新版《个人信息安全规范》

1、 新版个人信息安全规范（35273-2020）正式发布 编者按：根据3月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（第1号），全国信息安全标准化技术委员会归口的GB/T 35273-2020信息安全技术个人信息安全规范正式发布，并将于10月1日实施。以下是公号君作为作者所掌握的信息安全技术个人信息安全规范最终版的文字内容，仅供大家参考，因国标委版权问题谢绝转载，不得用于商业营利目的。正式的GB/T 35273-2020，请大家登陆国标委网站查询或购买。数据保护官（DPO）社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全

2、公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时，DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。5月，DPO社群举行了第一次线下沙龙。沙龙每月一期，集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下：DPO社群成果印度2018个人数据保护法（草案）全文翻译（中英对照版）（DPO沙龙出品）巴西通用数据保护法全文中文翻译（DPO沙龙出品）美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）非个人数据在欧盟境内自由流动框架条例全文中文翻译（DPO沙龙出品）第29条工作组对第2016/679号条例（GDPR）下同意的解释指南中文翻

3、译(DPO沙龙出品)第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）第29条工作组第2/2017号关于工作中数据处理的意见（DPO沙龙出品）“美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）第29条工作组关于自动化个人决策目的和识别分析目的准则（DPO沙龙出品）法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南第29条工作组数据可携权指南全文翻译（DPO沙龙出品）德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）EDPB“关

4、于临床试验条例与GDPR间相互关系”意见的全文翻译（DPO沙龙出品）第29条工作组关于GDPR透明度准则的指引全文翻译（DPO沙龙出品）“108号公约”全文翻译（DPO沙龙出品）美国司法部“云法案”白皮书全文翻译（DPO社群出品）EDPB关于GDPR中合同必要性指引的中文翻译（DPO沙龙出品）新加坡防止网络虚假信息和网络操纵法案中文翻译（DPO沙龙出品）英国ICO广告技术和实时竞价的更新报告中译文（DPO社群出品）“FTC与Facebook达成和解令的新闻通告”全文翻译（DPO社群出品）CJEU认定网站和嵌入的第三方代码成为共同数据控制者（DPO沙龙出品）FTC与Facebook“2019和解

5、令”全文翻译（DPO社群出品）英国ICO数据共享行为守则中译文（DPO社群出品）“hiQ Labs诉LinkedIn案上诉判决”中译文（DPO社群出品）法国数据保护监管机构（CNIL）有关cookies和其他追踪方式的指引（全文翻译）美加州消费者隐私法案（CCPA） 修正案汇总中译文（DPO沙龙出品）FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译（DPO社群出品）ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译（DPO社群出品）德国关于确定企业GDPR相关罚款数额官方指南的中文翻译（DPO社群出品）亚洲十四个国家和地区数据跨境制度报告中译本（DPO社群出品）印度个人数

6、据保护法（草案）全文翻译（DPO社群出品）法国数据保护局（CNIL）关于人脸识别报告的中译文（DPO社群出品）AEPD和EDPS | “哈希函数简介用于个人数据假名化技术”中译文（DPO社群出品）欧盟基本权利局“人脸识别技术”报告中文翻译（DPO社群出品）联合发布 |2020数字医疗：疫情防控新技术安全应用分析报告技术主权视野下的欧盟数字化转型战略探析（DPO社群出品）EDPB车联网个人数据保护指南全文翻译（DPO社群出品）意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见（DPO社群出品）线下沙龙实录见：数据保护官（DPO）沙龙第一期纪实第二期数据保护官沙龙纪实：个人信息安全影响评估指

7、南第三期数据保护官沙龙纪实：数据出境安全评估第四期数据保护官沙龙纪实：网络爬虫的法律规制第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论数据保护官（DPO）沙龙走进燕园系列活动第一期第六期数据保护官沙龙纪实：隐私条款评审工作第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全第九期数据保护官沙龙纪实：个人信息安全规范修订研讨第十期数据保护官沙龙纪实：数据融合可给企业赋能，但不能不问西东第十一期数据保护官沙龙纪实：企业如何看住自家的数据资产？这里有份权威的安全指南第十二期数据保护官纪实：金融数据保护，须平衡个人隐私与公共利益第十三期

8、DPO沙龙纪实：厘清数据安全管理办法中的重点条款第十四期DPO沙龙纪实：梳理个人信息出境安全评估办法（征求意见稿）的评估流程第十五期DPO沙龙纪实：SDK非洪水猛兽，但如果“作恶”乱收集信息，谁来管？第十六期DPO沙龙纪实：查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势与欧美一流数据保护专家面对面（DPO沙龙特别活动）第十七期DPO沙龙纪实：数据统一确权恐难实现 部门立法或是有效途径第十八期DPO沙龙纪实：生物识别信息的安全保护评估GDPR效果和影响:评价GDPR一周年：一些正负面观点评估GDPR效果和影响的参考资料（一）：来自Capgemini的报告评估GDPR效果和影响的参考

9、资料（二）：来自CIPL的报告评估GDPR效果和影响的参考资料（三）：来自IAPP的报告评估GDPR效果和影响的参考资料（四）：来自“黑客”的视角评估GDPR效果和影响的参考资料（五）：来自欧盟成员国的视角线上沙龙见：DPO社群对数据堂事件的精彩点评DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）DPO社群成员观点个人信息委托处理是否需要个人授权？（DPO社群成员观点）企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成

