合规清单丨隐私政策合规清单分享
免费
吴丹君
时长/课时:12分钟/0.27课时
1个月之前
2021年11月1日,《中华人民共和国个人信息保护法》(以下简称“《个保法》”)正式生效,与《民法典》《网络安全法》《数据安全法》《电子商务法》等相关法律共同为个人信息保护建设筑成坚实的法律基础。值得注意的是,《个保法》在个人信息收集、存储、使用、加工、传输、提供、公开、删除等方面提出了严格的处理规范,强调了个人信息主体的权益。随着个人信息的价值逐渐被数据技术挖掘,个人信息加工所取得的效益汇流到各行各业,成为经济发展的动力,与此同时,作为互联网经济的受惠者与施惠者,个人在使用应用软件与登陆平台的过程中,个人信息主体的信息风险也日益增加,加强互联网领域的个人信息保护立法成了社会各界的普遍共识。针对应用程序与平台对使用者个人信息过度收集现象以及日前所热议的隐私政策问题,《个保法》对相关企业提出了更高的责任与规范要求,以知情同意作为信息处理的前提,要求个人信息处理者遵循合法、正当、必要、诚信、公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
随后,为指导移动互联网应用程序分发平台运营者加强对移动应用程序收集使用个人信息行为的监督和管理,保护个人信息权益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,国家计算机网络应急技术处理协调中心、中国网络空间安全协会制定《应用商店 App 个人信息收集使用上架审核和管理规范(征求意见稿)》并发布,加强了平台对隐私政策的审核义务。
下文将基于已出台的各项个人信息保护相关法律文件,形成隐私政策合规清单,为相关企业提供隐私协议设置、内容与执行三方面的参考。
隐私政策合规要点清单
隐私协议设置 | ||
1.是否提示用户阅读隐私协议? | □是 | □否 |
2.是否由用户主动选择勾选同意隐私政策等个人信息处理规则,而非以默认选择同意隐私协议的方式征求用户意见? | □是 | □否 |
3.在App首次运行时是否通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则? | □是 | □否 |
4.是否进入App主界面后,需多于4次点击等操作才能访问到隐私政策? | □是 | □否 |
5.是否存在文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等现象? | □是 | □否 |
隐私政策内容 | ||
1.是否以捆绑多项功能、捆绑必要与非必要个人信息等方式,诱导、强迫用户一次性授权同意个人信息处理规则(例如进入App 或注册登录时强制要求用户同意隐私协议全部条款)? | □是 | □否 |
2.基于个人同意处理个人信息的,该同意是否由个人在充分知情的前提下自愿、明确作出? | □是 | □否 |
3.法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,是否取得个人单独同意或者书面同意的? | □是 | □否 |
4.是否承诺个人信息的保存期限为实现处理目的所必要的最短时间? | □是 | □否 |
5.个人信息处理者是否在个人明确拒绝的前提下处理个人自行公开或者其他已经合法公开的个人信息? | □是 | □否 |
6.个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,是否依照法律规定取得个人同意? | □是 | □否 |
7.是否告知个人请求查阅、复制其个人信息的途径并及时提供? | □是 | □否 |
8.是否告知个人请求将个人信息转移至其指定的个人信息处理者的途径并及时提供转移的途径? | □是 | □否 |
9.是否向个人解释说明个人信息处理规则? | □是 | □否 |
10.个人信息处理者委托处理个人信息,是否告知个人与受托人约定的委托处理目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等? | □是 | □否 |
11.个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,是否向个人告知接收方的名称或者姓名和联系方式? | □是 | □否 |
12.个人信息处理者向其他个人信息处理者提供其处理的个人信息的,是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类? | □是 | □否 |
13.个人信息处理者向其他个人信息处理者提供其处理的个人信息的,是否取得个人的单独同意? | □是 | □否 |
14.是否以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式? | □是 | □否 |
15.是否以显著方式、清晰易懂的语言真实、准确、完整地告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限? | □是 | □否 |
16.是否以显著方式、清晰易懂的语言真实、准确、完整地告知个人行使法律规定权利的方式和程序? | □是 | □否 |
17.是否完整、详细、逐项列出收集的个人信息类别、说明收集的必要性、实现的服务或使用目的? | □是 | □否 |
18.是否完整、详细、逐项说明申请权限所实现的服务或使用目的、用户能否拒绝授权、不可拒绝的理由? | □是 | □否 |
19.是否完整、详细、逐项列出嵌入的 SDK 名称、包名、开发者名称、嵌入目的、收集的个人信息类型、使用的系统权限? | □是 | □否 |
20.隐私协议中是否存在免除个人信息保护相关主要义务、排除用户主要个人信息权益等不合理情形? | □是 | □否 |
21.在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,是否同步告知用户其目的? | □是 | □否 |
