1.知情同意
1.1 互联网企业在收集个人信息前应以个人信息保护政策如实告知用户个人信息处理相关事项,包括但不限于:
a)收集个人信息的目的、方式、范围;
b)加工、使用、转移个人信息的目的、方式、范围;
c)互联网企业的名称、地址、联系方式和用户投诉机制;
d)用户查询、修改个人信息的渠道;
e)用户拒绝提供个人信息可能出现的后果;
f)企业个人信息安全管理制度和个人信息安全保护措施。
1.2 互联网企业应在网站、软件或服务的适当位置公开其个人信息保护政策,并以适当方式提醒用户注意相关政策并告知不同意个人信息保护政策的可能后果。
在互联网企业履行其告知义务后,用户开始或持续使用技术服务或内容服务的行为视为同意互联网企业处理其个人信息。
2.收集
2.1 互联网企业收集个人信息应有合法、正当、明确的目的,不得超出目的范围收集个人信息。
2.2 互联网企业应明确告知收集个人信息的手段,并确保相关手段合法、正当。
2.3 互联网企业应明确告知收集个人信息的种类,并仅收集为实现正当商业目的和提供网络服务所必需的个人信息。
2.4 除有以下特殊情况,互联网企业收集个人信息的行为超出告知的目的、方式、范围,应以合理形式告知用户并获得用户的明示同意:
c)行政机关依据法律作出的强制行为;
d)司法机关依据法律作出的决定、裁定或判决。
3.加工
3.1 互联网企业应在收集前告知的目的和范围内加工个人信息,并采取必要的措施和手段保障个人信息在加工过程中的安全。
3.2 除有以下特殊情况,互联网企业超出收集时所告知的目的和范围加工个人信息,应以合理形式告知用户并获得用户的明示同意:
a)法律法规特别规定,如维护公共安全、紧急避险等;
b)基于学术研究或社会公共利益目的;
c)行政机关依据法律作出的强制行为;
d)司法机关依据法律作出的决定、裁定或判决。
4.使用
4.1 互联网企业应在收集前告知的目的和范围内使用个人信息,并采取必要的措施和手段保障个人信息在使用过程中的安全。
4.2 除有以下特殊情况,互联网企业超出收集时所明确告知的目的和范围使用个人信息,应以合理形式告知用户并获得用户的明示同意:
a)法律法规特别规定,如维护公共安全、紧急避险等;(www.xing528.com)
b)基于学术研究或社会公共利益目的;
c)行政机关依据法律作出的强制行为;
d)司法机关依据法律作出的决定、裁定或判决。
5.转移
5.1 互联网企业向关联方转移个人信息,应告知用户关联方处理个人信息的情况。
5.2 除有以下特殊情况,互联网企业向第三方转移个人信息,应告知用户并征得用户的明示同意:
a)法律法规特别规定,如维护公共安全、紧急避险等;
b)基于学术研究或社会公共利益目的;
c)行政机关依据法律作出的强制行为;
d)司法机关依据法律作出的决定、裁定或判决。
6.个人控制
6.1 互联网企业应为用户提供独立操作机制,实现用户对个人信息的控制。
6.2 互联网企业应为用户提供个人信息查询、修改的渠道。
6.3 互联网企业应为用户提供注销账号或号码的渠道。
7.政策修改
7.1 互联网企业应根据规范性法律文件和企业实践及时更新其个人信息保护政策。
7.2 互联网企业实质性修改其个人信息保护政策,应以显著方式告知用户修改的内容,并告知用户不接受的后果及相应的解决机制。
7.3 互联网企业非实质性修改其个人信息保护政策,应以适当方式告知用户修改的内容。
8.安全责任
8.1 互联网企业应建立个人信息管理责任制度,落实个人信息管理责任,加强个人信息安全管理,规范个人信息处理活动。
8.2 互联网企业应采取必要的技术措施和手段保护个人信息安全,包括但不限于:
a)建立完善的内部合规管理部门,设立并任命首席隐私官或相关管理人员;
b)采用法律强制或业界通行的技术手段对用户个人信息进行加密;
c)采取法律强制或业界通行的技术手段对用户个人信息进行匿名化或去身份化处理,并使处理后的信息不可逆及不能用于识别个人身份;
d)在提供服务过程中,以技术手段保证用户对他人未经授权实施的个人信息侵害行为采取防御行为。
9.特殊领域的个人信息
9.1 互联网企业应规定未成年人个人信息处理的特殊措施,如仅在征得其监护人的明示同意前提下处理其个人信息,或一旦明知其为未成年人,在未征得监护人明示同意时停止处理其个人信息。
9.2 互联网企业处理用户精确地理位置信息,应以合理方式告知用户,并为用户提供终止处理其精准地理位置信息的选择机制。
精确地理位置信息是指通过用户所使用的设备获取的,用于及时识别或描述用户在某一特定时间点误差小于1公里的实际物理位置的信息。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
