元宇宙时代的来临,在线社交、游戏、媒体、学习、医疗、教育、工作、生活等诸多元宇宙场景需要大量收集、存储、分析个人数据(信息),并将上述个人数据(信息)加工、生成数据产品或服务。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,个人信息的使用包括使用目的、用户画像、自动决策机制、个性化展示、个人信息的展示限制、访问控制、汇聚融合和第三方应用管理。
一、个人信息使用的目的限制
网络运营者使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人同意。经过处理无法识别特定个人且不能复原的个人信息数据,可以超出与信息主体签署的相关使用协议和约定,但应提供适当的保护措施进行保护。在公共场所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。加工处理而产生的信息,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,应将其认定为个人信息,对其使用应遵循收集个人信息时获得的授权同意范围;如果属于个人敏感信息的,对其使用需符合对个人敏感信息的要求。
《个人信息保护法》
第十四条 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
第二十六条 在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
《儿童个人信息网络保护规定》
第十四条 网络运营者使用儿童个人信息,不得违反法律、行政法规的规定和双方约定的目的、范围。因业务需要,确需超出约定的目的、范围使用的,应当再次征得儿童监护人的同意。
《信息安全技术 个人信息安全规范》
7.3 个人信息使用的目的限制
对个人信息控制者的要求包括:
a) 使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意;
注:将所收集的个人信息用于学术研究或得出对自然、科学、社会、经济等现象总体状态的描述,属于与收集目的具有合理关联的范围之内。但对外提供学术研究或描述的结果时,需对结果中所包含的个人信息进行去标识化处理。
b) 如所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,应将其认定为个人信息。对其处理应遵循收集个人信息时获得的授权同意范围。
注:加工处理而产生的个人信息属于个人敏感信息的,对其处理需符合对个人敏感信息的要求。
《互联网个人信息安全保护指南》
6.3应用
个人信息的应用应满足以下要求:
a)对个人信息的应用,应符合与个人信息主体签署的相关协议和规定,不应超范围应用个人信息;
注:经过处理无法识别特定个人且不能复原的个人信息数据,可以超出与信息主体签署的相关使用协议和约定,但应提供适当的保护措施进行保护。
二、用户画像的使用限制
用户画像,是指通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。个人信息控制者应当在隐私政策中向用户告知个人信息的收集会被用于用户画像和个性化展示,并说明其应用场景和可能对用户权益产生的影响,并征得用户的同意。个人信息控制者在用户画像中对个人信息主体的特征描述不应含有歧视和违法的内容。在业务运营或对外业务合作中使用用户画像的,不应危害国家安全、荣誉和利益,侵害公民、法人和其他组织的合法权益。除为实现个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。在使用用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利;如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用,应经用户明确授权方可使用其数据。电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。
《电子商务法》
第十八条 电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。
《信息安全技术 个人信息安全规范》
3.8 用户画像 user profiling
通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。
注:直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。
7.4 用户画像的使用限制
对个人信息控制者的要求包括:
a) 用户画像中对个人信息主体的特征描述,不应:
1) 包含淫秽、色情、赌博、迷信、恐怖、暴力的内容;
2) 表达对民族、种族、宗教、残疾、疾病歧视的内容。
b) 在业务运营或对外业务合作中使用用户画像的,不应:
1) 侵害公民、法人和其他组织的合法权益;
2) 危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。
c) 除为实现个人信息主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。例如,为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。
《互联网个人信息安全保护指南》
6.3应用
个人信息的应用应满足以下要求:
