第一章 总则
第一条 为切实保护北京博瑞血管健康公益基金会(以下简称为“博瑞基金会”)管理及业务活动中涉及的个人信息安全和个人合法权益,根据《慈善法》、《公益事业捐赠法》、《基金会管理条例》、《慈善组织信息公开办法》、《基金会信息公布办法》、《北京市基金会信息公开实施办法》、《信息安全技术个人信息安全规范》以及《刑法》等相关法律法规和博瑞基金会章程及相关规定,特制定本办法。
第二条 本办法适用于下列个人信息控制者的个人信息处理活动:
(一)博瑞基金会;
(二)服务提供者为博瑞基金会涉及个人信息的项目或者受益入提供包括但不限于科研服务、会务服务、出国(境)服务、代订交通住宿服务、信息技术服务、数据统计分析汇总服务等服务的供应商,以及提供志愿服务的志愿者;
(三)涉及个人信息处理活动的其他组织和个人。
第三条 本办法所称的个人信息处理活动,是指博瑞基金会和/或服务提供者收集、保存、使用、共享、转让、公开披露个人信息的活动。
第四条 本办法所称的个人信息,是指博瑞基金会和/或服务提供者,以电子或者其他方式记录的,能够单独或者与其他信息结合,识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯、联系方式、通信记录和内容、账号密码、财产信息、信用信息、行踪轨迹、住宿信息、健康生理信息等。
第五条 本办法所称的个人敏感信息,是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号的、个入生物识别信息、银行账号、通信记录和内容、财产信息、信用信息、行踪轨迹、住宿信息、健康生理信息、14岁以下(含)儿童的个人信息等。其中:
(一)财产信息包括银行账号、存款信息(包括资金数量、支付收款记录等)、交易和消费记录、流水记录等。
(二)健康生理信息包括:个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况产生的相关信息等。
(三)行踪轨迹包括乘坐交通工具的票证购买信息和票证信息等。
(四)诚信信息按照博瑞基金会《诚实信用管理办法》执行。
(五)个人生物识别信息包括。个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。
第六条 博瑞基金会和服务提供者个人信息处理活动,应遵循以下基本原则:
(一)权责一致原则:博瑞基金会和/或服务提供者,对其在个人信息处理活动中造成个人信息主体合法权益损害的,独自承担责任。
(二)目的明确原则:博瑞基金会和/或服务提供者的个人信息处理活动,应当具有合法、正当、必要、明确的个人信息处理目的。
(三)选择同意原则:博瑞基金会和/或服务提供者在个人信息处理活动中,必须向十分明确告知个人信息处理的目的、方式、范围、规则等,由个人信息主体通过书面(电子或纸质形式)声明或主动做由肯定性动作(主动勾选、主动点击”同意”、注册”、“发送”、"拨打”等),做出明确同意授权。
(四)最少够用原则:除与个人信息主体另有的约定外,博瑞基金会和/或服务提供者只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时根据约定删除个人信息。
(五)公开透明原则:博瑞基金会和/或服务提供者应当以明确、易懂和合理的方式,对处理个人值息的范围、目的、规则等进行公开,并接受外部监督。
(六)确保安全原则:博瑞基金会和/或服务提供者应当具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
(七)主体参与原则:博瑞基金会和/或服务提供者向个人信息主体提供能够访问、更正、除其个人信息,以及撤回同意、注销账户等方法。
第七条 博瑞基金会依法收集的个人信息,除依照《慈善法》以及相关法律法规规定必须信息公开外,均负有保护义务。
博瑞基金会信息公开依照博瑞基金会《信息公开办法》执行。
服务提供者对在服务过程,应当按照本办法规定,依法收集个入信息,负有保护义务
第八条 博瑞基金会和服务提供者应当依法收集并确保个人信息安全,不得非法收集、保存、使用、共享、转让、公开披露个人信息。
第二章 个人信息的收集
第九条 个人信息收集:是指博瑞基金会和/或服务提供者获得对个人信息控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。
提供工具供个人信息主体使用而工具提供者不对个人信息进行访问的,不属于收集行为。
第十条 服务提供者仅限于依照与博瑞基金会签署的项目服务性质的协议约定范围内,为实施与执行项目工作需要,依法收集个人信息。
第十一条 博瑞基金会和/或服务提供者收集个人信息应当满足合法性要求,不得从事下列行为,收集个人信息:
(一)违反法律法规要求;
(二)采用欺诈、诱骗、强迫手段;
(三)隐瞒产品或服务所具有的收集个人信息的功能;
(四)从非法渠道获取;
(五)收集法律法规明令禁止收集的个人信息。
第十二条 博瑞基金会和/或服务提供者收集个人信息应当满足最小化要求:
(一)收集的个人信息的类型应与实现服务的业务功能有直接关联,直接关联是指没有该信息的参与,服务的功能无法实现。
(二)自动采集个人信息的频率应是实现服务的业务功能所必需的最低频率。
(三)间接获取个人信息的数量应是实现服务的业务功能所必需的最少数量。
第十三条 在收集个人信息前,博瑞基金会和/或服务提供者应向个人信息主体明确告知所提供服务的不同业务功能,分别收集的个人信息类型,以及收集、使用个人信息的规则(如收集和使用个人倍息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共事、转让、公开坡露的有关情况等),并获得个人值息主体的授权同意。
第十三条 在收集个人信息前,博瑞基金会和/或服务提供者应向个人信息主体明确告知所提供服务的不同业务功能,分别收集的个人信息类型,以及收集、使用个人信息的规则(如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等),并获得个人信息主体的授权同意。
第十四条 博瑞基金会和/或服务提供者间接获取个人信息时:
(一)应要求个人信息提供方说明个人信息来源,并对其个入信息来源合法性进行确认;
(二)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等;
(三)如开展业务需进行的个人信息处理活动超出该授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。
第十五条 博瑞基金会和/或服务提供者在以下情形下,收集、使用个人信息无征得个人信息主体的授权同意:
(一)与国家安全、国防安全直接相关的;
(二)与公共安全、公共卫生、重大公共利益直接相关的;
(三)与犯罪侦查、起诉、审判和判决执行等直接相关的;
(四)出于维护个入值息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;
(五)所收集的个人信息是个人信息主体自行向社会公众公开的;
(六)从合法公开披露的信息中收集个人值息的;
(七)根据个人信息主体要求签订和履行合同及合同性文件所必需的;
(八)用于维护所提供的服务的安全稳定运行所必需的;
(九)开展统计或学术研究所必要,且对外提供学术研究或描述结果时,对结果中所包含的个人信息进行去标识化处理的:
(十)法律法规规定的其他情形。
第十六条 博瑞基金会和/或服务提供者收集个人敏感信息时,应取得个人信息主体的明示同意,并确保个人信息主体的明确同意是其在完全知情的基础上自愿的、具体的、清晰明确的意思表示。
第十七条 博瑞基金会和/或服务提供者通过主动提供或自动采集方式收集个人敏感信息,应当向个人信息主体告知所提供服务的核心业务功能及所必须收集的个人敏感信息,并明确告知拒绝提供或拒绝同意将带来的影响。
应当保障个人信息主体有选择是否提供或同意自动采集的权利。
第十八条 博瑞基金会和/或服务提供者收集年满14的未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
第十九条 博瑞基金会和/或服务提供者应当按照下列要求制定隐私政策,做好隐私政策发布工作。隐私政策的内容应包括但不限于:
