个人信息可携带权国标导读

admin 2024年4月10日10:40:30评论4 views字数 11781阅读39分16秒阅读模式

导读

News

NEWS

2024年4月3日,全国网络安全标准化技术委员会(以下简称“网安标委”)发布《数据安全技术 基于个人请求的个人信息转移要求(征求意见稿)》(以下简称“《个人信息转移要求》”),征求意见截至2024年6月2日。

根据《个人信息保护法》第四十五条第三款,个人信息主体享有个人信息转移权:个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。截至目前,国家网信部门尚未正式发布个人信息转移权相关的法定条件[注],个人信息转移权的行业探索实践也相对有限,《个人信息转移要求》试图明确个人信息转移权的适用和行使的条件、可请求转移的个人信息范围,以及个人信息处理者在处理个人信息主体转移个人信息的请求时应遵守的安全原则、流程和技术要求,可供企业参考搭建响应个人信息转移权的制度流程及设计相关界面功能。

[注] 《网络数据安全管理条例(征求意见稿)》第24条曾规定如下:

符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:

(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;

(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;

(三)能够验证请求人的合法身份。

数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。

请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。

个人信息可携带权国标导读

个人信息转移权的适用范围与行使条件

根据《个人信息转移要求》,个人信息转移权的行使需满足如下要求及条件:

  • 主体:仅个人信息主体[注]可请求转移其个人信息。

  • 客体

    • 内容:可请求转移的个人信息限于个人信息主体在知情的情况下主动提供或因使用产品或服务而被观察和收集的个人信息,而不包括对前述个人信息进行分析、计算、处理等方式得出的衍生个人信息;

    • 形式以电子方式记录

  • 合法性基础同意或订立、履行个人信息主体为一方当事人的合同(含集体劳动合同)所必需。

  • 其他

    • 不损害他人合法权益:如包括他人信息,个人信息转移的请求目的仅限于私人或家庭活动需要,且需满足他人信息是请求人合法获得、有法定权利处理的,原则上告知他人并取得其同意等条件;

    • 请求在合理的限度之内:如个人信息主体应指定与个人信息处理者签订个人信息转移协议的主体作为个人信息接收方,请求频次应在合理时间间隔内。

[注] 不满14周岁的未成年人转移个人信息应取得其父母或其他监护人的同意;死者生前另有安排或法律另有规定的,可转移其个人信息。

个人信息转移方式与个人信息转移权的响应

根据《个人信息转移要求》,个人信息转移历经如下基本流程:

  1. 请求发起:应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知行使个人信息转移请求的方式和程序,并为个人信息主体提供便捷的发起请求的途径,如个人信息主体委托第三方(含代理机构)提出请求的,应确认请求有效性。

  2. 请求验证:验证请求者身份、请求内容、请求频次、第三方身份及授权证明有效性等,可要求请求人提供额外信息以验证其身份,但该额外信息应仅限于确认其身份所必需的信息,且不超过个人信息主体使用或注册时提供的信息。

  3. 请求处理:

    1. 答复时限:收到请求后的一个月内(以一个月内最后一次请求的时间为起算时间)回复,最长不应超过收到请求后的两个月;

    2. 标准格式:以结构化、通用以及机器可读的格式,使用CSV,XML和JSON等开放格式(行业或部门特殊规定除外)提供,并应使用合适的元数据以准确表述所提供的个人信息的含义;

    3. 拒绝请求:如不符合适用范围、行使条件未通过身份验证的,可拒绝请求,但应以清晰的语言告知不处理请求的原因、个人信息主体申诉的可能性及其途径、个人信息主体向监管机构投诉和寻求司法救济的权利;

    4. 处理费用:如所处理的请求不在合理限度之内或经各方自愿达成协议,可在处理请求所花费成本的范围内收取合理的费用

  4. 个人信息导出:以便捷、安全方式导出,并在请求人存在合理疑问时,给出合理说明;如涉及他人信息,应进行评估、记录与说明,宜采用适当的工具提供可以排除他人个人信息的功能。

  5. 转移的个人信息导入:符合合法性及处理目的限制等要求。

在技术可行的情况下,可通过自动化处理的方式实现个人信息转移。

个人信息可携带权国标导读

个人信息转移基本流程(可放大查看图片)

