数据安全技术 个人信息转移技术要求 征求意见稿

1GB/TXXXXX—XXXX数据安全技术基于个人请求的个人信息转移要求本文件规定了基于个人信息主体请求转移其个人信息的适用和行使的条件、可请求转移的个人信息范围，以及个人信息处理者在处理个人信息主体转移个人信息的请求时应遵守流程和要求。本文件适用于个人信息处理者响应个人信息主体转移信息请求的全流程，也可用于监管部门、第三方评估机构对基于个人请求而转移个人信息相关的处理活动所进行的监督、管理、评估参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069—2022信息安全技术术语GB/T35273—2020信息安全技术个人信息安全规范3术语和定义GB/T25069—2022、GB/T35273—2020界定的以及下列术语和定义适用于本文件。3.1个人信息转移personalinformationtransfer个人信息主体请求处理其个人信息的个人信息处理者，将其所处理的个人信息转移至个人信息主体指定的其他个人信息处理者的过程。3.2衍生个人信息derivedpersonalinformation根据对个人信息的分析、计算、处理等方式得出的、与个人相关的新数据。3.3请求人requester发起个人信息转移请求的主体。注：包括个人信息主体本人、个人信息主体的监护人及受个人信息主体委托3.4结构化structured具备一定的规则、格式或模式，使得软件能够提取数据的特定元素的数据组织方式。2GB/TXXXXX—XXXX注2：结构化数据通常是由已定义好的架构、模板、字段等组成，其中每个数据元素都有特定的含义和类型，并严格遵循特定的格式、约定和标准，以便于被计算机等程3.5机器可读machine-readable可以由计算机软件应用程序自动读取和处理的数据存储格式。4缩略语下列缩略语适用于本文件。CSV：字符分隔值（Comma-SeparatedValues）XML：可扩展标记语言（ExtensibleMarkupLanguage）JSON：JavaScript对象表示法（JavaScriptObjectNotation）SFTP：安全的文件传输协议（SSHFileTransferProtocol）5概述个人信息转移过程中涉及到个人信息主体、个人信息处理者、转移个人信息接收者、转移请求代理等角色，基于各方在个人信息转移过程中的作用，将个人信息转移方式分为三种：完全以个人信息主体为中心的个人信息转移，个人信息接收方（转入方）积极主动模式的个人信息转移以及代理模式的个人信息转移。5.1完全以个人信息主体为中心的个人信息转移图1完全以个人信息主体为中心的个人信息转移对于以个人信息主体为中心的个人信息转移，个人信息主体发起个人信息转移请求；个人信息处理者完成个人信息转移请求的验证，个人信息处理者将需要转移的个人信息提供给个人信息主体，个人信息主体接收基于个人同意的转移个人信息，并提供给转移个人信息接收者。如图1所示。5.2个人信息接收方（转入方）积极主动模式的个人信息转移3GB/TXXXXX—XXXX图2个人信息转入方（接收方）积极主动模式此模式中，接收个人信息处理者提前公开接收个人信息接口，或者个人信息处理者提前公开转移个人信息接口；个人信息主体向转移个人信息接收者发起个人信息转移请求；转移个人信息接收者在收到个人信息处理者请求后，完成个人信息主体认证；在完成认证后，个人信息转移请求将由转移个人信息接收者发送给个人信息处理者，并同步转移个人信息主体验证信息；对于已经通过个人信息处理者验证的个人信息转移请求，个人信息处理者将需要转移的个人信息以机器可读的格式直接提供给转移个人信息接收者。如图2所示。5.3代理模式的个人信息转移图3代理模式的个人信息转移对于代理模式的个人信息转移，个人信息主体发起个人信息转移请求到代理机构；代理机构依据个人信息处理者、转移个人信息接收者的验证要求，收集个人信息主体相关信息。首先，代理机构按照个人信息主体要求，将转移个人信息请求发送给个人信息处理者，并同步传递个人信息主体验证所需相关信息；个人信息处理者负责个人信息转移请求的验证，并将需要转移的个人信息以机器可读的格式提供给代理机构；代理机构随后将转移个人信息发送给个人信息主体指定的接收者，并同步传递个人信息主体验证所需相关信息；转移个人信息接收者在收到转移个人信息请求后，完成个人信息主体验证，并将验证结果明确告知代理机构。