《企业个人信息保护合规管理体系指南.docx》由会员分享,可在线阅读,更多相关《企业个人信息保护合规管理体系指南.docx(26页珍藏版)》请在三一办公上搜索。
1、ICS1.团体标准T/ISCXXXXXXXX企业个人信息保护合规管理体系指南GuidelinesforComplianceManagementSystemofPersonalInformationProtectiononEnterprises(征求意见稿)XXXX-XX-XX发布XXXX-XX-XX实施中国互联网协会发布目次前言II引言III1范围12规范性引用文件13术语和定义14原则24.1有效性原则24.2全面性原则24.3独立性原则24.4动态性原则24. 5可查证原则25所处环境34.1 合规管理体系35. 2合规义务识别36. 3合规风险评价36机构职责46.1领导作用和承诺46.
2、 2合规方针47. 3组织机构与职责46.4合规管理沟通与协作67运行机制68. 1过程和程序67.2提出疑虑67.3合规调查77.4奖惩措施78保障机制78.1聘用管理78.2合规培训78.3合规文化78.4合规咨询88.5合规管理信息化建设88.6文件化信息8附录A企业个人信息保护合规义务清单9附录B企业个人信息保护合规义务履行指引13本标准按照GB/TL1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国互联网协会归口。本标准主要起草单位:本标准主要起草人:在大数据、云计算、万物互联的时代,基于数据的应用日益广泛,个人信息
3、保护问题日渐凸显。过度收集、非法买卖个人信息等侵犯个人信息权益的乱象时有发生。为了保护个人信息权益,规范个人信息处理活动,同时促进个人信息合理利用,我国先后颁布了网络安全法民法典数据安全法个人信息保护法等法律法规,逐步构建起个人信息保护的基础制度体系1合规管理是企业积极应对不断变化的内、外部环境,传统与非传统风险的有效途径。有效的企业合规管理体系能够表明企业在经营管理过程中遵守相关法律法规、政府监管要求、行业守则、良好的治理标准、社会一般道德和对期望的承诺。为全面遵守个人信息保护法律和政策要求,提升个人信息保护水平,助力企业高质量全面发展,根据个人信息保护法合规管理体系要求及使用指南及相关法律
4、法规、标准,制定本文件。本文件旨在从企业合规管理的角度细化并落实个人信息保护的义务和要求,助力企业开展个人信息保护合规管理工作。T/ISCXXXXXXXX企业个人信息保护合规管理体系指南1范围本文件规定了企业建立、实施、评估、维护及改进个人信息保护合规管理体系的总体指南。本文件适用于开展个人信息保护合规管理相关工作的企业。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T35770-2022/IS037301:2021合规管理体系要求及使用指南T/ISC0023-2
5、023信息通信及互联网行业企业合规管理体系指南3术语和定义下列术语和定义适用于本文件。3. 1合规compliance履行组织的全部合规义务。来源:GB/T35770-2022/IS037301:2021,3.263.2合规义务complianceobligations组织强制性地必须遵守的要求,以及组织自愿选择遵守的要求。来源:GB/T35770-2022/IS037301:2021,3.253.3合规风险compliancerisk因未遵守组织合规义务而发生不合规的可能性及其后果。来源:GB/T35770-2022/IS037301:2021,3.243.4合规管理compliancema
