【涨知识】合规评估清单PDF:个人信息保护重大风险评估 | 安拓x世辉
伴随治理水平和治理能力现代化进程,政府获取企业数据需求增大,配合政府数据需求给企业带来更大的合规压力。网络安全和数据合规执法对企业影响增大,伴随各项标准出来,数据收集最小必要原则,数据风险评估,个人信息审计等制度要求将在各细分场景逐步细化,企业合规要求需要更加明确细致的梳理。
【涨知识】栏目邀请世辉律师事务所合伙人王新锐律师进行分享,王律师结合最新规与政策文件,从个人信息保护的六个方面总结【重大风险】与【一般使用规则】,细分评估要素、评估问题及规范基础,以表格形式呈现,供读者参考。
目录
安拓2022年度合规评估清单之个人信息保护
本报告完整版15365字,限于公众号文章篇幅,以下仅摘录本报告部分内容。如您需完整版报告,请发送至安拓官方邮箱conference@everlaw.com.cn,或添加客服微信获取。【需留公司邮箱】
⬇ 客服微信
1►
个人信息收集
评估主题 | 评估要素 | 评估问题 | 规范基础 |
重大风险(合规红线:不可为) | 公共利益危害 | 1. 是否存在非法侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据的行为? | 《刑法》第二百八十五条 |
2. 是否存在提供专门用于侵入、非法控制计算机信息系统的程序、工具的行为?是否存在在明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为情况下为其提供程序、工具的行为? | 《刑法》第二百八十五条 | ||
3. 是否存在提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具的行为? | 《网络安全法》第二十七条 | ||
4. 是否从事窃取网络数据等危害网络安全的活动? | 《网络安全法》第二十七条 | ||
5. 是否属外国组织、个人及其设立或者实际控制的机构?是否在我国境内采集、保藏我国人类遗传资源?是否向境外提供我国人类遗传资源?是否存在采集、保藏、利用、对外提供我国人类遗传资源的行为?是否存在买卖人类遗传资源的行为? | 《人类遗传资源管理条例》第七条、第八条、第十条 | ||
私主体利益侵害 | 6. 是否以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息? | 《电信和互联网用户个人信息保护规定》第九条 | |
7. 是否存在以电子侵入的手段侵犯商业秘密的行为? | 《反不正当竞争法》第九条 | ||
8. 收集、使用个人信息是否违反合法、正当、必要原则,是否收集与提供的服务无关的个人信息? | 《个人信息保护法》第五条、第六条、《网络安全法》第四十一条 | ||
9. 是否存在未经用户同意并告知收集使用规则和目的,收集用户个人信息的情形? | 《个人信息保护法》第十四条、第十七条、《网络安全法》第四十一条 | ||
10. 用户终止使用电信服务或者互联网信息服务后,是否继续收集和使用用户个人信息? | 《电信和互联网用户个人信息保护规定》第九条 | ||
一般适用规则 | 合法性原则 | 11. 是否存在欺诈、诱骗、强迫个人信息主体提供其个人信息的行为? | 《个人信息保护法》第五条、第十条 |
12. 是否存在隐瞒产品或服务所具有的收集个人信息功能的情形? | |||
13. 是否存在从非法渠道获取个人信息的行为? | |||
14. 是否存在收集法律法规明令禁止收集个人信息的情形? | |||
最小必要原则 | 15. 是否为与业务功能有直接关联? | 《个人信息保护法》第六条 | |
16. 自动采集是否保持最低频? | |||
17. 因为业务功能间接获取所需的个人信息是否为最少量? | |||
收集目的 | 18. 收集个人信息是否遵循目的明确原则,是否确立了特定正当的收集目的? | 《个人信息保护法》第六条、 《网络安全法》第四十一条 | |
告知与征求授权同意 | 19. (直接)收集个人信息是否需履行告知义务并取得授权同意? 20. 是否符合获得授权同意的例外情形? (1) 与个人信息控制者履行法律法规规定的义务相关的 (2) 与国家安全、国防安全直接相关的 (3) 与公共安全、公共卫生、重大公共利益直接相关的 (4) 与刑事侦查、起诉、审判和判决执行等直接相关的 (5) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的 (6) 所涉及的个人信息是个人信息主体自行向社会公众公开的 (7) 根据个人信息主体要求签订和履行合同所必需的(不包括隐私政策) | 《个人信息保护法》第十三条、第十四条、第十七条、《电信和互联网用户个人信息保护规定》第九条、《儿童个人信息网络保护规定》第十条、《信息安全技术 公共及商用服务信息系统个人信息保护指南》5.2.2等规定 | |
间接收集(获取)对前手的考察 | 21. 是否要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认? | 《信息安全技术 个人信息安全规范》(2020年版)(以下简称《个人信息安全规范》)5.4 e) | |
