重磅:GB/T 35273-2020《信息安全技术个人信息安全规范》最新解读
近年来,随着互联网应用的普及和大数据产业的发展,确实给生活带来很多便利,与此同时,个人信息安全也面临着严重威胁,个人信息被非法收集、泄露与滥用等。
2020年3月6日,国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的GB/T 35273-2020《信息安全技术 个人信息安全规范》正式发布,并将于2020年10月1日实施。
本标准针对个人信息面临的安全问题,根据《中华人民共和国网络安全法》等相关法律,严格规范个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度的保护个人的合法权益和社会公众利益。
本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
本标准按照GB/T1.1—2009给出的规则起草,代替GB/T35273—2017《信息安全技术 个人信息安全规范》。相比GB/T35273—2017,此标准除了授权同意、账户注销、实现个人信息主体自主意愿的方法等内容的修改外,还新增了多项业务功能的自主选择、用户画像、个性化展示、个人信息汇聚融合、个人信息安全工程、第三方接入管理等相关要求。主要变化如下:
1、删除了原有的“不得收集法律法规明令禁止收集的个人信息”的要求(见5.1);。
2、选择同意原则下,新增要求“多项业务功能的自主选择”(见5.3)
当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求”。
3、新增“关于收集人生物识别信息的要求”:
《规范》规定在收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意。
而对于生物识别信息的存储,《规范》也提出了具体的解决措施。
1)个人生物识别信息要与个人身份信息分开存储;
2)原则上不应存储原始个人生物识别信息,可采取的措施包括但不限于:仅存储个人生别信息的摘要信息;在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;在使用面部识别特征、 指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
4、在目的明确原则下,新增要求“如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过隐私政策的形式,实现向个人信息主体的告知;产品或服务提供多项收集、使用个人信息的业务功能的,除隐私政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响”。
5、在选择同意原则下,强调了“隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为个人信息主体要求签订的合同”。
6、确保安全原则下,新增的要求较多,分别是:
1)“将个人生物识别信息的原始信息和摘要分开存储”的技术要求”(见5.4)。
2)在信息系统自动决策机制的使用中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施、向个人信息主体提供针对自动决策结果的申诉渠道,并对自动决策结果进行人工复核。
3)明确组织应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。如采用公布投诉、举报方式等信息并及时受理投诉举报、与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况等。
4)要求组织记录的内容包括:所涉及个人信息的类型、数量、来源(例如从个人信息主体直接收集或通过间接获取方式获得);根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况。
7、在最少够用的原则下,新增的要求较多,分别是:
1)要求了用户个人画像的特征描述不能为“淫秽、色情、赌博、迷信、恐怖、暴力”;业务运营或对外业务合作中使用用户画像不能侵害保护公民、法人和其他组织的合法权益,不能危害国家安全、荣誉和利益。
2)除为达到主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。
3)在向主体推送新闻信息服务的过程中使用个性化展示时应:显著区分个性化推送服务,如标明“个性化展示”或“定推”等字样,为主体提供简单直观的退出或关闭个性化展示模式的选项。
4)电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。
5)在向主体提供业务功能的过程中,如使用个性化展示时,建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力。
6)当个人信息主体选择退出个性化展示模式时,应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
8、在公开透明原则的原则下,新增要求应向主体提供查询方法,能让主体知晓持有的个人信息的类型;上述个人信息的来源、所用于的目的;已经获得上述个人信息的第三方身份或类型;宜直接在产品或服务提供的功能界面中(例如应用程序可设置专门的选项、功能、界面等)设置相应的机制,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利。
9、新增的其他要求包括:
1)应承担第三方接入管理
2)收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
关于企业的合规说明
(一) 关于个人信息优化
1. 建议企业根据现有业务中涉及个人生物识别信息收集的项目,在启动个人生物识别信息采集功能之前,设置个人生物识别信息采集声明,向用户告知采集的目的、方式和范围,并取得用户的明示同意;如业务中需要重复或多次采集个人生物识别信息的,应每次单独向用户进行告知,并取得用户的明示同意;
2. 建议企业在实践中可采取如下相应措施,确保原则上不存储原始个人生物识别信息:仅存储个人生物识别信息的摘要信息、在采集终端直接使用个人生物识别信息实现身份识别、认证等功能、在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像等。
3. 建议企业在实践中确保原则上不共享、转让个人生物识别信息,根据现有业务中涉及个人生物识别信息,如存在确需共享、转让个人生物识别信息的项目,在进行个人生物识别信息共享、转让之前,应事先对个人信息安全影响进行评估,设置个人生物识别信息共享或转让声明,向用户告知采集或共享、转让的目的、方式和范围,并取得用户的明示同意;如业务中需要重复或多次共享、转让个人生物识别信息的,应每次单独向用户进行告知,并取得用户的明示同意。