6、nagement以有效防控合规风险为目的,开展包括体系构建、制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。来源:T/ISC0023-2023,3.33.5个人信息保护影响评估personalinformationprotectionimpactassessment企业采用访谈、检查、测试等评估方法,按照评估必要性分析、评估准备工作、风险源识别、个人权益影响分析、安全风险综合分析、评估报告、风险处置和持续改进等流程,在处理个人信息前,评估其个人信息的处理目的、处理方式等是否合法、正当、必要,对个人权益的影响及安全风险(如是否会危害人身和财产安全、
7、损害个人名誉和身心健康、导致差别性待遇等),所采取的保护措施是否合法、有效并与风险程度相适应等内容。个人信息保护影响评估报告和处理情况记录至少保存三年。3.6个人信息保护法定特别机构specializedstatutoryagenciesforprotectionofpersonalinformation企业处理个人信息在数量、跨境、主体资格等方面符合相关法定情形时,根据法律法规要求建立的相应机构,包括个人信息保护负责人、境内专门机构或者指定代表、由外部成员组成的独立机构等。4原则4.1有效性原则企业个人信息保护合规管理制度宜有效嵌入到经营业务的具体环节当中,与法律风险防范、审计监察、内控及风
8、险管理等工作相统筹、相衔接,并建立全员合规责任制,明确管理人员和各岗位员工的合规责任并督促有效落实,确保合规管理闭环。4. 2全面性原则企业个人信息保护合规管理的范围宜覆盖收集、存储、使用、加工、传输、提供、公开、删除等处理行为;合规工作宜覆盖业务涉及的研发、生产、销售、对外合作、投资推广、招投标及采购等各个环节,贯穿决策、执行、监督全流程,并确保所有与个人信息保护相关的业务、部门和人员均已纳入合规工作体系。4. 3独立性原则企业个人信息保护合规职能部门的运行宜不受任何不当的干扰和压力:合规职能部门应严格依照法律法规及企业相关制度等对企业和员工行为进行客观评价和处理;承担合规管理职责的人员应独
9、立履行职责,不受其他部门和人员的干涉。5. 4动态性原则企业个人信息保护合规工作宜与企业经营范围、组织结构和业务规模相适应,合规工作宜根据企业内外部环境的变化适时进行调整和完善,企业经营管理中存在的合规风险问题,要能够得到及时反馈、纠正和改进。4. 5可查证原则企业个人信息保护合规工作宜有明确的操作文档作为依据,确保企业合规管理有迹可循、有证可查。5所处环境5.1合规管理体系企业个人信息保护合规管理,是企业通过履行个人信息保护合规义务,证明其规范生产经营的一种公司管理能力,是在履行合规义务的框架之下,为实现最佳经营业绩的一种公司治理方式,也是企业实现可持续发展,承担社会责任,开展自我监督的有效
10、方式。企业宜正确认识和理解个人信息保护合规管理体系:a)企业个人信息保护合规管理体系是一个框架,该框架是方针、流程和行为的有机结合;b)企业个人信息保护合规管理体系无法完全避免不合规的发生,但相应的过程能够确保对不合规做出适当的反应和补救;c)企业宜确定个人信息保护合规管理体系的范围,包括地理和/或组织边界。d)企业个人信息保护合规管理体系宜结合企业环境,反映企业的价值观、方针和合规风险。5.2合规义务识别5. 2.1合规义务个人信息保护合规义务是企业建立、开发、实施、评价、维护和改进合规管理体系的基础。通常,个人信息保护合规义务来源于两个方面,必须要遵守的要求和自愿选择遵守的承诺。企业必须要
11、遵守的个人信息保护要求包括:法律法规;一一监管机构发布的命令、条例或者指南;行政决定;一一法院判决;一一条约、公约和协议。企业资源选择遵守的个人信息保护承诺包括一一与社会团体等非政府组织签订的协议;一一与客户和公共权力机构签订的协议;一相关产业的标准;一一企业内部制度、公开承诺等。5. 2.2合规义务分析企业宜系统梳理来源于其活动、产品和服务的个人信息保护合规义务。企业宜识别新增及变更的个人信息保护合规义务,确保持续合规。企业宜评价变更的个人信息保护合规义务对合规管理体系产生的影响,并对个人信息保护合规义务管理实施必要的调整。5.3合规风险评价5. 3.1合规风险企业宜通过将其个人信息保护合规