c)完全依靠自动化处理的用户画像技术应用于精准营销、搜索结果排序、个性化推送新闻、定向投放广告等增值应用,可事先不经用户明确授权,但应确保用户有反对或者拒绝的权利;如应用于征信服务、行政司法决策等可能对用户带来法律后果的增值应用,或跨网络运营者使用,应经用户明确授权方可使用其数据;
《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
1.5 公开的收集使用规则是否完整
e) 如果将个人信息用于用户画像、个性化展示等,说明其应用场景和可能对用户权益产生的影响。
三、信息系统自动决策机制的使用
个人信息处理者使用自动化决策的过程中,应当公开透明,事先披露治理机制、管理规则以及相关技术原理。同时,用户也有权对自动化决策提出质疑和申诉,要求个人信息处理者对自动化决策中的算法逻辑构造作出合理解释。个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。个人信息控制者使用自动决策机制且能对个人信息主体权益造成显著影响的,应在规划设计阶段或首次使用前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;在使用过程中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果改进保护个人信息主体的措施;向个人信息主体提供针对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核。
《个人信息保护法》
第二十四条 个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。
通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。
通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。
第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
第五十六条 个人信息保护影响评估应当包括下列内容:
(一)个人信息的处理目的、处理方式等是否合法、正当、必要;
(二)对个人权益的影响及安全风险;
(三)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
《信息安全技术 个人信息安全规范》
7.7 信息系统自动决策机制的使用
个人信息控制者业务运营所使用的信息系统,具备自动决策机制且能对个人信息主体权益造成显著影响的(例如,自动决定个人征信及贷款额度,或用于面试人员的自动化筛选等),应:
a) 在规划设计阶段或首次使用前开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b) 在使用过程中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果改进保护个人信息主体的措施;
c) 向个人信息主体提供针对自动决策结果的投诉渠道,并支持对自动决策结果的人工复核。
3.9
个人信息安全影响评估 personal information security impact assessment
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
11.4 开展个人信息安全影响评估
对个人信息控制者的要求包括:
a) 应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险;
b) 个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:
1) 个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则;
2) 个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致差别性待遇等;
3) 个人信息安全措施的有效性;
4) 匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险;
5) 共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
6) 发生安全事件时,对个人信息主体合法权益可能产生的不利影响。
c) 在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估;
d) 在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估;
e) 形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;
f) 妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。
四、个性化展示的使用(定向推送及信息合成)
