2024年5月,为明确企业从事数据法律行为的基本边界,提高企业数据全生命周期合规管理水平,根据《中华人民共和国民法典》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律、法规及行业规范,苏州大数据交易所、苏州互联网法庭、苏州数据资源法庭制定本《企业数据全生命周期负面行为清单》(以下简称《负面清单》)。
本《负面清单》从数据收集、存储、使用、加工、传输、提供、公开、销毁等维度对数据流通过程中的风险点进行梳理,列举相关负面行为及依据。本《负面清单》与相关法律、法规等强制性规定不一致的,以法律、法规等规定的内容为准。本《负面清单》作为苏州大数据交易所数商入驻和数据产品审查依据的组成部分。
一、数据收集
1. 收集个人信息时,违反用户同意原则
(1) 未征得用户同意前就开始收集个人信息或打开可收集个人信息的权限;
(2) 用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用;
(3) 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;
(4) 以默认选择同意隐私政策等非明示方式征求用户同意收集敏感个人信息未取得个人的单独同意;
(5) 未经用户同意更改其设置的可收集个人信息权限状态如App更新时自动将用户设置的权限恢复到默认状态;
(6) 违反用户所声明的收集使用规则,收集使用个人信息;
(7) 以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的。
依据:《个人信息保护法》第十三条、第二十九条、第六十六条;《网络安全法》第二十二条第三款、第六十四条;《App违法违规收集使用个人信息行为认定方法》。
2. 收集个人信息时,违反公开遗明原则
(8) 收集个人信息,未公开或未单独设置隐私政策,如网页、App中没有隐私政策,或者隐私政策中没有收集使用个人信息的目的、方式、范围、规则等;
(9) 隐私政策设置不当:
① 在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;
② 隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等;
③ 隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
④ 未保存隐私政策的历史版本;
⑤ 隐私政策未向个人告知处理敏感个人信息的必要性以及对个人权益的影响;
⑥ 隐私政策未对个人信息存放地域(国内、国外)、存储期限(法律规定范围内最短期限或明确的期限)、超期处理方式进行明确说明;
(10) 未向用户提供便捷的撤回同意收集个人信息的途径、方式;
(11)网络运营者未设置专门的儿童个人信息保护规则和用户协议。
依据:《民法典》第一千零三十五条;《网络安全法》第四十一条、第六十四条;《个人信息保护法》第七条、第十五条、第十七条、第三十条、第六十六条;《儿童个人信息网络保护规定》第八条;《App违法违规收集使用个人信息行为认定方法》《APP违法违规收集使用个人信息自评估指南》。
3. 收集个人信息时,违反最小化原则
(12) 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;
(13) 收集个人信息的范围、频次等超出业务功能实际需要;
(14) 要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用;
(15) 因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供产品或业务功能;
(16) 仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;
(17) App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外。
依据:《网络安全法》第四十一条;《个人信息保护法》第六条、第十六、第六十六条;《儿童个人信息网络保护规定》第十一条;《APP违法违规收集使用个人信息行为认定方法》。
4. 收集数据的方式违法、违规
(18) 通过非法买卖、非法提供、窃取或者以其他非法方式获取数据或个人信息;
(19) 使用自动化工具(如数据爬虫技术),违反目标网站robots协议、反爬虫协议,或通过破解反爬虫技术保护措施等方式收集或侵入计算机系统窃取数据。
依据:《民法典》第一百一十一条;《网络安全法》第二十七条;《数据安全法》第三十二条;《治安管理处罚法》第二十九条;《反不正当竟争法》第十二条、第二十四条;《刑法》第三百八十五条;《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条。
5. 收集数据的内容违法、违规
(20) 抓取与国家安全、社会公共利益密切相关的重要数据;
(21) 抓取涉及国家秘密、商业秘密,涉黄、涉暴、涉恐以及未经个人许可的个人隐私等敏感类信息数据;
(22) 抓取未经著作权人、专利权人等许可的知识产权数据:
(23) 抓取未经权利人授权的非公开或非全部公开的数据。
依据:《网络安全法》第四十四条、第六十四条;《数据安全法》第三十二条、第五十一条;《个人信息保护法》第十条、第六十六条。
二、数据存储
6. 未按照规定期限存储数据
(24) 互联网直播服务提供者记录互联网直播使用者发布内容和日志信息保存不足60日;
(25) 互联网信息提供者和互联网接入服务提供者的记录备份保有不足60日;