(二) 关于用户对个人信息的管理能力
1. 建议企业通过不同形式向用户告知存在需收集个人信息的业务功能及需要收集的个人信息类型和用户拒绝提供将造成的影响,确保能够获取用户的授权同意,保障用户的自主意愿和选择权;同时保障关闭或重启相应业务功能的便捷性;
2. 设置简便易操作的注销账户方法,不设置不合理的条件或提出额外要求增加用户的义务,在承诺时限内及时响应用户的注销请求并完成核查和处理,确保用户注销后的个人信息及时删除或做匿名化处理;
3. 若注销某个通用账户,会导致其他产品或服务的基本功能无法实现或者质量下降的,应向用户进行详细说明;
4. 在个人信息收集环节对法律法规规定需要留存的数据进行筛查,以便在用户注销账户并对完成个人信息的删除或匿名化处理之后,对法律规定需要留存的数据妥善保管,并确保其不被再次用于日常业务活动。
(三) 关于个人信息汇聚融合
建议企业通过不同形式告知用户关于汇聚融合不同业务的个人信息的目的、方式和范围,在超出原有授权同意范围使用个人信息时,再次征得用户的明示同意,并根据要求开展个人信息安全影响评估以及采取个人信息保护措施。
(四) 关于个人信息商业化
1. 建议企业在运营或对外业务合作中对用户画像的使用进行严格的核查和限制,如核查业务中是否存在使用大数据分析技术等对个人信息进行分析,以形成特征标签、用户画像的情形。使用用户画像时应消除明确身份指向性,避免用户被精确定位;
2. 建议企业在用户提供个性化展示功能与内容时对相应功能和内容进行显著标识;同时保障用户退出或关闭个性化展示服务的权利;建立删除或匿名化定向推送活动中基于个人信息的选项。
(五) 关于第三方接入管理
建议企业对自身产品或服务中的第三方产品或服务进行核查,及时删除或停止接入不必要或存在隐秘收集或滥用个人信息以及存在信息安全隐患的第三方产品或服务;若必须接入第三方产品或服务,应当向用户明确标识该产品或服务由第三方提供并详细披露第三方个人信息处理活动的具体情况。
重磅:GB/T 35273-2020《信息安全技术个人信息安全规范》最新解读相关推荐
- GBT 35273-2020 信息安全技术 个人信息安全规范
GBT 35273-2020 信息安全技术 个人信息安全规范全文下载 ICS 35.040 L80 中 华 人 民 共 和 国 国 家 标 准 GB/T 35273-2020 代替 GB/T 352 ...
- 信息安全技术 个人信息安全规范
范围 本文件规定了新能源 动力电池安全存放管理的术语和定义.存放前准备.存放要求.废旧及故障电池特殊要求 .应急管理等内容.本文件适用于新能源动力电池安全存放的管理活动. 2 规范性 引用文件下列文件 ...
- GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》之安全物理环境测评解读
文章目录 引言 一.物理位置选择 二.物理访问控制 三.防盗窃和破坏 四.防雷击 五.防火 六.防水和防潮 七.防静电 八.温湿度控制 九.电力供应 十.电磁防护 总结 引言 2019年12月1日,我 ...
- 信息安全技术 个人信息安全影响评估指南
声明 本文是学习GB-T 39335-2020 信息安全技术 个人信息安全影响评估指南. 下载地址 http://github5.com/view/788而整理的学习笔记,分享出来希望更多人受益,如果 ...
- 征集 | 国家标准《信息安全技术 健康医疗信息安全指南》征求意见
2018年12月26日,全国信息安全标准化技术委员会官方网站发布"关于国家标准<信息安全技术 健康医疗信息安全指南>征求意见稿征求意见的通知".(点击阅读原文直达) & ...
- 附指南原文下载-《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》解读(一)
本文由指南内容的精简总结和笔者个人理解编写而成,指南原文链接在文末. 不同数据使用场景的下的安全保护措施因篇幅问题单独编写一章,链接在文末. 目录 一.背景 二.数据分类分级 1.数据分类 2.数据分 ...
- 附指南原文下载-《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》解读(二)
本文由指南内容的精简总结和笔者个人理解编写而成,指南原文链接在文末. 数据分类分级.数据管理组织建设.通用安全措施要点在解读(一),文章链接在文末. 目录 一.数据相关角色和使用场景定义 1.角色定义 ...
- 一图读懂国家标准GB/T 42012-2022《信息安全技术 即时通信服务数据安全要求》
来源:全国信安标委
- 在同一Android应用程序内,信息安全技术题库:Android中同一个应用程序的所有进程可以属于不同用户。()...
相关题目与解析 认证技术是信息安全理论与技术的一个重要方面,身份认证是安全系统中的第一道关卡,用户在访问安全 下列信息系统的安全管理技术中属于信息防护技术的是(). 在不同环境和应用中,信息安全可分为 ...
- 计算机信息安全四大要素,信息安全技术题库:访问控制的基本要素包括以下( )。...
相关题目与解析 信息安全包括防病毒.访问控制(). 安全管理的基本要素包括人.财.物.信息最为重要的因素.() 信息安全包括5个基本要素:机密性.完整性..可控性与可审查性. 安全风险评估的基本要素包 ...
最新文章
- JBPM executionService.deleteProcessInstanceCascade(id)报错
- linux筛选之后备份到命令,linux find 命令使用备份
- 如何让服务器端持续监听客户端的请求?
- 【Python】Python的类和对象(长文系列第⑤篇)
- SpringBatch job执行流程分析(十六)
- Chrome source code map - fail - cannot debug
- 2020计算机原理组成1254,1254计算机科学与技术专业计算机组成原理A科目2020年09月国家开 放大学(中央广播电视大学)考试试题及答案.pdf...
- 关于查询结果插入新表中 怪哉怪哉
- knn算法实例python_Python实现的knn算法示例
- Zookeeper 集群的安装与部署
- goeasy服务器发送(发布)消息,微信小程序中怎么使用GoEasy实现实时通讯
- 第7周 文件和数据格式化
- TCP/IP指南(RFC1180)
- 台积电发年终奖,总额712亿新台币
- 如何遍历java对象属性
- C/C++编程笔记:什么叫做函数插入?带你解析C语言中的函数插入
- huawei CE系列补丁安装指导书
- SDNUOJ.1105.椭圆(记得避坑)
- jsp外文期刊免费下载_JSP技术外文文献
- 程序员简历造假的后果!