淘宝开放平台和商家服务市场的合作伙伴(以下简称“合作伙伴”)认可,个人信息保护是企业长远稳健发展的基石,同意遵循以下原则,保障用户个人信息权益:
1、深化个保意识、落实企业主体责任:坚持客户第一,高度重视数据安全和用户个人信息保护,牢固树立个人信息保护意识,积极落实企业主体责任,切实保障消费者合法权益。
2、保障用户权益、合法合规收集使用:持续强化用户权益保护,建立个人信息保护全链路风险管理体系,保障合法合规收集使用个人信息。
3、严格合规审核、规范应用设计开发:严格落实有关监管部门的要求,践行从源头保障用户个人信息的管理思路,在应用设计、开发等方面开展专项排查和治理,积极参与打造清朗网络空间。
4、强化技术手段、提高个保防护能力:坚持面向未来持续投入,强化安全技术应用,加强差分隐私、多方安全计算等隐私技术创新,不断提高个人信息保护能力。
5、加强制度建设、完善个保管理体系:夯实企业内部数据治理机制,强化个人信息保护制度建设与落地,推进个人信息保护专业化人才、产品、工具建设。
6、响应用户关切、健全投诉反馈机制:始终坚持倾听用户心声,为客户提供畅通的投诉反馈渠道,及时响应用户关切,不断提升客户体验。
7、加强沟通协作、积极参与行业自律:在政府的指导下,与行业企业、合作伙伴、客户一起,加强沟通协作,积极探索通过行业自律解决行业问题的各种路径,更好地为社会创造价值。
一旦发现合作伙伴存在违规行为,平台有权按照本规范及相关平台规则采取包括终止合作在内的一切措施,并保留追究法律责任的权利。
1、个人信息:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
2、敏感个人信息:一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
3、个人信息处理:对个人信息进行的任何操作或一系列操作,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
4、明示同意:个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。
5、去标识化:是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。
6、匿名化:是指个人信息经过处理无法识别特定自然人且不能复原的过程。
7、淘宝开放平台:指基于淘宝平台各类电子商务业务的开放,由淘宝提供一些软件和支持材料的服务平台(域名taobao.com),服务商通过这些软件和支持材料开发应用以便服务于自身或服务于淘宝平台其他用户。
8、商家服务市场:指阿里巴巴旗下的一站式商家服务平台(域名taobao.com),为商家系统地提供工具软件、网店服务、资讯教程等卖家增值服务。
9、平台:本规范项下特指淘宝开放平台和商家服务市场。
10、平台运营方:本规范项下特指淘宝开放平台/商家服务市场的运营方浙江淘宝网络有限公司、淘宝(中国)软件有限公司。
合作伙伴应当保证:在为用户提供产品和服务的过程中涉及的个人信息处理,必须符合中华人民共和国法律法规的相关要求(如:《中华人民共和国个人信息保护法》《数据安全法》)。同时,合作伙伴应当参照相关国家标准(如:《信息安全技术个人信息安全规范GB/T-35273-2020》),规范个人信息处理行为,最大程度地保障用户的合法权益和社会公共利益。
为满足中华人民共和国监管机构的个人信息保护和数据安全监管要求,淘宝开放平台/商家服务市场的服务提供者浙江淘宝网络有限公司、淘宝(中国)软件有限公司已经制定并执行了隐私保护政策和数据安全保护措施。合作伙伴应当制定和执行严格程度不低于平台运营方的相关隐私保护政策和数据安全保护措施。
1、为了向用户提供产品和服务,合作伙伴应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
2、合作伙伴应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。不得隐瞒产品或服务所具有的收集或使用个人信息的功能。
3、合作伙伴处理个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
4、合作伙伴仅可为履行相应的用户协议项下合同义务所必须之目的而处理个人信息。只有在具有特定的目的和充分的必要性,采取严格保护措施并取得用户的单独同意的情形下,合伙伙伴才可收集敏感个人信息。合作伙伴不得将用户个人信息用于任何非法或违反公序良俗的用途。
5、若为向用户提供产品和服务所必须,确需超出原授权范围使用用户个人信息的,合作伙伴应当另行取得处理用户个人信息的合法性基础。
6、涉及处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或其他监护人的同意,且应当制定专门的个人信息处理规则。
7、合作伙伴不得将通过平台功能授权的用户个人信息用于超出用户授权范围外的一切用途(包括但不限于系统自动化决策),并且不得转委托他人处理前述个人信息。
