信息系统自动决策机制的使用_隐私政策中约束信息系统自动决策的方法-CSDN博客

本文链接：https://blog.csdn.net/m0_74079109/article/details/128634198

声明

本文是学习360 企业个人信息合规思路与实践报告 2021. 下载地址 http://github5.com/view/1273而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

第二章处理的原则要求

一. 合法、正当、必要

合法基础 11 同意12

更多合法基础，如履行合同所必须等参考最新个人信息保护法。

二. 原则拆解

《信息安全技术个人信息安全规范》（GB/T 35273-2020）对合法、正当、必要原则的拆解如下：

(一 ) 权责一致

采取技术和其他必要的措施确保个人信息安全，就其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。

组织、制度、技术措施必须有，且有书面或其他形式的留存。

(二 ) 目的明确

具有明确、清晰、具体的个人信息处理目的。必须属实且尽可能穷尽，避免功能调试超出原始目的，造成需要二次同意的局面，甚至被评定为未经用户同意收集个人信息的后果。

(三) 公开透明

以明确、易懂、合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督。必须有完备的隐私政策，告知清楚、全面，且不能用“等”、“例如”字样。

(四) 选择同意

应向用户明示处理个人信息的目的、规则、范围等征得用户授权同意。一般所有用户个人信息的处理行为都必须要明示、且经用户明确同意。如业务认为有可不经同意的情形，必须经过公司合规评估部门的谨慎评估，必要情况需进一步咨询监管部门。

(五) 最小必要

只处理满足用户授权同意的目的所需要的最少个人信息类型和数量，目的达到后应及时删除。

(六) 确保安全

具备与风险匹配的安全能力，采取足够的组织、制度、技术、管理等措施，保护个人信息的保密性、完整性、可用性。

(七)主体参与

向用户提供显著的、易于操作的，访问（查询）、删除、更正、撤回授权同意、注销账户及投诉等方法途径。一般能够在产品界面完成的尽量做在产品界面，如产品界面难以实现的，提供有效的联系沟通方式。

第三章处理行为要求

一 . 收集

(一 ) 收集的合法基础

告知、同意

企业应当向用户告知收集、使用的目的、方式和范围等规则，同时征得明示同意 （征得同意前不得收集个人信息或通过 Cookies 等同类技术或通过调用权限、接口等方式收集个人信息），15并告知不同意的后果；同时应将用户主动点击、勾选、填写等作为功能开启的条件，确保功能开启后才可收集用户个人信息16。

告知的内容： 应真实、准确、完整。例如，逐一列明功能、所收集的个人信息、权限等；当在强关联的场景下，则说明个人信息收集的目的、方式、范围、提供个人信息可能导致的风险、不提供的后果、处理行为与处理规则、保护措施、用户权利、投诉、申诉、举报的方式，采取要求用户明示同意，并给予用户撤回同意的渠道的方法。

明示同意： 在首次运行、用户注册时，通过弹窗、突出链接方式提醒用户阅读隐私政策；如果通过设置“下一步”“注册”“登录代表同意”等方式，应说明点击或执行前述动作与同意隐私政策之间的关系。如点击即代表同意本隐私政策等17。设置预选框的，由用户自主打勾，而非提前默认已勾选。（此点仍需紧密关注最新监管执法要求）

将用户的主动填写、点击、勾选等主动行为作为收集个人信息的前提。

告知、同意方案

多层次告知， 即采用一般告知、增强告知、以及即时提示三个层次来告知用户。弱化隐私政策的授权同意机制，在产品过程中体现交互性告知，如通过弹窗、用户提交、用户主动点击等方式；除一般告知外，个人信息处理关键规则应进行增强告知，比如将字体进行加粗、斜体化处理等；收集敏感个人信息时，需要做到即时提示，以明确告知收集的类型、目的、方式、范围，确保用户完全知情，且自主、具体、明确的同意。（收集敏感个人信息时，通过显著方式告知目的，且目的明确、易懂；18）

