网络安全标准实践指南

时间:2022-12-26 10:01:56

处理行为要求

一. 收集

(一) 收集的合法基础

1.告知、同意

企业应当向用户告知收集、使用的目的、方式和范围等规则,同时征得明
示同意(征得同意前不得收集个人信息
或通过 Cookies 等同类技术或通过调用权限、接口等方式收集个人信息),
15并告知不同意的后果;同时应将
用户主动点击、勾选、填写等作为功能开启的条件,确保功能开启后才可
收集用户个人信息16。
告知的内容:应真实、准确、完整。例如,逐一列明功能、所收集的个人
信息、权限等;当在强关联的场景下,则说明个人信息收集的目的、方式、
范围、提供个人信息可能导致的风险、不提供的后果、处理行为与处理规
则、保护措施、用户权利、投诉、申诉、举报的方式,采取要求用户明示
同意,并给予用户撤回同意的渠道的方法。
明示同意:在首次运行、用户注册时,通过弹窗、突出链接方式提醒用户
阅读隐私政策;如果通过设置“下一步”“注册”“登录代表同意”等方式,应说
明点击或执行前述动作与同意隐私政策之间的关系。如点击即代表同意本
隐私政策等17。设置预选框的,由用户自主打勾,而非提前默认已勾选。(此
点仍需紧密关注最新监管执法要求)
将用户的主动填写、点击、勾选等主动行为作为收集个人信息的前提。
15 网络安全标准实践指南
—移动互联网应用程序(App)违法违规收集使用个人信息自评估指南 https://www.tc260
.org.cn/upload/2020-07-22/1595396892533085831.pdf,访问日期 2020 年 7 月 28 日。
16 2020 年版《信息安全技术 个人信息安全规范》。
17 《网络安全标准实践指南—移动互联网应用程序(App)违法违规收集使
用个人信息自评估指南》3.5 b)https://www.tc260.org.cn/upload/2020-07-
22/1595396892533085831.pdf 访问日期 2020 年 7 月 28 日。

2.告知、同意方案

多层次告知,即采用一般告知、增强告知、以及即时提示三个层次来告知
用户。弱化隐私政策的授权同意机制,在产品过程中体现交互性告知,如
通过弹窗、用户提交、用户主动点击等方式;除一般告知外,个人信息处
理关键规则应进行增强告知,比如将字体进行加粗、斜体化处理等;收集
敏感个人信息时,需要做到即时提示,以明确告知收集的类型、目的、方
式、范围,确保用户完全知情,且自主、具体、明确的同意。(收集敏感个
人信息时,通过显著方式告知目的,且目的明确、易懂;18)
收集个人生物识别信息,收集前单独告知目的、方式、范围、存储时间等
专门规则,并征得明示同意。
收集满 14 周岁未成年人的个人信息前,征得未成年或监护人同意;未成年
人不满 14 周岁的周岁的,只能监护人同意,且对监护人有适当的核验。
【一般规则】:
• 合规最低要求为对收集的个人信息至少在隐私政策中说明。
• 收集面部识别、生理健康、银行金融、行踪轨迹信息等敏感信息,
最好有单独弹窗提示并让用户点击同意;如果无法由用户单独点击
同意,至少有浮窗或者备注进行说明。
18 同上。
场景示例 – 一款行车记录仪如果需要后台持续获取地理信息(例如
GPS),该信息为行踪轨迹信息,属于个人敏感信息。应当在需要触发
该权限时,通过弹窗单独申请地理位置权限。如弹窗提示内容为“为了
提供照片/视频分享路况和事故等,需要您的地理位置权限,您可以在
设备中随时关闭改功能。”同时提供“始终允许”、“使用 App 时允许”、
“仅限本次”三个选项。
企业个人信息保护合规思路与实践报告
19 / 181
• 所有行车记录仪、扫地机、儿童手表、路由器等物联网产品、固件,
均需要在说明书中说明收集个人信息情况,同时采取如添加隐私政
策二维码等方式告知用户关于个人信息处理活动等方面的内容。
• 所有行车记录仪、扫地机、儿童手表、路由器等物联网产品、固件,
如果连接家庭类 App,需在该等家庭类 App 个人信息保护政策中说
明;如果没有此类 App,则需在公司网站主页个人信息保护政策中说
明。
场景示例 1 – 一款智能家居产品(例如扫地机)可以通过手机 App
进行操作和功能控制,在用户下载 App 后、注册成为用户前,应当
通过个人信息保护政策告知智能家居产品收集处理个人信息的目
的、方式、种类等。通过专门针对智能家居产品的个人信息保护政策
或者链接到公司网站的一般个人信息保护政策,均为一般告知。在智
能家居产品的说明书中还可以附上个人信息保护政策全文或者摘
要,以便说明。
场景示例 2 -一款智能家居产品(例如智能门锁)可以通过手机 App
进行操作和功能控制,在用户下载 App 后、注册成为用户后,如果
需要启动指纹或者人脸识别开锁功能,应当单独弹窗提示用户是否
授权、告知具体的目的,以满足法律要求敏感信息单独告知并获得用
户同意的要求。
场景示例 3– 如一款购物 App 在用户订单界面备注显示“我们仅提供
流水订单号、商品名称和交易金额给第三方支付机构以完成支付,我
们不会从第三方支付机构获取您的银行卡号和密码等信息。”同时,
在个人信息保护政策中申明“为了满足反洗钱要求,我们可能会在满
足法律规定的条件下,分享您的账户信息、联系方式、地址、所购买
的商品名称信息。”
企业个人信息保护合规思路与实践报告
20 / 181

3.再次告知、征得同意

当收集的目的、方式、范围等重要因素发生变化的,应当再次告知,。可采
取等收集使用规则,并征得用户同意。可采取更新隐私政策等收集使用规
则的方式,并通过推送消息、邮件、弹窗、着重提示等方式提醒用户阅读
发生变化的条款。

4. 其他合法基础

在以下情形下,不需要征得用户同意20:
• 为订立或者履行个人作为一方当事人的合同所必需;
• 为履行法定职责或者法定义务所必需;
• 为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健
康和财产安全所必需;
• 依照本法规定在合理的范围内处理已公开的个人信息;
• 为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理
个人信息;
19 同上。
20 《个人信息保护法(草案)》(二次审议稿)。
场景示例 – 一款社交 App 更新了隐私政策中的收集使用规则,在用
户打开 App 时,跳出弹窗提示用户阅读更新后的隐私政策。在弹窗中
可采用如下话术:“《隐私政策》更新提示:我们更新了《隐私政策》,
并将严格按照《隐私政策》保护您的个人信息。本次更新调整了我们
产品与/或服务收集、使用及共享个人信息的类型方式和用途;增加了
用户账户的注销功能;…… 若您不同意《隐私政策》,将影响您使用本
产品与/或服务。”(请结合最新隐私政策相关标准)
企业个人信息保护合规思路与实践报告
21 / 181
• 法律、行政法规规定的其他情形。

参考资料

企业个人信息保护合规思路与实践报告

友情链接

湖北省政务数据资源应用与管理办法