个人信息保护合规建设桔皮书

news2024/11/15 13:53:36

声明

本文是学习个人信息保护合规建设桔皮书. 下载地址而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

个人信息保护建设思考

识别监管要求聚焦安全保护重点

1. 个人信息处理原则合规

《个人信息保护法》总则中规定了个人信息处理的合法、正当、必要、诚信、公开透明等,这些基本原则既是处理者开展个人信息处理活动的基本遵循,也是构建个人信息保护具体规则的制度基础。需要明确的是企业或组织在个人信息的处理中占据绝对的主导地位,在处理个人信息必须遵循合法、正当、必要和诚信原则,具有明确、合理的目的并与处理目的直接相关,采取对个人权益影响最小的方式,限于实现处理目的的最小范围,公开处理规则,保证信息质量,采取安全保护措施等,而这些措施必须贯穿于个人信息处理的全过程、各环节。

**第一、合法原则。**按照《个人信息保护法》《民法典》《网络安全法》《消费者权益保护法》的相关规定其内涵包括:处理者处理个人信息必须具备法律法规规定的合法性基础和处理者在处理个人信息时必须履行法律法规为其设定的义务两个方面,即权利与义务的统一性,既要符合法律法规的要求,又要履行法律法规富裕的义务,企业或组织在个人信息处理的过程中避免出现只使用权利而承担应尽义务的情况。

**第二、正当原则。**正当包括目的正当与手段正当,目的正当即在进行个人信息处理时,要提供一个合法、合理的目的。手段正当即其处理个人信息的过程需要公开、公正、透明。而非通过欺骗、诈骗等方式获取并处理个人信息。比如诈骗或者帮助他人诈骗或者个人信息等就属于目的不正当和手段不正当。

**第三、最小必要原则。**主要指处理者处理个人信息不应当超过可以实现处理目的的最低限度,其处理的个人信息应当限于满足处理目的的最小范围之内,个人信息的过度采集或者加工极容易造成难以预见对主体的损害甚至带来财产损失乃至造成生命威胁。而现实中App端普遍存在违规采集个人信息、超范围采集个人信息、违规使用个人信息、过度索取权限以的现象,同时使用谐音、刷屏、差评等行为对个人进行诋毁、污蔑等现象也普遍存在。因此,合理最低限度的收集与使用个人信息是个保法中的重要原则。

**第四、诚信原则。**诚信是一个道德范畴,以真诚之心,行信义之事。“人之所助者,信也”,“言必信,行必果”。讲诚信,并不是说说,很多人说得容易做起来难,其中《个人信息保护法》相较于《网络安全法》和《消费者权益保护法》更是重点突出了诚信原则。信要求处理者对个人保有基本的善意,尊重个人的合理信赖,在价值取向上优先保护个人信息权益,恪守个人信息处理活动的规范化。诚信贯穿于个人信息处理的各个环节

第五、公开透明原则。《个人信息保护法》第7条规定:“处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。” 在个人信息处理活动中,个人信息的处理者拥有丰富的收集和处理个人信息的技术手段,个人无法知晓其何种个人信息将以何种方式被处理,也难以了解其个人信息被用于何种处理目的,更难以预测个人信息处理活动可能产生的效果与影响。为了强化个人在个人信息处理活动中的主体地位,保护个人对其个人信息以公平、公正的方式被处理的合理信赖,处理者应当对有关个人信息处理与利用的一般政策、事项等予以公开,个人也有权知悉本人个人信息处理的一般情况。比如依照《个人信息保护法》第18条第2款的规定,当出现紧急情况无法及时向个人履行告知义务时,处理者应当在紧急情况消除后及时告知。

第六、公平公正的原则。《个人信息保护法》第五十八条“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当履行遵循公开、公平、公正的原则,制定平台规则,明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务。”第二十四条“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”当前,越来越多的企业或组织利用大数据分析、数据中台分析、评估消费者的个人特征用于商业营销。其中有一些企业或组织通过掌握消费者的经济状况、采购需求、消费习惯、对价格的敏感程度等信息,对消费者在交易价格等方面实行歧视性的差别待遇。面对海量数据的使用,企业或组织需要摒弃偏见,分拆企业或组织内部不透明的服务体系,不滥用其市场支配地位对消费者进行 “大数据杀熟”。鼓励企业或组织通过提供差异化的产品和服务方式为企业或组织提供优良的竞争力和市场活力,摒弃以“算法霸权”谋取市场地位的思维。同时,在日常管理中进行常态化检查和调研,切实防范技术滥用。

