:
转移环节应保留的证明合规性的文件包括但不限于:
a)有关转移环节的合法性基础的成文文件;
b)有关转移目的的成文文件;
c)有关转移的个人信息保护政策历次版本、同步告知和选择同意等的记录或适当证明;
d)为转移所进行的个人信息安全影响评估文件;
e)有关转移的合同等文件,其中明确规定数据接收方的责任和义务;
f)个人信息的转移情况的准确记录,包括转移的日期、规模、目的以及数据接收方的基本情况等。
6.7.11.3安全影响评估指标(5.11.6)转移环节扩展要求
扩展要求:
在个人信息转移前,应事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施。
7特殊的个人信息处理类型
7.1特殊的个人信息处理类型概述
本章给出了向境外提供和终止等3类特殊的个人信息处理类型的扩展要求。这些个人信息处理类型的特殊性是源于其通常不具有独立性,或者可能是若干处理环节的类型化(如向境外提供的实现方式可能是提供、转移、存储至境外等),或者是作为一个个人信息处理生命周期中的终点(如删除、停止运营等)。这些特殊性使得第5章给出的维度和指标并非全部适用,而仅适用其中一个或若干个维度和指标。
本章的结构安排如下:
本章的每个一级条标题区分了特殊的个人信息处理类型,如“7.2向境外提供”、“7.3终止”等。每个一级条标题项下的第一个二级条标题是概述,描述了该特定的个人信息处理类型在合规要求方面的特殊性,以及由此导致的在法律合规性评估中的主要关注点。
第二个二级条标题开始给出适用于该特定个人信息处理类型并且具有扩展要求的指标所属的维度名称,然后在该二级条标题项下的三级条标题给出具体指标的扩展要求。
7.2向境外提供
7.2.1向境外提供概述
向境外提供个人信息的具体实现方式可能是向境外提供、转移、存储至境外等。当向境外提供个人信息涉及提供、转移、存储等环节时,适用第5章给出的维度、指标及其相应的特定处理环节扩展要求。
在法律合规性评估中被评估方涉及向境外提供个人信息的,除相应特定处理环节的要求外,特殊的关注要点主要包括合法维度、目的限制维度、公开透明维度、告知维度、选择维度、可问责性维度等。
7.2.2合法维度
7.2.2.1程序合法指标向境外提供环节扩展要求
扩展要求:
将在中国境内运营中收集和产生的个人信息向境外提供的,应遵循可适用的法的程序要求,尤其包括必要的安全评估程序和批准程序。
注:宜留意,可适用的法可能对特定个人信息处理者或者对特定个人信息处理者所处理的个人信息设定安全评估等程序要求,例如,关键信息基础设施运营者和达到可适用的法规定数量的个人信息处理者,又如,国家机关处理的个人信息。可适用的法也可能对向特定境外接收方的提供设定批准程序,如《个人信息保护法》第41条规定的向外国司法或执法机构提供存储于境内的个人信息。
7.2.2.2类型合法指标(5.2.5)向境外提供环节扩展要求
扩展要求:
可适用的法禁止向境外提供特定类型的个人信息的,不应向境外提供该个人信息类型。
7.2.3目的限制维度
7.2.3.1最小必要指标(5.4.2)向境外提供环节扩展要求
扩展要求:
a)跨境传输的个人信息类型应与跨境传输的目的或业务功能直接相关;
b)向境外自动传输的个人信息频率应是向境外传输目的所需的最小频率;
c)向境外传输的个人信息数量应是实现向境外传输目的所需的最小数量。
7.2.4公开透明维度
7.2.4.1信息充分指标(5.5.2)向境外提供环节扩展要求
扩展要求:
个人信息处理者所公开的与其个人信息处理政策与实践有关的充分信息:
a)应包括是否涉及向境外提供个人信息,包括跨境传输和跨境提供、转移;
b)如有,应根据信息充分指标特定环节扩展要求包含相关信息。
7.2.5告知维度
7.2.5.1同步告知指标(5.6.4)向境外提供环节扩展要求
扩展要求:
个人信息处理者向境外提供个人信息的同步告知:
a)应在提供前的合理期限内一次性或分阶段作出;
b)应包含以下最密切相关信息:
1)境外接收方的名称或者姓名、联系方式;
2)个人信息的类型;
3)向境外提供的目的和提供方式;
4)境外接收方的后续处理目的和处理方式;
5)向境外接受方行使合法权益的方式和程序等规则。
7.2.6选择维度
7.2.6.1选择同意指标(5.7.2)向境外提供环节扩展要求
扩展要求:
向境外提供个人信息,应获得个人信息主体以单独和明示方式作出的选择同意。根据向境外提供的方式,选择同意还应满足特定环节扩展要求。
7.2.6.2选择退出指标(5.7.3)向境外提供环节扩展要求
