一、个人信息查询

个人信息控制者应向个人信息主体提供查询下列信息的方法：
1、其所持有的关于该主体的个人信息或个人信息的类型；
2、上述个人信息的来源、所用于的目的；
3、已经获得上述个人信息的第三方身份或类型。
注：个人信息主体提出查询非其主动提供的个人信息时，个人信息控制者可在综合考虑不响应请求可能对个人信息主体合法权益带来的风险和损害，以及技术可行性、实现请求的成本等因素后，作出是否响应的决定，并给出解释说明。

二、个人信息更正

个人信息主体发现个人信息控制者所持有的该主体的个人信息有错误或不完整的，个人信息控制者应为其提供请求更正或补充信息的方法。

三、个人信息删除

对个人信息控制者的要求包括：
1、符合以下情形，个人信息主体要求删除的，应及时删除个人信息：
①个人信息控制者违反法律法规规定，收集、使用个人信息的；
②个人信息控制者违反与个人信息主体的约定，收集、使用个人信息的。
2、个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息，且个人信息主体要求删除的，个人信息控制者应立即停止共享、转让的行为，并通知第三方及时删除；
3、个人信息控制者违反法律法规规定或违反与个人信息主体的约定，公开披露个人信息，且个人信息主体要求删除的，个人信息控制者应立即停止公开披露的行为，并发布通知要求相关接收方删除相应的信息。

四、个人信息主体撤回授权同意

对个人信息控制者的要求包括：
1、应向个人信息主体提供撤回收集、使用其个人信息的授权同意的方法。撤回授权同意后，个人信息控制者后续不应再处理相应的个人信息；
2、应保障个人信息主体拒绝接收基于其个人信息推送商业广告的权利。对外共享、转让、公开披露个人信息，应向个人信息主体提供撤回授权同意的方法。
注：撤回授权同意不影响撤回前基于授权同意的个人信息处理。

五、个人信息主体注销账户

对个人信息控制者的要求包括：
1、通过注册账户提供产品或服务的个人信息控制者，应向个人信息主体提供注销账户的方法，且方法简便易操作；
2、受理注销账户请求后，需要人工处理的，应在承诺时限内（不超过15个工作日）完成核查和处理；
3、注销过程如需进行身份核验，要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型；
4、注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务，如注销单个账户视同注销多个产品或服务，要求个人信息主体填写精确的历史操作记录作为注销的必要条件等；
①多个产品或服务之间存在必要业务关联关系的，例如，一旦注销某个产品或服务的账户，将会导致其他产品或服务的必要业务功能无法实现或者服务质量明显下降的，需向个人信息主体进行详细说明。
②产品或服务没有独立的账户体系的，可采取对该产品或服务账号以外其他个人信息进行删除，并切断账户体系与产品或服务的关联等措施实现注销。
5、注销账户的过程需收集个人敏感信息核验身份时，应明确对收集个人敏感信息后的处理措施，如达成目的后立即删除或匿名化处理等；
6、个人信息主体注销账户后，应及时删除其个人信息或匿名化处理。因法律规规定需要留存个人信息的，不能再次将其用于日常业务活动中。

六、个人信息主体获取个人信息副本

根据个人信息主体的请求，个人信息控制者宜为个人信息主体提供获取以下类型个人信息副本的方法，或在技术可行的前提下直接将以下类型个人信息的副本传输给个人信息主体指定的第三方：
1、本人的基本资料、身份信息；
2、本人的健康生理信息、教育工作信息。