《个人信息转移要求》同时基于三种不同响应方式差异提出了细化的处理要求:

  • 完全以个人信息主体为中心的个人信息转移(个人信息主体接收基于个人同意的转移个人信息后,提供给转移个人信息接收者):

    • 个人信息处理者在接收请求后完成验证,并在15天内明确告知个人信息主体验证结果,通过验证后,在15天内将需要转移的个人信息以机器可读的格式提供给个人信息主体;

    • 转移个人信息接收者15天内完成个人信息的转移处理,并将处理结果明确告知个人信息主体。

个人信息可携带权国标导读
  • 个人信息接收方(转入方)积极主动模式的个人信息转移(经个人信息主体请求,个人信息处理者或转移个人信息接收者通过公开接口转移/接收个人信息):

    • 转移个人信息接收者在接收请求后完成个人信息主体认证,并将请求及验证信息发送个人信息处理者;

    • 个人信息处理者完成请求验证,并在15天内明确告知验证结果,通过验证后,在15天内将需要转移的个人信息以机器可读的格式直接提供给转移个人信息接收者;

    • 转移个人信息接收者收到转移个人信息的请求后在15天内完成个人信息的转移处理,并将处理结果明确告知个人信息主体。

个人信息可携带权国标导读
  • 代理模式的个人信息转移

    • 代理机构接收请求后,依据个人信息处理者、转移个人信息接收者的验证要求收集信息,并将请求与验证信息发送个人信息处理者,向个人信息处理者提供适当的受托证明以及关于被授权的事实说明;

    • 个人信息处理者应核实代理机构的身份,验证请求,并在15天内明确告知代理机构,通过验证后,在15天内将需要转移的个人信息以机器可读的格式提供给代理机构;

    • 代理机构1天内将转移个人信息发送给个人信息主体指定的接收者,并同步主体验证信息;

    • 转移个人信息接收者在接收请求后在15天内完成验证,将验证结果明确告知代理机构,并在15天内完成个人信息的转移处理,将处理结果明确告知代理机构;

    • 代理机构将汇总个人信息转移处理过程中各个阶段信息并发送给个人信息主体。

个人信息可携带权国标导读

此外,《个人信息转移要求》还对涉及不满十四周岁未成年人个人信息第三方跨境提供的个人信息转移请求处理要求进行了额外提示。

了解更多,请点击文末“阅读原文”。

数据安全技术  基于个人请求的个人信息转移要求

Data security technology — Requirements for personal information transfer based on request of personal information subject

(草案)

(本稿完成时间:2024年4月1日)

目次
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 概述 2
6 个人信息转移的适用范围 3
7 个人信息转移行使的条件 4
8 个人信息转移行使流程的一般性要求 5
9 个人信息转移的自动化处理要求 8
10 对代理人或代理机构的要求 8
11 不满十四周岁未成年人个人信息转移请求处理的要求 8
12 涉及第三方的个人信息转移请求处理的要求 8
13 涉及跨境提供的个人信息转移请求处理的要求 8
14 完全以个人信息主体为中心模式的个人信息转移要求 9
15 个人信息转入方(接收方)积极主动模式的要个人信息转移求 9
16 代理模式的个人信息转移要求 9
参 考 文 献 11

前  言

本文件按照GB/T 1.1—2020《标准化工作导则  第1部分:标准化文件的结构和起草规则》的规定起草。
本文件由全国网络安全标准化技术委员会(SAC/TC 260)提出并归口。
本文件起草单位:北京理工大学等。
本文件主要起草人:洪延青等。

数据安全技术 基于个人请求的个人信息转移要求

1 范围

本文件规定了基于个人信息主体请求转移其个人信息的适用和行使的条件、可请求转移的个人信息范围,以及个人信息处理者在处理个人信息主体转移个人信息的请求时应遵守流程和要求。

本文件适用于个人信息处理者响应个人信息主体转移信息请求的全流程,也可用于监管部门、第三方评估机构对基于个人请求而转移个人信息相关的处理活动所进行的监督、管理、评估参考。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 250692022 信息安全技术 术语
GB/T 352732020 信息安全技术 个人信息安全规范

