前 言
一、针对42574中对告知情形的相关条款解读
|
|
|
|
|
|
|
|
二、告知的内容(合规思路)
(一)收集个人信息需告知的内容
对于收集的个人信息,有一个总的告知思路:均需告知用户收集个人信息的目的、方式和范围,其中“目的”是指收集个人信息的原因,“方式”是指如何收集个人信息(如本地自动采集、用户表单填写等),“范围”则是指收集的个人信息的种类,以上三要素是收集任何个人信息均需告知的。
合规示例1
合规示例2
2. 通过可收集个人信息权限采集的:除在隐私政策中声明外,还需在首次调用权限时,通过弹窗或其他明显形式告知当前申请权限的具体目的;
合规示例3
3. 间接获取的:当开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,告知现有范围并征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意;
4. 收集个人敏感信息的:收集页面需告知用户收集目的,且需在隐私政策内告知处理个人敏感信息的必要性和对个人权益的影响(如敏感信息泄露会对个人造成的影响);
合规示例4
5. 收集生物识别信息的:收集时需向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;(注:个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。)
合规示例5
6. 收集未满14周岁未成年人的个人信息的:应征得未成年人或其父母、监护人的明示同意,不满14周岁的,应征得其父母、监护人的明示同意(短信验证码、第三方应用二维校验等方式);还需在隐私政策内制定未成年人专属的隐私政策说明其个人信息的收集、处理方式;
合规示例6
(二)提供、公开个人信息需告知的内容
提供、公开的情况较多,每种情况下需要告知的内容相似却不相同,需要仔细区分,下面我们来分类对比:
1. 共享、转让:需告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果;涉及敏感信息时,还应额外告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力;
合规示例7
2. 公开披露:需公开披露的个人信息的目的、类型;涉及敏感信息时,还应额外告知涉及的个人敏感信息类型;
合规示例8
(未实际发生时,可在隐私政策中承诺会进行告知)
3. 因合并、分立、解散、被宣告破产等原因需要转移个人信息:需告知接收方的名称或者姓名和联系方式;
合规示例9
(未实际发生时,可在隐私政策中承诺会进行告知)
4. 向其他个人信息处理者提供:需告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类;
5. 向境外提供:需告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使《个人信息保护法》规定权利的方式和程序等事项;
(三)处理活动等发生变更需告知的内容
对于处理活动等发生变更的告知内容就比较好理解了,原则是变更了什么内容,就告知用户什么内容,这里的变更不止是由A变成B,也包括内容的增加及减少。该部分的内容都是需要写在隐私政策内的内容,故发生变更时,可直接通过提示用户阅读新版隐私政策,并在提示框或新版隐私政策上方明显处写明发生变更的章节,告知用户并再次征求其同意。
三、结语
(本文作者:北京梆梆安全科技有限公司 何盈、鲍佳)
原文始发于微信公众号(CCIA数据安全工作委员会):标准应用 | GB/T 42574中“告知的适用情形”相关条款技术解析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论