1、除下列情况以外,合作伙伴不得以任何形式擅自向第三方披露用户个人信息:
(1)取得用户单独同意;
(2)根据法律法规或监管要求而必须披露。
2、信息接收方如须对接收的信息进行跨境传输,必须遵守相关法律法规或监管部门的要求,完成必要的评估程序。
1、合作伙伴应当妥善保管在平台所使用的账号、密码和密钥及相关APP代码。
2、合作伙伴应当按照法律法规、国家标准、自律准则及平台的管理规范等要求,采取技术手段与管理措施,确保用户个人信息得到充分的安全保障,避免在缺乏合法性基础的情况下处理用户个人信息。
3、用户信息传输和存储必须进行加密或者去标识化处理,密钥要进行安全存储。
4、合作伙伴应明确个人信息保护和信息安全工作的负责人和负责部门,系统性地进行个人信息保护和信息安全管理工作。
5、合作伙伴应当定期(至少每年一次)对自身信息安全管理的情况进行自查,自查范围包括但不限于:信息系统安全状况、相关信息安全要求及措施的落实情况、安全预案等,并进行安全评估。若信息安全状况未达到相关要求的,合伙伙伴应当制定并执行整改方案。
6、合作伙伴应当采取特别措施,确保仅限为了合法目的而必须访问用户个人信息的工作人员方可获得访问权限,并定期对从业人员进行安全教育和培训。
7、合作伙伴不得使用任何方式爬取平台运营方及其关联公司旗下任意平台的数据。
8、合作伙伴不得使用反射查找、跟踪、关联、挖掘、获取或利用用户信息从事与合作伙伴所提供的产品或服务无关的行为。
9、检测到合作伙伴的应用或系统产生的异常状况或数据泄露后,开放平台有权协同其关联公司对开放平台提供的相关接口等能力进行保护,包括但不限于通过临时关闭、限制流量、限制频次等方式进行阻断。合作伙伴有义务配合紧急安全处理(包括但不限于中止数据接口服务等)与相关调查,并按照要求及时删除相关用户信息。
10、合作伙伴应当就其数据处理行为记录完整的日志记录,并对应提供审计能力、定期审计。
11、合作伙伴应该定期对个人信息保护影响进行评估,并存储3年以上。
1、合作伙伴应当保障用户的知情权、决定权,向用户提供信息查阅、复制、转移、更正、补充、删除信息及撤回同意的渠道。基于个人同意处理个人信息的,个人有权撤回其同意。合作伙伴不得以个人不同意处理其个人信息或撤回同意为由,拒绝提供产品或服务。
2、根据用户的请求,合作伙伴应当在核实后及时对个人信息进行更正、补充。
3、符合以下情形的,合作伙伴应当主动删除用户个人信息;用户要求删除的,应当及时删除个人信息:
(1)合作伙伴违反法律、行政法规或者违反约定处理个人信息的;
(2)合作伙伴向用户声明的处理目的已实现、无法实现或者为实现处理目的不再必要;
(3)合作伙伴停止向用户提供产品或者服务,或者必要的保存期限已届满;
(4)用户撤回同意的;
(5)法律、行政法规规定的其他情形。
4、合作终止时,合作伙伴应当及时删除获取的用户个人信息,除非另行征得用户的明示同意或具有其他充分的合法性基础。
1、平台运营方及其关联公司有权对合作伙伴的信息安全管理及管控效果进行评估与审计。
2、平台运营方及其关联公司有权委托独立的第三方机构(例如:会计师事务所、律师事务所等)进行上述评估与审计,合作伙伴应当就如下事项予以配合:
(1)合作伙伴应当配合提供涉及接收的信息处理的设施、设备、系统、政策或流程等。
(2)合作伙伴应当配合开放相关工作场所,并安排相关人员接受访谈。
3、基于评估与审计得出的要求,合作伙伴应当在规定的时间内对相关信息处理设施、设备、系统、政策或流程等进行修正或改善。
4、平台运营方或其关联公司提出评估与审计要求之前,应当给予合伙伙伴合理的提前通知期。同时,评估与审计应当在合法合规的前提下开展,且不应当影响合作伙伴的政策运营或合法权益。
5、平台运营方或其关联公司有权与风险较高的合作伙伴终止合作。
1、合作伙伴应建立数据全链路安全防护体系,严格防范数据泄露风险。
2、当知晓或怀疑下列任一情形发生时,合作伙伴应当立即采取一切必要的应急补救措施,并立即按照平台其他业务、安全规范以及相关商业合作协议当中约定的方式向平台运营方或其关联公司发出通知:
(1)任何违反本规范及平台其他业务、安全规范的情形;
(2)根据中华人民共和国可适用法律法规要求而应当向监管机构进行通知或申报或者向受到影响的用户进行通知/披露的情形。
3、同时,若平台运营方或其关联公司发现合作伙伴存在数据违规事件(如:发生或者可能发生个人信息泄露、篡改、丢失的),将按照平台其他业务、安全规范以及相关商业合作协议的约定采取相应措施,各方各自承担己方的数据安全及法律法规要求承担的其他责任。
1、合作伙伴应当保证用户授权具备可追溯性,保留用户授权相关的合理证据。
2、监管机构可能根据可适用的法律法规对合作伙伴和平台运营方或其关联公司提出检查要求,在此过程中,合作伙伴应当提供必要的协助,如提供用户授权的证明材料等。
3、因合作伙伴的违法或违约行为导致平台运营方或其关联公司受到监管罚款或蒙受其他相关损失(如:商誉损失),合作伙伴应当承担赔偿责任。
