(一)企業數據合規義務
在數據收集、存儲和跨境傳輸、使用和加工、提供或公開、刪除等數據處理環節承擔相應的合規義務。
1. 收集
收集個人信息應當採取合法、正當的方式。首先,應當注意收集時獲得處理個人信息的合法基礎;其次,除非有特別情況,應當履行告知義務;如果基於個人同意處理個人信息,應按照《個人信息保護法》規定獲取個人的有效同意,並在特定場景下單獨同意或書面同意。
2. 存儲和跨境傳輸
存儲、加工政務數據,應當經過嚴格的批准程序,並應當接受監督,依照法律、法規的規定和合同約定履行數據安全保護義務。
確需向境外提供的,應當根據國家規定進行安全評估,經專業機構進行個人信息保護認證,向個人告知境外接收方相關事項並取得單獨同意。
3. 使用和加工
使用和加工個人信息,應當取得個人同意。如果以個人同意爲合法基礎處理個人信息,在使用目的、方式和個人信息的種類發生變化的,應當重新取得個人同意。
4. 提供或公開
履行法定告知義務並取得單獨同意,約定相關事項並監督個人信息處理過程。
5. 刪除
按照要求,確定個人信息保存的最短或最長期限,並進行告知。出現法律法規規定的法定刪除情形時,企業應主動履行刪除義務,企業未履行的,個人有權要求企業刪除。