22. 是否了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等? | |||
23. 如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,是否在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意? | |||
个人敏感信息的明示同意 | 24. 收集个人敏感信息是否获取明示同意? | 《个人信息保护法》第二十九条 | |
儿童与未成年人信息收集 | 25. 收集14岁以下儿童的个人信息是否取得其监护人的明示同意? | 《个人信息保护法》第三十一条、《公共及商用服务信息系统个人信息保护指南》5.2.7、《儿童个人信息网络保护规定》第八条、第九条等规定 | |
26. 收集14-18周岁未成年人信息的是否取得其自身或其监护人的明示同意? | |||
27. 是否设置有专门的儿童个人信息保护规则与用户协议,是否以显著、明确的方式告知儿童的监护人? | |||
是否强迫接受多项业务功能 | 28. 是否违背个人意愿,强迫个人信息主体接受业务功能以及对应的获取个人信息的请求? | 《个人信息保护法》第十四条、第十六条、《App违法违规收集使用个人信息行为认定方法》第三条、第四条 | |
29. 是否通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求? | |||
30. 是否保证仅在个人信息主体通过肯定性动作(点选、勾选、填写等)表示同意后才开启对应业务功能,且仅在开启某项特定业务功能后才开始收集该业务功能所需的个人信息? | |||
31. 关闭或退出业务功能是否与个人信息主体选择使用业务功能同样方便,个人信息主体选择关闭或退出特定业务功能后,是否停止该业务功能对应的个人信息收集活动? | |||
32. 个人信息主体不授权、退出、关闭特定业务功能后,是否仍然频繁的征求个人信息主体授权同意? | |||
33. 是否确保不使用特定业务功能不应影响其他业务功能的使用及服务质量? | |||
34. 是否以改善服务质量、提升个人信息主体体验、研发新产品、增强安全性等为由,强迫要求个人信息主体同意收集个人信息? | |||
隐私政策 | 35. 是否发布隐私政策? | 《个人信息保护法》第十七条、《App违法违规收集使用个人信息行为认定方法》第一条第1项 | |
36. 隐私政策是否包含以下内容: (1) 公司的基本情况 (2) 公司收集个人信息的场景及该场景下收集的个人信息类型、收集目的、方式 (3) 公司使用个人信息的场景及该场景下使用的个人信息类型、使用目的、方式 (4) 关于个人敏感信息的收集、使用的特别提示 (5) 公司如何共享、转让、公开披露个人信息 (6) 公司如何保护个人信息安全 (7) 个人信息主体享有的权利(如访问、更正、删除个人信息、注销账户等)和实现机制 (8) 个人信息如何存储及其存储期限; (9) 公司如何处理未成年人的个人信息; (10) 本政策如何修改和更新 (11) 如何与公司联系等 | |||
37. 隐私政策是否真实、准确、完整,内容是否易于用户理解? | |||
38. 隐私政策是否易于用户访问,是否向每个用户逐条送达? | |||
39. 隐私政策更新时是否重新告知并征求新的同意? | |||
移动应用(APP)收集个人信息 | 40. 应用在收集个人信息前,是否告知收集使用规则和目的并征得用户同意? | 《网络安全法》第四十一条 | |
41. 应用是否收集个人敏感信息?应用收集该种个人敏感信息之前,是否告知收集使用规则和目的并取得用户的明示同意? | 《个人信息保护法》第十七条、第二十九条、第三十条 | ||
42. 应用收集使用个人信息的目的、方式和范围发生变化时,是否以适当的方式通知用户并提醒用户重新阅读更新后的规则并授权? | 《App违法违规收集使用个人信息行为认定方法》第二条第2项 | ||
43. 应用是否在首次运行、提示用户阅读隐私政策前就开始收集个人信息? | 《App违法违规收集使用个人信息行为认定方法》第三条第1项 | ||
44. 在用户未打开App时,是否在后台调用用户个人信息? | 《个人信息保护法》第十四条 | ||
45. 应用调用可收集用户个人信息的权限之前,是否向用户明示并征得用户同意? | 《App违法违规收集使用个人信息行为认定方法》第三条第1项 | ||
46. 应用申请个人信息相关权限或要求用户输入个人信息时,是否向用户同步明示权限申请或收集信息的目的? | 《个人信息保护法》第七条、《移动互联网应用程序(APP)收集个人信息基本规范(草案)10.24版》(以下简称《App收集个人信息基本规范》)4.2 d) | ||
47. 应用是否开启或调用与所提供的服务无关的终端功能? | 《移动智能终端应用软件预置和分发管理暂行规定》第五条第(二)款 | ||