收集个人生物识别信息 ，收集前单独告知目的、方式、范围、存储时间等专门规则，并征得明示同意。

收集满 14 周岁未成年人的个人信息前，征得未成年或监护人同意；未成年

人不满 14 周岁的周岁的，只能监护人同意，且对监护人有适当的核验。

【一般规则】：

合规最低要求为对收集的个人信息至少在隐私政策中说明。
收集面部识别、生理健康、银行金融、行踪轨迹信息 等敏感信息，最好有单独弹窗提示并让用户点击同意；如果无法由用户单独点击同意，至少有浮窗或者备注进行说明。
所有行车记录仪、扫地机、儿童手表、路由器 等物联网产品、固件，均需要在说明书中说明收集个人信息情况，同时采取如添加隐私政策二维码等方式告知用户关于个人信息处理活动等方面的内容。
所有行车记录仪、扫地机、儿童手表、路由器等物联网产品、固件，如果连接家庭类 App，需在该等家庭类 App 个人信息保护政策中说明；如果没有此类 App，则需在公司网站主页个人信息保护政策中说明。

场景示例 1 – 一款智能家居产品（例如扫地机）可以通过手机 App 进行操作和功能控制，在用户下载 App 后、注册成为用户前，应当通过个人信息保护政策告知智能家居产品收集处理个人信息的目的、方式、种类等。通过专门针对智能家居产品的个人信息保护政策或者链接到公司网站的一般个人信息保护政策，均为一般告知。在智能家居产品的说明书中还可以附上个人信息保护政策全文或者摘要，以便说明。
场景示例 2 -一款智能家居产品（例如智能门锁）可以通过手机 App 进行操作和功能控制，在用户下载 App 后、注册成为用户后，如果需要启动指纹或者人脸识别开锁功能，应当单独弹窗提示用户是否授权、告知具体的目的，以满足法律要求敏感信息单独告知并获得用户同意的要求。
场景示例 3 – 如一款购物App 在用户订单界面备注显示“我们仅提供流水订单号、商品名称和交易金额给第三方支付机构以完成支付，我们不会从第三方支付机构获取您的银行卡号和密码等信息。”同时，在个人信息保护政策中申明“为了满足反洗钱要求，我们可能会在满足法律规定的条件下，分享您的账户信息、联系方式、地址、所购买的商品名称信息。”

场景示例 1 – 一款智能家居产品（例如扫地机）可以通过手机 App 进行操作和功能控制，在用户下载 App 后、注册成为用户前，应当通过个人信息保护政策告知智能家居产品收集处理个人信息的目的、方式、种类等。通过专门针对智能家居产品的个人信息保护政策或者链接到公司网站的一般个人信息保护政策，均为一般告知。在智能家居产品的说明书中还可以附上个人信息保护政策全文或者摘要，以便说明。

场景示例 2 -一款智能家居产品（例如智能门锁）可以通过手机 App 进行操作和功能控制，在用户下载 App 后、注册成为用户后，如果需要启动指纹或者人脸识别开锁功能，应当单独弹窗提示用户是否授权、告知具体的目的，以满足法律要求敏感信息单独告知并获得用户同意的要求。

场景示例 3 – 如一款购物App 在用户订单界面备注显示“我们仅提供流水订单号、商品名称和交易金额给第三方支付机构以完成支付，我们不会从第三方支付机构获取您的银行卡号和密码等信息。”同时，在个人信息保护政策中申明“为了满足反洗钱要求，我们可能会在满足法律规定的条件下，分享您的账户信息、联系方式、地址、所购买的商品名称信息。”

再次告知、征得同意

当收集的目的、方式、范围 等重要因素发生变化的，应当再次告知，。可采取等收集使用规则，并征得用户同意。可采取更新隐私政策等收集使用规则的方式，并通过推送消息、邮件、弹窗、着重提示等方式提醒用户阅读发生变化的条款。

