第二期 | 《个保法》4问4答:个人信息处理的合规要求
*更新于2021-11-11*
🙋相信大家对我们上一期推出的内容-个保法之下的开发者与经营者如何合规落地已经有了初步的了解。本期友盟+法务团队继续为大家解读经营者在处理个人信息时应该遵守哪些要求呢?
🧚♀️【上一期内容看这里:https://community.umeng.com/topic/view/6183ad9309f1f60c887346f0】
✨友盟+社区从中整理了4个具体的问答,帮助开发者们了解个人信息是如何合规处理的。
STEP 01
明确什么是个人信息
问:个保法如何定义“个人信息”?
答:以电子或者其他方式记录的与已识别或者可识别自然人有关的各种信息,不包括匿名化处理后的信息。因此,个人信息的范围不仅包括直接能判断个人身份的信息(如身份证信息等),还包括所有可能识别出个人的信息(如设备信息等)。
问:这些个人信息,因为不同的敏感程度,被分为一般个人信息和敏感个人信息,具体什么是敏感个人信息呢?
答:敏感个人信息指一旦被泄露或者非法使用,容易导致自然人人格尊严受到侵害或者人身财产安全受到危害的信息。包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
常见的个人信息举例,详见国家标准《个人信息安全规范》附录。
STEP 02
个人信息处理的合规要求
问:企业在满足什么样的合规前提下,可以处理个人信息?
答:满足以下三类合规前提的任何一种:
- 取得个人的同意
企业在充分告知个人并取得同意后,可处理个人信息。
- 履行合同所必须
这里合同特指个人作为一方当事人的合同,如企业为个人提供服务的合同,或履行劳动合同所必须。
- 法定特殊情形
如履行法定职责或义务、处理公共卫生事件或紧急情况、进行新闻报道或舆论监督、或处理公开信息。
STEP 03
告知同意的具体要求
问:在取得个人同意的场景下,根据具体场景的不同,个保法对同意形式有哪些不同的要求?
答:
(1)一般同意:通常企业充分告知、个人明示同意后即可处理个人信息。
(2)单独同意:但在以下5类特定特殊场景下,个人的同意需要“单独”作出,即区分于一揽子同意,以“单独清单”等方式向用户告知并取得同意。
- 向他人提供个人信息
- 处理敏感个人信息
- 公开处理个人信息
- 向境外提供个人信息
- 维护公共安全而在公共场所安装身份识别设备
本期对于解读开发者在处理个人信息时应该遵守哪些合规要求,看到这里大家也已经有了一定的理解。
✨【下期预告】个人信息处理的三大通用场景的合规要求
😉请大家继续期待。
想要浏览视频,欢迎观看完整视频哦~