北京新锐在线科技有限公司个人信息保护及数据合规指南
引 言
新锐在线科技公司是一家提供高效人机协同操作系统和行业解决方案的人工智能企业,致力于助推人工智能产业化进程和各行业智慧化转型升级。新锐在线一方面凭借着自主研发的人工智能核心技术打造了人机协同操作系统,通过对 业务数据、硬件设备和软件应用的全面连接,把握人工智能生态的核心入口,为客户提供信 息化、数字化和智能化的人工智能服务; 另一方面,新锐在线基于人机协同操作系统,赋能多种 商业应用场景,为更广泛的客户群体提供以人工智能技术为核心的行业解决方案。
1. 目的
为了帮助使用新锐在线设备 、技术及服务的个人信息处理者 (以下简称“客户”) 更好地落实个 人信息保护相关合规要求,依据《个人信息保护法》、《网络安全法》、《数据安全法》、《民法 典》、《消费者权益保护法》及其他适用法律法规的规定,并参照《最高人民法院关于审理使 用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》以及《信息安全技术 个人信息安全规范》等司法解释、国家标准,新锐在线特编写本《个人信息保护及数据合规指南》(下称“本指南”),帮助客户免受不法/不当行为侵害。
2. 范围
本指南适用于客户使用新锐在线提供的设备、技术及服务,开展包括但不限于安全防控 、门禁管理、体温监测、异常行为分析、客流统计、远程巡店 、身份核验等应用场景相关的个人信息 处理活动 (包括但不限于收集 、存储 、使用 、加工 、传输 、删除等) 的个人信息保护事宜。
本指南正文包括四个部分:
第一部分 各方法律地位
第二部分 个人信息管理合规
第三部分 个人信息保护指引
正 文
第一部分 各方法律地位
1. 在具体的商业场景中,基于下列因素考虑,客户依法属于个人信息或数据处理者:
1) 客户有权自主决定个人信息/数据的处理目的和处理方式;
2) 客户基于自身商业需求直接处理个人信息/数据;
3) 客户直接向终端用户提供产品或服务,终端用户基于对客户的信赖提供个人信息/ 数据。
因此,客户应当根据《个人信息保护法》、《数据安全法》等法律法规及本指引履行个人 信息/数据处理者相关的合规义务,并依法承担相关的责任。
2. 新锐在线基于客户需求,向客户提供相关设备 、技术和服务,因此:
1) 绝大多数情况下,新锐在线仅向客户提供设备、技术及相关的增值服务,相关的设备及 系统采取私有化部署,基于技术中立原则及客户合约限制,新锐在线不应也不能接触、 处理客户的用户数据,相关数据也不会同步至新锐在线 的服务器;
2) 极少数情况下,新锐在线接受客户委托处理客户的个人信息/数据,是个人信息/数据委 托处理的受托人 。受托期间,新锐在线将仅在客户的授权范围内处理个人信息/数据,依法采取严格的安全保护措施,配合客户履行个人信息保护责任,并在服务终止后 依法删除客户数据。
第二部分 个人信息管理合规
1. 资质合规。客户应确保具备开展相关业务之合法资质,尤其应当具备与该特定业务相适 应的网络和数据安全有关的资质和能力(不论该等资质是依法应当获得还是根据监管当 局实际执行之要求),并应当在开展业务期间,维持该等资质的有效性。
2. 使用目的合法。客户应确保基于合法目的使用新锐在线提供的设备、技术和服务,不得用于 侵犯个人隐私和个人信息受到保护的权利,不得侵犯消费者的合法权益,不得用于违法 犯罪目的 。根据不断变化的立法 、司法及执法环境,常见的违法行为包括但不限于:
1) 非法采取不合理的价格歧视 、人群歧视 、消费欺诈 、虚假宣传等的;
2) 非法用于未经许可的网络借贷 、虚拟币交易等场景的;
3) 非法用于军事 、涉密 、政治 、宗教等敏感场所的;
4) 非法用于侵犯他人商业秘密 、私人隐私的场所的;
5) 非法用于跟踪 、定位 、私家侦探等场景的;
6) 非法用于涉黄涉暴涉恐 、违法 、违背公序良俗原则等场景的;
7) 违反法律法规的其他情形。
3. 具备个人信息保护制度 、岗位和人员。客户应当制定内部管理制度和操作规程,设置个 人信息保护有关的岗位及负责人,合理确定个人信息处理的最小操作权限,并定期对从 业人员进行安全教育和培训。
4. 事前进行个人信息保护影响评估。客户处理个人信息,应当依法开展个人信息保护影响 评估,并对处理情况进行记录,个人信息保护影响评估应当包括下列内容:
1) 个人信息的处理目的 、处理方式等是否合法 、正当 、必要;
2) 对个人权益的影响及安全风险;
3) 所采取的保护措施是否合法 、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
5. 开展个人信息保护合法性审计。客户应当定期对其处理个人信息遵守法律、行政法规的
情况进行合规审计。
6. 安全事件管理 。客户应当依法采取包括但不限于以下安全事件管理措施:
1) 制定并组织实施个人信息安全事件应急预案;
2) 发生或可能发生个人信息泄露、篡改、丢失的,应当立即采取补救措施,及时通知 各方以便协商采取应对方案,并依法履行相关的汇报 、通知等合规义务及责任;
3) 法律 、法规规定的其他措施。
第三部分 个人信息保护指引
1. 个人信息收集合规
1) 客户收集个人信息,应当通过制定个人信息处理规则(例如隐私政策、隐私申明等),以显著方式 、清晰易懂的语言真实 、准确 、完整地向个人告知下列事项:
A. 个人信息处理者的名称和联系方式;
B. 个人信息的处理目的 、处理方式,处理的个人信息种类 、保存期限;
C. 个人行使本法规定权利的方式和程序;
D. 法律 、行政法规规定应当告知的其他事项。
同时,客户不得在个人信息处理规则中要求用户授予其无期限限制 、不可撤销、 可任意转授权等处理人脸信息的权利。
2) 客户处理敏感个人信息 (包括生物识别、宗教信仰、特定身份 、医疗健康、金融账 户 、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息等),还应当向个人 告知处理敏感个人信息的必要性以及对个人权益的影响,并取得个人的单独同意。依法可以不向个人告知的除外。
3) 因业务原因需要对不满十四周岁的未成年人进行身份识别的,应当取得未成年人的 父母或者其他监护人的同意,并制定专门的个人信息处理规则。
4) 为维护安全目的,客户在经营场所安装摄像头采集人脸信息的,应当在场所入口处 及内部摄像头附近设置显著标识,提醒用户进入视频监控区域,并通过扫二维码查 看个人信息处理规则等的方式履行告知义务 。推荐标识内容可参考如下:
“您已进入视频监控区域,如需了解您数据处理目的、方式及您的权利等,请扫描 下方二维码:”
5) 客户利用人证核验机验证用户人脸信息的,应当在机器附近显著位置设置标识,告 知用户收集个人信息的目的,并提供扫二维码查看个人信息处理规则。推荐标识内 容可参考如下:
“基于签约/认筹的交易安全及身份核验之目的,需进行人证核验并收集您的人脸 照片,如需了解更多请扫描下方二维码:”
2. 个人信息存储合规
客户存储用户个人信息的,应依法采取以下安全存储措施:
1) 存储个人信息的相关系统 (包括公有云、私有化系统等) 应当依法办理网络安全等 级保护备案,并遵从《网络安全法》、《密码法》等法律法规;
2) 对个人信息及数据采取分类分级措施;
3) 将人脸信息与用户的身份信息分开存储,宜采取物理隔离存储;
4) 加密存储人脸信息等个人敏感信息,并采取严格的访问控制措施;
5) 采取最小存储期间设置;
6) 人脸信息应当在中国境内存储,非经法定程序,不得向境外传输。
3. 个人信息使用和提供合规
客户应当依据法律、法规规定,在用户的授权范围内使用和对外提供用户个人信息,具 体合规要求包括但不限于:
1) 除法律法规规定不需取得用户同意的情形外,应仅在用户授权范围内使用其个人信 息。违规行为例如:未经合法授权,将用户人脸信息用于精准营销、多渠道数据融 合等目的;
2) 利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对 个人在交易价格等交易条件上实行不合理的差别待遇;
3) 涉及通过界面展示个人信息的 (如显示屏幕、纸面) 场景时,宜对需展示的个人信 息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险;
4) 委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人 信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动 进行监督;
5) 向其他个人信息处理者提供其处理的个人信息的,应当向用户告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意;
6) 不得开展其他违反法律法规规定和用户约定的个人信息处理活动。
4. 个人信息删除
有下列情形之一的,客户应当主动删除个人信息;客户未删除的,用户有权请求删除:
1) 处理目的已实现 、无法实现或者为实现处理目的不再必要;
2) 停止提供产品或者服务,或者保存期限已届满;
3) 个人撤回同意;
4) 违反法律 、行政法规或者违反约定处理个人信息;
5) 法律 、行政法规规定的其他情形。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,客户 应当停止除存储和采取必要的安全保护措施之外的处理。
客户有委托第三方开展个人信息处理活动的,还应当同步通知受托方删除。
5. 用户个人信息权利保护
1) 客户处理人脸信息,应当保障用户的知情权和选择权,并通过提供客服电话 、隐私 保护合规办公室邮箱等联络方式或通过在线请求等方式保障用户查询、复制、转移、
更正 、删除及请求解释说明等合法权利;
2) 客户应当建立便捷的用户行使权利的申请受理和处理机制。拒绝用户行使权利的请 求的,应当说明理由;
3) 客户响应用户个人信息权利的请求,如需新锐在线提供协助的,可以与新锐在线取得联系,新锐在线将依据法律规定和双方约定,提供必要的帮助。
新锐在线科技有限公司 2021 年 9 月 15 日