个人信息安全规范----五、个人信息主体的权利

本文阅读 10 分钟

个人信息控制者应向个人信息主体提供查询下列信息的方法: 1、其所持有的关于该主体的个人信息或个人信息的类型; 2、上述个人信息的来源、所用于的目的; 3、已经获得上述个人信息的第三方身份或类型。 注:个人信息主体提出查询非其主动提供的个人信息时,个人信息控制者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害,以及技术可行性、实现请求的成本等因素后,作出是否响应的决定,并给出解释说明。

个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的,个人信息控制者应为其提供请求更正或补充信息的方法。

对个人信息控制者的要求包括: 1、符合以下情形,个人信息主体要求删除的,应及时删除个人信息: ①个人信息控制者违反法律法规规定,收集、使用个人信息的; ②个人信息控制者违反与个人信息主体的约定,收集、使用个人信息的。 2、个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除; 3、个人信息控制者违反法律法规规定或违反与个人信息主体的约定,公开披露个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止公开披露的行为,并发布通知要求相关接收方删除相应的信息。

对个人信息控制者的要求包括: 1、应向个人信息主体提供撤回收集、使用其个人信息的授权同意的方法。撤回授权同意后,个人信息控制者后续不应再处理相应的个人信息; 2、应保障个人信息主体拒绝接收基于其个人信息推送商业广告的权利。对外共享、转让、公开披露个人信息,应向个人信息主体提供撤回授权同意的方法。 注:撤回授权同意不影响撤回前基于授权同意的个人信息处理。

对个人信息控制者的要求包括: 1、通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且方法简便易操作; 2、受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理; 3、注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型; 4、注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等; ①多个产品或服务之间存在必要业务关联关系的,例如,一旦注销某个产品或服务的账户,将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的,需向个人信息主体进行详细说明。 ②产品或服务没有独立的账户体系的,可采取对该产品或服务账号以外其他个人信息进行删除,并切断账户体系与产品或服务的关联等措施实现注销。 5、注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等; 6、个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律规规定需要留存个人信息的,不能再次将其用于日常业务活动中。

根据个人信息主体的请求,个人信息控制者宜为个人信息主体提供获取以下类型个人信息副本的方法,或在技术可行的前提下直接将以下类型个人信息的副本传输给个人信息主体指定的第三方: 1、本人的基本资料、身份信息; 2、本人的健康生理信息、教育工作信息。

对个人信息控制者的要求包括: 1、在验证个人信息主体身份后,应及时响应个人信息主体基于8.1~8.6提出的请求,应在三十天内或法律法规规定的期限内作出答复及合理解释,并告知个人信息主体外部纠纷解决途径; 2、采用交互式页面(如网站、移动互联网应用程序、客户端软件等)提供产品或服务的,宜直接设置便捷的交互式页面提供功能或选项,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利; 3、对合理的请求原则上不收取费用,但对一定时期内多次重复的请求,可视情收取一定成本费用; 4、直接实现个人信息主体的请求需要付出高额成本或存在其他显著困难的,个人信息控制者应向个人信息主体提供替代方法,以保障个人信息主体的合法权益; 5、以下情行可不响应个人信息主体基于8.1~8.6提出的请求,包括: ①与个人信息控制者履行法律法规规定的义务相关的; ②与国家安全、国防安全直接相关的; ③与公共安全、公共卫生、重大公共利益直接相关的; ④与刑事侦查、起诉、审判和执行判决等直接相关的; ⑤个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的; ⑥出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难 得到本人授权同意的; ⑦响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权 益受到严重损害的; ⑧涉及商业秘密的。 6、如决定不响应个人信息主体的请求,应向个人信息主体告知该决定的理由,并 向个人信息主体提供投诉的途径。

个人信息控制者应建立投诉管理机制和投诉跟踪流程,并在合理的时间内对投诉进行响应。

信息来源:GB/T 35273-2020

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/sycamorelg/article/details/121897625
-- 展开阅读全文 --
Web安全—逻辑越权漏洞(BAC)
« 上一篇 03-13
Redis底层数据结构--简单动态字符串
下一篇 » 04-10

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复