1、建立完善的个人信息安全管理体系,明确参与隐私协议编制的责任部门或责任人,以及人员职责分工,个人信息处理者的负责人应为体系建设和隐私协议编制提供足够的资源保障; 2、针对产品或服务收集使用的个人信息进行分析,明确实现各服务类型所需收集的必要信息的范围,以及非必要信息之外的所打算收集使用的个人信息的范围,确保满足合法、正当、必要的要求; 3、涉及到可能对个人信息主体权益产生重大影响的行为,事先进行个人信息安全影响评估,进一步明确对收集使用个人信息的目的、方式、范围以及权利保障措施,使其不会对个人信息主体权益产生高风险影响; 4、针对不同的服务类型,分别建立和维护个人信息处理情况描述表。描述表包括处理的个人信息类型、保存位置、流转需求、所涉及系统和责任主体等情况; 5、建立个人信息主体权利响应机制,确保向个人信息主体提供查询、更正、删除个人信息,及撤回同意和注销账号的渠道; 6、基于1和5的工作内容,梳理有关信息,作为编制隐私协议的基础,根据本标准第7章内容进行编制隐私协议内容; 7、编制隐私协议,应采用清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义、晦涩难懂、模棱两可的语言; 8、个人信息收集使用规则发生变化时,如涉及新服务类型上线,使用目的变化等,及时更新隐私协议,并向个人信息主体主动展示,并同时向个人信息主体说明更新的理由,保证历史版本可查。
精彩推荐
原文始发于微信公众号(FreeBuf):信安标委发布《信息安全技术 互联网平台及产品服务隐私协议要求》(征求意见稿)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论