T/SHAA 000204-2022 数字广告 第4部分:用户信息保护
T/SHAA 000204-2022
团体标准 推荐性 现行
收藏
报错
内容简介
目次前言 2引言 31范围 42规范性引用文件 43术语和定义 44保护责任 55个人信息保护原则 66个人信息保护措施 67一般要求 79跨境提供要求 1010个人信息保护、用户信息安全和隐私权益维护工作建议 10参考文献 11前言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。本文件是T/SFSF000001《数字广告》的第4部分。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由上海市广告协会提出并组织实施。本文件由上海市广告协会归口。本文件起草单位:上海市广告协会、上海广告研究院、上海大学、利欧集团数字科技有限公司、携程旅游信息技术(上海)有限公司。本文件主要起草人:阎峰、张秀莉、周崧弢、王强。本文件首批承诺执行单位:1.承诺执行企业:上海美术设计有限公司、分众传媒信息技术股份有限公司、先恩环境艺术发展集团、互诚信息技术(上海)有限公司、上海广播电视台、上海广告有限公司、德高广告(上海)有限公司、上海唐神广告传播有限公司、东方航空传媒股份有限公司、上海飞帆广告有限公司、上海铁路文化广告发展有限公司、凤凰卫视都市传媒(上海)有限公司、携程旅游信息技术(上海)有限公司、上海雅仕维广告有限公司、上海映巷文化传播有限公司、上海亚通文化传播有限公司、中广国际广告创意产业基地发展有限公司、利欧集团数字科技有限公司、上海不只广告有限公司、上海企创信息科技有限公司、上海辰源企业形象设计有限公司、上海惠亨智能科技有限公司、上海剧星传媒股份有限公司。2.承诺执行团体:上海市广告协会展览陈列分会、上海市广告协会品牌服务分会、上海市广告协会互联网分会、上海市广告协会交通分会、上海市广告协会融媒体分会、上海市广告协会户外分会、上海市广告协会招牌标识分会、上海市广告协会摄影分会、上海市广告协会生态专业委员会、上海市广告协会园区专业委员会、上海市广告协会学术法律专业委员会。引言数字广告是通过网络和流媒体内容等进行的在线营销传播活动形式。数字广告的重要性在于,数字广告相比传统广告更为灵活和精准。消费者可以通过电脑、移动终端设备和智能家居设备连接互联网,进行在线消费、接受销售服务、反馈信息和接触数字广告,数字广告对于消费者的把握和了解能力超过以往。为防止数字广告传播活动中用户信息的滥用与权益侵害,指导数字广告从业自然人、企业法人和其他组织等作为信息处理者在数字广告传播活动中行为的合法与合规,促进广告业健康发展,本文件提出数字广告传播中保护用户信息的团体标准。在近20年的发展中,数字广告日益成为我国广告传播的重要组成部分。数字广告技术、形态和社会应用也处在不断的进化和发展中。因此,本团体标准基于规范应用目的,立足未来引导立场而制定,期望能进一步加强数字广告活动中的个人信息保护,维护网络空间良好生态,促进数字经济健康发展,建构国家信息安全总体框架,塑造我国数据新秩序,完善国家数字治理体系,积极参与个人信息保护国际交流与合作。数字广告第4部分:用户信息保护1范围本文件定义了数字广告用户信息保护的核心概念、内涵、特征和范围,界定了数字广告用户信息保护的各主体权益和责任,提出了数字广告传播活动中用户信息保护的标准和执行操作要求。本文件适用于上海市各类提供数字广告设计、制作、代理、发布服务的自然人、法人或其他组织,亦适用于为推销商品或者服务,自行或者委托他人设计、制作、发布数字广告的自然人、法人或者其他组织。凡在上海市经过工商登记注册的合法个人信息处理者,应遵守本要求。通过远程服务,与上海市个人信息处理者合作、协作进行个人信息处理的境外处理者亦应遵守本要求。2规范性引用文件下列文件中的内容通过文中规范性引用而构成本文件必不可少的条款;同时,涉及个人信息保护的相关国家法律法规和政策文件亦作为本文件的撰写参考依据。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。《GB/T28828-2012信息安全技术公共及商用服务信息系统人信息保护指南》《GB/T34978-2017信息安全技术移动智能终端个人信息保护技术要求》《GB/T37964-2019信息安全技术个人信息去标识化指南》《GB/T39335-2020信息安全技术个人信息安全影响评估指南》《GB/T35273-2020信息安全技术个人信息安全规范》《T/TAF077APP收集使用个人信息最小必要评估规范》《T/TAF078APP用户权益保护测评规范》3术语和定义下列术语和定义适用于本文件。3.1数字广告用户digitaladvertisingaudience数字广告用户指数字广告传播活动的对象,即接收数字广告信息、使用数字广告产品、工具、平台的用户。包括相关自然人、法人或其他组织。