- 首页
- IT互联网
- 安全
- 正文
解读丨《信息安全技术个人信息安全规范》(附原文)
出品 丨 自主可控新鲜事
内容综合编辑自网络正文共 2690 字,建议阅读时间 3 分钟
前情提要:
根据2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2020年第1号),全国信息安全标准化技术委员会归口的国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》(下称“《规范》”)完成修订并发布,于10月1日起正式实施。
随着网络技术的日新月异,对于个人信息保护的困难程度也在与日俱增。法律法规作为维护公平正义的有力防线,必须要在此问题上作出与时俱进的回应。《个人信息安全规范》 (后台回复“个人信息”获取原文) 的出台,对于个人信息保护来说,是一个强有力的信号,也为个人信息保护起到了良好的屏障作用。规范对个人信息收集、储存、使用做出了明确规定,并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。
2018年5月1日生效的GB/T 35273-2017《信息安全技术 个人信息安全规范》无疑是我国个人信息保护领域最重要的国家标准。尽管该标准仅是国家推荐标准,但在我国尚未出台《个人信息保护法》、且其他法律(包括《网络安全法》)缺乏具体可操作的个人信息保护规则的情况下,该标准自颁布后已成为企业个人信息保护合规工作可实际依赖的唯一标准。
本次修订的2020版《规范》与2017版《规范》相比,主要技术变化如下:
——增加了“多项业务功能的自主选择”
——修改了“征得授权同意的例外”
——增加了“用户画像的使用限制”
——增加了“个性化展示的使用”
——增加了“基于不同业务目所收集个人信息的汇聚融合”
——修改了“个人信息主体注销账户”
——增加了“第三方接入管理”
——修改了“明确责任部门与人员”
——增加了“个人信息安全工程”
——增加了“个人信息处理活动记录”
——修改了“实现个人信息主体自主意愿的方法”
新修订的《个人信息安全规范》共分为十个章节,其中包括范围,规范性引用文件,术语和定义,个人信息安全基本原则,个人信息的收集,个人信息的保存,个人信息的使用,个人信息的委托处理、共享、转让、公开披露,个人信息安全事件处置以及组织的管理要求。其中,个人信息的收集,存储,使用,委托处理、共享、转让、公开披露是个人信息在流转过程中的常见行为。
01 信息收集最小化要求
根据《个人信息安全规范》,在个人信息的收集过程中,需要遵循合法性以及信息收集最小化的要求,也即直接关联、最低频率和最少数量。 在收集个人信息时,一般情形下必须获得个人信息主体在明确该收集行为前提下的完全同意, 只有当该信息与国家安全、公共安全或者犯罪侦查等公共项目相关时,方可不经个人信息主体同意而对其个人信息进行强制收集。而对于个人信息中的敏感内容,必须经过个人信息主体的明示同意方可收集。可见,在个人信息保护问题上,作为信息源头的收集过程已逐渐得到细化规制。
02 信息保存去标识化处理
个人信息的保存问题,要求对于信息的保存要做到 去标识化处理 ,同时 保存时间要遵循所需时间的最短要求 ,在信息的传输过程中也必须做到 高度的安全防范措施 ,以避免个人信息在传输或者保存过程中出现不当泄露。同时,个人信息在展示及使用时的场合、范围限制,还是个人信息的访问、删除、更正以及撤回问题,都有严格的程序及原则要求。
03 2020版与2017版的重点对比
延续七大原则
2020版继续沿用了2017版的七大原则,分别是:权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则。虽未明确定义“准确和质量、问责、收集限制、隐私合规”等原则,略感遗憾,但相关原则的控制措施却跃然纸上。
定义控制者的义务
在架构上持续强调个人信息控制者应承担的义务,而未明确定义个人信息处理者、个人信息联合控制者、个人信息外包方等角色应履行的义务。
要求的变化
1、选择同意原则下:
新增要求“不强迫接受多项业务功能:当产品或服务提供多项需收集个人信息的业务功能时,个人信息控制者不应违背个人信息主体的自主意愿,强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求”。强调了“隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则,不应将其视为个人信息主体要求签订的合同”。
2、收集及使用的变化:
在目的明确原则下,新增要求“如产品或服务仅提供一项收集、使用个人信息的业务功能时,个人信息控制者可通过隐私政策的形式,实现向个人信息主体的告知;产品或服务提供多项收集、使用个人信息的业务功能的,除隐私政策外,个人信息控制者宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体在作出具体的授权同意前,能充分考虑对其的具体影响”。
3、确保安全原则下,新增的要求较多,分别是:
1)“将个人生物识别信息的原始信息和摘要分开存储”的技术要求。
2)在信息系统自动决策机制的使用中定期(至少每年一次)开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施、向个人信息主体提供针对自动决策结果的申诉渠道,并对自动决策结果进行人工复核。
3)明确组织应为个人信息保护负责人和个人信息保护工作机构提供必要的资源,保障其独立履行职责。如采用公布投诉、举报方式等信息并及时受理投诉举报、与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况等。
4)要求组织记录的内容包括:所涉及个人信息的类型、数量、来源(例如从个人信息主体直接收集或通过间接获取方式获得);根据业务功能和授权情况区分个人信息的处理目的、使用场景,以及委托处理、共享、转让、公开披露、是否涉及出境等情况。
