(高清版)GB∕T 35273-2020 信息安全技术 个人信息安全规范.docx
- 文档编号:272105
- 上传时间:2022-10-08
- 格式:DOCX
- 页数:38
- 大小:717.20KB
(高清版)GB∕T 35273-2020 信息安全技术 个人信息安全规范.docx
《(高清版)GB∕T 35273-2020 信息安全技术 个人信息安全规范.docx》由会员分享,可在线阅读,更多相关《(高清版)GB∕T 35273-2020 信息安全技术 个人信息安全规范.docx(38页珍藏版)》请在冰豆网上搜索。
ICS35.040
L80
中华人民共和国国家标准
GB/T35273—2020
代替GB-T35273—2017
信息安全技术个人信息安全规范
Informationsecuritytechnology—Personalinformationsecurityspecification
2020-03-06发布
2020-10-01实施
国家市场监督管理总局
国家标准化管理委员会
GB/T35273—2020
目次
前言 in
引言 IV
1范围 1
2规范性引用文件 1
3术语和定义 1
4个人信息安全基本原则 3
5个人信息的收集 3
5.1收集个人信息的合法性 3
5.2收集个人信息的最小必要 3
5.3多项业务功能的自主选择 4
5.4收集个人信息时的授权同意 4
5.5个人信息保护政策 5
5.6征得授权同意的例外 5
6个人信息的存储 6
6.1个人信息存储时间最小化 6
6.2去标识化处理 6
6.3个人敏感信息的传输和存储 6
6.4个人信息控制者停止运营 6
7个人信息的使用 6
7.1个人信息访问控制措施 6
7.2个人信息的展示限制 7
7.3个人信息使用的目的限制 7
7.4用户画像的使用限制 7
7.5个性化展示的使用 7
7.6基于不同业务目的所收集个人信息的汇聚融合 8
7.7信息系统自动决策机制的使用 8
8个人信息主体的权利 8
8.1个人信息查询 8
8.2个人信息更正 8
8.3个人信息删除 9
8.4个人信息主体撤回授权同意 9
8.5个人信息主体注销账户 9
8.6个人信息主体获取个人信息副本 9
8.7响应个人信息主体的请求 10
8.8投诉管理 10
9个人信息的委托处理、共享、转让、公开披露 10
9.1委托处理 10
9.2个人信息共享、转让 11
9.3收购、兼并、重组、破产时的个人信息转让 11
9.4个人信息公开披露 12
9.5共享、转让、公开披露个人信息时事先征得授权同意的例外 12
9.6共同个人信息控制者 12
9.7第三方接入管理 12
9.8个人信息跨境传输 13
10个人信息安全事件处置 13
10.1个人信息安全事件应急处置和报告 13
10.2安全事件告知 13
11组织的个人信息安全管理要求 14
11.1明确责任部门与人员 14
H.2 个人信息安全工程 14
11.3个人信息处理活动记录 14
11.4开展个人信息安全影响评估 15
11.5数据安全能力 15
11.6人员管理与培训 15
11.7安全审计 15
附录A(资料性附录)个人信息示例 17
附录B(资料性附录)个人敏感信息判定 18
附录C(资料性附录)实现个人信息主体自主意愿的方法 19
附录D(资料性附录)个人信息保护政策模板 24
参考文献 30
n
GB/T35273—2020
本标准按照GB/T1.1—2009给出的规则起草。
本标准代替GB/T35273—2017«信息安全技术个人信息安全规范》,与GB/T35273—2017相比,除编辑性修改外主要技术变化如下:
——增加了“多项业务功能的自主选择”(见5.3);
——修改了“征得授权同意的例外”(见5.6,2017年版的5.4);
——增加了“用户画像的使用限制”(见7.4);
——增加了“个性化展示的使用”(见7.5);
——增加了“基于不同业务目所收集个人信息的汇聚融合”(见7.6);
——修改了“个人信息主体注销账户”(见8.5,2017年版的7.8);
——增加了“第三方接入管理”(见9.7);
——修改了“明确责任部门与人员"(见11.1,2017年版的10.1);
——增加了“个人信息安全工程”(见11.2);
——增加了“个人信息处理活动记录”(见11.3);
——修改了“实现个人信息主体自主意愿的方法”(见附录C.2017年版的附录C)。
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:
中国电子技术标准化研究院、北京信息安全测评中心、颐信科技有限公司、四川大学、清华大学、中国信息通信研究院、公安部第一研究所、中国网络安全审查技术与认证中心、深圳腾讯计算机系统有限公司、上海国际问题研究院、阿里巴巳(北京)软件服务有限公司、中电长城网际系统应用有限公司、阿里云计算有限公司、华为技术有限公司、强韵数据科技有限公司。
本标准主要起草人:
洪延青、何延哲、杨建军、钱秀槟、陈兴蜀、刘贤刚、上官晓丽、高林、邵正强、金涛、胡影、赵冉冉、韩煜、陈海、高磊、张晓梅、张志强、葛鑫、周晨炜、秦小伟、邵华、蔡晓丹、黄晓林、顾伟、黄劲、李媛、许静慧、赵章界、孔耀晖、范红、杜跃进、杨思磊、张亚男、叶晓俊、郑斌、闵京华、鲁传颖、周亚超、杨露、王海舟、王建民、秦颂、姚相振、葛小宇、王道奎、沈锡镭。
本标准所代替标准的历次版本发布情况为:
GB/T35273—2017。
in
GB/T35273—2020
近年,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。
本标准针对个人信息面临的安全问题,根据《中华人民共和国网络安全法》等相关法律,规范个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄漏等乱象,最大程度地保障个人的合法权益和社会公共利益。