2. 个人信息处理规则明确

  1. **完善个人信息处理机制。**当前,个人信息收集、使用规则不透明及违规收集、过度收集、超范围收集、违规使用等问题突出。个人信息处理者需要明示个人信息主体其收集使用个人信息的目的,并征求个人信息主体的同意;处理个人信息应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式;处理个人信息应当公开个人信息处理规则,明示处理目的、方式和范围,并应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
  2. **明确“告知—同意”是核心规则。**长期以来,应用程序过度收集、使用个人信息问题是社会关注的一大焦点。虽然国家的工信、网信等各级监管部门进行多轮次的通报与下架,但在实践中,互联网企业或组织推出的App仍存在“一揽子授权” “频繁申请权限”“不同意不让用”的问题。企业或组织在面临该问题时,需要放弃在数据处理过程中“霸权”行为,充分授权给个人;并做到敏感个人信息单独取得用户同意;处理个人信息应当在事先充分告知的前提下取得个人同意等。围绕“告知-同意’的核心确立的个人信息保护核心规则,保障个人对其个人信息处理知情权和决定权。

3. 个人信息处理责任落实

个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄漏、篡改、丢失;处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。

个人信息保护法中对个人信息处理者的义务有详尽的要求。违反相关条目的要求将受到责令改正,没收违法所得,停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照以及直接进行罚款等各类处罚,因此个人信息合规工作面临监管层面的压力巨大,需要从以下几点进行落实:

**第一、合法处理个人信息。**在《个人信息保护法》中,明确了个人信息处理的七项合法依据,除“同意”外,企业或组织可以通过履约、履责等合法依据对个人信息进行处理。对企业或组织来说,应特别注意避免将个人信息主体置于“被动”或“无感知”的情形,慎重使用“为履行个人作为一方当事人的合同”作为合法依据的情形。在明确告知、清晰告知和全面告知的基础上,充分取得个人信息主体的同意,从严要求企业或组织的内部业务,切实落实“能不用就不用,能少用就少用”个人信息的原则最小化使用个人信信息,切实落实《常见类型移动互联网应用程序必要个人信息范围规定》中关于39类App必要个人信息范围规定要求。

**第二、确定委托的第三方责任,加强风险评估。**GB/T 35273-2020《信息安全技术 个人信息安全规范》中个人信息的委托处理、共享、转让、公开披露中要求“受委托者应严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按照个人信息控制者的要求处理个人信息的,应及时向个人信息控制者反馈”、“个人信息控制者共享、转让个人信息时,应充分重视风险”。业务委托合同中应与受托人约定处理目的、期限、处理方式、信息种类、保护措施以及双方的权利与义务。同时企业或组织有责任对受托人的个人信息处理活动进行监督,确保受托人处理行为依照合同约束开展。监督行为可通过对受托人的现场审查、发放评估问卷等形式定期开展,同时保留记录存档。接受委托处理个人信息的受托人,应当履行个保法规定的相关义务,同时有义务协助个人信息处理者履行个保法的要求。

**第三、加强敏感个人信息保护。**在了解涉及处理的个人信息类型的基础上,应区分其中的敏感个人信息类型,制定企业或组织内部的分类分级标准,并采取更高水平的技术措施(脱敏、防泄漏、访问控制等)予以保护。针对未满十四周岁的未成年人信息,企业或组织应在产品/服务端设计青少年模式,通过家长身份验证等方式确保个人信息处理合规,并制定专门的个人信息处理规则予以公示。

第四、满足个人信息出境要求,企业或组织涉及个人信息出境时,应遵循“境内存储”原则,确有必要向境外提供个人信息的,应事先进行个人信息保护影响评估,明确个人信息出境的合法依据。在国家网信办关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知中提到:“关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息”,企业或组织应当通过国家网信部门组织的数据出境安全评估,同时处理者向境外提供数据应当履行“存留相关日志记录和数据出境审批记录三年以上”的义务。

4. 个人信息主体权利保障

《个人信息保护法》提到,个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;个人有权向个人信息处理者查阅、复制其个人信息;个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充;人有权请求删除;个人有权要求个人信息处理者对其个人信息处理规则进行解释说明等七大项权利。企业或组织应建立多样化的请求接收方式、响应处理流程、响应时限要求以及技术手段予以支持,确保个人信息主体可以随时行使自己的权益(如∶访问权、纠正权、拒绝权、限制处理权及可携带权等),并可以在指定响应期间内予以满足。另一方面,为实现处理来源于真实个人信息主体的请求,应具备强有效的身份校验机制,以对个人信息主体的身份进行准确识别,以确保可以及时并准确的实现个人信息主体所提请求。整体而言更强调个人在信息的收集、处理、利用、保管、传播等行为的权利,对个人权利的保护远远超出了传统隐私权的范围。

