个人信息安全管理规范

1. 个人信息安全基本原则

个人信息控制者开展个人信息处理活动应遵循合法、正当、必要的原则，具体包括：

• 权责一致：采取技术和其他必要的措施保障个人信息的安全，对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任。
• 目的明确：具有明确、清晰、具体的个人信息处理目的。
• 选择同意：向个人信息主体明示个人信息处理目的、方式、范围等规则，征求其授权同意。
• 最小必要：只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后，应及时删除个人信息。
• 公开透明：以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督。
• 确保安全：具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的保密性、完整性、可用性。
• 主体参与：向个人信息主体提供能够查询、更正、删除其个人信息，以及撤回授权同意、注销账户、投诉等方法。

2. 个人信息的收集

2.1 收集个人信息的合法性

• 不应以欺诈、诱骗、误导的方式收集个人信息。
• 不应隐瞒产品或服务所具有的收集个人信息的功能。
• 不应从非法渠道获取个人信息。

2.2 收集个人信息的最小必要

• 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联；直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现。
• 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。
• 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

2.3 多项业务功能的自主选择

• 不应通过捆绑产品或服务各项业务功能的方式，要求个人信息主体一次性接受并授权同意其未申请或使用的业务功能收集个人信息的请求。
• 应把个人信息主体自主作出的肯定性动作，如主动点击、勾选、填写等，作为产品或服务的特定业务功能的开启条件。
• 关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。

2.4 收集个人信息时的授权同意

• 收集个人信息，应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则，并获得个人信息主体的授权同意。
• 收集个人敏感信息前，应征得个人信息主体的明示同意，并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示。
• 间接获取个人信息时，应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认。