22.有关收集使用规则的内容是否晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等? | □是 | □否 |
23.是否仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息? | □是 | □否 |
24.是否向个人告知处理敏感个人信息的必要性以及对个人权益的影响? | □是 | □否 |
25.处理不满十四周岁未成年人个人信息的,是否告知并取得未成年人的父母或者其他监护人的同意? | □是 | □否 |
26.处理不满十四周岁未成年人个人信息的,是否告知专门的个人信息处理规则? | □是 | □否 |
27.因业务等需要,确需向中华人民共和国境外提供个人信息的,是否向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使法律规定权利的方式和程序等事项? | □是 | □否 |
28.是否向用户提供撤回同意收集个人信息的途径、方式? | □是 | □否 |
29.是否建立并公布个人信息安全投诉、举报渠道? | □是 | □否 |
隐私政策的执行 | ||
1.收集使用个人信息的目的、方式、范围发生变化时,是否以适当方式通知用户(适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等)? | □是 | □否 |
2.实际收集的个人信息或打开的可收集个人信息权限是否超出用户授权范围? | □是 | □否 |
3.用户明确表示不同意后,是否仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用? | □是 | □否 |
4.是否未经用户同意更改其设置的可收集个人信息权限状态,如App更新时自动将用户设置的权限恢复到默认状态? | □是 | □否 |
5.是否利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项? | □是 | □否 |
6.是否落实用户撤回同意收集个人信息的途径与方式? | □是 | □否 |
7.是否违反其所声明的收集使用规则,收集使用个人信息? | □是 | □否 |
8.收集的个人信息类型或打开的可收集个人信息权限是否与现有业务功能有关? | □是 | □否 |
9.是否因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能? | □是 | □否 |
10.个人信息保护影响评估报告和处理情况记录是否保存三年及以上? | □是 | □否 |
11.发生或者可能发生个人信息泄露、篡改、丢失的,个人信息处理者是否立即采取补救措施,并通知履行个人信息保护职责的部门和个人? | □是 | □否 |
12.收集个人信息的频度等是否超出业务功能实际需要? | □是 | □否 |
13.是否保证自动化决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇? | □是 | □否 |
14.是否既未经用户同意,也未做匿名化处理,直接向第三方提供个人信息?(包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息) | □是 | □否 |
15.是否提供有效的更正、删除个人信息及注销用户账号功能? | □是 | □否 |
16.是否为更正、删除个人信息或注销用户账号设置不必要或不合理条件? | □是 | □否 |
17.是否及时响应用户相应操作,需人工处理的,是否在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理? | □是 | □否 |
18.是否落实个人信息安全投诉、举报渠道? | □是 | □否 |
【参考资料】
《个人信息保护法》
《应用商店App个人信息收集使用上架审核和管理规范(征求意见稿)》本业务功能必要信息规范(V1.0)》
《APP违法违规收集使用个人信息行为认定方法》
《APP违法违规收集使用个人信息自评估指南》
吴丹君律师团队原创文章
作者:吴丹君律师 张振君律师助理 孙可颖律师助理
来源:微信公众号“大数据法律研究”
公司决议下次,股东是否打赏的卡死了肯德基阿里
声音
- 情感童声
- 性感男声
- 特别男声
- 普通男声
- 普通女声
语速
- 0.7X
- 1.0X
- 1.5X
- 2X
- 3X
- 4X
字号
- 特大
- 大
- 标准
- 小
作者
- 文章156
- 读者52w
- 关注25
- 点赞435
观韬中茂上海办公室合伙人,律商联讯LexisNexis网络安全合规专家、首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。
专注于互联网、数据信息合规领域,就网络安全和数据信息的合规事项为客户提供咨询及全流程合规整改服务。精耕于网络安全合规领域.
执业领域:
互联网|数据信息、兼并收购、外商直接投资、酒店等
曾为众多跨国公司和外国公司的在华投资、并购以及日常运营提供法律服务。
我也要当作者思想共享 知识变现
猜你喜欢
换一换作者推荐
换一换
常见问题
-
1、“点读”是什么?
点读是点睛网APP中的一款全民学法的人工智能(AI)新产品。它能“识字”和“朗读”,它使“读屏”变“听书”,解放读者的眼睛和颈椎。它使“讲课”变“写作”,解放讲师的时间和身心。
-
2、“点读”的作者?
在点睛网PC或APP端注册,登录点睛网PC端个人后台,点击“我的文章”,填写作者信息并上传文章。当第一篇文章通过编辑审核后,即成为点睛网的正式作者。
-
3、“点读”的文章?
作者在点睛网个人中心发布文章,编辑审核合格的才能呈现给读者。作者只能发布自己写的文章,不能发布或转发他人的文章。更不能发布有违法律法规、政府规定,或公序良俗、文明风尚、社会和谐等文章。
-
4、“点读”的审核?
作者文章上传后,编辑将在工作日最晚不超过24个小时、非工作日最晚不超过48个小时内完成审核。审核未通过的,说明理由。文章评论的审核,参照以上周期。