信息安全技术 个人信息安全规范-编制说明

一、工作简况1.1任务来源2017年12月，GB/T35273-2017《信息安全技术个人信息安全规范》正式发布。本标准一经发布便受到广泛关注，全国信息安全标准化技术委员会针对该标准召开多次宣贯、培训会，并在中央网信办等四部门两次隐私条款评审工作中得到应用。同时，2018年标准的实践应用过程中，得到了一系列反馈，考虑到本标准广泛的影响力，就其中内容进行修订，以更好地指导组织实践。本次标准修订主要承办单位：中国电子技术标准化研究院。标准负责人:洪延青。1.2主要工作过程1.2018年9月，由原标准制定组进行广泛调研2018年9月，原标准制定组根据标准应用情况，展开广泛调研，摸清国内外的研究动向，为本标准的修订夯实牢固的基础。调研过程中，着重调研有关部门隐私条款评审、监管约谈、法律法规编制、企业实践经验等情况。2.成立标准修订工作组2018年10月，在原有标准制定工作组基础上，成立标准修订工作组。3.工作组多次内部讨论从2018年9月至2018年11月，工作组内部共进行了5次内部工作讨论，分别提出了修订原则和修订内容，并对提出的修改意见进行反复讨论和推敲。尤其是针对捆绑授权、收集必要性、定向推送等重点问题进行了探讨。3.2018年11月形成草案2018年11月底，标准修订工作组结合前期调研和讨论情况，形成标准草案。4.2018年12月首次向企业征求意见2018年12月，标准修订工作组就标准草案内容首次向企业代表征求意见，并对意见进行处理，形成草案版本2.0。5.2019年1月召开多次专家会议完善标准，并形成征求意见稿2019年1月，标准修订工作组召开2次专家会议，召集标准化、法律、科研机构、学校等个人信息保护相关领域专家进行研讨，并积极吸收其建议；同时，标准修订工作组召开2次企业代表征求意见会议，就标准最新内容进行反复研讨，最终，于2019年1月30日形成草案版本3.0。6.2019年2月1日，标准草案公开向社会征求意见2019年2月1日，标准修订工作组就标准草案内容向社会公开征求意见，征求意见期限为45天。7.2019年3月-4月，标准工作组处理收到的意见2019年3月至4月，标准工作组召开多次工作组内会议，分别对国外机构和国内机构以及个人的意见进行逐条处理，进一步完善草案。8.2019年4月，在信安标委会议周汇报2019年4月25日，标准工作组将最细版本标准草案在信安标委宁波会议周期间的大数据工作组内进行汇报，与组内专家进行讨论，最后顺利将标准推进至征求意见稿。9.2019年5-6月，标准工作组内部会议2019年5月至6月，标准工作组召开多次工作组内会议，对信安标委宁波会议周期间的意见进行讨论，同时结合App违法违规收集使用个人信息专项治理工作的实践和个人信息相关法规政策文件要求，对标准内容进一步优化。二、标准修订原则和确定主要内容的论据及解决的主要问题2.1修订原则《信息安全技术个人信息安全规范》通过借鉴国外标准的研究，结合新的技术发展和国内应用实践，提出与国际标准接轨、适合我国国情，具有可操作性的“个人信息保护”标准。通过该标准的实施，支撑组织提升个人信息保护水平。同时为主管监管部门开展个人信息安全相关监督提供参考。《信息安全技术个人信息安全规范》标准的修订遵循以下原则：(1)先进性：标准反映当今个人信息保护的先进技术水平；(2) 开放性：标准的编制、评审与使用具有开放性；(3) 适应性：标准结合我国国情；(4) 简明性：标准易于理解、实现和应用；(5) 中立性：公正、中立，不与任何利益攸关方发生关联；(6) 一致性：术语与国内外标准所用术语最大程度保持一致。2.2主要修订内容本标准与GB/T35273－2017的主要差异如下：——“3缩略语”中补充了内容；——增加了“5.3不得强迫收集个人信息的要求”；——“5.7征得授权同意的例外”进行了修改；——增加了“7.4个性化展示及退出”；——增加了“7.5基于不同业务目所收集的个人信息的汇聚融合”；——增加了“8.7第三方接入管理”；——修改了“10.1明确责任部门与人员；——增加“10.2个人信息处理活动记录；——修改了“资料性附录C保障个人信息主体选择同意权的方法”。——增加了“附录C.1区分基本业务功能和扩展业务功能”、“C.2基本业务功能的告知和明示同意”、“C.3扩展业务功能的告知和明示同意”。2.3确定主要内容的论据及解决的主要问题1.确定标准修订主要内容的论据在标准的修订过程中，修订工作组查阅了大量国内外相关资料，进行学习、消化、比对和深入研究，结合自己的科研实践，得出下述结论性意见，并得到多数专家的赞同。本次标准修订核心为以下三方面内容：1）突出基本业务功能和扩展业务功能的划分要求；2）增加基本业务功能和扩展业务功能的明示、同意的规则，同时修订附录C，给出具体的实现方式；3）增加新闻、时政、广告的定向推送的规定。修订工作组在《个人信息安全规范》“收集”这一章提出了两个方案。方案一：区分基本业务功能和扩展业务功能。给出划分原则，规定不同的授权同意方案等。但企业对方案一的反对声音很大。方案二：不区分基本业务功能和扩展业务功能。但是增加了“不得强迫收集个人信息的要求”，着重打破“强制索权”的问题。同时“过度索权、过度收集个人信息”的问题，还是主要通过个人信息分级的思路来解决。经与专家和企业的反复讨论，最终确定将方案二作为标准主体内容，方案一作为资料性附录供组织实现相应机制时进行参考。此外，对于定向推送，《个人信息安全规范》修订组结合《电子商务法》等法律法规相关规定提出了相应的要求。2.解决的主要问题《个人信息安全规范》于2018年5月1日生效。在生效不到一年时修订标准，根本目的是为了突出体现、落实《网络安全法》规定的个人信息收集、使用的“合法、正当、必要”基本原则，尤其是“必要原则”，以此解决群众反映强烈的APP“强制索权、过度索权、超范围收集、强制个性化推送”的问题。三、主要试验[或验证]情况分析标准修订组广泛征求前期参与四部门隐私条款评审的相关企业和在个人信息保护领域有丰富经验的企业，包括阿里巴巴、腾讯、京东、百度、华为技术有限公司、高德地图、滴滴出行、微软中国、字节跳动、美团点评等。他们对修订后的标准进行试用与验证。反馈的建议对标准的修订奠定了良好基础。四、知识产权情况说明标准的技术内容不涉及专利。五、采用国际标准和国外先进标准情况个人信息保护上广受关注。原有版本标准编制过程中，广泛参考了国内外的相关标准和规范，此次修订结合目前的技术发展、我国的应用实践进行修改、补充与完善。提出与国际标准接轨、适合我国国情的“个人信息安全规范”标准。六、与现行相关法律、法规、规章及相关标准的协调性标准符合现行法律、法规和规章；与相关标准没有冲突。七、重大分歧意见的处理经过和依据无。八、标准性质的建议建议作为推荐性标准颁布。九、贯彻标准的要求和措施建议建议本标准作为网络安全标准体系的一部分，配合实施。十、替代或废止现行相关标准的建议本标准将代替GB/T35273—2007。十二、其它应予说明的事项无。国家标准《信息安全技术个人信息安全规范》（征求意见稿）修订说明国