---

一、委托处理

个人信息控制者委托第三方处理个人信息时，应符合以下要求：
1、个人信息控制者作出委托行为，不应超出已征得个人信息主体授权同意的范围或应遵守个人信息的收集、存储、使用一文中（一、6）所列情形；
2、个人信息控制者应对委托行为进行个人信息安全影响评估，确保受委托者达到11.5的数据安全能力要求；
3、受委托者应：
①严格按照个人信息控制者的要求处理个人信息。受委托者因特殊原因未按照个人信息控制者的要求处理个人信息的，应及时向个人信息控制者反馈；
②受委托者确需再次委托时，应事先征得个人信息控制者的授权；
③协助个人信息控制者响应个人信息主体基于8.1~8.6提出的请求；
④受委托者在处理个人信息过程中无法提供足够的安全保护水平或发生了安全事件的，应及时向个人信息控制者反馈；
⑤在委托关系解除时不再存储相关个人信息。
4、个人信息控制者应对受委托者进行监督，方式包括但不限于：
①通过合同等方式规定受委托者的责任和义务；
②对受委托者进行审计。
5、个人信息控制者应准确记录和存储委托处理个人信息的情况；
6、个人信息控制者得知或者发现受委托者未按照委托要求处理个人信息，或未能有效履行个人信息安全保护责任的，应立即要求受托者停止相关行为，且采取或要求受委托者采取有效补救措施（如更改口令、回收权限、断开网络连接等）控制或消除个人信息面临的安全风险。必要时个人信息控制者应终止与受委托者的业务关系，并要求受委托者及时删除从个人信息控制者获得的个人信息。

二、个人信息共享、转让

个人信息控制者共享、转让个人信息时，应充分重视风险。共享、转让个人信息，非因收购、兼并、重组、破产原因的，应符合以下要求：
1、事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施；
2、向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果，并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息，且确保数据接收方无法重新识别或者关联个人信息主体的除外；
3、共享、转让个人敏感信息前，除上一条（二、2）中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力，并事先征得个人信息主体的明示同意；
4、通过合同等方式规定数据接收方的责任和义务；
5、准确记录和存储个人信息的共享、转让情况，包括共享、转让的日期、规模、目的，以及数据接收方基本情况等；
6、个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的，应立即要求数据接收方停止相关行为，且采取或要求数据接收方采取有效补救措施（如更改口令、回收权限、断开网络连接等）控制或消除个人信息面临的安全风险；必要时个人信息控制者应解除与数据接收方的业务关系，并要求数据接收方及时删除从个人信息控制者获得的个人信息；
7、因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的，个人信息控制者应承担相应的责任；
8、帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况，以及个人信息主体的权利，例如，访问、更正、删除、注销账户等；
9、个人生物识别信息原则上不应共享、转让。因业务需要，确需共享、转让的， 应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等，并征得个人信息主体的明示同意。

三、收购、兼并、重组、破产时的个人信息转让

当个人信息控制者发生收购、兼并、重组、破产等变更时，对个人信息控制者的要求包括：
1、向个人信息主体告知有关情况；
2、变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务，如变更个人信息使用目的时，应重新取得个人信息主体的明示同意；
3、如破产且无承接方的，对数据做删除处理。

四、个人信息公开披露

个人信息原则上不应公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时，应符合以下要求：
1、事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体
的措施；
2、向个人信息主体告知公开披露个人信息的目的、类型，并事先征得个人信息主体明示同意；
3、公开披露个人敏感信息前，除上一条（四、2）中告知的内容外，还应向个人信息主体告知涉及的个人敏感信息的内容；
4、准确记录和存储个人信息的公开披露的情况，包括公开披露的日期、规模、目的、公开范围等；
5、承担因公开披露个人信息对个人信息主体合法权益造成损害的相应责任；
6、不应公开披露个人生物识别信息；
7、不应公开披露我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。