48. 应用是否不细分权限项,直接通过权限组获取权限? | 《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》三、3) | ||
49. 应用是否存在私自更改用户设置的权限的情况? | 《App违法违规收集使用个人信息自评估指南》第29条 | ||
50. 对于用于已经明确拒绝使用、关闭或退出的特定业务功能或权限申请后,是否会再次主动询问或要求用户打开该业务功能或相关系统权限? | 《App违法违规收集使用个人信息自评估指南》第28条 | ||
51. 应用是否在首次运行时即通过弹窗等明显方式向用户告知收集最小必要信息的规则? | 《App收集个人信息基本规范》4.b) | ||
52. 应用包含一项还是多项涉及收集个人信息的业务功能?是否允许用户逐项开启和退出服务类型,且开启或退出方式易于操作? | 《App收集个人信息基本规范》4 | ||
53. 是否通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求? | 《App违法违规收集使用个人信息自评估指南》第24条 | ||
54. 是否以改善服务质量、提高用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式要求用户同意收集个人信息? | 《App违法违规收集使用个人信息行为认定方法》第四条第5项 | ||
55. 用户在应用中关闭或退出某种业务功能的途径或方式是否与选择使用该业务功能的途径或方式同样方便? | 《个人信息安全规范》5.3 c) | ||
56. 用户不授权使用、关闭或退出特定业务功能时,是否会暂停用户自主选择的其他业务功能?或降低其他业务功能的服务质量?或不提供所有服务? | 《App违法违规收集使用个人信息行为认定方法》第四条 | ||
57. 应用是否捆绑安装无关的应用程序? | 《移动互联网应用程序信息服务管理规定》第七条 | ||
58. 应用是否超出用户授权同意范围收集、使用个人信息? | 《网络安全法》第四十一条 | ||
59. 应用是否收集与所提供的服务无直接关联的个人信息或申请打开可收集无关信息的权限? | 《网络安全法》第四十一条 | ||
60. 应用是否收集用户的设备唯一标识(如IMEI号、MAC地址等),并将其用于保障网络安全或运营安全以外的目的? | 《APP收集个人信息基本规范》4 f) | ||
61. 应用是否存在大规模收集或处理用户的种族、民族、政治观点、宗教信仰等信息的情况? | 《互联网个人信息安全保护指南》6.1 d) | ||
62. 应用是否收集个人生物识别信息的原始信息?是否将收集的个人生物识别信息的原始信息与摘要信息分开存储? | 《互联网个人信息安全保护指南》6.1 e) | ||
63. 在应用提供未经注册即可使用(如支持浏览、游客模式)的业务服务的情况下,在用户不同意收集该种无需注册即可使用的业务功能所必需之外的个人信息时,应用是否拒绝提供所有服务? | 《个人信息保护法》第六条 | ||
64. 应用是否会因用户授权的个人信息范围不同,而对其在服务质量、价格等方面差异化? | 《数据安全管理办法(征求意见稿)》第十三条 | ||
65. 用户终止使用应用(如注销用户账号)或退出某业务功能后,应用或相关业务功能是否还继续收集和使用用户个人信息? | 《电信和互联网用户个人信息保护规定》第九条 | ||
66. 应用新增业务功能且需收集的个人信息超出原有的同意范围时,如果用户拒绝收集新信息,则应用是否拒绝向其提供原有的业务功能? | 《App违法违规收集使用个人信息行为认定方法》第四条第3项 | ||
67. 应用从第三方获取个人信息时,是否要求提供方说明个人信息来源并确认该种个人信息的合法性? | 《个人信息安全规范》5.4 e) | ||
68. 在从第三方收集个人信息的场景下,开展业务所需进行的个人信息处理活动是否超出已获得的授权同意范围? | |||
69. 在(间接)获取个人信息后的合理期限内或处理个人信息前,是否自行或通过个人信息提供方征得用户的明示同意? |
2►
个人信息存储
评估主题 | 评估要素 | 评估问题 | 规范基础 |
重大风险(合规红线:不可为) | 活动记录保存 | 70. 留存监测、记录网络运行状态、网络安全事件等日志是否少于六个月? | 《网络安全法》第二十一条 |
一般适用规则 | 保存时间最小化要求 | 71. 是否对保存的个人信息根据收集、使用目的、被收集人授权设置相应的保存时限,并在保存的个人信息在超出设置的时限后予以删除或匿名化处理? | 《个人信息保护法》第十九条 |
去标识化处理 | 72. 收集个人信息后进行存储前,是否进行去标识化处理? | 《个人信息保护法》第五十一条 | |
73. 是否去标识化后的数据与可用于恢复识别个人的信息分开存储,并加强访问和权限管理? | |||
个人敏感信息存储 | 74. 存储和传输个人敏感信息是否采用加密等安全措施? | 《个人信息保护法》第五十一条 | |
