元宇宙时代的来临,在线社交、游戏、媒体、学习、医疗、教育、工作、生活等诸多元宇宙场景需要大量收集、存储、分析个人数据(信息),并将上述个人数据(信息)加工、生成数据产品或服务。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,个人信息提供包括对外共享、转让、委托第三方处理个人信息,以及发生收购、兼并、重组、破产时个人信息的处理。
一、个人信息保护政策
个人信息控制者应制定个人信息保护政策,内容不仅应包括:个人信息控制者的基本情况,包括主体身份、联系方式;收集、使用个人信息的业务功能,以及各业务功能分别收集的个人信息类型。涉及个人敏感信息的,需明确标识或突出显示;个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则;还应当包括:对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任。
《信息安全技术 个人信息安全规范》
3.12
转让 transfer of control
将个人信息控制权由一个控制者向另一个控制者转移的过程。
3.13
共享 sharing
个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。
5.5 个人信息保护政策
对个人信息控制者的要求包括:
a) 应制定个人信息保护政策,内容应包括但不限于:
4) 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任;
二、个人信息安全影响评估
个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者达到有关国家标准的要求,具有适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。个人信息控制者共享、转让个人信息时,应事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施。当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务时,应当建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件。
在对个人信息进行委托处理、转让、共享前,应开展个人信息安全影响评估,评估的内容包括但不限于以下方面:a)个人信息的类型、数量、敏感程度等;b)是否向个人信息主体告知了转让、共享、公开披露的基本情况,并得到个人信息主体的明示授权同意;c)数据发送方的安全管理保障和安全技术保障能力;d)数据接收方的安全管理保障和安全技术保障能力(不包括公开披露);e)数据接收方可能会开展的个人信息处理活动,或公开披露的个人信息可能会被使用的个人信息处理场景;f)个人信息是否进行过去标识化处理;g)发生个人信息安全事件后的补救措施。
《信息安全技术 个人信息安全规范》
9 个人信息的委托处理、共享、转让、公开披露
9.1 委托处理
个人信息控制者委托第三方处理个人信息时,应符合以下要求:
a) 个人信息控制者作出委托行为,不应超出已征得个人信息主体授权同意的范围或应遵守5.6所列情形;
b) 个人信息控制者应对委托行为进行个人信息安全影响评估,确保受委托者达到11.5的数据安全能力要求;
(11.5 数据安全能力
个人信息控制者应根据有关国家标准的要求,建立适当的数据安全能力,落实必要的管理和技术措施,防止个人信息的泄漏、损毁、丢失、篡改。)
c) 受委托者应:
1) 严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按照个人信息控制者的要求处理个人信息的,应及时向个人信息控制者反馈;
2) 受委托者确需再次委托时,应事先征得个人信息控制者的授权;
3) 协助个人信息控制者响应个人信息主体基于8.1~8.6提出的请求;
(个人信息主体的各项权利)
4) 受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件的,应及时向个人信息控制者反馈;
5) 在委托关系解除时不再存储相关个人信息。
d) 个人信息控制者应对受委托者进行监督,方式包括但不限于:
1) 通过合同等方式规定受委托者的责任和义务;
2) 对受委托者进行审计。
e) 个人信息控制者应准确记录和存储委托处理个人信息的情况;
f) 个人信息控制者得知或者发现受委托者未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的,应立即要求受托者停止相关行为,且采取或要求受委托者采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险。必要时个人信息控制者应终止与受委托者的业务关系,并要求受委托者及时删除从个人信息控制者获得的个人信息。
9.2 个人信息共享、转让
个人信息控制者共享、转让个人信息时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组、破产原因的,应符合以下要求:
a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;
c) 共享、转让个人敏感信息前,除 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
d) 通过合同等方式规定数据接收方的责任和义务;
