6.业务流程
6.1 收集
个人信息的收集行为应满足以下要求:
a)个人信息收集前,应当遵循合法、正当、必要的原则向被收集的个人信息主体公开收集、使用规则,明示收集、使用信息的目的、方式和范围等信息;
b)个人信息收集应获得个人信息主体的同意和授权,不应收集与其提供的服务无关的个人信息,不应通过捆绑产品或服务各项业务功能等方式强迫收集个人信息;
c)个人信息收集应执行收集前签署的约定和协议,不应超范围收集;
d)不应大规模收集或处理我国公民的种族、民族、政治观点、宗教信仰等敏感数据;
e)个人生物识别信息应仅收集和使用摘要信息,避免收集其原始信息;
f)应确保收集个人信息过程的安全性:
1)收集个人信息之前,应有对被收集人进行身份认证的机制,该身份认证机制应具有相应安全性;
2)收集个人信息时,信息在传输过程中应进行加密等保护处理;
3)收集个人信息的系统应落实网络安全等级保护要求;
4)收集个人信息时应有对收集内容进行安全检测和过滤的机制,防止非法内容提交。
6.2 保存
个人信息的保存行为应满足以下要求:
a)在境内运营中收集和产生的个人信息应在境内存储,如需出境应遵循国家相关规定;
b)收集到的个人信息应采取相应的安全加密存储等安全措施进行处理;
c)应对保存的个人信息根据收集、使用目的、被收集人授权设置相应的保存时限;
d)应对保存的个人信息在超出设置的时限后予以删除;
e)保存信息的主要设备,应对个人信息数据提供备份和恢复功能,确保数据备份的频率和时间间隔,并使用不少于以下一种备份手段:
1)具有本地数据备份功能;
2)将备份介质进行场外存放;
3)具有异地数据备份功能。
6.3 应用
个人信息的应用应满足以下要求:
a)对个人信息的应用,应符合与个人信息主体签署的相关协议和规定,不应超范围应用个人信息;
注:经过处理无法识别特定个人且不能复原的个人信息数据,可以超出与信息主体签署的相关使用协议和约定,但应提供适当的保护措施进行保护。
b)个人信息主体应拥有控制本人信息的权限,包括:
1)允许对本人信息的访问;
2)允许通过适当方法对本人信息的修改或删除,包括纠正不准确和不完整的数据,并保证修改后的本人信息具备真实性和有效性;
c)完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利;如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用,应经用户明确授权方可使用其数据;
d)应对个人信息的接触者设置相应的访问控制措施,包括:
1)对被授权访问个人信息数据的工作人员按照最小授权的原则,只能访问最少够用的信息,只具有完成职责所需的最少的数据操作权限;
2)对个人信息的重要操作设置内部审批流程,如批量修改、拷贝、下载等;
3)对特定人员超限制处理个人信息时配置相应的责任人或负责机构进行审批,并对这种行为进行记录。
e)应对必须要通过界面(如显示屏幕、纸面)展示的个人信息进行去标识化的处理。
6.4 删除
a)个人信息在超过保存时限之后应进行删除,经过处理无法识别特定个人且不能复原的除外;
b)个人信息持有者如有违反法律、行政法规的规定或者双方的约定收集、使用其个人信息时,个人信息主体要求删除其个人信息的,应采取措施予以删除;
c)个人信息相关存储设备,将存储的个人信息数据进行删除之后应采取措施防止通过技术手段恢复;
d)对存储过个人信息的设备在进行新信息的存储时,应将之前的内容全部进行删除;
e)废弃存储设备,应在进行删除后再进行处理。
6.5 第三方委托处理
a)在对个人信息委托处理时,不应超出该信息主体授权同意的范围;
b)在对个人信息的相关处理进行委托时,应对委托行为进行个人信息安全影响评估;
c)对个人信息进行委托处理时,应签订相关协议要求受托方符合本文件;
d)应向受托方进行对个人信息数据的使用和访问的授权;
e)受托方对个人信息的相关数据进行处理完成之后,应对存储的个人信息数据的内容进行删除。
6.6 共享和转让
个人信息原则上不得共享、转让。如存在个人信息共享和转让行为时,应满足以下要求:
a)共享和转让行为应经过合法性、必要性评估;
b)在对个人信息进行共享和转让时应进行个人信息安全影响评估,应对受让方的数据安全能力进行评估确保受让方具备足够的数据安全能力,并按照评估结果采取有效的保护个人信息主体的措施;
c)在共享、转让前应向个人信息主体告知转让该信息的目的、规模、公开范围数据接收方的类型等信息;
d)在共享、转让前应得到个人信息主体的授权同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外;
e)应记录共享、转让信息内容,将共享、转让情况中包括共享、转让的日期、数据量、目的和数据接收方的基本情况在内的信息进行登记;
f)在共享、转让后应了解接收方对个人信息的保存、使用情况和个人信息主体的权利,例如访问、更正、删除、注销等;
g)当个人信息持有者发生收购、兼并、重组、破产等变更时,个人信息持有者应向个人信息主体告知有关情况,并继续履行原个人信息持有者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。
6.7 公开披露
个人信息原则上不得公开披露。如经法律授权或具备合理事由确需公开披露时,应充分重视风险,遵守以下要求:
a)事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b)向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意,与国家安全、国防安全、公共安全、公共卫生、重大公共利益或与犯罪侦查、起诉、审判和判决执行等直接相关的情形除外;
c)公开披露个人敏感信息前,除6.7b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;
d)准确记录和保存个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;
e)承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;
f)不得公开披露个人生物识别信息和基因、疾病等个人生理信息;
g)不得公开披露我国公民的种族、民族、政治观点、宗教信仰等敏感数据分析结果。
7.应急处置
7.1 应急机制和预案
a)应建立健全网络安全风险评估和应急工作机制,在个人信息处理过程中发生应急事件时具有上报有关主管部门的机制;
b)应制定个人信息安全事件应急预案,包括应急处理流程、事件上报流程等内容;
c)应定期(至少每半年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程,留存应急培训和应急演练记录;
d)应定期对原有的应急预案重新评估,修订完善。
7.2 处置和响应
a)发现网络存在较大安全风险,应采取措施,进行整改,消除隐患;发生安全事件时,应及时向公安机关报告,协助开展调查和取证工作,尽快消除隐患;
b)发生个人信息安全事件后,应记录事件内容,包括但不限于:发现事件的人员、时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其他互联系统的影响,是否已联系执法机关或有关部门;
c)应对安全事件造成的影响进行调查和评估,采取技术措施和其他必要措施,消除安全隐患,防止危害扩大;
d)应按《国家网络安全事件应急预案》等相关规定及时上报安全事件,报告内容包括但不限于:涉及个人信息主体的类型、数量、内容、性质等总体情况,事件可能造成的影响,已采取或将要采取的处置措施,事件处置相关人员的联系方式;
e)应将事件的情况告知受影响的个人信息主体,并及时向社会发布与公众有关的警示信息。