10、员观点）隐私条款撰写调研报告（DPO社群成员观点）我看到的数据安全（DPO社群成员观点）数据爬取的法律风险综述（DPO社群成员观点）银行业金融数据出境的监管框架与脉络（DPO社群成员观点）解析公安机关互联网个人信息安全保护指引（征求意见稿）（DPO社群成员观点）详解GDPR向Google亮剑缘由（DPO社群成员观点）从生产安全体系视角看数据安全（DPO社群成员观点）从Android Q看安卓系统的授权机制的三次重大演进（DPO社群成员观点）APP安全认证公告和实施规则解读：治理思路的创新与多样化（DPO社群成员观点）从数据融合角度分析CNIL处罚谷歌案（DPO社群成员观点）历史和国际比较视角D

11、PO法律制度探源（DPO社群成员观点）谷歌数据融合合规之路：从欧盟监管机构调查与处罚来看上篇（DPO社群成员观点）数据保护官岗位角色技术能力分析（DPO社群成员观点）中国企业境外投资中儿童个人信息保护（DPO社群成员观点）企业上市过程面临的数据合规问题和相关风险：境内篇（DPO社群成员观点）企业上市过程面临的数据合规问题和相关风险：境外篇（DPO社群成员观点）数据保护岗位需求与能力发展（DPO社群成员观点）DPO互助平台对企业数据治理实务的指导（DPO社群成员观点）对网络安全负责人岗位的思考（DPO社群成员观点）结合良好实践，细说APP自评估指南之一（DPO社群成员观点）个人信息安全规范的效力

12、与功能结合良好实践，细说APP自评估指南之二（DPO社群成员观点）网络安全法中数据出境安全评估真的那么“另类”吗实施已满三月，区块链新规“回头看”（DPO社群成员观点）从“布拉格提案”看美国政府的策略欧盟GDPR合规指引前言：从一个损毁的雕像说起对网络安全审查办法（征求意见稿）的几点观察使命与界限：近期个人信息和数据安全新规的一些思考（DPO社群成员观点）解析个人信息出境安全评估办法（征求意见稿）实体保护规则背后的主要思路“惟危惟微，允执厥中”：对数据安全管理办法中“定向推送”部分的思考儿童个人信息网络保护规定（征求意见稿）评析：与美国COPPA对比的视角网安法中的“范围”如何理解和落地：从头

13、条案说起数据安全管理办法的监管诉求及文本改进建议：DPO社群的现场讨论数据安全的内部和外部视角初探个人信息出境安全评估办法的流程改进建议：DPO社群的现场讨论GDPR与相关数据保护法律处罚案例调研（DPO社群成员观点）个人信息侵权纠纷类型化试解（DPO社群成员观点）英法两国对 AdTech和广告类SDK的监管案例分析金控监管办法草案发布 有望扫清信息共享障碍（DPO社群成员观点）GDPR对用户画像的合规要求分析（DPO社群成员观点）IAPP新加坡会议上关于27701的Panel和PPTFTC vs Facebook：50亿美元和解令的来龙去脉（DPO社群成员观点）人脸识别技术的法律规制研究初探

14、（DPO社群成员观点）澳消费者数据权利法案对数据共享与数据可携权的探索（DPO社群成员观点）FTC vs. YouTube：解读违规处理儿童个人信息之最大罚单（DPO社群成员观点）个人数据在美欧外国投资审查中的角色初探（一）HiQ vs. LinkedIn案的启示与未决之题（DPO社群成员观点）国家标准个人信息安全规范（征求意见稿）修订解读（DPO社群成员观点）解析欧盟法院对与Cookies相关的告知和同意的最新判决（DPO社群成员观点）推动域外应用商店下架“HKmap.live全港抗争即时地图”App的思路“客场作战”，法律先行：以“HKmap.live”为例墨迹天气IPO被否 App治理工

15、作组收集个人信息通报成依据之一解读世界首例警方使用人脸识别技术合法性判决（DPO社群成员观点）从墨迹IPO被否看拟境内上市企业的数据合规工作（DPO社群成员观点）对美国外国投资审查新规的观察和评价（DPO社群成员观点）个人信息安全规范在安标委重庆会议周上的汇报人脸识别技术运用的六大场景及法律规制框架的适配（DPO社群成员观点）他山之石：美国20年间33个儿童信息保护违法案例分析（DPO社群成员观点）人脸识别技术的规制框架（PPT+讲稿）全球视野中的金融数据安全公司IPO/重组/投融资时，监管部门审查要点汇总及问题分析（DPO社群成员观点）个人金融信息收集和共享的基本原理：基于中美欧规则的展开（文字稿+PPT）透析印度个人数据保护法草案北京市关于自动驾驶车辆道路测试的立法综述及动态（DPO社群成员观点）违反俄罗斯数据本地化的行政罚款新规（DPO社群成员观点）零售门店使用人脸识别技术的主要法律问题（DPO社群成员观点）韩国个人信息保护法律制度概况（DPO社群成员观点）传染病疫情防控与个人信息保护系列文章传染病疫情防控与个人信息保护初探之一：个人信息的性质传染病疫情防控与个人信息保护初探之二：同意的例外传染病疫情防控与个人信息保护初探之三：数据技术的应用路径传染病疫情防控与个人信息保护初探之四：接触追踪的数据共享安全规范传染病疫情防控与个人信息保护初探之五：电信数据的安全