3 术语和定义

GB/T 25069—2022GB/T 352732020界定的以及下列术语和定义适用于本文件。
3.1
个人信息转移 personal information transfer
个人信息主体请求处理其个人信息的个人信息处理者,将其所处理的个人信息转移至个人信息主体指定的其他个人信息处理者的过程。
3.2
衍生个人信息 derived personal information
根据对个人信息的分析、计算、处理等方式得出的、与个人相关的新数据。
注:这些数据可能与原始数据不同,但仍然属于个人信息,并保留了与个人关联的特性。
3.3
请求人 requester
发起个人信息转移请求的主体。
注:包括个人信息主体本人、个人信息主体的监护人及受个人信息主体委托发起转移请求的受托人。
3.4
结构化 structured
具备一定的规则、格式或模式,使得软件能够提取数据的特定元素的数据组织方式。
注1:如在电子表格中,数据以行和列的方式表示。
注2:结构化数据通常是由已定义好的架构、模板、字段等组成,其中每个数据元素都有特定的含义和类型,并严格遵循特定的格式、约定和标准,以便于被计算机等程序自动处理和解释。
3.5
机器可读 machine-readable
可以由计算机软件应用程序自动读取和处理的数据存储格式。

4 缩略语

下列缩略语适用于本文件。
CSV:字符分隔值(Comma-Separated Values
XML:可扩展标记语言(Extensible Markup Language
JSONJavaScript对象表示法(JavaScript Object Notation
SFTP:安全的文件传输协议(SSH File Transfer Protocol

5 概述

个人信息转移过程中涉及到个人信息主体、个人信息处理者、转移个人信息接收者、转移请求代理等角色,基于各方在个人信息转移过程中的作用,将个人信息转移方式分为三种:完全以个人信息主体为中心的个人信息转移,个人信息接收方(转入方)积极主动模式的个人信息转移以及代理模式的个人信息转移。
5.1 完全以个人信息主体为中心的个人信息转移

个人信息可携带权国标导读

图1 完全以个人信息主体为中心的个人信息转移
对于以个人信息主体为中心的个人信息转移,个人信息主体发起个人信息转移请求;个人信息处理者完成个人信息转移请求的验证,个人信息处理者将需要转移的个人信息提供给个人信息主体,个人信息主体接收基于个人同意的转移个人信息,并提供给转移个人信息接收者。如图1所示。
5.2 个人信息接收方(转入方)积极主动模式的个人信息转移

个人信息可携带权国标导读

图2 个人信息转入方(接收方)积极主动模式
此模式中,接收个人信息处理者提前公开接收个人信息接口,或者个人信息处理者提前公开转移个人信息接口;个人信息主体向转移个人信息接收者发起个人信息转移请求;转移个人信息接收者在收到个人信息处理者请求后,完成个人信息主体认证;在完成认证后,个人信息转移请求将由转移个人信息接收者发送给个人信息处理者,并同步转移个人信息主体验证信息;对于已经通过个人信息处理者验证的个人信息转移请求,个人信息处理者将需要转移的个人信息以机器可读的格式直接提供给转移个人信息接收者。如图2所示。
5.3 代理模式的个人信息转移

个人信息可携带权国标导读

图3 代理模式的个人信息转移
对于代理模式的个人信息转移,个人信息主体发起个人信息转移请求到代理机构;代理机构依据个人信息处理者、转移个人信息接收者的验证要求,收集个人信息主体相关信息。首先,代理机构按照个人信息主体要求,将转移个人信息请求发送给个人信息处理者,并同步传递个人信息主体验证所需相关信息;个人信息处理者负责个人信息转移请求的验证,并将需要转移的个人信息以机器可读的格式提供给代理机构;代理机构随后将转移个人信息发送给个人信息主体指定的接收者,并同步传递个人信息主体验证所需相关信息;转移个人信息接收者在收到转移个人信息请求后,完成个人信息主体验证,并将验证结果明确告知代理机构。最后,代理机构将汇总个人信息转移处理过程中各个阶段信息并发送给个人信息主体。如图3所示。

