解读丨《信息安全技术个人信息安全规范》（附原文）

出品 丨 自主可控新鲜事

内容综合编辑自网络

正文共 2690 字，建议阅读时间 3 分钟

---

前情提要：

根据2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2020年第1号），全国信息安全标准化技术委员会归口的国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》（下称“《规范》”）完成修订并发布，于10月1日起正式实施。

随着网络技术的日新月异，对于个人信息保护的困难程度也在与日俱增。法律法规作为维护公平正义的有力防线，必须要在此问题上作出与时俱进的回应。《个人信息安全规范》 （后台回复“个人信息”获取原文） 的出台，对于个人信息保护来说，是一个强有力的信号，也为个人信息保护起到了良好的屏障作用。规范对个人信息收集、储存、使用做出了明确规定，并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力。

2018年5月1日生效的GB/T 35273-2017《信息安全技术 个人信息安全规范》无疑是我国个人信息保护领域最重要的国家标准。尽管该标准仅是国家推荐标准，但在我国尚未出台《个人信息保护法》、且其他法律（包括《网络安全法》）缺乏具体可操作的个人信息保护规则的情况下，该标准自颁布后已成为企业个人信息保护合规工作可实际依赖的唯一标准。

本次修订的2020版《规范》与2017版《规范》相比，主要技术变化如下：

——增加了“多项业务功能的自主选择”

——修改了“征得授权同意的例外”

——增加了“用户画像的使用限制”

——增加了“个性化展示的使用”

——增加了“基于不同业务目所收集个人信息的汇聚融合”

——修改了“个人信息主体注销账户”

——增加了“第三方接入管理”

——修改了“明确责任部门与人员”

——增加了“个人信息安全工程”

——增加了“个人信息处理活动记录”

——修改了“实现个人信息主体自主意愿的方法”

新修订的《个人信息安全规范》共分为十个章节，其中包括范围，规范性引用文件，术语和定义，个人信息安全基本原则，个人信息的收集，个人信息的保存，个人信息的使用，个人信息的委托处理、共享、转让、公开披露，个人信息安全事件处置以及组织的管理要求。其中，个人信息的收集，存储，使用，委托处理、共享、转让、公开披露是个人信息在流转过程中的常见行为。

01 信息收集最小化要求

根据《个人信息安全规范》，在个人信息的收集过程中，需要遵循合法性以及信息收集最小化的要求，也即直接关联、最低频率和最少数量。 在收集个人信息时，一般情形下必须获得个人信息主体在明确该收集行为前提下的完全同意， 只有当该信息与国家安全、公共安全或者犯罪侦查等公共项目相关时，方可不经个人信息主体同意而对其个人信息进行强制收集。而对于个人信息中的敏感内容，必须经过个人信息主体的明示同意方可收集。可见，在个人信息保护问题上，作为信息源头的收集过程已逐渐得到细化规制。

02  信息保存去标识化处理

个人信息的保存问题，要求对于信息的保存要做到 去标识化处理 ，同时 保存时间要遵循所需时间的最短要求 ，在信息的传输过程中也必须做到 高度的安全防范措施 ，以避免个人信息在传输或者保存过程中出现不当泄露。同时，个人信息在展示及使用时的场合、范围限制，还是个人信息的访问、删除、更正以及撤回问题，都有严格的程序及原则要求。

03  2020版与2017版的重点对比

延续七大原则

2020版继续沿用了2017版的七大原则，分别是：权责一致原则、目的明确原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则、主体参与原则。虽未明确定义“准确和质量、问责、收集限制、隐私合规”等原则，略感遗憾，但相关原则的控制措施却跃然纸上。

定义控制者的义务

在架构上持续强调个人信息控制者应承担的义务，而未明确定义个人信息处理者、个人信息联合控制者、个人信息外包方等角色应履行的义务。

要求的变化

1、选择同意原则下：

新增要求“不强迫接受多项业务功能：当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不应违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求”。强调了“隐私政策的主要功能为公开个人信息控制者收集、使用个人信息范围和规则，不应将其视为个人信息主体要求签订的合同”。

