企业数据合规全流程指导资料.docx

企业数据合规法律服务产品 2020年01（简）版 【内部学习资料，请勿外传】 一、企业数据合规法律服务内容及流程管理 二、APP违规收集个人信息之尽职调查清单 三、APP收集个人信息之合规整改建议 四、收集使用个人信息专项检查评估表（示例） 五、数据供应商之尽职调查清单 六、企业上市过程中与数据合规相关的常见反馈问题 七、数据分类分级规范（示例） 八、埋点-事件表预置属性（用户行为信息收集示例） 九、埋点-用户表预置属性（用户行为信息收集示例） 十、个人信息收集相关的手机权限列表（示例） 十一、第三方共享个人信息情形的合规审查（示例） 十二、个人信息判定标准（示例） 十三、个人敏感信息判定标准（示例） 十四、数据合规相关内部制度办法（示例） 一、企业数据合规法律服务内容及流程管理 数据合规法律服务内容，主要分为“定政策”、“设组织”、“融流程”以及“降风险”，主动融入企业数据合规的流程管理及风险把控。 定政策：在数据安全相关的法律法律、政策文件、行业标准等的基础上，制定内部管理规定、设计管理流程、规范技术标准、起草技术指引，形成全套的文件体系。 设组织：调动多部门协作，落实安全项目管理、安全运营管理、合规与风险管理的相关负责人以及内部决策机制，明确相关负责人的职责。 融流程：将数据安全管理融入具体可执行的管理流程里，将风险控制、合规控制以及绩效控制相结合，注重事前合规与事中合规，对可预期的风险进行动态控制与防范。 降风险：设置相应风险等级预警机制，定期进行风险评估并内部优化，提升员工的风险意识教育以及外部风险承受能力。 具体流程示例： （- 定政策 -） （- 设组织 -） （- 融流程 -） （- 降风险 -） （- 降风险 -） 二、APP违规收集个人信息之尽职调查清单 一、没有公开收集使用规则的情形 1.没有隐私政策、用户协议，或者隐私政策、用户协议中没有相关收集使用规则的内容； 2.在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策，或隐私政策链接无效、文本无法正常显示； 3.进入App主功能界面后，多于4次点击、滑动才能访问到隐私政策； 4.其他违反公开收集使用规则要求的情形。 二、没有明示收集使用个人信息的目的、方式和范围的情形 1.收集使用信息的目的违反合法、正当、必要原则，如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息； 2.没有逐一列出收集个人信息的类型、频率，特别是针对个人敏感信息； 3.收集使用个人信息的目的、方式和范围发生变化，未以适当方式通知用户，适当方式包括更新隐私政策并提醒用户重新阅读授权等； 4.在申请可收集个人信息的权限时，未告知收集使用的目的，如在申请调阅通讯录时没有说明原因； 5.每次要求用户提供个人敏感信息时，如身份证号、银行卡号等，未同步实时说明原因； 6.有关收集使用规则的内容晦涩难懂、冗长繁琐； 7.其他没有明示收集使用个人信息的目的、方式和范围的情形。 三、未经同意收集使用个人信息的情形 1.未经同意就开始收集个人信息，如App首次运行、提示用户阅读隐私政策前就开始收集个人信息； 2.用户明确拒绝后，仍收集个人信息，如用户不同意被收集地理位置信息时仍然收集； 3.实际收集使用的个人信息超出用户授权的范围； 4.利用用户信息和算法定向推送新闻、广告等，未提供终止定向推送的选项； 5.未经用户同意，私自调用可收集用户个人信息权限； 6.在未打开或使用App时，App后台调用用户个人信息； 7.未经用户同意私自更改用户设置的权限，包括App更新时将用户设置的权限恢复到默认状态； 8.用户明确拒绝App收集个人信息请求，App仍频繁征求用户同意，干扰用户正常使用； 9.违背与用户约定，不按隐私政策中的收集使用规则收集使用个人信息； 10.其他未经同意收集使用个人信息的情形。 四、违反必要性原则，收集与其提供的服务无关的个人信息的情形 1.实际收集的个人信息类型与现有业务功能无关，无关是指该类信息并非实现现有业务功能所必需； 2.在用户使用业务功能时，收集个人信息的频率等超出所使用的业务功能需要； 3.捆绑多项业务功能一揽子征求用户同意，不同意则不提供任何单一服务； 4.当用户拒绝某一业务功能收集个人信息的请求时，App停止提供其他业务功能； 5.如提供未经注册即可使用（如支持浏览、游客模式）的业务功能，用户若不同意收集此类业务功能所需以外的个人信息，App拒绝提供所有服务； 6.新增业务功能时，需收集的个人信息超出原有同意范围，如用户不同意收集，则拒绝提供原有业务功能，新增业务功能将取代原有业务功能的除外； 7.申请打开可收集无关信息的权限； 8.其他收集与其提供的服务无关的个人信息的情形。 五、未经同意向他人提供个人信息的情形 1.未经