12、义务与活动、产品、服务以及运行的相关方面关联,来分析个人信息保护合规风险。企业宜对个人信息合规风险进行分级,企业宜评估与个人信息处理外包和第三方相关的合规风险。企业宜定期或在企业环境发生重大变化时进行个人信息保护合规风险评估。5. 3.2合规风险提示企业在评估个人信息保护合规风险内容的基础上,可根据自身经营规模、组织体系、业务内容以及市场环境,分析和评估个人信息保护合规风险的来源、发生的可能性、后果的严重性等,并对个人信息保护合规风险进行分级。个人信息保护合规管理部门宜根据风险评估结果对不同职级、不同工作范围的管理层与员工进行风险提示,降低管理层和员工的违法犯罪风险。5. 3.3安全事件处置当
13、发生个人信息泄露、篡改、丢失等个人信息安全事件时,企业宜按照应急预案及时采取处置措施,防止危害扩大,消除安全隐患,记录事件内容,保留相关证据,并向有关主管部门报告。安全事件对个人、组织造成实质性危害的,宜及时以电话、短信、邮件等方式向所涉主体告知安全事件情况、危害后果、已采取的补救措施等信息。无法逐一告知的,可采取公告方式告知。6机构职责5.1 领导作用和承诺企业管理层的直接领导和积极承诺对顺利开展个人信息保护合规管理至关重要,保隙资源可获取、强调沟通的重要性、支持人员做出贡献。领导作用在个人信息保护合规管理体系的作用体现在以下几个方面:a)管理者以身作则支持合规;b)分配合规职能,提供充分资
14、源;c)支持持续改进。5.2 合规方针企业宜确立个人信息保护合规管理方针,该方针可包括:a)个人信息保护合规宣言;b)个人信息保护总体方针;c)个人信息保护合规责任和资源的分配。5.3 组织机构与职责6. 3.1组织体系企业开展个人信息处理活动宜建立健全个人信息保护合规管理组织机构和常态化沟通协作机制,强化个人信息保护合规意识。企业可以根据业务规模、合规风险等因素组建合规管理队伍,设置由企业的最高管理者、个人信息保护合规管理部门和法定特殊机构组成的个人信息保护合规管理组织体系。6. 3.2第一责任人企业主要负责人是个人信息保护合规的第一责任人,宜承担以下职责:a)分配足够和适当的资源来建立、发
15、展、实施、评估、维护和改进个人信息保护合规管理体系;b)确保建立举报个人信息保护违规的有效机制;c)确保战略和运营目标与履行个人信息保护合规义务之间的一致性;d)建立和维护问责机制,包括纪律处分和后果;e)确保将个人信息保护合规落实情况和效果纳入企业内部人员绩效考核体系;f)规划个人信息保护合规管理体系建设工作,研究合规管理重大事项并提出指导意见;g)统筹协调重大个人信息保护合规风险事件的处理。6.3.3个人信息保护合规管理部门企业宜设置专门的个人信息保护合规管理部门,一般由董事会直接设立企业合规部门、下设个人信息保护合规管理部门等各类专业合规部门。主要负责人宜向个人信息保护合规管理部门负责人
16、提供足够的授权、人力、财力来支持个人信息保护合规管理体系的运行。合规管理部门主要负责:a)具体起草本企业个人信息保护合规管理计划和管理制度;b)组织开展或者参与个人信息保护影响评估、个人信息保护合规审计、检查与考核等相关工作,及时发现薄弱环节,督促违规整改和持续改进;c)落实本企业个人信息保护合规宣传计划,定期和不定期组织或协助人事部门、业务部门开展合规培训、宣传等工作;d)指导各业务单位做好个人信息保护合规、为各业务单位提供合规咨询和支持;e)就个人信息保护合规举报进行登记和受理并对举报进行调查和审核,判断是否存在违规行为,并提出处理建议;f)代表企业对接履行个人信息保护职责的部门。6.3.