扩展要求:
向境外提供个人信息,应向个人信息主体提供选择退出机制,如撤回同意。
7.2.7可问责性维度
7.2.7.1文件管理指标(5.11.4)向境外提供环节扩展要求
扩展要求:
应妥善留存向境外提供个人信息有关的合同、境外接收方清单和相关日志或记录。
7.2.7.2安全影响评估指标(5.11.6)向境外提供环节扩展要求
扩展要求:
计划向境外提供个人信息的,应在首次向境外提供前以及在此后定期进行个人信息安全影响评估。
注:向境外提供个人信息时的安全影响评估的内容,应遵守可适用的法以及相关国家标准。
7.3终止
7.3.1终止概述
完整的个人信息处理生命周期由个人信息的收集开始,并以个人信息的删除、销毁、匿名化等方式终止。终止仅是对个人信息处理中一个阶段的描述,其中可能包含删除、销毁、匿名化等个人信息处理操作。导致个人信息处理终止的原因可能是多方面的,例如,因个人信息主体选择退出、行使删除权、存储期限届满,又如个人信息处理者破产且无承接方、清算,停止运营其产品或服务等,均可能导致个人信息处理的终止。
在法律合规性评估中对个人信息处理终止环节的关注点仅在于告知维度、安全保护维度和可问责性维度。
7.3.2告知维度
7.3.2.1事件告知指标(5.6.3)终止环节扩展要求
扩展要求:
当个人信息处理者停止运营其产品或服务时,应及时将停止运营的通知以逐一送达或公告的形式通知个人信息主体。
7.3.3安全保护维度
7.3.3.1安全保护能力指标(5.10.2)终止环节扩展要求
扩展要求:
a)删除个人信息的,个人信息处理者应确保删除是彻底和不可逆的;
注1:应采取技术、管理或其他必要措施避免在执行删除的过程中无意地创建副本或保留备份。
注2:删除意味着从实现日常业务功能所涉及的系统中去除个人信息,使其保持不可被检索、访问的状态。个人信息处理者有合法性基础继续持有个人信息的,如履行可适用的法规定的义务等,可在确保日常业务功能所涉及的系统中去除,而在另外的存档系统中保留。
b)销毁个人信息的,应建立基于数据分类分级的数据销毁机制,并明确销毁方式和销毁要求;
c)应在境内对数据进行删除或销毁。
7.3.4可问责性维度
7.3.4.1合规管理体系指标(5.11.2)终止环节扩展要求
扩展要求:
a)应有明确的删除、销毁或匿名化的制度、规章或组织流程或操作规程,要求相关部门或人员在终止个人信息前安全删除或匿名化个人信息;
b)这些制度、规章、组织流程或规程,应能够涵盖以下情形下的个人信息处理终止和删除、销毁或匿名化:
1)执行个人信息主体的选择退出,如撤回同意;
2)执行个人信息主体的删除请求;
3)存储期限届满;
4)委托处理终止;
5)用于个人信息处理的信息处理设施或信息系统被退出使用;
6)组织终止;
7)个人信息处理者停止运营产品或服务。
7.3.4.2文件管理指标(5.11.4)终止环节扩展要求
扩展要求:
个人信息处理者应妥善留存终止个人信息处理时采取删除、销毁、匿名化等操作的相关日志或记录。
附录A
(资料性附录)合规框架
附录B
(资料性附录)
必要性、直接相关和合理关联性测试及示例
个人信息保护并非绝对的,个人信息主体的同意也并非个人信息处理的唯一合法性基础,正如《民法典》第1036条所表明的,在必要时个人信息保护需让位于公共利益和他人的合法利益。个人信息处理对于特定目的或所追求的特定利益而言具有必要性(或直接相关),是援引合同必要处理(5.2.2.2)、人力资源管理必要处理(5.2.2.3)、法定义务必要处理(5.2.2.4)、公共利益必要处理(5.2.2.5)、紧急必要处理(5.2.2.7)或合法利益公平处理(5.2.2.8)作为合法性基础的准入门槛。但必要性本身可能多种含义,其含义可能介于以下两端之间:在其最严格的一端,必要性是指对实现特定目的或特定利益而言“不可避免”“必不可少”,在其最松散的一端,必要性仅仅是指“有助于”实现特定目的或特定利益。在具体场景中确定必要性的含义及其判断标准,宜考虑个人信息处理所涉及的合法性基础,包括个人信息处理者和/或个人信息处理受托人与个人信息主体之间的关系,以及可适用的法为这种关系下的个人信息处理所设定的规则和原则。本资料性附录给出了各种合法性基础场景下的必要性测试及其示例。
B.1法定义务必要处理中的必要性及其示例
法定义务处理中的必要性,是指如果没有该特定的个人信息处理,个人信息处理者和/或个人信息处理受托人将无法履行其特定的法定义务。因此,为确认法定义务必要处理,宜采用的必要条件测试(but-fortest)。