e) 准确记录和存储个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;
f) 个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的,应立即要求数据接收方停止相关行为,且采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险;必要时个人信息控制者应解除与数据接收方的业务关系,并要求数据接收方及时删除从个人信息控制者获得的个人信息;
g) 因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的,个人信息控制者应承担相应的责任;
h) 帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等;
i) 个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
9.3 收购、兼并、重组、破产时的个人信息转让
当个人信息控制者发生收购、兼并、重组、破产等变更时,对个人信息控制者的要求包括:
a) 向个人信息主体告知有关情况;
b) 变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意;
c) 如破产且无承接方的,对数据做删除处理。
9.5 共享、转让、公开披露个人信息时事先征得授权同意的例外
以下情形中,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意:
a) 与个人信息控制者履行法律法规规定的义务相关的;
b) 与国家安全、国防安全直接相关的;
c) 与公共安全、公共卫生、重大公共利益直接相关的;
d) 与刑事侦查、起诉、审判和判决执行等直接相关的;
e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
f) 个人信息主体自行向社会公众公开的个人信息;
g) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
9.6 共同个人信息控制者
对个人信息控制者的要求包括:
a) 当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知;
b) 如未向个人信息主体明确告知第三方身份,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,个人信息控制者应承担因第三方引起的个人信息安全责任。
注:如个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件(例如,网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包 SDK、调用地图 API 接口),且该第三方并未单独向个人信息主体征得收集个人信息的授权同意,则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。
9.7 第三方接入管理
当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不适用9.1和9.6时,对个人信息控制者的要求包括:
a) 建立第三方产品或服务接入管理机制和工作流程,必要时应建立安全评估等机制设置接入条件;
b) 应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;
c) 应向个人信息主体明确标识产品或服务由第三方提供;
d) 应妥善留存平台第三方接入有关合同和管理记录,确保可供相关方查阅;
e) 应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意,必要时核验其实现的方式;
f) 应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制,以供个人信息主体查询、使用;
g) 应监督第三方产品或服务提供者加强个人信息安全管理,发现第三方产品或服务没有落实安全管理要求和责任的,应及时督促整改,必要时停止接入;
h) 产品或服务嵌入或接入第三方自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的,宜采取以下措施:
1) 开展技术检测确保其个人信息收集、使用行为符合约定要求;
2) 对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计,发现超出约定的行为,及时切断接入。
《信息安全技术 个人信息安全影响评估指南》
6.2.5 个人信息委托处理、转让、共享或公开披露前的影响评估
在对个人信息进行委托处理、转让、共享和公开披露前,应开展个人信息安全影响评估,评估的内容包括但不限于以下方面:
a)个人信息的类型、数量、敏感程度等;
b)是否向个人信息主体告知了转让、共享、公开披露的基本情况,并得到个人信息主体的明示授权同意;
c) 数据发送方的安全管理保障和安全技术保障能力;
d)数据接收方的安全管理保障和安全技术保障能力(不包括公开披露);
e) 数据接收方可能会开展的个人信息处理活动,或公开披露的个人信息可能会被使用的个人信息处理场景;
f)个人信息是否进行过去标识化处理;
g)发生个人信息安全事件后的补救措施;
h)数据接收方所能响应个人信息主体的请求的范围,如:访问、更正、删除等。