17、4业务部门业务部门负责本领域的日常个人信息保护合规管理工作。业务部门主要负责:a)主动开展并配合个人信息保护合规管理部门开展合规工作,按照合规要求完善业务管理制度和流程;b)组织或配合个人信息保护合规管理部门进行合规风险识别和隐患排查,及时向个人信息保护合规管理部门通报风险事项,妥善应对合规风险事件;c)组织或配合违规调查及整改工作。6. 3.5法定特别机构若企业处理个人信息在数量、跨境等方面符合以下情形,宜建立符合法律特定要求的相应机构:a)处理个人信息达到国家网信部门规定数量的企业,宜指定个人信息保护负责人,并公开个人信息保护负责人的联系方式,报送履行个人信息保护职责的部门,特别的,个人信
18、息保护负责人可以与个人信息保护合规管理部门负责人是同一人;b)境外企业宜在中华人民共和国境内设立专门机构或者指定代表,并报送履行个人信息保护职责的部门;c)用户数量巨大、业务类型复杂的企业宜成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。6.4合规管理沟通与协作个人信息保护合规管理部门宜加强与业务部门的分工协作。相关业务部门宜主动进行日常个人信息保护合规管理工作,识别业务范围内的合规要求,制定并落实业务管理制度和风险防范措施,配合个人信息保护合规管理部门进行合规风险审查、评估和调查、处置、整改工作。个人信息保护合规管理部门宜与其他具有合规管理职能的职能部门(如法务部门、安全部门、审
19、计部门、监察部门等)建立明确的合作和信息交流机制,加强协调配合。个人信息保护合规管理部门宜积极与履行个人信息保护职责的部门建立沟通渠道,了解履行个人信息保护职责的部门期望的个人信息保护合规管理体系,并制定符合其要求的个人信息保护合规制度;对于复杂或专业性强且存在重大个人信息保护合规风险的事项,可以向履行个人信息保护职责的部门咨询;面对履行个人信息保护职责的部门的调查,企业宜积极沟通并予以配合。7运行机制7. 1过程和程序企业宜通过行为准则确立与业务过程有关的运营控制,以在企业活动和运行环境中实现合规义务。如果企业在处理个人信息时使用了第三方或外包过程,企业宜确保第三方或外包得到控制和监视。控制
20、包括:一一清晰、实用且易于遵守的工作指示;岗位和职责;一一年度合规计划;信息化工具;一一批准;一一合规审查;一一管理层承诺;内外部沟通;一一合规报告。7.2 提出疑虑企业宜建立违反企业行为规范的内部举报制度及企业外部人员投诉管理制度,建立畅通有效的举报与投诉渠道及对举报人、投诉人的保护措施。企业宜公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息保护投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。企业宜建立畅通有效的举报投诉电话、邮箱等举报投诉渠道,保障举报人、投诉人安全畅通地进行举报、投诉。企业宜对举报人、投诉人的相关信息予以保密,保障举报人和投诉人免遭报复。
21、7.3 合规调查企业宜结合举报、投诉线索的真实性、有效性及时启动调查程序,确保调查过程的独立性、公正性,形成调查结果报告并采取相应处理和改进措施,持续完善个人信息保护合规管理制度体系。个人信息保护合规管理部门负责组织职责范围内的违规事件调查,参与由其他具有合规管理职能的监督部门组织展开的调查活动;对于严重违规事件,个人信息保护合规管理部门应主动配合履行个人信息保护职责的部门展开调查。7.4 奖惩措施企业宜建立个人信息保护合规考核机制,考核结果作为企业绩效考核的重要依据,与员工的评优评先、职务任免、职务晋升以及薪酬待遇等挂钩。对于严格遵守个人信息保护合规义务的员工,企业宜制定适当的激励措施使合规
22、管理计划得到一致遵守和执行。企业宜完善违规惩戒机制,明晰责任范围,细化惩戒标准。对于不严格执行甚至违反合规管理计划的管理层和员工,采取适当的纪律措施进行惩戒,并根据违规程度采取不同的风险处置措施。8保障机制7.5 聘用管理企业宜将遵守个人信息保护合规要求和履行个人信息保护合规义务作为人员聘用条件。对个人信息处理关键岗位的员工开展必要的背景调查,了解其犯罪记录、诚信状况等相关信息,并通过签署合规承诺书、保密协议等方式明确其应遵守的个人信息保护合规要求和履行的个人信息保护合规义务。关键岗位员工离岗后,应当按照个人信息保护合规管理要求执行离岗交接、审计、脱密等措施。7.6 合规培训个人信息保护合规管