3.2敏感个人信息sensitivepersonalinformation敏感个人信息指“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。如:生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息等。3.3自动化决策automateddecisionmaking自动化决策指通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。“算法推荐”等现象属于自动化决策。3.4去标识化de-identification去标识化指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。3.5匿名化anonymization匿名化指个人信息经过处理无法识别特定自然人,且不能复原的过程。4保护责任4.1用户权利保护要求:4.1.1应经用户知情同意。数字广告传播活动中收集和使用自然人个人信息,应遵循合法、正当、必要原则。个人信息处理目的应明确,应经用户知情同意。4.1.2应由用户决定其信息处理的要求。应允许数字广告用户个人限制、拒绝或撤回他人对其个人信息处理的要求。4.1.3应允许用户查阅复制其个人信息。应允许数字广告用户个人向个人信息处理者查阅、复制其个人信息。4.1.4应允许用户携带转移其个人信息。数字广告用户个人请求将个人信息转移至其指定的处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径。4.1.5应允许用户更正补充其个人信息。数字广告用户个人发现其个人信息不准确或者不完整的,个人信息处理者应允许更正、补充。4.1.6应允许用户删除其个人信息。在五种情形下,数字广告用户个人信息处理者应当主动删除用户个人信息。未删除的,应允许用户个人删除的请求,包括:a)处理目的已实现、无法实现或者为实现处理目的不再必要的,用户个人请求删除;b)个人信息处理者停止提供产品或者服务,或者保存期限已届满的,用户个人请求删除;c)用户个人撤回同意,请求删除;d)个人信息处理者违反法律、行政法规或者违反约定处理个人信息时,用户个人请求删除;e)法律、行政法规规定的其他情形。其中的特殊处理情形,如在法律法规和政策规定保存期限未满,或存在删除个人信息技术难度的,个人信息处理者应停止储存,和采取必要的安全保护措施之外的处理。4.1.7应允许用户对处理规则进行解释的要求。应允许数字广告用户个人要求个人信息处理者对其处理规则进行解释说明。4.2信息处理者责任要求数字广告传播活动中,个人信息处理者应遵循下述操作要求:4.2.1按照规定制定内部管理制度和操作规程。4.2.2境内设立专门机构,指定负责人监督个人信息处理活动。4.2.3制定必要的安全技术措施。4.2.4定期对其个人信息处理活动进行合规审计。4.2.5对处理敏感个人信息、利用个人信息进行自动化决策、对外提供或公开个人信息等高风险处理活动,应进行事前影响评估。4.2.6履行个人信息泄露通知和补救义务4.3互联网平台责任要求互联网平台是网络信息传播活动的“守门人”,应承担更多责任,主要包括:4.3.1应按照国家规定,建立健全个人信息保护合规制度体系;4.3.2应成立主要由外部成员组成的独立机构进行监督;4.3.3应遵循公开、公平、公正的原则制定平台规则;4.3.4应对严重违法处理个人信息的平台内产品或服务提供者停止提供服务;4.3.5应定期发布个人信息保护社会责任报告并接受社会监督。4.3.6从业人员规模大于200人、处理超过100万人的个人信息、处理超过10万人的个人敏感信息的信息处理者,应指定个人信息保护责任人。5个人信息保护原则5.1应遵守正当、必要、诚信的原则处理用户个人信息,不得通过误导、欺诈、胁迫方式处理个人信息。5.2目的应明确、合理,不得过度收集个人信息,应与处理目的直接相关。5.3公开的个人用户信息,应明示处理目的、方式和范围。应避免信息不准确、不完整对个人权益造成不利影响事件的发生。5.4个人信息处理者对其个人信息处理活动负责,应采取必要措施来保障处理的个人信息的安全。5.5除法律、行政法规规定的除外,个人信息的保存期限,应当为实现处理目的所必要的最短时间。5.6应防止发生app过度收集用户“位置信息”、“通讯录信息”、“手机号码”等个人信息;平台强制索要非必要权限、超范围收集个人信息、企业非法推送商业信息、非法泄露买卖个人信息等侵害用户权利的情形。6个人信息保护措施6.1数字广告传播活动中,个人信息处理者应当根据用户个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失;6.2制定内部管理制度和操作规程,形成制度性文件;6.3对个人信息实行分类管理,形成分类管理工作条例;6.4采取相应的加密、去标识化等安全技术措施,形成相应的技术标准并制定标准文本;6.5合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;6.6制定并组织实施个人信息安全事件应急预案,形成预案标准文件。