《个人金融信息保护技术规范》
3.8
转让 transfer of control
将个人金融信息控制权由一个控制者向另一个控制者转移的过程。
3.9
共享 sharing
个人金融信息控制者向其他控制者提供个人金融信息,且双方分别对个人金融信息拥有独立控制权的过程。
6.1.4.2 共享和转让
个人金融信息在共享和转让的过程中,应充分重视信息转移或交换过程中的安全风险,具体技术要求如下:
a) 在共享和转让前,应开展个人金融信息安全影响评估,并依据评估结果采取有效措施保护个人金融信息主体权益。
b) 在共享和转让前,应开展个人金融信息接收方信息安全保障能力评估,并与其签署数据保护责任承诺。
c) 支付账号及其等效信息在共享和转让时,除法律法规和行业主管部门另有规定外,应使用支付标记化(按照 JR/T 0149—2016)技术进行脱敏处理(因业务需要无法使用支付标记化技术时,应进行加密),防范信息泄露风险。
d) 应部署信息防泄露监控工具,监控及报告个人金融信息的违规外发行为。
e) 应部署流量监控技术措施,对共享、转让的信息进行监控和审计。
f) 应根据“业务需要”和“最小权限”原则,对个人金融信息的导出操作进行细粒度的访问控制与全过程审计,应采取两种或两种以上鉴别技术对导出信息操作人员进行身份鉴别。
g) 应定期检查或评估信息导出通道的安全性和可靠性。
h) 使用外部嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)进行信息共享与转让时,应定期检查或评估信息共享工具、服务组件和共享通道的安全性和可靠性,并留存检查或评估结果记录。
i) 应执行严格的审核程序,并准确记录和保存个人金融信息共享和转让情况。记录内容应包括但不限于日期、规模、目的、范围,以及数据接收方基本情况与使用意图等,并应确保对共享和转让的信息及其过程可被追溯。
j) 应采取有效技术防护措施,防范信息转移过程中被除信息发送方与接收方之外的其他个人、组织和机构截获和利用。
6.1.4.4 委托处理
金融业机构因金融产品或服务的需要,将收集的个人金融信息委托给第三方机构(包含外包服务机构与外部合作机构)处理时,具体技术要求如下:
a) 委托行为不应超出已征得个人金融信息主体授权同意的范围或遵循 7.1 中对于征得授权同意的例外所规定的情形,并准确记录和保存委托处理个人金融信息的情况。
b) C3 以及 C2 类别信息中的用户鉴别辅助信息,不应委托给第三方机构进行处理。转接清算、登记结算等情况,应依据国家有关法律法规及行业主管部门有关规定与技术标准执行。
c) 对委托处理的信息应采用去标识化(不应仅使用加密技术)等方式进行脱敏处理,降低个人金融信息被泄露、误用、滥用的风险。
d) 应对委托行为进行个人金融信息安全影响评估,并确保受委托者具备足够的数据安全能力,且提供了足够的安全保护措施。
e) 应对第三方机构等受委托者进行监督,方式包括但不限于:
· 依据 7.2.1 的要求,通过合同等方式规定受委托者的责任和义务;
· 依据 7.4.2 的要求,对受委托者进行安全检查和评估。
f) 应对外部嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包等)开展技术检测,确保其个人金融信息收集、使用行为符合约定要求;并对其收集个人金融信息的行为进行审计,发现超出约定行为及时切断接入。
6.1.4.7 开发测试
个人金融信息在开发测试过程中的具体技术要求如下:
a) 应对开发测试环境与生产环境进行有效隔离。
b) 开发环境、测试环境不应使用真实的个人金融信息,应使用虚构的或经过去标识化(不应仅使用加密技术)脱敏处理的个人金融信息,账号、卡号、协议号、支付指令等测试确需信息除外。
《信息安全技术—网络数据处理安全要求》
5.7提供
5.7.1向他人提供
网络运营者向他人提供数据前,应进行安全影响分析和风险评估,可能危害国家安全,公共安全,经济安全和社会稳定的,不应向他人提供。要求如下:
a)向他人提供个人信息,应向个人信息主体告知接收方的名称、联系方式,处理目的,处理方式、个人信息的种类﹑存储期限,并取得个人信息主体同意;
b)共享,转让重要数据,应与数据接收方通过合同等形式明确双方的数据安全保护责任和义务,采取加密,脱敏等措施保障重要数据安全;
c)委托第三方开展数据处理活动的,应通过合同等形式明确约定委托处理的目的、期限,处理方式,数据的种类,保护措施、双方的权利和义务﹐以及第三方返还或删除数据的方式等,要求第三方以合同中约定的形式返还.删除接收和产生的数据,并对数据处理活动进行监督﹔
d)发生收购,兼并、重组,破产时,数据接收方应继续履行相关数据安全保护义务﹔没有数据接收方的,应删除数据。
5.7.2数据出境
网络运营者向境外提供个人信息或者重要数据的,应遵循国家相关规定和相关标准的要求。境内用户在境内访问境内网络的其流量不应路由至境外。
《网络数据安全管理条例(征求意见稿)》
第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括:
(六)共享、交易、委托处理、向境外提供重要数据的安全评估情况;
数据处理者应当保留风险评估报告至少三年。
依据部门职责分工,网信部门与有关部门共享报告信息。
数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估,应当重点评估以下内容:
(一)共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要;