23、理部门应当建立培训机制,定期或者在合规义务发生变化时,为管理层、员工培训个人信息保护相关规定和制定,使其充分了解个人信息保护法律法规、个人信息保护合规管理计划、岗位角色与职责等。宜注重培训实效,可通过不定期抽查或现场考试等形式加大培训督查力度,并考虑将是否参加过个人信息保护合规培训以及相关抽查、考试成绩纳入员工年度考核内容,保留培训及考核记录。7.7 合规文化企业宜将个人信息保护合规文化作为企业文化建设的重要内容,推行个人信息保护的合规理念,践行合规经营的价值观,不断增强员工的个人信息保护合规意识。7.8 合规咨询企业宜建立个人信息保护合规咨询机制,管理层和各部门员工在工作中可以向个人信息保护
24、合规管理部门咨询个人信息保护合规问题。个人信息保护合规管理部门应当不断学习、提升合规管理水平,也可以同外部机构开展个人信息保护合规咨询合作。7.9 合规管理信息化建设企业宜合理应用数字技术,对个人信息保护管理工具进行测试、优化和不断升级,获取并运用合规管理体系运行数据,持续提升个人信息保护合规管理体系的有效性。7.10 件化信息企业宜以适当的形式和载体记录个人信息保护合规管理体系运行产生的文件化信息,包括合规风险评估、应对措施、调查过程、审核的记录,可作为证据。文件化信息应当以清晰、易读和易检索的方式保存,并采取必要措施防止泄密、不当使用或完整性受损。附录A(规范性附录)企业个人信息保护合规义
25、务清单表A.1规定了企业个人信息保护合规义务清单,企业宜根据所处行业、产品及服务类型等识别自身合规义务。表A.1企业个人信息保护合规义务清单序号合规义务(一级)合规义务(二级)是否适用备注I个人信息分类处理了敏感个人信息2敏感个人信息中存在不满十四周岁未成年的个人信息3处理了私密个人信息4仅处理了非敏感非私密的个人信息5采取安全技术措施加密6去标识化7其他技术措施8处理敏感个人信息向个人告知了处理敏感个人信息的必要性以及对个人权益的影响9取得了个人单独同意10进行了个人信息保护影响评估11取得了未满十四周岁未成年人父母或者其他监护人的同意12制定了未满十四周岁未成年人专门的个人信息处理规则13
26、存储时采取了相应的加密、去标识化等技术措施14展示时采取了脱敏等处理措施15开发、测试环境中对敏感个人信息进行了脱敏处理16获取个人信息处理的合法性基础基于同意处理个人信息17同意的例外为订立、履行个人作为一方当事人的合同所必需18为实施人力资源管理所必需19为履行法定义务所必露20紧急情况下为保护自然人财产安全所必需21为公共利益实施新闻报道、舆论监督22在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息23个人信息全生命周期管理收集不以误导、欺诈、胁迫等方式收集个人信息,不隐瞒产品或服务所具有的收集个人信息的功能,不从非法渠道获取个人信息24收集个人信息的类型与实现产品或服务的业
27、务外功能有宜接关联,即没有所收集的个人信息的处理,产品或服务的功能无法实现25自动采集个人信息的频率是实现产品或服务的业务功能所必需的最低频率26基于同意收集个人信息的,提供了撤回其同意的功能和方法,或者为撤回设置了合理的路径和操作步骤27存储对于从第三方获取的个人信息,获得了提供方获取个人同意或其他合法性基础的保iE28存储期限为实现使用目的所必需的最短时间29实施了有效的备份和恢复策略,或者其他必要的措施保障存储的个人信息安全30使用、加工使用个人信息时,未超出收集个人信息时所声称目的直接相关的范围31对被授权访问个人信息的人员,建立了最小授权的访问控制策略,对批量修改、拷贝、下载个人信息
28、等重要操作,设置了内部审批流程32开发、测试环境与生产环境实现了有效隔离33提供取得了个人单独同意34进行了个人信息保护影响评估35向个人告知了接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类36传输采取了相应的管理手段和技术手段,防止个人信息在传输的过程中被篡改、伪造、窃取等安全风险37公开了自身所处理的个人信息取得了个人单独同意38进行了个人信息保护影响评估39处理了非自身公开的个人信息在合理的范圃内处理已公开的个人信息40处理已公开的个人信息时,个人未明确拒绝41对个人权益有重大影响的,取得了个人同意42删除符合删除个人信息的情形时,主动、及时删除个人信息43删除个人信
