对比版!《个人信息安全规范(2019-6-21)》征求意见稿的最新变化
The following article is from 数据法盟 Author 贝塔斯曼
整理人:贝塔斯曼欧唯特合规部
导言:2019年5月至6月,标准工作组召开多次工作组内会议,对信安标委宁波会议周期间的意见进行讨论,同时结合App违法违规收集使用个人信息专项治理工作的实践和个人信息相关法规政策文件要求,对标准内容进一步优化。
以下是6-21征求意见稿与1-30草案的对比:
变更位置 | 2019-6-21征求意见稿 | 2019-1-30草案 |
目录 | 7.3 个人信息使用的目的限制 | 7.3 个人信息的使用限制 |
目录 | 新增 7.4 用户画像的使用限制 | |
目录 | 更改 7.7 信息系统自动决策机制的使用(同时顺序变更) | 7.12 约束信息系统自动决策 |
目录 | 7.11 个人信息主体撤回授权同意 | 7.9 个人信息主体撤回同意 |
目录 | 新增 10.2 个人信息安全工程 | |
目录 | 附录C 实现个人信息主体自主意愿的方法 | 附录C 保障个人信息主体选择同意权的方法 |
3 术语和定义 | 新增 3.16 业务功能 business function | |
5.3 不强迫接受多项业务功能 | 新增e)项 拒绝特定业务授权不影响其他业务功能或降低服务质量 | |
5.4 收集个人信息时的授权同意 | a)项 更改并新增 收集个人信息告知义务添加注解 | 原5.5 收集个人敏感信息时的明示同意 |
b)项 新增收集敏感信息的要求 | ||
c)项 新增收集未成年人信息要求 | ||
5.5 隐私政策 | 新增 4) 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任; | 原5.6 隐私政策的要求 a)项 |
新增 5) 个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行申诉的方法等; | ||
7.3 个人信息使用的目的限制 | 新增a)项 不得超采、超限使用;超限使用后再次征求明示同意 | 原7.3 个人信息的使用限制 |
变更b)项 加工信息可识别自然人等同于PII采集需要授权同意的注解 | ||
7.4 用户画像的使用限制 | 新增三项要求,要求"消除明确身份指向性,避免精确定位到特定个人" | |
7.7 信息系统自动决策机制的使用 | 新增三项要,要求"每年开展一次人信息安全影响评估" | 调整7.12 约束信息系统自动决策的顺序和要求 |
9.1 个人信息安全事件应急处置和报告 | 删除d)项发生超过100万人个人信息或者关系国计民生、公共利益的个人敏感信息(例如基因、生物特征信息、疾病等个人敏感信息)泄露、毁损、丢失的安全事件,应按照本条c)的要求将有关情况报网信部门; | |
附录C 实现个人信息主体自主意愿的方法 | 新增 段落开场白保障个人信息主体自主意愿包括两个方面:一是不强迫个人信息主体接受多项业务功能;二是保障用户对个人信息收集、使用的知情权和授权同意的权利。个人信息控制者,尤其是移动应用程序运营者,可通过以下方式实现: |
(来源:数据法盟)
编辑:方巧娟
主编:刘洋