常见的法定义务必要的个人信息处理示例如下:
B.1.1实名制服务义务
示例:《中华人民共和国网络安全法》第24条第1款要求网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
B.1.2反欺诈义务
示例:《商业银行互联网贷款管理暂行办法》(中国银行保险监督管理委员会令[2020]9号)第19条和《互联网保险业务监管暂行办法》(保监发[2015]69号)第20条为商业银行和保险机构规定了反欺诈监控、调查、分析等义务。但不具有可适用的法规定的反欺诈义务的个人信息处理者,为防止身份冒用或其他交易欺诈进行个人信息处理,则需考虑是否存在其他合法性基础。
B.1.3反洗钱义务
示例:《中华人民共和国反洗钱法》第3条为金融机构和特定非金融机构规定了反洗钱义务,要求识别客户身份、保存客户身份资料和交易记录。
B.1.4税收征管义务
示例1:支付所得的单位或个人作为个人所得税的扣缴义务人,为办理预扣预缴或汇算清缴收集并向税务机关提供身份证号码或纳税人识别号、收入信息、合同信息等。
示例2:《中华人民共和国电子商务法》第28条为电子商务平台经营者规定了向市场监督管理部门报送平台内经营者身份信息的义务,以及向税务部门报送平台内经营者身份信息和与纳税有关的信息的义务。
B.1.5社会保险费申报和缴纳义务
示例:《中华人民共和国社会保险法》(2018修正)为用人单位规定了为其职工办理社会保险登记、申报和缴纳社会保险费的义务。
B.2公共利益必要处理中的必要性及其示例
为实现公共利益而对个体权利和利益进行的必要侵入,在总体上受到比例原则的约束。比例原则的“手段—目的”分析框架并不要求手段对于目的而言必不可少,而仅要求手段与目的之间具有关联性,即手段“有助于”实现目的。但同时,比例原则的另外两个子原则缓和了相对宽松的关联性要求对个体权利与利益带来的损害程度,即要求存在多个有助于实现目标的可选手段时,采用对个体权利和利益侵入性最小的手段,所选择的手段对个体权利和利益造成的损害与其所要实现的目的之间具有均衡性。
在公共利益必要处理的场景中,特定个人信息处理被作为实现特定公共利益的手段,同样也受到比例原则的约束。在比例原则视域下,个人信息处理(手段)与处理目的之间的关系不宜采用最严格的必要条件测试(but-for-test),而是更接近于“有助于”实现特定目的或特定利益一端。
但同时,公共利益处理中的必要性测试,宜留意个人信息处理是否的确是基于“具体的”和“迫切的”公共利益的需要,而不是仅仅抽象地指向某个公共利益。公共利益处理中的必要性测试并非是对所要实现的公共利益本身是否足够重要的目的合理性审查,尤其是在可适用的法已经对某些重要的公共利益作出了规定并明确选择了个人信息处理作为追求该公共利益的手段时,宜假定目的合理性和个人信息处理作为手段的适当性已经得到适当评估。因此,在法定义务必要处理中
可适用的法通常将实现某项公共利益的具体职责和权限授予给了国家机关等公共机构,但并不意味着该合法性基础与作为非公共机构的个人信息处理者和/或个人信息处理受托人无关。除个人信息处理者和/或个人信息处理受托人本身作为可适用的法的授权主体之外,许多可适用的法中规定了组织或个人为公共机构履行其职责提供协助和支持的义务。当个人信息处理是可适用的法赋予的职权或权限进行时,
或者(作为个人信息处理受托人)在可适用的法授权主体的控制之下进行时,这些合法性基础是可能被满足的。
公共利益处理中的必要性测试可以考虑以下因素:
——所要实现或维护的公共利益具体而言是什么;
——是否有可适用的法规定了该公共利益的实现或维护方式;
——在具体场景中是否出现了迫切的实现或维护公共利益需要,如问题的严重性、发生时间,社会对该问题的态度或解决问题的需求;
——所采取的个人信息处理是否的确能够解决该公共利益的迫切需要;
——所采取的个人信息处理是否是若干方式中最小损害的;
——所采取的个人信息处理是否确定了清晰的目标和明确的目的;
——评估现有措施和替代措施;
——所涉及的个人信息具有充分性和相关性,而不是过度的;
——确定了明确的持有期限;
——个人信息控制是能够提供相关和充分的理由和论证。
B.2.1国家安全、国防安全、公共安全
国家安全、国防安全、公共安全可构成进行个人信息处理的迫切的公共利益需要。