29、息从技术上难以实现的,停止了除存储和必要的安全保护措施之外的其他处理行为44多主体处理个人信息共同处理45委托处理进行了个人信息保护影响评估46签订了委托合同并对受托人的个人信息处理活动进行了监督47合同不生效、无效、被撤销或者终止的,要求合作方返还或者删除个人信息48转移个人信息向个人告了知接收方的名称或者姓名和联系方式49自动化决策开展了个人信息保护影响评估50提供了便捷的拒绝方式51增强了透明度和结果公平52未实施不合理的差别待遇53进行信息推送、商业营销时,同时提供了不针对个人特征的选项54跨境提供个人信息向个人告知了境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种
30、类以及个人向境外接收方行使本法规定权利的方式和程序等事项55取得了个人单独同意56进行了个人信息保护影响评估57数据出境安全评估58个人信息保护认证59个人信息出境标准合同签订60个人信息请求权查阅复制61更正补充62删除63可携64解释说明个人信息处理规则65死者近亲属对死者个人信息的请求66个人信息安全事件应急预案制定个人信息安全事件应急预案67每年组织内部相关人员开展至少一次应急演练,使其掌握岗位职责和应急处置的策略和规程68发生或者可能发生个人信息保护泄露、篡改、丢失的立即采取补救措施69上报主管部门70以邮件、信函、电话、推送等方式告知个人:难以逐一告知个人信息主体的,采取合理、有效
31、的方式发布与公众与关的警示信息71配合监管执法协助、配合履行个人信息保护职责的部门依法行政,不拒绝、阻挠附录B(资料性附录)企业个人信息保护合规义务履行指引8. 1基于同意处理个人信息8. 1.1告知企业宜规范处理个人信息的告知行为,制定必要的告知制度和操作规程。企业可以采用下列显著和清晰易懂的方式履行告知义务:a)以加粗、下划线、特殊字体等处理方式明确标识或突出显示个人信息处理规则中的重点条款;a)提供简化版的个人信息处理规则,内容宜浓缩与处理活动最相关的关键处理规则,包括个人信息保护政策的章节结构(点击后可直接访问对应内容),当前处理活动所必需的个人信息种类,收集方式、目的,以及处理个人询
32、问、投诉的联系方式等;b)以专章或专门规则方式告知个人信息处理规则中的重点条款;c)在首屏展示具体场景对应的个人信息处理规则,避免在交互中对个人信息处理规则进行折叠、遮挡或隐藏;d)将对个人产生重要影响的、易于引起异议或争端的内容靠前推送;e)针对儿童或残障人士等特定群体使用符合其理解水平的个人信息处理规则。企业不宜以下列方式履行告知义务:a)在已经开启个人信息处理权限、已经收集个人信息的同时或之后告知该个人信息的处理事项;b)个人信息处理规则未在合理范围或以合理方式公开并提示个人,如通过遮挡弹出窗口、放置边缘位置、选用清晰度不足的字体色号等造成个人阅读困难;c)个人信息处理规则对目的、方式、
33、种类的告知不清晰、不准确、不完整,或告知语言晦涩难懂;d)告知事项发生变更时,未以适当方式将变更部分告知个人;e)获取处理个人敏感信息的同意前,未同步告知处理目的、方式、范围、处理的必要性和对个人权益的影响。8. 1.2同意企业宜规范获取个人或者其监护人同意的行为,制定必要的获取同意制度利操作规程。企业不宜以下列方式获取个人或者其监护人的同意:a)企业要求个人同意处理其信息才提供产品或者服务,但是处理该信息属于提供产品或者服务所必需的除外;b)通过捆绑产品或服务各项业务功能的方式,要求个人一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求;c)以默认勾选、提前点亮个人信息处理条款等
34、非自主选择的方式作为个人同意处理其个人信息的授权;d)未按照法律、法规的规定对应当取得个人单独同意或书面同意的事项,取得个人的单独同意或书面同意,包括以取得个人对个人信息处理规则的概括性同意替代法律、法规规定事项的单独同意;e)个人信息的处理目的、处理方式和处理的个人信息种类发生变更,或者个人信息接收方变更原先的处理目的、处理方式,未重新取得个人同意的;f)仅以改善服务质量、提升使用体验、研发新产品、增强安全性等缺乏特定处理目的的理由,强制要求个人同意收集个人信息。8. 1.3单独同意企业获取个人或者其监护人的单独同意,可以采用下列方式:a)在分项选择同意的交互式界面内,采取单独勾选、单独点击