个人信息控制者应当在隐私政策中向用户告知个人信息的收集会被用于用户画像和个性化展示,并说明其应用场景和可能对用户权益产生的影响,并征得用户的同意。个人信息控制者在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容,比如:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应提供简单直观的退出或关闭个性化展示模式的选项;当个人信息主体选择退出或关闭个性化展示模式时,提供删除或匿名化定向推送活动所基于的个人信息的选项。在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。网络运营者利用个人信息和算法为用户提供定向推送信息服务的,同时应提供非定向推送信息的服务选项;在向个人信息主体提供新闻,博客类信息服务的过程中,网络运营者利用算法自动合成文字、图片.音视频等信息.应明确告知用户。
《信息安全技术 个人信息安全规范》
7.5 个性化展示的使用
对个人信息控制者的要求包括:
a) 在向个人信息主体提供业务功能的过程中使用个性化展示的,应显著区分个性化展示的内容和非个性化展示的内容;
注:显著区分的方式包括但不限于:标明“定推”等字样,或通过不同的栏目、版块、页面分别展示等。
b) 在向个人信息主体提供电子商务服务的过程中,根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;
注:基于个人信息主体所选择的特定地理位置进行展示、搜索结果排序,且不因个人信息主体身份不同展示不一样的内容和搜索结果排序,则属于不针对其个人特征的选项。
c) 在向个人信息主体推送新闻信息服务的过程中使用个性化展示的,应:
1) 为个人信息主体提供简单直观的退出或关闭个性化展示模式的选项;
2) 当个人信息主体选择退出或关闭个性化展示模式时,向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
d) 在向个人信息主体提供业务功能的过程中使用个性化展示的,宜建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关性程度的能力。
《信息安全技术—网络数据处理安全要求》
5.4使用
5.4.1定向推送及信息合成
网络运营者在为用户提供定向推送或信息合成服务时的要求如下:
a)网络运营者利用个人信息和算法为用户提供定向推送信息服务的,同时应提供非定向推送信息的服务选项;
注:宜参照GB/T 35273——2020的7.5。
b)在向个人信息主体提供新闻,博客类信息服务的过程中,网络运营者利用算法自动合成文字、图片.音视频等信息.应明确告知用户。
《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》
1.5 公开的收集使用规则是否完整
e) 如果将个人信息用于用户画像、个性化展示等,说明其应用场景和可能对用户权益产生的影响。
五、个人信息的展示限制(透明化展示个人信息处理活动)
个人信息控制者在涉及通过界面展示个人信息的(如显示屏幕、纸面),宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。App持续或频繁调用敏感系统权限期间(如调用麦克风、相机、位置权限),移动智能终端宜提供展示指示标识的功能,需要考虑在屏幕显著位置展示指示标识展示方式,在前台和后台运行时均向用户提示App正在使用敏感系统权限。移动智能终端对App行为进行记录,并设置统计、查询界面,为用户直观呈现个人信息调用情况,需要考虑的要素包括记录的对象、统计和记录的行为和记录展示的信息。移动智能终端宜在操作系统设置界面的二级目录中显著位置展现系统中的各类个人信息保护功能,具体包括查看App收集个人信息行为记录情况和权限等与个人信息相关操作的管理界面。
提供业务办理与查询等功能的应用软件,对通过计算机屏幕、客户端应用软件、银行卡受理设备、自助终端设备、纸面(如受理终端打印出的交易凭条等交易凭证)等界面展示的个人金融信息应采取信息屏蔽(或截词)等处理措施;处于未登录状态时,不应展示与个人金融信息主体相关的 C3 类别信息;处于已登录状态时,个人金融信息展示的技术要求如下:(1)除银行卡有效期外,C3 类别信息不应明文展示;对于银行卡号、手机号码、证件类识别标识或其他识别标识信息等可以直接或组合后确定个人金融信息主体的信息应进行屏蔽展示,或由用户选择是否屏蔽展示,如需完整展示,应进行用户身份验证,并做好此类信息管理,防范此类信息泄露风险;涉及其他个人金融信息主体的信息时,一般情况下宜进行屏蔽展示。
《信息安全技术 个人信息安全规范》
7.2 个人信息的展示限制
涉及通过界面展示个人信息的(如显示屏幕、纸面),个人信息控制者宜对需展示的个人信息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险。例如,在个人信息展示时,防止内部非授权人员及个人信息主体之外的其他人员未经授权获取个人信息。
《个人金融信息保护技术规范》
6.1.4 使用
6.1.4.1 信息展示
提供业务办理与查询等功能的应用软件,对个人金融信息展示具体技术要求如下:
a) 依据国家法律法规与行业主管部门有关规定要求,对通过计算机屏幕、客户端应用软件、银行卡受理设备、自助终端设备、纸面(如受理终端打印出的交易凭条等交易凭证)等界面展示的个人金融信息应采取信息屏蔽(或截词)等处理措施,降低个人金融信息在展示环节的泄露风险。
注 1:关于信息屏蔽(或截词)的使用方式,参见附录 A。
注 2:金融业机构柜面打印的凭证依据有关规范执行。
b) 处于未登录状态时,不应展示与个人金融信息主体相关的 C3 类别信息。
c) 处于已登录状态时,个人金融信息展示的技术要求如下:
除银行卡有效期外,C3 类别信息不应明文展示。
