中国互联网定向广告用户信息保护行业框架标准文档格式.docx
《中国互联网定向广告用户信息保护行业框架标准文档格式.docx》由会员分享,可在线阅读,更多相关《中国互联网定向广告用户信息保护行业框架标准文档格式.docx(6页珍藏版)》请在冰豆网上搜索。
(一) 加强外部宣传和内部培训
单位应努力通过各种方式对用户和公众进行关于互联网定向广告的宣传,增进其对互联网定向广告的了解,使其建立起基于行业真实认知的基本信任。
单位应建立用户信息保护的内部培训机制,加强对员工关于查阅和使用单位收集和使用的用户信息的培训,并在必要时对第三方承包商或代理人进行培训o
(二) 最少够用和必要原则
单位应将收集用户信息的类型、数量控制在能达到收集信息目的的最低程度,收集、保存和使用的用户信息应仅限于单位的合法商业目的和实现单位对用户的服务所必需。
单位应定期检查其收集和保存的用户信息,以确定该等信息是否仍为单位的合法商业目的和服务功能所必需,并及时停止对于非必需的用户信息的收集和使用。
(三)公开披n
单位在收集、使用、转移和分享用户信息时,不得违反法律、法规的规定和双方的约定。
单位应通过以下方式向用户公布收集和使用用户信息的规则。
1.通过隐私声明公示
初始方、第三方和服务提供方都应在其网站、在线服务和/或应用的用户协议中列出一个明显的指向独立隐私声明页面的链接,或将独立隐私声明页面链接设置至网站、在线服务或应用的一级菜单。
隐私声明页面应至少包括关于以下事项的清晰、明确的说明:
(1)收集的所有用户信息的方式和范围(包括所收集的身份关联信息是否会为互联网定向广告目的转移给非关联方):
(2)向用户提供易于操作的选择机制,说明用户如何以及何时可以行使选择权,并说明行使选择权后如何以及何时可以修改或撤回该选择,使得用户可以选择同意或不同意为互联网定向广告目的而收集和使用其身份关联信息以及向非关联方转移其身份关联信息:
(3)保护被收集的用户身份关联信息的安全措施;
(4)单位的联系方式,包括单位名称及地址、电子邮件,或指向一个在线表格的链接:
(5)单位违反《框架标准》时,用户享有的救济方式,包括但不限于向单位相关部门及执行委员会的投诉机制。
未经用户同意,单位不得收集、使用和转移用户的身份关联信息。
“同意”是指用户在已获得收集和使用其信息的清楚、明确、显著的说明或提醒的前提下,通过在线操作,认可其信息被收集和使用。
2.第三方财《缺标准》就公示
第三方应在收集用户信息处(例如初始方的网站、在线服务和应用上)或广告投放处,通过《框架标准》的统一标识(以下简称“框架标准标识”)链接指向上述隐私声明,提醒用户其信息正在被收集。
框架标准标识的使用方式参照另行颁布的《中国互联网定向广告用户信息保护标识使用规范》。
3.通过即时通知公示
如果单位为互联网定向广告的目的,需要收集任何用户的敏感信息、精确位置信息或目录信息,单位不仅应遵循上述隐私声明的要求,还应在收集该等敏感信息、精确位置信息或目录信息前,以即时通知的方式,取得用户对于收集和使用该等信息的明示同意。
“明示同意”要求用户通过积极的行为做出肯定表示,若用户并未主动做出选择,则视为用户不同意。
4.实质性修改的公示
若单位对其以互联网定向广告为目的收集和使用用户信息的政策和实践作出实质性修改,应获得受实质性修改影响的用户的同意,该等同意可采用默示方式。
若实质性修改涉及敏感信息、精确位置信息或目录信息,应取得用户的明示同意。
单位应在其网站、在线服务或应用的首页或一级菜单,提示隐私权政策发生变更,并在隐私声明页面上发布对隐私权政策所做的修改。
对于重大变更,单位应采取更为显著的通知,包括但不限于通过电子邮件发送通知,说明隐私权政策的具体变更内容。
(四) 实现用户对信息的控制
第三方和服务提供方以互联网定向广告为目的进行的用户信息收集和使用、或向非关联方转移信息时,应向用户提供关于:
(1)是否同意为互联网广告目的收集和使用用户信息的选择机制:
(2)是否同意与非关联方共享该等信息的选择机制:
以及(3)如何改变或撤回用户同意的机制。
该等机制应在第二部分第(三)条规定的隐私声明中明确说明。
(五) 保障数据安全
单位收集、保存、使用或转移用户身份关联信息时,应采取合理步骤,确保用户身份关联信息的准确性、完整性、相关性和时效性,以满足该等信息收集时的目的和用途。
1.安全保障
单位应维持适当的物理、电子和管理安全保障措施,对以互联网定向广告为目的而收集和使用的用户身份关联信息严格保密,不得泄露、篡改、损毁、出售或非法向他人提供用户身份关联信息,在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
2.信息保存
单位仅能以完成合法业务所需,或在法律规定的时限内,保存以互联网定向广告为目的收集和使用的用户身份关联信息。
(1) 单位应采取合理、必要的措施,实现用户身份关联信息的去身份化,即使得该信息无法用于识别、确认或关联至某个特定用户。
