5.5 個人信息保護政策

對個人信息控制者的要求包括：

a) 應制定個人信息保護政策，內容應包括但不限于：

1) 個人信息控制者的基本情況，包括主體身份、聯系方式；

2) 收集、使用個人信息的業務功能，以及各業務功能分別收集的個人信息類型。涉及個人敏感信息的，需明確標識或突出顯示；

3) 個人信息收集方式、存儲期限、涉及數據出境情況等個人信息處理規則；

4) 對外共享、轉讓、公開披露個人信息的目的、涉及的個人信息類型、接收個人信息的第三方類型，以及各自的安全和法律責任；

5) 個人信息主體的權利和實現機制，如查詢方法、更正方法、刪除方法、注銷賬戶的方法、撤回授權同意的方法、獲取個人信息副本的方法、對信息系統自動決策結果進行投訴的方法等；

6) 提供個人信息后可能存在的安全風險，及不提供個人信息可能產生的影響；

7) 遵循的個人信息安全基本原則，具備的數據安全能力，以及采取的個人信息安全保護措施，必要時可公開數據安全和個人信息保護相關的合規證明；

8) 處理個人信息主體詢問、投訴的渠道和機制，以及外部糾紛解決機構及聯絡方式。

b) 個人信息保護政策所告知的信息應真實、準確、完整；

c) 個人信息保護政策的內容應清晰易懂，符合通用的語言習慣，使用標準化的數字、圖示等，避免使用有歧義的語言；

d) 個人信息保護政策應公開發布且易于訪問，例如，在網站主頁、移動應用程序安裝頁、本標準附錄C中的交互界面或設計等顯著位置設置鏈接；

e) 個人信息保護政策應逐一送達個人信息主體。當成本過高或有顯著困難時，可以公告的形式發布；

f) 在本條a）所載事項發生變化時，應及時更新個人信息保護政策并重新告知個人信息主體。

注1：許多組織將個人信息保護政策命名為隱私政策。

注2：個人信息保護政策的內容可參考附錄D。

注3：在個人信息主體首次打開產品或服務、注冊賬號等情形時，宜通過彈窗等形式主動向其展示個人信息保護政策的主要或核心內容，幫助個人信息主體理解該產品或服務的個人信息處理范圍和規則，并決定是否繼續使用該產品或服務。