用户信息处理规范(2018版)

(适用于蚂蚁金服商业合作伙伴)

(一) 个人信息保护倡议

蚂蚁金服商业合作伙伴(以下简称“合作伙伴”)认可,个人信息保护是企业长远稳健发展的基石,同意遵循以下原则,保障用户个人信息权益:
(1) 尊重用户的知情权。用简明易懂的语言,明确向用户告知采集、使用其个人信息的目的、方式、范围、用途等。未经授权,不采集用户信息。
(2) 尊重用户的控制权。不强迫用户进行不合理的“一揽子授权”,为用户提供访问、更正、删除其个人信息的途径。
(3) 尊重用户授权,强化自我约束。严格遵守与用户约定的授权范围,不采集与提供与产品或服务无关的信息。
(4) 保障用户的信息安全。采取充分有效的技术手段和管理措施,并对委托处理个人信息的第三方进行筛选,防止个人信息泄漏、毁损、丢失。
(5) 保障产品和服务的安全可信。不在产品和服务中设置隐蔽功能进行用户不知情的操作,发现安全缺陷、漏洞时,及时采取补救措施。
(6) 联合抵制黑色产业链。不采集通过非法渠道获取的信息,坚决杜绝与个人信息黑色产业链的任何交易及往来。
(7) 倡导行业自律。共同探索可推广、可复制并与国际接轨的个人信息保护最佳实践,带动和帮助行业整体水平提升。
(8) 接受社会监督。切实履行企业承诺,积极配合监管机构的监督检查,主动接受社会各方的监督。

一旦发现合作伙伴存在违规行为,蚂蚁金服有权按照本规范采取包括终止合作在内的相关措施,并保留追究法律责任的权利。

(二) 定义

(1) “个人信息”指的是:以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息。
(2) “个人敏感信息”指的是:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。如:证件号码、银行账户、财产信息、交易与订单信息、账单信息、征信信息、生物识别信息、通信记录、位置信息、行踪轨迹、住宿信息、健康生理信息等。
(3) “处理”指的是:对个人信息进行的任何操作或一系列操作,如:访问、收集、存储、使用、披露、复制、更改、销毁、删除等。
(4) “明示同意”指的是:用户通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为。肯定性动作包括用户主动勾选、主动点击“同意”等。