对于银行卡号、手机号码、证件类识别标识或其他识别标识信息等可以直接或组合后确定个人金融信息主体的信息应进行屏蔽展示,或由用户选择是否屏蔽展示,如需完整展示,应进行用户身份验证,并做好此类信息管理,防范此类信息泄露风险。
涉及其他个人金融信息主体的信息时,除以下情况外,宜进行屏蔽展示:
——其他方主动发起的活动包含的信息,此种情况需展示必要的信息以供活动接收方对活动内容进行确认,例如:其他方发起的交易、其他方发起的收付款、保险保费代收。
——与其他方已建立信任关系(间接授权),此时需活动发起方确认发起活动的必要信息的正确性(或活动发起方需接收活动结果信息,并确认活动已正确完成),例如:向其他方收款,其他方已付款;向其他方申请代付,其他方同意付款或者其他方在自己业务应用范围内的联系人。
——其他法律法规要求的情况。
应用软件的后台管理与业务支撑系统,对个人金融信息展示具体技术要求如下:
a) 除银行卡有效期外,C3 类别信息不应明文展示。
b) 应采取技术措施防范个人金融信息在展示过程中泄露或被未经授权的拷贝。
c) 后台系统对支付账号、客户法定名称、支付预留手机号码、证件类或其他类识别标识信息等展示宜进行屏蔽处理,如需完整展示,应做好此类信息管理,采取有效措施防范未经授权的拷贝。
d) 后台系统不应具备开放式查询能力,应严格限制批量查询。
e) 对于确有明文查看需要的业务场景可以保留明文查看权限,后台系统应对所有查询操作进行细粒度的授权与行为审计。
应防止通过散列碰撞等方法推导出完整的数据,若使用“截词”的方式进行部分字段的屏蔽处理,不应用散列代替字段被截词的部分。
《信息安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南》
7.1 透明化展示个人信息处理活动
7.1.1 App 使用个人信息提示
App持续或频繁调用敏感系统权限期间(如调用麦克风、相机、位置权限),移动智能终端宜提供展示指示标识的功能,需要考虑的要素如下:
a) 指示标识展示方式。在屏幕显著位置展示,包括但不限于在屏幕上方状态栏、角落采用彩色图示或下拉栏等;
b) 指示标识展示时机。App 前台和后台运行时,均向用户提示 App 正在使用敏感系统权限。
c) 权限查询及调整。可向用户提供查询正在使用敏感系统权限的 App 名称,并可对权限授权状态进行调整;
d) 指示标识含义简介。可向用户提供指示标识含义简介信息。
注:频繁调用指调用间隔小,向用户呈现持续调用的效果。
7.1.2 App 调用个人信息行为记录
移动智能终端对App行为进行记录,并设置统计、查询界面,为用户直观呈现个人信息调用情况,需要考虑的要素包括以下内容。
a) 记录的对象,包括:
1) 移动智能终端上运行的第三方应用软件;
2) 可选包括涉及个人信息处理活动的预置应用软件。
b) 统计和记录的行为,包括:
1) 读取位置数据,读写通讯录数据、读取媒体影音数据(如照片、音频和视频)、读取短信,读取生物特征数据,读取唯一设备识别码(如 IMEI、WLAN MAC 地址),调用录音、拍摄、后台截屏/录屏行为;
2) 可选记录读取应用程序列表、读取剪切板等;
3) App 自启动、被关联启动的行为,为用户呈现自启动、被关联启动情况。
c) 记录展示的信息,包括:
1) 调用行为按总量统计时,展示信息包括 App 名称、App 版本、调用行为名称、总量数据;
2) 调用行为按次数统计时,展示信息为最后一次详情或每次详情,展示信息包括 App 名称、App 版本、调用行为名称、调用行为起始时间(展示时间精度至少为分钟);
3) App 存在频繁读取位置、媒体影音数据的情况,为避免向用户展示大量无效信息,可展示最后一次详情或一定周期内的总量,其它行为宜展示每次详情。
4) 移动智能终端保存 App 调用个人信息行为的周期不少于 7 天,同时根据终端配置水平的差异,设定调用行为保存次数阈值。
注:保存次数阈值和保存周期取其中的最小值作为移动终端保存 App 调用行为记录的存储期限。
7.1.3 用户个人信息集中展示
移动智能终端宜在操作系统设置界面的二级目录中显著位置展现系统中的各类个人信息保护功能,具体包括:
a) 查看 App 收集个人信息行为记录情况;
b) 权限等与个人信息相关操作的管理界面。
《互联网个人信息安全保护指南》
6.3应用
e)应对必须要通过界面(如显示屏幕、纸面)展示的个人信息进行去标识化的处理。
《信息安全技术 个人信息安全规范》
3.15
去标识化 de-identification
通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。
注:去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。
6.2 去标识化处理
收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。
《信息安全技术个人信息去标识化指南》
4 去标识化概述
4.1 去标识化目标
去标识化目标包括:
a)对直接标识符和准标识符进行删除或变换,避免攻击者根据这些属性直接识别或者结合其它信息识别出原始个人信息主体;
b)控制重标识的风险,根据可获得的数据情况和应用场景选择合适的模型和技术,将重标识的风险控制在可接受范围内,确保重标识风险不会随着新数据发布而增加,确保数据接收方之间的潜在串通不会增加重标识风险;
c)在控制重标识风险的前提下,结合业务目标和数据特性,选择合适的去标识化模型和技术,确保去标识化后的数据集尽量满足其预期目的(有用)。
4.2 去标识化原则