4、在最少够用的原则下,新增的要求较多,分别是:
1)要求了用户个人画像的特征描述不能为“淫秽、色情、赌博、迷信、恐怖、暴力”;业务运营或对外业务合作中使用用户画像不能侵害保护公民、法人和其他组织的合法权益,不能危害国家安全、荣誉和利益。
2)除为达到主体授权同意的使用目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。
3)在向主体推送新闻信息服务的过程中使用个性化展示时应:显著区分个性化推送服务,如标明“个性化展示”或“定推”等字样,为主体提供简单直观的退出或关闭个性化展示模式的选项。
4)电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。
5)在向主体提供业务功能的过程中,如使用个性化展示时,建立个人信息主体对个性化展示所依赖的个人信息(如标签、画像维度等)的自主控制机制,保障个人信息主体调控个性化展示相关程度的能力。
6)当个人信息主体选择退出个性化展示模式时,应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。
5、主体提供者查询方法及各种操作权限:
在公开透明原则的原则下,新增要求应向主体提供查询方法,能让主体知晓持有的个人信息的类型;上述个人信息的来源、所用于的目的;已经获得上述个人信息的第三方身份或类型;宜直接在产品或服务提供的功能界面中(例如应用程序可设置专门的选项、功能、界面等)设置相应的机制,便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利。
6、新增的其他要求包括:
1)应承担第三方接入管理
2)收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意。
在《个人信息安全规范》中,个人信息从收集到最终的注销等一系列环节,都有相应需要遵守的原则及方法,以期通过评估、监督等多种方式,准确估计个人信息安全系数,最大程度避免个人信息的泄露及不当利用,从而确保个人隐私不被侵犯,同时个人的人身安全得到保障。
后台回复“ 个人信息 ”获取原文
以下是《信息安全技术个人信息安全规范》,仅供大家参考,因国标委版权问题谢绝转载,不得用于商业营利目的。正式的GB/T 35273-2020,请大家登陆国标委网站查询或购买。
作者更多内容
-
能源信创风向标 | 2024中国石油石化企业信息技术交流大会不见不散!(文末福利)
由中国石油学会联合中国石油、中国石化、中国海油、国家管网、国
-
搞事情?国防七子、中国科学院计算技术研究所等85家中国机构被加拿大列入敏感名单!
加拿大以“对国家安全构成最高风险”为由将85家中国研究机构,
-
山西:到2025年底政务信息系统自主可控率达到80%!
到2025年,国产化政务云平台部署率80%。出品丨自主可控新
-
2024-2027年,信创“2+8”市场空间预测!
2024年,在信创产业趋势边际向上加速之际,信创产业市场空间
-
希沃、华为、706所、中科方德、统信、神州云科、长城等入围“高校设备更新改造及数字化建设解决方案供应商名录(第二批)”!
第二批希沃、华为、706所、中科方德、统信、中地数码、神州云
-
侵权案胜诉,龙芯获赔4034万;华为鸿蒙获国家科技进步奖提名...
今日新鲜事:1、龙芯大获全胜,芯联芯需赔偿4034.28万元
-
关于举办“数据资产管理师”研修班的通知
2024 年1月27日-28日,《数据要素和数据治理全景解析
-
核心系统替换国产操作系统是否可行?
核心系统替换国产操作系统是否可行?欢迎在评论区畅所欲言出品丨
-
招聘 | 海量数据、格尔软件、宝兰德、阿里云、中核战略规划研究总院
“职”等你来,只等你来!出品丨自主可控新鲜事本文来源于网络正
-
聊聊 “卡脖子” 的光刻机
对中国来说,市场有了,利好来了,光刻机这块“芯片产业链制造复
新知精选
- 2024货代行业展望:变革正在发生
- 货代巨头如何利用新技术?
- 思过与攻守,2024·618电商平台如何打赢防御之战?
- 做用户体验很简单,做好用户体验却很难
- 欧洲杯奥运会接踵而至,体育营销进入战备状态
- 价值与挑战同在。
- 阿里研究院:2024大模型训练数据白皮书
- 太侠今天分享的是《大模型训练数据白皮书》,来源:阿里研究院。
- 生成式AI出海 中国制造 Buff叠满
- 没有一个模型能一统天下,中企出海也没有万金油,上云还得亚马逊云科技。
- 科技革命,真的会让人类丢了饭碗吗?
- 不过AI技术的快速发展,也引发了不少人的担忧:AI会抢走人类的饭碗吗?
- 端游营销报告:辐射生态价值超700亿 短视频PC端成新量来源
- 近年来中国游戏产业整体增速趋于平缓,移动游戏高速发展的势头终止。
- 消费刺客| 从“平民美食”到“天价佳肴”,谁拿走了我的“鸡爪自由”?
- 打工人零食,打工人快吃不起了。作者 | 郑选编辑 | 张菁来
- 管理者应留意的9个“人性的弱点”
- 光环效应,也被称为“晕轮效应”,通常发生在人们根据一个人的某个或某些方面的印象,来全面评判其整体性格和能力的时候。
- 高价面后继乏力,涨价难救康师傅
- 外卖冲击不断,康师傅涨价乏力
推荐阅读
【管理实务106】高效团队领导者必备的4个素质 一法网
管理者应留意的9个“人性的弱点” 云杉思库
泰普洛解读 | 普华永道第27期全球CEO调研中国报告 泰普洛领导力
IT科技▪2023年度十佳创作者
雷科技
专注AI硬科技
科技正能量
相信文字有能力改变世界
零壹智库
数字经济决策服务平台
新莓daybreak
原中国企业家杂志TMT总监负责
科技新知官方
ToB行业头条
专注以原创报道ToB行业。
锌刻度
科技产业新锐观察者
云报涛哥
云的世界无限大
刘旷
以禅道参悟互联网
互联网er的早读课
专注互联网深度内容