（二）个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式；

（三）个人查阅、复制、更正、删除、限制处理、转移个人信息，以及注销账号、撤回处理个人信息同意的途径和方法；

（四）以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称，以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则；

（五）向第三方提供个人信息情形及其目的、方式、种类，数据接收方相关信息等；

（六）个人信息安全风险及保护措施；

（七）个人信息安全问题的投诉、举报渠道及解决途径，个人信息保护负责人联系方式。

第二十一条 处理个人信息应当取得个人同意的，数据处理者应当遵守以下规定：

（一）按照服务类型分别向个人申请处理个人信息的同意，不得使用概括性条款取得同意；

（二）处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意；

（三）处理不满十四周岁未成年人的个人信息，应当取得其监护人同意；

（四）不得以改善服务质量、提升用户体验、研发新产品等为由，强迫个人同意处理其个人信息；

（五）不得通过误导、欺诈、胁迫等方式获得个人的同意；

（六）不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意；

（七）不得超出个人授权同意的范围处理个人信息；

（八）不得在个人明确表示不同意后，频繁征求同意、干扰正常使用服务。

个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，数据处理者应当重新取得个人同意，并同步修改个人信息处理规则。

对个人同意行为有效性存在争议的，数据处理者负有举证责任。

第二十二条 有下列情况之一的，数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理：

（一）已实现个人信息处理目的或者实现处理目的不再必要；

（二）达到与用户约定或者个人信息处理规则明确的存储期限；

（三）终止服务或者个人注销账号；

（四）因使用自动化采集技术等，无法避免采集到的非必要个人信息或者未经个人同意的个人信息。

删除个人信息从技术上难以实现，或者因业务复杂等原因，在十五个工作日内删除个人信息确有困难的，数据处理者不得开展除存储和采取必要的安全保护措施之外的处理，并应当向个人作出合理解释。

法律、行政法规另有规定的从其规定。

第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的，数据处理者应当履行以下义务：

（一）提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径，不得以时间、位置等因素对个人的合理请求进行限制；

（二）提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能，且不得设置不合理条件；

（三）收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的，应当在十五个工作日内处理并反馈。

法律、行政法规另有规定的从其规定。

第二十四条 符合下列条件的个人信息转移请求，数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务：

（一）请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息；

（二）请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息；

（三）能够验证请求人的合法身份。

数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的，应当对个人信息转移请求做合理的风险提示。

请求转移个人信息次数明显超出合理范围的，数据处理者可以收取合理费用。

第二十五条 数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。