其他合法基础

在以下情形下，不需要征得用户同意20：

为订立或者履行个人作为一方当事人的合同所必需；
为履行法定职责或者法定义务所必需；
为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；
依照本法规定在合理的范围内处理已公开的个人信息；
为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息
法律、行政法规规定的其他情形。

(二 ) 收集的最小必要原则

收集个人信息的类型、开启的权限应与实现产品或服务的业务功能有直接关联（直接关联是指没有上述个人信息，产品或服务的功能在技术上无法实现）；
自动采集个人信息的频率应是实现产品或服务业务功能所必需的最低频率；
获取个人信息数量应是实现产品或服务的功能所必需的最少数量；
开启的权限数量应是实现产品或服务的业务功能所必需的最少数量。

(三 ) 禁止行为

不能非法收集

不能以欺骗、诱骗、误导的方式收集个人信息；
不能隐瞒收集个人信息的功能；
不能从非法渠道获取个人信息；
不应收集禁止收集的个人信息、不能大规模收集种族、民族、政治观点、宗教信仰等敏感个人信息 ；
个人生物识别信息应单独、显著征求同意；仅收集和存储摘要信息仅收集和存储摘要信息，避免收集原始数据。

我国关于个人信息保护的规定包括强制性法律规定和推荐性标准规定，在收集和处理个人信息时，如果违反法律强制性规定，将直接导致个人信息收集和处理违法。例如，《网络安全法》第四十一条要求运营者公开收集、使用规则，如果在 App 中没有隐私政策，或者隐私政策中没有收集使用个人信息规则，将直接违反法律规定，可能受到的处罚包括主管部门责令改正，警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

不能违反收集的必要原则

不应收集的个人信息类型或打开的可收集个人信息的权限与现有业务功能无关；
不应因用户不同意收集非必要个人信息或打开非必要权限拒绝提供业务功能；
App 新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；
收集个人信息的频度等超出业务功能实际需要；在 App 未打开或处于后台运行状态时，不收集用户个人信息， 除非该业务功能需要后台运行时继续提供服务，如导航功能等；

注：在用户主动关闭 App 后，未经用户同意，没有较强必要性的情况下，不采用自启动、关联启动方式收集 个人信息。

不得以改善使用体验、提升服务质量，新产品研发**、增强安全性** 等为由强迫用户同意个人信息的收集或权限的开启22；（因文件规定不同，导致本条与强制捆绑部分有重合之处）
不得要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用
用户可以拒绝与功能相关但非必要的个人信息收集或权限的打开，如确需要收集，应事先征得用户的自主选择同意；
其他业务功能所需个人信息或权限，不应作为本功能的使用前提条件； 浏览/游客模式 ，不因用户拒绝提供其他个人信息或权限打开，而不能浏览。

用户体验改进计划的修正 —在以“改善服务质量、提升用户体验、定向推送信息、研发新产品”为由收集个人信息时，需要在个人信息保护政策或者弹窗提示中具体描述改善的服务质量类别等，且确实与产品功能有关，不能泛泛地使用上述描述。例如，为了实现通话记录管理、备份恢复、骚扰电话拦截等功能，不能仅说明“我们将为了改善服务质量，申请通话记录权限组中的权限”，而是详细说明“我们将为了测试、提高通话记录管理、备份恢复、骚扰电话拦截功能，申请通话记录权限组中的权限”。应尽可能对应到具体的功能中去，如保障账户或运营安全（并进一步展开描述）26。如为了实现本目的，需要由用户自主选择开启或关闭。
收集IMEI 号、MAC 地址 等只能用于保障网络安全或运营安全以外的目的27保障网络安全或运营安全以外28（紧密关注《个人信息保护法》及时调整），且不能过早**（至少不应在同意隐私政策之前）**申请相应权限或收集相应个人信息29。如连接设备等基本功能在技术上只能依赖这两个信息才能实现，需要进一步描述必要性。