7一般要求7.1在数字广告传播活动中,涉及用户个人信息处理的,应取得个人的同意。但以下情况不必取得个人同意:涉及到个人的劳动合同(包括按照依法制定的劳动规章制度和依法签订的集体合同)已经有规定;法定职责或者法定义务所必需;为应对突发公共卫生事件或紧急情况下为保护自然人生命健康和财产安全所必需;在合理的范围内为公共利益实施新闻报道、舆论监督等行为;在合理范围内处理个人自行公开或其他已经合法公开的个人信息,以及法律、行政法规规定的其他情形。7.2数字广告传播活动中,应严格遵守以“告知-知情--同意”为核心的个人信息处理规则体系。具体包括:7.2.1按照“告知—知情—同意”原则,数字广告传播活动中的个人信息处理者应履行向用户“告知”的责任:在处理个人信息之前,应当以显著方式和清晰易懂的语言,真实、准确、完整地向个人告知处理者的名称或者姓名和联系方式、处理目的、处理方式,处理的信息种类、保存期限,以及个人行使其权利的方式和程序。如有变更,则应当将变更部分完整和充分地告知个人。7.2.2用户个人充分知情。在对其信息处理目的、处理方式,处理的,个人信息种类、保存期限充分知情的前提下,用户个人自愿做出明示同意。必要时,须有书面同意。7.2.3处理不满14周岁未成年人信息的,应当取得其监护人同意。7.3数字广告传播活动中,基于用户个人同意处理其信息的,应允许个人撤回同意。个人信息处理者应通过显著方式、清晰易懂的语言真实、准确、完整地告知被采集者,同时提供便捷的撤回同意方式。7.4需单独同意的要求7.4.1一般规定a)当用户信息需向其他个人信息处理者提供、向向境外提供,或公共场所收集的个人图像、身份信息用于非公众安全的目的、公开其处理的个人信息,都需获得用户“单独同意”。具体而言,数字广告传播活动中,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。b)个人信息处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项,并取得个人的单独同意。在互联网远程访问方式中常见此类情形。c)在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。在数字广告传播活动中,常用的“人脸识别”技术涉及个人图像、生物信息和身份识别等个人敏感信息,需获得单独同意。d)个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。e)信息处理者处理个人信息时不得采取一揽子授权、概括授权、捆绑授权(不同业务、不同产品之间)。在数字广告传播活动实际场景中,信息处理者往往采用一揽子同意隐私政策。但一揽子协议应排除需“单独同意事项”,即存在需“单独同意事项”的情形下,不得采用一揽子协议。f)单独同意应满足如下条件和要求:即时增强告知:采用显著方式、使用清晰易懂的语言;保证信息的真实、准确、完整。同意事项独立:针对具体且独立的目的或业务功能。同意动作明示:以明确方式作出同意,确保无歧义;不得默认同意.单独同意应单独勾选,点击同意。7.4.2“人脸识别”信息处理要求(a)应为“公共安全所必需”的目的。公众场合信息采取人脸验证、人脸识别,采集人脸分析信息等行为,应为维护公共安全所必需,只能用于维护公共安全的目的。不得采取一揽子授权、概括授权、捆绑授权(不同业务、不同产品之间)。(b)应告知用户必要信息:信息处理者应当向用户告知处理者或境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人信息使用范围,信息保存期限,方式和程序等事项。(c)遵循最小必要原则:应告知收集人脸信息识别数据的必要性,以及在信息处理中,是否满足处理目的最小范围原则,是否采取对个人权益影响最小的方式。(d)允许用户撤回同意:应满足个人用户撤回同意权利,个人信息处理者应通过显著方式、清晰易懂的语言真实、准确、完整第告知被采集者其撤回权利,同时提供便捷的撤回同意方式,(e)应单独勾选,点击同意。7.4.3跨平台使用要求在数字广告传播活动中的跨平台使用,如涉及双方或多方平台之间的信息交换和数据合作,应获得用户单独同意。信息处理者应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人信息使用范围,信息保存期限,方式和程序等事项。7.5重新同意数字广告传播活动中,个人信息处理者向其他个人信息处理者提供其处理的个人信息,接收方变更原先的处理目的、处理方式的,应当重新取得个人同意。7.6不得拒绝服务数字广告传播活动中,不可违反用户“知情、自愿、明确作出同意”的行为原则,以及信息“全面、完整”的原则条件,不得拒绝提供产品或服务强迫用户同意。7.7信息保存期限数字广告传播活动中,个人信息处理中的信息保存时间应遵从实现处理目的所必要的最短时间。数字广告传播平台包含个人信息的相关网络日志至少需要保存6个月,含有个人信息的交易信息保存期限不少于3年。