七、响应个人信息主体的请求

对个人信息控制者的要求包括：
1、在验证个人信息主体身份后，应及时响应个人信息主体基于8.1~8.6提出的请求，应在三十天内或法律法规规定的期限内作出答复及合理解释，并告知个人信息主体外部纠纷解决途径；
2、采用交互式页面（如网站、移动互联网应用程序、客户端软件等）提供产品或服务的，宜直接设置便捷的交互式页面提供功能或选项，便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利；
3、对合理的请求原则上不收取费用，但对一定时期内多次重复的请求，可视情收取一定成本费用；
4、直接实现个人信息主体的请求需要付出高额成本或存在其他显著困难的，个人信息控制者应向个人信息主体提供替代方法，以保障个人信息主体的合法权益；
5、以下情行可不响应个人信息主体基于8.1~8.6提出的请求，包括：
①与个人信息控制者履行法律法规规定的义务相关的；
②与国家安全、国防安全直接相关的；
③与公共安全、公共卫生、重大公共利益直接相关的；
④与刑事侦查、起诉、审判和执行判决等直接相关的；
⑤个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的；
⑥出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难
得到本人授权同意的；
⑦响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权
益受到严重损害的；
⑧涉及商业秘密的。
6、如决定不响应个人信息主体的请求，应向个人信息主体告知该决定的理由，并
向个人信息主体提供投诉的途径。

八、投诉管理

个人信息控制者应建立投诉管理机制和投诉跟踪流程，并在合理的时间内对投诉进行响应。

信息来源：GB/T 35273-2020

个人信息安全规范----5、个人信息主体的权利相关推荐

GBT 35273-2020 信息安全技术个人信息安全规范
GBT 35273-2020 信息安全技术个人信息安全规范全文下载 ICS 35.040 L80 中华人民共和国国家标准 GB/T 35273-2020 代替 GB/T 352 ...
智慧城轨信息技术架构及信息安全规范_在深圳，我们打造智慧地铁的“最强大脑”...
近日,由中国铁设承担设计总承包深圳市轨道交通网络运营中心 NOCC二期工程可行性研究正式获批这个全国搭建规模最大业务涵盖最全的城轨云平台将全面展开项目建设助推深圳地铁的信息化建设和数字化转型打造业界领 ...
中国版GDPR《个人信息安全规范》解读：国内企业如何保障信息安全？
中国版的 GDPR--<个人信息安全规范> <信息安全技术个人信息安全规范>(GB/T 35273-2017)(以下简称"<个人信息安全规范>" ...
信息安全技术个人信息安全规范
范围本文件规定了新能源动力电池安全存放管理的术语和定义.存放前准备.存放要求.废旧及故障电池特殊要求 .应急管理等内容.本文件适用于新能源动力电池安全存放的管理活动. 2 规范性引用文件下列文件 ...
一周新闻纵览：网络安全威胁不亚于核武器；《个人信息安全规范》将于近期进行研讨；“AI测面相使用AI技术可能性不大
真正的危机不是机器人像人一样思考,而是人像机器人一样思考. 谷川流 1 三星手机指纹识别存漏洞! 别人解锁你的手机只需一个硅胶壳 10月17日,英国一家媒体报道称,三星电子在今年推出的三星GALAXY ...
通用公司信息安全规范
第1条当员工离开自己所使用的计算机时,必须立即锁定屏幕或退出系统:所使用的计算机应设置成10分钟自动启用有口令的屏幕保护.员工离开自己的座位时,必须清空桌面上的文件及可移动存储介质. 第2条员工所 ...
信息安全规范及使用场景
前言安利一个网站:网安网:https://www.wangan.com/discuss/zhishi/docs 上面有很多规范文档,如下图所示: PKI相关规范常用技术规范电子印章签章 GB/ ...
第三十八期:美国数据隐私保护法案来临，明年1月生效，现仅2%企业合规
2018 年美国加州通过消费者隐私法案(CCPA),缓冲一年多后,将于 2020 年 1 月生效.届时,类似于欧盟的法案,CCPA 将对所有和美国加州居民有业务的数据商业行为进行监管. 依然在应付欧盟 ...
数据的经济价值与个人信息安全保护，该如何平衡？
新技术应用引发的恐慌浙江金华暂时停用"智能头箍",专家:监测学生脑电违反伦理浙江金华金东区孝顺镇中心小学部分学生佩戴声称可以监控"上课时是否走神"的头环引发 ...
个人信息安全影响评估流程
声明本文是学习GB-T 39335-2020 信息安全技术个人信息安全影信息安全技术个人信息安全影. 下载地址 http://github5.com/view/788而整理的学习笔记,分享出来希 ...

个人信息安全规范----5、个人信息主体的权利

文章目录