x

【中国隐私政策】中国:关于制定隐私政策的规定

cioctocdo
27 August 2022
SEO Title
China: Provisions on the development of privacy policies

文章分类

2022年5月26日,国家信息安全标准化技术委员会(“TC260”)发布了信息安全技术互联网平台和产品及服务隐私协议要求草案(“要求草案”),供公众咨询。要求草案深入了解了隐私政策的内容、访问方法以及与更新隐私政策相关的程序。OneTrust数据指南研究概述了需求草案中包含的关键发展。

范围

要求草案规定了互联网平台产品和服务(“互联网平台”)隐私政策的程序、具体内容和形式,旨在提高隐私政策的可读性和透明度,以及处理隐私政策相关争议的要求(要求草案第1条)。

一般而言,草案要求强调隐私政策应明确、准确、完整地描述个人信息处理者的个人信息处理行为,并从易于阅读和理解的角度向个人信息主体展示可能影响用户权益的关键内容(要求草案第5条)。

定义

要求草案将个人信息定义为以电子方式或其他方式记录的与可识别自然人相关的所有类型的信息,不包括匿名信息(要求草案第3.1条)。

个人信息处理人是指独立决定个人信息处理活动的目的和处理方法的组织和个人(要求草案第3.4条)。

更具体地说,要求草案规定,如果个人信息主体自愿通过书面、口头和其他方式作出书面或电子声明,或自行采取肯定行动,并明确授权处理其个人信息,则表示同意(要求草案第3.6条)。

隐私政策的内容

首先,要求草案规定,隐私政策必须说明协议的主题和范围,包括个人信息处理人的身份和地址、负责个人信息保护的人的联系方式、政策适用的产品和服务以及适用的个人信息主体的类型。

概括要点,要求草案指出隐私政策通常包括(要求草案第7.3节):

  • 为商业目的收集的个人信息类型;
  • 向第三方提供个人信息的主要场景;
  • 数据主体行使其权利的主要渠道;
  • 数据主体投诉和报告的主要渠道;和
  • 其他需要数据主体注意的事项。

值得注意的是,要求草案排除了隐私政策摘要可以放在隐私政策的开头,或者可以作为单独的文件提交(要求草案第7.3节)。

此外,要求草案概述了应包括的具体条款和信息(要求草案第7.4节)。例如,隐私政策应明确说明“我们收集您的姓名、电话号码和地址信息”,而不是使用一般语言来概括所收集的个人信息。同样,隐私政策必须解释使用个人信息所涉及的地理区域,例如个人信息的存储和备份位置,是否存在个人数据的跨境传输,以及在提供此类信息时,单独列出或突出显示。更具体地说,隐私政策应指明不同类型个人信息的预期保留期或确定个人信息存储期的方法,以及删除或销毁的截止日期。

安全

另一方面,要求草案概述了个人信息安全的必要内容,要求隐私政策解释所采取的措施,包括但不限于加密措施、存储和备份过程、访问和使用个人信息的授权和审计机制以及删除机制(要求草案第7.5(a)节)。在这方面,要求草案详细说明了目前遵循的任何安全程序,以及持有的国内和国际认证。然而,草案要求澄清,还应说明提供个人信息的安全风险,并且在发生安全事件时,个人信息处理人员将承担责任,并及时通知数据主体(草案要求第7.5节)。

数据主体权利

关于数据主体权利,要求草案认为隐私政策必须解释数据主体拥有哪些权利,包括限制处理、访问、更正、撤回同意和删除的权利(要求草案第7.6(a)节)。更具体地说,如果为数据主体提供隐私偏好设置,则必须解释具体的设置方法,如果数据主体行使权利产生费用,则必须说明费用的原因和依据(要求草案第7.6(c)和7.6条(d))。同样,如果个人信息处理人拒绝数据主体的请求,则必须明确说明拒绝的原因和依据(要求草案第7.6(g)节)。

联系方式

要求草案指出,个人信息处理人员必须提供与个人信息安全相关的投诉和反馈的明确渠道,包括负责个人信息安全的部门的地址和电子邮件地址(要求草案第7.9(a)节)。

隐私政策更新/修订

要求草案规定了隐私政策修订的具体细节,解释了不会对数据主体的权利和利益产生重大影响的修订与实际影响的修订之间的差异。关于前者,个人信息处理人员必须及时更新隐私政策,并及时通知数据主体。但是,对于确实严重影响数据主体权益的修改,个人信息处理人员必须:

  • 在其网站和互联网平台协会上公开征求公众对个人信息保护的意见,时间不少于30天;和
  • 充分采纳公众意见,修订和完善平台规则,以便于用户访问的方式宣布采纳意见,并解释某些意见未被采纳的原因。

此外,要求草案强调了大型互联网平台的替代要求,这些平台必须征求主要由外部成员组成的独立机构的意见和建议(要求草案第9(a)节)。大型互联网平台是指拥有超过5000万用户、处理大量个人信息和重要数据、或具有强大社会动员能力和市场支配地位的运营商(草案要求第9(b)节)。

然而,每日活跃用户超过1亿的大型互联网平台在修改隐私政策时,必须提交变更,由中国网络空间管理局(“CAC”)认可的第三方机构进行评估,并向省级网络安全和信息化部门和电信主管部门报告(要求草案第9(c)节)

在向数据主体发出通知时,要求草案规定,通常采用的通知方法包括(要求草案第7.8节):

  • 在登录到信息系统时通知数据主体;
  • 当数据主体使用信息系统时,通过弹出窗口进行通知;
  • 当数据主体使用信息系统时,直接推送通知;或
  • 通过电子邮件/文本通知。

隐私政策可视化

值得注意的是,要求草案为隐私政策的布局提供了规则。这包括:

  • 提示数据主体阅读隐私政策,如弹出窗口;
  • 确保将政策放在页面上,以便数据主体能够长时间轻松阅读,并且不应干扰数据主体对服务的使用,具体规定必须提供简体中文;
  • 确保在多种服务类型可用的情况下,隐私政策仅用于告知数据主体该特定服务,并注意到未使用的其他服务类型不应收集个人信息;
  • 确保在使用新服务时,提示数据主体阅读隐私政策的相关部分;
  • 确保数据主体无需通过更新隐私政策同意收集更多个人信息;和
  • 使用交互式选择界面提高隐私策略的可见性。

本文:https://cioctocdo.com/china-provisions-development-privacy-policies

文章链接
https://cioctocdo.com/china-provisions-development-privacy-policies

标签