设为首页 | 加入收藏 | 联系我们

信息管理中心

政策法规

当前位置: 首页 >> 政策法规 >> 正文



《信息安全技术 个人信息安全规范》简介
日期: 2021-12-14      信息来源:      点击数:

《信息安全技术 个人信息安全规范》正式实施

  202036日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布,并将于2020101日实施。

  本标准针对个人信息面临的安全问题,根据《中华人民共和国网络安全法》等相关法律,严格规范个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度的保护个人的合法权益和社会公众利益。本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。

  本标准按照GB/T1.1—2009给出的规则起草,代替GB/T35273—2017《信息安全技术 个人信息安全规范》。相比GB/T35273—2017,此标准除了授权同意、账户注销、实现个人信息主体自主意愿的方法等内容的修改外,还新增了多项业务功能的自主选择、用户画像、个性化展示、个人信息汇聚融合、个人信息安全工程、第三方接入管理等相关要求。新标准的主要变化如下:

  1. 删除了原有的不得收集法律法规明令禁止收集的个人信息的要求(5.1);

  2. 选择同意原则下,新增要求多项业务功能的自主选择”(5.3);

  当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求

  3. 新增关于收集人生物识别信息的要求,《规范》规定在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。

  对于生物识别信息的存储,《规范》也提出了具体的解决措施。1)个人生物识别信息要与个人身份信息分开存储;2)原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:仅存储个人生别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

  4. 在目的明确原则下,新增要求如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过隐私政策的形式,实现向个人信息主体的告知;产品或服务提供多项收集、使用个人信息的业务功能的,除隐私政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响

  5. 在选择同意原则下,强调了隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为个人信息主体要求签订的合同

  6. 确保安全原则下,新增多项要求:一是将个人生物识别信息的原始信息和摘要分开存储的技术要求(5.4);二是在信息系统自动决策机制的使用中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施、向个人信息主体提供针对自动决策结果的申诉渠道,并对自动决策结果进行人工复核;三是明确组织应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。如采用公布投诉、举报方式等信息并及时受理投诉举报、与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况等;四是要求组织记录的内容包括:所涉及个人信息的类型、数量、来源(例如从个人信息主体直接收集或通过间接获取方式获得);五是根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况。

  7. 在最少够用的原则下,新增多项要求:1)要求了用户个人画像的特征描述不能为淫秽、色情、赌博、迷信、恐怖、暴力”;业务运营或对外业务合作中使用用户画像不能侵害保护公民、法人和其他组织的合法权益,不能危害国家安全、荣誉和利益;2)除为达到主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人;3)在向主体推送新闻信息服务的过程中使用个性化展示时应:显著区分个性化推送服务,如标明个性化展示定推等字样,为主体提供简单直观的退出或关闭个性化展示模式的选项;4)电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项;5)在向主体提供业务功能的过程中,如使用个性化展示时,建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力;6)当个人信息主体选择退出个性化展示模式时,应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

  8. 在公开透明原则的原则下,新增要求应向主体提供查询方法,能让主体知晓持有的个人信息的类型;上述个人信息的来源、所用于的目的;已经获得上述个人信息的第三方身份或类型;宜直接在产品或服务提供的功能界面中(例如应用程序可设置专门的选项、功能、界面等)设置相应的机制,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利。

  9. 新增的其他要求包括:应承担第三方接入管理;收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意等

长沙职业技术学院版权所有 © 2005- 2019  湘ICP备14000555号  湘教QS4_201212_010025

地址:湖南省长沙市岳麓区雷锋镇正兴路157  邮编:410217