安全合规--46--基于国内法律法规的企业数据合规体系建设经验总结（四）

本博客地址：https://security./article/details/114271929

本篇介绍：个人信息委托处理、共享、转让和公开披露

本篇为第4篇/共9篇

上一篇：基于国内法律法规的企业数据合规体系建设经验总结（三）

下一篇：基于国内法律法规的企业数据合规体系建设经验总结（五）

前言

个人信息委托处理、共享、转让和公开披露，均属于个人信息的对外提供，为了满足合作业务开展的需求，个人信息的对外提供时常会发生。与此同时，提供到外部的个人信息我们对其掌控力会明显减弱，这也导致了在对外提供环节，个人信息泄露、个人信息违规使用等事件爆发率较高。因此，需要对个人信息对外提供环节加以规范，尽可能的降低个人信息安全事件发生的风险。

接下来，我将从个人信息主体同意及例外情形、数据接收方的尽调和约束、对外提供的安全措施、对外提供的记录、数据接收方的持续监督、第三方接入管理、公开披露个人信息的特殊要求、对外提供个人信息的责任承担等八方面来探讨个人信息委托处理、共享、转让和公开披露的合规化。

一、个人信息主体同意及例外情形

个人信息主体同意

《APP违法违规认定办法》第5条规定了以下行为可被认定为未经同意向他人提供个人信息：

1、既未经用户同意，也未做匿名化处理，APP客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息。

2、既未经用户同意，也未做匿名化处理，数据传输至APP后台服务器后，向第三方提供其收集的个人信息。

3、APP接入第三方应用，未经用户同意，向第三方应用提供个人信息。

在实践中，对于用户同意的方式和内容，这里可以理解为明示同意，具体操作方式可以是通过隐私政策等授权文本告知用户对外共享、转让、公开披露个人信息的目的，涉及的个人信息类型，接收方类型或身份，各自的安全和法律责任，并通过用户手动点击确认隐私政策等主动的表示来获得用户的明示同意。对于这里的接收方类型或身份，能够列明具体的接收方名称更好，如考虑到业务合作方动态变化，则至少应说明接收方的机构类型。

个人生物识别信息的特殊处理

不共享、不转让个人生物识别信息是原则。如果确实需要共享、转让个人生物识别信息，则应符合以下要求：

1、必要性，确实因为业务需要。也就是意味着，共享转让个人生物识别信息必须经得起必要性的检验，在面临监管检查时需要有足够的业务需要作为支撑。

2、告知方式，单独告知。

3、告知内容、告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等。

4、同意方式，明示同意。

征得个人信息主体同意的例外

《个人信息安全规范》第9.5条明确了共享、转让、公开披露个人信息时事先获得同意的例外情形，具体包括：

1、与网络运营者履行法律法规规定的义务相关的；

2、与国家安全、国防安全直接相关的；

3、与公共安全、公共卫生、重大公共利益直接相关的；

4、与刑事侦查、起诉、审判和判决执行等直接相关的；

5、出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又难以得到本人授权同意的；

6、个人信息主体自行向社会公众公开的个人信息是；

7、从合法公开披露的信息中收集个人信息的；

二、数据接收方的尽调和约束

在数据对外提供前，对数据接收方的尽调是必不可少的环节，通过尽调，评估数据接收方的身份、数据接收方的数据安全能力、可能产生的个人信息安全风险。在尽调的基础上，根据尽调结果采取有效的约束措施，能够更好的规范数据接收方的数据处理行为。

数据接收方的尽调

对数据接收方的尽调可以通过以下方式进行：

1、对数据接收方进行必要的网络检索，检索内容包括个人信息方面的涉诉情况、行政处罚情况、通报情况、新闻报道情况、用户投诉情况等。

2、要求数据接收方提供数据安全能力相关的证明，提供数据安全制度并说明执行情况，说明个人信息保护方面的技术措施和安全措施，说明是否出现过数据安全风险事件以及处理情况等。