75. 存储个人生物识别信息时,是否采用技术措施处理后再进行存储? | |||
完整性与保密性 | 76. 是否采用校验技术或密码技术保证个人信息在存储、传输过程中的完整性;并采用密码技术保证个人信息在存储、传输过程中的保密性? | 《互联网个人信息安全保护指南》5.2.4.6、5.2.4.7 | |
备份与恢复 | 77. 保存信息的主要设备,是否对个人信息数据提供备份和恢复功能,确保数据备份的频率和时间间隔,并使用不少于以下一种备份手段:1) 具有本地数据备份功能;2) 将备份介质进行场外存放;3) 具有异地数据备份功能? | 《互联网个人信息安全保护指南》6.2 e | |
存储地 | 78. 在中华人民共和国境内运营中收集和产生的个人信息,是否在境内存储? | 《个人信息保护法》第三十六条 | |
移动应用(APP)个人信息存储 | 79. 收集使用规则中的保存期限届满后,应用是否对个人信息进行删除或匿名化处理? | 《App违法违规收集使用个人信息自评估指南》第30条 | |
80. 应用收集个人信息后,是否将可用于恢复识别个人的信息与去标识化后的信息分开存储? | 《个人信息安全规范》6.2 | ||
81. 是否(针对应用)采取监测、记录网络运行状态、网络安全事件的技术措施,并留存相关日志? | 《网络安全法》第二十一条 | ||
82. 已停止或即将停止运营的应用是否停止继续收集个人信息?是否对其持有的个人信息进行删除或匿名化处理? | 《个人信息保护法》第二十二条 | ||
83. 是否将停止运营的通知以逐一送达或公告的形式通知用户? |
3►
个人信息使用与处理
评估主题 | 评估要素 | 评估问题 | 规范基础 |
重大风险(合规红线:不可为) | 修改、破坏、泄露、出售信息数据 | 84. 是否存在非法对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作? | 《刑法》第二百八十六条 |
85. 是否泄露、篡改、毁损收集的个人信息、网络数据? | 《网络安全法》第二十一条、第四十二条 | ||
86. 依法负有网络安全监督管理职责的部门及其工作人员,是否泄露、出售或者非法向他人提供在履行职责中知悉的个人信息、隐私和商业秘密? | 《网络安全法》第四十五条 | ||
一般适用规则 | 目的明确 | 87. 使用、处理个人信息是否遵循目的明确原则,是否确立了特定正当的使用、处理目的? | 《个人信息保护法》第六条、《网络安全法》第四十一条 |
最小必要原则 | 88. 使用、处理行为是否只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息? | 《个人信息保护法》第五条、《网络安全法》第四十一条 | |
授权同意 | 89. 使用、处理行为是否履行告知义务并取得授权同意? | 《个人信息保护法》第十三条、第十七条、《网络安全法》第四十一条 | |
个人信息质量保证 | 90. 使用、处理过程中,个人信息是否保密、完整、可用并处于最新状态? | 《公共及商用服务信息系统个人信息保护指南》4.2 | |
内部访问权限控制 | 91. 使用、处理个人信息时,是否严格控制个人信息的访问、处理权限? | 《个人信息保护法》第五十一条、《互联网个人信息安全保护指南》4 | |
92. 内部数据操作人员是否只能访问职责所需的最少够用的个人信息,仅具备完成职责所需的最少操作权限? | |||
93. 超权限处理个人信息的,是否经过上级部门或者个人信息保护工作机构审批? | |||
94. 是否对安全管理人员、数据操作人员、审计人员进行角色分离? | |||
95. 是否对个人信息的重要操作如批量修改、拷贝、下载等,设置内部审批流程? | |||
96. 是否对个人敏感信息的访问、修改等行为采取被动触发模式?(如,因收到客户投诉,投诉处理人员才可(获得授权)访问该(特定)用户的相关信息) | |||
97. 是否及时终止离岗人员的所有访问权限,取回其身份认证的配件?(如身份证件、钥匙、徽章以及机构提供的软硬件设备;采用生理特征进行访问控制的,需要及时删除生理特征录入的相关信息) | |||
98. 是否制定访问设备物理空间及接入网络系统的申请、审核、认证授权、记录的规则制度? | |||
颗粒度控制 | 99. 使用、处理个人信息,除处理目的所必需外,是否消除明确身份指向性,避免精确定位到特定个人? | 《个人信息安全规范》7.4 c) | |
100. 对所收集的非个人(敏感)信息二次加工后,能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情况的,是否重新获得个人信息主体授权同意或者进行匿名化、去标识化处理? | 《个人信息安全规范》7.3 b) |
本报告完整版约15365字,限于公众号文章篇幅,以下仅摘录本报告部分内容。如您需完整版报告,请发送至安拓官方邮箱conference@everlaw.com.cn,或添加客服微信获取。【需留公司邮箱】
⬇ 客服微信
►►►
作者简介
►►►
相关推荐