五、共享、转让、公开披露个人信息时事先征得授权同意的例外

以下情形中，个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意：
1、与个人信息控制者履行法律法规规定的义务相关的；
2、与国家安全、国防安全直接相关的；
3、与公共安全、公共卫生、重大公共利益直接相关的；
4、与刑事侦查、起诉、审判和判决执行等直接相关的；
5、出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的；
6、个人信息主体自行向社会公众公开的个人信息；
7、从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道。

六、共同个人信息控制者

对个人信息控制者的要求包括：
1、当个人信息控制者与第三方为共同个人信息控制者时，个人信息控制者应通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，并向个人信息主体明确告知；
2、如未向个人信息主体明确告知第三方身份，以及在个人信息安全方面自身和第三方应分别承担的责任和义务，个人信息控制者应承担因第三方引起的个人信息安全责任。
注：如个人信息控制者在提供产品或服务的过程中部署了收集个人信息的第三方插件（例如，网站经营者与在其网页或应用程序中部署统计分析工具、软件开发工具包 SDK、调用地图 API 接口），且该第三方并未单独向个人信息主体征得收集个人信息的授权同意，则个人信息控制者与该第三方在个人信息收集阶段为共同个人信息控制者。

七、第三方接入管理

当个人信息控制者在其产品或服务中接入具备收集个人信息功能的第三方产品或服务且不适用（目录一、六）时，对个人信息控制者的要求包括：
1、建立第三方产品或服务接入管理机制和工作流程，必要时应建立安全评估等机制设置接入条件；
2、应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施；
3、应向个人信息主体明确标识产品或服务由第三方提供；
4、应妥善留存平台第三方接入有关合同和管理记录，确保可供相关方查阅；
5、应要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意，必要时核验其实现的方式；
6、应要求第三方产品或服务建立响应个人信息主体请求和投诉等的机制，以供个人信息主体查询、使用；
7、应监督第三方产品或服务提供者加强个人信息安全管理，发现第三方产品或服务没有落实安全管理要求和责任的，应及时督促整改，必要时停止接入；
8、产品或服务嵌入或接入第三方自动化工具（如代码、脚本、接口、算法模型、软件开发工具包、小程序等）的，宜采取以下措施：
①开展技术检测确保其个人信息收集、使用行为符合约定要求；
②对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计，发现超出约定的行为，及时切断接入。

八、个人信息跨境传输

在中华人民共和国境内运营中收集和产生的个人信息向境外提供的，个人信息控制者应遵循国家相关规定和相关标准的要求。

信息来源：GB/T 35273-2020

个人信息安全规范----6、个人信息的委托处理、共享、转让、公开披露相关推荐

1. GBT 35273-2020 信息安全技术 个人信息安全规范

   GBT 35273-2020 信息安全技术 个人信息安全规范全文下载 ICS 35.040 L80 中 华 人 民 共 和 国 国 家 标 准  GB/T 35273-2020 代替 GB/T 352 ...

2. 中国版GDPR《个人信息安全规范》解读：国内企业如何保障信息安全？

   中国版的 GDPR--<个人信息安全规范> <信息安全技术个人信息安全规范>(GB/T 35273-2017)(以下简称"<个人信息安全规范>" ...

3. 信息安全技术 个人信息安全规范

   范围 本文件规定了新能源 动力电池安全存放管理的术语和定义.存放前准备.存放要求.废旧及故障电池特殊要求 .应急管理等内容.本文件适用于新能源动力电池安全存放的管理活动. 2 规范性 引用文件下列文件 ...

4. 智慧城轨信息技术架构及信息安全规范_在深圳，我们打造智慧地铁的“最强大脑”...

   近日,由中国铁设承担设计总承包深圳市轨道交通网络运营中心 NOCC二期工程可行性研究正式获批这个全国搭建规模最大业务涵盖最全的城轨云平台将全面展开项目建设助推深圳地铁的信息化建设和数字化转型打造业界领 ...

5. 一周新闻纵览：网络安全威胁不亚于核武器；《个人信息安全规范》将于近期进行研讨；“AI测面相使用AI技术可能性不大

   真正的危机不是机器人像人一样思考,而是人像机器人一样思考. 谷川流 1 三星手机指纹识别存漏洞! 别人解锁你的手机只需一个硅胶壳 10月17日,英国一家媒体报道称,三星电子在今年推出的三星GALAXY ...

