互联网企业个人信息保护测评标准.pdfVIP

互互联联网网企企业业个个人人信信息息保保护护测测评评标标准准 2014年3月15 日 　 　　 （中国科学技术法学会、北京 学互联网法律中心　2014年3 月15 日） 　　一、宗旨 　　本标准的制定是为了贯彻 《全国人民代表 会常务委员会关于 加强网络信息保护的决定》 《消费者权益保护法》 《电信和互联网 用户个人信息保护规定》 《网络交易管理办法》等与个人信息保护 相关的规范性法律文件，维护用户合法权益并规范互联网企业的个 人信息处理行为，以实现产业良性发展中个人信息保护与利用的平 衡。 　　测评标准通过对互联网企业义务的具体规定，致力于在现有规 范性法律文件的基础上，建立有效的用户个人信息保护实践机制， 一方面推动互联网企业构建合规的个人信息保护机制，另一方面实 现用户在个人信息方面合法权益的保障。 　　二、依据 　　本标准依据 《全国人民代表 会常务委员会关于加强网络信息 保护的决定》 《消费者权益保护法》 《电信和互联网用户个人信息 保护规定》 《网络交易管理办法》，参照OECD 《关于保护隐私和 个人数据跨国流通的指导原则》、APEC 《隐私保护纲领》、 《公 共及商用系统个人信息保护指南》等国内外个人信息保护领域相关 文件，结合我国互联网产业发展现状制定。 　　三、定义 　　标准所涉及的术语定义如下： 　　1.互联网企业 　　互联网企业是指利用信息网络向用户提供技术服务或内容服务 的过程中处理个人信息的组织实体。“信息网络”包括以计算机、电 视机、固定电话机、移动电话机等电子设备为终端的计算机互联 网、广播电视网、固定通信网、移动通信网等信息网络，以及向公 众开放的局域网络。 　　2.初始方、关联方、第三方 　　初始方是指在提供技术服务或内容服务过程中直接向用户收集 个人信息的互联网企业。 　　关联方是指与特定初始方有控制关系，且其个人信息保护政策 与初始方不存在实质性差异的互联网企业。“控制”是指有权以股权 或协议决定一个互联网企业的财务和经营政策，并能据以从该互联 网企业的经营活动中获取利益。 　　第三方是指未直接向用户收集个人信息，但从初始方或关联方 处获取个人信息的组织实体或自然人。 　　3.用户 　　用户是指使用互联网企业提供的服务并可通过个人信息识别的 自然人。本标准中所称的“未成年人”是指未满18周岁的限制民事能 力人或无民事行为能力人。 　　4.个人信息 　　个人信息是指能够切实可行地单独或通过与其他信息结合识别 特定用户身份的信息或信息集合，如姓名、出生日期、身份证件号 码、住址、电话号码、账号、密码等。 　　本标准不适用于经不可逆的匿名化或去身份化处理，使信息或 信息集合无法合理识别特定用户身份的信息。 　　5.处理 　　处理是指互联网企业对用户个人信息的收集、加工、使用、转 移行为，其中： 　　收集是指获取并保存个人信息的行为。 　　加工是指将收集的个人信息进行自动化系统操作以满足使用、 转移需要的行为。 　　使用是指利用个人信息提供技术服务或信息服务，依据个人信 息作出决策，以及向公众公开或向特定群体披露个人信息的行为。 　　转移是指将个人信息传输给关联方或第三方的行为。 　　6.同意、明示同意、默示同意 　　同意是指用户以其积极、肯定的意思表示，或以其自愿使用服 务的行为，表达对互联网企业处理其个人信息的认可。其中： 　　明示同意是指用户以其积极、肯定的意思表示认可互联网企业 处理其个人信息。 　　默示同意是指用户以其自愿使用服务的行为认可互联网企业处 理其个人信息。 　　除经特别说明，本标准中的同意指默示同意。 　　7.实质性修改 　　实质性修改是指互联网企业对其在个人信息保护政策中承诺 的、与个人信息处理有关的用户权利或互联网企业义务的减少。 　　四、基本原则 　　1.知情同意原则 　　除法律规定的情形外，互联网企业应充分告知用户有关个人信 息处理的重要事项，并在告知的基础上获得用户的明示同意或默示 同意。 　　2.合法必要原则 　　互联网企业处理个人信息的方式应符合法律规定，并仅处理为 实现正当商业目的和提供网络服务所必需的个人信息。 　　3. 目的明确原则 　　互联网企业处理个人信息应具有合法、正当、明确的目的，不 得超出目的范围处理个人信息。 　　4.个人控制原则 　　用户有权查询个人信息，有权对其个人信息进行修改、完善、 补充。 　　5.信息质量原则 　　互联网企业应为用户查询、更正其个人信息提供必要渠道，以 保障个人信息的准确、完整、及时。 　　6