标准解读

《GB/T 35273-2020 信息安全技术 个人信息安全规范》相较于《GB/T 35273-2017 信息安全技术 个人信息安全规范》,在内容上进行了多方面的更新与补充,以适应新技术发展带来的挑战及更严格的个人数据保护需求。主要变化包括:

一、术语定义方面有所扩展和细化。新增了“个人信息控制者”、“个人信息处理活动”等定义,明确了相关概念的边界,有助于更好地理解和执行标准中的各项要求。

二、加强了对个人信息收集的基本原则规定。强调最小必要原则,即只收集实现产品或服务功能所必需的信息;同时增加了关于收集敏感个人信息时需获得明确同意的要求,并对如何获取用户同意做了更为详细的规定。

三、针对个人信息使用过程中的安全管理措施提出了更高要求。比如,对于委托处理、共享、转让、公开披露个人信息等活动,新版标准制定了更加严格的操作流程与条件限制,旨在降低信息泄露风险。

四、增强了个人信息主体权利保障机制。具体表现为增加了查阅权、更正权、删除权等内容,赋予个人更多对自己信息掌控的权利,同时也对企业提出了响应这些请求的具体时限和技术手段上的要求。

五、引入了个人信息安全影响评估制度。当个人信息控制者计划开展可能对个人信息安全造成重大影响的新项目前,必须先行进行评估,并根据评估结果采取相应防护措施。

六、强化了跨境传输个人信息的安全管理。明确规定了向境外提供个人信息时应遵循的原则、程序以及所需满足的安全保障措施,确保跨国界流动的数据得到妥善保护。

七、增加了附录部分的内容。例如提供了个人信息去标识化指南、儿童个人信息网络保护特别要求等实用性强的技术文档作为参考材料,帮助企业更好地理解和落实标准中的相关规定。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2020-03-06 颁布
  • 2020-10-01 实施
©正版授权
GB/T 35273-2020信息安全技术个人信息安全规范_第1页
GB/T 35273-2020信息安全技术个人信息安全规范_第2页
GB/T 35273-2020信息安全技术个人信息安全规范_第3页
GB/T 35273-2020信息安全技术个人信息安全规范_第4页
GB/T 35273-2020信息安全技术个人信息安全规范_第5页
已阅读5页,还剩31页未读 继续免费阅读

下载本文档

免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T35273—2020

代替

GB/T35273—2017

信息安全技术个人信息安全规范

Informationsecuritytechnology—Personalinformationsecurityspecification

2020-03-06发布2020-10-01实施

国家市场监督管理总局发布

国家标准化管理委员会

中华人民共和国

国家标准

信息安全技术个人信息安全规范

GB/T35273—2020

*

中国标准出版社出版发行

北京市朝阳区和平里西街甲号

2(100029)

北京市西城区三里河北街号

16(100045)

网址

:

服务热线

:400-168-0010

年月第一版

20202

*

书号

:155066·1-64947

版权专有侵权必究

GB/T35273—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

个人信息安全基本原则

4…………………3

个人信息的收集

5…………………………3

收集个人信息的合法性

5.1……………3

收集个人信息的最小必要

5.2…………3

多项业务功能的自主选择

5.3…………4

收集个人信息时的授权同意

5.4………………………4

个人信息保护政策

5.5…………………5

征得授权同意的例外

5.6………………5

个人信息的存储

6…………………………6

个人信息存储时间最小化

6.1…………6

去标识化处理

6.2………………………6

个人敏感信息的传输和存储

6.3………………………6

个人信息控制者停止运营

6.4…………6

个人信息的使用

7…………………………6

个人信息访问控制措施

7.1……………6

个人信息的展示限制

7.2………………7

个人信息使用的目的限制

7.3…………7

用户画像的使用限制

7.4………………7

个性化展示的使用

7.5…………………7

基于不同业务目的所收集个人信息的汇聚融合

7.6…………………8

信息系统自动决策机制的使用

7.7……………………8

个人信息主体的权利

8……………………8

个人信息查询

8.1………………………8

个人信息更正

8.2………………………8

个人信息删除

8.3………………………9

个人信息主体撤回授权同意

8.4………………………9

个人信息主体注销账户

8.5……………9

个人信息主体获取个人信息副本

8.6…………………9

响应个人信息主体的请求

8.7…………10

投诉管理

8.8……………10

个人信息的委托处理共享转让公开披露

9、、、…………10

GB/T35273—2020

委托处理

9.1……………10

个人信息共享转让

9.2、………………11

收购兼并重组破产时的个人信息转让

9.3、、、………11

个人信息公开披露

9.4…………………12

共享转让公开披露个人信息时事先征得授权同意的例外

9.5、、……12

共同个人信息控制者

9.6………………12

第三方接入管理

9.7……………………12

个人信息跨境传输

9.8…………………13

个人信息安全事件处置

10………………13

个人信息安全事件应急处置和报告

10.1……………13

安全事件告知

10.2……………………13

组织的个人信息安全管理要求

11………………………14

明确责任部门与人员

11.1……………14

个人信息安全工程

11.2………………14

个人信息处理活动记录

11.3…………14

开展个人信息安全影响评估

11.4……………………15

数据安全能力

11.5……………………15

人员管理与培训

11.6…………………15

安全审计

11.7…………………………15

附录资料性附录个人信息示例

A()……………………17

附录资料性附录个人敏感信息判定

B()………………18

附录资料性附录实现个人信息主体自主意愿的方法

C()……………19

附录资料性附录个人信息保护政策模板

D()…………24

参考文献

……………………30

GB/T35273—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术个人信息安全规范与相

GB/T35273—2017《》,GB/T35273—2017

比除编辑性修改外主要技术变化如下

,:

增加了多项业务功能的自主选择见

———“”(5.3);

修改了征得授权同意的例外见年版的

———“”(5.6,20175.4);

增加了用户画像的使用限制见

———“”(7.4);

增加了个性化展示的使用见

———“”(7.5);

增加了基于不同业务目所收集个人信息的汇聚融合见

———“”(7.6);

修改了个人信息主体注销账户见年版的

———“”(8.5,20177.8);

增加了第三方接入管理见

———“”(9.7);

修改了明确责任部门与人员见年版的

———“”(11.1,201710.1);

增加了个人信息安全工程见

———“”(11.2);

增加了个人信息处理活动记录见

———“”(11.3);

修改了实现个人信息主体自主意愿的方法见附录年版的附录

———“”(C,2017C)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国电子技术标准化研究院北京信息安全测评中心颐信科技有限公司四川大

:、、、

学清华大学中国信息通信研究院公安部第一研究所中国网络安全审查技术与认证中心深圳腾讯

、、、、、

计算机系统有限公司上海国际问题研究院阿里巴巴北京软件服务有限公司中电长城网际系统应

、、()、

用有限公司阿里云计算有限公司华为技术有限公司强韵数据科技有限公司

、、、。

本标准主要起草人洪延青何延哲杨建军钱秀槟陈兴蜀刘贤刚上官晓丽高林邵正强

:、、、、、、、、、

金涛胡影赵冉冉韩煜陈湉高磊张晓梅张志强葛鑫周晨炜秦小伟邵华蔡晓丹黄晓林

、、、、、、、、、、、、、、

顾伟黄劲李媛许静慧赵章界孔耀晖范红杜跃进杨思磊张亚男叶晓俊郑斌闵京华鲁传颖

、、、、、、、、、、、、、、

周亚超杨露王海舟王建民秦颂姚相振葛小宇王道奎沈锡镛

、、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T35273—2017。

GB/T35273—2020

引言

近年随着信息技术的快速发展和互联网应用的普及越来越多的组织大量收集使用个人信息给

,,、,

人们生活带来便利的同时也出现了对个人信息的非法收集滥用泄露等问题个人信息安全面临严重

,、、,

威胁

本标准针对个人信息面临的安全问题根据中华人民共和国网络安全法等相关法律规范个人信

,《》,

息控制者在收集存储使用共享转让公开披露等信息处理环节中的相关行为旨在遏制个人信息非

、、、、、,

法收集滥用泄漏等乱象最大程度地保障个人的合法权益和社会公共利益

、、,。

对标准中的具体事项法律法规另有规定的需遵照其规定执行

,,。

GB/T35273—2020

信息安全技术个人信息安全规范

1范围

本标准规定了开展收集存储使用共享转让公开披露删除等个人信息处理活动的原则和安全

、、、、、、

要求

本标准适用于规范各类组织的个人信息处理活动也适用于主管监管部门第三方评估机构等组织

,、

对个人信息处理活动进行监督管理和评估

、。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069—2010

3术语和定义

界定的以及下列术语和定义适用于本文件

GB/T25069—2010。

31

.

个人信息personalinformation

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然

人活动情况的各种信息

注1个人信息包括姓名出生日期身份证件号码个人生物识别信息住址通信通讯联系方式通信记录和内容

:、、、、、、、

账号密码财产信息征信信息行踪轨迹住宿信息健康生理信息交易信息等

、、、、、、。

注2关于个人信息的判定方法和类型参见附录

:A。

注3个人信息控制者通过个人信息或其他信息加工处理后形成的信息例如用户画像或特征标签能够单独或者

:

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论