最后，代理机构将汇总个人信息转移处理过程中各个阶段信息并发送给个人信息主体。如图3所示。6个人信息转移的适用范围6.1可请求转移的信息范围个人信息主体可请求转移的个人信息包括：a)个人信息主体在知情的情况下主动提供的个人信息（例如姓名、性别、年龄、邮编等）；b)个人信息主体因使用产品或服务而被观察和收集的信息（例如因使用地图应用程序而提供的个人位置信息等、使用物联网设备直接采集到的信息如心率数据等）。6.2可请求转移的主体要求4GB/TXXXXX—XXXX仅个人信息主体可请求转移其个人信息，特殊情况包括：a)不满14周岁的未成年人享有个人信息转移的权利，但其个人信息的转移应取得未成年人的父母或者其他监护人的同意；b)死者个人信息原则上不属于个人信息转移的适用范围，但死者生前另有安排或法律另有规定的除外。7个人信息转移行使的条件7.1一般性要求个人信息主体要求个人信息处理者响应其转移个人信息的请求，应同时满足7.2~7.5的要求。7.2合法性要求合法性要求包括：a)请求转移的个人信息应是基于同意或者订立、履行合同所必需而处理的个人信息；b)对于按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需而处理的个人信息，个人信息转移的行使通常仅限于以个人信息主体为一方当事人所订立、履行合同所必需而处理的个人信息。是为公共利益实施新闻报道、舆论监督等行为，在合理的范围规定在合理的范围内处理个人自行公开或者其他已经合7.3以电子方式记录的要求个人信息转移权利的行使仅限于以电子方式记录的个人信息。7.4不损害他人合法权益的要求当个人信息主体请求转移的信息包括他人信息时，个人信息处理者应：a)核验他人信息是请求人合法获得的，且不违背他人意愿；b)明确他人信息是请求人有法定权利处理的；c)要求个人信息转移的请求目的仅限于私人或家庭活动需要；d)拒绝响应请求人的转移请求，当其知晓个人信息转移的行使将损害他人合法权益；注1：8.4.2规定了个人信息处理者拒绝个人信息转移请e)原则上告知他人并取得其同意，除非征求他人的同意不具有技术可行性。注2：个人信息处理者拒绝转移他人个人信息时，应保留相应记录，并向请求7.5请求的合理性要求请求转移个人信息应在合理的限度之内。具体要求包括：a)个人信息主体应指定与个人信息处理者签订个人信息转移协议的主体作为个人信息接收方；b)个人信息主体请求转移个人信息的频次应在合理时间间隔内。个人信息处理者可根据以下因素评估时间间隔的合理性：5GB/TXXXXX—XXXX1)个人信息更改的频率；2)个人信息的性质；3)个人信息处理的目的；4)后续的请求是否与之前的请求涉及相同类型的个人信息或处理活动。c)个人信息处理者可以拒绝明显没有根据或者过分的请求，但应对基本事实进行记录，并告知个人信息主体。注：8.4.2规定了个人信息处理者拒绝个人信息转移8个人信息转移行使流程的一般性要求8.1基本流程图4个人信息转移基本流程个人信息转移请求行使的基本流程主要包含请求发起、请求验证、请求处理、个人信息导出以及转移的个人信息导入五个步骤，各步骤及转移个人信息的格式应满足8.2~8.7要求。8.2请求的发起个人信息处理者应以显著方式、清晰易懂的语言真实、准确、完整地向个人告知行使个人信息转移请求的方式和程序，并为个人信息主体提供便捷的发起请求的途径。具体发起方式包括：a)通过在线或书面等提出个人信息转移的请求；b)委托第三方（如亲属、朋友、代理机构等）代表其提出个人信息转移的请求，个人信息处理者应确认请求的有效性，例如核验第三方所提供证明的真实性。8.3请求的验证个人信息处理者应对请求人的请求进行验证，包括对请求者身份验证、请求内容、请求频次、第三方身份及授权证明有效性等。验证要求包括：a)个人信息处理者应实施个人信息主体的身份认证程序，以确定个人信息转移请求的真实性，并确保处理个人信息转移请求的整个过程的安全性；b)个人信息主体身份认证要求提供信息应是合理、符合比例的，并遵循最小必要原则；c)当确对请求人的身份有合理疑问时，个人信息处理者可以要求请求人提供额外信息。但该额外信息应仅限于确认其身份所必需的信息，且不超过个人信息主体使用或注册时提供的信息。