(二)共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;
(三)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全;
(四)与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务;
(五)在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。
评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。
三、经用户同意后才向他人提供个人信息
网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
个人信息控制者委托第三方处理个人信息时,应当征得个人信息主体授权同意。个人信息控制者共享、转让个人信息时,应向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意;共享、转让个人敏感信息前,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意。当个人信息控制者发生收购、兼并、重组、破产等变更时,变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意;如破产且无承接方的,对数据做删除处理。当个人信息控制者与第三方为共同个人信息控制者时,个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求,以及在个人信息安全方面自身和第三方应分别承担的责任和义务,并向个人信息主体明确告知。
网络运营者向他人提供数据前,应进行安全影响分析和风险评估,可能危害国家安全,公共安全,经济安全和社会稳定的,不应向他人提供。向他人提供个人信息,应向个人信息主体告知接收方的名称、联系方式,处理目的,处理方式、个人信息的种类﹑存储期限,并取得个人信息主体同意;共享,转让重要数据,应与数据接收方通过合同等形式明确双方的数据安全保护责任和义务,采取加密,脱敏等措施保障重要数据安全;委托第三方开展数据处理活动的,应通过合同等形式明确约定委托处理的目的、期限,处理方式,数据的种类,保护措施、双方的权利和义务﹐以及第三方返还或删除数据的方式等,要求第三方以合同中约定的形式返还.删除接收和产生的数据,并对数据处理活动进行监督﹔发生收购,兼并、重组,破产时,数据接收方应继续履行相关数据安全保护义务﹔没有数据接收方的,应删除数据。
《网络安全法》
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
《个人信息保护法》
第二十二条 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
第二十三条 个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。
第四十五条 个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。
《信息安全技术 个人信息安全规范》
9 个人信息的委托处理、共享、转让、公开披露
9.1 委托处理
个人信息控制者委托第三方处理个人信息时,应符合以下要求:
a) 个人信息控制者作出委托行为,不应超出已征得个人信息主体授权同意的范围或应遵守5.6所列情形;
9.2 个人信息共享、转让
个人信息控制者共享、转让个人信息时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组、破产原因的,应符合以下要求:
b) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;
c) 共享、转让个人敏感信息前,除 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
d) 通过合同等方式规定数据接收方的责任和义务;
i) 个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
9.3 收购、兼并、重组、破产时的个人信息转让
当个人信息控制者发生收购、兼并、重组、破产等变更时,对个人信息控制者的要求包括:
a) 向个人信息主体告知有关情况;
b) 变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意;
c) 如破产且无承接方的,对数据做删除处理。
9.5 共享、转让、公开披露个人信息时事先征得授权同意的例外
以下情形中,个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意:
a) 与个人信息控制者履行法律法规规定的义务相关的;
b) 与国家安全、国防安全直接相关的;
c) 与公共安全、公共卫生、重大公共利益直接相关的;
d) 与刑事侦查、起诉、审判和判决执行等直接相关的;
e) 出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
f) 个人信息主体自行向社会公众公开的个人信息;
g) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道。
9.6 共同个人信息控制者
对个人信息控制者的要求包括:
