360 企业个人信息合规思路与实践报告 2021 在线下载,免费下载

m o h t i g 1 / 181 b u c . 5 企业个人信息保护合规思路与实践报告发布单位：360 集团指导单位：中国信息通信研究院 360 法律研究院简介 360 法律研究院是隶属于 360 集团法务中心的高端智库。旨在依托 360 集团卓越的网络安全技术、多元化的产品形态和丰富的法 m o 律实践，围绕数字经济发展的前沿性问题，立足国家安全和行业发展，通过开放合作的研究平台，汇集各界智慧，协同解决互联 c . 5 网行业新型法律问题，为共建网络空间命运共同体提供战略支撑，理论保障和人才支持。声明 h t i g b u 1. 本报告著作权归属 360 集团，谨为企业研究成果参考，不具备监管指导作用，依据本文件不代表完全符合最新执法监管要求。 2.报告可供各类型企业建设完善自身个人信息保护制度体系、提升内部专业人员和部门团队能力建设水平，打造企业良好社会品牌与公众形象进行参考。 3.本报告仅基于学术探讨目的使用，不代表所有贡献作者所在单位观点。 2 / 181 企业个人信息保护合规思路与实践报告目录第一章处理的个人信息类型与要求 ................................................................. 8 一. 个人信息的概念、类型........................................................................ 8 (一) 个人信息（个人数据）.................................................................. 8 (二) 个人敏感信息 .................................................................................... 8 二. 个人敏感信息的保护要求 ................................................................... 8 (一) 特殊标记 ............................................................................................. 8 (二) 增强告知 ............................................................................................. 8 (三) 强加密 .................................................................................................. 9 (四) 单独存储 ............................................................................................. 9 (五) 独立规则 ............................................................................................. 9 第二章处理的原则要求 .................................................................................... 14 一. 合法、正当、必要 .............................................................................. 14 b u 二. 原则拆解............................................................................................... 14 (一) 权责一致 .......................................................................................... 14 (二) 目的明确 .......................................................................................... 14 (三) 公开透明 .......................................................................................... 15 (四) 选择同意 .......................................................................................... 15 (五) 最小必要 .......................................................................................... 15 (六) 确保安全 .......................................................................................... 15 (七) 主体参与 .......................................................................................... 16 h t i g 第三章处理行为要求 ........................................................................................ 17 一. 收集 ....................................................................................................... 17 (一) 收集的合法基础 ............................................................................ 17 (二) 收集的最小必要原则 ................................................................... 21 (三) 禁止行为 .......................................................................................... 21 (四) 我方身份 .......................................................................................... 28 (五) 收集的数据类型 ............................................................................ 28 (六) 收集来源方式 ................................................................................. 28 二. 存储 ....................................................................................................... 30 (一) 存储的告知同意 ............................................................................ 30 (二) 存储地域范围 ................................................................................. 30 3 / 181 m o c . 5 三. 一般与敏感的判定标准........................................................................ 9 企业个人信息保护合规思路与实践报告 (三) (四) (五) (六) (七) (八) 存储形式 .......................................................................................... 31 敏感个人信息的存储 ................................................................... 32 匿名化 ............................................................................................... 33 去标识化 .......................................................................................... 35 存储的期限要求 ............................................................................ 38 超期处理方式 ................................................................................. 40 三. 使用 ....................................................................................................... 40 (一) 告知同意 .................................