对标准中的具体事项,法律法规另有规定的,需遵照其规定执行。
GB/T35273—2020
信息安全技术个人信息安全规范
1范围
本标准规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的原则和安全要求。
本标准适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2010信息安全技术术语
3术语和定义
GB/T25069—2010界定的以及下列术语和定义适用于本文件。
3.1
个人信息personalinformation
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
注1:
个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
注2:
关于个人信息的判定方法和类型参见附录A。
注3:
个人信息控制者通过个人信息或其他信息加工处理后形成的信息,例如,用户画像或特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。
3.2
个人敏感信息personalsensitiveinformation
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
注1:
个人敏感信息包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。
注2:
关于个人敏感信息的判定方法和类型参见附录B。
注3:
个人信息控制者通过个人信息或其他信息加工处理后形成的信息,如一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的,属于个人敏感信息。
3.3
个人信息主体personalinformationsubject
个人信息所标识或者关联的自然人。
3.4
个人信息控制者personalinformationcontroller
有能力决定个人信息处理目的、方式等的组织或个人。
3.5
收集collect
获得个人信息的控制权的行为。
注1:
包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为,以及通过共享、转让、搜集公开信息等间接获取个人信息等行为。
注2:
如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集。
例如,离线导航软件在终端获取个人信息主体位置信息后,如果不回传至软件提供者,则不属于个人信息主体位置信息的收集。
3.6
明示同意explicitconsent
个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明,或者自主作出肯定性动作,对其个人信息进行特定处理作出明确授权的行为。
注:
肯定性动作包括个人信息主体主动勾选、主动点击“同意”“注册”“发送”“拨打”、主动填写或提供等。
3.7
授权同意consent
个人信息主体对其个人信息进行特定处理作出明确授权的行为。
注:
包括通过积极的行为作出授权(即明示同意),或者通过消极的不作为而作出授权(如信息采集区域内的个人信息主体在被告知信息收集行为后没有离开该区域)。
3.8
用户画像userprofiling
通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如职业、经济、健康、教育、个人喜好、信用、行为等方面作出分析或预测,形成其个人特征模型的过程。
注:
直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。
使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。
3.9
个人信息安全影响评估personalinformationsecurityimpactassessment
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。
3.10
删除delete
在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态。
3.11
公开披露publicdisclosure
向社会或不特定人群发布信息的行为。
3.12
转让transferofcontrol
将个人信息控制权由一个控制者向另一个控制者转移的过程。
3.13
共享sharing
个人信息控制者向其他控制者提供个人信息,且双方分别对个人信息拥有独立控制权的过程。
3.14
匿名化anonymization
通过对个人信息的技术处理,使得个人信息主体无法被识别或者关联,且处理后的信息不能被复原的过程。
注:
个人信息经匿名化处理后所得的信息不属于个人信息。
3.15
去标识化de-identification
通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。
注:
去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。
3.16
个性化展示personalizeddisplay
基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息,向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 高清版 GBT 35273-2020 信息安全技术 个人信息安全规范 高清版 GB 35273 2020 信息 安全技术 个人信息 安全 规范