《个人信息保护合规指南(试行)》

《个人信息保护合规指南(试行)》本指南适用于在中华人民共和国境内开展个人信息处理活动的自然人、法人及非法人组织（以下统称“处理者”），以及在中华人民共和国境外处理中华人民共和国境内自然人个人信息且符合《中华人民共和国个人信息保护法》第三条规定情形的处理者。本指南所称个人信息，是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息；敏感个人信息是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。一、个人信息处理基本原则处理者开展个人信息处理活动，应当遵循以下原则：1.合法正当：处理活动必须有明确的法律依据或合理事由，不得通过欺诈、误导等方式获取个人信息；2.最小必要：收集的个人信息类型、数量应与处理目的直接相关，且为实现目的所必需的最低限度，禁止过度收集；3.公开透明：处理规则、目的、方式、范围等需以清晰易懂的语言向个人明示，避免使用模糊或概括性表述；4.目的明确：处理目的应具体、明确，禁止超出约定或法定范围使用个人信息；5.质量保障：确保个人信息准确、完整，对错误或过时信息应及时更正或删除；6.责任明确：建立全流程责任体系，明确各环节处理责任主体及操作规范。二、个人信息处理全流程合规要求（一）处理前评估与告知同意处理者在开展个人信息处理活动前，应完成以下步骤：1.必要性评估：制定《个人信息处理清单》，列明处理目的、信息类型、收集方式（如主动提供、自动采集）、存储期限、共享/转让对象及安全措施等，评估处理活动对个人权益的潜在风险；2.告知义务：通过隐私政策、弹窗提示等方式向个人告知以下内容（需单独告知敏感个人信息处理时）：处理者的名称、联系方式；个人信息的种类、范围及收集方式；处理目的、方式（如存储、使用、共享、公开）；个人信息的存储地点、期限（或确定期限的规则）；个人信息共享、转让的接收方名称、处理目的及安全保障措施；个人行使查阅、复制、删除等权利的方式和程序；投诉、举报的渠道和方式；法律、行政法规规定应当告知的其他事项。告知内容需显著展示，避免隐藏于冗长条款中，语言需通俗易理解（如避免使用专业术语或复杂句式）；3.同意获取：个人信息处理需取得个人的明确同意（法律、行政法规规定不需同意的除外）。同意应为个人自愿、明确的意思表示（如勾选确认框、点击“同意”按钮），禁止通过默认勾选、捆绑功能等方式强迫或变相强迫同意。处理敏感个人信息的，需向个人特别说明处理的必要性及对其权益的影响，并取得书面或其他足以确认其明确同意的方式（如单独弹窗确认）。（二）个人信息收集1.主动提供场景：仅在个人主动填写、上传时收集信息，不得强制要求提供与服务无关的信息（如社交软件不得强制要求提供身份证号）；2.自动采集场景：通过APP、传感器、摄像头等技术手段自动采集信息的，需明确采集的频率、范围（如定位信息的采集精度），且符合最小必要原则（如天气类APP仅需获取城市级定位，不得采集精确经纬度）；3.第三方间接收集：从其他处理者处获取个人信息的，需确认第三方已依法履行告知同意义务，并签订书面协议明确信息来源合法性及双方责任。（三）个人信息使用、共享与转让1.使用限制：严格按照已告知的处理目的使用个人信息，如需变更目的，需重新取得个人同意；2.共享要求：向第三方共享个人信息前，需评估接收方的个人信息保护能力（如核查其隐私政策、安全认证情况），并与其签订书面协议，明确共享信息的种类、处理目的、保护措施及违约责任。共享时需通过加密传输、去标识化等方式保障传输安全；3.转让要求：个人信息转让需符合以下条件：转让前向个人告知接收方名称、处理目的及方式；取得个人单独同意（法律另有规定的除外）；接收方需履行与处理者同等的保护义务。（四）个人信息存储与删除1.存储期限：存储期限应明确且合理，原则上不超过实现处理目的所需的最短时间（如电商平台订单信息存储期限可设定为“订单完成后3年”）。法律、行政法规对存储期限有规定的，从其规定；2.存储地点：在中华人民共和国境内收集的个人信息，原则上应在境内存储；确需向境外提供的，需通过国家网信部门组织的安全评估，或按照国家网信部门制定的标准合同与境外接收方签订协议，或符合法律、行政法规规定的其他条件；3.删除义务：出现以下情形时，处理者应主动删除个人信息或作匿名化处理（法律另有规定的除外）：处理目的已实现、无法实现或无需继续实现；个人撤回同意；处理者停止提供产品或服务；个人信息保存期限已届满；其他法律、行政法规规定的情形。三、个人信息安全保障措施处理者应建立健全个人信息安全管理制度，采取技术与管理双重措施防范信息泄露、篡改、丢失：1.技术措施：加密存储：对个人信息（尤其是敏感信息）采用符合国家标准的加密算法（如AES-256）存储，传输过程中使用HTTPS等安全协议；访问控制：实施最小权限原则，对访问个人信息的账号设置分级权限（如开发人员仅能访问匿名化数据，客服仅能访问必要的用户联系信息），并记录访问日志；去标识化处理：在非必要场景下对个人信息进行去标识化（如将姓名替换为“用户XXX”，将身份证号隐藏部分字段），确保无法通过单一信息识别特定自然人；安全监测：部署入侵检测系统、日志审计系统，实时监测异常访问、数据泄露等风险，发现问题后24小时内启动应急响应；2.管理措施：制定《个人信息安全管理办法》，明确各部门及岗位的安全责任；每年至少开展1次全员安全培训（覆盖所有接触个人信息的员工），培训内容包括法律合规要求、安全操作规范、风险案例分析等；设立个人信息保护专职岗位（如数据保护官），直接向企业最高管理层汇报，负责监督合规情况、处理个人投诉、组织安全评估等；发生个人信息泄露、篡改、丢失等安全事件时，立即采取补救措施，评估事件影响，在72小时内向履行个人信息保护职责的部门报告（造成或者可能造成严重后果的，24小时内报告），并及时通知受影响个人（通知内容包括事件原因、影响范围、补救措施及联系方式）。四、个人信息主体权利保障处理者应建立便捷的渠道保障个人行使以下权利：1.知情权：个人要求了解个人信息处理情况的，处理者应在15个工作日内以书面或电子形式提供《个人信息处理清单》及相关说明；2.查阅、复制权：个人可通过在线页面、客服热线等方式申请查阅、复制其个人信息，处理者应在15个工作日内提供（需复制的，可通过下载链接、光盘等形式交付）；3.更正、补充权：个人认为其信息不准确或不完整的，可提出更正或补充申请，处理者应在15个工作日内核实并完成修改；4.删除权：符合本指南“存储与删除”章节规定情形的，处理者应在收到申请后15个工作日内删除或匿名化处理相关信息；5.撤回同意权：个人可随时撤回对个人信息处理的同意，撤回后处理者应停止基于该同意的处理活动（法律另有规定的除外），但不影响撤回前已进行处理的合法性；6.限制处理权：个人有合理理由认为处理活动侵害其权益的，可申请限制处理（如暂停共享、使用），处理者应在15个工作日内核实并采取相应措施；7.异议投诉权：个人对处理活动有异议的，可向处理者投诉，处理者应在30个工作日内予以答复；对答复不满的，可向履行个人信息保护职责的部门举报。五、特殊主体保护处理不满十四周岁未成年人个人信息的，应取得其父母或其他监护人的同意，并在隐私政策中明确未成年人信息处理的特别规则（如仅收集姓名、年龄等必要信息，禁止收集社交账号、消费记录等非