6 个人信息转移的适用范围

6.1 可请求转移的信息范围
个人信息主体可请求转移的个人信息包括:
a)个人信息主体在知情的情况下主动提供的个人信息(例如姓名、性别、年龄、邮编等);
b)个人信息主体因使用产品或服务而被观察和收集的信息(例如因使用地图应用程序而提供的个人位置信息等、使用物联网设备直接采集到的信息如心率数据等)。
注:个人信息转移不适用于个人信息处理者对上述两类个人信息开展处理而形成的衍生个人信息,以及匿名化处理后的信息。
6.2 可请求转移的主体要求
仅个人信息主体可请求转移其个人信息,特殊情况包括:
a)不满14周岁的未成年人享有个人信息转移的权利,但其个人信息的转移应取得未成年人的父母或者其他监护人的同意;
注:第11章提出了关于未成年人个人信息转移行使的具体要求。
b)死者个人信息原则上不属于个人信息转移的适用范围,但死者生前另有安排或法律另有规定的除外。

7 个人信息转移行使的条件

7.1 一般性要求
个人信息主体要求个人信息处理者响应其转移个人信息的请求,应同时满足7.2~7.5的要求。
7.2 合法性要求
合法性要求包括:
a)请求转移的个人信息应是基于同意或者订立、履行合同所必需而处理的个人信息;
b)对于按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需而处理的个人信息,个人信息转移的行使通常仅限于以个人信息主体为一方当事人所订立、履行合同所必需而处理的个人信息。
注:基于以下合法性基础处理的个人信息不适用个人信息转移请求:一是为履行法定职责或者法定义务所必需;二是为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;三是依照《个人信息保护法》规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。
7.3 以电子方式记录的要求
个人信息转移权利的行使仅限于以电子方式记录的个人信息。
7.4 不损害他人合法权益的要求
当个人信息主体请求转移的信息包括他人信息时,个人信息处理者应:
a)核验他人信息是请求人合法获得的,且不违背他人意愿;
b)明确他人信息是请求人有法定权利处理的;
c)要求个人信息转移的请求目的仅限于私人或家庭活动需要;
d)拒绝响应请求人的转移请求,当其知晓个人信息转移的行使将损害他人合法权益;
注1:8.4.2规定了个人信息处理者拒绝个人信息转移请求时应遵守的具体要求。
e)原则上告知他人并取得其同意,除非征求他人的同意不具有技术可行性。
注2:个人信息处理者拒绝转移他人个人信息时,应保留相应记录,并向请求人说明拒绝的原因。
7.5 请求的合理性要求
请求转移个人信息应在合理的限度之内。具体要求包括:
a)个人信息主体应指定与个人信息处理者签订个人信息转移协议的主体作为个人信息接收方;
注:如个人信息主体所指定的个人信息接收方尚未与个人信息处理者签订个人信息转移协议,则个人信息主体可以请求个人信息处理者与个人信息接收方签订个人信息转移协议。如因个人信息转移协议无法签订导致个人信息无法转移的,个人信息处理者应说明理由和原因。
b)个人信息主体请求转移个人信息的频次应在合理时间间隔内。个人信息处理者可根据以下因素评估时间间隔的合理性:
1)个人信息更改的频率;
2)个人信息的性质;
3)个人信息处理的目的;
4)后续的请求是否与之前的请求涉及相同类型的个人信息或处理活动。
c)个人信息处理者可以拒绝明显没有根据或者过分的请求,但应对基本事实进行记录,并告知个人信息主体。
注:8.4.2规定了个人信息处理者拒绝个人信息转移请求时应遵守的具体要求。