示例:国家安全的迫切需要的示例,如《国家安全法》第77条第2项规定了组织和个人及时报告危害国家安全活动的线索、如实提供所知悉的涉及危害国家安全活动的证据、为国家安全工作提供便利条件或者其他协助,向国家安全机关、公安机关和有关军事机关提供必要的支持和协助的一般性义务。当个人信息处理者和/或个人信息处理受托人发现危害国家安全活动的线索或知悉涉及危害国家安全活动的证据时,以及被国家安全机关、公安机关和有关军事机关请求为具体的国家安全工作提供便利条件、支持和协助时,才能视为产生向有权机关提供已经收集的个人信息,或者在有权机关控制之下进行个人信息处理的迫切的需要。
B.2.2犯罪侦查、起诉、审判和执行判决
犯罪侦查、起诉、审判和执行判决,可构成进行个人信息处理的迫切的公共利益需要。通常,犯罪侦查、起诉、审判和执行判决,均由公安机关、检察机关、人民法院和监狱、看守所、未成年犯管教所等执行机关依据法定权限和程序进行。《网络安全法》第28条规定了网络运营者应当为公安机关依法侦查犯罪的活动提供技术支持和协助,《刑事诉讼法》第152条第4款要求有关单位和个人配合公安机关依法采取的技术侦查措施。因此,当个人信息处理是依据犯罪侦查、起诉、审判和执行判决的法定权限,或者在具有法定权限的有权机关控制之下依法进行的,可以构成个人信息处理的合法性基础。
示例1:《刑事诉讼法》第150条规定了可以采取技术侦查措施的三种情形。当个人信息处理者和/或个人信息处理受托人被有权机关要求配合技术侦查措施,则需要在有权机关的控制之下进行个人信息处理。但可适用的法(如《刑事诉讼法》第151-152条)和技术侦查措施的批准决定可能规定了具体的限制条件,如批准的措施种类、适用对象和期限,并要求采取侦查措施获取的材料,只能用于对犯罪的侦查、起诉和审判,不得用于其他用途;获取的与案件无关的材料必须及时销毁,并要求配合单位和个人予以保密。
示例2:《刑事诉讼法》第144条规定了检察机关和公安机关根据侦查犯罪的需要,可以依照规定查询、冻结犯罪嫌疑人的存款、汇款、债券、股票、基金份额等财产,有关单位和个人应当配合。当个人信息处理者和/或个人信息处理受托人被有权机关要求配合查询和冻结,则需要在有权机关的控制之下提供查询和冻结。
示例3:《反恐怖主义法》第50条规定公安机关调查恐怖活动嫌疑,可以依照有关法律规定……可以提取或者采集
肖像、指纹、虹膜图像等人体生物识别信息和血液、尿液、脱落细胞等生物样本,并留存其签名。第51条规定,公安机关调查恐怖活动嫌疑,有权向有关单位和个人收集、调取相关信息和材料。有关单位和和个人应当如实提供。
B.2.3公共卫生领域的公共利益
传染病防治可构成个人信息处理所追求的公共卫生领域的公共利益。
示例1:《传染病防治法》第31条规定任何单位和个人发现传染病病人或者疑似传染病病人时,应当及时向附近的疾病预防控制机构或者医疗机构报告。发现传染病病人或者疑似传染病病人构成迫切需要,向疾病预防控制机构或医疗机构报告是个人信息处理目的,所必要的个人信息处理包括提供。但在发现传染病病人或者疑似传染病病人之前,迫切需要并不存在。
示例2:《结核病防治管理办法》第8条和第9条分别规定了结核病定点医疗机构和非定点医疗机构在结核病防治工作中履行的职责。结核病定点医疗机构的职责包括负责肺结核患者报告、登记和相关信息的录入工作,对传染性肺结核患者的密切接触者进行检查等;非结核病定点医疗机构的职责包括负责结核病患者和疑似患者的转诊工作。结核病定点医疗机构和非定点医疗机构在履行该法定职责时,需要进行的个人信息处理是必要的,并且在流动人口肺结核患者转出地和转入地结核病定点医疗机构之间交换该患者的信息,以确保落实患者的治疗和管理措施(第30条);基层医疗机构应当对居家治疗的肺结核患者进行定期访视、督导服药等管理。但上述法定职责的必要中不包含故意泄露涉及肺结核患者、疑似肺结核患者、密切接触者个人信息的有关信息、资料。
示例3:根据《突发公共卫生事件应急条例》,突发公共卫生事件,是指突然发生、造成或者可能造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒以及其他严重影响公众健康的事件。国家建立了突发事件应急报告制度。《突发公共卫生事件应急条例》第40条规定了传染病爆发、流行时,街道、乡镇以及居民委员会、村民委员会协助卫生行政主管部门和其他有关部门、医疗卫生机构进行疫情信息的收集和报告。