2、收集及使用的变化：

在目的明确原则下，新增要求“如产品或服务仅提供一项收集、使用个人信息的业务功能时，个人信息控制者可通过隐私政策的形式，实现向个人信息主体的告知；产品或服务提供多项收集、使用个人信息的业务功能的，除隐私政策外，个人信息控制者宜在实际开始收集特定个人信息时，向个人信息主体提供收集、使用该个人信息的目的、方式和范围，以便个人信息主体在作出具体的授权同意前，能充分考虑对其的具体影响”。

3、确保安全原则下，新增的要求较多，分别是：

1）“将个人生物识别信息的原始信息和摘要分开存储”的技术要求。

2）在信息系统自动决策机制的使用中定期（至少每年一次）开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施、向个人信息主体提供针对自动决策结果的申诉渠道，并对自动决策结果进行人工复核。

3）明确组织应为个人信息保护负责人和个人信息保护工作机构提供必要的资源，保障其独立履行职责。如采用公布投诉、举报方式等信息并及时受理投诉举报、与监督、管理部门保持沟通，通报或报告个人信息保护和事件处置等情况等。

4）要求组织记录的内容包括：所涉及个人信息的类型、数量、来源（例如从个人信息主体直接收集或通过间接获取方式获得）；根据业务功能和授权情况区分个人信息的处理目的、使用场景，以及委托处理、共享、转让、公开披露、是否涉及出境等情况。

4、在最少够用的原则下，新增的要求较多，分别是：

1）要求了用户个人画像的特征描述不能为“淫秽、色情、赌博、迷信、恐怖、暴力”；业务运营或对外业务合作中使用用户画像不能侵害保护公民、法人和其他组织的合法权益，不能危害国家安全、荣誉和利益。

2）除为达到主体授权同意的使用目的所必需外，使用个人信息时应消除明确身份指向性，避免精确定位到特定个人。

3）在向主体推送新闻信息服务的过程中使用个性化展示时应：显著区分个性化推送服务，如标明“个性化展示”或“定推”等字样，为主体提供简单直观的退出或关闭个性化展示模式的选项。

4）电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的，应当同时向该消费者提供不针对其个人特征的选项。

5）在向主体提供业务功能的过程中，如使用个性化展示时，建立个人信息主体对个性化展示所依赖的个人信息（如标签、画像维度等）的自主控制机制，保障个人信息主体调控个性化展示相关程度的能力。

6）当个人信息主体选择退出个性化展示模式时，应向个人信息主体提供删除或匿名化定向推送活动所基于的个人信息的选项。

5、主体提供者查询方法及各种操作权限：

在公开透明原则的原则下，新增要求应向主体提供查询方法，能让主体知晓持有的个人信息的类型；上述个人信息的来源、所用于的目的；已经获得上述个人信息的第三方身份或类型；宜直接在产品或服务提供的功能界面中（例如应用程序可设置专门的选项、功能、界面等）设置相应的机制，便于个人信息主体在线行使其访问、更正、删除、撤回授权同意、注销账户等权利。

6、新增的其他要求包括：

1）应承担第三方接入管理

2）收集年满14周岁未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14周岁的，应征得其监护人的明示同意。

在《个人信息安全规范》中，个人信息从收集到最终的注销等一系列环节，都有相应需要遵守的原则及方法，以期通过评估、监督等多种方式，准确估计个人信息安全系数，最大程度避免个人信息的泄露及不当利用，从而确保个人隐私不被侵犯，同时个人的人身安全得到保障。

后台回复“ 个人信息 ”获取原文

---

以下是《信息安全技术个人信息安全规范》，仅供大家参考，因国标委版权问题谢绝转载，不得用于商业营利目的。正式的GB/T 35273-2020，请大家登陆国标委网站查询或购买。