个人信息数据共享管理规范
为填补个人信息数据共享环节的合规空白,防范数据共享风险,保障信息主体合法权益,依据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等法律法规,结合企业业务实际,制定本规范,与此前发布的个人信息保护相关文件一并执行。
一、数据共享核心原则
合法合规原则:所有数据共享行为必须有明确法律依据,确保共享数据来源合法、流程合规,严禁共享非法收集或无授权的个人信息。
最小必要原则:仅共享实现合作目的所必需的最少个人信息,不超出业务需求范围提供额外信息,敏感个人信息优先采取匿名化处理后再共享。
知情同意原则:共享个人信息前,需以显著方式告知信息主体共享目的、接收方身份、共享范围及可能产生的影响,取得信息主体单独明确同意(法律法规另有规定除外)。
安全可控原则:对接收方的安全保障能力进行严格审查,通过合同约定明确安全责任,全程监督共享数据的使用情况,确保数据不被滥用、泄露。
二、数据共享前提与范围限制
(一)共享前提条件
1.共享数据必须是企业合法收集且已获得信息主体明确授权的个人信息,企业需留存数据收集合法的相关证据。
2.共享目的仅限与合作方开展特定业务,如服务联合提供、功能优化等,不得用于无关商业用途或其他未告知的目的。
3.接收方需具备相应的信息安全保护能力,通过企业的安全资质审核,包括数据处理合规性、安全技术措施等。
(二)禁止共享情形
1.未取得信息主体同意且无法律法规依据的个人信息。
2.涉及国家安全、公共利益或信息主体重大权益的敏感个人信息,未进行安全评估且无明确法律授权的。
3.接收方存在违法处理个人信息记录、安全保障能力不足且未整改的。
4.共享后可能导致信息主体合法权益受损,且无有效补救措施的。
三、数据共享全流程管控
(一)共享前审查与准备
1.开展个人信息保护影响评估,记录评估过程及结果,重点评估共享行为对信息主体权益的影响。
2.对接收方进行全面审查,包括主体资质、经营范围、安全管理制度、技术防护措施等,要求接收方提供相关证明材料并核实。
3.以书面形式(如隐私政策更新、单独告知书)向信息主体说明共享细节,明确接收方名称、共享信息类型、使用目的、存储期限等,获取单独同意并留存凭证。
(二)共享协议签订要求
1.与接收方签订正式的数据共享协议,明确约定数据处理目的、方式、范围、存储期限及双方权利义务。
2.协议中必须包含安全保护条款,要求接收方采取加密存储、访问控制等安全措施,禁止向第三方转共享,未经授权不得变更处理目的。
3.明确违约责任与争议解决方式,约定接收方违反协议的赔偿责任及数据泄露后的应急处置义务。
(三)共享过程与后续监督
1.通过加密传输、安全接口等技术手段进行数据共享,确保传输过程中数据不被窃取、篡改。
2.建立共享数据台账,记录共享时间、数据类型、接收方、授权凭证等信息,存档备查期限不少于 3 年。
3.定期对接收方的数据使用情况进行监督核查,可通过现场审计、技术检测等方式,确保其严格按照协议约定处理数据。
4.接收方变更数据处理目的、方式或范围的,需提前告知企业并重新取得信息主体同意,否则不得擅自变更。
四、特殊场景数据共享规则
(一)敏感个人信息共享
1.共享身份证号、生物识别信息、健康信息等敏感个人信息,必须取得信息主体单独书面同意,并额外说明共享的必要性及对个人权益的影响。
2.共享前需进行专项安全评估,确保接收方具备更严格的安全保护措施,协议中明确敏感信息的专门保护条款。
(二)跨境数据共享
1.跨境共享前需完成数据出境安全评估,确认接收方所在国家或地区的个人信息保护水平符合我国要求,未被列入限制或禁止提供清单。
2.履行完整告知义务,取得信息主体对跨境共享的单独同意,通过标准合同等形式明确双方权利义务,定期开展合规审计。
(三)委托处理与合并分立场景
1.委托第三方处理个人信息的,需审查受托方处理事项的合法性,明确委托范围,禁止受托方转委托他人处理。
2.因企业合并、分立导致数据转移的,需告知信息主体,约定接收方在原处理目的、方式范围内使用数据,变更用途需重新取得同意。
五、责任追究与应急处置
1.建立数据共享责任追究机制,对未经审查擅自共享、未履行告知义务、监督失职等违规行为,严肃追究相关部门及人员责任。
2.发生共享数据泄露、滥用等安全事件时,立即启动应急预案,要求接收方采取止损措施,同时在 24 小时内上报相关监管部门,必要时通知信息主体。
3.因接收方违规处理数据造成信息主体权益损害的,企业需依法承担相应责任,同时有权向接收方追偿。
六、附则
本规范自发布之日起施行,此前相关规定与本规范不一致的,以本规范为准。
企业将根据法律法规更新及业务变化,适时修订本规范,修订后通过官方渠道公示。
咨询与投诉渠道:客服热线 0755-29392943、官方邮箱P151111@gnpjvc.com.cn。
