个人信息安全规范

1、收集个人信息应满足合法性、最小必要、自主选择、授权同意（部分例外）。

2、存储个人信息应满足存储时间最小化、传输加密、个人身份信息与生物信息分开存储、原则上不存储生物信息（可仅存储摘要信息）、停止运营后停止收集数据并告知客户删除数据。

3、使用个人信息应满足控制访问范围、重要操作审批、脱敏展示、在预定范围内使用、用户画像不能违背公序良俗、推送应区分个性化展示和非个性化展示、不同业务收集的数据汇聚时要开展个人信息安全影响评估并采取保护措施、自动化决策工具首次使用、至少每年一次开展个人信息安全影响评估且支持对决策结果的投诉渠道。

4、个人信息主体有权要求信息控制着提供信息查询功能、更正信息、删除信息、撤回授权同意、注销账户、提供信息副本、投诉。

5、委托处理、共享、转让、披露数据时，应对上述行为开展信息安全风险评估。