35、、单独点亮等方式的;b)采取自然人主动填写、上传、输入需要取得单独同意的处理活动所需的个人信息等方式的;c)在纸质或电子的书面文件中有形地载明需要取得单独同意的处理活动并由自然人单独签名、签章的;d)为需要取得单独同意的处理活动制作专门的个人信息处理同意书,在醒目位置张贴或以音频方式播放,自然人通过刷卡、刷指纹、刷脸等动作表示同意的;e)通过电子邮件、电话、短信等方式告知需要取得单独同意的处理活动并取得自然人同意的回复的。B.1.4个人不同意处理其个人信息或者撤回同意个人拒绝企业处理其个人信息或者撤回同意后,请求企业继续提供产品或者服务的,企业应当提供产品或者服务的基本业务功能,处理个人信息属
36、于提供基本业务功能所必需的除外。企业可以综合考虑个人使用企业产品或者服务的主要目的、相关法律法规等认定基本业务功能。企业不宜将下列情形认定为产品或者服务的基本业务功能:a)仅为实现改善服务质量、提升使用体验、定向推送信息、研发新产品等目的的业务功能;b)外部第三方或关联公司提供的业务功能(基本业务功能除外);c)如基本业务功能有多种可选的实现方式,则对个人信息权益负面影响更大的实现方式不宜认定为基本业务功能。B.2同意的例外B.2.1为订立履行个人作为一方当事人的合同所必需以“为订立、履行个人作为一方当事人的合同所必需”为处理个人信息合法性基础的,企业宜综合下列因素评估适用该合法性基础是否准确
37、:a)是否存在个人作为一方当事人的合同以及合同是否有效,包括企业向第三人履行的合同;b)在“订立个人作为一方当事人的合同”的场景下,个人是否主动要求企业处理个人信息;c)个人是否在客观上合理地期待处理行为会因为订立、履行合同而发生,包括该处理行为是否符合所处行业的惯例等;d)排除处理行为是否将导致合同无法订立、履行或使企业承担不合理的经济成本;e)是否存在对个人信息权益影响更小的处理行为。B.2.2为实施人力资源管理所必需以“为实施人力资源管理所必需”为处理个人信息合法性基础的,企业可以依据自身制定的劳动规章制度和和签订的集体合同未经同意处理个人信息,但有下列情形之一的除外:a)劳动规章制度或
38、者集体合同违反法律、法规的规定,包括不符合民主制定程序、劳动者未充分行使参与权等;b)“实施人力资源管理”的处理目的不明确或不合理,未符合社会惯例和一般公众的预期,或者未履行告知义务保证劳动者知悉处理目的;c)处理的个人信息类型与实施人力资源管理无直接关联,处理频率和数量超出实施人力资源管理所必需的最低频率和数量。B.2.3为履行法定义务所必需以“为履行法定义务所必需”为处理个人信息合法性基础的,企业可以根据相关部门履行法定职责的要求,提供用户的姓名、联系方式、所在地址等必要个人信息,但不得违反法律、法规规定的权限、程序或者超出必要范围和限度。B.2.4紧急情况下为保护自然人财产安全所必需以“
39、紧急情况下为保护自然人财产安全所必需”为处理个人信息合法性基础的,电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者等企业主体的以下个人信息行为可认为保护自然人财产安全所必需:a)电信业务经营者监测并核验涉诈异常电话卡用户;b)银行业金融机构、非银行支付机构监测识别涉诈异常账户和可疑交易,并采取必要防范措施;c)互联网服务提供者监测识别并重新核验涉诈异常账号。B.2.5为公共利益实施新闻报道、舆论监督以“为公共利益实施新闻报道、舆论监督”为处理个人信息合法性基础的,企业处理的个人信息不应当超过必要限度,或者处理方式不合理侵害个人人格权益,以下因素可作为判断合理使用的参考:a)客观
40、行为特征,合理使用对应的行为是新闻报道或舆论监督;b)主观目的特征,合理使用对应的主观目的是出于公共利益;c)符合比例原则,对个人信息的使用是诚实的、可以接受的、合理的或者公平的,而非恶意的、无法让人接受的、不合理的或者不公平的。8. 2.6在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息以“在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”为处理个人信息合法性基础的,企业宜综合下列因素评估适用该合法性基础是否准确:a)是否超出个人信息公开时的特定范围;b)是否为用户提供符合其预期的更优质服务;c)是否有利于实现个人信息的初始公开目的;d)是否采取合理的技术措施和管理措