6. NEC加入美国国土安全局AIS网络威胁信息官民共享体系

   近日,NEC宣布加入美国国土安全局(DHS)推进的网络威胁信息官民共享体系"Automated Indicator Sharing(AIS)",将加强网络安全业务的技术.人才及重要 ...

7. [转]OpenSynergy的COQOS Hypervisor SDK-实现仪表和车载信息娱乐系统共享显示

   如果你认为本系列文章对你有所帮助,请大家有钱的捧个钱场,点击此处赞助,赞助额0.1元起步,多少随意 声明:本文只用于个人学习交流,若不慎造成侵权,请及时联系我,立即予以改正 锋影 email:1741 ...

8. 如何禁止瓦次普将你的账号信息与脸书共享？

   大家还记得 2014 年 脸书 以 190 亿美元价格收购 瓦次普 吗?瓦次普 以简单易用深受许多使用者喜爱,不仅是实时通讯手机应用的早期先行者,当前在很多欧美国家仍是最多人使用的通讯应用程序.虽然当 ...

9. 信息安全快讯丨个人信息保护法列入人大立法规划；汇丰银行部分用户数据泄露；Android新恶意样本数量达320万个

   政府举措 个人信息保护法列入人大立法规划 关键词:个人信息保护 11月8日,第五届世界互联网大会"大数据时代的个人信息保护"分论坛在浙江省乌镇举行.从会上了解到,个人信息保护法已经 ...

10. 使用 husky 进行提交前的代码规范校验和 commit 信息检查

    husky 是一个 Git Hook 工具,借助 husky 我们可以在 git 提交的不同生命周期进行一些自动化操作.本文主要介绍提交前 eslint 校验和提交时 commit 信息的规范校验. ...

最新文章

1. 为什么我们需要Pod？(容器设计模式sidecar)
2. init/main.c中的void init(void)
3. 【剑指offer-Java版】46求 1 + 2 + 3 + ... + n
4. MariaDB 求和，最大值，最小值，平均数
5. java使用xml存储数据_用存储过程和 JAVA 写报表数据源有什么弊端？
6. 在vimrc中设置record
7. 无线网和网吧服务器,吧也无线？网吧无线网解决方案
8. 要突破技术瓶颈？80%的人忽略了这个因素
9. 如何将CAD图块转换成外部参照？
10. 浮点数加减运算左规右规
11. 离散数学 09.02 带有输出的有限状态机
12. python 爬取微博实时热搜，并存入数据库实例
13. 【无标题】STM32F767串口空闲中断+DMA实现不定帧长度的接收
14. c语言题目微博 粉丝,如果想把微博打造成高粉丝怎么弄
15. 道一云七巧-低代码快速开发平台 JNPF快速开发平台 3.4 更新介绍说明
16. 理解回溯算法——回溯算法的初学者指南
17. [java]——window64位下java的安装与配置
18. 不动产统一登记制度即将落地 房价调控能否得益？
19. 量化交易系统——突破前期股价的算法（一）
20. 电脑亮度突然无法调节，并且重置电脑也不能解决问题

热门文章

1. layabox 打印_Layabox 集成指南
2. PDF文件怎样修改，怎么修改PDF文件内容
3. SSH框架(spring+struts2+hibernate)+Mysql实现的会议管理系统（功能包含会议室管理、会议管理、用户管理、部门管理、设备管理、个人资料编辑等）
4. disc性格测试cs适合职业_DISC性格测试，高C型的人适合从事什么工作？
5. XMAPP多端口配置
6. 阿里云·天池大数据竞赛，快商通突破专业屏障，算法能力领跑全球
7. 渗透测试工程师面试题大全（一）
8. tfidf关键词提取php,TFIDF介绍
9. 小米蓝牙耳机使用说明_小米10手机专用？小米“真无线蓝牙耳机Air 2s”评测
10. 【Markdown小技巧】 整理小图标和表情符号