文章目录
一、委托处理
个人信息控制者委托第三方处理个人信息时,应符合以下要求:
1、个人信息控制者作出委托行为,不应超出已征得个人信息主体授权同意的范围或应遵守个人信息的收集、存储、使用一文中(一、6)所列情形;
2、个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者达到11.5的数据安全能力要求;
3、受委托者应:
①严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按照个人信息控制者的要求处理个人信息的,应及时向个人信息控制者反馈;
②受委托者确需再次委托时,应事先征得个人信息控制者的授权;
③协助个人信息控制者响应个人信息主体基于8.1~8.6提出的请求;
④受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件的,应及时向个人信息控制者反馈;
⑤在委托关系解除时不再存储相关个人信息。
4、个人信息控制者应对受委托者进行监督,方式包括但不限于:
①通过合同等方式规定受委托者的责任和义务;
②对受委托者进行审计。
5、个人信息控制者应准确记录和存储委托处理个人信息的情况;
6、个人信息控制者得知或者发现受委托者未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的,应立即要求受托者停止相关行为,且采取或要求受委托者采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险。必要时个人信息控制者应终止与受委托者的业务关系,并要求受委托者及时删除从个人信息控制者获得的个人信息。
二、个人信息共享、转让
个人信息控制者共享、转让个人信息时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组、破产原因的,应符合以下要求:
1、事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
2、向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;
3、共享、转让个人敏感信息前,除上一条(二、2)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
4、通过合同等方式规定数据接收方的责任和义务;
5、准确记录和存储个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;
6、个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的,应立即要求数据接收方停止相关行为,且采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险;必要时个人信息控制者应解除与数据接收方的业务关系,并要求数据接收方及时删除从个人信息控制者获得的个人信息;
7、因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的,个人信息控制者应承担相应的责任;
8、帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等;
9、个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的, 应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
三、收购、兼并、重组、破产时的个人信息转让
当个人信息控制者发生收购、兼并、重组、破产等变更时,对个人信息控制者的要求包括:
1、向个人信息主体告知有关情况;
2、变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意;
3、如破产且无承接方的,对数据做删除处理。
四、个人信息公开披露
个人信息原则上不应公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时,应符合以下要求:
1、事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体
的措施;
2、向个人信息主体告知公开披露个人信息的目的、类型,并事先征得个人信息主体明示同意;
3、公开披露个人敏感信息前,除上一条(四、2)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的内容;
4、准确记录和存储个人信息的公开披露的情况,包括公开披露的日期、规模、目的、公开范围等;
5、承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任;
6、不应公开披露个人生物识别信息;
7、不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。
五、共享、转让、公开披露个人信息时事先征得授权同意的例外
以下情形中,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意:
1、与个人信息控制者履行法律法规规定的义务相关的;
2、与国家安全、国防安全直接相关的;
3、与公共安全、公共卫生、重大公共利益直接相关的;
4、与刑事侦查、起诉、审判和判决执行等直接相关的;
5、出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
6、个人信息主体自行向社会公众公开的个人信息;
7、从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
六、共同个人信息控制者
对个人信息控制者的要求包括:
1、当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知;
2、如未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。
注:如个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如,网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包 SDK、调用地图 API 接口),且该第三方并未单独向个人信息主体征得收集个人信息的授权同意,则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。
七、第三方接入管理
当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不适用(目录一、六)时,对个人信息控制者的要求包括:
1、建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;
2、应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
3、应向个人信息主体明确标识产品或服务由第三方提供;
4、应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
5、应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;
6、应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;
7、应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
8、产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:
①开展技术检测确保其个人信息收集、使用行为符合约定要求;
②对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。
八、个人信息跨境传输
在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应遵循国家相关规定和相关标准的要求。
信息来源:GB/T 35273-2020