41、施,使处理行为对个人权益损害最小化,并仍为个人提供拒绝处理的选项。B.3个人信息全生命周期管理B.3.1提供个人信息企业向其他个人信息处理者提供其处理的个人信息的,宜履行以下合规义务:a)向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人单独同意,符合法律、法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;b)与接收方约定处理个人信息的目的、范围、处理方式、个人信息保护措施等,通过合同等形式明确双方的个人信息保护义务,并对接收方的个人信息处理活动进行监督;c)留存个人同意记录及提供个人信息的日志记录至少五年;d)接受方变更处理目的、处理方式的,监
42、督其是否依照法律、行政法规规定重新取得个人同意;e)事前进行个人信息保护影响评估。B-3.2公开个人信息企业公开其处理的个人信息的,宜取得个人单独同意,并在事前进行个人信息保护影响评估。企业不宜向已公开个人信息实施下列违规行为:a)向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的信息;b)利用已公开的个人信息从事网络暴力活动;c)处理个人明确拒绝处理的已公开个人信息;d)未取得个人同意处理已公开的个人信息且对个人权益造成重大影响。B.3.3删除个人信息有下列情况之一的,企业宜主动删除个人信息:a)处理目的已实现、无法实现或者为实现处理目的不再必要;b)停止提供产品或者服务;c)处理
43、个人明确拒绝处理的已公开个人信息;d)未取得个人同意处理已公开的个人信息且对个人权益造成重大影响。B.4多主体处理个人信息B.4.1共同处理企业与他人共同处理个人信息的,宜在事前约定下列事项:a)各自的权利义务;b)各方采取的个人信息保护措施;c)个人信息权益保护机制;d)个人信息安全事件报告机制;e)侵害个人信息权益造成损害的,各方应当承担的责任。B.4.2委托处理企业委托他人处理个人信息的,宜履行以下合规义务:a)在委托处理个人信息前开展个人信息保护影响评估;b)在委托合同中约定委托处理的目的、期限、方式及个人信息的种类、受托人应当采取的技术措施和管理措施、双方的权利义务等;c)采取定期检
44、查等方式,对受托人的个人信息处理活动进行监督,以确保委托处理个人信息的活动符合法律规定;d)监督受托人是否严格按照委托合同的约定处理个人信息,是否存在超出约定的处理目的、处理方式处理个人信息的情况;e)当委托合同不生效、无效、被撤销或者终止时,监督受托人将个人信息返还企业或者予以删除;f)监督受托人是否存在转委托他人处理个人信息的情况,是否得到企业的同意。B.4.3转移个人信息企业因合并、分立、解散、被宣告破产等原因需要转移个人信息的,宜履行以下合规义务:a)向个人告知接收方的名称或者姓名和联系方式;b)监督接收方是否继续履行个人信息处理者的义务;c)接收方变更原先处理目的、处理方式的,监督其
45、是否依照法律、行政法规有关规定重新取得个人同意。B.5自动化决策B.5.1提供便捷的拒绝方式企业宜建立利用个人信息进行自动化决策的管理机制,规范自动化决策行为。企业利用自动化决策方式进行个人信息处理活动,宜在个人第一次使用时提供与作出同意同等便捷的拒绝方式,包括在取得自动化决策的同意时明确告知具体的拒绝路径并设置常驻入口,或者同时提供不针对个人特征的选项。B.5.2增强透明度和结果公平企业利用个人信息进行自动化决策的,宜保证自动化决策的透明度和结果公平、公正,并以适当方式公示其自动化决策的基本原理、目的意图和主要运行机制等信息。企业可以采取以下方式增强自动化决策的透明度和结果公平、公正:a)在隐私政策中以明确、易懂和合理的方式披露个性化推荐应用情况,包括具体的业务场景、使用的个人信息、使用方式和目的等,并标注“推荐”,企业也可在网页、移动端内开设阅读端口,用户可通过该端口了解自动化决策对用户的具体影响;b)事前对算法模型进行安全评估,并按国家相关规定进行备案,以尽可能减少自动化决策算法模型存在的缺陷,当应用场景和主要功能发生变化时,对算法模型重新进行评估;c)事前