(2) 若未获得用户同意,单位仅能将完成去身份化后的用户信息(以下简称“行为样本信息”)转移给非关联方。
单位应采取合理、必要的措施保证行为样本信息的去身份化状态,并获得非关联方的书面承诺,保证其不会、亦不会尝试将行为样本信息恢复为身份关联信息,而只会以互联网定向广告、或向用户说明的其他目的,使用或公开该等行为样本信息。
(3)获得行为样本信息的非关联方单位再向其他非关联方转移该等信息时,也应采取合理、必要的措施保证用户信息的去身份化状态,并取得上述第
(2)项要求的书而承诺。
(六) 敏感信息
若单位需要为互联网定向广告的目的,收集任何用户的敏感信息,应按照第二部分第(三)段第3条的规定,获得用户的明示同意,并应符合所有其他关于用户信息收集、使用、保存和转移的要求。
关于未成年人用户身份关联信息的收集和使用,单位在明确得知用户是未成年人的情况下,应在隐私政策之中明确提示未成年人在提供信息前需咨询其监护人并取得其监护人的同意。
(七) 搜索服务
搜索服务提供方可在下述情形下,向用户提供第三方身份关联信息,无须满足第四章第3条有关隐私声明的要求:
(1)该搜索结果从互联网中公开来源处获得:
(2)该信息并非为创建某个特定个人档案目的而在互联网上发布。
但是,搜索服务提供方应建立搜索结果移除机制,在以下情形中,用户有权要求搜索服务提供方从搜索结果中移除显示:
(1)显示对该个人人身权利造成损害:
(2)显示与重大公共利益相抵触,包括国家安全、国防或公众安全:
(3)显示违反相关法律法规。
搜索服务提供商应在其隐私声明中说明用户要求移除身份关联信息显示的具体方式和渠道。
(八) 无线环境下的移动服务
单位在无线环境下的移动服务中,对精确位置信息和目录信息的收集和使用,除符合《框架标准》中所有其他关于用户信息收集、使用、保存和转移的要求外,还应符合以下要求:
1.精确位置侑息
提供服务的单位在第一次收集用户的精确位置信息前,除隐私声明外,应向用户明示从用户的移动设备收集精确位置信息的方式、目的、保留时间等,并应在收集该等信息的页面,通过即时通知,取得用户的明示同意。
在收集精确位置信息的过程中,单位
3
应持续性地展示“框架标准标识”,提醒用户其精确位置信息正在为提供服务的单位所收集和使用。
单位在与服务提供商以外的第三方共享精确位置信息、或将精确位置信息用于任何其他未获用户明示同意的目的之前,应获得用户明示同意。
2.目录信息
单位收集任何目录信息之前,应向用户明示其从用户的移动设备收集目录信息的类型、范围以及使用该等信息的方式。
单位仅能在通过即时通知获得用户的明示同意的前提下,才能收集和使用用户的目录信息。
第三方、服务提供方不得超越用户明示同意的目的,故意未获授权从移动设备获取和利用目录信息。
初始方不得授权任何第三方、服务提供方超越限定目的故意未获授权从移动设备获取和利用目录信息。
三、执行与监督
单位应严格遵守《框架标准》规定的准则及义务。
若违反《框架标准》,单位应主动承担相应责任,自觉维护中国互联网定向广告行业的市场秩序。
1.执行委员会
《框架标准》以自律为执行基础,各单位接受中国广告协会互动网络分会监管,以及按照本条规定设立的框架标准执行委员会(以下简称“执行委员会”)的监管和约束。
执行委员会采用选举制,每年选举出三个单位组成。
执行委员会主要负责各单位的统筹协调,受理用户投诉,组织监督检查、宣传推广活动,协调合规审查,以及对《框架标准》的持续性进行审阅和修订。
2.事件响应和员工举报
单位应建立涉及身份关联信息的违规及泄露事件的响应计划,明确单位如何处理涉及身份关联信息的违规及泄露事件的具有可操作性的策略及步骤。
单位应建立涉及用户信息保护违规事件的员工举报机制,使员工能够在任何时间向单位或执行委员会举报涉及身份关联信息的违规事件。
3.用户参与和投诉
单位应向用户提供合理、适当和有效的方法,以便用户向单位或执行委员会提交对违反《框架标准》或单位隐私政策的单位的投诉。
收到用户的投诉后,单位应主动进行相关投诉的调查,及时向执行委员会报告,并配合执行委员会在其认为必要时对用户投诉进行调查和处理。
4.审查机制
单位应接受由中国广告协会网络互动分会认可的外部第三方对其业务经营是否符合《框架标准》要求所进行的年度合规审查。
经审查合规的单位有权继续作为框架成员,并使用“框架标准标识气经审查不合规的单位,如拒绝或拖延纠正不合规行为,或连续三年审查不合规,则自动退出框架,无权继续使用"
框架标准标识”。
5.解释和指引
对于《框架标准》中的定义和具体操作规范将在附件中作出进一步解释和阐述,包括:
(1)释义与基本指引
(2)中国互联网定向广告用户信息去身份化指引
(3)中国互联网定向广告用户信息保护标识使用规范
(4)中国互联网定向广告用户选择机制指引
执行委员会对《框架标准》相关事宜具有解释权,并可根据《框架标准》执行的需要制定其他的指引或规范。
本《框架标准》的生效时间为2014年3月15日。
升级会员 