示例4:要求填写个人健康申报表。收集联防联控所必需的个人信息,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群,防止形成对特定地域人群的事实上的歧视。为疫情防控、疾病防治收集的个人信息,不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息,因联防联控工作需要,且经过脱敏处理的除外。鼓励有能力的企业在有关部门的指导下,积极利用大数据,分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,为联防联控工作提供大数据支持。
B.2.4其他重大公共利益
示例:如《通信短信息服务管理规定》第17条规定,短信息服务提供者按照有关部门的提前申请或在紧急情况下,应根据电信管理机构的协调向其用户发送公益性短信息,尤其是涉及自然灾害、事故灾难、公共卫生事件和社会安全事件预警和处置等应急公益性短信息。自然灾害、事故灾难、公共卫生事件和社会安全事件预警和处置是公共利益的迫切需要,利用个人联系方式向其发送应急性短信息宜被确定为是必需的。
B.3最小必要指标中的直接相关测试与合同必要处理、人力资源管理必要处理中的必要性测试
个人信息处理的必要原则以及在最小必要指标中的“必要”一词,在《个人信息保护法》第6条中被进一步表述为是个人信息处理与处理目的直接相关。如上所述,必要或必需的含义可能介于对实现特定目的或特定利益而言“不可避免”“必不可少”到“有助于”实现特定目的或特定利益之间。相比于法定义务必要处理中的必要条件测试(but-for-test)和公共利益必要处理中依据比例原则综合考虑个人信息处理作为手段的适当性,关于最小必要指标中的必要性或直接相关,现有的标准化文件采取了相对较宽松的标准。
涉及最小必要指标的直接相关测试已经在现有标准化文件(如GB/T35273—2020,5.2a)和附录C.2;TC260-PG-20191A《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(v.1.0-201906))中得到了丰富的阐释和发展。作为运用在私法意思自治领域的概念,直接相关测试可以具有比法定义务必要处理中的必要性测试相对宽松的范围,在意思自治得到确实保障(如选择维度)前提下,需要更多地尊重在市场中的需求、习惯与通用实践。
同样地,合法性基础中的合同必要处理和人力资源管理必要处理,尽管采用的表达为履行、订立合同或人力资源管理的“必要”,但更适宜采用最小必要指标中的直接相关测试。宜考虑合同的实质和根本目标,个人信息主体对产品或服务的根本期待和最主要需求。个人信息处理须是为合同的正常履行最小必要的,如为了向员工支付工资必要的银行账户信息收集、持有和提供。但为了查证员工是否违反劳动合同中的义务,如保密、竞业禁止或工作职责,或采取法律诉讼等行动而访问员工邮箱、终端设备中的上网信息或查询员工财产信息,则不属于本项所指必要范围,从而需考虑是否存在其他合法性基础。当然在考虑合同必要处理的必要性时,也可以考虑合同的明确约定和附随义务。
产品或服务基本业务功能及其必要的个人信息处理,可参考GB/T35273—2020附录C.2和TC260-PG-20191A《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》(v.1.0-201906)给出的指引。
示例1:为了向个人信息主体交付其在电子商务网站购买的产品,将个人信息主体的姓名或昵称、手机号码、地址等信息提供给承运商,是为了履行买卖合同而必要的。
示例2:为了应个人信息主体的请求与之订立合同而必要的个人信息处理的例子,如为了应个人信息主体的请求与之订立贷款合同,评估借款人还款能力和授信审批而必要的个人财产或信用信息收集;为了应个人信息主体的请求与之订立保险合同,评估保险费用或提供保险咨询所必要的个人信息收集。
示例3:为了向个人信息主体提供产品或服务的基本业务功能而必要的个人信息处理的例子,如对于一款将自身服务定位和宣传为个性化展示新闻资讯或短视频的移动应用程序而言,个性化展示属于基本业务功能,为此收集用户在该移动应用程序中关注的账号列表、标签或浏览操作记录,用来分析用户兴趣并进行个性化展示。但读取其他移动应用程序或用户终端设备中的浏览操作记录、购物记录等,则不宜认定为基本业务功能必要的个人信息处理,从而需考虑是否存在其他合法性基础。
B.4目的兼容指标中的合理关联测试
确定后续处理目的是否与收集目的具有合理关联的测试方法,可以是从最初收集目的出发的形式测试,即考察根据通用实践和通用理解收集目的是否明显或默示地涵盖后续处理目的;也可以是多因素平衡测试以确定后续处理目的是否与最初收集目的相兼容。
B.4.1形式测试方法
形式测试方法相对简单,但所识别的合理关联范围相对严格。
