10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27701隐私信息管理体系认证咨询 > 个人信息保护政策,ISO27701隐私信息管理体系认证证书办理隐私信息认证:个人信息保护政策,ISO27701隐私信息管理体系认证证书办理
对个人信息控制者的要求包括:
1.应制定个人信息保护政策,内容应包括但不限于:
1) 个人信息控制者的基本情况,包括主体身份、联系方式;
2) 收集、使用个人信息的业务功能,以及各业务功能分别收集的个人信息类型。涉及个人敏感信息的,需明确标识或突出显示;
3) 个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则;
4) 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及各自的安全和法律责任;
5) 个人信息主体的权利和实现机制,如查询方法、更正方法、删除方法、注销账户的方法、撤回授权同意的方法、获取个人信息副本的方法、对信息系统自动决策结果进行投诉的方法等;
6) 提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;
7) 遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施,必要时可公开数据安全和个人信息保护相关的合规证明;
8) 处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
2.个人信息保护政策所告知的信息应真实、准确、完整;
3.个人信息保护政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言;
4.个人信息保护政策应公开发布且易于访问,例如,在网站主页、移动互联网应用程序安装页、附录C中的交互界面或设计等显著位置设置链接;
5.个人信息保护政策应逐一 送达个人信息主体。当成本过高或有显著困难时,可以公告的形式发布;
6.在1所载事项发生变化时,应及时更新个人信息保护政策并重新告知个人信息主体。
注1:组织会习惯性将个人信息保护政策命名为“隐私政策”或其他名称,其内容宜与个人信息保护政策内容保持一致。
注2:个人信息保护政策的内容可参考附录D。
注3:在个人信息主体首次打开产品或服务、注册账户等情形时,宜通过弹窗等形式主动向其展示个人信息保护政策的主要或核心内容,帮助个人信息主体理解该产品或服务的个人信息处理范围和规则,并决定是否继续使用该产品或服务。
想了解更多的关于隐私信息认证信息可以经常关注我们
