企业个人信息保护合规思路与实践报告

处理行为要求

一. 收集

(一) 收集的合法基础

1.告知、同意

企业应当向用户告知收集、使用的目的、方式和范围等规则，同时征得明 示同意（征得同意前不得收集个人信息 或通过 Cookies 等同类技术或通过调用权限、接口等方式收集个人信息）， 15并告知不同意的后果；同时应将 用户主动点击、勾选、填写等作为功能开启的条件，确保功能开启后才可 收集用户个人信息16。 告知的内容：应真实、准确、完整。例如，逐一列明功能、所收集的个人 信息、权限等；当在强关联的场景下，则说明个人信息收集的目的、方式、 范围、提供个人信息可能导致的风险、不提供的后果、处理行为与处理规 则、保护措施、用户权利、投诉、申诉、举报的方式，采取要求用户明示 同意，并给予用户撤回同意的渠道的方法。 明示同意：在首次运行、用户注册时，通过弹窗、突出链接方式提醒用户 阅读隐私政策；如果通过设置“下一步”“注册”“登录代表同意”等方式，应说 明点击或执行前述动作与同意隐私政策之间的关系。如点击即代表同意本 隐私政策等17。设置预选框的，由用户自主打勾，而非提前默认已勾选。（此 点仍需紧密关注最新监管执法要求） 将用户的主动填写、点击、勾选等主动行为作为收集个人信息的前提。 15 网络安全标准实践指南 —移动互联网应用程序（App）违法违规收集使用个人信息自评估指南 https://www.[tc260](http://github5.com/search?f=p&wd=tc260) .org.cn/upload/2020-07-22/1595396892533085831.pdf，访问日期 2020 年 7 月 28 日。 16 2020 年版《信息安全技术 个人信息安全规范》。 17 《网络安全标准实践指南—移动互联网应用程序（App）违法违规收集使 用个人信息自评估指南》3.5 b）https://www.tc260.org.cn/upload/2020-07- 22/1595396892533085831.pdf 访问日期 2020 年 7 月 28 日。

2.告知、同意方案

多层次告知，即采用一般告知、增强告知、以及即时提示三个层次来告知 用户。弱化隐私政策的授权同意机制，在产品过程中体现交互性告知，如 通过弹窗、用户提交、用户主动点击等方式；除一般告知外，个人信息处 理关键规则应进行增强告知，比如将字体进行加粗、斜体化处理等；收集 敏感个人信息时，需要做到即时提示，以明确告知收集的类型、目的、方 式、范围，确保用户完全知情，且自主、具体、明确的同意。（收集敏感个 人信息时，通过显著方式告知目的，且目的明确、易懂；18） 收集个人生物识别信息，收集前单独告知目的、方式、范围、存储时间等 专门规则，并征得明示同意。 收集满 14 周岁未成年人的个人信息前，征得未成年或监护人同意；未成年 人不满 14 周岁的周岁的，只能监护人同意，且对监护人有适当的核验。 【一般规则】： • 合规最低要求为对收集的个人信息至少在隐私政策中说明。 • 收集面部识别、生理健康、银行金融、行踪轨迹信息等敏感信息， 最好有单独弹窗提示并让用户点击同意；如果无法由用户单独点击 同意，至少有浮窗或者备注进行说明。 18 同上。 场景示例 – 一款行车记录仪如果需要后台持续获取地理信息（例如 GPS），该信息为行踪轨迹信息，属于个人敏感信息。应当在需要触发 该权限时，通过弹窗单独申请地理位置权限。如弹窗提示内容为“为了 提供照片/视频分享路况和事故等，需要您的地理位置权限，您可以在 设备中随时关闭改功能。”同时提供“始终允许”、“使用 App 时允许”、 “仅限本次”三个选项。 企业个人信息保护合规思路与实践报告 19 / 181 • 所有行车记录仪、扫地机、儿童手表、路由器等物联网产品、固件， 均需要在说明书中说明收集个人信息情况，同时采取如添加隐私政 策二维码等方式告知用户关于个人信息处理活动等方面的内容。 • 所有行车记录仪、扫地机、儿童手表、路由器等物联网产品、固件， 如果连接家庭类 App，需在该等家庭类 App 个人信息保护政策中说 明；如果没有此类 App，则需在公司网站主页个人信息保护政策中说 明。 场景示例 1 – 一款智能家居产品（例如扫地机）可以通过手机 App 进行操作和功能控制，在用户下载 App 后、注册成为用户前，应当 通过个人信息保护政策告知智能家居产品收集处理个人信息的目 的、方式、种类等。通过专门针对智能家居产品的个人信息保护政策 或者链接到公司网站的一般个人信息保护政策，均为一般告知。在智 能家居产品的说明书中还可以附上个人信息保护政策全文或者摘 要，以便说明。 场景示例 2 -一款智能家居产品（例如智能门锁）可以通过手机 App 进行操作和功能控制，在用户下载 App 后、注册成为用户后，如果 需要启动指纹或者人脸识别开锁功能，应当单独弹窗提示用户是否 授权、告知具体的目的，以满足法律要求敏感信息单独告知并获得用 户同意的要求。 场景示例 3– 如一款购物 App 在用户订单界面备注显示“我们仅提供 流水订单号、商品名称和交易金额给第三方支付机构以完成支付，我 们不会从第三方支付机构获取您的银行卡号和密码等信息。”同时， 在个人信息保护政策中申明“为了满足反洗钱要求，我们可能会在满 足法律规定的条件下，分享您的账户信息、联系方式、地址、所购买 的商品名称信息。” 企业个人信息保护合规思路与实践报告 20 / 181

3.再次告知、征得同意

当收集的目的、方式、范围等重要因素发生变化的，应当再次告知，。可采 取等收集使用规则，并征得用户同意。可采取更新隐私政策等收集使用规 则的方式，并通过推送消息、邮件、弹窗、着重提示等方式提醒用户阅读 发生变化的条款。

4. 其他合法基础

在以下情形下，不需要征得用户同意20： • 为订立或者履行个人作为一方当事人的合同所必需； • 为履行法定职责或者法定义务所必需； • 为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健 康和财产安全所必需； • 依照本法规定在合理的范围内处理已公开的个人信息； • 为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理 个人信息； 19 同上。 20 《个人信息保护法（草案）》（二次审议稿）。 场景示例 – 一款社交 App 更新了隐私政策中的收集使用规则，在用 户打开 App 时，跳出弹窗提示用户阅读更新后的隐私政策。在弹窗中 可采用如下话术：“《隐私政策》更新提示：我们更新了《隐私政策》， 并将严格按照《隐私政策》保护您的个人信息。本次更新调整了我们 产品与/或服务收集、使用及共享个人信息的类型方式和用途；增加了 用户账户的注销功能；…… 若您不同意《隐私政策》，将影响您使用本 产品与/或服务。”（请结合最新隐私政策相关标准） 企业个人信息保护合规思路与实践报告 21 / 181 • 法律、行政法规规定的其他情形。

参考资料

企业个人信息保护合规思路与实践报告http://github5.com/view/54257?csdn​​

友情链接

湖北省政务数据资源应用与管理办法