示例1:最初收集目的是金融机构基于履行反洗钱义务的必要进行客户身份信息留存,将大额交易和可疑交易信息与该客户身份信息报告给中国反洗钱分析中心,是《反洗钱法》明确规定的后续处理。无论个人信息主体是否实际知晓该规定,或者个人信息处理者是否明示该后续处理,此类后续处理是收集目的明显涵盖的。
示例2:如果网络运营者履行通讯或信息发布服务实名制义务而收集的真实身份信息,后续被用于找回密码、开通新业务功能、个人信息主体合法权益请求的受理或反馈等场景下的用户身份核验,无论是否在收集时逐一明示所有此类场景,鉴于真实身份核验这一关联性,应视为收集目的所隐含的后续处理。
B.4.2多因素平衡测试方法
多因素测试方法相对复杂,但可以通过后续处理对个人信息主体的影响和适当保护措施“补偿”对最初收集目的的偏离度,从而使所识别的合理关联范围相对宽泛和灵活。
多因素平衡测试宜充分考虑以下因素:
a)后续处理目的与最初收集目的之间的关联性程度;
b)个人信息主体的合理预期:如结合个人信息被收集时的具体背景和个人信息处理者与个人信息主体之间的关系,后续处理目的是否符合个人信息主体的合理预期;
c)后续处理所涉及的个人信息的类型,尤其是是否涉及敏感个人信息;
d)后续处理对个人信息主体可能带来的正面的或负面的影响;
e)是否存在适当的保护措施,例如,使信息系统功能分离,采用最小化技术或访问最小化控制等。
B.4.3示例
对于已经收集的个人信息,以下后续处理目的通常宜视为具有合理关联,但受制于具体处理方式和适当保护措施:
——已经建立的客户关系的管理,前提是对于利用所收集的个人信息与客户进行联系时提供选择退出机制;
——履行监管部门的合规要求;
——个人信息处理者的内部的行为审计、安全和防止欺诈;
——个人信息处理者内部的大数据统计、分析和研究;
——依法行使个人信息处理者对个人信息主体享有的法律权利,如债权、知识产权等。
对于已经收集的个人信息,以下后续处理目的通常不宜视为具有合理关联,但受制于具体处理方式和适当保护措施:
——与尚未建立合同或服务关系的个人信息主体进行营销联系;
——用户画像、精准营销广告、对个人产生影响的自动化决策;
——向第三方提供、转移或公开。
附录C
(资料性附录)
合法利益的多因素平衡测试方法及示例
C.1合法利益的识别
利益是相关方对个人信息处理所享有的利害关系或从个人信息处理中获得的收益。合法利益是可以被法律所承认或保护的利益。个人信息处理者所识别的合法利益不宜过于宽泛,如仅仅宽泛地表明为了组织业务的发展、提高服务品质等,宜具体表明如开发某项新的业务,或改进某项现有产品或服务的某项功能。符合本项的合法利益不宜是过于远期的计划或设想,如为了促进组织向大数据平台的业务转型或探索数据商业化利用等。
个人信息处理所追求的合法利益的类型(如经营自由、表达自由、财产权等基本权利与自由,或者经济利益、竞争利益等)、属性(如仅仅是个人信息处理者或第三方的个体利益,还是也服务于更广泛的公众或社会利益)以及合法利益得到法律、文化、社会普遍承认的程度。
个人信息主体的合法利益宜被尽可能全面考虑和宽松解释,尤其不宜理解为仅包含个人信息权和隐私权。例如,个人信息处理者收集和使用个人购物信息所追求的合法利益可能是更好地了解用户偏好和满足用户需求以提高利润,个人信息主体通过该个人信息处理获得的收益可能是降低搜寻成本以提高消费者剩余,但同时也可能面临因歧视性定价或杀熟等策略付出更高价格的风险。当这一风险确实发生,则可能对个人信息主体的合法利益造成不合理的损害。
应具体识别个人信息处理对个人信息主体的合法利益带来的影响,包括正面影响和负面影响。
C.2合法利益的比较
合法利益公平处理(或合理使用)就其本质而言是基于具体场景的多因素利益平衡,即个人信息处理并非基于5.2.1.1-5.2.1.8的合法性基础时,仍然可能存在合法利益公平处理的合法性基础。当决定援引合法利益公平处理作为合法性基础时,宜尽可能全面地考察与个人信息处理有关并影响个人信息主体合法利益的所有因素:
——所涉及的个人信息的类型与特点,如所处理的个人信息是否为私密信息等隐私,或者是敏感个人信息,或者是具有社会属性的姓名、电话号码等,是否曾被公开;
——所涉及的个人信息处理的方式与特点,如个人信息处理是否为长期的、频繁的、涉及大范围个人信息主体的、大量的,或者是临时的、偶然或一次性的、涉及小范围个人信息主体的、少量的;是否会涉及个人信息的公开、提供或转移、跨境转移等;
——个人信息主体在个人信息被收集时的合理预期,如根据个人信息被收集时提供的信息或具体场景,个人信息主体是否可能合理预见到该个人信息处理;
