欢迎点击上方 TMT法律论坛 关注我们
导读
News
★
NEWS
★
2024年8月7日,全国网安标委就《网络安全标准实践指南—互联网平台停服数据处理安全要求(征求意见稿)》(以下简称“《停服数据处理安全要求》”)公开征求意见。意见征求截至2024年8月22日。
《停服数据处理安全要求》结合不同数据类型,对互联网平台停服后数据处理的基本要求,特别是个人信息及重要数据处理的要求提供了标准化实践指引。
根据《停服数据处理安全要求》,互联网平台运营者停服数据处理的通用要求包括:
数据分类分级:区分核心数据、重要数据和一般数据,区分敏感个人信息和个人信息;
采取必要数据安全保障措施,切实履行数据安全和个人信息保护职责;
自停服之日起停止收集个人信息和重要数据;
保障未成年人个人信息主体权利;
及时处置长期未对外提供服务的App、小程序等;
明确数据转移方案(如需),并通过电话、短信、邮件、公告等方式通知受影响用户。
根据《停服数据处理安全要求》,互联网平台运营者停服前后对于所处理的个人信息有如下要求。
1. 发布个人信息处置公告
时间要求:
1)平台停服之日前至少30个工作日发布;
2)公告时长不得少于30个工作日。
形式要求:
1)以显著方式、清晰易懂的语言真实、准确、完整地告知;
2)公告期间,涉及敏感个人信息的,以电话、短信、即时通信工具、电子邮件等方式通知个人。
内容要求:
1)平台停服的具体时间以及关闭平台具体服务或功能的情况;
2)个人查阅、复制、下载、转移、删除个人信息的处置时限与途径;
3)拟转移个人信息的范围、种类,以及接收方的基本信息、安全管理措施等;
4)已转移或删除个人信息的情况,以及拟转移或删除个人信息对个人权益的影响。
及时处置个人行权合理请求;
掌握1000万人以上个人信息的互联网平台运营者还应于平台停服之日前至少45个工作日,按照国家有关规定报告个人信息处置方案,具体参见下文“重要数据处置方案报告”。
2. 合规处置个人信息:删除、附条件继续保存或转移
主动删除个人信息:
1)个人信息处置公告时限届满后,主动删除(符合转移和继续保存要求的除外);
2)法律、行政法规以及有关部门规定的保存期限届满后,应当删除;
3)掌握1000万人以上个人信息的互联网平台运营者应委托第三方机构评估删除效果,评估报告保存至少三年。
继续保存个人信息:
1)前提条件:① 涉及互联网保险销售、网络支付、信托登记等业务,或者履行配合反洗钱等法定职责、义务,确需继续保存用户身份信息、交易记录;② 以预收款方式提供产品、服务,或者提供代收费的互联网平台,在退回相关款项前保存用户身份信息、缴费记录、计费记录等;③ 为配合公安机关侦查打击违法犯罪,确需继续保存相关数据。
2)合规要求:单独存储继续保存的个人信息,明确个人信息保护负责人,规范内部访问权限、流程,采取必要措施。
转移个人信息:
1)转移方:于个人信息处置公告时限届满后,向满足以下条件的接收方转移个人信息:① 提供与互联网平台运营者业务相关的产品或服务;② 明确承诺继续接受互联网平台隐私政策约束。
2)接收方:继续履行个人信息保护义务,变更原处理目的、方式,重新取得个人同意。
3. 委托处理合规管理:返还或删除
委托方:于平台停服之日前至少15个工作日通知受托人限期返还或删除委托处理的个人信息。
受托方:接到通知后,按要求及时处置委托处理的个人信息,于平台停服之日前至少15个工作日返还或删除个人信息。
根据《停服数据处理安全要求》,重要数据处理者在遵循个人信息处理要求的基础上,还应当满足如下要求。
1. 重要数据处置方案报告
时间要求:平台停服之日前至少45个工作日。
内容要求:
1)互联网平台基本情况,包括平台的名称、类型,数据安全负责人名称或者姓名、联系方式等;
2)重要数据或个人信息情况,包括重要数据或个人信息的规模、范围、种类、敏感程度,重要数据或个人信息拟删除、转移、保存可能对国家安全、公共利益、个人或组织合法权益带来的风险,采取的安全措施以及措施的有效性等;
3)接收方基本情况,包括但不限于接收方的名称或者姓名、联系方式,接收方处理重要数据或个人信息的目的、范围、方式,接收方能承诺承担的义务,以及履行数据安全保护义务的管理和技术措施、能力等;
4)重要数据或个人信息转移至接收方后遭到篡改、破坏、泄露、丢失、非法利用的风险。
2. 重要数据删除效果评估
委托第三方机构评估重要数据删除效果;
评估报告应当至少保存三年。
3. 重要数据转移备案变更:转移数据涉及重要数据和核心数据备案内容发生变化,履行备案和变更手续。
了解详情,请点击文末“阅读原文”。
标准
Standards
★
《停服数据处理安全要求》
★
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪
