1、 1/181 企业个人信息保护合规思路与实践报告 2/181 发布单位：360 集团 指导单位：中国信息通信研究院 360 法律研究院简介 360 法律研究院是隶属于 360 集团法务中心的高端智库。旨在依托 360 集团卓越的网络安全技术、多元化的产品形态和丰富的法律实践，围绕数字经济发展的前沿性问题，立足国家安全和行业发展，通过开放合作的研究平台，汇集各界智慧，协同解决互联网行业新型法律问题，为共建网络空间命运共同体提供战略支撑，理论保障和人才支持。声明 1.本报告著作权归属 360 集团，谨为企业研究成果参考，不具备监管指导作用，依据本文件不代表完全符合最新执法监管要求。2.报告可供各类

2、型企业建设完善自身个人信息保护制度体系、提升内部专业人员和部门团队能力建设水平，打造企业良好社会品牌与公众形象进行参考。3.本报告仅基于学术探讨目的使用，不代表所有贡献作者所在单位观点。企业个人信息保护合规思路与实践报告 3/181 目录 第一章 处理的个人信息类型与要求.8 一.个人信息的概念、类型.8(一)个人信息（个人数据）.8(二)个人敏感信息.8 二.个人敏感信息的保护要求.8(一)特殊标记.8(二)增强告知.8(三)强加密.9(四)单独存储.9(五)独立规则.9 三.一般与敏感的判定标准.9 第二章 处理的原则要求.14 一.合法、正当、必要.14 二.原则拆解.14(一)权责一致

3、.14(二)目的明确.14(三)公开透明.15(四)选择同意.15(五)最小必要.15(六)确保安全.15(七)主体参与.16 第三章 处理行为要求.17 一.收集.17(一)收集的合法基础.17(二)收集的最小必要原则.21(三)禁止行为.21(四)我方身份.28(五)收集的数据类型.28(六)收集来源方式.28 二.存储.30(一)存储的告知同意.30(二)存储地域范围.30 企业个人信息保护合规思路与实践报告 4/181 (三)存储形式.31(四)敏感个人信息的存储.32(五)匿名化.33(六)去标识化.35(七)存储的期限要求.38(八)超期处理方式.40 三.使用.40(一)告知同意

4、.40(二)展示限制.41(三)目的限制.41(四)用户画像的使用限制.42(五)个性化展示的使用.43(六)基于不同业务目的所收集个人信息的汇聚融合.47(七)信息系统自动决策机制的使用.48 四.共享、转让.49(一)原则不得共享、转让.49(二)合法依据、理由.49(三)非因收购、兼并、重组、破产原因的共享、转让.50(四)因收购、兼并、重组、破产原因的共享、转让.51(五)记录.51 五.公开披露.51(一)原则不得公开披露.51(二)合法依据、理由.51(三)禁止行为.52(四)记录.52(五)担责.53 六.委托处理.53(一)总体要求.53(二)我方委托第三方.53(三)我方作为

5、受托方.55 七.共同控制.57 八.第三方接入（SDK）.58(一)控制者的一般要求.58(二)SDK 的特别注意.60 九.用户的权利.66 企业个人信息保护合规思路与实践报告 5/181 (一)查询（访问）、获取副本、更正、删除、注销账号.66(二)撤回同意.69(三)响应.70(四)用户权利限制.70(五)投诉、举报、申诉.71 十.跨境传输.72(一)合法依据.72(二)接收方的可靠性.74(三)各方责任、义务的划分.74(四)他国法律监管因素影响.74(五)记录全过程.75 十一.未成年人与儿童保护.76(一)需要保护未成年人和儿童的产品或服务.76(二)未成年人与儿童的范围.76

6、(三)儿童个人信息作为个人敏感信息加强保护.76 十二.停止运营.81 十三.记录.81 第四章 特殊场景下的个人信息.83 一.物联网场景下个人信息.83(一)智能家居设备一般要求.83(二)智能音箱收集个人信息的告知同意.84(三)健康穿戴与管理.85 二.公共场合场景下个人信息.86 三.车载场景下个人信息.87 四.个人金融信息.88(一)个人金融信息的主要类别.88(二)告知同意要求.90 五.面部识别等生物特征识别信息.91 第五章 个人信息安全工程（隐私设计）.93 第六章 组织、制度、技术要求.98 一.应设立专职个人信息保护负责人与机构.98 二.应建立健全制度体系.99(一