企业收集个人信息与公开数据的11个合规要点.docx

《企业收集个人信息与公开数据的11个合规要点.docx》由会员分享，可在线阅读，更多相关《企业收集个人信息与公开数据的11个合规要点.docx（3页珍藏版）》请在课桌文档上搜索。

1、企业收集个人信息与公开数据的11个合规要点企业在收集数据时，数据收集的合规性对于保障个人隐私、缱护企业声誉和遵守法律规定至关承要合规的数据收集可以避免违反个人信息保护法数据安全法网络安全法等法律法规,避免法律责任和罚欹,合规收集数据能减少数据泄露和溢用的风险.同时，透用的数据处理能增强用户信任.有利于建立良好的品牌形象.也体现企业的社会责任和伦理标准.促进可持续发展。O1.收集个人信息的目的、方式.范围是否满足合法、正当、最小必要及诚信原则在收集个人信息时.徜保目的、方式和范困满足合法性、正当性、最小必要性及诚信原则是至关重要的：这意味着收集的个人信息应仅限于实现特定、合法的目的所必需的最小范

2、0三.例如,一个健康应用的目的是跟踪用户的步数它最多只能收集与此功能直接相关的数据（如步数,活动时间）,而无需收集非必要的个人信息（如用户的联系人或照片）.此外,收集个人信息的方式应透明.并且要确保数据主体对收集、使用他们的数据有完整的了解和同意。这种做法有助于建立用户信任，同时确保企业遵守相关的数据保护法律。02是否以洁断明确、易于理解的方式,向个人信息主体告知收集、使用个人佶息的目的、方式和范围等根据个人信息保护法,企业在收集和使用个人信息时.必须以清晰明确且易于理解的方式向个人信息主体告知收集、使用个人信息的目的、方式和范围。这通常通过隐私政策来实现其中需要详细阐述数抠收集的目的、使用的

3、方式和收集的信息范囹，例如,一款移动应用在用户首次安装时展示其隐私政策，并要求用户在继续使用前阅读并同意该政策。这样做有助于确保用户的知情权得到尊重,同时也让企业遵守了法律规定.减少了法律风陇。03是否在个人信息主体明确知情的情况下获取个人信息主体的同意除了个人信息保护法第十三条的第（二）至（七款以外，企业在收集用户个人信息之前要确保荻得数据主体的明确同意是非常桑要的。这通常通过弹出窗口实现,其中需要以加相或突出的方式显示关键信息-例如,当用户首次打开某应用时,应用会通过弹出窗口显示其隐私政策.并要求用户在继续之前明确同意，这不仅符合个人佶息保护法3的规定.而且确保了用户在提供其个人信息之前充

4、分了解数抠收集的目的和方式，这样的做法有助于保护用户的隐私权利,同时提高企亚的合规性和信誉.04敏感个人信息是否单独获得同意在数据收集过程中，单独获得对敏感个人信息的同意是非常重要的”根据个人信息保护法，敏感个人佶息包括诸如生物识别、医疗健康、财务账户等数据,其处理需要更高级别的保护，因此,当企业收集这类信息时，必须明确告知用户信息的具体类型、收集目的和使用方式,并隼独获取用户的明确同意.这不仅是法律要求,也是保护用户隐私和增强用户信任的关键措施.例如.一个健康监测应用程序需要收集用户的心率和蟀眼质量数据。这类信息被视为敏感个人信息。在用户注册或设置时.应用会弹出一个单独的同意窗口，而不是与总

5、的的私政策一起出现,这个单独窗口应明确说明收集这些敏感信息的具体目的（如提供个性化的健康建议，并要求用户明嘀勾选同意框表明他们理解并同意这种数据的收集和使用-这样的做法璃保了用户对敏感信息处理的知情和同意，符合法律要求.并增强了用户对应用的信任。再比如我们的定位信息.属于敏感信息.企业在收集定位信息时，应专门跳出弹窗,告知用户要取得其定位信息.请求用户的同意，而不是包括在注掰设置时总的除私政策中（默认同意）。05收集的个人信息的类型与实现产品或服务的业务功能是否有直接关联庭保收集的个人信息类型与产品或服务的业务功能直接相关是一个重要原则。这意味着企业只能收集实现其明确董务目的所必需的个人信息。

6、例如,一个导航应用收集用户的地理位置信息是合理的，因为这直接关联到其提供路线指导的基本功第。但如果该应用额外收集用户的浏览历史或购物习惯就违反了数据最小化原则；这种做法旨在限制过度收集个人信息.保护用户的除私权,并确保数据处理活动的透明性和正当性。具体判断收集的个人佶息是否直接关联.可以参考国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局2021年1发的常见类型移动互联网应用程序必要个人信息范围规定。06是否存在一揽子授权的情况以改善服务质量、提升用户体验,等概括性表述收集大量用户个人信息个人佶息保护法明确要求数据收集必须有明璃、具体的目的，且与服务直接相关

