首页 > 梆梆资讯 > 干货分享 | 个人信息安全规范2020版 落地解读系列(二)

干货分享 | 个人信息安全规范2020版 落地解读系列(二)

2020-04-21 梆梆观点330

在前一篇对个人信息安全规范2020版文章中,梆梆安全咨询团队对新版本的个人信息安全规范中关于用户画像、个性化展示、个人信息汇聚融合的要求以及多项业务功能自主选择的要求进行了解读,也基于项目实施经验为企业开展个人信息保护工作提出了一些建议。本篇文章将围绕个人信息主体注销账户以及第三方接入管理继续对个人信息安全规范2020版进行解读,同时也会基于实践经验给出一些建议。

1、 个人信息主体注销账户

随着移动互联网技术的不断发展,当前移动应用程序的使用场景不断覆盖和满足用户的各类需求。由于国内的付费下载、付费使用的习惯没有形成,因此绝大多数的移动应用程序均通过免费使用的产品策略来吸引大量的用户下载使用。同时大数据分析技术、用户画像技术、人工智能技术也不断地应用在移动应用程序中,这些技术的发展是需要海量的数据来对算法、模型进行训练的。因此数据对于这些公司来说是十分重要的。用户如果想要在这些系统中删除或注销不打算继续使用的账户或个人信息非常困难。

2020版规范中,一个非常重要的更新就是对注销账户的要求进行了修订。

在个人信息安全规范2017年版本中,对于账户注销的要求有两个,分别是通过注册账户提供服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且该方法应简便易操作”和“个人信息主体注销账户后,应删除其个人信息或做匿名化处理”。

2020版规范中将账户注销的要求进行了进一步的细化和完善,对于企业的落地实施也提出了更高的要求。

通过近两年的实践发现,由于种种原因企业无法真正落实关于账户注销的要求,在当前四部门关于“App违法违规收集使用个人信息”的监管活动中,App是否满足用户注销账户权利是一个重点的监管项。结合监管检查的实际情况以及2020版规范更新的内容,梆梆安全咨询建议企业在落实“个人信息主体注销账户”权利时需要注意以下几点内容:

1、 若业务系统向用户提供了会收集用户个人信息的账户体系,特别是用户能够主动注册的信息系统,需要向用户提供账户注销的途径;

2、 建议企业设计较为人性化的在线注销账户功能,若出于防止用户流失等目的考虑,在当前的监管要求下,也可以通过电话、在线客服、邮箱等方式来实现账户注销;

3、 无论是在线注销或是通过客服电话等方式注销,均需要在隐私政策中向用户明确说明账户注销的方式方法及途径;

4、 若通过在线客服、人工客服、邮箱等方式向用户提供账户注销功能的,需要确保这些途径的真实有效,客服人员或邮箱管理人员能够真实处理用户账户注销请求,并在15个工作日内完成用户的请求;

5、 建议企业形成“个人信息主体权利处理规范及流程”,将处理个人信息主体权利的工作形成标准化的工作流程、标准话术,并向所有涉及处理用户请求的部门进行培训;

6、 若由于风控等原因需要对用户的身份进行验证,对于验证时所要求用户填写的个人身份信息,不可超过用户在注册或使用时提供的个人信息;

7、 在确定注销用户账户时,建议将用户的个人信息在数据库中进行物理删除,而不是只修改状态。若由于法律法规要求保留数据等原因无法物理删除数据的,建议在用户注销时通过弹窗、文字提示等方式向用户明确说明原因、留存的时间、到期后的处理方式,并且对该数据进行不可检索、不可使用处理。

2、 第三方接入管理

在2017年版本的个人信息安全规范中一共定义了4种身份,分别是个人信息主体、个人信息控制者、共同个人信息控制者以及受委托处理者,基于标准制定时期的技术发展情况,这4种身份基本上涵盖了绝大部分的个人信息处理情况。但是随着数据中台、API开放、小程序等技术的发展,逐渐出现了原有标准中无法明确区分四种身份的情况,出现了模糊地带。在2020版规范中,新增了9.7 第三方接入管理”章节内容,将既不适用个人信息控制者、共同控制者,又不适用受委托处理者的企业归为第三方产品或服务。若企业存在“产品或服务中接入第三方产品或服务”情况的(例如:百度地图App中集成了第三方公司提供的互联网约车服务),建议开展如下工作:

1、 由于第三方所提供的产品或服务会接入到企业所运营的系统或平台中,因此企业需要对系统中集成的第三方服务或产品尽到评估、检查的义务,以预防出现由于第三方的产品或服务存在的安全漏洞而导致企业自身的声誉受到影响;

2、 建议在App隐私政策中以及界面文字提示、弹窗提示等方式向用户说明该服务是由哪个第三方提供的,用户在这些服务中填写的个人信息由哪个主体控制;

3、 建议通过合同、协议等方式对第三方进行约束,并且要求第三方所提供的服务或产品中能够满足用户的所有权利(知情、查询、更新、删除、撤回、注销、获取个人信息副本),同时建议企业定期对第三方所提供的服务进行个人信息合规评估,并及时督促第三方对发现的合规风险进行整改;

4、 建议企业的业务系统能够通过技术手段方便快捷地对接入的第三方服务或产品进行控制,发现第三方产品或服务没有落实安全管理要求和责任的,可以通过该机制及时停止第三方继续接入;

以上内容是本次对于2020版个人信息安全规范中关于注销账户以及第三方接入管理部分的解读和分享,也希望我们的分享能够给读者带来一定的帮助,后继我们还将会在更多系列文章中持续与读者进行分享。

  • 渠道商申请
  • 真诚期待各位合作伙伴加盟,同梆梆安全一起塑造辉煌
  • 立即申请 > >
  • 服务热线
  • 在使用过程中遇到的任何问题,请随时联系梆梆安全客服人员,我们将第一时间为您解答
  • 4008-881-881
  • 在线反馈
  • 用心聆听用户声音,您的建议、评价、吐槽,是我们产品前进的动力
  • 我要反馈 > >
  • 帮助中心
  • 为您提供产品描述、功能介绍、使用方法、常见问题解答等内容,便于快速了解梆梆各项产品服务
  • 点击前往 > >