数据接收方的约束

在实践中，常见的约束方式为合同条款约定和签署单独的承诺函，前者适用于新增签署的合同，后者适用于合作合同已签署但未约定该内容或者想要强化个人信息保护的情形。

在要约束的内容方面，建议明确约定：

1、数据接收方应采取的安全措施和技术措施；

2、应合法合规、根据双方的约定和个人信息主体的授权范围处理个人信息；

3、违法违规或违约处理个人信息应采取的补救措施；

4、在个人信息面临安全风险或威胁时应采取的补救措施；

5、网络运营者享有的约束和监督的权利以及有权采取的具体措施；

6、发生个人信息安全事件时，数据接收方应向个人信息主体和网络运营者承担的赔偿责任等。

三、对外提供的安全措施

传输和存储个人敏感信息时，应采用加密等安全措施。在实践中，这里需要注意的有两点：

1、使用安全的加密算法。无论是对称加密还是非对称加密，抑或是单向散列，都应当使用安全的加密算法和安全的加密方式。

2、在一些有特殊要求的领域，采用密码技术时应当遵循密码管理相关的国家标准，通俗理解就是使用国密算法。

四、对外提供的记录

准确记录个人信息对外提供情况，有助于内部核查的顺利开展，也有助于应对监管核查。同时，若不幸发生安全事件，能够快速回溯对外提供情况，有助于进行情况核实和责任划分。

在实践中，应当记录以下内容：

1、准确记录委托处理个人信息的情况；

2、准确记录个人信息的共享、转让情况，包括共享转让的日期、规模、目的、以及数据接收方的基本情况等；

3、准确记录个人信息的公开披露情况，包括公开披露的日期、规模、目的、公开范围等。

对于这里的数据接收方的基本情况，建议将对数据接收方的尽调结果以书面形式呈现并作为存档。此外，建议准确记录对外提供个人信息的操作人员，方便后续的管理和追踪。

五、数据接收方的持续监督

对数据接收方应采取持续的监督措施，如：

1、在得知或发现数据接收方未按照委托要求、或违反法律法规要求、或未按照双方约定处理个人信息的，应立即要求数据接收方停止相关行为，且采取有效的补救措施来控制或消除个人信息面临的安全风险。

2、必要时可以解除与数据接收方的委托或业务关系，并要求数据接收方及时删除获得的个人信息。

在实践中，可以定期对数据接收方进行必要的网络检索，检索内容包括个人信息方面的涉诉情况、行政处罚情况、通报情况、新闻报道情况、用户投诉情况等。同时，可行条件下可以不定期进行现场考察，实地了解数据接收方最新的数据安全能力状况和个人信息处理活动的实际开展情况。

六、第三方接入管理

第三方接入管理，主要指对接入具备收集个人信息功能的第三方产品或服务的管理，如接入小程序、软件开发工具包（SDK）等。

目前，SDK的类型主要包括：第三方登录分享类、支付类、推送类、广告类、数据统计分析类、地图类、风控插件以及一些基础库等。常见的SDK有高德地图、微信支付、支付宝支付、小米推送、友盟等。而SDK也存在一些安全问题，比如自身的安全漏洞，嵌入恶意代码的SDK，隐藏收集个人信息等。

在实践中，对第三方接入管理的要求一般包括：

1、建立第三方产品或服务的接入管理机制和工作流程，必要时应建立安全评估等机制，设置接入条件。

2、应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全规范。

3、应向个人信息主体明确标识产品或服务由第三方提供。

4、应妥善留存接入第三方平台有关的合同和管理记录，确保可供相关方查阅。

5、应要求第三方根据相关标准要求向个人信息主体征得收集个人信息的授权同意，必要时核验其实现的方式。

6、应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制，以供个人信息主体查阅、使用。

在实践中，对于SDK的接入，可以从以下方面着手：

1、建议在隐私政策中列明接入的SDK名称、该等SDK收集使用的个人信息类型以及收集使用目的。要做到这一点，需要全面梳理已经接入的全部SDK，并与SDK服务商充分沟通或通过SDK服务商公示的服务条款等获取该信息。

2、可以将已经接入的SDK的服务条款、隐私政策等相关链接放置在APP的隐私政策最后，方便用户快速查看和了解接入的SDK的具体情况。

七、公开披露个人信息的特殊要求

由于无法有效掌控公开后的个人信息面临什么样的处理活动，因此，在公开披露场景下，个人信息面临的安全风险也较高，这就需要赋予公开披露个人信息特殊的要求。

《个人信息安全规范》中规定，不应公开披露个人生物识别信息，不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。

在实践中，公开披露个人信息时，可以对个人信息采取部分脱敏措施，如身份证号隐去出生日期、住址公布到街道或村等部分脱敏的方式。

八、对外提供个人信息的责任承担

对外提供个人信息，一旦发生个人信息安全事件，势必涉及责任承担的问题。对于不同情形下的责任承担，主要是根据网络运营者的过错承担相应的责任，具体规定如下：

1、个人信息共享、转让情形下的责任承担

《个人信息安全规范》规定：因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的，网络运营者应承担相应的责任。

这里相应的责任取决于网络运营者的过错程度，如果网络运营者已经采取了有效的约束措施，准确记录共享、转让情况，并且对数据接收方进行了持续监督，最重要的是能够出示充分的证据证明采取了前述措施，如此能一定程度上为网络运营者减责。

2、个人信息公开披露情形下的责任承担

《个人信息安全规范》规定：网络运营者应承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任。

在公开披露情形下，数据接收方为全体公众，不存在特定的数据接收方，因此如果侵犯个人信息主体合法权益，根据过错程度，由网络运营者承担相应责任。

3、第三方接入情形下的责任承担

网络运营者对接入其平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。

本篇介绍：个人信息委托处理、共享、转让和公开披露

本篇为第4篇/共9篇

上一篇：基于国内法律法规的企业数据合规体系建设经验总结（三）

下一篇：基于国内法律法规的企业数据合规体系建设经验总结（五）