技术辅助企业或组织个人信息保护合规落地

在个人信息收集、存储、使用、加工、传输、提供、公开等流程中,需要将管理制度落实到每个具体的活动,同时确保管理制度落实的效果。在不同的环节里需要特定的技术手段进行辅助,提升合规管理的效果。在企业或组织内部,这些流程又可以根据研发、测试、运维、法务等参与角色的不同,分为产品设计、研发、发布、运营等阶段,每个阶段应进行相应的过程管理。

**在设计阶段,**在个人信息收集前端工具的设计过程中,可采用PbD的设计原则进行产品设计及实施策略的制定。

在研发过程中,可通过合规培训、SDK准入审核、合规评估等策略进行研发过程管理,避免由于研发人员对合规要求不了解、第三方SDK自身风险等造成合规隐患。

**在发布阶段,**通过技术手段进行整体的合规评估。如针对App强制授权、过度索权、超范围收集个人信息等典型问题,企业或组织可以先尝试从第三方的视角对App合规状态进行快速摸底,通过对App违规收集隐私数据的行为进行检测,包括权限声明、第三方SDK收集信息、App各功能模块实际获取的个人信息等,对企业或组织个人信息保护水平的合规性、有效性、完整性进行测试及验证。

**在运营阶段,**通过安全防护技术、访问控制策略、风险评估、应急处置预案等方式进行存储、使用、加工等流程中的管理及保障工作。

除管理流程外,企业或组织还要将个人信息保护真正融入到日常的业务和产品中,才能让个人信息保护不再流于表面,随着监管执法力度的加强,企业或组织在管理体系建设方面的完备性和有效性验证,需要管理和技术手段并行,并且嵌入到企业或组织系统及业务开展过程中,从根本上建立健全个人信息保护管理体系,为数据价值的发挥助力。

延伸阅读

更多内容 可以点击下载 个人信息保护合规建设桔皮书. 进一步学习

友情链接

DB34-T 2981-2017 铅及铅合金 锡、锑、砷、铋、铜、镉、钙、 银含量的测定 波长色散 X 射线荧光光谱法 安徽省.pdf

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/131899.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

应用torchinfo计算网络的参数量

1 问题定义好一个VGG11网络模型后,我们需要验证一下我们的模型是否按需求准确无误的写出,这时可以用torchinfo库中的summary来打印一下模型各层的参数状况。这时发现表中有一个param以及在经过两个卷积后参数量(param)没变&#x…

从socket开始讲解网络模式(epoll)

从socket开始讲解网络模式 windows采用IOCP网络模型,而linux采用epoll网络模型(Linux得以实现高并发,并被作为服务器首选的重要原因),接下来讲下epoll模型对网络编程高并发的作用 简单的socket连接 socket连接交互的…

Python学习笔记-PyQt6之MVC项目结构初试

MVC结构是之model-view-controller三层架构的开发框架,用以将项目界面和逻辑进行解耦分析,便于维护。与WPF的MVVM相似。 项目开发做了一个秒表试手: 1.项目架构如下 controller:用于放置界面的控制逻辑model:用于放置…

回顾这十年,感悟

十年前,我35岁了,在体制内工作,到了很多人眼里的躺平的年龄。我眼里的世界,也就那么大,没有想过更进一步,有点中年油腻了,体质也差了。……终于有一天,醒悟了,不想过这样…

高并发系统设计 -- 秒杀系统

高并发秒杀 秒杀问题相信大家都知道的,虽然是一个烂大街的项目,但是秒杀问题背后的知识是很值得学习的,很多高并发系统设计都可以参照秒杀系统来进行实现。而且顺着这个问题,我会教给大家如何进行高并发的系统设计。 我们先来看…

Android集成三方浏览器之Crosswalk

上一篇讲解了腾讯 X5 内核的集成,这一篇是讲解 Crosswalk 的集成 Crosswalk 也是采用了Chromenium 内核,是一款开源的 web 引擎,开发者可以直接把 Crosswalk 嵌入到应用之中,当然也支持共享模式(系统中没有对应的 Cros…

费解的开关(BFS+哈希表+二进制枚举)

费解的开关(BFS哈希表二进制枚举)一、题目二、思路分析1、算法标签2、思路梳理方法1:BFS哈希表方法2:二进制枚举DFS一、题目 二、思路分析 1、算法标签 这道题考察的是BFS哈希表,DFS二进制枚举 2、思路梳理 方法1:…

Cohen–Sutherland 算法介绍(简单易懂)

目录 一、算法介绍 二、算法描述 三、算法总结 一、算法介绍 Cohen–Sutherland 算法用于直线段裁剪,通过判断直线与窗口之间的关系,来决定直线段部分的保留与舍弃。 二、算法描述 ① 首先,我们把屏幕分割成 9 个区域块,最中间区…