(三) 个人信息保护规范

合作伙伴应当保证:在为用户提供产品和服务的过程中涉及的个人信息处理,必须符合中华人民共和国法律法规的相关要求。同时,合作伙伴应当参照相关国家标准(如:《信息安全技术个人信息安全规范GB/T 35273—2017》),规范个人信息处理行为,最大程度地保障用户的合法权益和社会公共利益。
1、 收集用户个人信息
(1) 为了向用户提供产品和服务,商业伙伴应当遵循合法、正当、必要的原则,在最少够用的范围内收集个人信息,且必须取得用户的同意。
(2) 不得收集与提供产品或服务无关的信息;不得欺诈、诱骗、强迫用户提供其个人信息;或隐瞒产品或服务所具有的收集个人信息的功能。
(3) 收集个人敏感信息时,应当确保用户在知情的基础上,通过明示同意方式取得用户授权。
2、 使用用户个人信息
(1) 合作伙伴仅可为履行相应的用户协议项下合同义务所必须之目的而使用用户个人信息,且不得超出用户的授权范围。合作伙伴不得将用户个人信息用于任何非法或违反公序良俗的用途。
(2) 若为向用户提供产品和服务所必须,确需超出原授权范围使用用户个人信息的,合作伙伴应当另行取得用户合法授权。
(3) 未经蚂蚁金服许可,不得使用通过支付宝开放平台获取的用户个人信息进行系统自动决策(如:基于用户画像决定个人信用及贷款额度,或将用户画像用于面试筛选)。
(4) 合作伙伴提供产品和服务时,可直接识别用户的个人敏感信息(如:证件号码、手机号码、银行卡号、邮箱、地址、车牌号码等)应根据《支付宝开放平台安全代码规范》要求进行必要的脱敏展示,降低个人信息在展示环节的泄露风险。
3、 披露用户个人信息
(1) 除下列情形以外,合作伙伴不得以任何形式擅自向第三方披露用户个人信息:
(a) 征得用户同意;
(b) 根据法律法规或监管要求而必须披露。
(2) 合作伙伴不得对用户个人信息进行委托处理,除非另行征得用户的明示同意;在此情形下,合作伙伴应当确保受托方遵守同等的信息隐私保护要求,并对用户信息安全承担相应的责任。
(3) 在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,合作伙伴应当按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估,并符合其要求。
4、 信息安全保障
(1) 合作伙伴应当妥善保管在支付宝开放平台所使用的帐号、密码和密钥。
(2) 合作伙伴应当按照法律法规、国家标准、自律准则及《支付宝开放平台规则》等要求,采取技术手段与管理措施,确保用户个人信息得到充分的安全保障,避免未经用户同意的信息处理。
(3) 用户信息传输必须进行加密处理。
(4) 合作伙伴应明确信息安全负责人和负责部门,系统性地进行信息安全管理工作。
(5) 合作伙伴应当定期(至少每年一次)对自身信息安全管理的情况进行自查,自查范围包括但不限于:信息系统安全状况、相关信息安全要求及措施的落实情况等。若信息安全状况未达到相关要求的,合作伙伴应当制定并执行整改方案。
(6) 合作伙伴应当采取特别措施,确保仅限为了合法目的而必须访问用户个人信息的工作人员方可获得访问权限。
(7) 合作伙伴不得为任何用户提供自动登录到蚂蚁金服旗下任意平台的代理身份验证凭据。
(8) 合作伙伴不得使用任何方式爬取蚂蚁金服旗下任意平台的数据。
(9) 合作伙伴不得使用反射查找、跟踪、关联、挖掘、获取或利用用户信息从事与合作伙伴所提供的产品或服务无关的行为。
(10) 检测到合作伙伴的接口产生的异常状况或数据泄露后,蚂蚁金服有权对相关接口进行保护,包括但不限于通过临时关闭、限制流量、限制频次等方式进行阻断。合作伙伴有义务配合蚂蚁金服相关团队进行紧急安全处理(包括但不限于中止数据接口服务等)与相关调查,并按照蚂蚁金服的要求及时删除相关用户信息。
5、 用户的访问权、更正权与删除权
(1) 合作伙伴应当向用户提供信息查询、更正、删除信息及撤回授权的渠道。
(2) 根据用户的请求,合作伙伴应当及时对个人信息进行更正。
(3) 符合以下情形的,用户要求删除的,应当及时删除个人信息:
(a) 合作伙伴违反法律法规规定或与用户的约定,收集、使用个人信息的;
(b) 合作伙伴违反法律法规规定或与用户的约定,向第三方披露个人信息,且用户要求删除的,合
作伙伴应当立即停止披露行为,并通知第三方及时删除;
(c) 合作伙伴违反法律法规规定或与用户的约定,公开披露个人信息,且用户要求删除的,合作伙
伴应立即停止公开披露行为,并发布通知要求信息接收方删除相应的信息。
(4) 合作终止时,合作伙伴应当及时删除通过支付宝开放平台获取的用户个人信息,除非另行征得用户的明示同意。

(四) 评估审计

(1) 蚂蚁金服有权对合作伙伴的信息安全管理及管控效果进行评估与审计。
(2) 蚂蚁金服有权委托独立的第三方机构(例如:会计师事务所、律师事务所等)进行上述评估与审计,合作伙伴应当予以配合:
(a) 合作伙伴应当配合提供涉及接收的信息处理的设施、设备、系统、政策或流程等;
(b) 合作伙伴应当配合开放相关工作场所,并安排相关人员接受访谈;
(3) 基于评估与审计得出的要求,合作伙伴应当在规定的时间内对相关信息处理设施、设备、系统、政策或流程等进行修正或改善。
(4) 蚂蚁金服提出评估与审计要求之前,应当给予合作伙伴合理的提前通知期。同时,评估与审计应当在合法合规的前提下开展,且不应当影响合作伙伴的正常运营或合法权益。
(5) 若上述评估与审计并未发现任何涉及用户个人信息处理的重大缺陷,则蚂蚁金服应当承担相关费用;反之,合作伙伴应当承担相关费用以及后续产生的修正、改善费用。
(6) 蚂蚁金服有权与风险较高的合作伙伴终止合作。

(五) 数据违规事件

(1) 当知晓或怀疑下列任一情形发生时,合作伙伴应当采取一切必要的应急及补救措施,并立即按照商业合作协议当中约定的方式向相应的蚂蚁金服旗下公司发出通知:
(a) 任何违反本规范的情形;
(b) 根据中华人民共和国可适用法律法规要求而应当向监管机构进行申报或者向受到影响的用户进
行披露的情形。
(2) 同时,若蚂蚁金服发现合作伙伴存在数据违规事件,将按照相关商业合作协议的约定采取相应措施。
在共同个人信息控制者的情形下,蚂蚁金服与合作伙伴各自承担己方的数据安全责任及法律法规要求承担的其他责任。

onlineServer