(26) 移动互联网应用程序提供者记录用户日志信息保存不足60日;
(27) 互联网电子邮件提供者对于经其电子邮件服务器发送或者接收的互联网电子邮件的发送或者接收时间、发送者和接收者的互联网电子邮件地址及IP地址保存不足60日;
(28) 网络表演经营单位对于全部网络表演视频资料保存不足60日;
(29) 电信业务经营者对计费原始数据保存不足5个月;
(30) 网络运营者对于监测、记录网络运行状态、网络安全事件的技术措施,留存的相关网络日志不足6个月;
(31) 网络餐饮服务第三方平台提供者和自建网站餐饮服务提供者对于订单信息等保存时间不足6个月;
(32) 电信业务经营者对所有与事故有关的数据和书面记录保存不足6个月;
(33) 微博客服务提供者记录微博客服务者日志信息保存时间不足6个月;
(34) 用人单位对已经解除或终止的劳动合同的文本,保存时间不足2年;
(35) 个人信息保护影响评估报告和处理情况记录保存不足三年;
(36) 电子商务平台经营者对平台上发布的商品和股务信息、交易信息保存时间自交易完成之日起不足3年;
(37) 电子支付服务提供者对最近3年的交易记录未保存;
(38) 网络直播服务提供者对网络交易活动的直播视频保存时间自直播结束之日起不足3年;
(39) 网络交易平台经营者对平台内经营者身份信息保存时间自其退出平台之日起不足3年,对商品或服务信息、交易记录、物流快递、退换货以及售后等交易信息的保存时间自交易完成之日起不足3年;
(40) 从事医疗器械网络销售的企业,对医疗器械销售信息,存储时间不足医疗器械有效期后2年;无有效期的,保存期限不足5年;植入类医疗器械的销售信息未永久保存。
依据:《网络安全法》第二十一条(三);《互联网电子邮件服务管理办法》第十条;《互联网信息服务管理办法》第十四条;《网络表演经营管理办法》第十三条;《移动互联网应用程序信息服务管理规定》第七条;《网络餐饮服务食品安全监督管理办法》第十五条;《电信服务质量监督管理暂行办法》第十七条;《电信服务规范》第七条第二款;《微博客信息服务管理规定》第十六条;《劳动合同法》第五十条;《个人信息保护法》第五十六条;《电子商务法》第三十一条、第五十三条;《网络交易监督管理办法》第二十条、第三十一条;《医疗器械网络销售监督管理办法》第十二条。
7. 违反数据备份、加密、分类管理规定
(41) 个人信息处理者未对个人信息实行分类管理,未采取相应的加字、去标识化等安全技术措施;
(42) 未加密存储不满十四周岁的未成年人信息;
(43) 网络运营者未按照网络安全等级保护制度的要求对重要数据备份和加密。
依据:《个人信息保护法》第五十一条、第六十六条;《儿童个人信息网络保护规定》第十三条、第二十六条;《网络安全法》第二十一条、第五十九条。
8. 违反数据境内存储规定
(44) 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据未在境内存储;
(45) 法律、行政法规有境内存储要求的其他数据,未在境内储存的,如汽车数据处理者处理的重要数据,银行业金融机构和征信机构在中国境内收集的个人金融信息。
依据:《数据安全法》第三十一条、第四十六条;《网络安全法》第三十七条、第六十六条;《汽车数据安全管理若干规定(试行)》第十一条、第十八条;《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》第六条、第十条;《征信业管理条例》第二十四条、第三十八条。
三、数据使用、加工、传输、提供、公开
9. 无权或超范围使用个人信息
(46) 违反与个人或个人信息授权使用主体的约定范围,使用个人信息;
(47) 个人信息处理者公开其处理的个人信息,未取得个人单独同意;
(48) 通过公共场所安装的图像采集、个人身份识别设备收集的个人图像、身份识别信息,未取得个人单独同意,用于维护公共安全外的其他场景或目的而使用;
(49) 接收方变更原先的处理目的、处理方式,未依法重新取得个人同意。
依据:《民法典》第一千零三十五条;《网络安全法》第四十条、第六十四条;《个人信息保护法》第二十三条、第二十五条、第二十六条、第六十六条。
10. 处理个人信息不合规
(50) 网络运营者泄露、篡改、毁损其收集的个人信息,未经安全化处理且未经被收集者同意,向他人提供个人信息;
(51) 因业务需要,确需改变个人信息使用目的或改变个人信息使用规则时,未再次征得用户明示同意;
(52) 除为达到用户授权的使用目的外,使用个人信息时未消除明确身份指向性;
(53) 使用个人信息(如屏幕展示)时,未就个人信息进行去标识化的处理;
(54) 处理敏感个人信息未取得个人的单独同意;
(55) 未征得监护人授权同意使用、转移、披露儿童个人信息;
(56) 个人信息处理者向其他个人信息处理者出售或者提供个人信息,未向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,或者未取得个
人的单独同意(经过处理无法识别特定个人且不复原的除外);
(57) 个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,未向个人告知接收方的名称或者姓名和联系方式;
(58) 接收方未在原先约定的处理目的、处理方式和个人信息的种类等范围内处理个人信息;
(59) 个人生物识别信息未与个人身份信息分开存储;
(60) 存储原始个人生物识别信息(如样本、图像等)。
依据:《民法典》第一千零三十八条;《网络安全法》第四十二条、第四十四、第六十四条;《个人信息保护法》第二十二条、第二十三条、第二十九条、第三十一条、第六十六条;《儿童个人信息网络保护规定》第九条;《APP违法规收集使用个人信息行为认定方法》;《信息安全技术个人信息安全规范》第6.3。
