本 期 摘 要
建立数据安全防护体系的第一步,就是梳理数据资产并分类分级。数据分类分级是数据安全治理和数据管理的主要措施,是数据安全合规使用的基础。只有做好分类分级工作,对不同分类不同级别的数据采取不同的安全防护措施,才能做好数据全流程动态保护。
本文要点:
40+分类分级方法及案例
19+地方标准
7+团体标准
12+行业标准
8+国家标准
近年,国家层面相继出台多项数据分类分级标准规范,证券期货、交通运输、渔业、邮政、通信、卫生健康、海洋、民航等行业主管部门制定出了相关配套标准指引;为落实数据分类分级管理,重庆市、北京市、黑龙江省、山西省、安徽省、浙江省、江苏省等多地进一步发布了有关公共、政务、工业数据分类分级试行指南或规范,以提供指导性参考;卷烟制造、能源、媒体、水务、高校、卫生等领域的社会团体协调相关市场主体共同制定出满足市场和创新需要的团体标准。
重庆信通设计院(咨询引领的一体化安全运营者)——首批上海数据交易所“数据安全服务商”,整理了近年8+项国家标准、12+项行业标准、19+项地方标准以及7+团体标准等数据分类分级相关常用文件,以供大家交流分享,共同推动数据安全事业不断前进。
(特别说明:本文搜集资料来源于网络,仅供参考。最终内容请以官方最新版本为准)
分类分级 目录汇编
方法及案例示例
GB/T 43697-2024
数据安全技术 数据分类分级规则
DB21/T3867-2023
工业数据分类分级管理指南
(辽宁省)
DB23/T 3510—2023
政务预公开数据分类分级评估指南
(黑龙江省)
DB32/T 4608.1—2023
公共数据管理规范 第1部分:数据分类分级(江苏省)
金融业数据 分类分级与保护应用研究
来源:重庆信通设计院天空实验室
在数字化浪潮的冲击下,隐私政策成为了企业与用户建立彼此信任关系的重要桥梁。
继《隐私政策精讲(上):起源、核心框架》之后,本文《隐私政策精讲(中)》将进一步深入探讨隐私政策的核心要素。从透明披露基本信息到第三方信息披露,本文将讨论如何在保护用户隐私权益的同时,确保企业行为遵守法律法规。为了帮助大家更直观、清晰地理解隐私政策中的关键信息,本文也会提供一些优秀的隐私政策实例作为参考。
一、基本要素分析与实例解读
1、处理者身份、版本信息、简要声明
(1)要素阐述:
这部分内容的撰写相对容易,主要是介绍App运营者的基本情况,包括主体名称、联系方式、注册地址等;并说明隐私政策的发布日期、生效日期、适用范围、更新方式。
基本情况的介绍看似简单,同样存在合规风险。
例如,① 隐私政策未完整披露App开发运营主体的工商注册名称,仅使用简称、商号或英文缩写代替,可能会给用户增加维权难度,也属于隐私政策不合规的一种情形。
② 隐私政策仅显示更新日期,未告知生效日期,也没有对新版本和上一版本的变更内容进行明示,当用户对信息收集的更新与授权情况提出质疑时,就难以直接通过隐私政策的说明予以答复,这也属于App隐私合规问题。
(2)法规重点:
(3)合规实例:
通常此部分的撰写,可以通过1-3段的导语进行概括说明,并展示目录清单,即可做到一目了然。开头一般会说明隐私政策的时效,接着会介绍App运营者的公司名称和注册地址,个人信息保护相关负责人联系方式一般在最后的投诉联系渠道中说明。
小红书隐私政策开头案例
2、个人信息/敏感个人信息的收集和使用
(1)要素阐述:
a. 基本要求