——个人信息处理者和个人信息主体的地位和关系,如个人信息处理者是否为提供公共服务的组织;所涉及的个人信息主体是否为儿童或老年人,或者是否为个人信息处理者的客户、员工或其他相关方。
采取个人信息保护措施可以降低这些损害的规模或其发生概率,个人信息处理者可以通过其采取的个人信息保护措施论证其个人信息处理不会对个人信息主体的合法利益造成不合理的损害。
附录D
(资料性附录)比例性测试及示例
个人信息处理法律合规性评估语境下,至少存在两种比例性测试:
D.1合法性基础指标中的比例性测试
在公共利益处理中,为了实现公共利益所采取的手段(即个人信息处理)对个人信息主体权利的侵害性与所要追求的目的而言,应当是成比例的。这是公法中比例原则的体现,在合法性基础的比例性测试中宜予以考虑。
D.2告知与选择维度中的比例性测试
告知与选择维度的比例性测试则更偏向于在私法领域的成本-收益分析,即所付出的成本就所要实现的收益而言是成比例的。否则,当成本过高而超出收益时,一般没有理由继续进行这种个人信息处理。如果个人信息处理者的个人信息处理产生未能内部化的社会收益,即外部收益,则通常宜考虑如果逐一告知或选择同意的要求对于某些产生外部收益的行为而言负担过重,原本对社会有利可图的信息处理可能受到抑制,例如,较为典型的情形是学术研究。成本-收益比例性的另一种考虑可以是,相比于个人信息处理对个人信息主体带来的影响和效果而言,机械适用逐一告知或选择同意将给个人信息主体带来不成比例的成本。这些比例性测试不可能在所有情形下都实现严格的量化,这种要求本身就会带来不成比例的成本。
但在比例性测试中可以特别考虑以下因素:所涉及的个人信息主体的数量、个人信息的年代,可能表明更高的搜寻成本。所采取的保护措施,如个人信息保护影响评估、数据最小化技术、收集和存储期限最小化等,可以有效降低个人信息处理对个人信息主体带来的影响和效果,从而补偿不提供同步告知导致的风险。
附录E
(资料性附录)风险评估方法及示例
E.1风险管理维度的风险评估
适当的信息安全保护水平,应考虑现有技术、实施的成本,个人信息处理的性质、范围、环境和目的,以及对个人权利和自由的风险的变动的可能性与严重性,例如未经授权的或不合法的处理,以及意外丢失、毁损或破坏。
E.2事件告知维度的风险评估
事件告知维度中的风险评估,即个人信息安全事件或其他个人信息处理违规给个人信息主体带来的后果评估,目的是为了确定是否需要向个人信息主体进行事件告知,以及指导个人信息处理者和/或个人信息处理受托人采取适当的补救措施。
风险评估通常可以采用定性和定量的测度,或者两者的结合。但鉴于事件告知维度的风险评估所受到的时间和成本约束,除非个人信息处理者和/或个人信息处理受托人在事前建立的风险评估的模型或方法采用的是定量测度,例如,在组织的信息安全事件报告和处置管理制度、运维管理制度、应急预案等制度文件中,或者在组织的信息安全风险准则或信息安全风险评估过程成文信息(见GB/T22080—2016,6.12;或者ISO/IEC27701,5.4.1.2的改进)中,否则个人信息安全事件或其他个人信息处理违规的风险评估不必采用严格的定量测度。
个人信息安全事件或其他个人信息处理违规的风险评估模型或方法,可以参考GB/T31722—2015、ISO/IEC27005—2008附录E.2。考虑到信息安全风险评估的关注点在于信息安全事件给组织或其资产带来的风险,在评估个人信息安全事件或其他个人信息处理违规给个人信息主体的合法权益带来的后果大小和可能性时,宜特别考虑以下因素。
E.2.1后果的类型
个人信息安全事件或其他个人信息处理违规的后果包括直接后果和间接后果。直接后果是泄露、篡改、毁损、丢失导致的个人信息本身的保密性、完整性和可用性受损的结果;间接后果是个人信息安全事件所伴生的,如因身份盗用、窃取、诈骗、敲诈勒索、歧视性待遇等导致的财产损失,个人信息保密性、完整性受损带来的名誉损失、精神损害、歧视性待遇等,或者个人健康生理信息、财产信息等的可用性受损导致的生命、健康损害或机会损失等。对于间接损失,从责任追究的目的而言,个人信息安全事件或其他个人信息处理违规与间接后果之间的因果关系是必须得到证明的,但就进行风险评估以确定是否有必要向个人信息主体进行事件告知(尤其是事件告知的主要目的是警示和降低后果)而言,则宜尽可能宽松地考虑因果关系,以对可能的后果进行更全面的考虑。
E.2.2影响后果大小和可能性的因素
个人信息安全事件或其他个人信息处理违规为个人信息主体的合法权益带来的风险程度取决于两个变量,即后果及其可能性。以下因素可能影响个人信息安全事件或其他个人信息处理违规为个人信息主体的合法权益带来的后果大小和可能性。
a)个人信息安全事件或其他个人信息处理违规的类型
通常情况下,保密性受损的泄露可能比完整性或可用性受损的篡改、毁损、丢失带来更严重的后果。但即使是同样的个人信息泄露,当未经授权的接收者或访问者是特定的人或组织时,通常更容易采取返还、销毁等补救措施,从而有效降低个人信息安全事件或其他个人信息处理违规给个人信息主体带来后果的可能性。
b)所涉及的个人信息的类型、敏感性和规模
通常个人信息的类型越是具有敏感性,可能导致的后果越严重。如敏感个人信息的定义本身是根据一旦泄露、非法提供或滥用可能造成的危害后果界定的。即使是一般的个人信息,当个人信息安全事件或个人信息处理违规涉及的是多种类型或巨大规模的个人信息时,也可能带来比单一类型或少量个人信息带来更严重的后果。在个人信息泄露的情形下,经加密、假名化等去标识化的个人信息,通常可以降低个人信息安全事件或其他个人信息处理违规给个人信息主体带来后果的可能性。
c)所涉及的个人信息主体的类型和规模
个人信息安全事件或其他个人信息处理违规所涉及的个人信息主体人数众多时,通常可能带来更严重的后果,但少数个人信息主体的高度敏感的个人信息类型可能对受影响的个人信息主体带来严重后果。当个人信息主体是儿童或其他弱势人群,如容易受到电信诈骗影响的群体,通常可能具有更高的可能性。
d)个人信息处理者和/或个人信息处理受托人的类型和已采取的措施
通常个人信息处理者和/或个人信息处理受托人的身份类型将体现个人信息安全事件或其他个人信息处理违规所涉及的个人信息类型、敏感性、规模、个人信息主体的类型和规模,例如,医疗机构、金融机构、电信运营商等。个人信息处理设施或信息系统本身是否为关键信息基础设施或其信息系统的等级评定结果可能提供了有关信息,但宜考虑上述评定并非完全聚焦于对个人信息主体的后果,而主要考虑社会性的影响。个人信息处理设施或信息系统本身的等级评定也可能提供了有关个人信息处理者和/或个人信息处理受托人在个人信息安全事件发生前已经采取的信息安全保护措施,如加密、备份等,这些信息安全保护措施的存在可以较为有效地降低后果的可能性。
e)已采取的补救措施
个人信息安全事件或其他个人信息处理违规发生后,个人信息处理者和/或个人信息处理受托人采取的补救措施可能已经有效降低对个人信息主体带来的后果大小或可能性。例如,已经从备份中恢复毁损或丢失的个人信息,已经联系未经授权的接收者采取适当的返还或销毁措施等。个人信息安全事件或其他个人信息处理违规的风险评估应考虑采取补救措施后的剩余风险。
f)已被报告的案例
个人信息安全事件或其他个人信息处理违规发生后,如果个人信息处理者和/个人信息处理受托人通过个人信息主体的询问、投诉或其他渠道获悉,已经出现多起因个人信息安全事件导致的身份冒用、诈骗、敲诈勒索、经济损失等案例,结合本次个人信息安全事件或其他个人信息处理违规所涉及的个人信息主体规模,可以较为简易地测算后果的可能性,但应考虑被报告的案例很可能明显低于实际发生的案例。尤其是,当已经有上述迹象表明后果的可能性较高,且所涉及的个人信息主体规模较大,不管已被报告的案例是否造成的实际损失或其大小,个人信息处理者和/或个人信息处理受托人宜尽快发出事件告知,以警示个人信息主体避免进一步的损失。
E.2.3后果评价
个人信息处理者和/或个人信息处理受托人应在其信息安全风险准则、信息安全事件报告和处置管理制度、运维管理制度、应急预案等制度文件中补充,或者单独制定个人信息安全事件或其他个人信息处理违规对个人信息主体带来后果的分级,以确定严重等级。严重等级宜参照信息安全事件给组织带来的风险分级,如组织的重要数据或客户数据测度。可适用的法或监管部门对个人信息安全事件或其他个人信息处理违规规定了分级要求的,个人信息处理者和/或个人信息处理受托人确定的分级应符合可适用的法或监管部门的要求。
如果个人信息处理者和/或个人信息处理受托人没有可供参照的信息安全事件给组织带来的风险分级,如其信息安全事件报告和处理管理制度、运维管理制度、应急预案等制度文件仅参照信息安全事件的社会影响分级,宜参照确定是否已构成等级为较大或较严重(含)以上。所涉及的个人信息类型为敏感个人信息时,除非有F.2.2所述的其他因素明显降低后果的大小或可能性,否则宜推定较大或较严重的信息安全事件很可能给个人信息主体的合法权益带来严重后果并应进行事件告知。