11. 利用个人信息进行自动化决策不合规
(61) 通过自动化决策方式向个人进行信息推送、商业营销,未同时提供不针对其个人特征的选项,或者未向个人提供便捷的拒绝方式;
(62) 通过自动化决策方式作出对个人权益有重大影响的决定,个人信息处理者拒绝向个人予以说明;
(63) 使用自动化决策技术处理数据,侵犯个人隐私权和知情权;
(64) 对个人在交易价格等交易条件上实行不合理的差别待遇。
依据:《个人信息保护法》第二十四条、第六十六条。
12. 处理个人信息前未开展风险评估
(65) 处理敏感个人信息前未开展风险评估;
(66) 利用个人信息进行自动化决策前未开展风险评估;
(67) 委托处理个人信息、向他人提供个人信息、公开个人信息前未开展风险评估。
依据:《个人信息保护法》第五十六条。
13. 委托或共同处理个人信息不合规
(68) 个人信息处理者未与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等;
(69) 受托人超出约定的处理目的、处理方式等处理个人信息,未采取必要措施保障所处理的个人信息的安全;
(70) 个人信息处理者未对受托人的个人信息处理活动进行监督;
(71) 两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,未约定各自的权利和义务。
依据:《个人信息保护法》第二十一条、第二十二条、第五十九条、第六十六条。
14. 个人信息传输不合规
(72) 个人信息控制者传输个人敏感信息时,未采用加密等安全措施;
(73) 传输以下情形内容和其他法律、行政法规禁止发布或者传输的信息的:危害网络安全、利用网络从事危害国家安全、荣誉和利益;煽动颠覆国家政权、推翻社会主义制度;煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义;宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息;编造、传插虚假信息扰乱经济秩序和社会秩序;侵害他人名誉、隐私、知识产权和其他合法权益等活动。
依据:《个人信息保护法》第五十一条;《网络安全法》第十二条、第四十七条、第五十条、第六十八条、第六十九条、第七十条;《信息安全技术个人信息安全规范》第6.3.a)。
15. 数据出境不合规
(74) 数据跨境传输前未开展数据出境风险评估;
(75) 数据跨境传输前未向有关部门申报数据出境安全评估;
(76) 包含个人信息的数据跨境传输前,未订立个人信息出境标准合同、通过个人信息保护认证。
依据:《网络安全法》第三十七条;《数据出境安全评估办法》第四条;《促进和规范数据跨境流动规定》第七条、第八条;《个人信息保护认证实施规则》。
16. 处理生物识别信息不合规
(77) 未征得自然人或者其监护人的单独同意处理人脸信息;
(78) 未公开处理人脸信息的规则或者未明示处理的目的、方式范围;
(79) 未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全,致使人脸信息泄露、算改、丢失;
(80) 违背公序良俗处理人脸信息;
(81) 违反合法、正当、必要原则处理人脸信息;
(82) 未采取有效措施,防止声纹模型配置参数的未授权访问、泄露、篡改;
(83) 在声纹注册、验证、变更、注销等各个环节,未对关键操作信息进行日志记录;
(84) 用户主动发起声纹变更、注销前,未采用相应标准验证用户身份;
(85) 向其他客户端应用软件提供声纹信息。
依据:《民法典》第一千零三十五条;《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第二条;《移动金融基于声纹识别的安全应用技术规范》第7.4.1。
17. 个人信息处理者未履行公开报送义务
(86) 个人信息处理者未公开个人信息保护负责人的联系方式;
(87) 个人信息处理者未将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。
依据:《个人信息保护法》第五十二条。
四、数据销毁
18. 个人信息销毁不合规
(88) 个人撤回同意提供信息,个人信息处理者未删除个人信息,如儿童监护人撤回同意提供儿童信息,网络运营者未删除儿童信息;
(89) 个人信息处理者停止提供产品或者服务,或者保存期限已届满,未删除个人信息,如儿童或者其监护人通过注销等方式终止使用产品或者服务,网络运营者未删除儿童信息;
(90) 处理目的已实现、无法实现或者为实现处理目的不再必要个人信息处理者未删除个人信息;
(91) 个人信息处理者违反法律、行政法规或者违反约定处理个人信息;
(92) 征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年,超过5年未予以删除;
(93) 个人信息主体注销账户后,未及时删除其个人信息或要名化处理。
依据:《民法典》第一千零三十七条《个人信息保护法》第四十七条、第六十六条;《儿童个人信息网络保护规定》第二十条、第二十三条、第二十六条;《征信业管理条例》第十六条、第三十八条(五);《信息安全技术个人信息安全规范》第8.5.f)。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵犯到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,回复“入”直通 AIGC+X 个人信息保护营,@老邪 免费获取个人信息处理法规工具包。