音乐相册如何制作?一步一步教会你

很多小伙伴会在旅行时,拍摄各种好看的照片,一趟旅途下来能留下好多照片呢,有些人会习惯将这些照片归类到一个相册里。其实我们也可以使用一些免费的软件将这些照片制作成有纪念意义的音乐相册,那大家知道免费制作音乐相册怎么做吗…

npm install 报警告npm WARN

npm install 报警告npm WARN optional SKIPPING OPTIONAL DEPENDENCY: fsevents1.2.0 (node_modules\fsevents npm notice created a lockfile as package-lock.json. You should commit this file. npm WARN fsevents1.2.0 had bundled packages that do not match the requi…

Crack:Inobitec DICOM Viewer Pro 2.9 多语言版本

Inobitec DICOM Viewer Pro 的使命是扩大医生可见和可能的范围。通过为医学提供高质量的创新 IT 解决方案,Ω578867473为改善全世界人民的健康做出了贡献。感受到自己工作的价值,意识到 21 世纪医学面临的挑战的重要性,以及解决这些挑战的乐趣…

WordPress使用二级域名存储图片等静态资源达到网站加速的详细配置

最近发现源站压力较大(水管太小)于是想着把WordPress博客的图片等静态资源分离到二级域名中,二级域名再使用一次云盾免费加速CDN,达到动静分离的效果,在这个过程中遇到一些坑,特此记录一下,方便…

NumpyPandas 数据处理与挖掘

笔记来源B站:https://www.bilibili.com/video/BV1xt411v7z9?p21 python学习笔记1 Numpy1.1 Numpy优势1.1.1 Numpy介绍1.1.2 ndarray介绍1.1.3 ndarray与Python原生list效率对比1.1.4 ndarray优势1.2 认识N维数组-ndarray属性1.2.1 ndarray的属性1.2.2 ndarray的形状…

11.1、基于Django4的可重用、用户注册和登录系统搭建

文章目录系统的功能思路分析搭建项目环境创建项目(虚拟环境)创建子应用修改语言、时区创建数据库表启动项目git提交项目代码到本地仓库git initi 初始化,创建本地git仓库pycharm安装 .ignore插件,来设置git的忽略文件提交代码修改…

SpringBoot+VUE前后端分离项目学习笔记 - 【09 SpringBoot集成MyBatis-Plus和SwaggerUI】

集成mybatis-plus依赖 官网 : https://baomidou.com/ pom.xml <!-- mybatis-plus --><dependency><groupId>com.baomidou</groupId><artifactId>mybatis-plus-boot-starter</artifactId><version>3.5.1</version></depe…

01月份图形化一级打卡试题

活动时间 从2023年 1月1日至1月21日&#xff0c;每天一道编程题。 本次打卡的规则如下&#xff1a; &#xff08;1&#xff09;小朋友每天利用10~15分钟做一道编程题&#xff0c;遇到问题就来群内讨论&#xff0c;我来给大家答疑。 &#xff08;2&#xff09;小朋友做完题目后&…

认证的未来:2023 年值得关注的四大趋势

在经济不确定性和地缘政治紧张的一年中&#xff0c;数字领域充满网络威胁也就不足为奇了。从广泛的假冒诈骗到日益增多的短信网络钓鱼&#xff0c;网络攻击的频率和严重程度在 2022 年有所增加&#xff0c;这突显了所有行业的组织身份验证漏洞。 因此&#xff0c;当我们翻开新…

amis组件学习的配置介绍(二)

table view 表格视图 这个看文档也很好理解&#xff0c;但是还是需要介绍一下。 trs&#xff1a; <Array>设置表格行属性。tds: <Array>设置单元格属性。 {"type": "table-view",// 设置表格行"trs": [{"background": &…

常见排序算法(上)

篮球哥温馨提示&#xff1a;编程的同时不要忘记锻炼哦&#xff01;稳定的排序算法&#xff0c;可以设计成不稳定的. 目录 1、 认识排序 2、常见排序的分类 3、直接插入排序 4、希尔排序(缩小增量排序) 5、选择排序 6、堆排序 1、 认识排序 在学校中&#xff0c;如果我们…

QML学习笔记【03】:动画

动画是在指定的时间内&#xff0c;一系列属性的持续变化 1 动画元素&#xff08;Animation Elements&#xff09; 有几种类型的动画&#xff0c;每一种都在特定情况下都有最佳的效果&#xff0c;下面列出了一些常用的动画&#xff1a; PropertyAnimation&#xff08;属性动画…