不能强制捆绑

针对安卓端，建议 targetSdkVersion 值设置大于 26、不应小于 23。

企业不应通过声明机制，在安装 App 时要求用户一次性同意打开多个可收

集个人信息的权限。同时，在产品设计和开发时，企业应当注意：

不得以改善用户体验、提升服务质量，新产品研发等为由强迫用户同意个人信息的收集或权限的开启；
不能捆绑强迫用户接受某项或所有业务功能，不能一揽子征集所有授权、权限；
不能因用户不同意某部分个人信息的收集，而拒绝提供所有服务或其他服务功能，或降低其他功能的质量，即使是基本功能所必要的；
关闭或退出业务功能的途径与选择使用的途径方法同样便利，用户关闭或退出功能后应停止收集个人信息。

禁止未公开收集使用规则30

禁止未明示收集使用个人信息的目的、方式和范围31

30《App 违法违规收集使用个人信息行为认定方法》第一条 未公开收集使用规则 ；

禁止未公开收集使用规则：

在 App 中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；
在 App 首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；
隐私政策等收集使用规则难以访问，如进入 App 主界面后，需多于 4 次点击等操作才能访问到；
隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

禁止未明示收集使用的目的、方式和范围：

未逐一列出 App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等；
收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；
在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；
有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

禁止未经用户同意，私自收集使用个人信息32

在用户触达特定功能前，不得申请预先收集个人信息或申请开启相应权限，

32《App 违法违规收集使用个人信息行为认定方法》第三条 未经用户同意收集使用个人信息

禁止未经同意私自收集：

征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；不应在征得用户同意前，利用 Cookie 等同类技术、或私自调用可收集用户个人信息的权限等方式收集个人信息
用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；
1. 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；
以默认选择同意隐私政策等非明示方式征求用户同意；
未经用户同意更改其设置的可收集个人信息权限状态，如 App 更新时自动将用户设置的权限恢复到默认状态；
利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；
以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；
未向用户提供撤回同意收集个人信息的途径、方式；
违反其所声明的收集使用规则，收集使用个人信息。

实际收集的个人信息与隐私政策中声明的应保持一致。

禁止频繁征得同意

不得在用户明确拒绝使用某类服务后，频繁（每 48 小时超过 1 次） 要求用户同意该服务33

在 App 未打开或处于后台运行状态时，不得收集用户个人信息， 除非业务功能需要后台运行时继续提供服务，如在使用导航功能时。注：在用户主动关闭 App 后，未经用户同意不得采用自启动、关联启动方式收集个人信息。

关联启动体现为打开手机安装的某一个 App 软件，其他 App 软件同时被“唤醒”，在用户没有操作的情况下自启动，主要存在于安卓系统，导致耗电量、流量使用增加、占用CPU 和内存资源、暴露于恶意代码环境中等。关联启动主要用于消息推送和进程保活。例如，有的第三方推送 SDK 采用了联合唤醒的机制，只要使用了同一家的 SDK，启动其中一个 App 的时候就会唤醒其它所有集成了该家 SDK 的 App 推送进程，以保证所有 App 消息推送的送达率；用户长久不使用的 App，无法显示服务进程，一旦用户选择不主动打开App，就无法与用户进行任何通信，影响日活率。

目前有的手机硬件厂商提供安卓系统中展示和关闭关联启动的功能。

2017 年，由工信部指导成立的包含了主流手机厂商和用户基数大的 App 开发商组成的“安卓统一推送联盟”，旨在推动各应用运营者能够通过的统一推送服务的完成消息推送，各应用无需自己考虑消息推送的问题，把这

在用户实际使用相应功能前，不得收集相应的个人信息，申请相应的权限。 仅当用户用到功能时方可申请相应权限，弹窗或用户主动填写、用户主动点击选择