m o h t i g 1 / 181 b u c . 5 企业个人信息保护合规思路与实践报告 发布单位：360 集团 指导单位：中国信息通信研究院 360 法律研究院简介 360 法律研究院是隶属于 360 集团法务中心的高端智库。旨在依 托 360 集团卓越的网络安全技术、多元化的产品形态和丰富的法 m o 律实践，围绕数字经济发展的前沿性问题，立足国家安全和行业 发展，通过开放合作的研究平台，汇集各界智慧，协同解决互联 c . 5 网行业新型法律问题，为共建网络空间命运共同体提供战略支撑， 理论保障和人才支持。 声明 h t i g b u 1. 本 报告著作权归属 360 集团，谨为企业研 究成果参考， 不具备监管指导作用，依据本文件不代表完全符合最新执 法 监 管要求。 2.报 告 可 供 各 类 型 企 业 建 设 完 善 自 身 个 人 信 息 保 护 制 度 体 系、提升内部专业人员和部门团队能力建设水平，打造企业 良 好 社会品牌与公众形象进行参考。 3.本 报 告仅基于学术探讨目的 使用 ，不代表所有贡献 作者所 在 单 位观点。 2 / 181 企业个人信息保护合规思路与实践报告 目录 第一章 处理的个人信息类型与要求 ................................................................. 8 一. 个人信息的概念、类型........................................................................ 8 (一) 个人信息（个人数据）.................................................................. 8 (二) 个人敏感信息 .................................................................................... 8 二. 个人敏感信息的保护要求 ................................................................... 8 (一) 特殊标记 ............................................................................................. 8 (二) 增强告知 ............................................................................................. 8 (三) 强加密 .................................................................................................. 9 (四) 单独存储 ............................................................................................. 9 (五) 独立规则 ............................................................................................. 9 第二章 处理的原则要求 .................................................................................... 14 一. 合法、正当、必要 .............................................................................. 14 b u 二. 原则拆解............................................................................................... 14 (一) 权责一致 .......................................................................................... 14 (二) 目的明确 .......................................................................................... 14 (三) 公开透明 .......................................................................................... 15 (四) 选择同意 .......................................................................................... 15 (五) 最小必要 .......................................................................................... 15 (六) 确保安全 .......................................................................................... 15 (七) 主体参与 .......................................................................................... 16 h t i g 第三章 处理行为要求 ........................................................................................ 17 一. 收集 ....................................................................................................... 17 (一) 收集的合法基础 ............................................................................ 17 (二) 收集的最小必要原则 ................................................................... 21 (三) 禁止行为 .......................................................................................... 21 (四) 我方身份 .......................................................................................... 28 (五) 收集的数据类型 ............................................................................ 28 (六) 收集来源方式 ................................................................................. 28 二. 存储 ....................................................................................................... 30 (一) 存储的告知同意 ............................................................................ 30 (二) 存储地域范围 ................................................................................. 30 3 / 181 m o c . 5 三. 一般与敏感的判定标准........................................................................ 9 企业个人信息保护合规思路与实践报告 (三) (四) (五) (六) (七) (八) 存储形式 .......................................................................................... 31 敏感个人信息的存储 ................................................................... 32 匿名化 ............................................................................................... 33 去标识化 .......................................................................................... 35 存储的期限要求 ............................................................................ 38 超期处理方式 ................................................................................. 40 三. 使用 ....................................................................................................... 40 (一) 告知同意 .................................