隐私政策中应明确个人信息收集和使用的方式、范围、使用目的、保存期限;对于敏感个人信息,应遵循更高的合规要求,做到单独告知、获取用户的明示授权。同时,在隐私政策中还应该有显著的标识,如对敏感个人信息进行字体的加粗、增加下划线等。个人信息的使用方式、目的应与隐私政策中说明的保持一致,当使用个人信息的目的、方式、范围发生变化时,应当更新隐私政策或以其他适当的方式告知用户。
b. 最小必要原则
不同业务功能所需的个人数据不尽相同,因此,为保障隐私政策内容的完整性、准确性、对应性,在拟写隐私政策的文本内容前,应评估功能所需的数据需求是否符合合法性、最小必要性,是否为实现功能目的所需的必要个人信息。国标41391对39类App的必要个人信息范围进行了说明,在评估功能数据需求、设计App隐私政策的时候可以参考。
c. 功能逐项列举
根据《App违法违规收集使用个人信息自评估指南》(以下简称《指南》)的要求,隐私政策中应当将收集个人信息的业务功能逐项列举,且应说明每个功能所收集的个人数据类型。
在对各项业务功能及其所需数据进行逐项列举时,应注意一一对应性,且不能使用「等」、「例如」之类的概括性用词,避免对用户产生误导。另外,应适当地体现对基本业务功能和非基本业务功能的区分,明确告知用户如不授权同意非基本业务功能的数据收集并不影响对基本功能的使用,充分地保障用户的选择权。特别注意的是,使用用户个人信息和算法,为用户定向推送信息的,应在隐私政策中进行说明,并给用户提供非定向推送信息的选项。
(2)法规重点:
(3)合规实例:
这部分是隐私政策中最重要的部分,一般是逐一列举App的业务功能并详细说明这些活动中收集个人信息类型、目的、方式,且个人信息类型不能模糊,涉及处理敏感个人信息的需要显著标识,存在个性化推荐功能的需要在隐私政策中说明。
爱奇艺隐私政策注册登录业务说明
爱奇艺隐私政策订单支付业务说明
爱奇艺隐私政策个性化推荐说明
3、个人信息的存储
(1)要素阐述:
隐私政策中应向用户说明数据的存储地点、存储时间与存储方式。明确区分数据存储于境内或境外;且个人信息的存储时间应为实现功能目的所需的最短时间,如法律法规另有规定或需要向用户另行获取授权同意的,也应在隐私政策中向用户进行告知。
(2)法规重点:
(3)合规实例:
抖音存储期限说明
4、个人信息的共享、转让、公开披露
(1)要素阐述:
若存在对外共享、转让、公开披露个人信息等情况,隐私政策中应明确说明:
① 对外共享、转让、公开披露个人信息的目的、以及所涉及的信息类型;
② 对外共享、转让、公开披露个人信息可能产生的后果;
③ 信息接收方的类型或者身份,以及其目前的安全能力;
④ 如采取了技术处理措施(如加密/去标识)也应进行说明。
这个部分一般和第三方服务披露有所关联,因为第三方服务属于个人信息的共享部分。
(2)法规重点:
(3)合规实例:
爱奇艺隐私政策共享部分
爱奇艺隐私政策转让、公开部分
5、关于第三方服务的披露(第三方SDK披露)
(1)要素阐述:
一般在隐私政策末尾附上第三方信息共享清单、在共享模块展示或者在隐私政策中附上第三方信息共享(SDK)清单链接。内容结构一般根据标准目录内容罗列(如下图)
第三方SDK目录
同时,第三方信息共享清单根据共享方式呈现,可能是第三方合作商、第三方SDK等。
(2)法规重点:
(3)合规实例:
抖音第三方SDK目录
抖音关联方App目录
抖音其他合作方目录
二、结语
以上是对隐私政策基本要素1-5部分的分析同时结合了法规要点和实例。下篇我们将继续分析隐私政策基本要素剩下部分,同时会对隐私政策的撰写规范和呈现要求进行说明,敬请关注《隐私政策精讲(下):基本要素分析与实例②》。
来源:嘉佑安科