| | |
| | 识别企业数据来源渠道,判断是否涉及主动收集或者用户主动提供、第三方采购、或者通过数据爬取等方式从公开渠道获取等数据来源渠道。 |
| 识别数据类型,判断是否包括个人信息、重要数据及其他受监管的特定行业数据。 |
|
| 根据不同数据源渠道与数据类型识别合规风险,调整相应业务模式及授权条款,以保障数据源合法性、降低合规风险。 |
|
| 直接收集个人信息的,应当在收集前明示个人信息收集使用的具体规则、获取个人信息主体的授权同意、按照法律法规及与用户之间的约定收集、存储个人信息,涉及个人信息出境的,应当落实安全评估及申报工作等[1]。 |
|
| 从第三方采购数据的,应审核引入相应数据类型及数据量的必要性,在数据采购协议中要求数据供应商作出数据来源合法合规的承诺与保证,同时在企业内部落实《供应商数据保护合规管理制度》。坚守不得非法获取公民个人信息的刑事责任红线[2]。 |
|
| 通过爬虫技术收集数据的,应遵守网站的Robots协议及适用的技术协议,遵守“用户授权平台+平台授权采集方+用户授权采集方”的“三重授权原则”。同时建议明确爬取前的内部审核机制及爬取后数据处理机制,避免触发侵犯公民个人信息罪、非法获取计算机信息系统数据罪等刑事责任,或侵犯第三方权益或构成不正当竞争的民事风险。 |
|
| | 应当对数据采取合理的分类分级管理,并匹配相应管理制度留存数据处理记录。 |
| 遵循合法、正当、必要的原则,使用个人信息的目的、方式和范围不得超出个人信息主体授权同意的范围[3]。 |
|
| 存在数据融合的,融合后的使用目的不应超出原有授权范围,否则应重新获得用户或数据上游合作企业的授权同意,以避免被认定为超授权范围违法使用个人信息或引发潜在违约责任。 |
|
| 使用个人信息用于个性推送或精准营销的,应获得接收方的明示同意,避免采取 “一揽子授权”的概括授权获取方式。同时提供退订渠道。 |
|
| 对照《个人信息安全规范》等行业良好实践完善各产品线的个人信息使用规则,涉及使用、处理儿童个人信息的,还应当遵循《儿童个人信息网络保护规定》、《关于引导规范教育移动互联网应用有序健康发展的意见》等专门立法对应落实特定类别的数据合规策略。 |
|
| 企业内部应针对员工访问设置分级授权规则,同时应当匹配相应员工奖惩制度。 |
|
| | 对于共享个人信息的业务而言,未经个人信息主体同意,原则上不得向他人提供用户个人信息,经处理无法识别特定个人且不能复原的除外[4]。 |
| 对照《个人信息安全规范》等行业良好实践,在共享个人信息前事先开展个人信息安全影响评估;向个人信息主体告知共享个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意;准确记录和保存个人信息的共享的情况;帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利[5]。 |
|
| 共享除个人信息外的其他类型数据时,应当相应识别该等共享行为所产生的风险,同时对于数据下游合作企业的数据安全能力采取一定的审核和管控措施。 |
|
| 对于数据融合的场景,应审核拟融合数据源的合法合规性,明确授权使用的范围,并评估融合的必要性及关联性。同时应当明确企业在数据融合过程中的控制者或处理者角色,通过明确具体合同条款、安全风险评估及定期审计等方式降低相应合规风险。 |
|
| | 委托第三方进行个人信息处理的,应遵守《网络安全法》第四十一条规定的基本原则,确保该等第三方委托处理行为未超过个人信息主体授权同意的范围。 |
| 对照《个人信息安全规范》[6]开展个人信息安全影响评估,确保处理者具备足够的数据安全能力。 |
|
| 与处理者订立数据处理协议,以厘清双方在数据保护及合规处理方面的责任义务。 |
|
| 针对企业重点业务,应当对第三方采取一定的管控措施,落实合作前数据安全能力调研、安全风险评估,合作中定期核查,合作终妥善处理数据删除或匿名化等后续工作。 |
|
| | 按照《网络安全法》[7]与“等保2.0”国家标准[8]的规定开展等级保护测评工作。 |
| 采取技术措施和其它必要措施保护个人信息的安全,防止信息泄露、损毁或丢失。[9] |
|
| 具备必要的组织机构,设立个人信息保护负责人和个人信息保护工作机构。 |
|
| 建立个人信息收集、使用、存储、共享等全流程、全生命周期的制度,并通过培训、演练等手段予以落实。 |
|
| 制定网络安全应急预案[10]以及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等危害网络及数据安全的风险。 |
|
| | 采取防止外部黑客攻击的技术措施,保障企业系统安全、稳定、可靠。 |
| 采取必要的数据加密、数据备份、数据脱敏等技术措施防止个人信息泄露与损毁。 |
|
| 可通过获得ISO 27001认证、ISO 27008认证的方式证明信息系统的安全性。 |
|
| | 持续关注我国数据安全保护领域的立法动向和标准制定情况,值得关注的包括《个人信息保护法》、《数据安全法》等法律法规的制定,以及《个人信息告知同意指南》等国家标准的制定。 |
| 业务涉及数据跨境传输或跨境处理的,还应关注适用境外法律的合规情形,如欧盟《一般数据保护条例》(“GDPR”)、英国《数据保护法案》、美国《在线儿童隐私保护法》(“COPPA”)、加州消费者隐私法案(”CCPA”)的合规要求。 |
|
| 持续关注国内外立法与执法动向,并合理评估及管理日益加强的数据合规监管对业务的影响。 |
|
| | 按照《民法总则》及《民法典人格权编(草案)》对虚拟性财产权益及个人信息的人格权相关权益提出的立法原则,通过业务协议或用户协议与商业伙伴或数据主体对数据的财产性权益进行划分。 |
| 发现第三方不正当使用企业数据或存在其他不正当竞争行为时,依照上述协议寻求司法救济。 |
|
| | 从第三方采购数据时,避免对数据供应商存在重大依赖。 |
| 在与业务伙伴的商业协议中加入对于潜在安全泄露的责任约定与免责条款。 |
|
| |
|
| 根据不同业务场景和数据类型设计相适配的数据保护条款或协议,以代替传统的保密条款或保密协议。 |
|