d)对于第三方提出的个人信息转移请求，个人信息处理者可以要求其提供适当的受托证明以及关于被授权的事实说明。如个人信息处理者对第三方的身份确有合理疑问，可以要求第三方提供额外的信息以确认身份；e)已通过自动化工具实现个人信息转移请求处理的个人信息处理者，可以自行确定其处理请求的频次；6GB/TXXXXX—XXXXf)当个人转移请求的验证未通过时，个人信息处理者应该通过合适途径以清晰的方式告知请求人；g)如果个人信息主体以收到的答复不完整或没有给出充分拒绝的原因为由重新第一次的转移请求，则该请求不应视为新的请求，而是视为第一次未满足请求的提醒。8.4请求的处理8.4.1回复请求对于验证通过的个人信息转移请求，对个人信息处理者的要求包括：a)应收到请求后的一个月内回复；如果个人信息转移请求的处理过于复杂，个人信息处理者可以适当延长回复期限，但不应超过收到请求后的两个月；b)若请求人在一个月内提出多次个人信息转移请求，以最后一次行权请求为有效请求，并以最后一次请求的时间为开始时间，重新计算处理时间。8.4.2拒绝请求当个人信息转移的请求符合以下任一情形的，个人信息处理者可以拒绝个人信息转移的请求：a)不属于本标准第6章规定的适用范围；b)不符合本标准第7章规定的行使条件；c)未通过身份验证；拒绝个人信息转移请求的，个人信息处理者应以清晰的语言告知请求人以下事项：不处理请求的原因；个人信息主体申诉的可能性及其途径；个人信息主体向监管机构投诉和寻求司法救济的权利。8.4.3处理请求的费用通常情况下，个人信息处理者不应对个人信息转移请求收取费用。但在符合以下情形的情况下，个人信息处理者可以在处理请求所花费成本的范围内收取合理的费用：a)所处理的请求不在合理的限度之内；b)个人信息处理者与个人信息主体、第三方以及作为接收方的个人信息处理者自愿达成协议。8.5个人信息转移的标准格式基于转移个人信息流通的目的考虑，个人信息处理者应：a)以结构化、通用以及机器可读的格式提供个人信息；b)非行业或部门特殊规定，应使用CSV，XML和JSON等开放格式提供个人数据。如因行业或部门特殊，应使用特殊格式，文件格式应满足结构化和机器可读的基本要求，且文件格式的定义应公开透明；服务中使用的数据结构。这意味着XML可以由API处理，c)个人信息处理者提供个人信息时，应使用合适的元数据以准确表述所提供的个人信息的含义。8.6个人信息的导出8.6.1个人信息导出的方式7GB/TXXXXX—XXXX个人信息处理者导出个人信息主体请求涉及的个人信息的要求包括：a)个人信息处理者不应设置任何法律、技术或财务上的障碍以减缓或阻止请求涉及的个人信息的导出；b)在技术可行的情况下，可直接提供请求涉及的个人信息，或者提供可提取请求涉及的个人信息的自动化工具（如SFTP服务器或WebPortal等）；注：以上个人信息的导出，原则上应以电子格式提供，个人信c)当传递照片、视频等容量较大、数量较多等个人信息时，宜通过第三方安全访问接口导出的形式提供。8.6.2他人个人信息的导出个人信息处理者导出的个人信息涉及个人信息主体之外的主体时，个人信息导出的要求包括：a)个人处理者应合理评估是否会对他人的合法权益造成不利影响，以确定是否能基于合理原因不经他人同意遵从此请求，将此个人信息导出；b)无论个人信息处理者是否导出他人信息，都应答复请求人的请求，并保留相关记录，说明相关决定和原因；c)个人信息处理者宜采用适当的工具，使请求人能够选择其希望获取和转移的相关个人信息，并提供可以排除他人个人信息的功能。8.6.3导出个人信息的安全保障个人信息处理者导出的个人信息的安全要求包括：a)个人信息处理者应采取适当措施确保个人信息传输的安全性并确保个人信息传输至正确的接收方；b)当作为接收方的另一个人信息处理者存在安全风险或其存储数据系统的安全性低于导出之前的系统时，个人信息处理者应明确告知个人信息主体相关风险。8.6.4导出个人信息的说明当请求人对导出的基于个人请求转移的个人信息存在合理疑问时，个人信息处理者应给出合理说明。8.7个人信息的导入8.7.1合法性要求导入个人信息的个人信息处理者的合法性要求包括：a)作为接收方的另一个人信息处理者在导入转移请求涉及的个人信息时，应确保其有处理该个人信息的合法性基础，并确保对导入个人信息的后续处理不会对他人的合法权益产生不利影响；b)对于不符合上述条件的已导入个人信息，个人信息处理者应尽快将其删除。