8 个人信息转移行使流程的一般性要求

8.1 基本流程

个人信息可携带权国标导读

图4 个人信息转移基本流程
个人信息转移请求行使的基本流程主要包含请求发起、请求验证、请求处理、个人信息导出以及转移的个人信息导入五个步骤,各步骤及转移个人信息的格式应满足8.2~8.7要求。
8.2 请求的发起
个人信息处理者应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知行使个人信息转移请求的方式和程序,并为个人信息主体提供便捷的发起请求的途径。具体发起方式包括:
a)通过在线或书面等提出个人信息转移的请求;
b)委托第三方(如亲属、朋友、代理机构等)代表其提出个人信息转移的请求,个人信息处理者应确认请求的有效性,例如核验第三方所提供证明的真实性。
8.3 请求的验证
个人信息处理者应对请求人的请求进行验证,包括对请求者身份验证、请求内容、请求频次、第三方身份及授权证明有效性等。验证要求包括:
a)个人信息处理者应实施个人信息主体的身份认证程序,以确定个人信息转移请求的真实性,并确保处理个人信息转移请求的整个过程的安全性;
b)个人信息主体身份认证要求提供信息应是合理、符合比例的,并遵循最小必要原则;
c)当确对请求人的身份有合理疑问时,个人信息处理者可以要求请求人提供额外信息。但该额外信息应仅限于确认其身份所必需的信息,且不超过个人信息主体使用或注册时提供的信息。
d)对于第三方提出的个人信息转移请求,个人信息处理者可以要求其提供适当的受托证明以及关于被授权的事实说明。如个人信息处理者对第三方的身份确有合理疑问,可以要求第三方提供额外的信息以确认身份;
e)已通过自动化工具实现个人信息转移请求处理的个人信息处理者,可以自行确定其处理请求的频次;
f)当个人转移请求的验证未通过时,个人信息处理者应该通过合适途径以清晰的方式告知请求人;
g)如果个人信息主体以收到的答复不完整或没有给出充分拒绝的原因为由重新第一次的转移请求,则该请求不应视为新的请求,而是视为第一次未满足请求的提醒。
8.4 请求的处理
8.4.1 回复请求
对于验证通过的个人信息转移请求,对个人信息处理者的要求包括:
a)应收到请求后的一个月内回复;如果个人信息转移请求的处理过于复杂,个人信息处理者可以适当延长回复期限,但不应超过收到请求后的两个月;
b)若请求人在一个月内提出多次个人信息转移请求,以最后一次行权请求为有效请求,并以最后一次请求的时间为开始时间,重新计算处理时间。
8.4.2 拒绝请求
当个人信息转移的请求符合以下任一情形的,个人信息处理者可以拒绝个人信息转移的请求:
a)不属于本标准第6章规定的适用范围;
b)不符合本标准第7章规定的行使条件;
c)未通过身份验证;
拒绝个人信息转移请求的,个人信息处理者应以清晰的语言告知请求人以下事项:不处理请求的原因;个人信息主体申诉的可能性及其途径;个人信息主体向监管机构投诉和寻求司法救济的权利。
8.4.3 处理请求的费用
通常情况下,个人信息处理者不应对个人信息转移请求收取费用。但在符合以下情形的情况下,个人信息处理者可以在处理请求所花费成本的范围内收取合理的费用:
a)所处理的请求不在合理的限度之内;
b)个人信息处理者与个人信息主体、第三方以及作为接收方的个人信息处理者自愿达成协议。
8.5 个人信息转移的标准格式
基于转移个人信息流通的目的考虑,个人信息处理者应:
a)以结构化、通用以及机器可读的格式提供个人信息;
b)非行业或部门特殊规定,应使用CSV,XML和JSON等开放格式提供个人数据。如因行业或部门特殊,应使用特殊格式,文件格式应满足结构化和机器可读的基本要求,且文件格式的定义应公开透明;
注1:CSV是电子表格数据的标准格式,数据以纯文本文件而非二进制表示,每个数据行在新行上,每行上的值用逗号分隔,是一种非常简单的开放格式,易于使用。
注2:XML是由万维网联盟(“W3C”)维护的一组开放标准定义,广泛用于文档,但也可用于表示数据结构,例如 Web 服务中使用的数据结构。这意味着 XML 可以由 API 处理,从而促进数据交换。
注3:JSON是基于许多网站使用的JavaScript语言的文件格式,并用作数据交换格式。与XML一样,它可以由人类或机器读取,也是由W3C维护的标准化开放格式。
c)个人信息处理者提供个人信息时,应使用合适的元数据以准确表述所提供的个人信息的含义。
8.6 个人信息的导出
8.6.1 个人信息导出的方式
个人信息处理者导出个人信息主体请求涉及的个人信息的要求包括:
a)个人信息处理者不应设置任何法律、技术或财务上的障碍以减缓或阻止请求涉及的个人信息的导出;
b)在技术可行的情况下,可直接提供请求涉及的个人信息,或者提供可提取请求涉及的个人信息的自动化工具(如SFTP服务器或Web Portal等);
注:以上个人信息的导出,原则上应以电子格式提供,个人信息主体另有要求的除外。
c)当传递照片、视频等容量较大、数量较多等个人信息时,宜通过第三方安全访问接口导出的形式提供。
8.6.2 他人个人信息的导出
个人信息处理者导出的个人信息涉及个人信息主体之外的主体时,个人信息导出的要求包括:
a)个人处理者应合理评估是否会对他人的合法权益造成不利影响,以确定是否能基于合理原因不经他人同意遵从此请求,将此个人信息导出;
b)无论个人信息处理者是否导出他人信息,都应答复请求人的请求,并保留相关记录,说明相关决定和原因;
注:8.4.2规定了拒绝个人信息转移请求应遵循的具体要求。
c)个人信息处理者宜采用适当的工具,使请求人能够选择其希望获取和转移的相关个人信息,并提供可以排除他人个人信息的功能。
8.6.3 导出个人信息的安全保障
个人信息处理者导出的个人信息的安全要求包括:
a)个人信息处理者应采取适当措施确保个人信息传输的安全性并确保个人信息传输至正确的接收方;
b)当作为接收方的另一个人信息处理者存在安全风险或其存储数据系统的安全性低于导出之前的系统时,个人信息处理者应明确告知个人信息主体相关风险。
8.6.4 导出个人信息的说明
当请求人对导出的基于个人请求转移的个人信息存在合理疑问时,个人信息处理者应给出合理说明。
8.7 个人信息的导入
8.7.1 合法性要求
导入个人信息的个人信息处理者的合法性要求包括:
a)作为接收方的另一个人信息处理者在导入转移请求涉及的个人信息时,应确保其有处理该个人信息的合法性基础,并确保对导入个人信息的后续处理不会对他人的合法权益产生不利影响;
b)对于不符合上述条件的已导入个人信息,个人信息处理者应尽快将其删除。
8.7.2 对他人信息处理的目的限制
当导入的个人信息涉及他人个人信息时,作为接收方的个人信息处理者不应超出用户授权范围处理此类个人信息,例如超出用户授权范围通过自动化决策方式向个人进行信息推送、商业营销等。