7、。因此，使用“改善服务质量、提升用户体缝,等模糊概括性表述来收集用户信息被视为不符合法律要求,这种模糊授权可能导致过度收集个人信息,侵犯用户除私。企业应当明确告知用户具体收集哪些信息.以及这些信息的具体用途,确保合法、透明的数据处理.例如,某社交媒体应用在用户注册时,仅以改善服务质量和用户体验为由，要求用户同意其收集包括联系人信息、位置数据、浏览历史等在内的广泛信息。由于未具体说明每种数据的具体用途.这种做法被视为一揽子授权.违反了个人信息保护法中对数据收集目的具体化和最小化的要求.这导致该应用遭户投诉和监管审查.最终不得不修改其隐私政策，更明确地硼述数据收集的具体目的和范围；07收集个人信息

8、的荻率应是实现产品或服务的业务功能所必需的最低频率收集个人信息的频率应该限制在实现产品或服务的业务功能所必需的最低频率一这意味着企业只能在必要时收集用户数据.以满足服务的直接需求-以共享单车APP为例.该APP使用用户的定位信息来确定单车的位置和用户的起始点。根据个人信息保护法这个APP应该限制定位信息的收集域率，只在用户使用服务时才能收集位置数据，而不能在后台持续跟踪用户位置.这样做不仅减少了对用户隐私的侵入，也符合数据最小化和目的限定的原则。这种做法有助于保护用户除私,同时满足业务需求”08是否存在以强制用户同意的方式收集个人信息或要求个人信息主体提供不必要的授权个人信息收集.不允许以强制

9、用户同意的方式收集个人信息或要求用户提供不必要的授权：例如保设有一款社交应用，它在用户注那时要求用户提供对其照片、位置信息和联系人的访问权限.即使这些信息对于应用的基本功能（如消息发送）并非必要“如果用户不同意提供这些额外权限.应用不允许用户完成注册或使用其服务，这种做法违反了个人信息保护法中关于非强制同意和数据最小化的原则.因为它迫使用户同意分享与法务不直接相关的额外个人信息，从而侵犯了用户的隐私权：09间接收集个人信息是否对数据来源尽到合规审查义务当企业从第三方收集个人信息时,必须确保这些数据的来源是合法的，且第三方已经获得了数据主体的同意.涉及大数据行业第一股”数据堂的特大侵犯个人跄私专

10、案（2017年），就是因为数据型被发现从第三方购买了大Ift来源不明的个人信息（非法收集）.并将这些信息用于商业目的，因数据堂未能履行合法来源审查义务，这导致严重的法律责任和严承的信誉损失。这个案例强调了企业在间接收集数据时必须进行严格的合规审查，确保数据来源的合法性和正当性.10收集公开数据是否存在危害他人计算机信息系统安全的情况在使用健虫技术收集公开数据时.存在可能危害他人计算机信息系统安全的风险，例如，如果一个公司部当泡虫程序以大量快速地从某个网站抓取数据，这可能导致该网站服务器过载影响网站的正常运行。这种行为可能违反了相关的网络安全法律尤其是那些关于非法侵入计算机信息系统或影响信息系统

11、正常运行的规定合规的公开数据收集应当考虑到目标网站的负载能力,遵婚合理的荻率和范围.合法合规的收集公开信息.避免对数据来源网站和他人的信息系统造成不利影响，11所收集的公开数据中是否包括个人佶息、具有商业价值的衍生数据等,情况在收集公开数据时,必须审查所收集数据中是否包含个人信息或具有商业价值的衍生数据；即使数据是公开可用的，也可能包含敏感信息,如个人身份信息或可能违反版权的内容。此外.公开数据可能包含可用于创建具有商业价值的初生数据.这也可能涉及知识产权和防私法律的问题。因此，收集和使用公开数据时，企业需要确保遵守相关的数抠保护法律.特别是关于个人信息保护和知识产权的规定。例如一家数据分析公司从社交媒体平台收集公开的用户评论数据，用于市场趋势分析,这些数据虽然是公开可获取的.但可能包含用户的个人信息,如用户名称、地理位置或其他可以识别个人身份的佶息，此外.如果这些数据用于创建具有商业价值的分析报告或预测模型该公司就需要考虑数抠的商业用途是否合法、是否侵犯了原始数据拥有者的知识产权.这要求公司在数据收集和利用过程中遵守相关的数据保护法律和知识产权法律