上一期 友盟+针对《个保法》企业需要履行责任进行了解读,本期我们来解读企业在处理个人信息时应该遵守哪些合规要求。
首先明确,什么是个人信息?
个保法对“个人信息”的定义是:以电子或者其他方式记录的与已识别或者可识别自然人有关的各种信息,不包括匿名化处理后的信息。
因此,个人信息的范围不只包括直接能判断个人身份的信息(如身份证信息等),
还包括所有可能识别出个人的信息(如设备信息等)。
在这些个人信息中,敏感程度的不同,分为一般个人信息和敏感个人信息。
敏感个人信息指一旦被泄露或者非法使用,容易导致自然人人格尊严受到侵害或者人身财产安全受到危害的信息。包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
常见的个人信息举例,详见国家标准《个人信息安全规范》附录。
个人信息处理的合规要求
企业在满足什么样的合规前提下,可以处理个人信息?
满足以下三类合规前提的任何一种:
(一)取得个人的同意。
企业在充分告知个人并取得同意后,可处理个人信息。
(二)履行合同所必须。
这里合同特指个人作为一方当事人的合同,如企业为个人提供服务的合同,或履行劳动合同所必须。
(三)法定特殊情形。
如履行法定职责或义务、处理公共卫生事件或紧急情况、进行新闻报道或舆论监督、或处理公开信息
告知同意的具体要求
在取得个人同意的场景下,根据具体场景的不同,个保法对同意的形式也有不同的要求。
通常,在企业充分告知、个人明示同意后即可处理个人信息。
但在以下5类特殊场景下,个人的同意需要“单独”作出,即区分于一揽子同意,以“单独清单”等方式向用户告知并取得同意。
向他人提供个人信息
处理敏感个人信息
公开处理个人信息
向境外提供个人信息
维护公共安全而在公共场所安装身份识别设备
备注:上述五类场景时间不够不用念,在画面上写明白即可。
在此,友盟+温馨提示,处理个人信息前务必要根据本节课程,自查是否满足法律要求哦~下一期,我们向大家讲解个人信息处理三大通用场景的合规要求,非常实操,可不要错过哦。
友盟+作为开发者服务领域引导者,将在监管机构的指导下,积极与开发者一道共同推动个人信息保护工作,共同落实个人信息保护义务,为构建一个安全、合规、健康的网络环境贡献力量。