8.7.2对他人信息处理的目的限制当导入的个人信息涉及他人个人信息时，作为接收方的个人信息处理者不应超出用户授权范围处理此类个人信息，例如超出用户授权范围通过自动化决策方式向个人进行信息推送、商业营销等。9个人信息转移的自动化处理要求个人信息转移请求在技术可行的情况下，可通过自动化处理的方式实现。具体方式包括：8GB/TXXXXX—XXXXa)个人信息处理者以自动化的方式响应个人信息转移请求；b)转移的个人信息以自动化方式在不同个人信息处理者之间直接传输。10对代理人或代理机构的要求个人信息主体通过委托第三方代表其提出个人信息转移的请求时，技术要求包括：a)第三方可能是未成年人的父母或其他监护人，也可能是作为代理机构的组织或实体；b)个人信息处理者应核实代理人的身份，如果对代表个人信息主体的代理存在合理的怀疑，可以要求提供额外信息以确认身份。代理人应向个人信息处理者提供适当的受托证明以及关于被授权的事实说明。11不满十四周岁未成年人个人信息转移请求处理的要求涉及不满十四周岁未成年人请求转移处理个人信息的技术要求包括：a)个人信息处理者应制定适合未成年人理解的未成年人个人信息处理规则，使未成年人充分理解其权利。未成年人个人信息处理规则应说明未成年人个人信息转移权行使的程序，并采取适当的保障措施，保障未成年人的权益；b)当不满十四周岁未成年人提出转移个人信息的请求时，个人信息处理者应：1)确保转移个人信息的请求是经未成年人父母或其他监护人同意的；2)考虑未成年人的利益，确保个人信息的转移不会对未成年人造成不利影响；3)在转移个人信息时提示作为接收方的个人信息处理者此信息属于未成年人个人信息。12涉及第三方的个人信息转移请求处理的要求在个人信息处理者已将转移请求涉及个人信息以共享或委托等形式提供给第三方的情况下，个人信息处理者应：a)应明确告知个人信息主体提供给第三方的个人信息类型及数量；b)应向个人信息主体告知第三方处理者的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及向第三方行使个人信息转移权的方式和程序等事项；c)当发现第三方未能履行个人信息主体转移请求，存在侵害个人信息主体权益的风险时，个人信息处理者应及时采取相关补救措施，有效避免危害的扩大。13涉及跨境提供的个人信息转移请求处理的要求当请求人指定的个人信息接收方位于境外时，转移个人信息的技术要求包括：a)导出的个人信息处理者明确告知个人信息跨境的法律风险；b)导出的个人信息处理者应事先按照我国有关规定，通过数据出境安全评估、个人信息出境标准合同、个人信息出境安全认证等方式，向境外个人信息接收方传输个人信息；c)如导出的个人信息处理者无法符合第13章b）的要求，应明确告知个人信息主体，并向个人信息主体提供复制个人信息的方法。注：8.4.2规定了个人信息处理者拒绝个人信息转移请求时9GB/TXXXXX—XXXX14完全以个人信息主体为中心模式的个人信息转移要求个人信息转移的要求包括：a)个人信息处理者完成个人信息转移请求的验证，并在15天内明确告知个人信息主体验证结果。如果个人信息转移请求未通过验证，个人信息处理者应清晰说明未通过验证原因；b)对于已经通过个人信息处理者验证的个人信息转移请求，个人信息处理者应在15天内将需要转移的个人信息以机器可读的格式提供给个人信息主体；c)个人信息主体接收基于个人同意的转移个人信息，并提供给转移个人信息接收者；d)转移个人信息接收者在收到个人信息转移请求后，应完成对个人信息主体的验证；e)转移个人信息接收者在15天内完成个人信息的转移处理，并将处理结果明确告知个人信息主体。如存在个人信息转移失败的情况，应向个人信息主体清晰说明未完成处理原因。15个人信息转入方（接收方）积极主动模式的要个人信息转移求个人信息转移的要求包括：a)个人信息主体向转移个人信息接收者发起个人信息转移请求后，转移个人信息接收者在收到个人信息主体请求后，完成个人信息主体认证；b)在完成认证后，个人信息转移请求将由转移个人信息接收者发送给个人信息处理者，并同步转移个人信息主体验证信息；c)个人信息处理者完成个人信息转移请求