9 个人信息转移的自动化处理要求

个人信息转移请求在技术可行的情况下,可通过自动化处理的方式实现。具体方式包括:
a)个人信息处理者以自动化的方式响应个人信息转移请求;
b)转移的个人信息以自动化方式在不同个人信息处理者之间直接传输。

10 对代理人或代理机构的要求

个人信息主体通过委托第三方代表其提出个人信息转移的请求时,技术要求包括:
a)第三方可能是未成年人的父母或其他监护人,也可能是作为代理机构的组织或实体;
b)个人信息处理者应核实代理人的身份,如果对代表个人信息主体的代理存在合理的怀疑,可以要求提供额外信息以确认身份。代理人应向个人信息处理者提供适当的受托证明以及关于被授权的事实说明。

11 不满十四周岁未成年人个人信息转移请求处理的要求

涉及不满十四周岁未成年人请求转移处理个人信息的技术要求包括:
a)个人信息处理者应制定适合未成年人理解的未成年人个人信息处理规则,使未成年人充分理解其权利。未成年人个人信息处理规则应说明未成年人个人信息转移权行使的程序,并采取适当的保障措施,保障未成年人的权益;
b)当不满十四周岁未成年人提出转移个人信息的请求时,个人信息处理者应:
1)确保转移个人信息的请求是经未成年人父母或其他监护人同意的;
2)考虑未成年人的利益,确保个人信息的转移不会对未成年人造成不利影响;
3)在转移个人信息时提示作为接收方的个人信息处理者此信息属于未成年人个人信息。

12 涉及第三方的个人信息转移请求处理的要求

在个人信息处理者已将转移请求涉及个人信息以共享或委托等形式提供给第三方的情况下,个人信息处理者应:
a)应明确告知个人信息主体提供给第三方的个人信息类型及数量;
b)应向个人信息主体告知第三方处理者的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及向第三方行使个人信息转移权的方式和程序等事项;
c)当发现第三方未能履行个人信息主体转移请求,存在侵害个人信息主体权益的风险时,个人信息处理者应及时采取相关补救措施,有效避免危害的扩大。