7.8自动化决策7.8.1个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。7.8.2通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出的决定。8敏感个人信息处理要求8.1用户个人的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息等为敏感个人信息。8.2数字广告传播活动中,涉及处理敏感个人信息的要求是:只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。同时,个人信息处理者应当向个人告知处理敏感个人信息处理的必要性以及对个人权益的影响。8.3处理敏感个人信息,应当取得个人的单独同意;如果有法律、行政法规规定处理敏感个人信息应当取得书面同意的,应遵守其规定,且应符合“书面文件”的形式要求。8.4处理不满十四周岁未成年人个人信息,应当取得未成年人的父母或者其他监护人的同意,并制定专门的个人信息处理规则。8.5对于敏感个人信息的保护,数字广告用户、数字广告从业者、其他法人和社会组织,应积极学习《个人信息保护法》以及其他相关法律的规定,了解其处理原则、处理规则、相关各方的权利和义务,救济方式等。应养成“非必要不提供”的习惯和意识,认真阅读数字广告提供方、平台方隐私协议条款,充分考虑提供个人信息的必要性和充分性后授权。同时,要对自己授权或者提供的个人信息进行持续跟踪,必要时积极行使“撤回同意”权利,要求对方停止处理或及时删除其个人信息。平时,要注意销毁、抹掉,或删除及采用加密方式处理个人关键信息。9个人信息跨境提供要求9.1个人信息的跨境提供,是涉及到国家信息安全的重要事项。数字广告传播活动中,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估,应遵守相关法律要求,遵守国家相关技术和质量标准的规范和规则要求。9.2个人信息的跨境提供,应通过国家网信部门组织的安全评估,依照2022年9月1日生效的《数据出境安全评估办法》执行。在满足国家网信部门安全评估的前提下,企业数据合法出境,需经专业机构进行个人信息保护认证;按照国家网信部门制定的标准合同文本要求,与境外接收方订立合同,约定双方的权利和义务。9.3个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动国家相关法律、法规、文件规定的个人信息保护要求;向中华人民共和国境外提供个人信息的,应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类,允许个人向境外接收方行使和维护自己合法权利的方式和程序等事项,并取得个人的单独同意。10个人信息保护、用户信息安全和隐私权益维护工作建议为促进数字广告经营者个人、企业、法人、团体对用户个人信息的保护、隐私权益的维护,总结提出如下工作建议:宜建立、制定企业内部用户个人信息保护管理制度、标准化操作流程,形成制度性文件;宜对用户个人信息应进行分类管理,制定相应的处理操作权限,形成管理标准文件;宜积极采取加密、去标识化等安全保护相关技术措施;宜定期举办关于用户个人信息安全、用户隐私权益保护的全员教育及培训;宜制定个人信息保护相关安全应急预案、公关应急预案,形成标准化预案文本;在发生或者可能发生个人信息泄露、篡改、丢失事件时,负责个人信息安全和保护的部门和个人宜立即采取补措施,并如实上报行业主管部门和国家网信部门;宜主动定期进行个人信息保护的合规审计,聘请具有资质的专业审计公司进行;中国境外的个人信息处理者,宜在中国境内设立专门机构、并指定代表人;宜积极与国内外同行进行个人信息保护的政策、法规、技术、学术、业务交流。参考文献[1]朱宁宁,个人信息保护法对敏感个人信息给予特殊保护,法治日报,2021年11月16日。[2]丁晓东,个人信息保护法:为数字社会治理与数字经济发展构建基本法,中国网信网,2021年08月25日。[3]吴沈括,吸收接轨国际立法探索开创中国路径——读《中华人民共和国个人信息保护法》,中国人大网,2021年08月25日。[4]韩旭至,敏感个人信息的界定及其处理前提——以《个人信息保护法》第28条为中心,《求是学刊》,2022年第5期[5]李睿,“个人信息安全保护法解读及合规应对”讲座视频,香港会计师公会官方微信账号(ID:hkicpa_official)。[6]阮祺康,个人信息保护法》(PIPL)的影响:满足中国日趋严格的数据隐私和安全法规要求,经济学人微信公众号(ID:TheEconomistGroup)[7]《T/TAF078APP用户权益保护测评规范》[8]《常见类型移动互联网应用程序必要个人信息范围规定》[9]《信息安全技术移动互联网应用程序(APP)个人信息安全测评规范(征求意见稿)》
起草单位
上海市广告协会
起草人
阎峰、张秀莉、周崧弢 、王强
* 特别声明:资源收集自网络或用户上传,仅供个人标准化学习、研究使用。如有侵权,请及时联系我们!