公共场所个人信息保护怎么做？珠海发布指引

近日，首届粤港澳个人信息保护交流会在广东珠海举行。本次活动上，珠海市委网信办发布了《珠海市公共场所个人信息保护若干指引》（以下简称《指引》），旨在保障公民个人信息权益，营造安全可信的公共环境。

据悉，《指引》面向信息处理者，明确了公开明示原则、最小必要原则、禁止误导与干扰、敏感信息严格保护、用户同意管理等基本保护义务；并对线上服务场景、智能终端场景、人脸识别场景、线下消费场景、自动化决策场景等做出针对性场景化规范；此外，还就数据全流程安全管理、第三方合作管理、应急处理与报告、用户权利保障、投诉举报机制等做出具体要求。

公开明示、禁止误导

《指引》将信息保护的责任主体清晰锚定在“信息处理者”身上，推动其从以往的“被动合规”向“主动保护”转变。

《指引》首先确立了公开明示原则。要求信息处理者在收集个人信息的区域或设备旁，通过显著标识、公告等方式，公开处理个人信息的规则，包括处理目的、方式、信息种类、保存期限、处理者身份及联系方式。同时，《指引》明确最小必要原则，即处理个人信息应限于实现目的的最小范围，采取对个人权益影响最小的方式，不得强制用户授权。

除此之外，《指引》要求信息处理者禁止误导与干扰用户，明确禁止通过欺诈、诱骗等方式误导用户授权，用户拒绝授权后不得频繁弹窗干扰正常使用。对于敏感信息，更是严格保护，处理前必须开展个人信息保护影响评估，并采取加密存储、访问控制等严格技术措施。在用户同意管理方面，强调需以显著方式告知相关规则，禁止默认勾选或捆绑授权，敏感个人信息需单独取得用户同意，同时提供便捷的撤回同意渠道，且用户撤回同意后不得拒绝提供不依赖该授权的核心服务，充分保障用户自主选择权。

聚焦高频场景精准指引

《指引》的另一个显著特点是其“场景化治理”的思维，直指5个高频应用场景，给出了清晰的操作规范。

在线上服务场景中，《指引》指出App、小程序等平台在用户首次使用时，应提供易于访问的《隐私政策》链接，确保内容清晰完整、便于查阅，避免 “霸王条款”“晦涩难懂” 等问题。

在人脸识别场景中，《指引》要求必须取得个人的“单独同意”。在公共场所使用人脸识别技术处理人脸信息，设置人脸识别设备，应在采集区域设置显著标识，明确告知采集目的、管理方和信息使用范围。

在线下消费场景中，强制关注公众号或注册会员前，应明确告知用户收集的信息项、目的及处理规则，并提供替代性服务选项，不得以不相关服务为由强制收集个人信息。

此外，对于日益普及的智能终端和自动化决策，《指引》也提出了要求。智能设备在初次激活时，就必须“自报家门”，说明信息处理规则；而利用个人信息自动化决策时，则必须保证决策的透明度和结果的公平公正，并提供不针对用户个人特征的选项或便捷的拒绝方式。

明确投诉举报机制

保护个人信息，不仅在于事前的规范与告知，更在于全流程的安全管控与事后的权利保障。《指引》对数据安全管理、第三方合作、应急处置及权益保障作出要求。

在数据安全管理方面，信息处理者应当依法采取技术措施和其他必要措施，确保个人信息安全，防止信息泄露、篡改、丢失，确保个人信息处理活动符合法律、行政法规的规定。委托第三方处理个人信息，或向其他处理者提供个人信息的，应当进行个人信息保护影响评估，并与受托方或接收方约定权利义务，监督其处理活动。发生或可能发生个人信息泄露、篡改、丢失的，信息处理者应当立即采取补救措施，并按照规定通知履行个人信息保护职责的部门和个人。

《指引》还强调了用户权利保障，信息处理者应当建立便捷的个人权利行使渠道，在收到个人查阅、复制、更正、删除其个人信息的申请后，应在十五个工作日内受理并处理。而任何组织和个人发现个人信息处理者违反相关法律法规的，可以向网信部门和有关部门投诉、举报。网信部门在开展合规检测中，如发现违法违规行为，将依法处理。

统筹：王卫国 邹莹

采写：南都N视频记者 张雨亭 袁炯贤 南都研究员 李伟锋 孔令旖

出品：南都大数据研究院