13 涉及跨境提供的个人信息转移请求处理的要求

当请求人指定的个人信息接收方位于境外时,转移个人信息的技术要求包括:
a)导出的个人信息处理者明确告知个人信息跨境的法律风险;
b)导出的个人信息处理者应事先按照我国有关规定,通过数据出境安全评估、个人信息出境标准合同、个人信息出境安全认证等方式,向境外个人信息接收方传输个人信息;
c)如导出的个人信息处理者无法符合第13章 b)的要求,应明确告知个人信息主体,并向个人信息主体提供复制个人信息的方法。
注:8.4.2规定了个人信息处理者拒绝个人信息转移请求时应遵守的具体要求。

14 完全以个人信息主体为中心模式的个人信息转移要求

个人信息转移的要求包括:
a)个人信息处理者完成个人信息转移请求的验证,并在15天内明确告知个人信息主体验证结果。如果个人信息转移请求未通过验证,个人信息处理者应清晰说明未通过验证原因;
b)对于已经通过个人信息处理者验证的个人信息转移请求,个人信息处理者应在15天内将需要转移的个人信息以机器可读的格式提供给个人信息主体;
c)个人信息主体接收基于个人同意的转移个人信息,并提供给转移个人信息接收者;
d)转移个人信息接收者在收到个人信息转移请求后,应完成对个人信息主体的验证;
e)转移个人信息接收者在15天内完成个人信息的转移处理,并将处理结果明确告知个人信息主体。如存在个人信息转移失败的情况,应向个人信息主体清晰说明未完成处理原因。

15 个人信息转入方(接收方)积极主动模式的要个人信息转移求

个人信息转移的要求包括:
a)个人信息主体向转移个人信息接收者发起个人信息转移请求后,转移个人信息接收者在收到个人信息主体请求后,完成个人信息主体认证;
b)在完成认证后,个人信息转移请求将由转移个人信息接收者发送给个人信息处理者,并同步转移个人信息主体验证信息;
c)个人信息处理者完成个人信息转移请求的验证,并在15天内明确告知验证结果。如果个人信息转移请求未通过验证,个人信息处理者应清晰说明未通过验证原因;
d)对于已经通过个人信息处理者验证的个人信息转移请求,个人信息处理者应在15天内将需要转移的个人信息以机器可读的格式直接提供给转移个人信息接收者;
e)转移个人信息接收者在收到转移个人信息的请求后在15天内完成个人信息的转移处理,并将处理结果明确告知个人信息主体。如存在转移个人信息处理失败情况,应清晰说明未完成处理原因。

16 代理模式的个人信息转移要求

个人信息转移的要求包括:
a)个人信息主体发起个人信息转移请求到代理机构后,代理机构依据个人信息处理者、转移个人信息接收者的验证要求,收集个人信息主体相关信息;
b)代理机构按照个人信息主体要求,将转移个人信息请求发送给个人信息处理者,并同步传递个人信息主体验证所需相关信息;
c)个人信息处理者负责个人信息转移请求验证,并应在15天内明确告知代理机构。如果个人信息转移请求未通过验证,个人信息处理者应清晰说明未通过验证原因;
d)对于已经通过个人信息处理者验证的个人信息转移请求,个人信息处理者应在15天内将需要转移的个人信息以机器可读的格式提供给代理机构;
e)代理机构应在1天内将转移个人信息发送给个人信息主体指定的接收者,并同步传递个人信息主体验证所需相关信息;
f)转移个人信息接收者在收到转移个人信息请求后,应在15天完成个人信息主体验证,并将验证结果明确告知代理机构。如果个人信息主体验证未通过,个人信息处理者应清晰说明未通过验证原因;
g)转移个人信息接收者在15天内完成个人信息的转移处理,并将处理结果明确告知代理机构。如存在转移个人信息处理失败情况,应清晰说明未完成处理原因;
代理机构将汇总个人信息转移处理过程中各个阶段信息并发送给个人信息主体。

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月10日10:40:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   个人信息可携带权国标导读https://cn-sec.com/archives/2639170.html

发表评论

匿名网友 填写信息